Реферат: Межсетевые экраны Общие положения
Межсетевые экраны
Общие положения
Безопасность СВЧ и локальных сетей при подключении к Internet обеспечивается с помощью следующих специализированных средств:
межсетевых экранов;
средств протоколирования событий в сетях (логов);
сетевых сканеров и снифферов, которые нередко используются в противоположных целях;
средств построения виртуальных частных сетей (VPN) и организации закрытых каналов обмена данными.
Темой этого доклада являются межсетевые экраны, поэтому рассмотрим именно это средство обеспечения безопасности СВЧ и локальных сетей. Вообще говоря, межсетевые экраны (МЭ) – это программные или программно-аппаратные средства, предназначенные для защищенного подключения корпоративной сети к сетям общего пользования (чаще всего на базе протоколов TCP/IP, X.25); разграничения ресурсов внутри локальной сети; а также для обеспечения контроля информационных потоков между различными сегментами корпоративной сети и внешними сетями. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение, пропускать его или нет, в соответствии с заданными правилами фильтрации.
Межсетевой экран позволяет разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую.
^ Общие положения (документ)
Функциональные требования к межсетевым экранам регламентированы Руководящим документом Государственной технической комиссии при Президенте Российской Федерации "Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов и требования по защите информации". Там же дано следующее определение межсетевых экранов:
Межсетевой Экран (МЭ) – это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.
Под сетями ЭВМ, распределенными автоматизированными системами (АС) в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.
Помимо самого описания функциональных требований, названный документ описывает разделение МЭ на соответствующие классы по уровням контроля межсетевых информационных потоков, которое с точки зрения защиты информации необходимо в целях разработки и применения обоснованных и экономически оправданных мер по достижению требуемого уровня защиты информации при взаимодействии сетей ЭВМ, АС. Дифференциация подхода к выбору функций защиты в МЭ определяется АС, для защиты которой применяется данный экран. Таким образом решается один из основных вопросов защиты информации: ее адекватность и целесообразность. Документ устанавливает пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Самый низкий класс защищенности - пятый, применяемый для безопасного взаимодействия АС класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой. Классификация автоматизированных систем была описана в докладе Виктории Ващелюк по РД ГТК «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ»
Требования, предъявляемые к МЭ, не исключают требований, предъявляемых к средствам вычислительной техники (СВТ) и АС в соответствии с руководящими документами Гостехкомиссии России “Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” и, уже названным документом, «АС. Защита от НСД к информации. Классификация АС и требования по ЗИ». Причем при включении МЭ в АС определенного класса защищенности, класс защищенности совокупной АС, полученной из исходной путем добавления в нее МЭ, не должен понижаться. Т.е. для АС класса 3Б, 2Б должны применяться МЭ не ниже 5 класса; для АС класса 3А, 2А в зависимости от важности обрабатываемой информации должны применяться МЭ следующих классов:
при обработке информации с грифом “секретно” - не ниже 3 класса;
при обработке информации с грифом “совершенно секретно” - не ниже 2 класса;
при обработке информации с грифом “особой важности” - не ниже 1 класса.
^ Классификация МЭ (документ)
Перечень показателей по классам защищенности МЭ
Классы защищенности
^ Показатели защищенности
5
4
3
2
1
Управление доступом (фильтрация данных и трансляция адресов)
+
+
+
+
=
Идентификация и аутентификация
-
-
+
=
+
Регистрация
-
+
+
+
=
Администрирование: идентификация и аутентификация
+
=
+
+
+
Администрирование: регистрация
+
+
+
=
=
Администрирование: простота использования
-
-
+
=
+
Целостность
+
=
+
+
+
Восстановление
+
=
=
+
=
Тестирование
+
+
+
+
+
Руководство администратора защиты
+
=
=
=
=
Тестовая документация
+
+
+
+
+
Конструкторская (проектная) документация
+
=
+
=
+
Обозначения:
“-” - нет требований к данному классу;
“+” - новые или дополнительные требования;
“=“ - требования совпадают с требованиями к МЭ предыдущего класса.
Подробное описание каждого из классов также содержится в рассматриваемом руководящем документе.
