Brandmauery, ili zapirajte vashu dver' Original of this document is at Open Systems. Nets #2/97 http://www.osp.ru/nets/nt_2_97/source/88.htm ¡ http://www.osp.ru/nets/nt_2_97/source/88.htm
Predstav'te sebe takuyu situaciyu. Podklyuchivshis' k sisteme World Wide Web (WWW), vy obnaruzhivaete vmesto domashnej stranicy svoej kompanii, cvetnuyu fotografiyu obnazhennoj divy ili, eshche huzhe, Adol'fa Gitlera v okruzhenii svastik. Navernoe, v etom sluchae pervoe, chto pridet vam v golovu, budet: "Gospodi, chem zhe teper' zanimaetsya moya kompaniya?" Odnako ne toropites' bezhat' s etim voprosom k svoemu shefu - profil' vashej organizacii ne izmenilsya, prosto ee Web-uzel podvergsya napadeniyu ocherednogo vandala, podmenivshego domashnyuyu stranicu.
Podobnye "napadeniya" dostatochno bezvredny, drugie zhe, naprotiv, mogut prichinit' ves'ma znachitel'nyj vred vashej kompanii. Naprimer, hakery, vtorgshiesya v komp'yuternuyu sistemu kompanii MCI, ukrali okolo 50 tys. nomerov kreditnyh kartochek. Kompaniya Digital Equipment Corporation (DEC) soobshchaet, chto ee poteri ot vtorzheniya odnogo neizvestnogo hakera sostavili neskol'ko millionov dollarov. I chto samoe nepriyatnoe, chislo podobnyh "napadenij" postoyanno rastet. Po dannym finansiruemoj pravitel'stvom SSHA organizacii CERT Coordination Center, chislo vyyavlennyh "vzlomov" sistem zashchity v Internet vyroslo so 130 sluchaev, zafiksirovannyh v 1990 g., do 2400 v 1995 g.
Podobnye napadeniya vozmozhny (bolee togo, dostatochno legko osushchestvimy) vsledstvie togo, chto Internet sozdavalas' kak otkrytaya sistema, prednaznachennaya dlya svobodnogo obmena informaciej. Poetomu sovsem ne udivitel'no, chto TCP/IP - nabor protokolov, kotoryj obespechivaet kommunikacii v Internet i v poluchayushchih vse bol'shuyu populyarnost' intrasetyah, - imeet "vrozhdennye" nedostatki zashchity. To zhe samoe mozhno skazat' i o sluzhbah na baze TCP/IP, takih kak FTP i Domain Naming System (DNS).
Esli vy ispol'zuete sluzhby, osnovannye na TCP/IP, i podklyucheny k Internet ili k korporativnoj intraseti, to dlya zashchity vashej seti neobhodim brandmauer. Konechno, esli v vashej seti hranitsya sverhsekretnaya informaciya (naprimer, imeyushchaya otnoshenie k nacional'noj bezopasnosti), to brandmauerom vam ne obojtis' (skoree, ponadobitsya instrument dlya obrezki provodov). Ni odin brandmauer ne mozhet garantirovat' polnoj zashchity vashej seti pri vseh vozmozhnyh obstoyatel'stvah, poetomu osobo vazhnuyu informaciyu prosto ne sleduet hranit' v setyah, v kotoryh ispol'zuetsya TCP/IP. Odnako dlya bol'shinstva kommercheskih organizacij ustanovka brandmauera yavlyaetsya neobhodimym usloviem obespecheniya zashchity seti - takim zhe, kak ustanovka zamka na vhodnuyu dver' dlya zashchity kvartiry.
Vne komp'yuternoj otrasli brandmauerom (firewall) nazyvaetsya stena, sdelannaya iz negoryuchih materialov i prepyatstvuyushchaya rasprostraneniyu pozhara. V sfere komp'yuternyh setej brandmauer predstavlyaet soboj bar'er, zashchishchayushchij ot figural'nogo pozhara - popytok zloumyshlennikov vtorgnut'sya v set', dlya togo chtoby skopirovat', izmenit' ili steret' informaciyu libo chtoby vospol'zovat'sya polosoj propuskaniya, pamyat'yu ili vychislitel'noj moshchnost'yu rabotayushchih v etoj seti komp'yuterov. Brandmauer ustanavlivaetsya na granice zashchishchaemoj seti i fil'truet vse vhodyashchie i ishodyashchie dannye, propuskaya tol'ko avtorizovannye pakety.
Brandmauer yavlyaetsya naborom komponentov, nastroennyh takim obrazom, chtoby realizovat' opredelennuyu politiku kontrolya vneshnego dostupa k vashej seti. Obychno brandmauery zashchishchayut vnutrennyuyu set' kompanii ot "vtorzhenij" iz Internet, odnako oni mogut ispol'zovat'sya i dlya zashchity ot "napadenij", naprimer, iz korporativnoj intraseti, k kotoroj podklyuchena i vasha set'. Kak i v sluchae realizacii lyubogo drugogo mehanizma setevoj zashchity, organizaciya, vyrabatyvayushchaya konkretnuyu politiku bezopasnosti, krome vsego prochego, dolzhna opredelit' tip trafika TCP/IP, kotoryj budet vosprinimat'sya brandmauerom kak "avtorizovannyj". Naprimer, neobhodimo reshit', budet li ogranichen dostup pol'zovatelej k opredelennym sluzhbam na baze TCP/IP, i esli budet, to do kakoj stepeni. Vyrabotka politiki bezopasnosti pomozhet ponyat', kakie komponenty brandmauera vam neobhodimy i kak ih skonfigurirovat', chtoby obespechit' te ogranicheniya dostupa, kotorye vy zadali (sm. vrezku "Rekomendacii specialistov").
