Om ongeoorloofde toegang tot internetwerk tegen te gaan, moet de ME zich bevinden tussen het beveiligde netwerk van de organisatie, dat intern is, en een potentieel vijandig extern netwerk (Fig. 9.1). Tegelijkertijd moeten alle interacties tussen deze netwerken alleen via de ME worden uitgevoerd. Organisatorisch maakt de ME deel uit van het afgeschermde netwerk.
Rijst. 9.1. Aansluitschema ME firewall
De ME, die veel knooppunten van het interne netwerk tegelijk beschermt, is ontworpen om het volgende op te lossen:
‣‣‣ de taak om de toegang van externe (in relatie tot het beschermde netwerk) gebruikers tot interne bronnen van het bedrijfsnetwerk te beperken. Dergelijke gebruikers zijn onder meer partners, externe gebruikers, hackers en zelfs werknemers van het bedrijf zelf die proberen toegang te krijgen tot databaseservers die worden beschermd door de ME;
‣‣‣ de taak om de toegang van beveiligde netwerkgebruikers tot externe bronnen te beperken. De oplossing van dit probleem maakt het bijvoorbeeld mogelijk om de toegang te reguleren tot servers die niet verplicht zijn om officiële taken uit te voeren.
Tot nu toe is er geen enkele algemeen erkende classificatie van de ME. Ze kunnen bijvoorbeeld worden ingedeeld op basis van de volgende hoofdkenmerken.
Door te functioneren op de niveaus van het OSI-model:‣‣‣ pakketfilter (screeningrouter -screening router); ‣‣‣ gateway voor sessielagen (screening transport);‣‣‣ toepassingsgateway (toepassingsgateway); ‣‣‣ gateway op expertniveau (stateful inspectie firewall).
Gebruikte technologie:‣‣‣ protocolstatuscontrole (staatsinspectie); ‣‣‣ gebaseerd op tussenmodules (volmacht).
Door uitvoering:‣‣‣ Hardware en software;‣‣‣ software.
Volgens het aansluitschema:‣‣‣ uniform netwerkbeveiligingsschema;‣‣‣ schema met beschermde gesloten en onbeschermde open netwerksegmenten;‣‣‣ Schema met gescheiden beveiliging van gesloten en open netwerksegmenten.
Doel van firewalls Een firewall of firewall is een set hardware of software die netwerkpakketten die er doorheen gaan, controleert en filtert in overeenstemming met gespecificeerde regels. De hoofdtaak van het netwerk… [lees meer].
Firewall
In de praktijk zijn vaak gesloten corporate gedistribueerde en gebundelde CS's verbonden met openbare netwerken zoals internet. De manieren van interactie tussen gebruikers van een gesloten DCS met een openbaar systeem kunnen verschillen:
- met behulp van een openbare SC worden gesloten segmenten van het bedrijfssysteem of externe abonnees verbonden tot één systeem;
— gebruikers van een gesloten RCN communiceren met abonnees van een openbaar netwerk.
In de eerste modus wordt de taak van het authenticeren van op elkaar inwerkende abonnees (processen) veel efficiënter opgelost dan in de tweede modus. Dit komt door de mogelijkheid om abonneecodering te gebruiken bij interactie met de CS van één bedrijfsnetwerk.
Als abonnees van openbare netwerken geen abonnee-encryptie gebruiken, is het bijna onmogelijk om te zorgen voor betrouwbare procesauthenticatie, vertrouwelijkheid van informatie, bescherming tegen vervanging en ongeoorloofde wijziging van berichten.
Om bedreigingen die afkomstig zijn van een openbaar systeem te blokkeren, wordt een speciale software- of hardware-softwaretool gebruikt, die een firewall (Firewall) wordt genoemd (Fig. 34). In de regel wordt een firewall geïmplementeerd op een speciale computer, waarmee een beveiligd DCS (zijn fragment) is verbonden met een openbaar netwerk.
 |
De firewall implementeert controle over informatie die het beveiligde DCS binnenkomt en (of) het beveiligde systeem verlaat.
De firewall heeft vier functies:
— gegevensfiltering;
— gebruik van afschermingsmiddelen;
- adresvertaling;
- registratie van evenementen.
De belangrijkste functie van een firewall is: filtratie input (output) verkeer. Afhankelijk van de mate van beveiliging van het bedrijfsnetwerk kunnen verschillende filterregels worden ingesteld. Filterregels worden vastgesteld door een reeks filters te selecteren die de overdracht van gegevens (pakketten) naar de volgende filter- of protocollaag toestaan of weigeren.
De firewall filtert op kanaal-, netwerk-, transport- en applicatieniveau. Hoe meer niveaus het scherm bedekt, hoe perfecter het is. Firewalls die zijn ontworpen om zeer belangrijke informatie te beschermen, moeten het volgende bieden:
— filteren op afzender- en ontvangeradressen (of op andere gelijkwaardige kenmerken);
— het filteren van pakketten met serviceprotocollen die worden gebruikt om de werking van netwerkapparatuur te diagnosticeren en te controleren;
- filteren waarbij rekening wordt gehouden met de invoer- en uitvoernetwerkinterface als middel om netwerkadressen te verifiëren;
— filtering waarbij rekening wordt gehouden met eventuele significante velden van netwerkpakketten;
— filtering op transportniveau van aanvragen voor het tot stand brengen van virtuele verbindingen;
- filteren op applicatieniveau van verzoeken aan applicatiediensten;
- filteren op datum en tijd;
— de mogelijkheid om toegangsonderwerpen van een beveiligd computernetwerk te verbergen;
- Mogelijkheid tot adresvertaling.
