Брандмауэры

Политика доступа  к сервисам - самый важный компонент  из четырех, описанных выше. Остальные  три компонента используются для  реализации политики. ( И, как отмечалось выше, политика доступа к сервисам должна отражать общую политику безопасности организации). Эффективность системы  брандмауэра при защите сети зависит  от типа используемой реализации его, от правильности процедур работы с  ним, и от политики доступа к сервисам.

Усиленная аутентификация

Разделы 1.3, 1.3.1 и 1.3.2 описывали инциденты в Интернете, произошедшие отчасти из-за уязвимости традиционных паролей. Уже много лет пользователям рекомендуется выбирать такие пароли, которые было бы тяжело угадать и не сообщать их никому. Тем не менее, даже если пользователь следует этому совету( а многие и этого не делают), то тот факт, что злоумышленники могут наблюдать за каналами в Интернете и перехватывать передающиеся в них пароли, делает традиционные пароли устаревшими.

Разработан ряд  мер усиленной аутентификации, таких  как смарт-карты, биометрические механизмы, и программные механизмы, для  защиты от уязвимости обычных паролей. Хотя они и отличаются друг от друга, все они одинаковы в том  отношении, что пароли, генерируемые устройством усиленной аутентификации, не могут быть повторно использованы атакующим, который перехватывает  траффик соединения. Так как проблема с паролями в Интернете является постоянной, брандмауэр для соединения с Интернетом, который не имеет  средств усиленной аутентификации или не использует их, бессмысленен.

Ряд наиболее популярных устройств усиленной аутентификации, используемых сегодня, называются системами с одноразовыми паролями. Смарт-карта, например, генерирует ответ, который хост использует вместо традиционного пароля. Так как смарт-карта работает совместно с программой или оборудованием на хосте, генерируемые ответы уникальны для каждого установления сеанса. Результатом является одноразовый пароль, который, если перехватывается, не может быть использован злоумышленником для установления сеанса с хостом под видом пользователя. [NIST94a] и [NIST91a] более детально описывают устройства усиленной аутентификации и средства защиты на их основе.

Рисунок 2.2 Использование  усиленной аутентификации в брандмауэре  для предварительной  аутентификации трафика TELNET, FTP

Так как брандмауэры  могут централизовать управление доступом в сети, они являются логичным местом для установки программ или устройств  усиленной аутентификации. Хотя меры усиленной аутентификации могут  использоваться на каждом хосте, более  практичным является их размещение на брандмауэре. Рисунок 2.2 показывает, что  в сети без брандмауэра, использующего  меры усиленной аутентификации, неаутентифицированный  траффик таких приложений как TELNET или FTP, может напрямую проходить  к системам в сети. Если хосты  не используют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или перехватывать  сетевой трафик с целью найти  в нем сеансы, в ходе которых  передаются пароли. Рисунок 2.2 также  показывает сеть с брандмауэром, использующим усиленную аутентификацию, при которой  сеансы TELNET или FTP, устанавливаемые  со стороны Интернета с системами  сети, должны проходить проверку с  помощью усиленной аутентификации перед началом работы. Сами системы  сети могут продолжать требовать  статические пароли перед доступом к себе, но эти пароли нельзя будет  использовать, даже если их перехватить, так как меры усиленной аутентификации и другие компоненты брандмауэра  не позволят злоумышленнику проникнуть или обойти брандмауэр.

Части 2.4.4 и 3 содержат дополнительную информацию об использовании мер усиленной аутентификации с брандмауэрами. Смотри [NIST94b] для получения более подробной информации об использовании мер усиленной аутентификации на хостах.

Фильтрация  пакетов

Фильтрация IP-пакетов  обычно выполняется с помощью  маршрутизатора с фильтрацией пакетов, осуществляющего ее, когда пакеты передаются между интерфейсами маршрутизатора. Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы полей из следующих полей  пакета:

• IP-адрес отправителя
• IP-адрес получателя
• TCP/UDP-порт отправителя
• TCP/UDP-порт получателя

Не все фильтрующие  маршрутизаторы сейчас фильтруют по TCP/UDP-порту отправителя, но многие производители  начали включать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации. Некоторые версии Unix имеют возможность фильтрации пакетов, но далеко не все.