Rabota vseh brandmauerov osnovana na ispol'zovanii informacii raznyh urovnej modeli OSI (tablica 1). Model' OSI, razrabotannaya Mezhdunarodnoj organizaciej po standartizacii (International Standards Organization - ISO), opredelyaet sem' urovnej, na kotoryh komp'yuternye sistemy vzaimodejstvuyut drug s drugom, - nachinaya s urovnya fizicheskoj sredy peredachi dannyh i zakanchivaya urovnem prikladnyh programm, ispol'zuemyh dlya kommunikacij. V obshchem sluchae, chem vyshe uroven' modeli OSI, na kotorom brandmauer fil'truet pakety, tem vyshe i obespechivaemyj im uroven' zashchity.
Tablica 1.
Brandmauery i modeli OSI.
|
|
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
||
|
Sushchestvuyushchie brandmauery sil'no otlichayutsya drug ot druga kak po urovnyu zashchity, tak i po ispol'zuemym v nih sposobah zashchity. Odnako bol'shinstvo brandmauerov, postavlyaemyh kak kommercheskie produkty, mozhno (vprochem, dostatochno uslovno) otnesti k odnoj iz chetyreh kategorij:
Lish' nemnogie brandmauery otnosyatsya tol'ko k odnoj iz perechislennyh kategorij, eshche men'she - v tochnosti sootvetstvuet tem opredeleniyam, kotorye budut dany nizhe dlya kazhdoj iz kategorij. Tem ne menee eti opredeleniya otrazhayut klyuchevye vozmozhnosti, otlichayushchie odin vid brandmauerov ot drugogo.
Brandmauer s fil'traciej paketov predstavlyaet soboj marshrutizator ili rabotayushchuyu na servere programmu, skonfigurirovannye takim obrazom, chtoby fil'trovat' vhodyashchie i ishodyashchie pakety. Brandmauer propuskaet ili otbrakovyvaet pakety v sootvetstvii s informaciej, soderzhashchejsya v IP-zagolovkah paketov. Naprimer, bol'shinstvo brandmauerov s fil'traciej paketov mozhet propuskat' ili otbrakovyvat' pakety na osnove informacii, pozvolyayushchej associirovat' dannyj paket s konkretnymi otpravitelem i poluchatelem (polnoj associacii), kotoraya sostoit iz sleduyushchih elementov:
Vse marshrutizatory (dazhe te, kotorye ne skonfigurirovany dlya fil'tracii paketov), obychno proveryayut polnuyu associaciyu paketa, chtoby opredelit', kuda ego nuzhno napravit'. Brandmauer s fil'traciej paketov, krome togo, pered otpravkoj paketa poluchatelyu sravnivaet ego polnuyu associaciyu s tablicej pravil, v sootvetstvii s kotorymi on dolzhen propustit' ili otbrakovat' dannyj paket.
Brandmauer prodolzhaet proverku do teh por, poka ne najdet pravila, s kotorym soglasuetsya polnaya associaciya paketa. Esli brandmauer poluchil paket, ne sootvetstvuyushchij ni odnomu iz tablichnyh pravil, on primenyaet pravilo, zadannoe po umolchaniyu, kotoroe takzhe dolzhno byt' chetko opredeleno v tablice brandmauera. Iz soobrazhenij bezopasnosti eto pravilo obychno ukazyvaet na neobhodimost' otbrakovki vseh paketov, ne udovletvoryayushchih ni odnomu iz drugih pravil.
Vy mozhete zadat' pravila fil'tracii paketov, kotorye budut "ukazyvat'" brandmaueru, kakie pakety dolzhny byt' propushcheny, a kakie otbrakovany. Naprimer, mozhno opredelit' pravila takim obrazom, chtoby brandmauer otbrakovyval pakety, postupayushchie ot vneshnih serverov (ih obychno nazyvayut Internet-hostami), IP-adresa kotoryh ukazany v tablice. Mozhno takzhe zadat' pravilo, v sootvetstvii s kotorym budet razresheno propuskat' tol'ko vhodyashchie soobshcheniya elektronnoj pochty, adresovannye pochtovomu serveru, ili pravilo blokirovki vseh pochtovyh soobshchenij, postupayushchih ot vneshnego hosta, kotoryj kogda-to "navodnil" vashu set' gigabajtami nenuzhnyh dannyh.
Krome togo, mozhno skonfigurirovat' brandmauer dlya fil'tracii paketov na osnove nomerov portov, zadavaemyh v zagolovkah paketov TCP i UDP (User Datagram Protocol). V etom sluchae mozhno budet propuskat' otdel'nye vidy paketov (naprimer, Telnet ili FTP), tol'ko esli oni napravlyayutsya k opredelennym serveram (sootvetstvenno k Telnet ili FTP). Odnako uspeshnoe vypolnenie podobnogo pravila zavisit ot togo, kakie soglasheniya prinyaty v vashej seti, funkcioniruyushchej na osnove TCP/IP: dlya raboty prilozhenij TCP/IP servery i klienty obychno ispol'zuyut konkretnye porty (kotorye chasto nazyvayut izvestnymi, t.e. zaranee opredelennymi), odnako eto ne yavlyaetsya obyazatel'nym usloviem.
