6.3 Система Firewall

З огляду на важливість проблеми захисту, розроблена спеціальна система firewall ( вогняна стіна)

З огляду на важливість проблеми захисту, розроблена спеціальна система firewall ( "вогняна стіна"). Система firewall замінює маршрутизатор або зовнішній порт мережі (gateway). Захищена частина мережі розміщується за ним. Пакети, адресовані Firewall, обробляються локально, а не просто переадресовуються. Пакети ж, які адресовані об'єктам, розташованим за Firewall, не доставляються. З цієї причини хакер змушений мати справу з системою захисту ЕОМ Firewall. Схема взаємодії Firewall з локальною мережею і зовнішнім Інтернет показана на рис. 6.3.1.

Мал. 6.3.1. схема Firewall

Така схема простіше і надійніше, так як слід дбати про захист однієї машини, а не багатьох. Екран, маршрутизатор і ЕОМ управління екраном об'єднані невеликий, незахищеною локальною мережею. Основні операції по захисту здійснюються тут на IP-рівні. Цю схему можна реалізувати і на одній ЕОМ, забезпеченою двома інтерфейсами. При цьому через один інтерфейс здійснюється зв'язок з Інтернет, а через другий - з захищеною мережею. Така ЕОМ поєднує функції маршрутизатора-шлюзу, екрану і управління екраном. Можлива реалізація Firewall, показана на рис 6.3.2. Тут функція екрану виконується маршрутизатором.

Тут функція екрану виконується маршрутизатором

Мал. 6.3.2. Схема Firewall, де функцію екрану виконує маршрутизатор

У цій схемі доступ з Інтернету можливий тільки до проксі-сервера, ЕОМ з захищеної мережі можуть отримати доступ до Інтернет теж тільки через проксі-сервер. Жоден пакет посланий з захищеної ЕОМ не може потрапити в Інтернет і, аналогічно, жоден пакет з Інтернет не може потрапити безпосередньо захищеної ЕОМ. Можливі й інші більш витончені схеми, наприклад з другим "внутрішнім" Firewall для захисту від внутрішніх загроз.

Недоліки FireWall походять від її переваг, ускладнюючи доступ ззовні, система робить важким і доступ назовні. З цієї причини система FireWall повинна виконувати функції DNS (сервера імен) для зовнішнього світу, не видаючи ніякої інформації про імена або адреси внутрішніх об'єктів, функції поштового сервера, підтримуючи систему псевдонімів для своїх клієнтів. Псевдоніми не розкриваються при посилці поштових повідомлень у зовнішній світ. Служба FTP в системі може й не бути, але якщо вона є, доступ можливий тільки в сервер FireWall і з нього. Внутрішні ЕОМ не можуть встановити пряму FTP-зв'язок ні з якою ЕОМ з зовнішнього світу. Процедури telnet і rlogin можливі тільки шляхом входу в сервер FireWall. Послуги типу NFS, rsh, rcp, finger і т.д. не допускаються. Жодна з ЕОМ в захищеній мережі не може бути виявлена ​​за допомогою PING (ICMP) ззовні. І навіть всередині мережі будуть можливі тільки певні види трафіку між строго визначеними машинами. Зрозуміло, що в цілях безпеки захищена мережа не може мати виходів у зовнішній світ крім системи екран, в тому числі і через модеми. Екран конфигурируется так, щоб маршрут за замовчуванням вказував на захищену мережу. Екран не приймає і не обробляє пакети внутрішніх протоколів маршрутизації (наприклад, RIP). ЕОМ з захищеної мережі може адресуватися до екрану, але при спробі направити пакет з адресою з зовнішньої мережі буде виданий сигнал помилки, так як маршрут за замовчуванням вказує назад в захищену мережу. Для користувачів захищеної мережі створюються спеціальні входи для FTP (див. Бібліографію розділу 6 "Мережева безпека в Інтернет" ), Telnet та інших послуг. При цьому не вводиться будь-яких обмежень з транспортування файлів в захищену мережу і блокується передача будь-яких файлів з цієї мережі, навіть в разі, коли ініціатором FTP-сесії є клієнт захищеної мережі. Єдині протоколи, яким завжди дозволений доступ до ЕОМ Firewall є SMTP (електронна пошта) і NNTP (служба новин). Зовнішні клієнти Інтернет не можуть отримати доступу до жодної з захищених ЕОМ ні через один з протоколів. Якщо потрібно забезпечити доступ зовнішнім користувачам до якихось даних або послуг, для цього можна використовувати сервер, підключений до незахищеної частини мережі (або скористатися послугами ЕОМ управління екраном, що небажано, тому що знижує безпеку). ЕОМ управління екраном може бути налаштована так, щоб не сприймати зовнішні (що приходять не з захищеної мережі) запити типу FTP, telnet та ін., Це додатково підвищить безпеку. Стандартна система захисту тут часто доповнюється програмою wrapper (див. Розділ 6 "Мережева безпека в Інтернет"). Чималу користь може надати і хороша система реєстрації всіх мережевих запитів. Системи FireWall часто використовуються і в корпоративних мережах, де окремі частини мережі віддалені один від одного. У цьому випадку в якості додаткової міри безпеки застосовується шифрування пакетів. Система FireWall вимагає спеціального програмного забезпечення. Слід мати на увазі, що складна і дорога система FireWall не захистить від "внутрішніх" зловмисників. Потрібно ретельно продумати систему захисту модемних каналів (сама система FireWall на них не поширюється, так як це не зовнішня частина мережі, а просто віддалений термінал).