^ Функции и политики МЭ
Политика сетевой безопасности каждой организации должна включать две составляющие:
политику доступа к сетевым сервисам;
политику реализации межсетевых экранов.
Политика доступа к сетевым сервисам обычно основывается на одном из следующих принципов:
запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;
разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.
В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети.
Прежде всего необходимо установить, насколько “доверительной” или “подозрительной” должна быть система защиты. Иными словами, правила доступа ко внутренним ресурсам должны базироваться на одном из следующих принципов:
Default=discard: Запрещать все, что не разрешено в явной форме;
Default=forward: Разрешать всё, что не запрещено в явной форме.
Перед разработчиками как прикладных МЭ, так и прошивок к физическим устройствам стоят следующие задачи:
Весь поток данных, направляемых из внутренней сети во внешний мир и в обратном направлении, должен проходить через брандмауэр без возможности его «обойти»;
Из всего потока поступающих к брандмауэру данных пройти брандмауэр должно быть позволено только данным, подвергшимся аутентификации в соответствии с локальной политикой защиты;
Брандмауэр сам по себе должен быть недоступен для вторжения извне.
^ Основные средства, с помощью которых брандмауэры осуществляют контроль
Управление сервисами. Определяет типы служб Internet, к которым можно получать доступ из внутренней сети наружу и из внешнего окружения вовнутрь. Брандмауэр может фильтровать поток данных на основе IP-адресов и номеров портов TCP, может предлагать такой компонент, как прокси-сервер, через который может проходить каждый запрос сервиса и который принимает решение о том, пропустить данный запрос или нет, и наконец, может содержать и серверные компоненты, такие как Web-сервер или почтовая служба.
Управление направлением движения. Определение направления, в котором могут инициироваться и проходить через брандмауэр запросы к тем или иным службам.
Управление пользователями. Предоставление доступа к службам в зависимости от прав доступа пользователей, обращающихся к этим службам.
Управление поведением. Контроль за использованием отдельных служб
Основные требования, предъявляемые к брэндмауэру. Брэндмауэр может предлагать следующие возможности:
Брэндмауэр представляет собой единственную точку входа.
Брэндмауэр является местом, где осуществляется мониторинг событий, имеющих отношение к защите сети.
Брэндмауэр является удобной платформой для ряда функций Internet, не имеющих непосредственного отношения к безопасности. К таким функциям можно отнести NAT, DHCP и функции шифрования.
Возможности туннельного режима брандмауэра для построения VPN.
Функциональные требования к межсетевым экранам включают:
требования к фильтрации на сетевом уровне;
требования к фильтрации на прикладном уровне;
требования по настройке правил фильтрации и администрированию
требования к средствам сетевой аутентификации;
требования по внедрению журналов и учету.
Ограничения брандмауэров
Брэндмауэр не может защитить от атак, идущих в обход брандмауэра.
Брандмауэр не может защитить от внутренних угроз безопасности, которых на сегодняшний день подавляющее большинство.
Брандмауэр не может защитить от угрозы передачи инфицированных вирусами программ или файлов.
Не может фильтровать трафик из внешней сети с адресом источника, указывающим, что пакет получен из сети, расположенной позади firewall’а.
Входящий или исходящий трафик от системы, использующей адрес источника из множества диапазонов адресов, которые в соответствии с RFC 1918 зарезервированы для частных сетей:
С 10.0.0.0 до 10.255.255.255 (Класс "А" или "/8");
С 172.16.0.0 до 172.31.255.255 (Класс "В" или "/12");
С 192.168.0.0 до 192.168.255.255 (Класс "С" или "/16").
Входящий или исходящий сетевой трафик, содержащий адрес источника или назначения 127.0.0.1 (localhost
Входящий или исходящий сетевой трафик, содержащий адрес источника или назначения 0.0.0.0.
Входящий или исходящий сетевой трафик, содержащий directed broadcast адреса.
Некоторые типы firewall’ов имеют возможность интегрировать аутентификацию пользователя в существующий набор правил. Например, firewall’ы могут блокировать доступ к некоторым системам до тех пор, пока пользователь не аутентифицирован firewall’ом. Данная аутентификация может быть внутренней или внешней по отношению к firewall’у.