Naprimer, prilozhenie Telnet na serverah seti s TCP/IP obychno rabotaet cherez port 23. CHtoby razreshit' seansy Telnet tol'ko s opredelennym serverom, neobhodimo zadat' pravila, odno iz kotoryh "zastavit" brandmauer propuskat' vse pakety, zaprashivayushchie port 23 po adresu 123.45.6.7 (IP-adres vashego servera Telnet), a drugoe - otbrakovyvat' vhodyashchie pakety, zaprashivayushchie etot port po drugim adresam.
Konechno, real'nye pravila sozdavat' namnogo slozhnee, chem opisano vyshe. Bolee slozhnye primery mozhno najti, naprimer, v pravilah konfigurirovaniya marshrutizatorov kompanii Cisco, kotorye dostupny cherez Internet.
Glavnoe preimushchestvo ispol'zovaniya brandmauerov s fil'traciej paketov sostoit v nevysokoj stoimosti ih realizacii i minimal'nom vliyanii na proizvoditel'nost' seti. Esli v vashej seti uzhe ustanovlen apparatnyj ili programmnyj IP-marshrutizator, obespechivayushchij vozmozhnost' fil'tracii paketov (naprimer, proizvodstva Cisco Systems, Bay Networks ili Novell), nastrojka brandmauera obojdetsya vam darom (ne schitaya vremeni, kotoroe pridetsya potratit' na sozdanie pravil fil'tracii paketov).
Nesmotrya na privlekatel'nost' takih brandmauerov s tochki zreniya minimizacii zatrat, oni, kak pravilo, ne mogut obespechit' adekvatnuyu zashchitu ot hakerov, "ispytyvayushchih interes" k vashej seti. Pravil'naya nastrojka pravil fil'tracii paketov mozhet okazat'sya dostatochno slozhnoj proceduroj, odnako dazhe esli vam udastsya sozdat' dostatochno effektivnye pravila, ih vozmozhnosti vse ravno ostanutsya ogranichennymi.
Naprimer, vy sozdadite pravilo, v sootvetstvii s kotorym brandmauer budet otbrakovyvat' vse pakety s neizvestnym adresom otpravitelya. Odnako haker mozhet prosto ispol'zovat' v kachestve adresa otpravitelya v svoem "zlovrednom" pakete real'nyj adres doverennogo (avtorizovannogo) klienta. V etom sluchae brandmauer ne sumeet otlichit' poddel'nyj paket ot nastoyashchego i propustit ego, "predpolagaya", chto ostal'naya informaciya v polnoj associacii paketa takzhe sootvetstvuet razreshayushchemu pravilu. Praktika pokazyvaet, chto podobnyj vid napadenij, nazyvaemyj "address-spoofing" (podmena adresa), dovol'no shiroko rasprostranen v Internet i, k sozhaleniyu, ochen' chasto okazyvaetsya effektivnym.
Poskol'ku brandmauer s fil'traciej paketov rabotaet tol'ko na setevom urovne modeli vzaimodejstviya otkrytyh sistem (Open Systems Interconnection - OSI) obychno proveryaet tol'ko informaciyu, soderzhashchuyusya v IP-zagolovkah paketov, to "obmanut'" ego ne sostavlyaet truda: haker prosto sozdaet zagolovok, kotoryj udovletvoryaet razreshayushchim pravilam brandmauera. Krome zagolovka paketa, nikakaya drugaya soderzhashchayasya v nem informaciya brandmauerami dannoj kategorii ne proveryaetsya.
SHlyuz seansovogo urovnya sledit za podtverzhdeniem (kvitirovaniem) svyazi mezhdu avtorizovannym klientom i vneshnim hostom (i naoborot), opredelyaya, yavlyaetsya li zaprashivaemyj seans svyazi dopustimym. Pri fil'tracii paketov shlyuz seansovogo urovnya osnovyvaetsya na informacii, soderzhashchejsya v zagolovkah paketov seansovogo urovnya protokola TCP, t. e. funkcioniruet na dva urovnya vyshe, chem brandmauer s fil'traciej paketov.
CHtoby opredelit', yavlyaetsya li zapros na seans svyazi dopustimym, shlyuz seansovogo urovnya vypolnyaet primerno sleduyushchuyu proceduru. Kogda avtorizovannyj klient zaprashivaet nekotoruyu uslugu, shlyuz prinimaet etot zapros, proveryaya, udovletvoryaet li klient bazovym kriteriyam fil'tracii (naprimer, mozhet li DNS-server opredelit' IP-adres klienta i associirovannoe s nim imya). Zatem, dejstvuya ot imeni klienta, shlyuz ustanavlivaet soedinenie s vneshnim hostom i sledit za vypolneniem procedury kvitirovaniya svyazi po protokolu TCP. |ta procedura sostoit iz obmena TCP-paketami, kotorye pomechayutsya flagami SYN (sinhronizirovat') i ACK (podtverdit').
