Шлюзы прикладного и сетевого уровня.
Для устранения некоторых недостатков, присущих фильтрующим маршрутизаторам, Firewallдолжны использовать дополнительное программное обеспечение для фильтрации сообщений службах типа TELNETи FTP . Такие приложения называются полномочными службами, а хост, на котором они выполняются —шлюзом прикладного уровня. Шлюзы прикладного уровня и фильтрующие маршрутизаторы можно объединять в одном хосте, чтобы обеспечить более высокий уровень безопасности и гибкости, чем при использовании каждого из них в отдельности.
В качестве примера рассмотрим сеть, блокирующую доступ извне через TELNETи FTPс помощью фильтрующего маршрутизатора. Маршрутизатор допускает прохождение пакетов TELNETи FTPтолько к одному хосту, а именно, к шлюзу прикладного уровня TELNET/FTP.Пользователь, который хочет соединиться с сетью, должен сначала соединиться со шлюзом прикладного уровня, а затем с портом приемника. Это происходит следующим образом:
пользователь осуществляет соединение со шлюзом прикладного уровня с помощью протокола TELNETи запрашивает интересующий его внутренний хост,
шлюз проверяет IPадрес источника и принимает или отвергает его в соответствии с используемой политикой доступа,
пользователю может потребоваться аутентифицировать себя,
полномочная служба устанавливает соединение TELNET между шлюзом и внутренним хостом,
в ходе всего сеанса передача информации ведется через полномочную службу, , шлюз прикладного уровня регистрирует соединение. Этот пример демонстрирует преимущества использования полномочных служб.
Во-первых, полномочные службы пропускают только определенные службы. Другими словами, если шлюз прикладного уровня обладает полномочиями для реализации FTPи TELNET,то в защищенной подсети допускаются только FTPи TELNET,а все другие службы полностью блокируются. Для некоторых сетей такой уровень безопасности имеет большое значение, поскольку он гарантирует, что через Firewallпроходят только те службы, которые считаются надежными. Он также предотвращает реализацию других ненадежных служб без ведома администратора Firewall.
Во-вторых, преимуществом использования полномочных служб является возможность фильтрации протокола. Например, некоторые Firewallспособны фильтровать соединения FTPи запрещать использование команды FTP put,чтобы пользователи поместить информацию в сервер FTP.
Шлюзы прикладного уровня обладают рядом общих преимуществ по сравнению с методом разрешения передачи прикладного трафика непосредственно к внутренним хостам. Среди них:
скрытие информации; имена внутренних систем не обязательно сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, доступным извне,
отказоустойчивые аутентификация и регистрирование; можно выполнить предварительную аутентификацию прикладного трафика, прежде чем он достигнет внутренних хостов, и он может регистрироваться более эффективно, чем с помощью стандартной регистрации,
низкие затраты; поскольку программное или аппаратное обеспечение аутентификации или регистрирования необходимо размещать только на шлюзе прикладного уровня,
несложные правила фильтрации; правила, которым подчиняется фильтрующий маршрутизатор, являются менее сложными, чем если бы маршрутизатор фильтровал прикладной трафик и направлял его целому ряду систем. Маршрутизатор должен разрешать прикладной трафик, предназначенный только для шлюза прикладного уровня, и запрещать все остальные.
Недостатком шлюзов прикладного уровня является то, что в случае реализации протоколов типа клиент-сервер, например, TELNET,для входных и выходных соединений требуются два этапа. Некоторые такие шлюзы требуют модификации программ-клиентов, что можно рассматривать и как преимущество, и как недостаток, в зависимости от того, облегчает или затрудняет модификация клиентов использование Firewall.Для шлюза прикладного уровня TELNETне обязательно нужен модифицированный клиент, однако для него необходим другой порядок работы пользователя, а именно: пользователь должен соединяться с firewall (HOне входить в него), вместо того чтобы соединяться непосредственно с хостом. Модифицированный клиент TELNETможет сделатьFirewallпрозрачным, разрешая пользователю указывать в команде TELNETсистему-приемник, а не Firewall.Поведение пользователя остается неизменным, однако сохраняется оно за счет модификации программы-клиента в каждой системе.
Помимо TELNET,шлюзы прикладного уровня обычно используются для FTPи электронной почты, для Х Windowsи некоторых других служб. Некоторые прикладные шлюзы FTP могут запрещать для определенных хостов команды putиget.Например, внешний пользователь, установивший сеансFTP(через шлюз прикладного уровня FTP)с внутренней системой может попытаться загрузить файлы на сервер. Шлюз прикладного уровня может профильтровать протокол и запретить все команды putна сервер FTP,что должно обеспечить большую уверенность, чем в случае, когда полагаются только на корректность допуска к серверу FTP.