De firewall kan gebruiken: afschermingsmiddelen(proxyservers), die intermediaire programma's zijn en zorgen voor het tot stand brengen van een verbinding tussen het onderwerp en het object van toegang, en vervolgens informatie verzenden, waarbij controle en registratie wordt uitgeoefend.
Onderwerp 3. Basistechnologieën van netwerkbeveiliging
Een extra functie van de afschermingsagent is om het ware object te verbergen voor het toegangssubject. De acties van het afschermingsmiddel zijn transparant voor de deelnemers aan de interactie.
Functie adres vertaling De firewall is ontworpen om de echte interne adressen voor externe abonnees te verbergen. Hierdoor kunt u de netwerktopologie verbergen en meer adressen gebruiken als er niet genoeg toegewezen zijn voor een beveiligd netwerk.
De firewall presteert evenement registratie in gespecialiseerde tijdschriften. Het is mogelijk om het scherm voor het loggen volledig te configureren voor een bepaalde toepassing. Analyse van de records stelt u in staat pogingen vast te leggen om de vastgestelde regels voor de uitwisseling van informatie in het netwerk te schenden en de aanvaller te identificeren.
Het scherm is niet symmetrisch. Hij maakt onderscheid tussen de begrippen: "buiten" en "binnen". Het scherm biedt bescherming aan het binnengebied tegen een ongecontroleerde en potentieel vijandige externe omgeving. Tegelijkertijd kunt u op het scherm de toegang tot openbare netwerkobjecten beperken van de kant van beveiligde netwerkonderwerpen. In geval van schending van de autoriteit, wordt het werk van de toegangspersoon geblokkeerd en wordt alle benodigde informatie naar het logboek geschreven. Firewalls kunnen ook binnen beveiligde bedrijfsnetwerken worden gebruikt. Als er netwerkfragmenten in het DCS zijn met een verschillende mate van vertrouwelijkheid van informatie, dan is het raadzaam om dergelijke fragmenten te scheiden met firewalls. In dit geval worden de schermen intern genoemd.
Afhankelijk van de mate van vertrouwelijkheid en het belang van informatie worden 5 firewall-beveiligingsklassen geïnstalleerd. Elke klasse wordt gekenmerkt door een bepaalde minimale set van informatiebeveiligingseisen. De laagste beveiligingsklasse is de vijfde en de hoogste is de eerste. Een eersteklas firewall wordt geïnstalleerd bij het verwerken van informatie die is geclassificeerd als "bijzonder belang".
Firewalls moeten worden geïmplementeerd in de vorm van gespecialiseerde systemen. Dit zou de prestaties van dergelijke systemen moeten verhogen (alle uitwisseling vindt plaats via het scherm), evenals de beveiliging van informatie verhogen door de structuur te vereenvoudigen. Gezien het belang van firewalls bij het waarborgen van de veiligheid van informatie in een beveiligd netwerk, zijn ze onderworpen aan hoge eisen voor toegangscontrole, het waarborgen van de integriteit van informatie, herstelbaarheid, testen, enz. De beheerder zorgt voor de werking van de firewall. Het is wenselijk om de werkplek van de beheerder direct bij de firewall te plaatsen, wat de identificatie en authenticatie van de beheerder vereenvoudigt, en ook het uitvoeren van beheerfuncties vereenvoudigt.
In netwerken met een hoge wisselkoers kan een firewall worden geïmplementeerd op twee of meer computers, die doelmatig op één object zijn geplaatst. Firewall- en gateway (bridge)-functies kunnen op dezelfde CS worden geïmplementeerd. In de praktijk communiceren vaak fragmenten van een beveiligd netwerk met elkaar via een openbaar netwerk. Alle fragmenten maken via firewalls verbinding met het openbare netwerk.
De wetenschappelijke en technologische vooruitgang maakt tegenwoordig grote sprongen, omdat we gisteren nog niet met zekerheid konden zeggen wat een computer is, en vandaag bespreken we al manieren om hem te beveiligen, en er zijn nu tal van van deze methoden. Welke betrouwbaarder zijn, gebruikers leren echter meestal van hun eigen, soms negatieve, ervaring. Vandaag zullen we het hebben over een van de manieren waarop u uw computer kunt beveiligen: een firewall.
Wat is een firewall?
Een jaar geleden kon 90% van de internetgebruikers niet met zekerheid zeggen wat een firewall is of hoe het op een andere manier een firewall wordt genoemd. Tegenwoordig is de markt voor internettechnologie echt vol met een verscheidenheid aan betaalde en gratis versies van dit programma, omdat in de omstandigheden van de constante aanwezigheid van virussen, computergebruik zonder een firewall eenvoudigweg onmogelijk is. Misschien weet niet iedereen het, maar een computer die is verbonden met internet zonder dat er een firewall is geïnstalleerd, wordt binnen een paar uur geïnfecteerd met virussen.
Trouwens, een van de gratis typen van dit programma is Zone Alarm, dat best geschikt is voor een gebruiker met een thuiscomputer. Het is redelijk betrouwbaar, maar je moet er niet helemaal zeker van zijn, want professionele hackers vinden steeds meer kwetsbaarheden in bestaande besturingssystemen.
Het principe van informatie-uitwisseling
Het is tijd om uit te zoeken hoe onze computers geïnfecteerde informatie van buitenaf ontvangen. En alles gebeurt nadat de computer verbinding heeft gemaakt met internet en zijn IP-adres heeft ontvangen. Dit adres mag bij niemand bekend zijn, behalve u en uw ISP. En dan stuurt uw computer een verzoek naar een ander en meldt zijn adres. Daarna worden gegevens uitgewisseld en is niet bekend wat de kans is dat u op dit moment geen geïnfecteerde bestanden ontvangt.
