Технологии защиты информации в компьютерных сетях
Руденков Николай Андреевич, Пролетарский Андрей Викторович, Смирнова Елена Викторовна, Суровов Александр Михайлович

Содержание


Лекция 1. Основные понятия в области информационной безопасности

Введение

Еще совсем недавно пользователи компьютеров имели туманное представление о том, что при выходе в Интернет или любую другую общедоступную сеть компьютеры могут "заразиться" вирусами, а информация в течение очень короткого времени может быть украдена или искажена. Сегодня же практически каждый пользователь Интернета (да и не только Интернета, но и любой компьютерной сети) знает об опасности, подстерегающей его компьютер и о том, что необходимо защищать информацию от воздействия на нее потенциальных атак и вирусов.

Современный IT-рынок предлагает различные варианты обеспечения безопасности пользовательских устройств и компьютерных сетей в целом. Конечные пользовательские устройства, как правило, довольно успешно защищаются антивирусными программами и программными межсетевыми экранами (брандмауэры, файрволы). Компьютерные сети в комплексе защитить сложнее. Одним программным обеспечением здесь не обойтись. Решением вопроса обеспечения безопасности компьютерных сетей является установка межсетевых экранов в программно-аппаратном исполнении на границе сетей.

В основные задачи межсетевых экранов входит защита компьютеров от вторжения злоумышленников из внешней сети и последствий такого вторжения – утечки/изменения информации. Устанавливая межсетевой экран с требуемой конфигурацией на границу с внешней сетью, можно быть уверенным в том, что Ваш компьютер будет "невидим" извне (если только политикой администрирования не предусмотрен доступ к нему). Современные межсетевые экраны работают по принципу "запрещено все, что не разрешено", то есть Вы сами решаете для какого протокола или программы разрешить доступ во внутреннюю сеть.

Помимо функций сетевой защиты, межсетевой экран обеспечивает возможность нормального функционирования сетевых приложений.

Безусловно, межсетевой экран – это не панацея от всех бед компьютерного мира. Всегда необходимо принимать во внимание "человеческий фактор", так как именно человек неосознанно (а порой и целенаправленно) может нанести вред информационной системе, выполнив действия, нарушающие политику безопасности. Это может быть утечка информации через подключение внешних носителей, установление дополнительного незащищенного Интернет-подключения, умышленное изменение информации санкционированным пользователем и т.п.

В данной книге предлагаются к рассмотрению условия и предпосылки возникновения угроз при хранении информации и передаче ее по сетям и системам связи, методы предупреждения угроз, защиты и обеспечения безопасности информации в целом, а также технологии и методы, позволяющие обеспечивать работу и безопасность сетей, на примере межсетевых экранов и Интернет-маршрутизаторов D-Link.

Обозначения, используемые в курсе

В курсе используются следующие пиктограммы для обозначения сетевых устройств и соединений:



Термины и определения в области информационной безопасности

Прежде всего, необходимо определиться с основными понятиями и терминами, относящимися к информационной безопасности.

В широком смысле информационная система есть совокупность технического, программного и организационного обеспечения, а также персонала, предназначенная для того, чтобы своевременно обеспечивать пользователей системы нужной информацией.

Информационная безопасность – защита конфиденциальности, целостности и доступности информации.

Безопасность информации – состояние защищенности хранимой информации от негативных воздействий.

Сетевая безопасность – это набор требований, предъявляемых к инфраструктуре компьютерной сети предприятия и политикам работы в ней, при выполнении которых обеспечивается защита сетевых ресурсов от несанкционированного доступа.

Под сетевой безопасностью принято понимать защиту информационной инфраструктуры объекта (при помощи аутентификации, авторизации, межсетевых экранов, систем обнаружения вторжений IDS/IPS и других методов) от вторжений злоумышленников извне, а также защиту от случайных ошибок (с применением технологий DLP) или намеренных действий персонала, имеющего доступ к информации внутри самого предприятия. DLP (Data Leak Prevention) – это современные технологии защиты конфиденциальной информации от возможных утечек из информационной системы с применением программных или программно-аппаратных средств. Каналы утечки могут быть сетевые (например, электронная почта) либо локальные (с использованием внешних накопителей).

Аутентификация (Authentication) – процедура проверки идентификационных данных пользователя (чаще всего, логина и пароля) при доступе к информационной системе.

Авторизация (Authorization) – предоставление определенному пользователю прав на выполнение некоторых действий. Авторизация происходит после аутентификации и использует идентификатор пользователя для определения того к каким ресурсам он имеет доступ. В информационных технологиях с помощью авторизации устанавливаются и реализуются права доступа к ресурсам и системам обработки данных.

Аутентичность в передаче и обработке данных – целостность информации, подлинность того, что данные были созданы законными участниками информационного процесса, и невозможность отказа от авторства.

Защита информации представляет собой деятельность, направленную на предотвращение утечки защищаемой информации, несанкционированных и непреднамеренных (случайных) воздействий на защищаемую информацию.

Возможные объекты воздействия в информационных системах:

Объектами воздействия с целью нарушения конфиденциальности, целостности или доступности информации могут быть не только элементы информационной системы, но и поддерживающей ее инфраструктуры, которая включает в себя сети инженерных коммуникаций (системы электро-, теплоснабжения, кондиционирования и др.). Кроме того, следует обращать внимание на территориальное размещение технических средств, которое следует размещать на охраняемой территории. Беспроводное оборудование рекомендуется устанавливать так, чтобы зона действия беспроводной сети не выходила за пределы контролируемой зоны.

Учитывая широкий спектр воздействия угроз, к защите информации необходим комплексный подход.

Контролируемая зона – это охраняемое пространство (территория, здание, офис и т.п.), в пределах которого располагается коммуникационное оборудование и все точки соединения локальных периферийных устройств информационной сети предприятия.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа пользователей к ресурсам информационной системы.

Санкционированный доступ к информации не нарушает правил разграничения доступа.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, осуществляемые с нарушением установленных прав и/или правил разграничения доступа к информации.

Общая классификация угроз информационной безопасности

Угрозы безопасности информационных систем классифицируются по нескольким признакам (рис. 1.1 ).

Классификация угроз безопасности информационных систем


увеличить изображение

Рис. 1.1.  Классификация угроз безопасности информационных систем

Угрозы нарушения конфиденциальности направлены на получение (хищение) конфиденциальной информации. При реализации этих угроз информация становится известной лицам, которые не должны иметь к ней доступ. Несанкционированный доступ к информации, хранящейся в информационной системе или передаваемой по каналам (сетям) передачи данных, копирование этой информации является нарушением конфиденциальности информации.

Угрозы нарушения целостности информации, хранящейся в информационной системе или передаваемой посредством сети передачи данных, направлены на изменение или искажение данных, приводящее к нарушению качества или полному уничтожению информации. Целостность информации может быть нарушена намеренно злоумышленником, а также в результате объективных воздействий со стороны среды, окружающей систему (помехи). Эта угроза особенно актуальна для систем передачи информации – компьютерных сетей и систем телекоммуникаций. Умышленные нарушения целостности информации не следует путать с ее санкционированным изменением, которое выполняется авторизованными пользователями с обоснованной целью.

Угрозы нарушения доступности системы (отказ в обслуживании) направлены на создание таких ситуаций, когда определённые действия либо снижают работоспособность информационной системы, либо блокируют доступ к некоторым её ресурсам.

