Безопасность Internet

ит  за  выполнением
процедуры  квитирования  связи  по  протоколу  TCP.  Эта
процедура  состоит  из  обмена   TCP-пакетами,   которые
помечаются  флагами   SYN   (синхронизировать)   и   АСК
(подтвердить).
      Первый пакет сеанса TCP, помеченный флагом  SYN  и
содержащий произвольное число, например  1000.  является
запросом  клиента  на  открытие  сеанса.  Внешний  хост-
компьютер,  получивший  этот  пакет,  посылает  в  ответ
пакет, помеченный флагом  АСК  и  содержащий  число,  на
единицу большее, чем в принятом пакете подтверждая,  тем
самым прием пакета SYN от клиента.
      Далее  осуществляется  обратная  процедура:  хост-
компьютер посылает клиенту пакет SYN с  исходным  числом
(например, 2000), а клиент  подтверждает  его  получение
передачей пакета АСК, содержащего число  2001.  На  этом
процесс квитирования связи завершается.
      Шлюз   сетевого   уровня   признает    запрошенное
соединение допустимым только  в  том  случае,  если  при
выполнении процедуры квитирования связи флаги SYN и АСК,
а также числа, содержащиеся в  TCP-пакетах,  оказываются
логически связанными между собой.
      После того  как  шлюз  определил,  что  доверенный
клиент     и     внешний     хост-компьютер     являются
авторизированными участниками  сеанса  TCP,  и  проверил
допустимость этого сеанса, он устанавливает  соединение.
Начиная с этого момента, шлюз копирует и  перенаправляет
пакеты туда и обратно, не проводя никакой фильтрации. Он
поддерживает таблицу установленных соединений, пропуская
данные,  относящиеся  к   одному   из   сеансов   связи,
зафиксированных в этой таблице. Когда сеанс завершается,
шлюз  удаляет  соответствующий  элемент  из  таблицы   и
разрывает цепь. использовавшуюся в данном сеансе.
     Для копирования и перенаправления пакетов в шлюзах
сетевого  уровня  применяются  специальные   приложения,
которые называют канальными посредниками, поскольку  они
устанавливают между двумя сетями  виртуальную  цепь  или
канал, а затем разрешают пакетам,  которые  генерируются
приложениями  TCP/IP,   проходить   по   этому   каналу.
Канальные  посредники   поддерживают   несколько   служб
TCP/IP,   поэтому   шлюзы    сетевого    уровня    могут
использоваться  для   расширения   возможностей   шлюзов
прикладного  уровня,  работа  которых  основывается   на
программах-посредниках конкретных приложений.
     Фактически большинство шлюзов сетевого  уровня  не
являются самостоятельными продуктами, а  поставляются  в
комплекте со шлюзами прикладного уровня. Примерами таких
шлюзов  являются  Gauntlet  Internet  Firewall  компании
Trusted  Information  Systems,   Alta   Vista   Firewall
компании DEC и ANS  Interlock  компании  ANS.  Например,
Alta  Vista  Firewall  использует  канальные  посредники
прикладного уровня для каждой из шести служб  TCP/IP,  к
которым относятся, в частности, FTP,  HTTP  (Hyper  Text
Transport Protocol) и  telnet.  Кроме  того,  межсетевой
экран компании DEC обеспечивает  шлюз  сетевого  уровня,
поддерживающий другие общедоступные службы TCP/IP, такие
как Gopher и  SMTP,  для  которых  межсетевой  экран  не
предоставляет посредников прикладного уровня.
      Шлюз сетевого уровня  выполняет  еще  одну  важную
функцию защиты:  он  используется  в  качестве  сервера-
посредника. Этот  сервер-посредник  выполняет  процедуру
трансляции    адресов,    при     которой     происходит
преобразование внутренних IP-адресов в  один  "надежный"
IP-адрес. Этот адрес ассоциируется с межсетевым экраном,
из  которого  передаются   все   исходящие   пакеты.   В
результате  в  сети  со  шлюзом  сетевого   уровня   все
исходящие  пакеты  оказываются  отправленными  из  этого
шлюза, что исключает  прямой  контакт  между  внутренней
(авторизированной) сетью и потенциально опасной  внешней
сетью.  IP-адрес  шлюза   сетевого   уровня   становится
единственно активным  IP-адресом,  который  попадает  во
внешнюю сеть.  Таким  образом  шлюз  сетевого  уровня  и
другие серверы-посредники защищают  внутренние  сети  от
нападений типа подмены адресов.
      После установления  связи  шлюзы  сетевого  уровня
фильтруют пакеты только на сеансовом уровне модели  OSI,
т.е. не могут проверять содержимое пакетов, передаваемых
между внутренней и внешней сетью  на  уровне  прикладных
программ.  И  поскольку  эта   передача   осуществляется
"вслепую", хакер, находящийся  во  внешней  сети,  может
"протолкнуть"  свои  "вредоносные"  пакеты  через  такой
шлюз. После этого хакер обратится напрямую к внутреннему
Web-серверу, который сам по себе не  может  обеспечивать
функции  межсетевого   экрана.   Иными   словами,   если
процедура квитирования  связи  успешно  завершена,  шлюз
сетевого уровня установит  соединение  и  будет  "слепо"
копировать  и  перенаправлять  все  последующие   пакеты
независимо от их содержимого.
      Чтобы     фильтровать     пакеты,     генерируемые
определенными сетевыми службами,  в  соответствии  с  их
содержимым необходим шлюз прикладного уровня.

