Original is at
http://koi.www.alpha.ru/Security/firewall.html
Brandmauer - eto sistema ili kombinaciya sistem, pozvolyayushchie razdelit' set' na dve ili
bolee chastej i realizovat' nabor pravil, opredelyayushchih usloviya prohozhdeniya paketov iz
odnoj chasti v druguyu (sm ris.1).
Kak pravilo, zta granica provoditsya mezhdu lokal'noj set'yu
predpriyatiya i INTERNET, hotya ee mozhno provesti i vnutri lokal'noj seti predpriyatiya.
Brandmauer takim obrazom propuskaet cherez sebya ves' trafik. Dlya kazhdogo prohodyashchego
paketa brandmauer prinimaet reshenie propuskat' ego ili otbrosit'. Dlya togo chtoby
brandmauer mog prinimat' eti resheniya, emu neobhodimo opredelit' nabor pravil. O tom,
kak eti pravila opisyvayutsya i kakie parametry ispol'zuyutsya pri ih opisanii rech' pojdet
nizhe.
Kak pravilo, brandmauery funkcioniruyut na kakoj-libo UNIX platforme - chashche vsego eto
BSDI, SunOS, AIX, IRIX i t.d., rezhe - DOS, VMS, WNT, Windows NT. Iz apparatnyh
platform vstrechayutsya INTEL, Sun SPARC, RS6000, Alpha , HP PA-RISC,
semejstvo RISC processorov R4400-R5000. Pomimo Ethernet, mnogie brandmauery
podderzhivayut FDDI, Token Ring, 100Base-T, 100VG-AnyLan, razlichnye serijnye ustrojstva.
Trebovaniya k operativnoj pamyati i ob®emu zhestkogo diska zavisyat ot kolichestva mashin v
zashchishchaemom segmente seti, no chashche vsego rekomenduetsya imet' ne menee 32Mb OZU i 500 Mb
na zhestkom diske.
Kak pravilo, v operacionnuyu sistemu, pod upravleniem kotoroj rabotaet
brandmauer vnosyatsya izmeneniya, cel' kotoryh - povyshenie zashchity samogo brandmauera. |ti
izmeneniya zatragivayut kak yadro OS, tak i sootvetstvuyushchie fajly konfiguracii. Na samom
brandmauere ne razreshaetsya imet' schetov pol'zovatelej (a znachit i potencial'nyh dyr),
tol'ko schet administratora. Nekotorye brandmauery rabotayut tol'ko v odnopol'zovatel'skom
rezhime. Mnogie brandmauery imeyut sistemu proverki celostnosti programmnyh kodov. Pri
etom kontrol'nye summy programmnyh kodov hranyatsya v zashchishchennom meste i sravnivayutsya
pri starte programmy vo izbezhanie podmeny programmnogo obespecheniya.
Vse brandmauery mozhno razdelit' na tri tipa:
- paketnye fil'try (packet filter)
- servera prikladnogo urovnya (application gateways)
- servera urovnya soedineniya (circuit gateways)
Vse tipy mogut odnovremenno vstretit'sya v odnom brandmauere.
Brandmauery s paketnymi fil'trami prinimayut reshenie o tom, propuskat' paket ili
otbrosit', prosmatrivaya IP-adresa, flagi ili nomera TCP portov v zagolovke etogo paketa.
IP-adres i nomer porta - eto informaciya setevogo i transportnogo urovnej sootvetstvenno, no
paketnye fil'try ispol'zuyut i informaciyu prikladnogo urovnya, t.k. vse standartnye
servisy v TCP/IP associiruyutsya s opredelennym nomerom porta.
Dlya opisaniya pravil prohozhdeniya paketov sostavlyayutsya tablicy tipa:
| Dejstvie | tip
paketa | adres
istochn. | port istochn. | adres naznach. | port
naznach. | flagi |
Pole "dejstvie" mozhet prinimat' znacheniya propustit' ili otbrosit'. Tip paketa - TCP,
UDP ili ICMP. Flagi - flagi iz zagolovka IP-pa-keta. Polya "port istochnika" i "port
naznacheniya" imeyut smysl tol'ko dlya TCP i UDP paketov.
Servera prikladnogo urovnya
Brandmauery s serverami prikladnogo urovnya ispol'zuyut servera konkretnyh servisov -
TELNET, FTP i t.d. (proxy server), zapuskaemye na brandmauere i propuskayushchie cherez sebya
ves' trafik, otnosyashchijsya k dannomu servisu. Takim obrazom, mezhdu klientom i serverom
obrazuyutsya dva soedineniya: ot klienta do brandmauera i ot brandmauera do mesta naznacheniya.