Причины случайных воздействий:

Преднамеренные воздействия связаны с целенаправленными действиями злоумышленника, в качестве которого может выступить любое заинтересованное лицо (конкурент, посетитель, персонал и т.д.). Действия злоумышленника могут быть обусловлены разными мотивами: недовольством сотрудника своей карьерой, материальным интересом, любопытством, конкуренцией, стремлением самоутвердиться любой ценой и т.п.

Внутренние угрозы инициируются персоналом объекта, на котором установлена система, содержащая конфиденциальную информацию. Причинами возникновения таких угроз может послужить нездоровый климат в коллективе или неудовлетворенность от выполняемой работы некоторых сотрудников, которые могут предпринять действия по выдаче информации лицам, заинтересованным в её получении.

Также имеет место так называемый "человеческий фактор", когда человек не умышленно, по ошибке, совершает действия, приводящие к разглашению конфиденциальной информации или к нарушению доступности информационной системы. Большую долю конфиденциальной информации злоумышленник (конкурент) может получить при несоблюдении работниками-пользователями компьютерных сетей элементарных правил защиты информации. Это может проявиться, например, в примитивности паролей или в том, что сложный пароль пользователь хранит на бумажном носителе на видном месте или же записывает в текстовый файл на жестком диске и пр. Утечка конфиденциальной информации может происходить при использовании незащищенных каналов связи, например, по телефонному соединению.

Под внешними угрозами безопасности понимаются угрозы, созданные сторонними лицами и исходящие из внешней среды, такие как:

В современном мире, когда стало возможным применять сервисы и службы с использованием информационной коммуникационной среды (электронные платежи, Интернет-магазины, электронные очереди и т.п.), многократно увеличивается риск именно внешних угроз.

Как правило, несанкционированный доступ, перехват, хищение информации, передаваемой по каналам связи, проводится средствами технической разведки, такими как радиоприемные устройства, средства съема акустической информации, системы перехвата сигналов с компьютерных сетей и контроля телекоммуникаций, средства съема информации с кабелей связи и другие.

Механизм возникновения каналов утечки информации за пределы контролируемой зоны


увеличить изображение

Рис. 1.2.  Механизм возникновения каналов утечки информации за пределы контролируемой зоны

Вредоносное программное обеспечение

Вредоносное программное обеспечение и, прежде всего, компьютерные вирусы представляют очень серьезную опасность для информационных систем. Недооценка этой опасности может иметь серьезные последствия для информации пользователей. В то же время чрезмерное преувеличение угрозы вирусов негативно влияет на использование всех возможностей компьютерной сети. Знание механизмов действия вредоносного программного обеспечения (ПО), методов и средств борьбы с ними позволяет эффективно организовать противодействие вирусам, свести к минимуму вероятность заражения и нанесения вреда машинам и информации.

О наличии вредоносного ПО в системе пользователь может судить по следующим признакам:

Вредоносная программа (Malware, malicious software – злонамеренное программное обеспечение) – это любое программное обеспечение, предназначенное для осуществления несанкционированного доступа и/или воздействия на информацию или ресурсы информационной системы в обход существующих правил разграничения доступа.

Во многом "вредность" или "полезность" программного обеспечения определяется самим пользователем или способом его применения. Общепризнанной классификации вредоносного ПО пока не существует. Первые попытки упорядочить процесс классификации были предприняты еще в начале 90-х годов прошлого века в рамках альянса антивирусных специалистов CARO (Computer AntiVirus Researcher's Organization). Альянсом был создан документ "CARO malware naming scheme", который на какой-то период стал стандартом для индустрии.

Но со временем стремительное развитие вредоносных программ, появление новых платформ и рост числа антивирусных компаний привели к тому, что эта схема фактически перестала использоваться. Ещё более важной причиной отказа от неё стало то, что технологии детектирования систем антивирусных компаний отличаются друг от друга и, как следствие, невозможно унифицировать результаты проверки разными антивирусными программами. Периодически предпринимаются попытки выработать новую общую классификацию детектируемых антивирусными программами объектов. Последним значительным проектом подобного рода было создание стандарта CME (Common Malware Enumeration), суть которого заключается в присвоении одинаковым детектируемым объектам единого уникального идентификатора.

Рассмотрим классификацию, предложенную компанией "Лаборатория Касперского" и размещенную в Вирусной энциклопедии Лаборатории Касперского. Специалисты этой компании предлагают разделять вредоносное ПО на вредоносные программы (Malware) и потенциально нежелательные программы (PUPs, Potentially Unwanted Programs). В свою очередь, вредоносные программы включают следующие категории: компьютерные вирусы и черви; троянские программы; подозрительные упаковщики и вредоносные утилиты.

Компьютерные вирусы и черви

Термином "компьютерный вирус" сегодня уже никого не удивишь. Данное определение появилось (в середине 80-х годов) благодаря тому, что вредительские программы обладают признаками, присущими биологическим вирусам – незаметное и быстрое распространение, размножение, внедрение в объекты и заражение их, и, кроме того, негативное воздействие на систему. Вместе с термином "вирус" при работе в информационных системах используются и другие термины: "заражение", "среда обитания", "профилактика" и др.

Компьютерные вирусы – это небольшие исполняемые или интерпретируемые программы, обладающие свойством несанкционированного пользователем распространения и самовоспроизведения в компьютерах или компьютерных сетях. Полученные копии также обладают этой возможностью. Вирус может быть запрограммирован на изменение или уничтожение программного обеспечения или данных, хранящихся на объектах и устройствах компьютерной сети. В процессе распространения вирусы могут себя модифицировать.

Черви считаются подклассом вирусов, но обладают характерными особенностями. Червь размножается (воспроизводит себя), не заражая другие файлы. Он внедряется один раз на конкретный компьютер и ищет способы распространиться далее на другие компьютеры. Червь – это отдельный файл, в то время как вирус – это код, который внедряется в существующие файлы.

К категории вредоносных программ "компьютерные вирусы и черви" относятся:

Серьезную опасность представляют поддельные антивирусы, размещенные на специально подготовленных сайтах и которые злоумышленники предлагают загрузить для "лечения" компьютера от вирусов. Как правило, сами эти сайты не опасны, но загружаемые оттуда программы, в том числе лже-антивирусы, содержат вредоносные коды сетевых червей или троянских программ.

Троянские программы

Эти вредоносные программы внешне выглядят как легальный программный продукт, но при запуске осуществляют несанкционированные пользователем действия, направленные на уничтожение, блокирование, модификацию или копирование информации, нарушение работы компьютеров или компьютерных сетей. В отличие от вирусов и червей, представители данной категории не имеют способности создавать свои копии, обладающие возможностью дальнейшего самовоспроизведения.

К данной категории вредоносных программ относятся:

К Trojan также относятся "многоцелевые" троянские программы, т.е. программы, способные совершать сразу несколько несанкционированных пользователем действий, присущих одновременно нескольким другим поведениям троянских программ, что не позволяет однозначно отнести их к тому или иному поведению.

Существует большое разнообразие троянских программ выполняющих те или иные действия и отличающихся друг от друга целями и способами воздействия на "жертву". Рассмотрим некоторые типы троянских программ:

Подозрительные упаковщики

Вредоносные программы часто сжимаются специфичными способами упаковки, включая использование многократных упаковщиков и совмещая упаковку с шифрованием содержимого файла для того, чтобы при распаковке усложнить анализ файла эвристическими методами.

