40. Брандмауэр и маршрутизатор.
Брандмауэр и маршрутизатор, по сути, являются двумя самыми распространенными элементами защиты сетевого периметра. Далее основное внимание будет сконцентрировано на вопросах взаимодействия брандмауэра с маршрутизатором, а также на нескольких типичных примерах их конфигурации, обеспечивающей безопасность сети.
Рис. 9 иллюстрирует один из наиболее распространенных способов использования связки маршрутизатор-брандмауэр. Хосты корпоративной подсети используют только внутренним персоналом организации. Общедоступные сервера экранированной подсети доступны также из Интернет. В данном сценарии ни один из внутренних серверов корпоративной подсети не доступен из внешнего мира. Например, вместо того, чтобы для нужд внутреннего почтового сервера открыть в брандмауэре TCP-порт 25, SMTP-трафик перенаправляется через ретранслятор почты расположенный внутри экранированной подсети.
Основы фильтрации.
Маршрутизатор отвечает лишь за свои непосредственные функции маршрутизации, т.е. он обеспечивает канал связи локальной сети с Интернет. Но в большинстве случаев целесообразно использовать расширенные возможности маршрутизатора по фильтрации пакетов. Это позволяет отсеивать "бесполезные" пакеты, которые, как правило, ускользают от внимания брандмауэра, или не допускать во внутреннюю сеть заведомо нежелательные пакеты.
Рис. 9. Схема сети с маршрутизатором и развернутым за ним брандмауэром.
Отметим, что в рамках приведенной на рис. 9 схемы было бы нежелательно блокировать чрезмерно большое количество пакетов еще на уровне маршрутизатора, поскольку львиная доля такой работы лежит на брандмауэре. Кроме того, следствием блокировки основной массы пакетов средствами маршрутизатора является недостаточно подробная информация в log-файлах брандмауэра, что зачастую не позволяет провести качественный анализ происходящего.
Управление доступом.
В описанном выше сценарии зашиты брандмауэр несет на себе основную ответственность за контроль доступа. Именно здесь уместнее всего задать в качестве политики по умолчанию полную блокировку всего входящего трафика за исключением нескольких необходимых для нормальной работы протоколов. Брандмауэр в таком случае представляет собой перечень правил, определяющих политику безопасности с точки зрения нужд конкретно взятой сети. И в соответствии с данной точкой зрения, нужно, как минимум, обладать отличным пониманием нужд конкретной сети. Иначе реализация подобного брандмауэра превратится в неразрешимую задачу.
Помните, что размещение некоторых систем под прикрытием экранированной подсети в отдельных случаях является недопустимым. В частности, это может быть связано с нехваткой производительности брандмауэра, или же тем, что некоторые хосты, входящие в состав локальной сети, не вызывают такого большого доверия, чтобы располагать их на том же уровне защиты, что и важные серверы. В подобных случаях можно рассмотреть вариант помещения такой системы внутри самой демилитаризованной зоны, т.е. между пограничным маршрутизатором и брандмауэром. При этом для защиты такой системы от воздействия извне используются возможности фильтрации маршрутизатора, а для защиты корпоративной подсети применяется настроенный определенным образом брандмауэр.
Маршрутизатор в зоне контроля поставщика Интернет-услуг.
В некоторых случаях Интернет-провайдер вполне способен предоставить клиенту Ethernet-соединение со своим сетевым оборудованием. Это освобождает клиента от необходимости устанавливать и настраивать свой собственный пограничный маршрутизатор, но зато клиент не может вносить изменения в конфигурации принадлежащего провайдеру маршрутизатора. Другими словами, брандмауэр в таких случаях располагается сразу за маршрутизатором провайдера. В некотором отношении это упрощает задачу установки и настройки собственной сети хотя бы с той точки зрения, что в ней становится на один компонент меньше. Но, в то же время, нет никакой гарантии, что маршрутизатор провайдера настроен именно так, как этого хотелось бы. Описанная архитектура не очень отличается от рассмотренной ранее. А отсутствие контроля над маршрутизатором означает, что уровень защиты сети может не соответствовать тому уровню, который был бы при наличии собственноручно настроенного маршрутизатора.
Другими словами, главным ограничением подобной конфигурации является отсутствие полной информации о том, какой именно трафик блокируется маршрутизатором провайдера. Если провайдер позаботился о блокировке каких-то пакетов, то они никогда не попадут в log-файл локальной подсети. А раз так, то стоит обратиться к провайдеру с просьбой либо ослабить контроль трафика со стороны их маршрутизатора, либо предоставить log-файлы, возникающие в результате такого контроля.
Маршрутизатор без брандмауэра.
Корректно настроенный маршрутизатор вполне способен блокировать нежелательный трафик. Особенно в случае, когда для этого применяются так называемые рефлексивные списки доступа (reflexive access lists) или же речь идет о высокотехнологичных маршрутизаторах Cisco со встроенными функциями брандмауэра.