Pervyj paket seansa TCP, pomechennyj flagom SYN i soderzhashchij proizvol'noe chislo, naprimer 1000, yavlyaetsya zaprosom klienta na otkrytie seansa. Vneshnij host, poluchivshij etot paket, posylaet v otvet paket, pomechennyj flagom ACK i soderzhashchij chislo, na edinicu bol'shee, chem v prinyatom pakete (v nashem sluchae 1001), podtverzhdaya, takim obrazom, priem paketa SYN ot klienta. Posle etogo osushchestvlyaetsya obratnaya procedura: host posylaet klientu paket SYN s ishodnym chislom (naprimer, 2000), a klient podtverzhdaet ego poluchenie peredachej paketa ACK, soderzhashchego chislo 2001. Na etom process kvitirovaniya svyazi zavershaetsya.
SHlyuz seansovogo urovnya "schitaet" zaproshennyj seans dopustimym tol'ko v tom sluchae, esli pri vypolnenii procedury kvitirovaniya svyazi flagi SYN i ACK, a takzhe chisla, soderzhashchiesya v TCP-paketah, okazyvayutsya logicheski svyazannymi mezhdu soboj.
Posle togo kak shlyuz "opredelil", chto doverennyj klient i vneshnij shlyuz yavlyayutsya avtorizovannymi uchastnikami seansa TCP, i proveril dopustimost' dannogo seansa, on ustanavlivaet soedinenie. Nachinaya s etogo momenta shlyuz prosto kopiruet i perenapravlyaet pakety tuda i obratno, ne provodya nikakoj fil'tracii. On podderzhivaet tablicu ustanovlennyh soedinenij, propuskaya dannye, otnosyashchiesya k odnomu iz seansov svyazi, kotorye zafiksirovany v etoj tablice. Kogda seans zavershaetsya, shlyuz udalyaet sootvetstvuyushchij element iz tablicy i razryvaet cep', ispol'zovavshuyusya v dannom seanse.
Dlya kopirovaniya i perenapravleniya paketov v shlyuzah seansovogo urovnya ispol'zuyutsya special'nye prilozheniya, kotorye inogda nazyvayut kanal'nymi posrednikami (pipe proxies), poskol'ku oni ustanavlivayut mezhdu dvumya setyami virtual'nuyu cep', ili kanal, a zatem razreshayut paketam (kotorye generiruyutsya prilozheniyami TCP/IP) prohodit' po etomu kanalu.
Kanal'nye posredniki podderzhivayut neskol'ko sluzhb TCP/IP, poetomu shlyuzy seansovogo urovnya mogut ispol'zovat'sya dlya rasshireniya vozmozhnostej shlyuzov prikladnogo urovnya, rabota kotoryh osnovyvaetsya na programmah-posrednikah konkretnyh prilozhenij. V dejstvitel'nosti bol'shinstvo shlyuzov seansovogo urovnya ne yavlyayutsya samostoyatel'nymi produktami, a postavlyayutsya v komplekte so shlyuzami prikladnogo urovnya. Primerami takih shlyuzov yavlyayutsya Gauntlet Internet Firewall kompanii Trusted Information Systems, AltaVista Firewall kompanii DEC i ANS Interlock kompanii ANS (tablica 2).
Tablica 2.
Nekotorye populyarnye brandmauery.
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Naprimer, AltaVista Firewall ispol'zuet kanal'nye posredniki prikladnogo urovnya dlya kazhdoj iz shesti sluzhb TCP/IP, k kotorym otnosyatsya, naprimer, FTP, HTTP (HyperText Transport Protocol) i Telnet. Krome togo, brandmauer kompanii DEC obespechivaet shlyuz seansovogo urovnya, podderzhivayushchij drugie obshchedostupnye sluzhby TCP/IP, takie kak Gopher i SMTP (Simple Mail Transfer Protocol), dlya kotoryh brandmauer ne predostavlyaet posrednikov prikladnogo urovnya.
SHlyuz seansovogo urovnya vypolnyaet eshche odnu vazhnuyu funkciyu zashchity: on ispol'zuetsya v kachestve servera-posrednika (proxy server). I hotya etot termin predpolagaet nalichie servera, na kotorom rabotayut programmy-posredniki (chto spravedlivo dlya shlyuza seansovogo urovnya), v dannom sluchae on oznachaet neskol'ko drugoe. Serverom-posrednikom mozhet byt' brandmauer, ispol'zuyushchij proceduru translyacii adresov (address translation), pri kotoroj proishodit preobrazovanie vnutrennih IP-adresov v odin "nadezhnyj" IP-adres. |tot adres associiruetsya s brandmauerom, iz kotorogo peredayutsya vse ishodyashchie pakety.
V rezul'tate v seti so shlyuzom seansovogo urovnya vse ishodyashchie pakety okazyvayutsya otpravlennymi iz etogo shlyuza, chto isklyuchaet pryamoj kontakt mezhdu vnutrennej (avtorizovannoj) set'yu i yavlyayushchejsya potencial'no opasnoj vneshnej set'yu. IP-adres shlyuza seansovogo urovnya stanovitsya edinstvennym aktivnym IP-adresom, kotoryj popadaet vo vneshnyuyu set'. Takim obrazom, shlyuz seansovogo urovnya i drugie servery-posredniki zashchishchayut vnutrennie seti ot napadenij tipa spoofing (imitaciya adresov), o kotoryh bylo rasskazano vyshe.