                          Шлюзы прикладного уровня

     Для   устранения   ряда   недостатков,    присущих
фильтрующим маршрутизаторам,  межсетевые  экраны  должны
использовать  дополнительные  программные  средства  для
фильтрации сообщений сервисов типа TELNET и  FTP.  Такие
программные средства называются  полномочными  серверами
(серверами-посредниками), а хост-компьютер,  на  котором
они выполняются, - шлюзом прикладного уровня.
Шлюз    прикладного    уровня    исключает    прямое
взаимодействие  между  авторизированным  клиентом  и
внешним   хост-компьютером.   Шлюз   фильтрует   все
входящие  и исходящие пакеты  на прикладном уровне .
Связанные  с  приложением   серверы   –   посредники
перенаправляют через шлюз  информацию,  генерируемую
конкретными серверами.
  Для достижения более высокого уровня безопасности
и гибкости шлюзы прикладного  уровня  и  фильтрующие
маршрутизаторы  могут  быть   объединены   в   одном
межсетевом  экране.  В  качестве  примера  рассмотрю
сеть,   в    которой    с    помощью    фильтрующего
маршрутизатора   блокируются   входящие   соединения
TELNET   и   FTP.   Этот   маршрутизатор   допускает
прохождение пакетов TELNET или FTP только  к  одному
хост-компьютеру   -   шлюзу    прикладного    уровня
TELNET/FTP.  Внешний  пользователь,  который   хочет
соединиться с  некоторой  системой  в  сети,  должен
сначала соединиться со шлюзом прикладного уровня,  а
затем уже с нужным внутренним хост-компьютером.  Это
осуществляется следующим образом:
  1)  сначала  внешний  пользователь  устанавливает
TELNET-соединение со  шлюзом  прикладного  уровня  с
помощью протокола TELNET      и      вводит      имя
 интересующего    его   внутреннего хост-компьютера;
  2)  шлюз  проверяет  IP  –  адрес  отправителя  и
разрешает или запрещает  соединение в соответствии с
тем или иным критерием доступа
  3)     пользователю      может      потребоваться
аутентификация  (возможно,  с  помощью   одноразовых
паролей);
  4)   сервер-посредник    устанавливает    TELNET-
соединение   между   шлюзом   и   внутренним   хост-
компьютером;
  5)сервер    посредник    осуществляет    передачу
информации между этими двумя соединениями;
  6)   шлюз   прикладного    уровня    регистрирует
соединение.
  Этот  пример  наглядно  показывает   преимущества
использования полномочных серверов-посредников.
 .  Полномочные  серверы  -  посредники   пропускают
   только   те   службы,   которые    им    поручено
   обслуживать. Иначе говоря, если шлюзы прикладного
   уровня наделен  полномочиями  для  служб   FTP  и
   TELNET, то  в  защищаемой  сети  будут  разрешены
   только FTP и TELNE, а  все  другие  службы  будут
   полностью блокированы. Для некоторых  организаций
   такой вид безопасности  имеет  большое  значение,
   так как  он  гарантирует,  что  через  межсетевой
   экран будут  пропускаться  только  те  службы   ,
   которые считаются безопасными.

 .   Полномочные   серверы-посредники   обеспечивают
   возможность   фильтрации   протокола.   Например,
   некоторые межсетевые экраны,  использующие  шлюзы
   прикладного  уровня,  могут  фильтровать  FTP   –
   соединения и запрещать использование команды  FTP
   put,    что    гарантированно     не    позволяет
   ползователям записывать информацию  на  анонимный
   FTP-сервер.
      В дополнение к фильтрации пакетов многие шлюзы
прикладного  уровня  регистрируют  все   выполняемые
сервером   действия   и,   что    особенно    важно,
предупреждают сетевого  администратора  о  возможных
нарушениях   защиты.    Например,    при    попытках
проникновения  в  сеть  извне  BorderWare   Firewall
Server   компании   Secure    Computing    позволяет
фиксировать адреса отправителя и получателя пакетов,
время, в которое эти  попытки  были  предприняты,  и
используемый протокол. Межсетевой экран  Black  Hole
компании Milkyway Networks регистрирует все действия
сервера и предупреждает администратора  о  возможных
нарушениях, посылая  ему  сообщение  по  электронной
почте или на пейджер. Аналогичные функции  выполняют
и ряд других шлюзов прикладного уровня.
  Шлюзы  прикладного  уровня  позволяют  обеспечить
наиболее   высокий   уровень    защиты,    поскольку
взаимодействие с  внешним  миром  реализуется  через
небольшое  число  прикладных  полномочных  программ-
посредников, полностью контролирующих весь  входящий
и выходящий трафик.
  Шлюзы прикладного уровня имеют ряд преимуществ по
сравнению с обычным режимом, при котором  прикладной
трафик  пропускается  непосредственно  к  внутренним
хост-компьютерам. Перечислю эти преимущества.
 .  Невидимость   структуры   защищаемой   сети   из
   глобальной сети Internet. Имена внутренних систем
   можно не сообщать  внешним  системам  через  DNS,
   поскольку  шлюз  прикладного  уровня  может  быть
   единственным

1 2 3 4 5 След.

скачать работу

Отправка СМС бесплатно