1. Поняття брандмауера

Брандмауер, або міжмережевий екран, – це «напівпроникна мембрана», яка розташовується між що захищається внутрішнім сегментом мережі і зовнішньою мережею або іншими сегментами мережі Internet і контролює всі інформаційні потоки у внутрішній сегмент і з нього. Контроль трафіку полягає в його фільтрації, тобто у вибірковому пропущенні через екран, а іноді і з виконанням спеціальних перетворень і формуванням сповіщень для відправника, якщо його даним у пропуску відмовлено. Фільтрація здійснюється на підставі набору умов, попередньо завантажених в брандмауер і відображають концепцію інформаційної безпеки корпорації. Брандмауери можуть бути виконані у вигляді як апаратного, так і програмного комплексу, записаного в комутуючий пристрій або сервер доступу (сервер-шлюз, просто сервер, хост-комп’ютер і т.д.), вбудованого в операційну систему або представляти собою працює під її управлінням програму.

Робота брандмауера полягає в аналізі структури і вмісту інформаційних пакетів, що надходять із зовнішньої мережі, і в залежності від результатів аналізу пропуску пакетів у внутрішню мережу (сегмент мережі) або повному їх відфільтровування. Ефективність роботи міжмережевого екрану, що працює під управлінням Windows, обумовлена ​​тим, що він повністю заміщає реалізований стек протоколів TCP\IP, і тому порушувати його роботу з допомогою спотворення протоколів зовнішньої мережі (що часто робиться хакерами) неможливо.

Міжмережеві екрани зазвичай виконують такі функції:

• фізичне відділення робочих станцій і серверів внутрішнього сегмента мережі (внутрішньої підмережі) від зовнішніх каналів зв’язку;
• багатоетапну ідентифікацію запитів, що надходять в мережу (ідентифікація серверів, вузлів зв’язку про інших компонентів зовнішньої мережі);
• перевірку повноважень і прав доступу користувача до внутрішніх ресурсів мережі;
• реєстрацію всіх запитів до компонентів внутрішньої підмережі ззовні;
• контроль цілісності програмного забезпечення і даних;
• економію адресного простору мережі (у внутрішній підмережі може використовуватися локальна система адресації серверів);
• приховування IP адрес внутрішніх серверів з метою захисту від хакерів.

На мережевому рівні виконується фільтрація вступників пакетів, заснована на IP адреси (наприклад, не пропускати пакети з Інтернету, направлені на ті сервери, доступ до яких зовні заборонено; не пропускати пакети з фальшивими зворотними адресами або IP адресами, занесеними до «чорного списку», і т.д.). На транспортному рівні фільтрація припустима ще й за номерами портів ТСР і прапорів, що містяться в пакетах (наприклад, запитів на встановлення з’єднання). На прикладному рівні може виконуватися аналіз прикладних протоколів (FTP, HTTP, SMTP і т.д.) і контроль за змістом потоків даних (заборона внутрішнім абонентам на отримання будь-яких типів файлів: рекламної інформації або виконуваних програмних модулів, наприклад).

Можна в брандмауері створювати експертну систему, яка, аналізуючи трафік, діагностує події, що можуть становити загрозу безпеки внутрішньої мережі, та інформує про це адміністратора. Експертна система здатна також у разі небезпеки (спам, наприклад) автоматично посилювати умови фільтрації і т.д.

1.2 Переваги використання брандмауера

Брандмауер представляє собою захисну кордон між комп’ютером (або комп’ютерною мережею) і зовнішнім середовищем, користувачі або програми якої можуть намагатися отримати несанкціонований доступ до комп’ютера. Зазвичай зломщики використовують спеціальні програми для пошуку в Інтернеті незахищених підключень. Така програма відправляє на комп’ютер дуже маленьке повідомлення. За відсутності брандмауера комп’ютер автоматично відповідає на повідомлення, виявляючи свою незахищеність. Встановлений брандмауер отримує такі повідомлення, але не відповідає на них; таким чином, зломщики навіть не підозрюють про існування даного комп’ютера.

1.3 Види брандмауерів

Брандмауери бувають апаратними або програмними.