Якщо Вам потрібна додаткова ступінь захисту, при авторизації користувачів в захищеній частині мережі можуть використовуватися апаратні засоби ідентифікації, а також шифрування імен і паролів.

При виборі тієї чи іншої системи Firewall слід враховувати ряд обставин.

  1. Операційна система
  2. . Існують версії Firewall, що працюють з UNIX і Windows NT. Деякі виробники модифікують ОС з метою посилення безпеки. Вибирати слід ту ОС, яку ви знаєте краще.
  3. робочі протоколи
  4. . Все Firewall можуть працювати з FTP (порт 21), e-mail (порт 25), HTTP (порт 80), NNTP (порт 119), Telnet (порт 23), Gopher (порт 70), SSL (порт 443) і деякими іншими відомими протоколами. Як правило, вони не підтримують SNMP.
  5. типи фільтрів
  6. . Мережеві фільтри, що працюють на прикладному рівні проксі-сервера, надають адміністратору мережі можливість контролювати інформаційні потоки, що проходять через Firewall, але вони мають не надто високою швидкодією. Апаратні рішення можуть пропускати великі потоки, але вони менш гнучкі. Існує також "схемний" рівень проксі, який розглядає мережеві пакети, як чорні ящики і визначає, пропускати їх чи ні. Відбір при цьому здійснюється за адресами відправника, одержувача, номерам портів, типам інтерфейсів і деяких полях заголовка пакета.
  7. Система реєстрації операцій
  8. . Практично всі системи Firewall мають вбудовану систему реєстрації всіх операцій. Але тут буває важливо також наявність коштів для обробки файлів з такого роду записами.
  9. адміністрування
  10. . Деякі системи Firewall забезпечені графічними інтерфейсами користувача. Інші використовують текстові конфігураційні файли. Більшість з них допускають віддалене управління.
  11. простота
  12. . Хороша система Firewall повинна бути простою. Проксі-сервер (екран) повинен мати зрозумілу структуру і зручну систему перевірки. Бажано мати тексти програм цієї частини, так як це додасть їй довіри.
  13. туннелирование
  14. . Деякі системи Firewall дозволяють організовувати тунелі через Інтернет для зв'язку з віддаленими філіями фірми або організації (системи Інтранет). Природно, що інформація з цих тунелях передається в зашифрованому вигляді.

Інформацію по системам Firewall можна знайти за наступними адресами.

URL

зміст

http://search.netscape.com/eng/mozilla/2.0/relnotes/demo/proxy-live.html

Автоматична конфігурація проксі для Netscape і Microsoft браузерів

http://www.software.digital.com

Alta Vista Firewall

http://www.cyberguardcorp.com/

CyberGuard Firewall

http://www.raptor.com/

Eagle Firewall

http://www.checkpoint.com/

Firewall-1

http://www.tis.com/

Gauntlet Firewall

http://www.on.com/

ON Guard Firewall

http://www.sctc.com

BorderWare Firewall

ftp://ftp.nec.com/pub/socks/

SOCKS проксі

ftp://ftp.tis.com/pub/firewalls/toolkit

Засоби для роботи з Firewall

[email protected]

Підписний лист з проблематики Firewall. Для підписки в тіло повідомлення слід помістити subscribe firewall. Там же є архів: http://www.greatcircle.com/firewalls