U hebt dus al begrepen dat u het IP-adres van uw computer moet weten om uw computer te kunnen hacken. Uiteraard wissel je regelmatig adressen uit met andere computers, dit is nodig om op internet te kunnen werken. Als u echter betrouwbare bronnen gebruikt, zullen hun eigenaren uw computer niet hacken of clientadressen aan anderen bekendmaken.
Hoewel er altijd mazen zullen zijn voor hackers: er zijn speciale programma's die precies die netwerkadressen selecteren waar computers worden vermeld. Dit is waar de firewall u zal helpen.
De noodzaak van een firewall
Over het algemeen heeft een firewall twee doelen. Daar gaan we het nu over hebben.
1. Uw computer beschermen tegen het lekken van informatie.
Zoals u weet, zijn verschillende Trojaanse virussen of, zoals ze worden genoemd, "Trojaanse paarden" heel gewoon. Als een Trojaans paard op uw computer terechtkomt, kan het wachtwoorden en andere gevoelige informatie stelen of iemand anders de mogelijkheid geven om uw computer op afstand te bedienen. Firewall daarentegen zorgt ervoor dat alleen bepaalde programma's met het netwerk kunnen worden gebruikt, zoals een e-mailclient, browser, enz. Als het programma hem niet bekend is, vraagt hij u ofwel om toestemming voor toegang tot het netwerk, ofwel weigert hij de toegang zonder uw toestemming.
2. Bescherming tegen binnendringen in de computer van buitenaf.
Soms houden sommige besturingssystemen, zoals Windows, meerdere poorten open.
Studentendocument nr. 098756 van INTUIT
Dit betekent dat verschillende netwerkinfecties zich via hen kunnen verspreiden. Daarom moeten de poorten worden gesloten en onzichtbaar worden gemaakt. En dan wordt uw computer onzichtbaar en zal niemand hem aanvallen.
Ervaren hackers kunnen echter nog steeds het adres van uw computer achterhalen, zelfs als alle poorten onzichtbaar zijn. Daarom is een andere taak van de firewall om poorten onzichtbaar te maken en te sluiten, waarna de kans op hacking wordt verkleind.
Publicatiedatum: 13-01-2011, 23:53
123456Volgende ⇒
Afscherming en firewalls
Basisconcepten
Gebaseerd op de materialen van het bestuursdocument van de Technische Staatscommissie van Rusland, is een firewall (ME) een lokaal (eencomponent) of functioneel gedistribueerd hulpmiddel (complex) dat informatie controleert die het AS binnenkomt en/of het AS verlaat, en zorgt voor de bescherming van de AS door informatie te filteren, dat wil zeggen, de analyse ervan volgens een reeks criteria en een beslissing over de distributie ervan naar (van) de AU.
We zullen de concepten van een firewall (FW), een firewall, een firewall, een gateway met extra geïnstalleerde firewallsoftware als equivalent gebruiken.
De formele verklaring van het screeningprobleem is als volgt. Laat er twee soorten informatiesystemen zijn. Een scherm is een middel om de toegang van clients van de ene set tot servers van een andere set te beperken. Het scherm vervult zijn functies door alle informatiestromen tussen twee sets systemen te regelen (Fig. 1a). Flow control bestaat uit het filteren ervan, mogelijk met enkele transformaties.
Afb.1a. Het scherm als toegangscontrole.
Op het volgende detailniveau kan het scherm (semi-permeabel membraan) gemakkelijk worden weergegeven als een reeks filters. Elk van de filters kan, na analyse van de gegevens, ze vertragen (niet missen), of ze onmiddellijk van het scherm "gooien". Daarnaast is het toegestaan om gegevens te transformeren, een deel van de gegevens over te dragen naar het volgende filter voor verdere analyse, of gegevens namens de geadresseerde te verwerken en het resultaat terug te sturen naar de afzender (Fig. 1b).
Afb.1b. Scherm als een reeks filters
Naast de functies van toegangscontrole, voeren schermen het loggen van informatie-uitwisseling uit.
De firewall bevindt zich tussen het afgeschermde (interne) netwerk en de externe omgeving (externe netwerken of andere delen van het bedrijfsnetwerk). In het eerste geval spreekt men van een externe ME, in het tweede geval van een interne. De firewall is een ideale plek om actieve controletools in te sluiten. De ME is in staat om een willekeurig krachtige reactie te implementeren op verdachte activiteiten, tot het verbreken van de verbinding met de externe omgeving.
Het is raadzaam om aan de firewall de identificatie / authenticatie toe te wijzen van externe gebruikers die toegang nodig hebben tot bedrijfsbronnen (met ondersteuning voor het single sign-on-concept).
Op grond van de principes verdediging gelaagdheid om externe verbindingen te beschermen, wordt meestal een tweecomponentenafscherming gebruikt (afb. 2). Primaire filtering (bijvoorbeeld pakketten met bepaalde IP-adressen die zijn opgenomen in de "zwarte lijst") wordt uitgevoerd grens router, gevolgd door de zogenaamde gedemilitariseerde zone(een netwerk met een gematigd veiligheidsvertrouwen, waar de externe informatiediensten van de organisatie worden geplaatst - web, e-mail, enz.) en de hoofdfirewall, die het interne deel van het bedrijfsnetwerk beschermt.
Fig. 2. Tweecomponenten afscherming met gedemilitariseerde zone.