Большинство firewall’ов поддерживают несколько опций для создания логов. Эти опции имеют широкий диапазон, от создания простых записей логов до оповещения администратора о наступлении некоторого события. В зависимости от способа оповещения данное действие может реализовываться различными способами: от посылки уведомления по e-mail до телефонного сообщения соответствующему персоналу.
DMZ
На практике чаще всего в пределах локальной сети находится сервер, к которому должен быть открыт свободный доступ. В этом случае, если сеть построена на простых концентраторах (хабах), а не на коммутаторах (свитчах), то взломав рабочую станцию с отрытым доступом, непосредственно связанную с локальной сетью, злоумышленник может получить доступ ко всем компьютерам в локальной сети. В том числе использовать рабочие станции локальной сети для организации DoS-атак. Поэтому подход к построению систем, включающих в себя публичные серверы, предполагает иной подход. Решение заключается в разделении локальной сети и публичных серверов на отдельные части. Та, в которой будут размещены публичные сервисы, называется «демилитаризованной зоной» (DMZ — Demilitarized Zone) или зоной особого внимания.
Суть DMZ заключается в том, что она не входит непосредственно ни во внутреннюю, ни во внешнюю сеть, и доступ к ней может осуществляться только по заранее заданным правилам межсетевого экрана. В DMZ нет пользователей – там располагаются только серверы. Демилитаризованная зона как правило служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью с публичными адресами, защищенной как от публичных, так и корпоративных сетей межсетевыми экранами.
Учитывая, что публичные сервисы могут быть взломаны, на них должна находиться наименее важная информация, а любая ценная информация должна размещаться исключительно в локальной сети, которая не будет доступна с публичных серверов. Для той информации, которая будет доступна на публичных серверах, необходимо предусмотреть проведение резервного архивирования с возможно меньшей периодичностью. Кроме этого рекомендуется для почтовых серверов применять как минимум двухсерверную модель обслуживания, а для веб-серверов вести постоянный мониторинг состояния информации для своевременного обнаружения и устранения последствий взлома.
Использование межсетевых экранов является обязательным при создании DMZ, иначе теряется сам смысл организации зон особого внимания.
Для защиты проникновения через демилитаризованную зону в корпоративную сеть используются программные и аппаратные межсетевые экраны. Для программных требуется машина, работающая под UNIX или Windows NT/2000. Для установки аппаратного брандмауэра обычно применяются *nix-подобные системы. Обычно программные экраны используются для защиты небольших сетей, где нет необходимости производить много настроек, связанных с гибким распределением полосы пропускания и ограничения трафика по протоколам для пользователей. Если сеть большая и требуется высокая производительность – выгоднее становится использовать аппаратные межсетевые экраны. Во многих случаях используют не один, а два межсетевых экрана — один защищает демилитаризованную зону от внешнего воздействия, второй отделяет ее от внутренней части корпоративной сети.
Но кроме того, что вынесение публичных серверов в демилитаризованную зону в определенной степени защищает корпоративную сеть, необходимо продумать и обеспечить защиту и самой DMZ. При этом необходимо решить такие вопросы, как:
защита от атак на серверы и сетевое оборудование;
защита отдельных серверов;
контроль почтового и иного контента;
аудит действий пользователей.
Каким образом могут решаться эти вопросы? Почтовый сервер, который используется как для внешней переписки, так и для внутрикорпоративной, желательно «разделить» на две составляющие — публичную, которая фактически будет сервером-ретранслятором и будет размещаться в DMZ, и основную, размещенную внутри корпоративной сети. Основная составляющая обеспечивает обращение внутренней почты, принимает с ретранслятора и отправляет на него внешнюю корреспонденцию.
Одной из основных проблем является обеспечение безопасного доступа к публичным ресурсам и приложениям из корпоративной внутренней сети. Хотя между нею и демилитаризованной зоной устанавливают межсетевой экран, но он должен быть «прозрачен» для работы. Есть несколько вариантов предоставления такой возможности пользователям. Первый – использование терминального доступа. При такой организации взаимодействия клиента и сервера через установленное соединение не передается какой-либо программный код, среди которого могли бы быть и вирусы и иные вредоносные включения. От терминального клиента к серверу следует поток кодов нажатых клавиш клавиатуры и состояний мыши пользователя, а обратно, от сервера клиенту, поступают бинарные образы экранов серверной сессии браузера или почтового клиента пользователя. Другой вариант – использование VPN (Virtual Private Network). Благодаря контролю доступа и криптозащите информации VPN обладает защищенностью частной сети, и в то же время использует все преимущества сети общего пользования. На сегодняшний день, в связи с большими объемами информации, необходимой передать клиенту, чрезвычайно популярен первый вариант, который требует минимальной ширины канала и количества трафика для нормальной работы.
