Дизайн сетевого периметра

Типы межсетевых экранов

Защита периметра в сетях Microsoft

Настройка защиты периметра с помощью Basic Firewall

Настройка защиты периметра с помощью ISA Server 2004

защиты сетевого периметра

Под защитой сетевого периметра (network perimeter) подразумевается комплексное обеспечение безопасности всех точек соединения внутренней сети с внешними сетями (например, Internet).
Основные угрозы, исходящие из внешних сетей:

• Сканирование портов и сбор сведений о работающих сервисах, в том числе через сбор «баннеров» (service banners) — приглашений, выдаваемых службой при соединении с ней.
• Атаки переполнения буфера с целью получения контроля над системой.
• DoS-атаки.
• Проникновение вирусов и червей.

Основным методом защиты периметра является применение межсетевых фильтров (firewall), также называемых брандмауэрами. Межсетевой экран (firewall) — программа или аппаратно-программный комплекс, который располагается между сетями с различными уровнями доверия и фильтрует (блокирует или разрешает) пакеты согласно правилам фильтрации, заложенным администратором.

Дизайн сетевого периметра

По дизайну сетевого периметра и размещению межсетевых экранов выделяют следующие сетевые конфигурации:

• Одиночный межсетевой экран (Bastion host)
• Межсетевой экран с тремя интерфейсами (Three-legs firewall)
• Конфигурация с тремя межсетевыми экранами (Back-to-back firewall).

Bastion Host
Самая простая и часто применяемая в небольших сетях конфигурация. Роль межсетевого экрана выполняет компьютер с двумя сетевыми адаптерами или специализированное устройство. Основное достоинство

• простота и дешевизна решения, основной недостаток
• пониженная безопасность по сравнению с другими конфигурациями. Это особенно проявляется тогда, когда требуется сделать некоторые внутренние ресурсы (например, Web-сервер) доступными для Internet-клиентов.

Three-legs firewall

В данной конфигурации межсетевой экран имеет три интерфейса, поэтому кроме сети организации и Internet появляется также третья сеть. Эту сеть называют демилитаризованной зоной (Demilitarized zone, DMZ) или Screened subnet. В DMZ располагаются серверы, к которым должен быть разрешен ограниченный доступ из Internet (Web/FTP серверы, серверы электронной почты и т.д). Ограниченность доступа означает то, что из Internet доступны только некоторые службы, работающие на серверах в DMZ. Данная конфигурация более безопасна для публикации ресурсов, так как при «взломе» опубликованного ресурса злоумышленник не окажется сразу во внутренней сети, как в случае сценария Bastion host. Основные ее недостатки сложность настройки правил.

Back-to-back firewall
Наиболее защищенная и наиболее дорогая конфигурация, применяемая, чаще всего, в крупных сетях. Сеть DMZ находится между двумя межсетевыми экранами. Кроме наилучшей защиты внутренней сети, эта конфигурация позволяет упростить настройку правил на индивидуальных межсетевых экранах.

Типы межсетевых экранов

Различают несколько типов межсетевых экранов в зависимости от их «интеллектуальности».

Межсетевые экраны с пакетной фильтрацией
Межсетевой экран с пакетной фильтрацией — наименее интеллектуальный, но наиболее быстрый тип межсетевого экрана. Правила фильтрации могут быть основаны на IP-адресах отправителя и получателя, типе протокола (TCP/UDP) и портах отправителя и получателя. Межсетевой экран с пакетной фильтрацией рассматривает каждый сетевой пакет отдельно от остальных и «не понимает» соединений. Это приводит к тому, что ответные пакеты рассматриваются аналогично пакетам, инициирующим соединение из внешней сети. Таким образом, межсетевой экран с пакетной фильтрацией требует детальной настройки правил фильтрации, явно разрешающих и обычные входящие пакеты, и ответные пакеты.
Межсетевые экраны с пакетной фильтрацией не позволяют настроить правила, разрешающие «выход» во внешнюю сеть только для определенных пользователей внутренней сети. Межсетевые экраны с пакетной фильтрацией являются «прозрачными» для клиентских приложений, т.е не требуют настройки клиентских приложений на использование межсетевого экрана.