Theoretisch een firewall (vooral intern) moet multi-protocol zijn in de praktijk is de dominantie van de TCP/IP-protocolfamilie echter zo groot dat ondersteuning voor andere protocollen een overmaat lijkt te zijn die schadelijk is voor de veiligheid (hoe complexer de dienst, hoe kwetsbaarder deze is).
Zowel externe als interne firewalls kunnen een knelpunt worden, aangezien de hoeveelheid netwerkverkeer de neiging heeft om snel te groeien. Een van de manieren om dit probleem op te lossen, is het verdelen van de ME in verschillende hardware-onderdelen en het organiseren van gespecialiseerde proxyservers. De hoofdfirewall kan inkomend verkeer grofweg classificeren op type en filtering delegeren aan de juiste tussenpersonen (bijvoorbeeld een tussenpersoon die HTTP-verkeer analyseert). Uitgaand verkeer wordt eerst verwerkt door een intermediaire server, die ook functioneel nuttige acties kan uitvoeren, zoals het cachen van pagina's van externe webservers, wat de belasting van het netwerk in het algemeen en de hoofdfirewall in het bijzonder vermindert.
Situaties waarin het bedrijfsnetwerk slechts één extern kanaal bevat, zijn eerder uitzondering dan regel. Vaker bestaat een bedrijfsnetwerk uit meerdere geografisch verspreide segmenten, die elk met internet zijn verbonden. In dit geval moet elke verbinding worden beschermd door een eigen afscherming. We kunnen aannemen dat de externe bedrijfsfirewall een composiet is (gedistribueerd) en nodig is om het probleem van gecoördineerd beheer van alle componenten op te lossen.
Er zijn ook persoonlijke firewalls die zijn ontworpen om individuele computers te beschermen. Het belangrijkste verschil tussen een persoonlijke firewall en een gedistribueerde firewall is de aanwezigheid van een gecentraliseerde beheerfunctie.
Firewall en zijn functies
Als persoonlijke firewalls alleen worden beheerd vanaf de computer waarop ze zijn geïnstalleerd en ideaal zijn voor thuisgebruik, kunnen gedistribueerde firewalls centraal worden beheerd vanaf één beheerconsole. Door dergelijke verschillen konden sommige fabrikanten hun oplossingen in twee versies uitbrengen: persoonlijk (voor thuisgebruikers) en gedistribueerd (voor zakelijke gebruikers).
Hoe firewalls werken
Er zijn twee manieren om sets met firewallregels te maken: "inclusief" en "exclusief". Een uitsluitingsfirewall laat al het verkeer door, behalve verkeer dat aan de regels voldoet. Een activerende firewall werkt precies andersom. Het laat alleen verkeer toe dat aan de regels voldoet en blokkeert al het andere.
Inclusieve firewalls zijn over het algemeen veiliger dan exclusieve firewalls omdat ze het risico dat een firewall ongewenst verkeer doorlaat aanzienlijk verkleinen.
De beveiliging kan verder worden verbeterd met behulp van een "stateful firewall". Zo'n firewall slaat informatie over open verbindingen op en laat alleen verkeer toe via open verbindingen of het openen van nieuwe verbindingen. Het nadeel van een stateful firewall is dat deze kwetsbaar kan zijn voor Denial of Service (DoS)-aanvallen als er heel snel veel nieuwe verbindingen worden geopend. Met de meeste firewalls kunt u stateful en stateless gedrag combineren, wat optimaal is voor toepassingen in de echte wereld.
Bij het verbinden van een bedrijfsnetwerk met wereldwijde netwerken, is het noodzakelijk om de toegang tot het beveiligde netwerk vanaf het wereldwijde netwerk en van het beveiligde netwerk tot het wereldwijde netwerk te beperken, en om het verbonden netwerk te beschermen tegen ongeautoriseerde toegang op afstand vanaf het wereldwijde netwerk. Tegelijkertijd is de organisatie geïnteresseerd in het verbergen van informatie over de structuur van haar netwerk en de componenten ervan voor gebruikers van het wereldwijde netwerk. Werken met externe gebruikers vereist het instellen van strikte beperkingen op de toegang tot informatiebronnen van het beschermde netwerk.
Een organisatie moet vaak meerdere segmenten met verschillende beveiligingsniveaus in haar bedrijfsnetwerk hebben:
o vrij toegankelijke segmenten (bijvoorbeeld reclame VWW-cepBep);
О segment met beperkte toegang (bijvoorbeeld voor toegang tot medewerkers van de organisatie vanaf externe locaties);
O gesloten segmenten (bijvoorbeeld het financiële lokale subnet van de organisatie).
Om firewalls aan te sluiten, kunnen verschillende schema's worden gebruikt, die afhankelijk zijn van de bedrijfsomstandigheden van het beschermde netwerk, evenals van het aantal netwerkinterfaces en andere kenmerken van de gebruikte firewall. De volgende verbindingsschema's voor firewalls worden veel gebruikt:
o netwerkbeveiligingsschema's met behulp van een afschermingsrouter;
Over het schema van uniforme bescherming van het lokale netwerk;
О schema's met beschermde gesloten en onbeschermde open subnetten;
Over schema's met aparte beveiliging van gesloten en open subnetten.
Beveiligingsschema met behulp van een afschermingsrouter. Een firewall op basis van pakketfiltering is de meest voorkomende en gemakkelijkst te implementeren. Het bestaat uit een afgeschermde router die zich tussen het beveiligde netwerk en het potentieel vijandige open externe netwerk bevindt (Figuur 8.10). Een screeningrouter (pakketfilter) is geconfigureerd om inkomende en uitgaande pakketten te blokkeren of filteren op basis van een analyse van hun adressen en poorten.
