ZASHTITNA STENA

http://www.citforum.ru/internet/securities/firewall.shtml

Zashtitnata stena predstavliava sistema ili kombinatsiia ot sistemi, pozvoliavashta razdelianeto na mrezhata na dve ili poveche chasti i realiziraneto na nabor ot pravila, opredeliashti usloviiata za preminavane na paketite ot ednata chast na mrezhata kum drugata (figura 1). Kato pravilo, tazi granitsa se prokarva mezhdu lokalnata mrezha i INTERNET, makar che e vuzmozhno da bude prokarana i vutre v samata lokalna mrezha. Po tozi nachin, zashtitnata stena propuska prez sebe si tseliiat trafik i za vseki preminavasht paket vzema reshenie dali da go propusne ili da go othvurli. Za da mozhe zashtitnata stena da vzima tezi resheniia, tia triabva da spazva opredelen nabor ot pravila. Za tova, kak se opisvat tezi pravila i kakvi parametri se izpolzvat pri tiahnoto opisanie shte stane duma po-dolu.

Obiknoveno, zashtitnite steni funktsionirat vurhu niakakva UNIX platforma – nai-chesto BSDI, SunOS, AIX, IRIX ili drugi, po-riadko – DOS, VMS, WNT, Windows NT. Ot aparatnite platformi se sreshtat INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, semeistvoto RISC protsesori R4400-R5000. Osven Ethernet, mnogo zashtitni steni poddurzhat FDDI, Token Ring, 100Base-T, 100VG-AnyLan, razlichni seriini ustroistva. Iziskvaniiata kum operativnata pamet i obema na tvurdiia disk zavisiat ot kolichestvoto mashini v zashtitavaniia segment ot mrezhata, no nai-chesto se preporuchvat ne po-malko ot 32 MB RAM i 500 MB HDD.

Po pravilo, v operatsionnata sistema, pod upravlenieto na koiato shte raboti zashtitnata stena se praviat izmeneniia, tselta na koito e povishavane na stepenta na zashtita na samata zashtitna stena. Tezi izmeneniia zasiagat kakto iadroto na operatsionnata sistema, taka i suotvetnite konfiguratsionni failove. Na samata zashtitna stena ne se pozvoliava da ima drugi potrebitelski akaunti (koeto oznachava po-malko potentsialni „dupki“) osven administratorskiia. Niakoi zashtitni steni mogat da rabotiat samo v ednopotrebitelski rezhim. Mnogo zashtitni steni imat sistemi za proverka tsialostta na programniia kod. Pri tova, kontrolnite sumi na programnite kodove se suhraniavat v zashtiteni mesta i se sravniavat pri puskaneto na programata za izbiagvane na podmianata na programno osiguriavane.

Zashtitnite steni mogat da se razdeliat na tri tipa:

• paketni filtri (packet filter);

• survuri v prilozhniia sloi (application gateways);

• survuri v transportniia sloi (circuit gateways).

Vsichkite tri tipa mogat da se sreshtat ednovremenno v edna zashtitna stena.

PAKETNI FILTRI

Zashtitnite steni s paketni filtri vzemat reshenie dali da propusnat ili othvurliat daden paket na osnovata na IP adres, razlichni flagove ili nomera na TCP portove ot zaglavnata chast na paketa. IP adresut i nomerut na porta sa informatsiia suotvetno ot mrezhoviia i transporten sloi, no paketnite filtri izpolzvat informatsiia i ot prilozhniia1 sloi, tui kato vsichki standartni uslugi v TCP/IP se asotsiirat s opredelen nomer na port.

Za opisvane na pravilata za preminavane na paketite se sustaviat tablitsi ot sledniia vid:

deistvie

tip na paketa

adres na iztochnika

port na iztochnika

adres na poluchatelia

port na poluchatelia

flagove

• Poleto "deistvie" mozhe da priema stoinosti „propusni“ ili „othvurli“;

• Tip na paketa - TCP, UDP ili ICMP;

• Flagove – flagovete ot zaglavnata chast na IP-paketa;

• Poletata "port na iztochnika" i "port na poluchatelia" imat smisul samo za TCP i UDP paketi.

SURVURI V PRILOZHNIQ SLOI

Zashtitnite steni, raboteshti v prilozhniia sloi izpolzvat survur za konkretni uslugi – TELNET, FTP i drugi (proxy server), startirani na zashtitnata stena i propuskashti prez sebe si tseliiat trafik, imasht otnoshenie kum dadenata usluga. Po tozi nachin, mezhdu klienta i survura se obrazuvat dve vruzki – ot klienta do zashtitnata stena i ot zashtitnata stena do krainoto mestonaznachenie.

