Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по тому, на каком уровне производится фильтрация — канальном, сетевом, транспортном или прикладном. Соответственно можно говорить об экранирующих концентраторах, о маршрутизаторах, транспортном экранировании и прикладных экранах. Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях.
318
При принятии решения «пропустить/не пропустить» межсетевые экраны могут использовать не только информацию, содержащуюся в фильтруемых потоках, но и данные, полученные из окружения, например текущее время.
Таким образом, возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Чем выше уровень в модели ISO/OSI, на котором функционирует экран, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее экран может быть сконфигурирован. В то же время фильтрация на каждом из перечисленных выше уровней обладает своими достоинствами, такими как низкая стоимость, высокая эффективность или прозрачность для пользователей. В большинстве случаев используются смешанные конфигурации, в которых объединены разнотипные экраны. Наиболее типичным является сочетание экранирующих маршрутизаторов и прикладного экрана с внешними и внутренними сетями, схема соединения которых приведена на рис. 5.9.
Приведенная конфигурация называется экранирующей подсетью. Как правило, сервисы, которые организация предоставляет
Площадка 1
Рис. 5.8. Схема экранирования корпоративной сети, состоящей из нескольких территориально разнесенных сегментов (площадок), каждый из которых подключен к сети общего пользования
319
Внешняя сеть (Интранет)
Экранируемая подсеть
Внешний экранирующий маршрутизатор
Прикладной экран
Внешний экранирующий маршрутизатор
Внутрення сеть
Рис. 5.9. Схема соединения экранирующих маршрутизаторов и прикладного экрана с внешними и внутренними сетями
для внешнего применения (например, представительский Web-сервер), целесообразно выносить как раз в экранирующую подсеть.
Помимо выразительных возможностей и допустимого числа правил качество межсетевого экрана определяется еще двумя характеристиками: простотой применения и собственной защищенностью. В плане простоты использования первостепенное значение имеют наглядный интерфейс при задании правил фильтрации и возможность централизованного администрирования составных конфигураций. В свою очередь, в последнем аспекте выделяют средства централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. Важен и централизованный сбор, и анализ регистрационной информации, а также получение сигналов о попытках выполнения действий, запрещенных стратегией безопасности.
Собственная защищенность межсетевого экрана обеспечивается теми же средствами, что и защищенность универсальных систем. При выполнении централизованного администрирования следует еще позаботиться о защите информации от пассивного и активного прослушивания сети, т.е. обеспечить целостность и конфиденциальность информации.
Природа экранирования (фильтрации) как механизма безопасности очень глубока. Помимо блокирования потоков данных, нарушающих стратегию безопасности, межсетевой экран может скрывать информацию о защищаемой сети, тем самым затрудняя
320
действия потенциальных злоумышленников. Так, прикладной экран может осуществлять действия от имени субъектов внутренней сети, в результате чего из внешней сети кажется, что имеет место взаимодействие исключительно с межсетевым экраном. Такая схема истинных и кажущихся информационных потоков представлена на рис. 5.10. При таком подходе топология внутренней сети скрыта от внешних пользователей, поэтому задача злоумышленника существенно усложняется.
Более общим методом сокрытия информации о топологии защищаемой сети является трансляция внутренних сетевых адресов, которая попутно решает проблему расширения адресного пространства, выделенного организации.
Ограничивающий интерфейс также можно рассматривать как разновидность экранирования. На невидимый объект трудно нападать, особенно с помощью фиксированного набора средств. В этом смысле Web-интерфейс обладает естественной защитой, особенно в том случае, когда гипертекстовые документы формируются динамически. Каждый видит лишь то, что ему положено. Экранирующая роль Web-сервиса наглядно проявляется и тогда, когда этот сервис осуществляет посреднические (точнее, интегрирующие) функции при доступе к другим ресурсам, в частности к таблицам базы данных. Здесь не только контролируются потоки запросов, но и скрывается реальная организация баз данных.
Безопасность программной среды может быть обеспечена применением активных агентов (когда между компьютерами передаются не только пассивные, но и активные исполняемые данные, т.е. программы). Первоначальная цель — уменьшить сетевой трафик, выполняя основную часть обработки там, где располагаются данные (приближение программ к данным). На практике это означает перемещение программ на серверы. Классический пример реализации подобного подхода — это хранимые процедуры в реляционных СУБД.