Computers die zich in een beveiligd netwerk bevinden, hebben directe toegang tot internet, terwijl de meeste toegang vanaf internet is geblokkeerd.
Gevaarlijke services zoals X Windows, NIS en NFS worden vaak geblokkeerd. In principe kan een schildrouter elk van de eerder beschreven beveiligingsbeleidsregels implementeren. Als de router echter geen pakketten filtert op basis van de bronpoort en de poortnummers van in- en uitgang, kan de implementatie van het beleid "alles wat niet expliciet is toegestaan" moeilijk zijn.
Pakketfilterende firewalls hebben dezelfde nadelen als afschermende routers, en deze nadelen worden groter naarmate de beveiligingseisen van het beschermde netwerk strenger worden. Laten we er een paar opmerken:
О complexiteit van filterregels; in sommige gevallen kan het geheel van deze regels onhandelbaar worden;
О onmogelijkheid om filterregels volledig te testen; dit leidt tot netwerkonzekerheid tegen ongeteste aanvallen;
О praktisch onbestaande mogelijkheid om evenementen te registreren; als gevolg hiervan is het voor een beheerder moeilijk om te bepalen of een router is aangevallen en gecompromitteerd.
Aansluitschema's voor firewalls met meerdere netwerkinterfaces. Beveiligingsschema's met ME met één netwerkinterface (Fig. 8.11) zijn niet effectief genoeg, zowel qua beveiliging als qua configuratiegemak. Ze scheiden de interne en externe netwerken niet fysiek van elkaar en kunnen bijgevolg geen betrouwbare bescherming bieden voor internetwerkinteracties. Het opzetten van dergelijke firewalls, evenals de bijbehorende routers, is een nogal complexe taak, waarbij de kosten van het oplossen hoger zijn dan de kosten van het vervangen van een ME door één netwerkinterface door een ME met twee of drie netwerkinterfaces. Daarom zullen de schema's voor het verbinden van firewalls met twee en drie netwerkinterfaces hieronder in meer detail worden besproken.
Het is raadzaam om een beveiligd lokaal netwerk weer te geven als een combinatie van gesloten en open subnetten. Hieronder open subnet wordt opgevat als een subnet waartoe de toegang vanuit een potentieel vijandig extern netwerk geheel of gedeeltelijk open kan staan. Een open subnet kan bijvoorbeeld openbare WWW-, FTP- en SMTP-servers bevatten, evenals een terminalserver met een modempool.
Van de vele mogelijke ME-verbindingsschema's zijn de volgende typerend:
О Regeling van uniforme bescherming van het lokale netwerk;
О schema met beschermde gesloten en onbeschermde open subnetten;
О Schema met gescheiden beveiliging van gesloten en open subnetten.
Schema van uniforme bescherming van het lokale netwerk. Dit schema is de eenvoudigste oplossing (Fig. 8.12), waarbij de ME het lokale netwerk volledig afschermt van een potentieel vijandig extern netwerk. Tussen de router en de firewall is er maar één pad waar al het verkeer doorheen gaat. Deze versie van de ME implementeert een beveiligingsbeleid gebaseerd op het principe "alles wat niet expliciet is toegestaan, is verboden"; tegelijkertijd zijn alle services niet toegankelijk voor de gebruiker, behalve die waarvoor de juiste machtigingen zijn gedefinieerd. Meestal is de router zo geconfigureerd dat de ME de enige machine is die van buitenaf zichtbaar is.
Open servers in het lokale netwerk worden ook beschermd door een firewall. Door servers die toegankelijk zijn vanaf het externe netwerk te combineren met andere bronnen van het beschermde lokale netwerk, wordt de veiligheid van interacties tussen netwerken echter aanzienlijk verminderd. Daarom kan dit ME-verbindingsschema alleen worden gebruikt als er geen open servers in het lokale netwerk zijn of wanneer de beschikbare open servers alleen beschikbaar worden gesteld vanaf het externe netwerk voor een beperkt aantal gebruikers die kunnen worden vertrouwd.
Omdat de firewall een host gebruikt, kunnen er programma's voor sterke gebruikersauthenticatie op worden geïnstalleerd. De firewall kan ook toegang, indringende pogingen en aanvallen op het systeem registreren, waardoor u de acties van indringers kunt identificeren.
Voor sommige netwerken kan het gebrek aan flexibiliteit van een firewall-beveiligingsschema met twee interfaces onaanvaardbaar zijn.
Schema met beschermde gesloten en onbeschermde open subnetten. Als er openbare open servers in het lokale netwerk zijn, is het raadzaam deze als open subnet naar de firewall te verplaatsen (Fig. 8.13). De
Rijst. 8.11
Rijst. 8.12.
Rijst. 8.13.
de methode heeft een hogere beveiliging van het gesloten deel van het lokale netwerk, maar biedt een verminderde beveiliging van open servers die zich voor de firewall bevinden.
Bij sommige ME's kunt u deze servers zelf hosten. Deze oplossing is echter niet de beste vanuit het oogpunt van de beveiliging van de DOE zelf en het laden van de computer. Het is raadzaam om het ME-verbindingsschema met een beveiligd gesloten en onbeschermd open subnet alleen te gebruiken als er lage beveiligingsvereisten zijn voor een open subnet.
Als er hogere eisen worden gesteld aan de beveiliging van open servers, dan is het noodzakelijk om een schema te gebruiken met gescheiden bescherming van gesloten en open subnetten.
