http://www.osp.ru/nets/nt_2_97/source/88.htm
Сети · # 2/97
· стр. 88-99
системы IntranetWare
в Internet компании Novell
Представьте себе такую ситуацию. Подключившись к системе World Wide
Web (WWW), вы обнаруживаете вместо домашней страницы своей компании, цветную
фотографию обнаженной дивы или, еще хуже, Адольфа Гитлера в окружении свастик.
Наверное, в этом случае первое, что придет вам в голову, будет: "Господи,
чем же теперь занимается моя компания?" Однако не торопитесь бежать
с этим вопросом к своему шефу - профиль вашей организации не изменился,
просто ее Web-узел подвергся нападению очередного вандала, подменившего
домашнюю страницу.
Подобные "нападения" достаточно безвредны, другие же, напротив,
могут причинить весьма значительный вред вашей компании. Например, хакеры,
вторгшиеся в компьютерную систему компании MCI, украли около 50 тыс. номеров
кредитных карточек. Компания Digital Equipment Corporation (DEC) сообщает,
что ее потери от вторжения одного неизвестного хакера составили несколько
миллионов долларов. И что самое неприятное, число подобных "нападений"
постоянно растет. По данным финансируемой правительством США организации
CERT Coordination Center, число выявленных "взломов" систем защиты
в Internet выросло со 130 случаев, зафиксированных в 1990 г., до 2400 в
1995 г.
http://www.ans.net
Check Point Software Technologies, Ltd.
FireWall-1
Брандмауэр экспертного уровня
http://www.checkpoint.com
CyberGuard Corporation
CyberGuard Firewall
Шлюз прикладного уровня
http://www.cyberguardcorp.com
Digital Equipment Corporation (DEC)
AltaVista Firewall
Шлюз прикладного уровня
http://altavista.software.
digital.com
Global Internet
Centri Firewall
Шлюз прикладного уровня
http://www.globalinternet.com
Milkyway Networks Corporation
Black Hole
Шлюз прикладного уровня
http://www.milkyway.com
NEC Technologies, Inc.
PrivateNet
Шлюз прикладного уровня
http://www.privatenet.nec.com
ON Technology
ON Guard
Брандмауэр экспертного уровня
http://www.onguard.on.com
Raptor Systems, Inc.
Eagle
Шлюз прикладного уровня
http://www.raptor.com
Secure Computing Corporation
BorderWare Firewall Server, Sidewinder Security Server
Шлюз прикладного уровня
http://www.sctc.com
Trusted Information Systems, Inc.
Gauntlet Internet Firewall
Шлюз прикладного уровня
http://www.tis.com
* Здесь и далее все указанные шлюзы
прикладного уровня обеспечивают поддержку шлюзов сеансового уровня для
отдельных служб TCP/IP, не защищаемых программами-посредниками приложений.
digital.com
прикладного уровня обеспечивают поддержку шлюзов сеансового уровня для
отдельных служб TCP/IP, не защищаемых программами-посредниками приложений.
Например, AltaVista Firewall использует канальные посредники прикладного
уровня для каждой из шести служб TCP/IP, к которым относятся, например,
FTP, HTTP (HyperText Transport Protocol) и Telnet. Кроме того, брандмауэр
компании DEC обеспечивает шлюз сеансового уровня, поддерживающий другие
общедоступные службы TCP/IP, такие как Gopher и SMTP (Simple Mail Transfer
Protocol), для которых брандмауэр не предоставляет посредников прикладного
уровня.
Серверы-посредники
Шлюз сеансового уровня выполняет еще одну важную функцию защиты: он
используется в качестве сервера-посредника (proxy server). И хотя этот
термин предполагает наличие сервера, на котором работают программы-посредники
(что справедливо для шлюза сеансового уровня), в данном случае он означает
несколько другое. Сервером-посредником может быть брандмауэр, использующий
процедуру трансляции адресов (address translation), при которой происходит
преобразование внутренних IP-адресов в один "надежный" IP-адрес.
Этот адрес ассоциируется с брандмауэром, из которого передаются все исходящие
пакеты.
В результате в сети со шлюзом сеансового уровня все исходящие пакеты
оказываются отправленными из этого шлюза, что исключает прямой контакт
между внутренней (авторизованной) сетью и являющейся потенциально опасной
внешней сетью. IP-адрес шлюза сеансового уровня становится единственным
активным IP-адресом, который попадает во внешнюю сеть. Таким образом, шлюз
сеансового уровня и другие серверы-посредники защищают внутренние сети
от нападений типа spoofing (имитация адресов), о которых было рассказано
выше.