Апаратний брандмауер представляє собою пристрій, що фізично підключається до мережі. Це пристрій відслідковує всі аспекти вхідного і вихідного обміну даними, а також перевіряє адреси джерела і призначення кожного оброблюваного повідомлення. Це забезпечує безпеку, допомагаючи запобігти небажаним проникнення в мережу або на комп’ютер. Програмний брандмауер виконує ті ж функції, використовуючи не зовнішній пристрій, а встановлену на комп’ютері програму.

На одному і тому ж комп’ютері можуть використовуватися як апаратні, так і програмні брандмауери.

2. Міжмережеві екрани

2.1 Міжмережевий екран як засіб від вторгнення з Internet

Ряд завдань по віддзеркаленню найбільш ймовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екран. У вітчизняній літературі до останнього часу використовувалися замість цього терміну інші терміни іноземного походження: брандмауер і firewall. Поза комп’ютерною сферою брандмауером (або firewall) називають стіну, зроблену з негорючих матеріалів, що перешкоджає поширенню пожежі. У сфері комп’ютерних мереж міжмережевий екран є бар’єром, що захищає від фігуральної пожежі - спроб зловмисників вторгнутися у внутрішню мережу для того, щоб скопіювати, змінити або стерти інформацію або скористатися пам’яттю чи обчислювальною потужністю, що працюють у цій мережі комп’ютерів. Міжмережевий екран покликаний забезпечити безпечний доступ до зовнішньої мережі та обмежити доступ зовнішніх користувачів до внутрішньої мережі.

Міжмережевий екран (МЕ) — це система міжмережевого захисту, що дозволяє розділити загальну мережу на дві частини або більше і реалізувати набір правил, що визначають умови проходження пакетів з даними через кордон з однієї частини загальної мережі в іншу. Як правило, ця межа проводиться між корпоративною (локальною) мережею підприємства і глобальною мережею Internet, хоча її можна провести і усередині корпоративної мережі підприємства. МЕ пропускає через себе весь трафік, приймаючи для кожного проходить пакету рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це йому необхідно визначити набір правил фільтрації.

Зазвичай МЕ захищають внутрішню мережу підприємства від «вторгнень» з глобальної мережі Internet, однак вони можуть використовуватися і для захисту від "нападів" з корпоративної інтрамережі, до якої підключена локальна мережа підприємства. Жоден МЕ не може гарантувати повного захисту внутрішньої мережі при всіх можливих обставин. Однак для більшості комерційних організацій установка МЕ є необхідною умовою забезпечення безпеки внутрішньої мережі. Головний аргумент на користь застосування МЕ полягає в тому, що без нього системи внутрішньої мережі наражаються на небезпеку з боку слабо захищених служб мережі Internet, а також зондування і атакам з будь-яких інших хост-комп’ютерів зовнішньої мережі.

Набір протоколів управління передачею повідомлень в Internet (Transmission Control Protocol/Internet Protocol — TCP/IP) використовується для організації комунікацій в неоднорідному мережевому середовищі, забезпечуючи сумісність між комп’ютерами різних типів. Сумісність - одна з основних переваг TCP/IP, тому більшість локальних комп’ютерних мереж підтримує ці протоколи. Крім того, протоколи TCP/IP надають доступ до ресурсів глобальної мережі Internet. Оскільки TCP/IP підтримує маршрутизацію пакетів, він зазвичай використовується в якості міжмережевого протоколу. Завдяки своїй популярності TCP/IP став стандартом фактора для міжмережевої взаємодії.

У заголовках пакетів TCP/IP зазначається інформація, яка може піддатися нападам хакерів. Зокрема, хакер може підмінити адресу відправника у своїх "шкідливих" пакетах, після чого вони будуть виглядати, як пакети, що передаються авторизованим клієнтом.

2.2 Функціональні вимоги і компоненти міжмережевих екранів Функціональні вимоги до міжмережевих екранів включають:

• вимоги до фільтрації на мережевому рівні;
• вимоги до фільтрації на прикладному рівні;
• вимоги по налаштуванню правил фільтрації та адміністрування;
• вимоги до засобів мережевої аутентифікації;
• вимоги щодо впровадження журналів та обліку.