Фильтрация может  быть использована различным образом  для блокирования соединений от или  к отдельным хостам или сетям, и для блокирования соединений к  различным портам. Организации может  понадобиться блокировать соединения от специфических адресов, таких  как хосты или сети, которые  считаются враждебными или ненадежными. Или же организация может захотеть блокировать соединения от всех адресов, внешних по отношению к организации( с небольшими исключениями, такими как SMTP для получения почты).

Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам  дает большую гибкость. Напомним главу 1, в которой говорилось, что сервера, такие как демон TELNET, связаны обычно с конкретными портами, такими как  порт 23 для TELNET. Если брандмауэр может  блокировать соединения TCP или UDP к  или от определенных портов, то можно  реализовать политику, при которой  определенные виды соединений могут  быть осуществлены только с конкретными  хостами, но не с другими. Например, организация может захотеть блокировать  все входящие соединения для всех хостов, кроме нескольких систем, входящих в состав брандмауэра. Для этих систем могут быть разрешены только определенные сервисы, такие как SMTP для одной  системы, и TELNET или FTP для другой. При  фильтрации по портам TCP и UDP эта политика может быть легко реализована  маршрутизатором с фильтрацией  пакетов или хостом с возможностью фильтрации пакетов.

Рисунок 2.3 Пример фильтрации пакетов для TELNET и SMTP

Для примера  рассмотрим политику, в которой разрешаются  только определенные соединения с сетью  с адресом 123.4.*.* Соединения TELNET разрешаются  только с одним хостом, 123.4.5.6, который  может быть прикладным TELNET-шлюзом сети, а SMTP-соединения разрешаются только с двумя хостами, 123.4.5.7 и 123.4.5.8, которые  могут быть двумя почтовыми шлюзами  сети. NNTP(Network News Transfer Protocol) разрешается  только от взаимодействующего с сетью  сервера новостей, 129.6.48.254, и только с NNTP-сервером сети, 123.4.5.9, а протокол NTP(сетевого времени) разрешен для всех хостов. Все другие сервисы и пакеты блокируются. Пример набора правил приведен ниже:

Первое правило  позволяет пропускать пакеты TCP из Интернета  от любого источника, имеющие порт отправителя  больше чем 1023, к адресу 123.4.5.6, если соединение устанавливается с портом 23. Порт 23 - это порт, связанный с сервером TELNETa, а все клиенты TELNETа должны использовать непривилегированные  порты больше, чем 1024. Второе и третье правило работают аналогично, кроме  того, что разрешаются адреса назначения 123.4.5.7 и 123.4.5.8 и порт 25 - SMTP. Четвертое  правило пропускает пакеты к NNTP-серверу  сети, но только от адреса 129.6.48.254 к адресу 123.4.5.9 с портом назначения 119( 129.6.48.254 - единственный NNTP-сервер, от которого сеть получает новости, поэтому доступ к сети в отношении NNTP ограничен  только этой системой). Пятое правило  разрешает траффик NTP, который использует UDP, а не TCP, от любого источника к  любой системе в сети. Наконец, шестое правило блокирует все  остальные пакеты - если этого правила  не было бы, маршрутизатор мог блокировать, а мог и не блокировать другие тиы пакетов. Это очень простой  пример фильтрации пакетов. Настоящие  правила позволяют осуществить  более сложную фильтрацию и являются более гибкими.

Какие протоколы фильтровать

Решение о том, какие протоколы или группы портов фильтровать, зависит от политики сетевого доступа, то есть от того, какие системы  должны иметь доступ к Интернету  и какие типы доступа разрешены. Описанные ниже сервисы потенциально уязвимы к атакам и обычно блокируются  на брандмауэре при входе в  сеть или выходе из нее[Chap92],[Garf92].

• Tftp, порт 69, упрощенный FTP, используемый для загрузки ОС на бездисковых рабочих станциях, терминальных серверах и маршрутизаторах, может также быть использован для чтения любого файла в системе при его неправильной установке.
• X Windows, Open Windows , порты 6000+, порт 2000, может использоваться для перехвата изображения окон X-окон, а также вводимых символов.
• RPC , порт 111, службы вызова удаленных процедур, включая NIS и NFS, которые могут использоваться для кражи системной информации, включая пароли, а также чтения и записи файлов
• rlogin, rsh, rexec, порты 513, 514, 512, службы, которые могут при их неправильной конфигурации привести к неавторизованному доступу в систему