Pulniiat nabor ot poddurzhanite survuri se razlichava pri vsiaka konkretna zashtitna stena, no nai-chesto se sreshtat survuri za slednite uslugi:

• terminali (Telnet, Rlogin);

• predavane na failove (FTP);

• elektronna poshta (SMTP, POP3);

• WorldWideWeb (HTTP);

• Gopher;

• Wais;

• X Window System (X11);

• Printer;

• Rsh;

• Finger;

• USENET (NNTP) i taka natatuk.

Izpolzvaneto na survuri v prilozhniia sloi pozvoliava da bude reshena edna vazhna zadacha – skrivaneto ot vunshnite potrebiteli na strukturata na lokalnata mrezha, vklyuchvashta informatsiia v zaglavnata chast na paketite ili na DNS. Drugo predimstvo e vuzmozhnostta za udostoveriavane2 na potrebitelsko nivo. Malko po-podrobno za udostoveriavaneto shte bude kazano po-nadolu v teksta.

Pri opisvaneto na pravilata za dostup se izpolzvat takiva parametri, kato ime na uslugata, ime na potrebitelia, pozvolen vremevi interval za izpolzvane na uslugata, kompyutri, ot koito mozhe da se izpolzva uslugata, shemi na udostoveriavane i dr. Survurite na protokoli ot prilozhniia sloi pozvoliavat postiganeto na nai-visoka stepen na zashtita – vzaimodeistvieto s vunshniia sviat se realizira chrez malko kolichestvo prilozhni programi, napulno kontrolirashti tseliiat vhodiasht i izhodiasht trafik.

SURVURI V TRANSPORTNIQ SLOI

Survurut v transportniia sloi predstavliava sam po sebe si translator na TCP vruzki. Potrebiteliat obrazuva vruzka s opredelen port ot zashtitnata stena, sled koeto tia obrazuva vruzka s mestonaznachenieto ot drugata strana na zashtitnata stena. Po vreme na sesiiata, tozi translator kopira baitovete v dvete napravleniia, deistvaiki kato provodnik.

Pravilo e, mestonaznachenieto da se zadava predvaritelno, dokato iztochnitsite mogat da budat mnogo (vruzki ot tip edin-mnogo). Izpolzvaiki razlichni portove mozhe da suzdavame razlichni konfiguratsii.

Takuv tip survur pozvoliava suzdavaneto za vseki konkreten potrebitel na takuv translator, osnovan na TCP protokola, kato po tozi nachin mozhem da kontrolirame dostupa do tazi usluga, da subirame statistika za neinoto izpolzvane i drugi.

SRAVNITELNI HARAKTERISTIKI

Po-dolu sa privedeni osnovnite predimstva i nedostatutsi na paketnite filtri i survurite ot prilozhnoto nivo spriamo edin drug:

Kum polozhitelnite kachestva na paketnite filtri mozhe da otnesem slednite:

• otnositelno niska tsena;

• guvkavost pri opredeliane na pravilata za filtrirane;

• niska latentnost pri preminavaneto na paketite.

Nedostatutsite na tozi tip zashtitni steni sa slednite:

• lokalnata mrezha se vizhda (marshrutizira se) ot INTERNET;

• pravilata za filtrirane na paketite sa trudni za opisvane, neobhodimo e mnogo dobro poznavane na tehnologiiata na TCP i UDP;

• pri narushavane na rabotosposobnostta na zashtitnata stena, vsichki kompyutri zad neia stavat ili napulno nezashtiteni ili nedostupni;

• udostoveriavaneto s IP adres, mozhe da bude izlugano s izpolzvane na IP-spoofing (atakuvashtata sistema se predstavia za druga, kato izpolzva neiniia IP adres);

• lipsva udostoveriavane na potrebitelsko nivo.

Kum predimstvata na survurite ot prilozhniia sloi triabva da otnesem slednite:

• lokalnata mrezha ne se vizhda ot INTERNET;

• pri narushavane rabotosposobnostta na zashtitnata stena, paketite prosto prestavat da preminavat prez neia, kato ne podlagat na zaplaha mashinite zad neia;

• zashtitata na nivo prilozheniia pozvoliava izvurshvaneto na goliamo kolichestvo dopulnitelni proverki, namaliavaiki po tozi nachin veroiatnostta ot probiv, predizvikan ot nalichieto na uiazvimosti v programnoto osiguriavane;

• s udostoveriavane na potrebitelsko nivo mozhe da bude realizirana sistema za ranno preduprezhdenie za narushiteli.