К данному подклассу вредоносных программ относятся:

Вредоносные утилиты

Вредоносные программы, разработанные для автоматизации создания других вирусов, червей или троянских программ, организации DoS-атак на удаленные сервера, взлома компьютеров и т.п. В отличие от вирусов, червей и троянских программ, представители данной категории не представляют угрозы непосредственно компьютеру, на котором исполняются. Основным признаком, по которому различают вредоносные утилиты, являются совершаемые ими действия.

К данной категории вредоносных программ относятся:

Классификация детектируемых объектов "Лаборатории Касперского" выделяет в отдельную группу условно нежелательные программы, которые невозможно однозначно отнести ни к опасным, ни к безопасным. Речь идёт о программах, которые разрабатываются и распространяются легально и могут использоваться в повседневной работе, например, системными администраторами. Вместе с тем, некоторые из таких программ обладают функциями, которые могут причинить вред пользователю, но только при выполнении ряда условий. Например, если программа удаленного администрирования установлена на компьютер пользователя системным администратором, то ничего страшного в этом нет, т.к. администратор всего лишь получает возможность удаленно решать возникающие у пользователя проблемы. Но если та же программа установлена на компьютер пользователя злоумышленником, то последний получает полный контроль над компьютером-жертвой и дальнейшем может использовать его по своему усмотрению. Таким образом, подобные программы могут быть реализованы как во благо, так и во вред – в зависимости от того, в чьих руках они находятся.

Вредоносное ПО создаётся для компьютерных систем определенного типа, работающих с конкретными операционными системами. Привлекательность ОС для создателей вирусов определяется следующими факторами:

Известны десятки тысяч компьютерных вирусов, которые распространяются через Интернет по всему миру.

Угрозы безопасности сетевых информационных систем

Удаленные воздействия на сетевые информационные системы, их классификация

Основной особенностью любой сетевой информационной системы является то, что ее компоненты распределены в пространстве, и связь между ними осуществляется физически (при помощи сетевых соединений) и программно (при помощи механизма сообщений). При этом все управляющие сообщения и данные передаются по сетевым соединениям в виде пакетов обмена. Пакет, передаваемый по сети, состоит из заголовка и поля данных, в заголовок пакета заносится служебная информация, определяемая используемым протоколом обмена и необходимая для адресации пакета, его идентификации, преобразования и т. п. Эта особенность и является основной для рассматриваемых в этой главе удаленных атак на инфраструктуру и протоколы IP-сетей.

Удалённые воздействия (атаки) на информационные системы характеризуются несколькими признаками. Для рассмотрения их сущности и условий осуществления предлагается следующая классификация.

По характеру воздействия

По характеру воздействия удаленные атаки делятся на:

Пассивным воздействием на информационную систему является воздействие, которое не оказывает непосредственного влияния на работу системы, но может нарушать политику доступа к защищаемым данным. Именно отсутствие влияния на работу распределенной системы приводит к тому, что пассивное удаленное воздействие практически невозможно обнаружить. Примером пассивного типового удаленного воздействия на информационную систему служит прослушивание канала связи в сети и перехват передаваемой информации.

Активное воздействие на ресурсы системы – это воздействие, оказывающее непосредственное влияние на работу системы (изменение конфигурации, нарушение работоспособности и т. д.) и нарушающее принятую в ней политику безопасности. Очевидной особенностью активного воздействия, по сравнению с пассивным, является возможность его обнаружения (с большей или меньшей степенью сложности). Примером результата такого воздействия является отказ в обслуживании системы.

По цели реализации воздействия

По данному признаку удаленные атаки могут быть направлены на:

Основным результатом практически любого злонамеренного воздействия на информационную систему является получение несанкционированного доступа к информации. Такой доступ достигается путем перехвата или искажения информации. Возможность перехвата информации означает получение к ней доступа, но невозможность ее изменения (модификации). Следовательно, перехват информации ведет к нарушению ее конфиденциальности . Примером перехвата информации может служить анализ сетевого трафика (не следует путать с санкционированным проведением анализа сетевого трафика).

Искажение информации возможно в том случае, если злоумышленник располагает полным контролем над информационным потоком между объектами системы и/или имеет возможность передавать данные под именем доверенного пользователя.

В этом случае, искажение информации ведет к нарушению ее целостности. Данное информационное разрушающее воздействие относится к активному воздействию. Примером удаленной атаки, цель которой нарушение целостности информации, может служить удаленная атака "Ложный объект сети".

И совершенно другой вид атаки, когда получение атакующим несанкционированного доступа к информации не предполагается – это нарушение работоспособности (доступности) системы. В данном случае основная цель злоумышленника – резкое снижение производительности системы атакуемого объекта (или вывод ее из строя), и, как следствие – невозможность доступа пользователей к ее ресурсам. Примером удаленной атаки, целью которой является нарушение работоспособности системы, может служить удалённая атака "Отказ в обслуживании" (DoS-атака, Denial of Service). И наиболее популярная разновидность DoS-атаки – DDoS-атака (Distributed Denial of Service), распределённая атака типа "отказ в обслуживании".

По условию начала осуществления воздействия

Для того чтобы осуществить удаленное воздействие на объект информационной системы, необходимо наступление определенных условий. В распределенных сетях выделяются три условия для начала осуществления воздействия:

По наличию обратной связи с атакуемым объектом

По данному признаку процесс осуществления удаленного воздействия может быть с обратной связью и без обратной связи (однонаправленная атака).

Обратная связь формируется ответом атакуемого объекта на определенный запрос, отправленный к нему злоумышленником, и позволяет последнему реагировать на все изменения, происходящие на атакуемом объекте.

Целью удаленной атаки без обратной связи не является получение данных от атакуемого объекта. Атакующий отправляет запросы, не ожидая ответа от объекта атаки. Поэтому подобную удалённую атаку называют однонаправленной. В качестве примера однонаправленной атаки можно привести типовую удалённую атаку "Отказ в обслуживании".

По расположению нарушителя относительно атакуемого объекта

В соответствии с этим признаком воздействие реализуется как внутрисегментно, так и межсегментно.

Рассмотрим ряд определений:

Хост (host) – сетевое устройство (чаще всего компьютер).

Маршрутизатор (router) – устройство, обеспечивающее маршрутизацию пакетов обмена из одной сети в другую.

Подсеть (subnetwork) – совокупность хостов, являющихся частью сети, для которых маршрутизатором выделен одинаковый номер подсети. Подсеть – логическое объединение хостов маршрутизатором. Хосты внутри одной подсети могут взаимодействовать между собой непосредственно, без использования функций маршрутизации.

Сегмент сети – физическое или логическое объединение хостов. Например, беспроводный сегмент сети образует совокупность хостов, подключенных к точке доступа по схеме "общая шина". При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своем сегменте. Аналогичная картина будет наблюдаться, если сегмент сети создан не физически, а логически (с применением виртуальных сетей VLAN, о которых мы поговорим в следующих главах).

С точки зрения удаленной атаки важно расположение злоумышленника и объекта атаки по отношению друг к другу, то есть в одном или в разных сегментах они находятся. В случае внутрисегментной атаки, как следует из названия, злоумышленник и объект атаки находятся в одном сегменте. При межсегментной атаке злоумышленник и объект атаки находятся в разных сегментах. Данный классификационный признак позволяет судить о так называемой "степени удаленности" атаки.

На практике межсегментную атаку осуществить значительно труднее, чем внутрисегментную. Но межсегментная удаленная атака представляет большую опасность, чем внутрисегментная, так как именно удаленность нарушителя от атакуемого объекта может существенно воспрепятствовать мерам по отражению атаки.