Schema's met aparte bescherming van gesloten en open subnetten. Zo'n schema kan worden gebouwd gebaseerd op één ME met drie netwerkinterfaces(Afb. 8.14) of gebaseerd op twee ME met twee netwerkinterfaces(Afb. 8.15). In beide gevallen is toegang tot de open en gesloten subnetten van het lokale netwerk alleen mogelijk via de firewall. Toegang tot een open subnet geeft echter geen toegang tot een gesloten subnet.
Van deze twee schema's biedt het schema met twee UE's, die elk een afzonderlijke beschermingslaag van een gesloten subnet vormen, een grotere mate van beveiliging voor interworking-interacties. Het beveiligde open subnet fungeert hier als screeningsubnet.
Doorgaans wordt een screeningsubnet geconfigureerd om toegang te verlenen tot computers op het subnet vanaf zowel een potentieel vijandig extern netwerk als een particulier LAN-subnet. Een directe uitwisseling van informatiepakketten tussen een extern netwerk en een gesloten subnet is echter niet mogelijk. Bij een aanval op een systeem met een screeningsubnet moeten ten minste twee onafhankelijke verdedigingslinies worden overwonnen, wat een zeer moeilijke taak is. Met hulpprogramma's voor het bewaken van de status van de firewall is het mogelijk om een dergelijke poging bijna altijd te detecteren en kan de systeembeheerder tijdig de nodige acties ondernemen om ongeautoriseerde toegang te voorkomen.
Opgemerkt moet worden dat het werk van externe gebruikers die zijn aangesloten via inbelcommunicatielijnen ook moet worden gecontroleerd in overeenstemming met het beveiligingsbeleid van de organisatie. Een typische oplossing voor dit probleem is het installeren van een remote access server (terminal server) die over de nodige functionaliteit beschikt, bijvoorbeeld een Appex terminal server van Bay Xervorg. De terminalserver is een systeem met meerdere asynchrone poorten en één LAN-interface. De uitwisseling van informatie tussen asynchrone poorten en het lokale netwerk wordt alleen uitgevoerd na de juiste authenticatie van de externe gebruiker.
De verbinding van de terminalserver moet zo worden uitgevoerd dat zijn werk uitsluitend via de firewall wordt uitgevoerd. Hierdoor kunt u de noodzakelijke mate van beveiliging bereiken wanneer externe gebruikers werken met de informatiebronnen van de organisatie. Zo'n verbinding is mogelijk
Rijst. 8.14.
met drie netwerkinterfaces
Rijst. 8.15.
als de terminalserver is opgenomen in een open subnet bij gebruik van ME-verbindingsschema's met gescheiden bescherming van open en gesloten subnetten.
De terminalserversoftware moet de mogelijkheid bieden om communicatiesessies via inbelkanalen te beheren en te controleren. De besturingsmodules van moderne terminalservers hebben voldoende ontwikkelde mogelijkheden om de veiligheid van de server zelf te waarborgen en de toegang tot clients te beperken en de volgende functies uit te voeren:
О gebruik een lokaal wachtwoord voor toegang tot de seriële poort, voor toegang op afstand via het PPP-protocol, evenals voor toegang tot de beheerconsole;
О het gebruik van een authenticatieverzoek van een lokale netwerkmachine; О gebruik van externe authenticatiemiddelen;
О installatie van een toegangscontrolelijst op de poorten van de terminalserver;
О logging van communicatiesessies via een terminalserver.
analyse en filtering van netwerkpakketten die er doorheen gaan. Afhankelijk van de ingestelde regels passeert of vernietigt de firewall pakketten, waardoor netwerkverbindingen wel of niet worden toegestaan. ME is een klassiek middel om de perimeter van een computernetwerk te beschermen: het wordt geïnstalleerd op de grens tussen de interne (beschermde) en externe (potentieel gevaarlijke) netwerken en controleert de verbindingen tussen de knooppunten van deze netwerken. Maar er zijn andere verbindingsschema's, die hieronder zullen worden besproken.De Engelse term die voor ME wordt gebruikt, is firewall. Daarom worden firewalls in de literatuur soms ook wel firewall of firewall (Duitse term, analoog aan firewall) genoemd.
Zoals reeds opgemerkt, is filteren gebaseerd op regels. De veiligste benadering bij de totstandkoming van regels voor de ME is de benadering "alles wat niet expliciet is toegestaan, is verboden". In dit geval wordt het netwerkpakket gecontroleerd op naleving van de regels voor toestaan, en als er geen zijn, wordt het weggegooid. Maar in sommige gevallen geldt het tegenovergestelde principe: "alles wat niet expliciet verboden is, is toegestaan." Vervolgens wordt gecontroleerd op naleving van de deny-regels en als dergelijke regels niet worden gevonden, wordt het pakket overgeslagen.
Filteren kan op verschillende niveaus van het OSI Networking Reference Model. Op basis hiervan worden ME's onderverdeeld in de volgende klassen [ , ]:
- afscherming router;
- afschermingstransport (gateway op sessieniveau);
- afschermingsgateway (applicatielaaggateway).
Shield-router(of pakketfilter) werkt op de netwerklaag van het OSI-model, maar kan ook informatie uit de headers van de transportlaagprotocollen gebruiken om controles uit te voeren. Dienovereenkomstig kan er gefilterd worden door de ip-adressen van de afzender en ontvanger en door de TCP- en UDP-poorten. Dergelijke ME onderscheiden zich door hoge uitvoering en relatieve eenvoud - functionaliteit pakketfilters zelfs de meest eenvoudige en goedkope hardwarerouters hebben dat nu. Tegelijkertijd beschermen ze niet tegen veel aanvallen, bijvoorbeeld die met betrekking tot de vervanging van verbindingsdeelnemers.
