Почти каждая средняя и крупная организация имеет свое присутствие в Интернете и к ней подключена организационная сеть. Разделение сети на границе между внешним Интернетом и внутренней сетью имеет важное значение для безопасности сети. Иногда внутреннюю сеть (интранет) называют стороной, которой доверяют, а внешним Интернетом — стороной, которой нельзя доверять.
Типы брандмауэра
Брандмауэр — это сетевое устройство, которое изолирует внутреннюю сеть организации от более крупной внешней сети / Интернета. Это может быть аппаратное, программное обеспечение или комбинированная система, которая предотвращает несанкционированный доступ во внутреннюю сеть или из нее.
Все пакеты данных, входящие или выходящие из внутренней сети, проходят через межсетевой экран, который проверяет каждый пакет и блокирует те, которые не соответствуют указанным критериям безопасности.
Развертывание брандмауэра на границе сети похоже на агрегацию безопасности в одной точке. Это аналогично запиранию квартиры на входе и не обязательно на каждой двери.
Брандмауэр считается важным элементом для обеспечения безопасности сети по следующим причинам:
-
Внутренняя сеть и хосты вряд ли будут должным образом защищены.
-
Интернет — это опасное место для преступников, пользователей конкурирующих компаний, недовольных бывших сотрудников, шпионов из недружественных стран, вандалов и т. Д.
-
Чтобы злоумышленник не запустил атаки типа «отказ в обслуживании» на сетевой ресурс.
-
Предотвратить незаконное изменение / доступ к внутренним данным со стороны злоумышленника.
Внутренняя сеть и хосты вряд ли будут должным образом защищены.
Интернет — это опасное место для преступников, пользователей конкурирующих компаний, недовольных бывших сотрудников, шпионов из недружественных стран, вандалов и т. Д.
Чтобы злоумышленник не запустил атаки типа «отказ в обслуживании» на сетевой ресурс.
Предотвратить незаконное изменение / доступ к внутренним данным со стороны злоумышленника.
Брандмауэр подразделяется на три основных типа —
- Пакетный фильтр (без сохранения состояния и с сохранением состояния)
- Шлюз уровня приложения
- Контур уровня шлюза
Эти три категории, однако, не являются взаимоисключающими. Современные межсетевые экраны обладают сочетанием способностей, которые могут поместить их в более чем одну из трех категорий.
Брандмауэр фильтрации без сохранения состояния и состояния
В этом типе развертывания брандмауэра внутренняя сеть подключается к внешней сети / Интернету через брандмауэр маршрутизатора. Брандмауэр проверяет и фильтрует данные пакет за пакетом.
Межсетевые экраны с фильтрацией пакетов разрешают или блокируют пакеты в основном на основе таких критериев, как IP-адреса источника и / или назначения, номера портов протокола, источника и / или назначения и различные другие параметры в заголовке IP.
Решение может быть основано на факторах, отличных от полей заголовка IP, таких как тип сообщения ICMP, биты SYN TCP и ACK и т. Д.
Правило фильтрации пакетов состоит из двух частей:
-
Критерии выбора — это используется как условие и образец соответствия для принятия решения.
-
Поле действия — эта часть определяет действие, которое необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может быть либо заблокировать (запретить), либо разрешить (разрешить) пакет через межсетевой экран.
Критерии выбора — это используется как условие и образец соответствия для принятия решения.
Поле действия — эта часть определяет действие, которое необходимо предпринять, если IP-пакет соответствует критериям выбора. Действие может быть либо заблокировать (запретить), либо разрешить (разрешить) пакет через межсетевой экран.
Фильтрация пакетов обычно выполняется путем настройки списков контроля доступа (ACL) на маршрутизаторах или коммутаторах. ACL — это таблица правил фильтрации пакетов.
Когда трафик входит или выходит из интерфейса, межсетевой экран применяет списки ACL сверху вниз для каждого входящего пакета, находит критерии соответствия и разрешает или запрещает отдельные пакеты.
