Межсетевой экран (брандмауэр, firewall)
О межсетевых экранах (МСЭ) организация обычно задумывается в двух случаях:
- при появлении постоянного прямого выхода в Интернет, имеющего соединение с локальной сетью;
- при организации взаимодействия со своими удаленными филиалами в режиме он-лайн с использованием сети широкого доступа (выделенных или коммутируемых телефонных линий, беспроводного или спутникового канала и т. п.).
Классификация МСЭ
Для того чтобы определить, какой МСЭ необходим, нужно знать принципы работы конкретных моделей, на которые можно ориентироваться. Существуют различные классы МСЭ, выделим три наиболее часто встречающихся в настоящее время.
Пакетный фильтр (packet filter, screening filter)
Пакетный фильтр в чистом виде — это устройство, которое фильтрует (пропускает или отклоняет) сетевые пакеты на основе предопределенных данных о сетевых (IP) адресах источника или получателя. Однако в виде независимых программно-аппаратных комплексов МСЭ этого типа уже давно не встречаются в основном по причине недостаточной функциональности (например, легкости подмены адресов «спуффинга» для протоколов без установления соединений - IP, UDP). В настоящее время пакетным фильтром можно назвать маршрутизатор с функциями МСЭ этого уровня (англ. firewall option pack, firewall feature set). При этом, возможно, сам маршрутизатор выполняет более сложные функции — анализ пакетов на транспортном уровне с учетом портов обращений, сокрытие внутренних адресов сети, на границе которой он находится (англ. Network Address Translation), сокрытие портов обращений (англ. Port Address Translation), формирование групп доступа по сетевым адресам с более сложным разграничением доступа (отдельных адресов к отдельным службам), расширенные возможности аутентификации (поддержка протоколов RADUIS, TACACS), дифференцирование сетевых интерфейсов, как "опасный"/"безопасный" и т. п. Иногда в подобный модуль встраиваются дополнительные "узконаправленные" анализаторы для предотвращения отдельных классов атак, например, на отказ в обслуживании (ping-of-death, SYN-flood и т. д.).
Перечисленные возможности являются базовыми для современных МСЭ и встречаются и в двух других классах МСЭ. Однако для данного уровня (пакетный фильтр) функциональность анализа трафика ограничивается транспортным уровнем. Фильтр обрабатывает каждый очередной пакет совершенно независимо: он не знает, какие пакеты проходили по каналу до него (рис. 23.2). Вся информация, на основе которой принимается решение разрешения/отказа, извлекается только из исследуемого в данный момент пакета: из его сетевого и транспортного заголовков. Это позволяет свести задействованные МСЭ ресурсы оперативной памяти и процессора к минимуму, но не позволяет излагать в правилах фильтрации законы и логику более высокого уровня.
Нельзя однозначно отметать данный тип МСЭ как недостаточно функциональный. Во-первых, необходимо проанализировать, для каких задач используется выход в Интернет, возможно, учитывая более низкую стоимость таких МСЭ; его будет вполне достаточно для работы организации. Во-вторых, его можно использовать в качестве первой линии обороны, которая будет предотвращать наиболее грубые атаки. А уже между ним и локальной сетью устанавливать другой МСЭ, либо принципиальной иной класс защитных устройств (например, агента системы обнаружения атак, см. раздел Системы обнаружения атак" данной главы), которые возьмут на себя анализ пакетов на более высоких уровнях сетевого стека. В этом случае пакетный Фильтр снижает общую нагрузку на вычислительные ресурсы анализаторов более высокого уровня и может защищать их от большого класса атак на отказ в обслуживании.
Рис. 23.2. МСЭ — пакетный фильтр