Выполнение функций посредничества

Функции посредничества межсетевой экран выполняет с помощью специ­альных программ, называемых экранирующими агентами или просто про­граммами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.

При необходимости доступа из внутренней сети во внешнюю сеть или на­оборот вначале должно быть установлено логическое соединение с програм­мой-посредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодейст­вия и при его разрешении сама устанавливает отдельное соединение с тре­буемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредни­ка, который может выполнять фильтрацию потока сообщений, а также осу­ществлять другие защитные функции.

Функции фильтрации межсетевой экран может выпол­нять без применения программ-посредников, обеспечивая прозрачное взаи­модействие между внутренней и внешней сетью. Вместе с тем программные посредники могут и не осуществлять фильтрацию потока сообщений.

В общем случае экранирующие агенты, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции: идентификацию и аутентификацию пользователей; проверку подлинности передаваемых данных; разграничение доступа к ресурсам внутренней сети; разграничение доступа к ресурсам внешней сети; фильтрацию и преобразование потока сообщений, например динамиче­ский поиск вирусов и прозрачное шифрование информации; трансляцию внутренних сетевых адресов для исходящих пакетов сообщений; регистрацию событий, реагирование на задаваемые события, а также ана­лиз зарегистрированной информации и генерацию отчетов; кэширование данных, запрашиваемых из внешней сети.

Идентификация и аутентификация пользователейнеобходима не только при их доступе из внешней сети во внут­реннюю, но и наоборот. Распространенным спосо­бом аутентификации является использование одноразовых паролей. Пароль не должен передаваться в открытом виде через общедоступные коммуникации. Это предотвратит получение несанк­ционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа Telnet. Удобно и надежно также применение цифровых сертификатов, выдаваемых довери­тельными органами, например центром распределения ключей. Большинст­во программ-посредников разрабатывается таким образом, чтобы пользова­тель аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.

Проверка подлинности получаемых и передаваемых данныхнеобходима не только для аутентификации электронных сообщений, но и мигрирующих программ (Java, ActiveX Controls), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей. Для этого также могут применяться цифровые сертификаты.

Разграничение доступа к ресурсам внутренней или внешней сети.Способы разграничения к ресурсам внутренней сети ничем не отличаются от способов разграничения, поддерживаемых на уровне опера­ционной системы. При разграничении доступа к ресурсам внеш­ней сети чаще всего используется один из следующих подходов:

– разрешение доступа только по заданным адресам во внешней сети;

– фильтрация запросов на основе обновляемых списков недопустимых ад­ресов и блокировка поиска информационных ресурсов по нежелатель­ным ключевым словам;

– накопление и обновление администратором санкционированных инфор­мационных ресурсов внешней сети в дисковой памяти брандмауэра и полный запрет доступа во внешнюю сеть.

Фильтрация и преобразование потока сообщенийвыполняется посредником на основе заданного набора правил. Здесь следует различать два вида про­грамм посредников: экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например FTP, HTTP, Telnet; универсальные экранирующие агенты, обрабатывающие весь поток со­общений, например агенты, ориентированные на поиск и обезврежива­ние компьютерных вирусов или прозрачное шифрование данных.

Программный посредник анализирует поступающие к нему пакеты данных, и если какой-либо объект не соответствует заданным критериям, то посред­ник либо блокирует его дальнейшее продвижение, либо выполняет соответ­ствующие преобразования, например обезвреживание обнаруженных ком­пьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файло­вые архивы.

Брандмауэры с посредниками позволяют также организовывать защищен­ные виртуальные сети (Virtual Private Network ‑ VPN), например безопасно объединить несколько локальных сетей, подключенных к Интернету, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соеди­нение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Интернету возможно шифрование не только данных пользователей, но и служебной информации: конечных сетевых адресов, номеров портов и т. д.

Трансляция внутренних сетевых адресов.Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов посредник выполняет автоматическое преобразование IP-адресов компьютеров-отправителей в один «надежный» IP-адрес, ассоциируемый с брандмауэром, из которого передаются все исходящие пакеты. В результате все исходящие из внутренней сети пакеты оказываются отправ­ленными межсетевым экраном, что исключает прямой контакт между авто­ризованной внутренней сетью и являющейся потенциально опасной внеш­ней сетью. IP-адрес брандмауэра становится единственным активным IP-адресом, который попадает во внешнюю сеть.