Ряд других средств  также обычно фильтруется или  их использование разрешается только для тех систем, которым они  на самом деле нужны. В это список входят:

• TELNET, порт 23, часто разрешается только для отдельных систем
• FTP, порты 20 и 21, аналогично TELNET его использование разрешено только для отдельных систем
• SMTP, порт 25, часто разрешается только для центрального почтового сервера
• RIP, порт 520, протокол передачи информации о маршрутизации пакетов, может быть фальсифицирован для перенаправления пакетов
• DNS, порт 53
• UUCP, порт 540, UNIX-to-UNIX CoPy, при неправильной конфигурации может быть использован для получения неавторизованного доступа
• NNTP, порт 119, протокол передачи сетевых новостей, для доступа и чтения сетевых новостей
• Gopher, http, порты 70 и 80,

·  Хотя некоторые из этих служб, такие как TELNET и FTP, являются опасными по своей сути, полное блокирование доступа к другим может оказаться неприемлемым для многих организаций. Тем не менее, не все системы требуют доступа ко всем службам. Например, разрешение доступа по TELNET и FTP из Интернета только к тем системам, которым нужен этот вид доступа, может улучшить безопасность, не причиняя неудобства пользователям. Такие службы, как NNTP, на первый взгляд не представляют особой опасности, но разрешение этих служб только для тех систем, которым они нужны, поможет создать более упорядоченную сетевую среду и уменьшит вероятность их использования атакующими из-за еще неизвестных уязвимых мест.

Проблемы  с маршрутизаторами с фильтрацией  пакетов

Маршрутизаторы  с фильтрацией пакетов имеют  ряд недостатков, описанных в [Chap92]. Правила фильтрации пакетов сложно формулируются и обычно нет средств  для тестирования их корректности( кроме как ручное тестирование). У некоторых маршрутизаторов  нет средств протоколирования, поэтому  если правила фильтрации пакетов  все-таки позволят опасным пакетам  пройти маршрутизатора, такие пакеты не смогут быть выявлены до обнаружения  проникновения.

Часто требуется  сделать исключения из правил, чтобы  разрешить определенные виды доступа, которые обычно блокируются. Но исключения из правил фильтрации иногда могут  сделать правила фильтрации такими сложными, что они станут неконтролируемыми. Например, достаточно просто написать правило для блокирования всех входящих соединений к порту 23( серверу TELNETa). Если же делаются исключения, то есть если с некоторыми системами сети разрешается  иметь прямые соединения по TELNET, то должно быть добавлено правило для  каждой такой системы. Иногда добавление определенных правил может усложнить  всю схему фильтрации. Как было уже сказано, тестирование сложного набора правил на их корректность может  оказаться очень трудным.

Некоторые маршрутизаторы с фильтрацией пакетов не фильтруют  по порту TCP/UDP отправителя, что может  сделать набор правил фильтрации очень сложным и создать "дыры" в схеме фильтрации. [Chap92] описывает  подобные проблемы с сетями, в которых  были разрешены входящие и исходящие SMTP-соединения . Согласно пункту 1.2.5, TCP-соединения имеют порт отправителя и порт получателя. Если система инициирует SMTP-соединение с сервером, портом источника  будет случайно выбранный порт с  номером больше 1024, а портом получателя будет будет порт с номером 25, порт, который слушает сервер SMTP. Сервер будет возвращать пакеты с  номером порта отправителя 25, и  номером порта получателя, равным случайно выбранному клиентом номеру порта. Если в сети разрешены входящие и исходящие SMTP-соединения, то маршрутизатор  должен разрешать соединения с портами  отправителя и получателя, большими 1023, в обоих направлениях. Если маршрутизатор  может фильтровать по порту отправителя, он может блокировать все пакеты, входящие в сеть организации, у которых  порт получателя больше 1023, а порт отправителя  не равен 25. Если он не может фильтровать  пакеты по порту отправителя, маршрутизатор  должен разрешить соединения, которые  используют порты отправителя и  получателя больше 1024. Пользователи иногда могут специально запустить сервера  на портах, больших 1023, и обходить таким  образом политику фильтрации( то есть обычно сервер telnet в системе слушает  порт 23, но может быть сконфигурирован  так, что будет слушать вместо этого порт 9876; и пользователи в  Интернете смогут организовать telnet-сеанс  с этим сервером даже, если маршрутизатор  блокирует соединения с портом назначения 23).