Вероятность удачной внутрисегментной и межсегментной атаки значительно увеличивается в случае наличия беспроводных решений. Одно из главных отличий между проводными и беспроводными сетями связано с тем, осуществлять полный контроль над областью между конечными точками беспроводной сети достаточно сложно. В довольно широком пространстве сетей беспроводная среда никак не контролируется. Наиболее распространенная проблема в открытых и неуправляемых средах, таких как беспроводные сети, – это возможность анонимных атак.

По уровню эталонной модели ISO/OSI, на котором осуществляется воздействие

Распределенные системы являются открытыми системами. Сетевые протоколы обмена, также как и сетевые программы, работают на разных уровнях модели OSI (Open System Interconnection – Взаимодействие открытых систем):

Вследствие того, что удаленная атака реализуется какой-либо сетевой программой, ее можно соотнести с определенным уровнем модели OSI.

По соотношению количества нарушителей и атакуемых объектов

По данному признаку удаленная атака может быть отнесена к следующим классам воздействия:

В двух последних случаях атака осуществляется несколькими злоумышленниками с разных компьютеров в отношении одного или нескольких объектов (распределенное или комбинированное воздействие).

Типовые удалённые атаки

Компьютерные сети проектируются (и создаются) на основе одних и тех же принципов, правил (шаблонов) и, следовательно, имеют практически одинаковые проблемы безопасности в сетевых информационных системах и можно ввести понятие типовой удаленной атаки.

Типовая удаленная атака – это удаленное информационное воздействие, программно осуществляемое по каналам связи и характерное для любой распределенной системы.

Рассмотрим типовые удаленные атаки и механизмы их реализации.

Анализ сетевого трафика

Как уже отмечалось, основной особенностью сетевой информационной системы является то, что ее объекты распределены в пространстве, подключены по физическим каналам и взаимодействие между ними осуществляется программно. Передача пакетов по сетевым соединениям дает возможность прослушивать канал связи с использованием специального программно-аппаратного устройства или программы-анализатора пакетов (sniffer, сниффер). Такое воздействие называется анализ сетевого трафика.

В настоящее время снифферы работают в сетях на вполне законном основании. Однако, вследствие того, что некоторые сетевые приложения (например, Telnet, FTP, SMTP, POP3) передают данные в текстовом формате и не предусматривают шифрование, злоумышленник с помощью сниффера может перехватить поток передаваемых данных. Последующий их анализ позволит извлечь идентификационную информацию, такую как статические пароли пользователей к удаленным хостам, используемые протоколы, доступные порты сетевых служб, активные сетевые сервисы и т.п. В процессе проведения анализа сетевого трафика злоумышленник изучает логику работы сети и, в случае успеха, может получить доступ к конфиденциальной информации удаленного объекта.

По характеру воздействия анализ сетевого трафика является пассивным воздействием (возможность изменения трафика отсутствует), осуществляется внутри одного сегмента сети на канальном уровне OSI. Реализация данной атаки без обратной связи ведет к нарушению конфиденциальности информации. При этом начало осуществления атаки безусловно по отношению к цели атаки.

Схема реализации воздействия «Анализ сетевого трафика»


Рис. 1.3.  Схема реализации воздействия «Анализ сетевого трафика»

Подмена доверенного объекта сети

Под доверенным объектом понимается элемент сети (компьютер, межсетевой экран, маршрутизатор и т.п.), имеющий легальное подключение, и которому присвоены права для доступа к сетевым ресурсам информационной системы.

Осуществление атаки "подмена доверенного объекта сети" и передача по каналам связи сообщений от его имени с присвоением его прав доступа возможна в системах, где используются нестойкие алгоритмы идентификации и аутентификации хостов. Типичным примером является перехват TCP-сессии.

Протокол TCP является одним из базовых протоколов транспортного уровня сети Интернет. Он позволяет исправлять ошибки, которые могут возникнуть в процессе передачи пакетов, устанавливая логическое соединение – виртуальный канал. По этому каналу передаются и принимаются пакеты с регистрацией их последовательности, осуществляется управление информационным потоком, организовывается повторная передача искаженных пакетов, а в конце сеанса канал разрывается. Для идентификации TCP-пакета в TCP-заголовке существуют два 32-разрядных идентификатора – Sequence Number (номер последовательности) и Acknowledgment Number (номер подтверждения), которые также играют роль счетчиков пакетов

Существуют две разновидности процесса осуществления удаленной атаки типа "подмена доверенного объекта сети":

Процесс осуществления атаки с установлением виртуального канала состоит в присвоении прав доверенного пользователя, что позволяет злоумышленнику вести сеанс работы с объектами системы от имени доверенного пользователя. Для формирования ложного TCP-пакета атакующему достаточно подобрать соответствующие текущие значения идентификаторов TCP-пакета (ISSa и ISSb, см. рисунок 1.4) для данного TCP-соединения (например, FTP- или TELNET-подключение).

Схема создания ТСР-соединения


увеличить изображение

Рис. 1.4.  Схема создания ТСР-соединения

Так как для служебных сообщений в распределенных сетях часто используется передача одиночных сообщений, не требующих подтверждения, виртуальное соединение не создается. Атака без установления виртуального канала заключается в передаче служебных сообщений от имени сетевых управляющих устройств (например, от имени маршрутизаторов) о ложном изменении маршрутно-адресных данных. Идентификация передаваемых сообщений осуществляется только по сетевому адресу отправителя, который легко подделать. Типовая удаленная атака, использующая навязывание ложного маршрута, основана на описанной идее.

Подмена доверенного объекта сети является активным воздействием, совершаемым с целью нарушения конфиденциальности и целостности информации. Данная удаленная атака может являться как внутрисегментной, так и межсегментной, как с обратной связью, так и без обратной связи с атакуемым объектом и осуществляется на сетевом и транспортном уровнях модели OSI.

Ложный объект сети

Архитектура Интернета создавалась в условиях, когда внутри сети существовало доверие к действиям отдельных участников. В распределенных сетях механизмы идентификации сетевых управляющих устройств (маршрутизаторов) не обеспечивают безопасное использование протоколов управления сетью. Если участник сети (маршрутизатор) заявляет, что он владеет блоком адресного пространства, остальная часть IP-сети верит ему на слово и адресует ему весь соответствующий трафик. Значит, можно создать любой сетевой блок и запустить его в IP-сети, придав анонимность любой атаке, связанной с изменением маршрутизации и внедрением в систему ложного объекта. Такой тип воздействия на сетевую информационную систему ещё называют атакой типа MITM (man in the middle, "человек посередине").

Для перехвата трафика злоумышленники используют уязвимости, присущие протоколам различных уровней стека TCP/IP: сетевому, транспортному и прикладному. На сегодняшний день в подавляющем большинстве применяются стандартные протоколы семейства TCP/IP, среди которых к наиболее уязвимым относятся следующие: протокол управления передачей TCP, межсетевого взаимодействия IP, эмуляции терминала Telnet, передачи файлов FTP, разрешения адресов ARP, службы доменных имен DNS, управляющих сообщений сети Интернет ICMP и сетевого управления SNMP. Кроме того, для обеспечения эффективной и оптимальной маршрутизации в сетях применяются динамические протоколы RIP и OSPF, позволяющие маршрутизаторам обмениваться информацией друг с другом и обновлять таблицы маршрутизации.