Polnyj nabor podderzhivaemyh serverov razlichaetsya dlya kazhdogo konkretnogo
brandmauera, odnako chashche vsego vstrechayutsya servera dlya sleduyushchih servisov:
- terminaly (Telnet, Rlogin)
- peredacha fajlov (Ftp)
- elektronnaya pochta (SMTP, POP3)
- WWW (HTTP)
- Gopher
- Wais
- X Window System (X11)
- Printer
- Rsh
- Finger
- novosti (NNTP) i t.d.
Ispol'zovanie serverov prikladnogo urovnya pozvolyaet reshit' vazhnuyu zadachu - skryt' ot
vneshnih pol'zovatelej strukturu lokal'noj seti, vklyuchaya informaciyu v zagolovkah
pochtovyh paketov ili sluzhby domennyh imen (DNS). Drugim polozhitel'nym kachestvom
yavlyaetsya vozmozhnost' autentifikacii na pol'zovatel'skom urovne (autentifikaciya - process
podtverzhdeniya identichnosti chego-libo; v dannom sluchae eto process podtverzhdeniya,
dejstvitel'no li pol'zovatel' yavlyaetsya tem, za kogo on sebya vydaet). Nemnogo podrobnee ob
autentifikacii budet skazano nizhe.
Pri opisanii pravil dostupa ispol'zuyutsya takie parametry kak nazvanie servisa, imya
pol'zovatelya, dopustimyj vremennoj diapazon ispol'zovaniya servisa, komp'yutery, s
kotoryh mozhno pol'zovat'sya servisom, shemy autentifikacii. Servera protokolov
prikladnogo urovnya pozvolyayut obespechit' naibolee vysokij uroven' zashchity - vzaimodejstvie
s vneshnim mirov realizuetsya cherez nebol'shoe chislo prikladnyh programm, polnost'yu
kontroliruyushchih ves' vhodyashchij i vyhodyashchij trafik.
Servera urovnya soedineniya
Server urovnya soedineniya predstavlyaet iz sebya translyator TCP soedineniya.
Pol'zovatel' obrazuet soedinenie s opredelennym portom na brandmauere, posle chego
poslednij proizvodit soedinenie s mestom naznacheniya po druguyu storonu ot brandmauera. Vo
vremya seansa etot translyator kopiruet bajty v oboih napravleniyah, dejstvuya kak provod.
Kak pravilo, punkt naznacheniya zadaetsya zaranee, v to vremya kak istochnikov mozhet byt'
mnogo ( soedinenie tipa odin - mnogo). Ispol'zuya razlichnye porty, mozhno sozdavat'
razlichnye konfiguracii.
Takoj tip servera pozvolyaet sozdavat' translyator dlya lyubogo opredelennogo pol'zovatelem
servisa, baziruyushchegosya na TCP, osushchestvlyat' kontrol' dostupa k etomu servisu, sbor
statistiki po ego ispol'zovaniyu.
Sravnitel'nye harakteristiki
Nizhe privedeny osnovnye preimushchestva i nedostatki paketnyh fil'trov i serverov
prikladnogo urovnya otnositel'no drug druga.
K polozhitel'nym kachestvam paketnyh fil'trov sleduet otnesti sleduyushchie:
- otnositel'no nevysokaya stoimost'
- gibkost' v opredelenii pravil fil'tracii
- nebol'shaya zaderzhka pri prohozhdenii paketov
Nedostatki u dannogo tipa brandmauerov sleduyushchie :
- lokal'naya set' vidna ( marshrutiziruetsya ) iz INTERNET
- pravila fil'tracii paketov trudny v opisanii, trebuyutsya ochen' horoshie znaniya
tehnologij TCP i UDP
- pri narushenii rabotosposobnosti brandmauera vse komp'yutery za nim stanovyatsya
polnost'yu nezashchishchennymi libo nedostupnymi
- autentifikaciyu s ispol'zovaniem IP-adresa mozhno obmanut' ispol'zovaniem IP-spufinga
(atakuyushchaya sistema vydaet sebya za druguyu, ispol'zuya ee IP-adres)
- otsutstvuet autentifikaciya na pol'zovatel'skom urovne
K preimushchestvam serverov prikladnogo urovnya sleduet otnesti
sleduyushchie:
- lokal'naya set' nevidima iz INTERNET
- pri narushenii rabotosposobnosti brandmauera pakety perestayut
prohodit' cherez brandmauer, tem samym ne voznikaet ugrozy
dlya zashchishchaemyh im mashin
- zashchita na urovne prilozhenij pozvolyaet osushchestvlyat' bol'shoe kolichestvo dopolnitel'nyh
proverok, snizhaya tem samym veroyatnost' vzloma s ispol'zovaniem dyr v programmnom
obespechenii
- autentifikaciya na pol'zovatel'skom urovne
mozhet byt' realizovana sistema nemedlennogo
preduprezhdeniya o popytke vzloma.