Межсетевые экраны с технологией Stateful Inspection
Межсетевые экраны с технологией Stateful Inspection (Stateful Inspection Firewalls) оперируют не с отдельными пакетами, а с соединениями. Только соединения, удовлетворяющие правилам фильтрации, могут проходить через межсетевой экран. Можно выделить следующие основные характеристики межсетевых экранов с технологией Stateful Inspection:

• Пользователь может инициировать соединение с ресурсом во внешней сети (если это разрешено правилами) и межсетевой экран автоматически создаст правило на время соединения, разрешающее прохождение ответных пакетов в рамках этого соединения.
• Пакет, пришедший из внешней сети, может пройти во внутреннюю сеть, только если он является частью инициированного внутренним клиентом соединения или для него существует явное разрешительное правило.
• Конфигурирование межсетевого экрана требует меньших затрат времени, так как администратору не требуется задавать правила, разрешающие прохождение ответных пакетов (эти правила создаются динамически).

Межсетевые экраны с технологией Stateful Inspection также являются прозрачными для клиентских приложений.

Прокси-серверы (шлюзы уровня приложений)
Прокси-серверы (proxy servers) работают на Уровне приложений (Application layer) OSI-модели. Они обеспечивают защиту за счет того, что требуют, чтобы клиент направлял все запросы на доступ к внешним ресурсам прокси-серверу. Поэтому, чтобы воспользоваться услугами прокси-сервера, клиентское приложение должно «уметь» работать с ним. Наиболее известным видом прокси-серверов является HTTP прокси-сервер.
Важной особенностью прокси-серверов является то, что они создают соединение с внешним ресурсом от своего имени, а не просто пересылают пакет клиента. Таким образом соединение клиента со внешним ресурсом на самом деле представляет собой два соединения: соединение клиент — прокси-сервер и соединение прокси-сервер — внешний ресурс.
Прокси-серверы обладают также дополнительными возможностями, например, позволяют кэшировать данные, а также аутентифицировать внутренних клиентов и разграничивать доступ к внешним ресурсам на основе этой информации.

Межсетевые экраны с фильтрацией на уровне приложений
Межсетевые экраны с фильтрацией на уровне приложений (Application layer firewalls) работают на Уровне приложений (Application layer) OSI-модели и полностью анализируют содержимое пакетов. Эти межсетевые экраны наиболее «интеллектуальны» и могут анализировать различные протоколы уровня приложений (FTP, HTTP, SMTP, DNS). В отличие от прокси-серверов межсетевые экраны уровня приложений прозрачны для клиентских продолжений.
Современные коммерческие межсетевые экраны — сложные продукты, часто совмещающие функции NAT-устройства, прокси-сервера и межсетевого экрана с фильтрацией на уровне приложений.

Защита периметра в сетях Microsoft

Для защиты сетевого периметра можно использовать как компонент NAT\npocTofi брандмауэр (NAT\Basic Firewall), входящий в состав Windows Server 2003, так и отдельный продукт Microsoft ISA Server 2004. Некоторые сравнительные характеристики этих продуктов приведены в таблице.

Сравнительные характеристики Basic Firewall и MS ISA Server 2004

Настройка защиты периметра с помощью Basic Firewall

Basic Firewall — один из субкомпонентов службы Routing and Remote Access (RRAS) в Windows Server 2003. Поэтому перед настройкой Basic Firewall необходимо сначала активировать службу RRAS и добавить Basic Firewall (если он не будет добавлен автоматически в ходе активации RRAS).

Для активации RRAS следует запустить административное средство Routing and Remote Access, в контекстном меню выбрать пункт Configure and Enable Routing and Remote Access и пройти Мастер настройки RRAS. Подробные шаги описаны в статье КВ816581 How to configure Network Address Translation in Windows Server 2003. Выполнение шагов, описанных в этой статье, позволяет настроить компьютер как NAT-устройство и автоматически активировать Basic Firewall на внешнем интерфейсе.

При этом на внешнем интерфейсе блокируются все входящие соединения, кроме тех, которые являются ответами на исходящие соединения пользователей внутренней сети. Дополнительная настройка Basic Firewall может включать в себя публикацию внутренних ресурсов (закладка Services and Ports) и разрешение определенных входящих ICMP-пакетов (закладка ICMP).

Настройка защиты периметра с помощью ISA Server 2004

После установки ISA Server 2004 настроен таким образом, что полностью блокирует доступ к себе и из внешней, и из внутренней сети, а также блокирует выход внутренних пользователей в Internet.
Для настройки проще всего воспользоваться соответствующим шаблоном — Edge firewall, 3-leg Perimeter или Back-to-back (два шаблона). Чтобы применить шаблон, нужно запустить административное средство ISA Server Management, раскрыть раздел Configuration и щелкнуть раздел Networks. В панели Templates следует щелкнуть нужный шаблон и пройти Мастер настройки сетевого шаблона.

Описание диалоговых окон Мастера настройки сетевого шаблона Edge Firewall

После прохождения Мастера следует нажать кнопку Apply. Результатом работы Мастера является создание правил доступа