Атакующий ставит целью внедрение ложного объекта в сеть путем изменения таблиц маршрутизации и навязывания ложного маршрута. Основная задача злоумышленника – не только прервать сообщение между сетями, а в первую очередь перевести трафик через свой хост, чтобы извлечь полезную информацию.

Реализация атаки основывается на уязвимостях или ошибках настройки протоколов маршрутизации (RIP, OSPF) и управления сетью (ICMP, SNMP). При этом злоумышленник посылает в сеть управляющее сообщение от имени сетевого управляющего устройства (например, маршрутизатора). Рисунок 1.5 иллюстрирует реализацию удаленной атаки "навязывание ложного маршрута" с использованием протокола ICMP. Пакеты с запросами в сеть 92.14.0.0/16 с хоста А проходят через маршрутизирующее устройство с IP-адресом 192.168.0.1 (рисунок 1.5а). Атакующий посылает управляющее сообщение ICMP Redirect о наилучшем маршруте в сеть 92.14.0.0/16 и получает возможность изменения таблиц маршрутизации хоста А. В результате весь трафик с хоста А, направляющийся в сеть 92.14.0.0/16, проходит через ложный объект хост B (рисунок 1.5б).

Схема реализации атаки «навязывание ложного маршрута» с использованием протокола ICMP с целью перехвата трафика


увеличить изображение

Рис. 1.5.  Схема реализации атаки «навязывание ложного маршрута» с использованием протокола ICMP с целью перехвата трафика

Относительно недавно разработчиками израильского центра Electronic Warfare Research and Simulation Center была обнаружена брешь в сетевом протоколе OSPF. Как утверждают исследователи, уязвимость существует из-за того, что сам протокол допускает прием поддельных запросов новых таблиц маршрутизации. Например, при помощи ноутбука, можно отправить периодический запрос Link State Advertisement (LSA) на обновление таблиц маршрутизации. После чего маршрутизатор опознает запрос как легальный, поскольку в подтверждение он проверяет лишь порядковые номера запросов, которые также можно подделать. В результате подобной манипуляции, у злоумышленника будет полный доступ к сети в течение примерно 15-ти минут, пока маршрутизатор опять не обновит таблицы.

Также успешной может оказаться удаленная атака, использующая уязвимости сервисов, установленных на хостах (серверах). Для преобразования адресов из одного формата в другой в распределенных сетях используются протоколы удаленного поиска, заключающиеся в передаче по сети специальных запросов и получения на них ответов с искомой информацией. Так, в сетях Ethernet протокол ARP решает вопрос отображения MAC-адреса (6 байтов) в пространство сетевых IP-адресов (4 байта) и наоборот; протокол DNS используется при преобразовании текстового доменного имени в IP-адрес. При этом существует возможность перехвата злоумышленником поискового запроса и выдачи на него ложного ответа, использование которого приведет к изменению маршрутно-адресных данных. В результате весь сетевой трафик жертвы будет проходить через ложный объект.

На рисунке 1.6 представлена схема реализации атаки "внедрение ложного DNS-сервера" путем перехвата DNS-запроса. Атакующий (может находится либо на хосте B, либо на хосте C) ожидает DNS-запрос от хоста А (рисунок 1.6а). После перехвата поискового запроса от хоста А, атакующий посылает ему ложный DNS-ответ (рисунок 1.6б). Особенно стоит отметить возможность преднамеренного искажения информации: вместо ресурса http://security.dlink.com.twхост А в результате запроса может получить ресурс с таким же Web-интерфейсом, как и у запрашиваемого, только с искаженной информацией (рисунок 1.6в).

Схема реализации атаки «внедрение ложного DNS-сервера» путем перехвата DNS-запроса


увеличить изображение

Рис. 1.6.  Схема реализации атаки «внедрение ложного DNS-сервера» путем перехвата DNS-запроса

Перехват пользовательского сетевого трафика через ложный объект дает злоумышленнику возможность проведения анализа данных, передаваемых по сети, модификации информации, а также полной ее подмены.

Ниже приведены примеры некоторых наиболее распространенных атак, связанных с внедрением ложного объекта.

Достаточно часто злоумышленник проводит атаку на систему с целью ее отказа в работе.

Отказ в обслуживании (DoS, DDoS-атаки)

Одной из возможностей сетевой операционной системы (ОС), установленной на каждом объекте распределенной сети, является наличие сетевых служб, позволяющих удалённым пользователям использовать ресурсы данного объекта. Программа-сервер (например, FTP-сервер или Web-сервер), запущенная в сетевой ОС компьютера, обеспечивает удаленный доступ к FTP- или Web-ресурсам этого компьютера. Пользователь отправляет запросы на предоставление услуги, ОС обрабатывает приходящие извне запросы, пересылает их на соответствующий сервер (FTP или Web), а сервер отвечает на них по созданному виртуальному каналу.

Любая операционная система имеет ограничения по количеству открытых виртуальных соединений и существует предел ответов на поступающие запросы. Данные ограничения зависят от системных ресурсов, основными из которых являются вычислительные мощности, оперативная память, дисковое пространство или пропускная способность каналов связи. Если какой-то из ресурсов достигнет максимальной загрузки, приложение будет недоступно.

Как правило, атаки типа DoS (Denial of service) направлены на исчерпание критичных системных ресурсов, что приводит к прекращению функционирования системы, т.е. к отказу в обслуживании и невозможности доступа к серверу удаленных пользователей.

Выделяется два типа отказа в обслуживании: первый, основанный на ошибке в приложении, и второй, основанный на плохой реализации или уязвимости протокола.

Отказ в обслуживании приложения становится возможен, если уязвимости приложения ведут к получению контроля над машиной (например, с помощью переполнения буфера обмена). Приложение станет недоступным либо из-за нехватки ресурсов, либо из-за аварийного завершения. Уязвимость приложения может быть использована и для нарушения работоспособности других компонентов системы, таких как сервер СУБД или сервер аутентификации.

Сетевой отказ в обслуживании основывается на особенностях стека протоколов TCP/IP.

Если атака выполняется одновременно с большого числа хостов, говорят о распределённой атаке типа "отказ в обслуживании" – DDoS-атаке (Distributed Denial of Service). В некоторых случаях к DDoS-атаке приводит легальное действие, например, на популярном Интернет-ресурсе указана ссылка на сайт, размещённый на не очень производительном сервере (так называемый слэшдот-эффект). Большой наплыв пользователей приводит к превышению допустимой нагрузки на сервер, и он очень быстро становится недоступным или доступ к нему затрудняется в результате перегруженности.

Ниже представлены некоторые типы подобных атак, однако, это всего лишь малая часть от существующих на сегодняшний день вариантов DoS-атак, информация о которых постоянно обновляется на специализированных Web-сайтах.

Например, троян Backdoor.IRCBot.ADEQ представляет собой вредоносное ПО, которое распространяется как регулярное обновление для Java платформы, и являет собой чрезвычайно опасный инструмент для инициации распределенной атаки "отказ в обслуживании". Данная программа имеет возможность установки ссылки целевого ресурса, назначения времени атаки, интервала и частоты запросов.

Удаленная атака типа "отказ в обслуживании" является активным воздействием, осуществляемым с целью нарушения работоспособности системы, безусловно относительно цели атаки. Данная удалённая атака является однонаправленным воздействием, как межсегментным, так и внутрисегментным, осуществляемым на транспортном и прикладном уровнях модели OSI.