Nedostatutsi na tozi tip steni sa:

• po-visokata v sravnenie s paketnite filtri tsena;

• nevuzmozhnost za izpolzvane na protokolite RPC i UDP;

• po-niskata proizvoditelnost v sravnenie s paketnite filtri.

VIRTUALNI MREZHI

Osven vsichko opisano dotuk, niakoi zashtitni steni pozvoliavat organiziraneto na virtualni korporativni mrezhi (Virtual Private Network) toest obediniavaneto na niakolko lokalni mrezhi, svurzani kum INTERNET v edna virtualna mrezha. Tia pozvoliava organiziraneto na prozrachno za potrebitelite svurzvane na lokalnite mrezhi, zapazvaiki konfidentsialnostta i tsialostta na predavanata informatsiia s pomoshtta na kriptografiia, kato pri predavane na informatsiiata prez INTERNET se kriptirat ne samo dannite na potrebitelia, no i mrezhovata informatsiia – mrezhovi adresi, nomera na portove i t. n.

SHEMI NA VKLYUCHVANE

Za vklyuchvane na zashtitnite steni se izpolzvat razlichni shemi. Tia mozhe da se izpolzva kato vunshen marshrutizator, izpolzvaiki poddurzhanite tipove ustroistva za svurzvane kum vunshnata mrezha (pogledni figura 1). Poniakoga se izpolzva shemata, pokazana na figura 3, no tia triabva da se izpolzva samo v kraen sluchai, tui kato iziskva mnogo tochno konfigurirane na marshrutizatorite i dazhe drebni greshki mogat da predizvikat golemi probivi v zashtitata.

Ako zashtitnata stena mozhe da poddurzha dva Ethernet interfeisa (taka narechenite dual-homed firewall), to nai-chesto svurzvaneto se osushtestviava prez vunshen marshrutizator (figura 4).

Pri tova, mezhdu vunshniiat marshrutizator i zashtitnata stena ima samo edin put, po koito preminava tseliia trafik. Obiknoveno marshrutizatora se konfigurira po takuv nachin, che edinstveno zashtitnata stena da mozhe da se vizhda izvun mashinata. Tazi shema e nai-predpochitana ot gledna tochka na sigurnostta i nadezhdnostta na zashtitata.

Na figura 5 e predstavena druga shema,

pri koiato zashtitnata stena zashtitava samo edna ot niakolkoto podmrezhi, izlizashti ot marshrutizatora. V nezashtitenata ot zashtitnata stena oblast se razpolagat survurite, koito triabva da budat vizhdani otvun (WWW, FTP etc). Niakoi zashtitni steni predlagat da razpolozhat tezi survuri na sushtata mashina, na koiato se namira samata zashtitna stena, no tova e reshenie, koeto ne e nai-dobro ot gledna tochka na natovarvane na mashinata i sigurnost na samata zashtitna stena.

Sushtestvuvat resheniia (figura 6), pozvoliavashti organiziraneto za survurite, koito triabva da se vizhdat otvun, na treta mrezha3 – tova pozvoliava osiguriavaneto na kontrol vurhu tiah, zapazvaiki v sushtoto vreme neobhodimoto nivo na zashtita na mashinite ot osnovnata mrezha

Pri tova se otdelia dostatuchno vnimanie na tova, potrebitelite ot vutreshnata mrezha da ne mogat, sluchaino ili umishleno, da otkriiat dupka v lokalnata mrezha prez tezi survuri. Za povishavane na nivoto na zashtita e vuzmozhno izpolzvaneto v edna mrezha na niakolko zashtitni steni, razpolozheni edna zad druga.

ADMINISTRIRANE

Lekotata na administrirane e edin ot klyuchovite aspekti v suzdavaneto na efektivna i nadezhdna sistema za zashtita. Greshkite pri opredelianeto na pravilata za dostup mogat da dovedat do obrazuvane na „dupka“, prez koiato sistemata da bude probita. Zatova v povecheto zashtitni steni sa realizirani servizni programi, ulesniavashti vuvezhdaneto, otstraniavaneto i pregleda na naborite ot pravila. Nalichieto na takiva programi pozvoliava da se izvurshvat i proverki za sintaktichni ili logicheski greshki pri vuvezhdaneto ili redaktsiiata na pravilata. Obiknoveno, tezi programi pozvoliavat preglezhdaneto na informatsiiata, grupirana po niakakvi kriterii – naprimer vsichko, koeto se otnasia do konkreten potrebitel ili usluga.