Шлюз прикладного уровня электронной почты служит для централизованного сбора электронной почты и распределения ее внутренним хостам и пользователям. Для внешних пользователей все внутренние пользователи должны иметь адреса электронной почты следующего вида: user@emailhost,
где emailhost —это имя шлюза электронной почты. Шлюз должен принимать почту от внешних пользователей и отправлять ее по необходимости дальше к другим внутренним системам. Пользователи, посылающие электронную почту из внутренних систем, могут отправлять ее прямо со своих хостов, или, в том случае, когда имена внутренней системы неизвестны вне защищенной подсистемы, на шлюз прикладного уровня, который затем пересылает ее хосту-приемнику.
Еще один компонент Firewall —шлюз сетевого уровня. Шлюз сетевого уровня передает сообщения TCP,но не осуществляет дополнительной обработки или фильтрации протоколов. Например, рассмотренный выше пример шлюза прикладного уровня TELNET,может быть примером шлюза сетевого уровня, поскольку, как только связь между источником и приемником установлена, Firewallпросто передает информацию между системами. Другой пример шлюза сетевого уровня касается NNTP,когда сервер NNTP соединяется с Firewall,а затем с последним соединяются клиенты NNTPвнутренней системы. Firewallв этом случае также просто передает информацию.
- Сборник информационных материалов по курсу «Защита информации и информационная безопасность»
- Вопрос 1.
- Основные понятия безопасности компьютерных систем.
- Современные программные угрозы информационной безопасности.
- Компьютерные вирусы.
- Троянские кони (программные закладки).
- Средства нарушения безопасности компьютерных сетей
- Вопрос 2.
- Угроза раскрытия
- Угроза целостности
- Угроза отказа служб
- Субъекты, объекты и доступ
- Уровни безопасности, доверие и секретность
- Вопрос 3.
- Объектно-концептуальная модель рпс.
- Пространство отношений доступа к объектам вс.
- Использование понятия легитимности при построении модели безопасности вс.
- Вопрос 4. Классификация удаленных атак на компьютерные сети Понятие удаленной атаки
- Вопрос 5. Политики и модели безопасности
- Модели дискретного доступа
- Модели мандатного доступа
- Модель Белла и Лападула
- Удаленное чтение
- Доверенные субъекты
- Проблема системы z
- Модель системы безопасности с полным перекрытием
- Модели контроля целостности
- Модель понижения уровня субъекта
- Модель понижения уровня объекта
- Объединение моделей безопасности
- Проблемы контроля целостности ядра системы
- Вопросы 6 и 7. Методы анализа безопасности программного обеспечения.
- Контрольно-испытательные методы анализа безопасности по.
- Логико-аналитические методы анализа безопасности по.
- Вопрос 8. Анализ novell netware с точки зрения таксономии причин нарушения информационной безопасности
- Неправильное внедрение модели безопасности
- 1. Отсутствие подтверждения старого пароля при его смене.
- 2. Недостатки в реализации опций Intruder detection и Force periodic password changes.
- 3. Слабое значение идентификатора супервизора.
- 4. Право на создание файлов в каталоге sys:mail.
- 5. Ненадежность атрибута «только для выполнения».
- 6. Получение прав пользователя сервером очереди.
- 1. Возможность обращения хэш-функции
- 2. Атака с использованием сервера печати.
- 3. Использование состояния отсутствия информации.
- 1. Приведение базы данных связок в неработоспособное состояние.
- 2. Недостатки механизма подписи пакетов.
- 1. Передача нешифрованных паролей программой syscon.
- Ошибки в администрировании системы
- 1. Наличие права на запись в системный каталог
- 2. Наличие права на чтение sys:system
- Вопросы 9-10. Механизмы реализации основных типов удаленных атак
- 1. Анализ сетевого трафика.
- 6. Сетевой червь (worm).
- Вопрос 11. Удаленные атаки на ос novell netware 3.12
- 2. Ложный сервер сети Novell NetWare 3.12.
- Вопрос 13. Удаленные атаки на хосты internet
- 1. Исследование сетевого трафика сети Internet.
- 2. Ложный arp-сервер в сети Internet.
- 3. Ложный dns-сервер.
- 4. Навязывание хосту ложного маршрута с помощью протокола icmp для создания в сети ложного маршрутизатора.
- 5. Подмена одного из участников сетевого обмена в сети при использовании протокола tcp.
- 6. Использование недостатков идентификации tcp-пакетов для атаки на rsh-сервер.
- Вопросы 14 – 16. Использование систем firewall
- Достоинства применения Firewall.
- Недостатки, связанные с применением Firewall.
- Структура и функционирование Firewall.
- Принципы работы Firewall.
- Режим доступа к службам.
- Усиленная аутентификация.
- Фильтрация пакетов.
- Шлюзы прикладного и сетевого уровня.
- Вопросы 17-21. Основные схемы защиты на основе Firewall.
- Firewall — маршрутизатор с фильтрацией пакетов.
- Firewallна основе шлюза.
- Экранированный шлюз.
- Firewall –экранированная подсеть.
- Объединение модемного пула с Firewall
- Вопрос 22. Особенности защиты сетей на основе Firewall
- Этапы разработки политики доступа к службам.
- Гибкость политики.
- Обеспечение Firewall.
- Администрирование Firewall.