Gateway op sessieniveau werkt op de sessielaag van het OSI-model en kan ook netwerk- en transportlaaginformatie controleren. Dienovereenkomstig kan een dergelijke firewall, naast de hierboven opgesomde mogelijkheden, het proces van het tot stand brengen van een verbinding besturen en controleren of passerende pakketten tot toegestane verbindingen behoren.
Gateway voor applicatielaag kan pakketten analyseren op alle niveaus van het OSI-model, van netwerk tot applicatie, wat het hoogste niveau van bescherming biedt. Naast de eerder genoemde functies zijn er functies zoals gebruikersauthenticatie, analyse van protocolcommando's op de applicatielaag, verificatie van verzonden gegevens (voor computervirussen, naleving van het beveiligingsbeleid) enzovoort.
Laten we nu eens kijken naar problemen met betrekking tot de installatie van de ME. Op afb. 6.1 toont typische ME-aansluitschema's. In het eerste geval (Fig. 6.1) wordt de firewall na de router geïnstalleerd en wordt het hele interne netwerk beschermd. Een dergelijk schema wordt gebruikt als de eisen op het gebied van beveiliging tegen onbevoegde internetwerktoegang voor alle knooppunten van het interne netwerk ongeveer gelijk zijn. Bijvoorbeeld: "Sta verbindingen van het interne netwerk naar het externe netwerk toe en stop pogingen om verbinding te maken van het externe netwerk naar het interne netwerk." In het geval dat de vereisten voor verschillende nodes verschillend zijn (u moet bijvoorbeeld een mailserver hosten die "van buitenaf" kan worden aangesloten), is een dergelijk firewall-installatieschema niet veilig genoeg. Als in ons voorbeeld de indringer als gevolg van een netwerkaanval controle krijgt over de opgegeven mailserver, kan hij daardoor toegang krijgen tot andere knooppunten van het interne netwerk.
In dergelijke gevallen wordt soms een open segment van het bedrijfsnetwerk gecreëerd voor de FOE (6.1b), en de FOE beschermt de rest van het interne netwerk. Het nadeel van dit schema is dat de ME geen verbindingen met de knooppunten van het open segment bestuurt.
Het heeft in dit geval meer de voorkeur om een ME met drie netwerkinterfaces (6.1c) te gebruiken. In dit geval is de firewall zo geconfigureerd dat de toegangsregels voor het interne netwerk strenger zijn dan voor het open segment. Tegelijkertijd kunnen zowel die als andere verbindingen worden gecontroleerd door de DOE. Het open segment wordt in dit geval soms de "gedemilitariseerde zone" genoemd - DMZ.
Nog betrouwbaarder is het schema waarin twee onafhankelijk configureerbare ME's worden gebruikt om het netwerk te beveiligen met DMZ (6.1d). In dit geval implementeert ME 2 een meer rigide set filterregels in vergelijking met ME1. En zelfs een succesvolle aanval op de eerste ME zal het interne netwerk niet weerloos maken.
De laatste tijd wordt de variant van software ME-installatie direct op de beveiligde computer veel gebruikt. Soms wordt zo'n ME "persoonlijk" genoemd. Met een dergelijk schema kunt u uzelf beschermen tegen bedreigingen die niet alleen van het externe netwerk komen, maar ook van het interne.
Verschillende schema's kunnen worden gebruikt om firewalls aan te sluiten, die afhankelijk zijn van de bedrijfsomstandigheden, evenals het aantal firewall-netwerkinterfaces. Firewalls met een enkele netwerkinterface (Figuur A.8) zijn niet voldoende effectief, zowel wat betreft beveiliging als configuratiegemak. Ze scheiden de interne en externe netwerken niet fysiek van elkaar en kunnen daarom geen betrouwbare bescherming bieden voor internetwerkinteracties. Het configureren van deze firewalls, en de bijbehorende routers, is een vrij complexe taak, die meer kost dan het vervangen van een firewall door één netwerkinterface door een firewall met twee of drie netwerkinterfaces. Daarom beschouwen we alleen verbindingsdiagrammen voor firewalls met twee en drie netwerkinterfaces. In dit geval wordt het beveiligde lokale netwerk beschouwd als een combinatie van gesloten en open subnetten. Onder een open subnet wordt hier verstaan een subnet, waartoe de toegang vanaf de zijde van een potentieel vijandig extern netwerk geheel of gedeeltelijk open kan staan. Een open subnet kan bijvoorbeeld openbare WWW-, FTP- en SMTP-servers bevatten, evenals een terminalserver met een modempool.
Rijst. A.8. Het lokale netwerk beveiligen met een firewall met één netwerkinterface
Van de hele reeks mogelijke verbindingsschema's voor firewalls zijn de volgende typerend:
schema van uniforme bescherming van het lokale netwerk;
een schema met beschermde gesloten en onbeschermde open subnetten;
schema met aparte bescherming van gesloten en open subnetten.
Het uniforme LAN-beveiligingsschema is de eenvoudigste oplossing (Afbeelding A.9), waarbij de firewall het hele LAN afschermt van een potentieel vijandig extern netwerk. Tussen de router en de firewall is er maar één pad waar al het verkeer doorheen gaat. Meestal is de router zo geconfigureerd dat de firewall de enige machine is die van buitenaf zichtbaar is. Open servers in het lokale netwerk worden ook beschermd door een firewall. Het combineren van servers die toegankelijk zijn vanaf het externe netwerk, samen met andere bronnen van het beschermde lokale netwerk, vermindert echter aanzienlijk de veiligheid van communicatie tussen netwerken. Daarom kan dit firewall-verbindingsschema alleen worden gebruikt wanneer er geen open servers op het lokale netwerk zijn, of wanneer de beschikbare open servers alleen beschikbaar worden gesteld vanaf het externe netwerk voor een beperkt aantal gebruikers die kunnen worden vertrouwd.