Социальная инженерия

Говоря об информационной безопасности, нельзя не упомянуть о появившемся не так давно, но ставшим уже типичным, явлении – социальная инженерия.

Социальная инженерия (Social Engineering) – использование некомпетентности, непрофессионализма или небрежности персонала для получения доступа к информации. Суть этого метода сводится к тому, что злоумышленник старается получить интересующие его сведения путем установления контакта с человеком, владеющим необходимой информацией, тем или иным способом (при ведении телефонного разговора, почтовой переписки, доверительной беседы в кафе и т.п.)

С бурным развитием социальных сетей такой метод доступа к конфиденциальной информации стал очень популярным.

Phishing (фишинг) – одна из разновидностей социальной инженерии. Цель такого мошенничества – получить идентификационные данные пользователей. Это и кражи паролей, номеров кредитных карт, банковских счетов и другой конфиденциальной информации. Фишинг осуществляется с помощью пришедших на почту поддельных уведомлений от банков, провайдеров, платежных систем и других организаций о том, что по какой-либо причине получателю срочно нужно передать / обновить личные данные. Причины могут называться различные. Это может быть утеря данных, поломка в системе и пр. Фишинговые сайты, как правило, живут недолго (в среднем – 5 дней). Так как анти-фишинговые фильтры довольно быстро получают информацию о новых угрозах, фишерам приходится регистрировать все новые и новые сайты. Внешний же вид их совпадает с официальным сайтом, под который пытаются подделать свой сайт мошенники. Наиболее часто жертвами фишинга становятся пользователи электронных платежных систем, аукционов, электронной почты и, помимо этого – пользователи "социальных сетей" (vkontakte, odnoklassniki, twitter, facebook и др.).

Spear Phishing (направленный фишинг). Это комбинация обыкновенного фишинга и методов социальной инженерии, направленная против одного человека или целевой группы. Чтобы атака была успешной, она должна быть очень хорошо подготовлена, чтобы не вызвать подозрений. Злоумышленник собирает максимум сведений о конкретном человеке (группе лиц). Очень часто такие атаки направлены против финансовых организаций. Атакующий использует собранную персональную информацию и так подготавливает электронное (а бывает, и бумажное) письмо, чтобы оно выглядело достоверно и заставило человека ответить и выдать свои конфиденциальные данные (логины и пароли). Например, используя найденную в прессе информацию о назначении господина Х на новую должность, ему присылают официальное с виду письмо от службы технической поддержки, и в результате господин Х позволяет "службе поддержки" установить у себя троянскую программу или просит завести себе логин и пароль, схожий с логином и паролем в другой системе.

В последнее время механизм социальной инженерии очень часто используется для организации и реализации DDoS-атаки на сетевой ресурс, когда злоумышленники провоцируют пользователей ресурса на определённые действия, связанные с рассылкой сообщений (т.н. "письма счастья" или "магические письма", мнимые предупреждения о вредоносных программах, или событиях и необходимости оповещения об этом других пользователей и т.п.). В этом случае добропорядочные пользователи, если они играют по правилам злоумышленников (т.е. рассылают полученные злоумышленниками сообщения), невольно становятся соучастниками DDoS-атаки на сетевой ресурс.

Формирование системы информационной безопасности

Наибольший эффект при обеспечении защиты информации достигается тогда, когда все используемые средства, методы и мероприятия объединяются в единый, целостный механизм – систему информационной безопасности. Функционирование механизма защиты должно постоянно контролироваться, обновляться и дополняться в зависимости от изменения внешних и внутренних условий.

С позиции системного подхода, к системе информационной безопасности предъявляются определенные требования, включающие:

Построение системы информационной безопасности подразумевает выполнение ряда мероприятий правового и организационно-технического характера. Каждое предприятие (компания) определяет свою политику информационной безопасности, включающую цели и принципы по защите информации компании. Согласно данной политике разрабатываются документы по вопросам обеспечения информационной безопасности с учетом требований нормативных правовых актов, разрабатываются и внедряются технические решения и средства защиты информации от утечки защищаемой информации и от несанкционированного или случайного воздействия на нее.

Мероприятия системы защиты информации технического характера

Инженерно-технический элемент системы защиты информации предназначен для активного и пассивного противодействия средствам технической разведки и формирования контролируемой зоны с помощью комплексов технических средств. При защите информационных систем этот элемент имеет большое значение и включает в себя:

Один из важных элементов системы защиты информации – это обеспечение бесперебойного питания всех электронных устройств системы. Многие ошибочно полагают, что только полное прекращение подачи электроэнергии на носители может негативно повлиять на рабочее состояние компьютера и другого электронного оборудования. Наибольший же вред оборудованию наносят невидимые невооруженным глазом помехи и перепады напряжения в электросети. Высокочувствительное электронное оборудование, к которому относятся компьютеры, коммутаторы и маршрутизаторы, моментально реагирует на малейшее изменение напряжения в электросети.

Кроме того, необходимо помнить, что злоумышленник может организовать съём информации, обрабатываемой в информационной среде объекта (предприятия, организации), посредством силовой электрической сети 127/220/380 В. Для уменьшения уровня побочных электромагнитных излучений применяют специальные средства защиты информации:

Некоторые аспекты безопасности структурированных кабельных систем

Под структурированной кабельной системой (СКС) обычно подразумевают специально спроектированную систему кабельной проводки внутри здания для организации коммуникационной сети, обеспечивающей передачу речи и данных.

Кабельные системы – неотъемлемая часть всего комплекса средств, обеспечивающих деятельность любого предприятия. Поэтому и решение проблем безопасности неизбежно затрагивает процесс функционирования СКС. Важным аспектом безопасности всей СКС является, так называемый, человеческий фактор.

Зачастую именно неквалифицированные или ошибочные действия персонала становятся причиной возникновения неполадок в кабельной системе, что может привести к сбою в сети и потере ее работоспособности. Как правило, подобное происходит в следующих случаях:

При формировании системы безопасности необходимо помнить, что кроссовая комната с точки зрения доступа к информации – одно из самых незащищенных мест СКС. В случае использования системы коммутационных шнуров для коммутации линий связи на коммутационных панелях злоумышленник может мгновенно изменить порядок соединений либо подключить в разрыв устройство съема/записи информации, т. е. легко разорвать соединение любого пользователя с сетью передачи данных и речи или перехватить и записать весь информационный обмен, оставаясь при этом незамеченным.

Лекция 2. Механизмы защиты информации

Механизмы защиты информации

Одним из условий безопасной работы в информационной системе является соблюдение пользователем ряда правил, которые проверены на практике и показали свою высокую эффективность. Их несколько:

  1. Использование программных продуктов, полученных законным официальным путем. Вероятность наличия вируса в пиратской копии во много раз выше, чем в официально полученном программном обеспечении.
  2. Дублирование информации. Прежде всего, необходимо сохранять дистрибутивные носители программного обеспечения. При этом запись на носители, допускающие выполнение этой операции, должна быть, по возможности, заблокирована. Следует особо позаботиться о сохранении рабочей информации. Предпочтительнее регулярно создавать копии рабочих файлов на съемных машинных носителях информации с защитой от записи. Копируется либо весь файл, либо только вносимые изменения. Последний вариант применим, например, при работе с базами данных.
  3. Регулярное обновление системного ПО. Операционную систему необходимо регулярно обновлять и устанавливать все исправления безопасности от Microsoft и других производителей, чтобы устранить существующие уязвимости программного обеспечения.
  4. Ограничение доступа пользователей к настройкам операционной системы и системным данным. Для обеспечения стабильной работы системы довольно часто требуется ограничивать возможности пользователей, что можно сделать либо с помощью встроенных средств Windows, либо с помощью специализированных программ, предназначенных для управления доступом к компьютеру.