SHlyuzy seansovogo urovnya ne imeyut "vrozhdennyh" uyazvimyh mest, odnako posle ustanovleniya svyazi takie shlyuzy fil'truyut pakety tol'ko na seansovom urovne modeli OSI, t. e. ne mogut proveryat' soderzhimoe paketov, peredavaemyh mezhdu vnutrennej i vneshnej set'yu na urovne prikladnyh programm. I poskol'ku osushchestvlyaetsya eta peredacha "vslepuyu", haker, nahodyashchijsya vo vneshnej seti, mozhet "protashchit'" svoi "zlovrednye" pakety cherez shlyuz. Posle etogo haker obratitsya napryamuyu k vnutrennemu Web-serveru, kotoryj sam po sebe mozhet ne obespechivat' funkcii brandmauera.
Inymi slovami, esli procedura kvitirovaniya svyazi uspeshno zavershena, shlyuz seansovogo urovnya ustanovit soedinenie i budet "tupo" kopirovat' i perenapravlyat' vse posleduyushchie pakety nezavisimo ot ih soderzhimogo. CHtoby fil'trovat' pakety, generiruemye opredelennymi setevymi sluzhbami v sootvetstvii s ih soderzhimym, neobhodim shlyuz prikladnogo urovnya.
Tak zhe kak i shlyuz seansovogo urovnya, shlyuz prikladnogo urovnya perehvatyvaet vhodyashchie i ishodyashchie pakety, ispol'zuet programmy-posredniki, kotorye kopiruyut i perenapravlyayut informaciyu cherez shlyuz, a takzhe funkcioniruet v kachestve servera-posrednika, isklyuchaya pryamye soedineniya mezhdu doverennym serverom ili klientom i vneshnim hostom. Odnako posredniki, ispol'zuemye shlyuzom prikladnogo urovnya, imeyut vazhnye otlichiya ot kanal'nyh posrednikov shlyuzov seansovogo urovnya: vo-pervyh, oni svyazany s prilozheniyami, a vo-vtoryh, mogut fil'trovat' pakety na prikladnom urovne modeli OSI.
V otlichie ot kanal'nyh posrednikov, posredniki prikladnogo urovnya propuskayut tol'ko pakety, sgenerirovannye temi prilozheniyami, kotorye im porucheno obsluzhivat'. Naprimer, programma-posrednik sluzhby Telnet mozhet kopirovat', perenapravlyat' i fil'trovat' lish' trafik, generiruemyj etoj sluzhboj. Esli v seti rabotaet tol'ko shlyuz prikladnogo urovnya, to vhodyashchie i ishodyashchie pakety mogut peredavat'sya lish' dlya teh sluzhb, dlya kotoryh imeyutsya sootvetstvuyushchie posredniki. Tak, esli shlyuz prikladnogo urovnya ispol'zuet tol'ko programmy-posredniki FTP i Telnet, to on budet propuskat' pakety etih sluzhb, blokiruya pri etom pakety vseh ostal'nyh sluzhb.
V otlichie ot shlyuzov seansovogo urovnya, kotorye kopiruyut i "slepo" perenapravlyayut vse postupayushchie pakety, posredniki prikladnogo urovnya (samogo vysokogo v modeli OSI) proveryayut soderzhimoe kazhdogo prohodyashchego cherez shlyuz paketa. |ti posredniki mogut fil'trovat' otdel'nye vidy komand ili informacii v protokolah prikladnogo urovnya, kotorye im porucheno obsluzhivat'.
Takie produkty, kak Eagle kompanii Raptor Systems, ANS InterLock kompanii ANS i Sidewinder Security Server kompanii Secure Computing Corporation, vklyuchayut v sebya programmy-posredniki prikladnogo urovnya dlya sluzhb FTP, HTTP i Telnet. Utility etih shlyuzov pozvolyayut fil'trovat' opredelennye komandy, ispol'zuemye etimi sluzhbami. Naprimer, mozhno skonfigurirovat' shlyuz takim obrazom, chtoby on predotvrashchal ispol'zovanie klientami komandy FTP Put, kotoraya daet vozmozhnost' pol'zovatelyu, podklyuchennomu k FTP-serveru, zapisyvat' na nego informaciyu. Mnogie setevye administratory predpochitayut zapretit' ispol'zovanie etoj komandy, chtoby umen'shit' risk sluchajnogo povrezhdeniya hranyashchejsya na FTP-servere informacii i veroyatnost' zapolneniya ego gigabajtami hakerskih dannyh, peresylaemyh na server dlya zapolneniya ego diskovoj pamyati i blokirovaniya raboty.
V dopolnenie k fil'tracii paketov mnogie shlyuzy prikladnogo urovnya registriruyut vse vypolnyaemye serverom dejstviya i, chto naibolee vazhno, preduprezhdayut setevogo administratora o vozmozhnyh narusheniyah zashchity. Naprimer, pri popytkah proniknoveniya v sistemu izvne BorderWare Firewall Server kompanii Secure Computing pozvolyaet fiksirovat' adresa otpravitelya i poluchatelya paketov, vremya, v kotoroe eti popytki byli predprinyaty, i ispol'zuemyj protokol. Produkt Black Hole kompanii Milkyway Networks takzhe registriruet vse dejstviya servera i preduprezhdaet administratora o vozmozhnyh narusheniyah, posylaya emu soobshchenie po elektronnoj pochte ili na pejdzher. Analogichnye funkcii obespechivayut i produkty Eagle i Sidewinder Security Server.