Nedostatkami etogo tipa yavlyayutsya:
- bolee vysokaya, chem dlya paketnyh fil'trov stoimost';
- nevozmozhnost' ispol'zovanii protokolov RPC i UDP;
- proizvoditel'nost' nizhe, chem dlya paketnyh fil'trov.
Ryad brandmauerov pozvolyaet takzhe organizovyvat' virtual'nye korporativnye seti ( Virtual
Private Network), t.e. ob®edinit' neskol'ko lokal'nyh setej, vklyuchennyh v INTERNET v odnu
virtual'nuyu set'. VPN pozvolyayut organizovat' prozrachnoe dlya pol'zovatelej soedinenie
lokal'nyh setej, sohranyaya sekretnost' i celostnost' peredavaemoj informacii s pomoshch'yu
shifrovaniya. Pri etom pri peredache po INTERNET shifruyutsya ne tol'ko dannye
pol'zovatelya, no i setevaya informaciya - setevye adresa, nomera portov i t.d.
Dlya podklyucheniya brandmauerov ispol'zuyutsya razlichnye shemy. Brandmauer mozhet
ispol'zovat'sya v kachestve vneshnego routera, ispol'zuya podderzhivaemye tipy ustrojstv dlya
podklyucheniya k vneshnej seti (sm ris. 1). Inogda ispol'zuetsya shema, izobrazhennaya na ris 3,
odnako pol'zovat'sya ej sleduet tol'ko v krajnem sluchae, poskol'ku trebuetsya ochen'
akkuratnaya nastrojka routerov i nebol'shie oshibki mogut obrazovat' ser'eznye dyry v
zashchite.
Esli brandmauer mozhet podderzhivat' dva Ethernet interfejsa (tak nazyvaemyj dual-homed
brandmauer), to chashche vsego podklyuchenie osushchestvlyaetsya cherez vneshnij marshrutizator (sm ris.
4).
Pri etom mezhdu vneshnim routerom i brandmauerom imeetsya tol'ko odin put', po kotoromu
idet ves' trafik. Obychno router nastraivaetsya takim obrazom, chto brandmauer yavlyaetsya
edinstvennoj vidimoj snaruzhi mashinoj. |ta shema yavlyaetsya naibolee predpochtitel'noj s
tochki zreniya bezopasnosti i nadezhnosti zashchity.
Drugaya shema predstavlena na ris. 5.
Pri etom brandmauerom zashchishchaetsya tol'ko odna
podset' iz neskol'kih vyhodyashchih iz routera. V nezashchishchaemoj brandmauerom oblasti chasto
raspolagayut servery, kotorye dolzhny byt' vidimy snaruzhi (WWW, FTP i t.d.). Nekotorye
brandmauery predlagayut razmestit' eti servera na nem samom - reshenie, daleko ne luchshee s
tochki zreniya zagruzki mashiny i bezopasnosti samogo brandmauera
Sushchestvuyut resheniya (sm ris. 6),kotorye pozvolyayut organizovat' dlya serverov,
kotorye dolzhny byt' vidimy snaruzhi, tret'yu set'; eto pozvolyaet obespechit' kontrol' za
dostupom k nim, sohranyaya v to zhe vremya neobhodimyj uroven' zashchity mashin v osnovnoj seti.
Pri etom dostatochno mnogo vnimaniya udelyaetsya tomu, chtoby pol'zovateli vnutrennej seti ne
mogli sluchajno ili umyshlenno otkryt' dyru v lokal'nuyu set' cherez eti servera
Dlya povysheniya urovnya zashchishchennosti vozmozhno ispol'zovat' v odnoj seti neskol'ko
brandmauerov, stoyashchih drug za drugom.
Legkost' administrirovaniya yavlyaetsya odnim iz klyuchevyh aspektov v sozdanii
effektivnoj i nadezhnoj sistemy zashchity. Oshibki pri opredelenii pravil dostupa mogut
obrazovat' dyru, cherez kotoruyu mozhet byt' vzlomana sistema. Poetomu v bol'shinstve
brandmauerov realizovany servisnye utility, oblegchayushchie vvod, udalenie, prosmotr nabora
pravil. Nalichie etih utilit pozvolyaet takzhe proizvodit' proverki na sintaksicheskie ili
logicheskie oshibki pri vvode ili redaktirovaniya pravil. Kak pravilo, eti utility pozvolyayut
prosmatrivat' informaciyu, sgruppirovannuyu po kakim libo kriteriyam - naprimer, vse chto
otnositsya k konkretnomu pol'zovatelyu ili servisu.
