Дина Погонышева - Безопасность информационных систем. Учебное пособие

Помимо функций разграничения доступа, межсетевые экраны осуществляют протоколирование информационных обменов.

Межсетевой экран не является симметричным, для него определены понятия «внутри» и «снаружи». При этом задача экранирования формулируется как защита внутренней области от враждебной внешней системы. Межсетевые экраны устанавливают для защиты локальной сети организации, имеющей выход в открытую среду, подобную Internet. Другой пример межсетевого экрана – устройство защиты порта, контролирующее доступ к коммуникационному порту компьютера независимо от всех прочих системных защитных средств.

Экранирование позволяет поддерживать доступность сервисов внутренней области, уменьшая или вообще ликвидируя нагрузку, индуцированную внешней активностью. Уменьшается уязвимость внутренних сервисов безопасности, поскольку первоначально сторонний злоумышленник должен преодолеть межсетевой экран, где защитные механизмы сконфигурированы особенно тщательно. Экранирующая система в отличие от универсальной может быть устроена более простым и, следовательно, более безопасным образом.

Экранирование дает возможность контролировать также информационные потоки, направленные во внешнюю систему или сеть, что способствует поддержанию режима конфиденциальности.

Чаще всего экран реализуют как сетевой сервис на третьем (сетевом), четвертом (транспортном) или седьмом (прикладном) уровнях семиуровневой эталонной модели OSI. В первом случае мы имеем экранирующий маршрутизатор, во втором – экранирующий транспорт, в третьем – экранирующий шлюз. Каждый подход имеют свои достоинства и недостатки; известны также гибридные экраны, где делается попытка объединить лучшие качества упомянутых подходов. Экранирующий маршрутизатор работает с отдельными пакетами данных, поэтому иногда его называют пакетным фильтром. Решения о том, пропустить или задержать данные, принимаются для каждого пакета данных независимо, на основании анализа полей заголовков сетевого и транспортного уровней, путем применения заранее заданной системы правил. Еще один важный компонент анализируемой информации – порт, через который пакет данных поступил в маршрутизатор.

Современные маршрутизаторы (продукты компаний Bay Networks или Cisco) позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе (при поступлении в маршрутизатор), так и на выходе. В качестве пакетного фильтра может использоваться и универсальный компьютер, снабженный несколькими сетевыми картами.

Основные достоинства экранирующих маршрутизаторов – дешевизна (на границе сетей маршрутизатор нужен практически всегда, дело лишь в том, чтобы задействовать его экранирующие возможности) и прозрачность для более высоких уровней модели OSI. Основной недостаток – ограниченность анализируемой информации и относительная слабость обеспечиваемой защиты.

Экранирующий транспорт позволяет контролировать процесс установления виртуальных соединений и передачу информации по ним. С точки зрения реализации экранирующий транспорт представляет собой довольно простую, а значит, надежную программу. Пример экранирующего транспорта – продукт TCP wrapper.

По сравнению с пакетными фильтрами, экранирующий транспорт обладает большей информацией, поэтому он может осуществлять более тщательный контроль за виртуальными соединениями. Например, он способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации. Аналогично, возможно накопление более содержательной регистрационной информации. Главный недостаток – сужение области применимости, поскольку вне контроля остаются датаграммные протоколы. Обычно экранирующий транспорт применяют в сочетании с другими подходами, как важный дополнительный элемент. Экранирующий шлюз, функционирующий на прикладном уровне, способен обеспечить наиболее надежную защиту. В основном экранирующий шлюз представляет собой универсальный компьютер, на котором функционируют программные агенты – по одному для каждого обслуживаемого прикладного протокола. При подобном подходе, помимо фильтрации, реализуется еще один важнейший аспект экранирования. Субъекты из внешней сети видят только шлюзовой компьютер. Соответственно им доступна только та информация о внутренней сети, которую шлюз считает нужным экспортировать. Шлюз на самом деле экранирует (заслоняет) внутреннюю сеть от внешней системы или сети. В то же время субъектам внутренней сети кажется, что они напрямую общаются с объектами внешней системы или сети. Недостаток экранирующих шлюзов – отсутствие полной прозрачности, что требует специальных действий для поддержки каждого прикладного протокола.