    В корпоративных сетях возможно применение групповых политик в сети домена Windows.

  5. Для максимально эффективного использования сетевых ресурсов необходимо вводить ограничения доступа авторизованных пользователей к внутренним и внешним сетевым ресурсам и блокировать доступ неавторизованных пользователей.
  6. Регулярное использование антивирусных средств. Перед началом работы целесообразно выполнять программы-сканеры и программы-ревизоры. Антивирусные базы должны регулярно обновляться. Кроме того, необходимо проводить антивирусный контроль сетевого трафика.
  7. Защита от сетевых вторжений обеспечивается применением программно-аппаратных средств, в том числе: использованием межсетевых экранов, систем обнаружения/предотвращения вторжений IDS/IPS (Intrusion Detection/Prevention System), реализацией технологий VPN (Virtual Private Network).
  8. Применение средств аутентификации и криптографии – использование паролей (простых/сложных/неповторяющихся) и методов шифрования. Не рекомендуется использовать один и тот же пароль на разных ресурсах и разглашать сведения о паролях. При написании пароля на сайтах следует быть особенно внимательным, чтобы не допустить ввода своего пароля на мошенническом сайте-двойнике.
  9. Особую осторожность следует проявлять при использовании новых (не известных) съемных носителей информации и новых файлов. Новые съёмные носители обязательно должны быть проверены на отсутствие загрузочных и файловых вирусов, а полученные файлы – на наличие файловых вирусов. При работе в распределенных системах или в системах коллективного пользования новые сменные носители информации и вводимые в систему файлы целесообразно проверять на специально выделенных для этой цели компьютерах, не подключенных к локальной сети. Только после всесторонней антивирусной проверки дисков и файлов они могут передаваться пользователям системы.
  10. При работе с полученными (например, посредством электронной почты) документами и таблицами целесообразно запретить выполнение макрокоманд средствами, встроенными в текстовые и табличные редакторы (MS Word, MS Excel), до завершения полной проверки этих файлов.
  11. Если не предполагается осуществлять запись информации на внешние носители, то необходимо заблокировать выполнение этой операции, например, программно отключив USB-порты.
  12. При работе с общими ресурсами в открытых сетях (например, Интернет) использовать только проверенные сетевые ресурсы, не имеющие вредоносного контента. Не следует доверять всей поступающей на компьютер информации – электронным письмам, ссылкам на Web-сайты, сообщениям на Интернет-пейджеры. Категорически не рекомендуется открывать файлы и ссылки, приходящие из неизвестного источника.

Постоянное следование приведенным рекомендациям позволяет значительно уменьшить вероятность заражения программными вирусами и защищает пользователя от безвозвратных потерь информации. Однако даже при скрупулезном выполнении всех правил профилактики возможность заражения ПК компьютерными вирусами полностью исключить нельзя, поэтому методы и средства противодействия вредоносному ПО необходимо постоянно совершенствовать и поддерживать в работоспособном состоянии.

Антивирусные средства защиты информации

Массовое распространение вредоносного программного обеспечения, серьезность последствий его воздействия на информационные системы и сети вызвали необходимость разработки и использования специальных антивирусных средств и методов их применения.

Нужно отметить, что не существует антивирусных средств, гарантирующих обнаружение всех возможных программ-вирусов.

Антивирусные средства применяются для решения следующих задач:

Обнаружение вредоносного ПО желательно осуществлять на стадии его внедрения в систему или, по крайней мере, до начала осуществления им деструктивных действий. При обнаружении такого программного обеспечения или его деятельности необходимо сразу же прекратить работу программы-вируса в целях минимизации ущерба от ее воздействия на систему.

Устранение последствий воздействия вирусов ведется в двух направлениях:

Процедуру удаления обнаруженного вредоносного кода из зараженной системы необходимо выполнять крайне аккуратно. Часто вирусы и троянские программы предпринимают специальные действия, чтобы скрыть факт своего присутствия в системе, или встраиваются в нее так глубоко, что задача его уничтожения становится достаточно нетривиальной.

Восстановление системы зависит от типа вируса, а также от времени его обнаружения по отношению к началу деструктивных действий. В том случае, когда программа-вирус уже запущена в системе и ее деятельность предусматривает изменение или удаление данных, восстановление информации (особенно, если она не продублирована) может быть невыполнимо.Для борьбы с вирусами используются программные и программно-аппаратные средства, которые применяются в определенной последовательности и комбинации, образуя методы защиты от вредоносного ПО.

Известны следующие методы обнаружения вирусов, активно применяемые современными антивирусными средствами:

Сканирование – один из самых простых методов обнаружения вирусов, осуществляется программой-сканером, которая просматривает файлы в поисках опознавательной части вируса – сигнатуры. Под сигнатурой понимается уникальная последовательность байтов, принадлежащая конкретному вирусу и не встречающаяся в других программах.

Программа фиксирует наличие уже известных вирусов, для которых сигнатура определена. Для эффективного применения антивирусных программ, использующих метод сканирования, необходимо регулярное обновление сведений о новых вирусах.

Метод обнаружения изменений базируется на использовании программ-ревизоров, которые следят за изменениями файлов и дисковых секторов на компьютере. Любой вирус каким-либо образом изменяет систему данных на диске. Например, может измениться загрузочный сектор, появиться новый исполняемый файл или измениться уже существующий, и т.п.

Как правило, антивирусные программы-ревизоры определяют и запоминают в специальных файлах образы главной загрузочной записи, загрузочных секторов логических дисков, характеристики всех контролируемых файлов, каталогов и номера дефектных кластеров диска. Периодически ревизор проверяет текущее состояние областей дисков и файловой системы, сравнивает с предыдущим состоянием и немедленно выдает сообщения обо всех подозрительных изменениях.

Главным достоинством метода является возможность обнаружения вирусов всех типов, а также новых неизвестных вирусов.

Имеются у этого метода и недостатки. С помощью программ-ревизоров невозможно определить вирус в файлах, которые поступают в систему уже зараженными. Вирусы будут обнаружены только после размножения в системе.

Эвристический анализ, как и метод обнаружения изменений, позволяет определять неизвестные вирусы, но не требует предварительного сбора, обработки и хранения информации о файловой системе.

Эвристический анализ в антивирусных программах основан на сигнатурах и эвристическом алгоритме, призван улучшить способность программ-сканеров применять сигнатуры и распознавать модифицированные версии вирусов в тех случаях, когда код неизвестной программы совпадает с сигнатурой не полностью, но в подозрительной программе явно выражены более общие признаки вируса либо его поведенческая модель. При обнаружении подобных кодов, выдается сообщение о возможном заражении. После получения таких сообщений необходимо тщательно проверить предположительно зараженные файлы и загрузочные сектора всеми имеющимися антивирусными средствами.

Недостатком данного метода является большое количество ложных срабатываний антивирусных средств в тех случаях, когда в легальной программе присутствуют фрагменты кода, выполняющего действия и/или последовательности, свойственные некоторым вирусам.