Для защиты от атак на серверы и сетевое оборудование используют специальные системы обнаружения вторжения (Intrusion Detection). Компьютер, на котором устанавливают такую систему, становится первым на пути информационного потока из Интернета в DMZ. Системы настраивают таким образом, чтобы при обнаружении атак они могли выполнить переконфигурирование межсетевого экрана вплоть до полного блокирования доступа. С целью дополнительного, но не постоянного контроля, используют специальное программное обеспечение – сканеры безопасности, проверяющие защищенность сети, серверов и сервисов, баз данных. Для защиты от вирусов в демилитаризованной зоне устанавливается антивирусное ПО.
Программные и технические решения для организации и защиты DMZ предлагаются почти во всех современных маршрутизаторах и аппаратных МЭ.
^ Классификация по поддерживаемым уровням модели OSI
Одной из классификаций МЭ является классификация по уровням эталонной модели OSI. Стоит отметить, что классификация носит довольно условный характер, как и сама модель OSI.
Межсетевые экраны по понятным причинам используются для сетей TCP/IP и классифицируются в соответствии с уровнем эталонной модели взаимодействия открытых систем (сетевой моделью) OSI. Во-первых, сетевая модель сетей TCP/IP предусматривает только 5 уровней (физический, канальный, сетевой, транспортный и прикладной), в то время как модель OSI – 7 уровней (физический, канальный, сетевой, транспортный, сеансовый, представительный и прикладной). Поэтому установить однозначное соответствие между этими моделями далеко не всегда возможно. Во-вторых, большинство выпускаемых межсетевых экранов обеспечивают работу сразу на нескольких уровнях иерархии OSI. В-третьих, некоторые экраны функционируют в режиме, который трудно соотнести с каким-то строго определенным уровнем иерархии.
Тем не менее поддерживаемый уровень сетевой модели OSI является основной характеристикой при классификации межсетевых экранов. Различают следующие типы межсетевых экранов:
управляемые коммутаторы (канальный уровень);
сетевые фильтры (сетевой уровень);
шлюзы сеансового уровня (circuit-level proxy);
посредники прикладного уровня;
инспекторы состояния (stateful inspection), представляющие собой межсетевые экраны сеансового уровня с расширенными возможностями.
Межсетевые экраны могут выполнять над поступающими пакетами данных одну из двух операций: пропустить пакет далее (allow) или отбросить пакет (deny). Некоторые МЭ имеют еще одну операцию – reject, при которой пакет отбрасывается, но отправителю сообщается по о недоступности сервиса на компьютере-получателе информации.
Рассмотрим эти типы МЭ более подробно.
Коммутаторы
Коммутаторы среднего и старшего позволяют привязывать MAC-адреса сетевых карт компьютеров к определенным портам коммутатора. Более того, почти все коммутаторы предоставляют возможность фильтрации информации на основе адреса сетевой платы отправителя или получателя, создавая при этом виртуальные сети (VLAN). Другие коммутаторы позволяют организовать VLAN на уровне портов самого коммутатора. Таким образом, коммутатор может выступать в качестве межсетевого экрана канального уровня.
Следует заметить, что большинство специалистов по безопасности информационных систем редко относят коммутаторы к межсетевым экранам. Основная причина такого отношения вызвана тем, что область фильтрующего действия коммутатора простирается до ближайшего маршрутизатора и поэтому не годится для регулирования доступа из Internet.
Кроме того, подделать адрес сетевой платы обычно не составляет труда (многие платы Ethernet позволяют программно менять или добавлять адреса канального уровня), и такой подход к защите является до крайности ненадежным. Тем не менее если следовать буквальной трактовке «Руководящего документа» ГТК, то коммутаторы с возможностью создания VLAN являются межсетевыми экранами.