Більшість компонентів міжмережевих екранів можна віднести до однієї з трьох категорій:

• фільтруючі маршрутизатори;
• шлюзи мережевого рівня;
• шлюзи прикладного рівня.

Ці категорії можна розглядати як базові компоненти реальних міжмережевих екранів. Лише деякі міжмережеві екрани включають тільки одну з перерахованих категорій. Тим не менше, ці категорії відображають ключові можливості, що відрізняють міжмережеві екрани один від одного.

2.5 Основні схеми мережевого захисту на базі міжмережевих екранів

При підключенні корпоративної або локальної мережі до глобальних мереж адміністратор мережевої безпеки має вирішувати такі завдання:

• захист корпоративної або локальної мережі від несанкціонованого доступу з боку глобальної мережі;
• приховування інформації про структуру мережі та її компонентів від користувачів глобальної мережі,
• розмежування доступу в мережу, що захищається з глобальної мережі і з мережі, що захищається в глобальну мережу.

Необхідність роботи з віддаленими користувачами вимагає встановлення жорстких обмежень доступу до інформаційних ресурсів мережі, що захищається. При цьому часто виникає потреба в організації у складі корпораційної мережі декількох сегментів з різними рівнями безпеки:

• вільно доступні сегменти (наприклад, рекламний WWW-сервер);
• сегмент з обмеженим доступом (наприклад, для доступу співробітникам організації з віддалених вузлів);
• закриті сегменти (наприклад, локальна фінансова мережа організації).

Для захисту корпоративної або локальної мережі застосовуються такі основні схеми організації міжмережевих екранів:

• міжмережевий екран — фільтруючий маршрутизатор;
• міжмережевий екран на основі двупортового шлюзу;
• міжмережевий екран на основі екранованого шлюзу;
• міжмережевий екран — екранована підмережа.

Міжмережевий екран — фільтруючий маршрутизатор

Міжмережевий екран, заснований на фільтрації пакетів, є поширеним і найбільш простим в реалізації. Він складається з фільтруючого маршрутизатора, розташованого між що захищається мережею і мережею Internet. Фільтруючий маршрутизатор налаштований для блокування або фільтрації вхідних і вихідних пакетів на основі аналізу їх адрес і портів. Комп’ютери, що знаходяться в мережі, що захищається, мають прямий доступ в мережу Internet, в той час як більша частина доступу до них з Internet блокується. Часто блокуються такі небезпечні служби, як Х Windows, NIS і NFS.

Міжмережевий екран на базі двупортового шлюзу

Міжмережевий екран на базі двупортового прикладного шлюзу включає дводомний хост-комп’ютер з двома мережевими інтерфейсами. При передачі інформації між цими інтерфейсами і здійснюється основна фільтрація. Для забезпечення додаткового захисту між прикладним шлюзом та мережею Internet зазвичай розміщують фільтруючий маршрутизатор. У результаті між прикладним шлюзом та маршрутизатором утворюється внутрішня екранована підмережа. Цю підмережа можна використовувати для розміщення доступних ззовні інформаційних серверів.

Міжмережевий екран на основі екранованого шлюзу

Міжмережевий екран на основі екранованого шлюзу об’єднує фільтруючий маршрутизатор і прикладний шлюз, що дозволяються з боку внутрішньої мережі. Прикладний шлюз реалізується на хост-комп’ютері і має тільки один мережевий інтерфейс.

Міжмережевий екран — екранована під мережа

Міжмережевий екран, що складається з екранованої підмережі, являє собою розвиток схеми міжмережевого екрану на основі екранованого шлюзу. Для створення екранованої підмережі використовуються два екрануючих маршрутизатора. Зовнішній маршрутизатор розташовується між мережею Internet і екранованою підмережею, а внутрішній — між екранованою підмережею і захищається внутрішньою мережею. Екранована підмережа містить прикладної шлюз, а також може включати інформаційні сервери та інші системи, що вимагають контрольованого доступу. Ця схема міжмережевого екрану забезпечує хорошу безпеку завдяки організації екранованої підмережі, яка ще краще ізолює внутрішню мережу, що захищається від Internet.