Межсетевой экран без сохранения состояния — это своего рода жесткий инструмент. Он просматривает пакет и разрешает его, если он соответствует критериям, даже если он не является частью какого-либо установленного постоянного сеанса связи.
Следовательно, такие брандмауэры заменяются брандмауэрами с сохранением состояния в современных сетях. Этот тип брандмауэров предлагает более углубленный метод проверки по сравнению с единственными методами проверки пакетов, основанными на ACL, для брандмауэров без сохранения состояния.
Брандмауэр с отслеживанием состояния контролирует процесс установки и разрыва соединения для проверки соединений на уровне TCP / IP. Это позволяет им отслеживать состояние соединений и определять, какие узлы имеют открытые авторизованные соединения в любой данный момент времени.
Они ссылаются на базу правил только при запросе нового соединения. Пакеты, принадлежащие существующим соединениям, сравниваются с таблицей состояний открытых соединений брандмауэра, и принимается решение о разрешении или блокировке. Этот процесс экономит время и обеспечивает дополнительную безопасность. Ни один пакет не может проникнуть через межсетевой экран, если он не принадлежит уже установленному соединению. Он может тайм-аут неактивных соединений в брандмауэре, после чего он больше не допускает пакеты для этого соединения.
Шлюзы приложений
Шлюз уровня приложения действует как узел ретрансляции для трафика уровня приложения. Они перехватывают входящие и исходящие пакеты, запускают прокси-серверы, которые копируют и пересылают информацию через шлюз, и функционируют как прокси-сервер , предотвращая любое прямое соединение между доверенным сервером или клиентом и ненадежным хостом.
Прокси зависят от приложения. Они могут фильтровать пакеты на прикладном уровне модели OSI.
Специфичные для приложения Прокси
Прокси-сервер для конкретного приложения принимает пакеты, сгенерированные только указанным приложением, для которого они предназначены для копирования, пересылки и фильтрации. Например, только прокси-сервер Telnet может копировать, пересылать и фильтровать трафик Telnet.
Если сеть полагается только на шлюз уровня приложения, входящие и исходящие пакеты не могут получить доступ к службам, для которых не настроены прокси-серверы. Например, если шлюз использует прокси-серверы FTP и Telnet, через межсетевой экран могут проходить только пакеты, сгенерированные этими службами. Все остальные сервисы заблокированы.
Фильтрация на уровне приложений
Прокси-шлюз уровня приложения анализирует и фильтрует отдельные пакеты, а не просто копирует их и отправляет их вслепую через шлюз. Специфичные для приложения прокси-серверы проверяют каждый пакет, проходящий через шлюз, проверяя содержимое пакета на уровне приложений. Эти прокси могут фильтровать определенные виды команд или информации в протоколах приложения.
Шлюзы приложений могут ограничивать выполнение определенных действий. Например, шлюз можно настроить так, чтобы пользователи не могли выполнять команду «FTP put». Это может предотвратить изменение информации, хранящейся на сервере, злоумышленником.
прозрачный
Хотя шлюзы уровня приложений могут быть прозрачными, многие реализации требуют аутентификации пользователей, прежде чем пользователи смогут получить доступ к ненадежной сети, процесс, который снижает истинную прозрачность. Аутентификация может отличаться, если пользователь из внутренней сети или из Интернета. Для внутренней сети можно разрешить простой список IP-адресов для подключения к внешним приложениям. Но со стороны Интернета должна быть внедрена строгая аутентификация.
Шлюз приложения фактически передает сегменты TCP между двумя соединениями TCP в двух направлениях (Клиент ↔ Прокси ↔ Сервер).
Для исходящих пакетов шлюз может заменить исходный IP-адрес своим собственным IP-адресом. Процесс называется преобразованием сетевых адресов (NAT). Это гарантирует, что внутренние IP-адреса не будут открыты для Интернета.