^ Сетевые фильтры
Сетевые фильтры работают на сетевом уровне иерархии OSI. Хотя, надо заметить, что данная классифкация условна и в настоящее время сетевые фильтры функционируют не только на уровне 3 (Network) модели OSI, но также анализируют и уровень 4 (Transport).
С
етевой фильтр представляет собой маршрутизатор, обрабатывающий пакеты на основании информации, содержащейся в заголовках пакетов. Сетевой фильтр также иногда называют фильтрующий маршрутизатор или пакетный фильтр(packet-filtering router).
При обработке пакетов Пакетные фильтры анализируют следующую информацию, содержащуюся в заголовках пакетов 3-го и 4-го уровней:
Адрес источника пакета
Адрес назначения пакета
Тип коммуникационной сессии, т.е. конкретный сетевой протокол, используемый для взаимодействия между системами или устройствами источника и назначения (например, ТСР, UDP или ICMP).
Возможно некоторые характеристики коммуникационных сессий уровня 4, такие как порты источника и назначения
На основе этой информации задаются правила, в соответствии с которыми пакеты будут либо пропускаться через фильтр, либо отбрасываться им
Некоторые пакетные фильтры, встроенные в роутеры, могут также фильтровать сетевой трафик, основываясь на определенных характеристиках этого трафика, для предотвращения DoS- и DDoS-атак.
Пакетные фильтры могут быть реализованы в следующих компонентах сетевой инфраструктуры:
пограничные роутеры;
ОС;
персональные firewall’ы
К положительным качествам фильтрующих маршрутизаторов следует отнести:
невысокую стоимость;
гибкость в определении правил фильтрации;
небольшую задержку при прохождении пакетов – пакетные фильтры имеют высокую скорость.
Пакетный фильтр прозрачен для клиентов и серверов, так как не разрывает ТСР-соединение.
Недостатками фильтрующих маршрутизаторов являются:
Прозрачность топологии внутренней сети;
При нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся либо полностью незащищенными, а скорее всего недоступными;
аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса;
отсутствует аутентификация на пользовательском уровне. Аутентификация на основе имени и пароля пользователя намного надежнее, но в сетевых фильтрах ее применить не представляется возможным.
Так как пакетные фильтры не анализируют данные более высоких уровней, они не могут предотвратить атаки, которые используют уязвимости или функции, специфичные для приложения.
Так как firewall’у доступна ограниченная информация, возможности логов в пакетных фильтрах ограничены. Логи пакетного фильтра обычно содержат ту же информацию, которая использовалась при принятии решения о возможности доступа (адрес источника, адрес назначения, тип трафика и т.п.).
При принятии решений о предоставлении доступа используется небольшое количество информации.
К тому же, поскольку при получении каждого пакета сетевой фильтр просматривает таблицу правил в последовательном порядке, каждое новое правило уменьшает общую производительность маршрутизатора.
Невозможность создания иерархической структуры правил. Например, в случае принципа «запрещения», фильтр просматривает сначала список исключений, и если пакет не подходит не под одно исключение, то в соответствии с указанным принципом пакет отсеивается. Если же пакет подходит хотя бы под одно исключение, то он передается дальше. Однако представим такую ситуацию: сеть закрыта от доступа снаружи, но один сервер должен быть доступен для внешнего мира по протоколу ftp. Все это прекрасно можно организовать с помощью сетевого фильтра, за исключением маленькой, но очень неприятной детали — на доступ к серверу по ftp нельзя наложить дополнительные ограничения. К примеру, невозможно в таком случае запретить доступ к нему со стороны компьютера Z, которым пользуется злоумышленник. Более того, хакер может передавать на сервер пакеты с адресом отправителя, соответствующим адресу компьютера внутренней сети (самый опасный вид подделки IP-пакетов). И сетевой фильтр пропустит такой пакет. Чтобы избежать подобных проблем, администраторы вынуждены ставить два последовательно подключенных фильтра, чтобы таким образом реализовывать иерархические правила фильтрации.
Пакетные фильтры больше всего подходят для высокоскоростных окружений, когда создание логов и аутентификация пользователя для сетевых ресурсов не столь важна.