Bol'shinstvo shlyuzov prikladnogo urovnya prednaznacheny dlya odnoj ili neskol'kih raznovidnostej operacionnoj sistemy UNIX. YArkim predstavitelem etogo bol'shogo semejstva produktov yavlyaetsya Black Hole kompanii Milkyway Networks, kotoryj rabotaet na komp'yuterah so SPARC-arhitekturoj pod upravleniem SunOS ili Solaris. V otlichie ot etih shlyuzov, BorderWare Firewall Server kompanii Secure Computing i Gauntlet Internet Firewall kompanii Trusted Information Systems rabotayut na PK s processorom Pentium pod upravleniem operacionnyh sistem, yavlyayushchihsya sobstvennymi razrabotkami sootvetstvuyushchih kompanij. Produkty Centri Firewall kompanii Global Internet i Eagle kompanii Raptor Systems rabotayut pod SunOS, Solaris i Windows NT.
Ukazannye shlyuzy prikladnogo urovnya mozhno ustanavlivat' i v seti NetWare, ispol'zuyushchej protokoly TCP/IP. Dlya togo chtoby nachat' ispol'zovat' TCP/IP v seti, rabotayushchej po protokolu IPX, neobhodimo ustanovit' shlyuz IPX/IP ili ustanovit' stek TCP/IP kazhdomu klientu NetWare, kotoryj budet rabotat' so shlyuzom prikladnogo urovnya (naprimer, ispol'zuya produkt LAN WorkPlace ili LAN WorkGroup kompanii Novell).
SHlyuzy prikladnogo urovnya obespechivayut odin iz samyh vysokih na segodnyashnij den' urovnej zashchity, odnako sushchestvuet mnenie, chto takaya vysokaya stepen' zashchity imeet i oborotnuyu storonu, a imenno - otsutstvie "prozrachnosti" raboty shlyuza dlya pol'zovatelej. V ideale vse brandmauery dolzhny byt' "prozrachnymi", t.e. ih rabota dolzhna ostavat'sya nezametnoj dlya pol'zovatelej, obrashchayushchihsya iz svoej vnutrennej seti v Internet. Odnako v real'noj zhizni brandmauery vnosyat zaderzhki v process peredachi dannyh ili trebuyut ot pol'zovatelej vypolneniya neskol'kih procedur registracii pri podklyuchenii k Internet ili korporativnoj intraseti.
Mnogie postavshchiki utverzhdayut, chto ih shlyuzy prikladnogo urovnya yavlyayutsya "prozrachnymi", odnako rekomenduyut konfigurirovat' ih takim obrazom, chtoby oni vypolnyali autentifikaciyu pol'zovatelej pri ih obrashchenii k vneshnej seti (t.e. proceduru, kotoraya narushaet "prozrachnost'" raboty shlyuza). Naprimer, shlyuz Black Hole kompanii Milkyway Networks mozhno skonfigurirovat' tak, chto pol'zovateli budut vyhodit' vo vneshnyuyu set', ne registriruyas' na etom shlyuze. Odnako Milkyway Networks rekomenduet takuyu konfiguraciyu shlyuza, pri kotoroj pol'zovateli dolzhny budut registrirovat'sya na nem libo odin raz v techenie ustanovlennogo perioda, libo pri kazhdom zaprose na ustanovlenie seansa svyazi. Analogichnym obrazom mozhet byt' nastroen shlyuz Gauntlet Internet Firewall kompanii Trusted Informa-tion Systems.
Pri rabote shlyuza v "neprozrachnom" rezhime pol'zovatel' podklyuchaetsya k posredniku sootvetstvuyushchej sluzhby (naprimer, Telnet) i soobshchaet emu imya hosta, k kotoromu on sobiraetsya podklyuchit'sya. Posle etogo pol'zovatel' poluchaet i otpravlyaet informaciyu tak, kak esli by bylo ustanovleno pryamoe soedinenie klienta s vneshnim hostom. V "prozrachnom" zhe rezhime podklyuchenie pol'zovatelya k udalennomu hostu vypolnyaetsya bez predvaritel'nogo vzaimodejstviya so shlyuzom, odnako zatem shlyuz perehvatyvaet vse zaprosy pol'zovatelya.
Drugie proizvoditeli brandmauerov, otnosyashchihsya k kategorii shlyuzov prikladnogo urovnya, pytayutsya reshit' problemu "prozrachnosti" inymi sposobami. Naprimer, kompanii CyberGuard i NEC Technologies ispol'zuyut vmesto svyazannyh s prilozheniyami programm-posrednikov variant protokola SOCKS dlya marshrutizacii trafika, generiruemogo sluzhbami TCP/IP, cherez svoi shlyuzy Cyber-Guard Firewall i PrivateNet sootvetstvenno. SOCKS yavlyaetsya standartom, predlagaemym inzhenernoj gruppoj IETF (Internet Engineering Task Force) i obespechivayushchim "prozrachnuyu" autentifikaciyu pol'zovatelej, kotorye zaprashivayut soedineniya s vneshnimi hostami cherez brandmauer. Odnako ispol'zovanie SOCKS yavlyaetsya "neprozrachnym" dlya administratorov, kotorye dolzhny modificirovat' vse prilozheniya, ispol'zuemye klientami dlya dostupa k vneshnim resursam cherez brandmauer. Krome togo, hotya SOCKS i predpolagaet ispol'zovanie drugih mehanizmov zashchity (naprimer, shifrovaniya s lichnym i otkrytym klyuchami), on ne obespechivaet fil'tracii otdel'nyh paketov. Poetomu produkty, ispol'zuyushchie SOCKS, skoree mozhno otnesti k kategorii shlyuzov seansovogo, a ne prikladnogo urovnya.