Обходные маневры
Шлюзы сеансового уровня не имеют "врожденных" уязвимых мест,
однако после установления связи такие шлюзы фильтруют пакеты только на
сеансовом уровне модели OSI, т. е. не могут проверять содержимое пакетов,
передаваемых между внутренней и внешней сетью на уровне прикладных программ.
И поскольку осуществляется эта передача "вслепую", хакер, находящийся
во внешней сети, может "протащить" свои "зловредные"
пакеты через шлюз. После этого хакер обратится напрямую к внутреннему Web-серверу,
который сам по себе может не обеспечивать функции брандмауэра.
Иными словами, если процедура квитирования связи успешно завершена,
шлюз сеансового уровня установит соединение и будет "тупо" копировать
и перенаправлять все последующие пакеты независимо от их содержимого. Чтобы
фильтровать пакеты, генерируемые определенными сетевыми службами в соответствии
с их содержимым, необходим шлюз прикладного уровня.
Шлюзы прикладного уровня
Так же как и шлюз сеансового уровня, шлюз прикладного уровня перехватывает
входящие и исходящие пакеты, использует программы-посредники, которые копируют
и перенаправляют информацию через шлюз, а также функционирует в качестве
сервера-посредника, исключая прямые соединения между доверенным сервером
или клиентом и внешним хостом. Однако посредники, используемые шлюзом прикладного
уровня, имеют важные отличия от канальных посредников шлюзов сеансового
уровня: во-первых, они связаны с приложениями, а во-вторых, могут фильтровать
пакеты на прикладном уровне модели OSI.
Посредники приложений
В отличие от канальных посредников, посредники прикладного уровня пропускают
только пакеты, сгенерированные теми приложениями, которые им поручено обслуживать.
Например, программа-посредник службы Telnet может копировать, перенаправлять
и фильтровать лишь трафик, генерируемый этой службой. Если в сети работает
только шлюз прикладного уровня, то входящие и исходящие пакеты могут передаваться
лишь для тех служб, для которых имеются соответствующие посредники. Так,
если шлюз прикладного уровня использует только программы-посредники FTP
и Telnet, то он будет пропускать пакеты этих служб, блокируя при этом пакеты
всех остальных служб.
Фильтрация на прикладном уровне
В отличие от шлюзов сеансового уровня, которые копируют и "слепо"
перенаправляют все поступающие пакеты, посредники прикладного уровня (самого
высокого в модели OSI) проверяют содержимое каждого проходящего через шлюз
пакета. Эти посредники могут фильтровать отдельные виды команд или информации
в протоколах прикладного уровня, которые им поручено обслуживать.
Такие продукты, как Eagle компании Raptor Systems, ANS InterLock компании
ANS и Sidewinder Security Server компании Secure Computing Corporation,
включают в себя программы-посредники прикладного уровня для служб FTP,
HTTP и Telnet. Утилиты этих шлюзов позволяют фильтровать определенные команды,
используемые этими службами. Например, можно сконфигурировать шлюз таким
образом, чтобы он предотвращал использование клиентами команды FTP Put,
которая дает возможность пользователю, подключенному к FTP-серверу, записывать
на него информацию. Многие сетевые администраторы предпочитают запретить
использование этой команды, чтобы уменьшить риск случайного повреждения
хранящейся на FTP-сервере информации и вероятность заполнения его гигабайтами
хакерских данных, пересылаемых на сервер для заполнения его дисковой памяти
и блокирования работы.
Другие защитные функции
В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют
все выполняемые сервером действия и, что наиболее важно, предупреждают
сетевого администратора о возможных нарушениях защиты. Например, при попытках
проникновения в систему извне BorderWare Firewall Server компании Secure
Computing позволяет фиксировать адреса отправителя и получателя пакетов,
время, в которое эти попытки были предприняты, и используемый протокол.
Продукт Black Hole компании Milkyway Networks также регистрирует все действия
сервера и предупреждает администратора о возможных нарушениях, посылая
ему сообщение по электронной почте или на пейджер. Аналогичные функции
обеспечивают и продукты Eagle и Sidewinder Security Server.
Представители
Большинство шлюзов прикладного уровня предназначены для одной или нескольких
разновидностей операционной системы UNIX. Ярким представителем этого большого
семейства продуктов является Black Hole компании Milkyway Networks, который
работает на компьютерах со SPARC-архитектурой под управлением SunOS или
Solaris. В отличие от этих шлюзов, BorderWare Firewall Server компании
Secure Computing и Gauntlet Internet Firewall компании Trusted Information