Так как современная технология firewall’а включает много возможностей и функциональностей, трудно найти firewall, который имеет возможности только пакетного фильтра. Примером может являться сетевой роутер, осуществляющий проверку списка контроля доступа для управления сетевым трафиком. Высокая производительность пакетных фильтров также способствует тому, что они реализуются в устройствах, обеспечивающих высокую доступность и особую надежность; некоторые производители предлагают аппаратные и программные решения как высоко доступные, так и особо надежные.
Как уже говорилось, основным преимуществом пакетных фильтров является их скорость. Так как пакетные фильтры обычно проверяют данные до уровня 3 модели OSI, они могут функционировать очень быстро. Также пакетные фильтры имеют возможность блокировать DoS-атаки и связанные с ними атаки. По этим причинам пакетные фильтры, встроенные в пограничные роутеры, идеальны для размещения на границе с сетью с меньшей степенью доверия. Пакетные фильтры, встроенные в пограничные роутеры, могут блокировать основные атаки, фильтруя нежелательные протоколы, выполняя простейший контроль доступа на уровне сессий и затем передавая трафик другим firewall’ам для проверки более высоких уровней стека OSI.
Н
а рисунке показана топология сети, использующая пограничный роутер с возможностями пакетного фильтра в качестве первой линии обороны. Роутер принимает пакеты от недоверяемой сети, которые обычно приходят от другого роутера или от Интернет Сервис Провайдера (Internet Service Provider, ISP). Затем роутер выполняет контроль доступа в соответствии со своей политикой. Затем он передает пакеты более мощному firewall’у для дальнейшего управления доступом и фильтрования операций на более высоких уровнях стека OSI. Здесь также показана промежуточная сеть между пограничным роутером и внутреннем firewall’ом, называемая DMZ-сетью.
Несмотря на серьезные недостатки, сетевой фильтр является неотъемлемой частью любого межсетевого экрана экспертного класса. Однако он представляет собой всего лишь одну из его составных частей, поскольку работает в сочетании со шлюзом более высокого уровня иерархии OSI. В такой схеме сетевой фильтр препятствует прямому общению между внутренней и внешней сетью (кроме заранее определенных компьютеров). Вся же основная фильтрация, но уже на вышестоящих уровнях OSI, организуется шлюзом соответствующего уровня или инспектором состояния.
^ Шлюзы сеансового уровня
Шлюзы сеансового уровня, оперируют на сеансовом уровне иерархии OSI. Однако в сетевой модели TCP/IP нет уровня, однозначно соответствующего сеансовому уровню OSI, поэтому к шлюзам сеансового уровня относят фильтры, которые невозможно отождествить ни с сетевым, ни с транспортным, ни с прикладным уровнем.
Шлюз сеансового уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хост-компьютером. Шлюз сеансового уровня как правило включает в себя функции proxy-сервера и трансляции адресов NAT. Данный шлюз может быть реализован как в виде отдельной компьютерной системы, так и в виде специальной функции шлюза уровня приложения, предлагаемой для некоторых приложений. Шлюзы сеансового уровня не разрешают внешним узлам устанавливать сквозные TCP-соединения с узлами внутренней сети, а вместо этого устанавливают два TCP-соединения: одно между самим шлюзом и внутренним узлом, а второе – между шлюзом и внешним узлом. После того, как оба соединения установлены, шлюз обычно ретранслирует сегменты TCP от одного соединения к другому, не проверяя их содержимого (такой механизм реализован в SOCKS-proxy). Защита реализуется путем разрешения или запрета тех или иных соединений.
Типичным случаем применения шлюзов уровня коммутации является ситуация, когда системный администратор доверяет внутренним пользователям. Шлюз можно настроить таким образом, чтобы он поддерживал работу на уровне приложений или выполнял функции прокси-сервера для входящих соединений и функции шлюза сеансового уровня — для исходящих. В такой конфигурации шлюз сталкивается с высокими дополнительными нагрузками, связанными с необходимостью проверки входящих данных приложений на предмет выполнения ими запрещенных функций, однако такой нагрузки для исходящих данных можно избежать.
Шлюз сеансового уровня принимает запрос доверенного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя фильтрации.