|ti brandmauery sochetayut v sebe elementy vseh treh opisannyh vyshe kategorij. Kak i brandmauery s fil'traciej paketov, oni rabotayut na setevom urovne modeli OSI, fil'truya vhodyashchie i ishodyashchie pakety na osnove proverki IP-adresov i nomerov portov. Brandmauery ekspertnogo urovnya takzhe vypolnyayut funkcii shlyuza seansovogo urovnya, opredelyaya, otnosyatsya li pakety k sootvetstvuyushchemu seansu. I nakonec, brandmauery ekspertnogo urovnya berut na sebya funkcii shlyuza prikladnogo urovnya, ocenivaya soderzhimoe kazhdogo paketa v sootvetstvii s politikoj bezopasnosti, vyrabotannoj v konkretnoj organizacii.
Kak i shlyuz prikladnogo urovnya, brandmauer ekspertnogo urovnya mozhet byt' skonfigurirovan dlya otbrakovki paketov, soderzhashchih opredelennye komandy, naprimer komandy Put i Get sluzhby FTP. Odnako, v otlichie ot shlyuzov prikladnogo urovnya, pri analize dannyh prikladnogo urovnya takoj brandmauer ne narushaet klient-servernoj modeli vzaimodejstviya v seti.
SHlyuz prikladnogo urovnya ustanavlivaet dva soedineniya: odno - mezhdu avtorizovannym klientom i shlyuzom, vtoroe - mezhdu shlyuzom i vneshnim hostom. Posle etogo on prosto peresylaet informaciyu mezhdu etimi dvumya soedineniyami. Nesmotrya na vysokij uroven' zashchity, obespechivaemyj podobnymi shlyuzami, takaya shema mozhet skazat'sya na proizvoditel'nosti raboty. V protivopolozhnost' etomu brandmauery ekspertnogo urovnya dopuskayut pryamye soedineniya mezhdu klientami i vneshnimi hostami. Dlya obespecheniya zashchity takie brandmauery perehvatyvayut i analiziruyut kazhdyj paket na prikladnom urovne modeli OSI. Vmesto primeneniya svyazannyh s prilozheniyami programm-posrednikov, brandmauery ekspertnogo urovnya ispol'zuyut special'nye algoritmy raspoznavaniya i obrabotki dannyh na urovne prilozhenij. S pomoshch'yu etih algoritmov pakety sravnivayutsya s izvestnymi shablonami dannyh, chto, teoreticheski, dolzhno obespechit' bolee effektivnuyu fil'traciyu paketov.
Poskol'ku brandmauery ekspertnogo urovnya dopuskayut pryamoe soedinenie mezhdu avtori-zovannym klientom i vneshnim hostom, nekotorye utverzhdayut, chto brandmauery etoj kategorii obespechivayut menee vysokij uroven' zashchity, chem shlyuzy prikladnogo urovnya. Drugie zhe priderzhivayutsya protivopolozhnogo mneniya.
Brandmauery ekspertnogo urovnya yavlyayutsya ochen' populyarnym resheniem dlya zashchity uzlov Internet i intrasetej, poskol'ku oni "prozrachny" dlya pol'zovatelej, rabotayut na samom vysokom urovne modeli OSI i ne trebuyut vneseniya izmenenij v klientskoe PO i ustanovleniya otdel'nyh posrednikov dlya kazhdoj zashchishchaemoj brandmauerom sluzhby. Odin iz samyh populyarnyh kommercheskih brandmauerov FireWall-1 kompanii Check Point Software Techno-logies yavlyaetsya imenno brandmauerom ekspertnogo urovnya. |tot produkt nachal postavlyat'sya v 1993 g., i sejchas ego dolya na rynke brandmauerov sostavlyaet okolo 40%.
Drugoj vedushchij brandmauer ekspertnogo urovnya - ON Guard kompanii ON Technology. Razrabotannyj special'no dlya zashchity setej NetWare 3.11, 3.12 i 4.h, brandmauer ON Guard rabotaet na standartnyh PK s processorom Intel 486 i vyshe. Poskol'ku ON Guard mozhet fil'trovat' kak IP-, tak i IPX-pakety, ego mozhno ispol'zovat' i dlya zashchity seti NetWare ot IP-trafika, postupayushchego iz Internet ili intraseti, a takzhe dlya zashchity otdel'nyh serverov NetWare ot vnutrennego "neavtorizovannogo" IPX-trafika. Odnoj iz sil'nyh storon produkta ON Guard yavlyaetsya ispol'zovanie 32-bitnoj operacionnoj sistemy Secure32OS, special'no razrabotannoj kompaniej ON Technology dlya etogo brandmauera. Dannaya OS yavlyaetsya znachitel'no bolee zashchishchennoj, chem universal'nye OS, takie kak UNIX i Windows NT.
