Шлюзы сетевого уровня

Уральский институт экономики, управления и права

 

 

 

 

 

 

 

Шлюзы сетевого уровня

Контрольная работа по дисциплине «Информационная безопасность»

 

 

 

 

Студент 5 курса 

факультета Прикладная информатика (в экономике)

ИС-501 группы

заочной формы обучения

                                                                                                           Лаврова О.Г.

 

Научный руководитель Доцент

Ждахин И.Л.

 

 

 

 

 

Нижний Тагил

2013

 

История вопроса

Глобальная  сеть Интернет создавалась как открытая система, предназначенная для открытого обмена информацией. Прародительница Интернета — сеть Arpanet строилась как сеть, связывающая исследовательские центры, военные, научные и правительственные учреждения. В качестве платформы для решения задач, стоящих перед указанными организациями, использовалась операционная система UNIX. 25 — 30 лет назад, когда зарождались общедоступные сети, проблемы информационной безопасности не стояли так остро как сейчас и ОС UNIX удовлетворяла всех, поэтому возникшие в 80 — е годы проблемы безопасности исторически связаны в первую очередь с принципами, заложенными в ОС UNIX.

Для организации взаимодействия в среде Интернет используется набор  протоколов, который называется TCP/IP (Transmission Control Protocol/Internet Protocol). Один из основных принципов, заложенных в набор (стек) протоколов — обеспечение совместимости между компьютерами различных типов, поэтому стек протоколов TCP/IP стал чрезвычайно популярным и приобрел фактически статус стандарта для межсетевого взаимодействия.

На основе стека протоколов TCP/IP строится ряд служб Интернета. Наиболее распространенные службы и соответствующие протоколы Интернет:

• Почтовая Служба основывается на протоколе передачи электронной почты (SMTP — Simple Mail Transfer Protocol).
• Для передачи текстовых и двоичных файлов между сервером и клиентским рабочим местом может использоваться Протокол Передачи Файлов (FTP - File Transfer Protocol).
• Для обеспечения удаленного доступа в режиме управляющего терминала используется служба, получившая название TELNET.

Основываясь на тех соображениях, что:

• есть стандарт для межсетевого взаимодействия;
• есть множество разнообразных служб, обеспечивающих необходимые сервисы;
• и сеть Интернет действительно превратилась в мировую паутину;

Коммерческие организации пришли к выводу, что значительно дешевле передавать информацию по этой паутине, нежели строить свои корпоративные сети. Правда, из-за исторической неприспособленности стека протоколов TCP/IP и ОС UNIX к защите данных встала проблема защищенности передачи.

МЭ являются одним из тех средств, которые позволяют в некоторой степени обезопасить передачу информации через глобальные сети.

МЭ — средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.

Как правило, граница  проводится между корпоративной (локальной) сетью организации и глобальной сетью. МЭ пропускает через себя весь трафик, принимая для каждого пакета решение — пропускать его или отбросить.

Помимо этого, МЭ используются не только для того, чтобы обезопасить себя при выходе в Интернет, но и для защиты Интранет - сегментов организации (т.е. сегментов, которые используют Интернет — технологии для взаимодействия в корпоративных сетях). МЭ в Интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться МЭ и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть МЭ для финансового отдела или бухгалтерии в организации.

МЭ позволяют  обеспечить несколько типов защиты:

• могут блокировать нежелательный трафик или направлять входной трафик только к надежным внутренним системам;
• могут скрывать уязвимые подсистемы, которые нельзя обезопасить от атак из Интернета другим способом;
• могут протоколировать трафик в и из внутренней сети;
• могут скрывать информацию, такую как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета
• могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные приложения.

Как и для  любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. В соответствии с принятыми компромиссами принимается политика безопасности. Политика безопасности должна включать две составляющие:

• Политику доступа к сетевым сервисам;
• Политику реализации межсетевых экранов.

Первый тип  политики обычно основывается на одном  из следующих принципов:

• Запретить доступ из Интернет во внутреннюю сеть, но разрешить доступ из внутренней сети в Интернет;
• Разрешить ограниченный доступ во внутреннюю сеть из Интернет, обеспечивая работу только отдельных систем, например, почты.

Политика реализации МЭ должна базироваться на одном из двух принципов:

• Запрещать все, что не разрешено в явной форме;
• Разрешать все, что не запрещено в явной форме.

Первый принцип  обеспечивает лучшую защищенность, однако доставляет значительные неудобства пользователям. Второй принцип, наоборот, предоставляет больше удобства пользователям, но обеспечивает меньшую защищенность.