Контур уровня шлюза
Шлюз на уровне канала является промежуточным решением между фильтром пакетов и шлюзом приложения. Он работает на транспортном уровне и, следовательно, может выступать в качестве прокси для любого приложения.
Подобно шлюзу приложений, шлюз на уровне канала также не разрешает сквозное соединение TCP через шлюз. Он устанавливает два TCP-соединения и ретранслирует TCP-сегменты из одной сети в другую. Но он не проверяет данные приложения, такие как шлюз приложения. Следовательно, иногда это называется «прокси трубы».
НОСКИ
SOCKS (RFC 1928) относится к шлюзу на уровне цепи. Это механизм сетевого прокси, который позволяет узлам на одной стороне сервера SOCKS получать полный доступ к узлам на другой стороне, не требуя прямой доступности IP. Клиент подключается к серверу SOCKS на брандмауэре. Затем клиент вводит согласование для используемого метода аутентификации и аутентифицируется с помощью выбранного метода.
Клиент отправляет запрос ретрансляции соединения на сервер SOCKS, содержащий требуемый IP-адрес назначения и транспортный порт. Сервер принимает запрос после проверки того, что клиент соответствует основным критериям фильтрации. Затем от имени клиента шлюз открывает соединение с запрошенным ненадежным хостом и затем внимательно следит за установлением соединения TCP, которое следует.
Сервер SOCKS информирует клиента и в случае успеха начинает передавать данные между двумя соединениями. Шлюзы канального уровня используются, когда организация доверяет внутренним пользователям и не хочет проверять содержимое или данные приложения, отправленные в Интернете.
Развертывание брандмауэра с помощью DMZ
Брандмауэр — это механизм, используемый для управления сетевым трафиком «внутрь» и «вне» внутренней сети организации. В большинстве случаев эти системы имеют два сетевых интерфейса: один для внешней сети, такой как Интернет, а другой для внутренней стороны.
Процесс межсетевого экрана может жестко контролировать то, что разрешено проходить с одной стороны на другую. Организация, которая желает предоставить внешний доступ к своему веб-серверу, может ограничить весь трафик, поступающий в брандмауэр, ожидать для порта 80 (стандартный порт http). Весь другой трафик, такой как почтовый трафик, FTP, SNMP и т. Д., Не разрешен через брандмауэр во внутреннюю сеть. Пример простого брандмауэра показан на следующей диаграмме.
В приведенном выше простом развертывании, хотя все другие внешние обращения заблокированы, злоумышленник может связаться не только с веб-сервером, но и с любым другим узлом внутренней сети, который оставил порт 80 открытым случайно или иным образом.
Следовательно, проблема, с которой сталкивается большинство организаций, заключается в том, как обеспечить законный доступ к общедоступным службам, таким как веб, FTP и электронная почта, при сохранении строгой безопасности внутренней сети. Типичный подход заключается в развертывании межсетевых экранов для обеспечения демилитаризованной зоны (DMZ) в сети.
В этой настройке (показанной на следующей диаграмме) развернуты два межсетевых экрана; один между внешней сетью и DMZ, а другой между DMZ и внутренней сетью. Все публичные серверы размещены в DMZ.
С этой настройкой можно иметь правила брандмауэра, которые разрешают публичный доступ к публичным серверам, но внутренний брандмауэр может ограничивать все входящие соединения. При наличии DMZ общедоступные серверы обеспечиваются адекватной защитой, а не размещаются непосредственно во внешней сети.
Система обнаружения / предотвращения вторжений
Межсетевые экраны с фильтрацией пакетов работают на основе правил, включающих только заголовки TCP / UDP / IP. Они не пытаются установить корреляционные проверки между различными сеансами.
Система обнаружения / предотвращения вторжений (IDS / IPS) проводит глубокую проверку пакетов (DPI), просматривая содержимое пакетов. Например, проверка символьных строк в пакете по базе данных известных вирусов, атакующих строк.