SISTEMI ZA SUBIRANE NA STATISTIKA I PREDUPREZHDENIE ZA ATAKI

Oshte edin vazhen komponent na zashtitnata stena e sistemata za subirane na statistika i preduprezhdenie za ataka. Informatsiiata za vsichki subitiia – otkazi, vhodiashti i izhodiashti vruzki, broi na predadeni baitove, izpolzvani uslugi, produlzhitelnost na svurzvane i dr., se natrupvat vuv dnevnitsite za statistika. Mnogo zashtitni steni pozvoliavat guvkavo da se opredeliat podlezhashtite na protokolirane subitiia, opisvane deistviiata na zashtitnata stena pri ataki ili opiti za nepozvolen dostup – tova mozhe da bude suobshteno na konzolata, da bude izpratena elektronna poshta do administratora na sistemata i dr. Nezabavnoto pokazvane na suobshtenie za opit za probiv na ekrana na konzolata ili izprashtane na pismo do administratora, mozhe da pomogne, ako opitut za pronikvane e bil uspeshen i atakuvashtiiat veche e v sistemata. V sustava na mnogo zashtitni steni vlizat generatori na otcheti, izpolzvani za obrabotka na subranite statisticheski danni. Te pozvoliavat da se subere statistika za izpolzvanite resursi ot konkretni potrebiteli, za izpolzvanite uslugi, otkazi, iztochnitsi, ot koito sa provezhdani opiti za nepozvolen dostup i dr.

UDOSTOVERQVANE

Udostoveriavaneto (authentication) e edin ot nai-vazhnite komponenti na zashtitnata stena. Predi na potrebitelia da bude dadeno pravoto da izpolzva edna ili druga usluga, triabva da se ubedim, che toi deistvitelno e tozi, za kogoto se predstavia (predpolagame, che tazi usluga e pozvolena za izpolzvane ot potrebitelia. Protsesut na opredeliane koi uslugi sa pozvoleni, se naricha upulnomoshtavane (authorisation). To obiknoveno se razglezhda v konteksta na udostoveriavaneto – vednaga sled kato potrebitelia bude identifitsiran uspeshno, se opredeliat pozvolenite mu uslugi). Pri poluchavane na zaiavka za izpolzvane na niakakva usluga ot imeto na niakakuv potrebitel, zashtitnata stena proveriava kakuv metod za udostoveriavane e opredelen za tozi potrebitel i predava upravlenieto na survura za udostoveriavane. Sled poluchavane na polozhitelen otgovor, zashtitnata stena obrazuva poiskanata ot potrebitelia vruzka.

Kato pravilo se izpolzva printsipa, poluchil imeto „kakvoto znae toi“ toest potrebitelia znae niakakva taina duma, koiato izprashta za udostoveriavane na survura v otgovor na negovoto zapitvane.

Edna ot shemite za udostoveriavane izpolzva standartnite paroli v UNIX, no tia e nai-uiazvima ot gledna tochka na sigurnostta – parolata mozhe da bude prehvanata i izpolzvana ot chuzhdi hora.

Nai-chesto se izpolzvat shemi s ednokratni paroli. Dazhe i da budat prehvanati, tezi paroli shte budat bezpolezni pri sledvashtata registratsiia, a poluchavaneto na sledvashtata parola ot veche prehvanatata e izvunredno trudna zadacha. Za generirane na ednokratni paroli se izpolzvat kakto programni, taka i aparatni generatori – poslednite predstavliavat ustroistva, montirani v svoboden slot na kompyutura. Za puskane na takova ustroistvo v deistvie e neobhodimo potrebiteliat da znae suotvetnata parola. Reditsa zashtitni steni poddurzhat Kerberos – edin ot nai-razprostranenite metodi4 za udostoveriavane. Niakoi shemi iziskvat promeni v klientskoto programno osiguriavane – stupka, koiato ne vinagi e priemliva. Kato pravilo, komersialnite zashtitni steni poddurzhat niakolko razlichni shemi, davashti na administratora vuzmozhnost za izbor na nai-priemlivata za negovite usloviia.

prevod: Nikolai Angelov

hudozhnik i redaktor: Nikolai Popov

1 mrezhoviiat, transportniiat i prilozhniiat sloi sa chasti ot modela OSI, koito predstavliava obsht komunikatsionen model po otnoshenie na razlichnite niva na komunikatsiia sus sedem sloina struktura

2 v dadeniia sluchai udostoveriavaneto e protses na potvurzhdavane dali potrebitelia naistina e tozi, za koito se predstavia

3 chesto narichana DMZ – demilitarizirana zona

4 tuk avtorite malko oburkvat terminite – kerberos ne e metod, a protokol za udostoveriavane. tezi, koito iskat da nauchat poveche za nego, mogat da zapochnat ot „Kerberos FAQ, v2.0“

<< Za avtorskoto pravo ... | NT vs UNIX ot gledna tochka na sigurnostta >>