При таком подходе топология внутренней сети скрыта от внешних пользова­телей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например в сети Интернет. Это эффективно решает проблему расширения ад­ресного пространства внутренней сети и дефицита адресов внешней сети.

Регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и составление отчетов. В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление администратора, т. е. выдача преду­предительных сигналов. Многие межсетевые экраны содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют произвести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов посредники могут выполнить удаленное оповеще­ние об определенных событиях в режиме реального времени.

Кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внут­ренней сети к информационным ресурсам внешней сети вся информация накапливается на пространстве жесткого диска брандмауэра, называемого в этом случае proxy-сервером. Поэтому если при очередном запросе нужная информация окажется на proxy-сервере, то посредник предоставляет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периодическом обновлении содержи­мого proxy-сервера. За счет использования специальных протоколов посредники могут выполнить удаленное оповеще­ние об определенных событиях в режиме реального времени.

Кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внут­ренней сети к информационным ресурсам внешней сети вся информация накапливается на пространстве жесткого диска брандмауэра, называемого в этом случае proxy-сервером. Поэтому если при очередном запросе нужная информация окажется на proxy-сервере, то посредник предоставляет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периодическом обновлении содержи­мого proxy-сервера. Функция кэширования успешно может использоваться для ограничения доступа к информационным ресурсам внешней сети. В этом случае все санкционированные информационные ресурсы внешней сети накапливают­ся и обновляются администратором на proxy-сервере. Пользователям внут­ренней сети разрешается доступ только к информационным ресурсам proxy-сервера, а непосредственный доступ к ресурсам внешней сети запрещается. Экранирующие агенты намного надежнее обычных фильтров и обеспечива­ют большую степень защиты. Однако они снижают производительность об­мена данными между внутренней и внешней сетями и не обладают той сте­пенью прозрачности для приложений и конечных пользователей, которая характерна для простых фильтров.

8.6.5. Особенности межсетевого экранирования на различных уровнях
модели OSI

Брандмауэры поддерживают безопасность межсетевого взаимодействия на различных уровнях модели OSI. При этом функции защиты, выполняемые на разных уровнях эталонной модели, существенно отличаются друг от друга. Поэтому комплексный межсетевой экран удобно представить в виде совокуп­ности неделимых экранов, каждый из которых ориентирован на отдельный уровень модели OSI. Чаще всего комплексный экран функционирует на сете­вом, сеансовом и прикладном уровнях эталонной модели. Соответственно различают такие неделимые брандмауэры (рис. 8.10), как экранирующий маршрутизатор, экранирующий транспорт (шлюз сеансового уровня), а также экранирующий шлюз (шлюз прикладного уровня).

Учитывая, что используемые в сетях протоколы (TCP/IP, SPX/IPX) не одно­значно соответствуют модели OSI, экраны перечисленных типов при вы­полнении своих функций могут охватывать и соседние уровни эталонной модели. Например прикладной экран может осуществлять автоматическое зашифровывание сообщений при их передаче во внешнюю сеть, а также автоматическое расшифровывание криптографически закрытых принимае­мых данных. В этом случае такой экран функционирует не только на при­кладном уровне модели OSI, но и на уровне представления. Шлюз сеансо­вого уровня при своем функционировании охватывает транспортный и сетевой уровни модели OSI. Экранирующий маршрутизатор при анализе пакетов сообщений проверяет их заголовки не только сетевого, но и транс­портного уровня.

Рис. 8.10. Типы межсетевых экранов, функционирующих на отдельных уровнях модели OSI

Межсетевые экраны каждого из типов имеют свои достоинства и недостат­ки. Многие из используемых брандмауэров являются либо прикладными шлюзами, либо экранирующими маршрутизаторами, не поддерживая пол­ную безопасность межсетевого взаимодействия. Надежную же защиту обес­печивают только комплексные межсетевые экраны, каждый из которых объ­единяет экранирующий маршрутизатор, шлюз сеансового уровня, а также прикладной шлюз.