Шлюзы приложений проверяют содержимое пакета, но только для конкретных приложений. Они не ищут подозрительных данных в пакете. IDS / IPS ищет подозрительные данные, содержащиеся в пакетах, и пытается проверить корреляцию между несколькими пакетами для выявления любых атак, таких как сканирование портов, сопоставление сети, отказ в обслуживании и т. Д.
Разница между IDS и IPS
IDS и IPS схожи в обнаружении аномалий в сети. IDS — это инструмент «видимости», тогда как IPS считается инструментом «контроля».
Системы обнаружения вторжений располагаются в стороне от сети, отслеживая трафик во многих различных точках и обеспечивая видимость состояния безопасности сети. В случае сообщения IDS об аномалии корректирующие действия инициируются администратором сети или другим устройством в сети.
Система предотвращения вторжений подобна брандмауэру и находится в линии между двумя сетями и контролирует проходящий через них трафик. Он применяет указанную политику обнаружения аномалий в сетевом трафике. Обычно он отбрасывает все пакеты и блокирует весь сетевой трафик при обнаружении аномалии до тех пор, пока администратор не устранит аномалию.
Типы IDS
Существует два основных типа IDS.
-
IDS на основе подписи
-
Нужна база данных известных атак с их подписями.
-
Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.
-
Ограничением этого типа IDS является то, что могут быть обнаружены только известные атаки. Эта IDS также может вызвать ложную тревогу. Ложная тревога может возникнуть, когда обычный поток пакетов совпадает с сигнатурой атаки.
-
Хорошо известным примером IDS с открытым исходным кодом является «Snort» IDS.
-
-
IDS на основе аномалий
-
Этот тип IDS создает схему трафика нормальной работы сети.
-
В режиме IDS он смотрит на шаблоны трафика, которые являются статистически необычными. Например, необычная загрузка ICMP, экспоненциальный рост при сканировании портов и т. Д.
-
Обнаружение любой необычной схемы движения генерирует сигнал тревоги.
-
Основная проблема, с которой сталкиваются при развертывании IDS этого типа, заключается в трудности различения нормального и необычного трафика.
-
IDS на основе подписи
Нужна база данных известных атак с их подписями.
Подпись определяется типами и порядком пакетов, характеризующих конкретную атаку.
Ограничением этого типа IDS является то, что могут быть обнаружены только известные атаки. Эта IDS также может вызвать ложную тревогу. Ложная тревога может возникнуть, когда обычный поток пакетов совпадает с сигнатурой атаки.
Хорошо известным примером IDS с открытым исходным кодом является «Snort» IDS.
IDS на основе аномалий
Этот тип IDS создает схему трафика нормальной работы сети.
В режиме IDS он смотрит на шаблоны трафика, которые являются статистически необычными. Например, необычная загрузка ICMP, экспоненциальный рост при сканировании портов и т. Д.
Обнаружение любой необычной схемы движения генерирует сигнал тревоги.
Основная проблема, с которой сталкиваются при развертывании IDS этого типа, заключается в трудности различения нормального и необычного трафика.
Резюме
В этой главе мы обсудили различные механизмы, используемые для контроля доступа к сети. Подход к безопасности сети с помощью контроля доступа технически отличается от реализации мер безопасности на разных уровнях сети, которые обсуждались в предыдущих главах этого руководства. Однако, хотя подходы к реализации различны, они дополняют друг друга.
Управление доступом к сети состоит из двух основных компонентов: аутентификация пользователя и защита границ сети. RADIUS — это популярный механизм для обеспечения центральной аутентификации в сети.
Брандмауэр обеспечивает защиту границ сети, отделяя внутреннюю сеть от общедоступного Интернета. Брандмауэр может функционировать на разных уровнях сетевого протокола. IDS / IPS позволяет отслеживать аномалии в сетевом трафике, обнаруживать атаки и предпринимать превентивные действия против них.