Не говоря уже о том, что достаточно типичным случаем является наличие в сети внутренних маршрутизаторов, не отделяющих сеть от внешнего мира. Ведь главной задачей любого маршрутизатора является соединение двух сетей между собой, а у компании вполне может быть потребность соединить между собой два сегмента локальной сети, не имеющих отношения к Интернету. Например, в том случае, когда организация обладает несколькими географически удаленными друг от друга сайтами, для их соединения между собой наверняка применяется именно маршрутизатор. В подобных случаях маршрутизатор лишен поддержки брандмауэра.
Блокировать те устройства, конфигурация которых связана с запретом ненужных служб и установкой списков доступа, нужно даже в тех случаях, когда речь идет о применении маршрутизаторов для глобальных приватных соединений типа T1 или frame relay. Такой шаг вполне соответствует концепции выше рассмотренной многоуровневой защиты, предназначенной оградить сеть от многочисленных потенциальных угроз извне.
- 1. Понятие информационной безопасности
- 2. Важность и сложность проблемы информационной безопасности
- 3. Основные составляющие информационной безопасности
- 4. Категории информационной безопасности
- 5. Требования к политике безопасности в рамках iso
- 6. Общие сведения о стандартах серии iso 27000
- Разработчики международных стандартов
- Русские переводы международных стандартов
- 7. Iso 15408 - Общие критерии оценки безопасности информационных технологий
- 8. Iso 18028 - Международные стандарты сетевой безопасности серии
- Iso/iec 18028-1:2006 Информационные технологии. Методы обеспечения безопасности. Сетевая ит безопасность. Управление сетевой безопасностью.
- Iso/iec 18028-5:2006 Информационные технологии. Методы обеспечения безопасности. Защита сетевых взаимодействий при помощи Виртуальных Частных Сетей
- 9. Российские стандарты гост
- 10. Модель сетевого взаимодействия
- 11. Модель безопасности информационной системы
- 12. Классификация криптоалгоритмов
- 13. Алгоритмы симметричного шифрования
- 14. Криптоанализ
- Дифференциальный и линейный криптоанализ
- 15. Используемые критерии при разработке алгоритмов
- 16. Сеть Фейштеля
- 17. Алгоритм des Принципы разработки
- Проблемы des
- 18. Алгоритм idea
- Принципы разработки
- Криптографическая стойкость
- 21. Создание случайных чисел
- 22. Требования к случайным числам
- Случайность
- Непредсказуемость
- Источники случайных чисел
- Генераторы псевдослучайных чисел
- Криптографически созданные случайные числа
- Циклическое шифрование
- Режим Output Feedback des
- Генератор псевдослучайных чисел ansi x9.17
- 23. Разработка Advanced Encryption Standard (aes) Обзор процесса разработки aes
- Обзор финалистов
- Критерий оценки
- Запасной алгоритм
- Общая безопасность
- 25. Основные способы использования алгоритмов с открытым ключом
- Алгоритм rsa
- 27. Алгоритм обмена ключа Диффи-Хеллмана
- 28. Транспортное кодирование
- 29. Архивация
- Требования к хэш-функциям
- 31. Цифровая подпись Требования к цифровой подписи
- Прямая и арбитражная цифровые подписи
- 32. Симметричное шифрование, арбитр видит сообщение:
- 33. Симметричное шифрование, арбитр не видит сообщение:
- 34. Шифрование открытым ключом, арбитр не видит сообщение:
- 35. Стандарт цифровой подписи dss
- Подход dss
- 36. Отечественный стандарт цифровой подписи гост 3410
- 37. Алгоритмы распределения ключей с использованием третьей доверенной стороны Понятие мастер-ключа
- 38. Протоколы аутентификации
- Взаимная аутентификация
- 39. Элементы проектирования защиты сетевого периметра.
- 40. Брандмауэр и маршрутизатор.
- 41. Брандмауэр и виртуальная частная сеть.
- 42. Многоуровневые брандмауэры.
- 43. Прокси-брандмауэры.
- 44.Типы прокси.
- 46.Недостатки прокси-брандмауэров.
- 48. Виртуальные локальные сети.
- 49. Границы виртуальных локальных сетей.
- 50. Частные виртуальные локальные сети.
- 51. Виртуальные частные сети.
- 52. Основы построения виртуальной частной сети.
- 53. Основы методологии виртуальных частных сетей.
- 54. Туннелирование.
- 55. Защита хоста.
- 56. Компьютерные вирусы
- Структура и классификация компьютерных вирусов
- 2.3.3. Механизмы вирусной атаки
- 58. Протокол ррр рар
- 59. Протокол ррр chap
- 60. Протокол ррр еар
- 68. Виртуального удаленного доступа
- 69. Сервис Директории и Служб Имен
- 70. По и информационная безопасность
- 71. Комплексная система безопасности. Классификация информационных объектов