Rijst. A.9. Schema van uniforme bescherming van het lokale netwerk
Als er openbare open servers in het lokale netwerk zijn, is het raadzaam om deze als een open subnet naar de firewall uit te schakelen (Fig. A.10). Deze methode heeft een hogere beveiliging van het gesloten deel van het lokale netwerk, maar biedt minder beveiliging voor open servers die zich voor de firewall bevinden. Bij sommige firewalls kunt u deze servers zelf hosten. Maar een dergelijke oplossing is niet de beste in termen van het opstarten van de computer en de beveiliging van de firewall zelf. Gezien het bovenstaande kunnen we concluderen dat het alleen raadzaam is om een firewall-verbindingsschema met een beveiligd gesloten subnet en een onbeschermd open subnet te gebruiken als er lage beveiligingseisen zijn voor een open subnet.
Rijst. A.10. Schema met beschermde gesloten en onbeschermde open subnetten
In het geval dat er hogere eisen worden gesteld aan de beveiliging van open servers, is het noodzakelijk om een schema te gebruiken met gescheiden bescherming van gesloten en open subnetten. Een dergelijk schema kan gebaseerd zijn op een enkele firewall met drie netwerkinterfaces (Figuur A.11) of gebaseerd op twee firewalls met twee netwerkinterfaces (Figuur A.12). In beide gevallen is toegang tot de open en gesloten subnetten van het lokale netwerk alleen mogelijk via de firewall. Toegang tot een open subnet geeft echter geen toegang tot een gesloten subnet. Van de laatste twee schema's biedt het schema met twee firewalls de veiligste samenwerking, waarbij elke firewall een afzonderlijke beschermingslaag vormt binnen een gesloten subnet. Het beveiligde open subnet fungeert hier als screeningsubnet. Doorgaans wordt een screeningsubnet geconfigureerd om toegang te verlenen tot computers op het subnet vanaf zowel een potentieel vijandig extern netwerk als een particulier LAN-subnet. Een directe uitwisseling van informatiepakketten tussen een extern netwerk en een gesloten subnet is echter niet mogelijk. Bij het aanvallen van een systeem met een screeningsubnet is het noodzakelijk om ten minste twee onafhankelijke verdedigingslinies te overwinnen, wat een zeer moeilijke taak is. Firewall-monitoringtools zullen een dergelijke poging bijna onvermijdelijk detecteren en de systeembeheerder zal tijdig de nodige acties ondernemen om ongeautoriseerde toegang te voorkomen.
Rijst. A.11. Schema met gescheiden bescherming van gesloten en open subnetten op basis van één firewall met drie netwerkinterfaces
Rijst. A.12. Schema met gescheiden bescherming van gesloten en open subnetten op basis van twee firewalls met twee netwerkinterfaces
Opgemerkt moet worden dat het werk van externe gebruikers die zijn aangesloten via inbelcommunicatielijnen ook moet worden gecontroleerd in overeenstemming met het beveiligingsbeleid van de organisatie. Een typische oplossing voor dit probleem is het installeren van een RAS-server (terminalserver) die over de nodige functionaliteit beschikt, bijvoorbeeld de BayNetworks Annex terminalserver. De terminalserver is een systeem met meerdere asynchrone poorten en één LAN-interface. De uitwisseling van informatie tussen asynchrone poorten en het lokale netwerk wordt alleen uitgevoerd na de juiste authenticatie van de externe gebruiker. De verbinding van de terminalserver moet zo worden uitgevoerd dat zijn werk uitsluitend via de firewall wordt uitgevoerd. Hiermee wordt de noodzakelijke mate van beveiliging bereikt wanneer gebruikers op afstand werken met de informatiebronnen van de organisatie. Een dergelijke verbinding is mogelijk als de terminalserver is opgenomen in een open subnet met behulp van firewall-verbindingsschema's met gescheiden bescherming van open en gesloten subnetten (Fig. A.11 en A.12). De terminalserversoftware moet de mogelijkheid bieden om communicatiesessies via inbelkanalen te beheren en te controleren. De besturingsmodules van moderne terminalservers hebben behoorlijk geavanceerde mogelijkheden om de beveiliging van de server zelf te waarborgen en de toegang van klanten te beperken, waarbij de volgende functies worden uitgevoerd:
gebruik van een lokaal wachtwoord voor toegang tot de seriële poort, voor toegang op afstand via het PPP-protocol, evenals voor toegang tot de beheerconsole;
het gebruik van een authenticatieverzoek van een lokale netwerkmachine;
gebruik van externe authenticatiemiddelen; - installatie van de toegangscontrolelijst op de poorten van de terminalserver; - logging van communicatiesessies via de terminalserver.
Uit al het bovenstaande volgt helemaal niet dat het gebruik van Firewall-systemen absoluut zinloos is. Nee, op dit moment is er geen alternatief voor deze methode (alleen als methode!) Men moet echter het hoofddoel ervan duidelijk begrijpen en onthouden. Het lijkt ons dat het gebruik van de Firewall-techniek voor het waarborgen van netwerkbeveiliging een noodzakelijke, maar zeker geen voldoende voorwaarde is, en men mag er niet vanuit gaan dat door het installeren van een Firewall, u onmiddellijk alle problemen met netwerkbeveiliging oplost en u verlost van alle mogelijke aanvallen op afstand vanaf internet. Het internet, dat rot is vanuit het oogpunt van veiligheid, kan niet worden beschermd door een enkele firewall!