ON Guard, kak i drugie brandmauery prikladnogo i ekspertnogo urovnej, obespechivaet horoshuyu zashchitu vnutrennej seti ot hakerskih napadenij tipa spoofing, besporyadochnogo skanirovaniya IP-adresov i blokirovki sluzhb (denial-of-service). Napadeniya poslednego tipa zaklyuchayutsya v perepolnenii servera zaprosami zloumyshlennika, chto delaet ego nedostupnym dlya drugih pol'zovatelej.
Brandmauery ekspertnogo urovnya obespechivayut odin iz samyh vysokih na segodnyashnij den' urovnej zashchity korporativnyh setej, i, po utverzhdeniyu specialistov, obmanut' ih ochen' ne prosto. Tem ne menee, ne stoit zabyvat', chto dazhe eti nadezhnye brandmauery ne obespechivayut 100%-noj bezopasnosti. Tak stoit li voobshche ustanavlivat' brandmauer? |to nuzhno delat' po toj zhe prichine, po kotoroj vy ustanavlivaete zamok na svoyu vhodnuyu dver', nesmotrya na to, chto ni odin zamok ne mozhet garantirovat' polnoj zashchity. Ostaviv svoyu set' bez brandmauera, vy prosto ostavlyaete dver' otkrytoj. Tak chto "dumajte sami, reshajte sami...".
SHLYUZ PRIKLADNOGO UROVNYA (APPLICATION-LEVEL GATEWAY) isklyuchaet pryamoe vzaimodejstvie mezhdu avtorizovannym klientom i vneshnim hostom. SHlyuz fil'truet vse vhodyashchie i ishodyashchie pakety na prikladnom urovne modeli OSI. Svyazannye s prilozheniyami programmy-posredniki perenapravlyayut cherez shlyuz informaciyu, generiruemuyu konkretnymi servisami TCP/IP.
HOST-BASTION (BASTION HOST) - komp'yuter-shlyuz, na kotorom rabotaet programmnoe obespechenie brandmauera i kotoryj ustanavlivaetsya mezhdu vnutrennej i vneshnej setyami. Host-bastionami yavlyayutsya shlyuzy seansovogo i prikladnogo urovnya, a takzhe brandmauery ekspertnogo urovnya.
SHLYUZ SEANSOVOGO UROVNYA (CIRCUIT-LEVEL GATEWAY) isklyuchaet pryamoe vzaimodejstvie mezhdu avtorizovannym klientom i vneshnim hostom. On prinimaet zapros doverennogo klienta na opredelennye uslugi i, posle proverki dopustimosti zaproshennogo seansa, ustanavlivaet soedinenie s vneshnim hostom. Posle etogo shlyuz prosto kopiruet pakety v oboih napravleniyah, ne osushchestvlyaya ih fil'tracii.
DVUDOMNYJ SHLYUZ (DUAL-HOMED GATEWAY) - komp'yuter, na kotorom rabotaet programmnoe obespechenie brandmauera i kotoryj imeet dve setevye interfejsnye platy: odna podklyuchena k vnutrennej seti, a drugaya - k vneshnej. SHlyuz peredaet informaciyu iz odnoj seti v druguyu, isklyuchaya pryamoe vzaimodejstvie mezhdu nimi. SHlyuzy seansovogo i prikladnogo urovnya otnosyatsya k dvudomnym shlyuzam.
BRANDMAU|R (FIREWALL) yavlyaetsya zashchitnym bar'erom, sostoyashchim iz neskol'kih komponentov (naprimer, marshrutizatora ili shlyuza, na kotorom rabotaet programmnoe obespechenie brandmauera). Brandmauer konfiguriruetsya v sootvetstvii s prinyatoj v organizacii politikoj kontrolya dostupa k vnutrennej seti. Vse vhodyashchie i ishodyashchie pakety dolzhny prohodit' cherez brandmauer, kotoryj propuskaet tol'ko avtorizovannye pakety.
BRANDMAU|R S FILXTRACIEJ PAKETOV (PACKET-FILTERING FIREWALL) yavlyaetsya marshrutizatorom ili komp'yuterom, na kotorom rabotaet programmnoe obespechenie, skonfigurirovannoe takim obrazom, chtoby otbrakovyvat' opredelennye vidy vhodyashchih i ishodyashchih paketov. Fil'traciya paketov osushchestvlyaetsya na osnove informacii, soderzhashchejsya v TCP- i IP- zagolovkah paketov (adresa otpravitelya i poluchatelya, ih nomera portov i dr.).
POSREDNIK (PROXY) - prilozhenie, vypolnyaemoe na shlyuze, kotoroe peredaet pakety mezhdu avtorizovannym klientom i vneshnim hostom. Posrednik prinimaet zaprosy ot klienta na opredelennye servisy Internet, a zatem, dejstvuya ot imeni etogo klienta (t.e. vystupaya ego posrednikom), ustanavlivaet soedinenie dlya polucheniya zaproshennogo servisa. Vse shlyuzy prikladnogo urovnya ispol'zuyut svyazannye s prilozheniyami programmy-posredniki. Bol'shinstvo shlyuzov seansovogo urovnya ispol'zuyut kanal'nye posredniki, kotorye obespechivayut te zhe funkcii perenapravleniya zaprosov, no podderzhivayut bol'shuyu chast' servisov TCP/IP.
SERVER-POSREDNIK (PROXY SERVER) - brandmauer, v kotorom dlya preobrazovaniya IP-adresov vseh avtorizovannyh klientov v IP-adresa, associirovannye s bra