Шлюз следит за подтверждением (квитированием) связи между авторизованным клиентом и внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым.
Когда авторизованный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли это клиент базовым критериям фильтрации. Затем действуя от имени клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за проведением процедуры квитирования связи по протоколу TCP.
Первый пакет сеанса TCP, помеченный флагом SYN, и содержащий произвольное число, например, 1000. Внешний хост-компьютер, получивший этот пакет, посылает в ответ пакет, помеченный флагом ACK и содержащий число, на единицу большее, чем в принятом пакете (1001), подтверждая тем самым приём пакета от клиента.
Далее осуществляется обратная процедура: хост-компьютер посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета ACK, содержащего в нашем случае число 2001. На этом процесс квитирования связи завершается.
Шлюз уровня коммутации признаёт запрошенное соединение допустимым только в том случае, если при выполнении квитирования связи флаги SYN и АСК а также числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.
После того как шлюз определил, что доверенный клиент и внешний хост-компьютер являются авторизованными участниками сеанса TCP, и проверил допустимость этого сеанса он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи зафиксированных в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшуюся в данном сеансе.
Для копирования и перенаправления пакетов в шлюзах сетевого уровня применяются специальные приложения, которые называют канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP, проходить по этому каналу. Канальные посредники поддерживают несколько служб TCP/IP, поэтому шлюзы сетевого уровня могут использоваться для расширения возможностей шлюзов прикладного уровня, работа которых основывается на программах-посредниках конкретных приложений.
Фактически большинство шлюзов сеансового уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня.
Шлюз сеансового уровня также используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов (NAT), при которой происходит преобразование внутренних IP-адресов во внешние.
Технология NAT была разработана для решения двух важных проблем, возникших в сетевой инженерии и безопасности. Во-первых, NAT является эффективным средством для скрытия схемы сетевой адресации позади firewall’а. В сущности, трансляция сетевых адресов позволяет организации развертывать схему адресации позади firewall’а в соответствии со своим выбором, в то же время поддерживая возможность соединяться с внешними ресурсами через firewall. Во-вторых, это решает проблему исчерпания пространства IP-адресов. Подробней о технологии NAT чуть позже.
После установления связи шлюзы уровня коммутации фильтруют пакеты только на сеансовом уровне модели OSI, т.е. не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется «вслепую», хакер, находящийся во внешней сети, может «протолкнуть» свои «вредоносные» пакеты через такой шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу, который сам по себе не может обеспечивать функции межсетевого экрана. Иными словами, если процедура квитирования связи успешно завершена, шлюз сеансового уровня установит соединение и будет «слепо» копировать и перенаправлять все последующие пакеты независимо от их содержимого.
Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами, в соответствии с их содержимым необходим шлюз прикладного уровня.
Примером реализации шлюза уровня коммутации является пакет SOCKS. Версия 5 этого пакета описана в документе RFC 1928. В этом документе RFC пакет SOCKS определяется следующим образом.
В пакет SOCKS включены следующе компоненты:
Сервер SOCKS, работающий в составе брандмауэра на основе UNIX.
Библиотека клиента SOCKS, работающая на внутренних узлах, защищённых брандмауэром.
Адаптированные для использования с SOCKS стандартные клиентские приложения типа FТР и TELNET.
Когда использующему протокол TCP клиенту необходимо установить соединение с объектом, к которому можно получить доступ только через брандмауэр, клиент должен открыть TCP-соединение с соответствующим SOCKS-портом системы, на которой установлен SOCKS-сервер. По умолчанию сервис SOCKS использует порт TCP с номером 1080. Если на запрос об установлении соединения получен положительный ответ, клиент начинает процесс согласования для выбора метода аутентификации, проходит аутентификацию в соответствии с выбранным методом, а затем посылает запрос на ретрансляцию. SOCKS-сервер проверяет поступивший запрос и либо устанавливает соответствующее соединение, либо посылает отказ. При использовании протокола UDP все протекает подобным образом. По существу, для аутентификации пользователя, который намеревается отправлять и получить сегменты UDP, открывается специальное соединение TCP и сегменты UDP могут пересылаться до тех пор, пока указанное соединение TCP остается открытым.
Пожалуй, самым известным шлюзом