Основные  компоненты МЭ

МЭ состоят, как правило, из нескольких компонент, основными из которых являются следующие:

• Фильтрующие маршрутизаторы;
• Шлюзы сетевого уровня;
• Шлюзы прикладного уровня.

 

Шлюзы сетевого уровня

Шлюз сетевого уровня иногда называют системой трансляции сетевых адресов или шлюзом сеансового уровня модели OSI. Такой шлюз исключает, прямое взаимодействие между авторизированным клиентом и внешним хост-компьютером. Шлюз сетевого уровня принимает запрос доверенного клиента на конкретные услуги, и после проверки допустимости запрошенного сеанса устанавливает соединение с внешним хост-компьютером. После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

Шлюз следит за подтверждением (квитированием) связи  между авторизированным клиентом и  внешним хост-компьютером, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру.

Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли этот клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хост-компьютером и следит за выполнением процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить).

Первый пакет  сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 1000. является запросом клиента на открытие сеанса. Внешний хост-компьютер, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете подтверждая, тем самым прием пакета SYN от клиента.

Далее  осуществляется  обратная  процедура:  хост-компьютер посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001. На этом процесс квитирования связи завершается.

Шлюз сетевого уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также  числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.

После того как  шлюз определил, что доверенный клиент и внешний хост-компьютер являются авторизированными участниками  сеанса TCP, и проверил допустимость этого сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь. использовавшуюся в данном сеансе.

Для копирования  и перенаправления пакетов в  шлюзах сетевого уровня применяются  специальные приложения, которые  называют канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь или канал, а затем разрешают пакетам, которые генерируются приложениями TCP/IP, проходить по этому каналу. Канальные посредники поддерживают несколько служб TCP/IP, поэтому шлюзы сетевого уровня могут использоваться для расширения возможностей шлюзов прикладного уровня, работа которых основывается на программах-посредниках конкретных приложений.

Фактически  большинство шлюзов сетевого уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня. Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems, Alta Vista Firewall компании DEC и ANS Interlock компании ANS. Например, Alta Vista Firewall использует канальные посредники прикладного уровня для каждой из шести служб TCP/IP, к которым относятся, в частности, FTP, HTTP (Hyper Text Transport Protocol) и telnet. Кроме того, межсетевой экран компании DEC обеспечивает шлюз сетевого уровня, поддерживающий другие общедоступные службы TCP/IP, такие как Gopher и SMTP, для которых межсетевой экран не предоставляет посредников прикладного уровня.

Шлюз сетевого уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера-посредника. Этот сервер-посредник выполняет процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с межсетевым экраном, из которого передаются все исходящие пакеты. В результате в сети со шлюзом сетевого уровня все исходящие пакеты оказываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизированной) сетью и потенциально опасной внешней сетью. IP-адрес шлюза сетевого уровня становится единственно активным IP-адресом, который попадает во внешнюю сеть. Таким образом, шлюз сетевого уровня и другие серверы-посредники защищают внутренние сети от нападений типа подмены адресов.

После установления связи шлюзы сетевого уровня фильтруют пакеты только на сеансовом уровне модели OSI, т.е. не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ. И поскольку эта передача осуществляется "вслепую", хакер, находящийся во внешней сети, может "протолкнуть" свои "вредоносные" пакеты через такой шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу, который сам по себе не может обеспечивать функции межсетевого экрана. Иными словами, если процедура квитирования связи успешно завершена, шлюз сетевого уровня установит соединение и будет "слепо" копировать и перенаправлять все последующие пакеты независимо от их содержимого.

Характерная особенность ШСУ:

При работе ШСУ  осуществляется т.н. «туннелирование  трафика» или маскировка топологии  сети, т.е. при обращении авторизованного  клиента к внешнему источнику происходит преобразование внутренних IP — адресов в один внешний IP — адрес МЭ (средство межсетевой защиты, которое позволяет разделить общую сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов через границу из одной части общей сети в другую.) и все исходящие из внутренней сети пакеты оказываются отправленными от этого шлюза, что исключает прямой контакт между внутренней сетью и потенциально опасной внешней.

Недостаток  ШСУ:

После установления связи ШСУ не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ и кракер во внешней сети может переслать свои вредоносные пакеты через шлюз.

Поэтому ШСУ, как правило, не используются отдельно от других компонент МЭ и для фильтрации передаваемой информации по смыслу к ШСУ необходимо добавлять шлюз прикладного уровня.