Sistemy sbora statistiki i preduprezhdeniya ob atake
Eshche odnim vazhnym komponentom brandmauera yavlyaetsya sistema sbora
statistiki i preduprezhdeniya ob atake. Informaciya obo vseh sobytiyah - otkazah, vhodyashchih,
vyhodyashchih soedineniyah, chisle peredannyh bajt, ispol'zovavshihsya servisah, vremeni
soedineniya i t.d. - nakaplivaetsya v fajlah statistiki. Mnogie brandmauery pozvolyayut gibko
opredelyat' podlezhashchie protokolirovaniyu sobytiya, opisat' dejstviya brandmauera pri atakah
ili popytkah nesankcionirovannogo dostupa - eto mozhet byt' soobshchenie na konsol', pochtovoe
poslanie administratoru sistemy i t.d. Nemedlennyj vyvod soobshcheniya o popytke vzloma na
ekran konsoli ili administratora mozhet pomoch', esli popytka okazalas' uspeshnoj i
atakuyushchij uzhe pronik v sistemu. V sostav mnogih brandmauerov vhodyat generatory otchetov,
sluzhashchie dlya obrabotki statistiki. Oni pozvolyayut sobrat' statistiku po ispol'zovaniyu
resursov konkretnymi pol'zovatelyami, po ispol'zovaniyu servisov, otkazam, istochnikam, s
kotoryh provodilis' popytki nesankcionirovannogo dostupa i t.d.
Autentifikaciya yavlyaetsya odnim iz samyh vazhnyh komponentov brandmauerov. Prezhde
chem pol'zovatelyu budet predostavleno pravo vospol'zovat'sya tem ili inym servisom,
neobhodimo ubedit'sya, chto on dejstvitel'no tot, za kogo on sebya vydaet (predpolagaetsya,
chto etot servis dlya dannogo pol'zovatelya razreshen: process opredeleniya, kakie servisy
razresheny nazyvaetsya avtorizaciej. Avtorizaciya obychno rassmatrivaetsya v kontekste
autentifikacii - kak tol'ko pol'zovatel' autentificirovan, dlya nego opredelyayutsya
razreshennye emu servisy). Pri poluchenii zaprosa na ispol'zovanie servisa ot imeni
kakogo-libo pol'zovatelya, brandmauer proveryaet, kakoj sposob autentifikacii opredelen dlya
dannogo pol'zovatelya i peredaet upravlenie serveru autentifikacii. Posle polucheniya
polozhitel'nogo otveta ot servera autentifikacii brandmauer obrazuet zaprashivaemoe
pol'zovatelem soedinenie.
Kak pravilo, ispol'zuetsya princip, poluchivshij nazvanie "chto on znaet" - t.e.
pol'zovatel' znaet nekotoroe sekretnoe slovo, kotoroe on posylaet serveru autentifikacii v
otvet na ego zapros.
Odnoj iz shem autentifikacii yavlyaetsya ispol'zovanie standartnyh UNIX parolej.
|ta shema yavlyaetsya naibolee uyazvimoj s tochki zreniya bezopasnosti - parol' mozhet byt'
perehvachen i ispol'zovan drugim licom.
CHashche vsego ispol'zuyutsya shemy s ispol'zovaniem odnorazovyh parolej. Dazhe buduchi
perehvachennym, etot parol' budet bespolezen pri sleduyushchej registracii, a poluchit'
sleduyushchij parol' iz predydushchego yavlyaetsya krajne trudnoj zadachej. Dlya generacii
odnorazovyh parolej ispol'zuyutsya kak programmnye, tak i apparatnye generatory -
poslednie predstavlyayut iz sebya ustrojstva, vstavlyaemye v slot komp'yutera. Znanie
sekretnogo slova neobhodimo pol'zovatelyu dlya privedeniya etogo ustrojstva v dejstvie. Ryad
brandmauerov podderzhivayut Kerberos - odin iz naibolee rasprostranennyh metodov
autentifikacii. Nekotorye shemy trebuyut izmeneniya klientskogo programmnogo obespecheniya -
shag, kotoryj daleko ne vsegda priemlem. Kak pravilo, vse kommercheskie brandmauery
podderzhivayut neskol'ko razlichnyh shem, pozvolyaya administratoru sdelat' vybor naibolee
priemlemoj dlya svoih uslovij.
1996
Last-modified: Wed, 16 Apr 1997 11:51:30 GMT