Метод использования резидентных сторожей основан на применении программ, которые постоянно находятся в оперативной памяти устройства (компьютера) и отслеживают все действия, выполняемые остальными программами. В случае выполнения какой-либо программой подозрительных действий, свойственных вирусам (обращение для записи в загрузочные сектора, помещение в оперативную память резидентных модулей, попытки перехвата прерываний и т.п.), резидентный сторож выдает сообщение пользователю.

Применение антивирусных программ с резидентным сторожем снижает вероятность запуска вирусов на компьютере, но следует учитывать, что постоянное использование ресурсов оперативной памяти под резидентные программы уменьшает объем памяти, доступной для других программ.

На сегодняшний день одним из самых надежных механизмов защиты информационных систем и сетей являются программно-аппаратные средства, как правило, включающие в себя не только антивирусные системы, но и обеспечивающие дополнительный сервис. Эта тема подробно рассмотрена в разделе "Программно-аппаратные средства обеспечения безопасности информационных сетей".

Криптографические методы защиты информации

Криптографические методы защиты информации – это мощное оружие в борьбе за информационную безопасность.

Криптография (от древне-греч. κρυπτος – скрытый и γραϕω – пишу) – наука о методах обеспечения конфиденциальности и аутентичности информации.

Криптография представляет собой совокупность методов преобразования данных, направленных на то, чтобы сделать эти данные бесполезными для злоумышленника. Такие преобразования позволяют решить два главных вопроса, касающихся безопасности информации:

Проблемы защиты конфиденциальности и целостности информации тесно связаны между собой, поэтому методы решения одной из них часто применимы для решения другой.

Известны различные подходы к классификации методов криптографического преобразования информации. По виду воздействия на исходную информацию методы криптографического преобразования информации могут быть разделены на четыре группы:

Классификация методов криптографического преобразования информации


увеличить изображение

Рис. 2.1.  Классификация методов криптографического преобразования информации

Процесс шифрования заключается в проведении обратимых математических, логических, комбинаторных и других преобразований исходной информации, в результате которых зашифрованная информация представляет собой хаотический набор букв, цифр, других символов и двоичных кодов.

Для шифрования информации используются алгоритм преобразования и ключ. Как правило, алгоритм для определенного метода шифрования является неизменным. Исходными данными для алгоритма шифрования служит информация, подлежащая зашифрованию, и ключ шифрования. Ключ содержит управляющую информацию, которая определяет выбор преобразования на определенных шагах алгоритма и величины операндов, используемых при реализации алгоритма шифрования. Операнд – это константа, переменная, функция, выражение и другой объект языка программирования, над которым производятся операции.

В отличие от других методов криптографического преобразования информации, методы стеганографии позволяют скрыть не только смысл хранящейся или передаваемой информации, но и сам факт хранения или передачи закрытой информации. В основе всех методов стеганографии лежит маскирование закрытой информации среди открытых файлов, т.е. скрываются секретные данные, при этом создаются реалистичные данные, которые невозможно отличить от настоящих. Обработка мультимедийных файлов в информационных системах открыла практически неограниченные возможности перед стеганографией.

Графическая и звуковая информация представляются в числовом виде. Так, в графических объектах наименьший элемент изображения может кодироваться одним байтом. В младшие разряды определенных байтов изображения в соответствии с алгоритмом криптографического преобразования помещаются биты скрытого файла. Если правильно подобрать алгоритм преобразования и изображение, на фоне которого помещается скрытый файл, то человеческому глазу практически невозможно отличить полученное изображение от исходного. С помощью средств стеганографии могут маскироваться текст, изображение, речь, цифровая подпись, зашифрованное сообщение.

Скрытый файл также может быть зашифрован. Если кто-то случайно обнаружит скрытый файл, то зашифрованная информация будет воспринята как сбой в работе системы. Комплексное использование стеганографии и шифрования многократно повышает сложность решения задачи обнаружения и раскрытия конфиденциальной информации.

Содержанием процесса кодирование информации является замена исходного смысла сообщения (слов, предложений) кодами. В качестве кодов могут использоваться сочетания букв, цифр, знаков. При кодировании и обратном преобразовании используются специальные таблицы или словари. В информационных сетях кодирование исходного сообщения (или сигнала) программно-аппаратными средствами применяется для повышения достоверности передаваемой информации.

Часто кодирование и шифрование ошибочно принимают за одно и тоже, забыв о том, что для восстановления закодированного сообщения, достаточно знать правило замены, в то время как для расшифровки сообщения помимо знания правил шифрования, требуется ключ к шифру.

Сжатие информации может быть отнесено к методам криптографического преобразования информации с определенными оговорками. Целью сжатия является сокращение объема информации. В то же время сжатая информация не может быть прочитана или использована без обратного преобразования. Учитывая доступность средств сжатия и обратного преобразования, эти методы нельзя рассматривать как надежные средства криптографического преобразования информации. Даже если держать в секрете алгоритмы, то они могут быть сравнительно легко раскрыты статистическими методами обработки. Поэтому сжатые файлы конфиденциальной информации подвергаются последующему шифрованию. Для сокращения времени передачи данных целесообразно совмещать процесс сжатия и шифрования информации.

Основным видом криптографического преобразования информации в компьютерных сетях является шифрование. Под шифрованием понимается процесс преобразования открытой информации в зашифрованную информацию (шифртекст) или процесс обратного преобразования зашифрованной информации в открытую. Процесс преобразования открытой информации в закрытую получил название зашифрование, а процесс преобразования закрытой информации в открытую – расшифрование.

За многовековую историю использования шифрования информации человечеством изобретено множество методов шифрования или шифров. Методом шифрования (шифром) называется совокупность обратимых преобразований открытой информации в закрытую информацию в соответствии с алгоритмом шифрования. Большинство методов шифрования не выдержали проверку временем, а некоторые используются и до сих пор. Появление компьютеров и компьютерных сетей инициировало процесс разработки новых шифров, учитывающих возможности использования компьютерной техники как для зашифрования/расшифрования информации, так и для атак на шифр. Атака на шифр (криптоанализ, криптоатака) – это процесс расшифрования закрытой информации без знания ключа и, возможно, при отсутствии сведений об алгоритме шифрования.

Современные методы шифрования должны отвечать следующим требованиям:

Криптостойкость шифра является его основным показателем эффективности. Она измеряется временем или стоимостью средств, необходимых криптоаналитику для получения исходной информации по шифртексту, при условии, что ему неизвестен ключ.

Сохранить в секрете широко используемый алгоритм шифрования практически невозможно. Поэтому алгоритм не должен иметь скрытых слабых мест, которыми могли бы воспользоваться криптоаналитики. Если это условие выполняется, то криптостойкость шифра определяется длиной ключа, так как единственный путь вскрытия зашифрованной информации – перебор комбинаций ключа и выполнение алгоритма расшифрования. Таким образом, время и средства, затрачиваемые на криптоанализ, зависят от длины ключа и сложности алгоритма шифрования.

Работа простой криптосистемы проиллюстрирована на рис. 2.2.

Обобщённая схема криптографической системы


увеличить изображение

Рис. 2.2.  Обобщённая схема криптографической системы

Отправитель генерирует открытый текст исходного сообщения М, которое должно быть передано законному получателю по незащищённому каналу. За каналом следит перехватчик с целью перехватить и раскрыть передаваемое сообщение. Для того чтобы перехватчик не смог узнать содержание сообщения М, отправитель шифрует его с помощью обратимого преобразования Ек и получает шифртекст (или криптограмму) С=Ек(М) , который отправляет получателю.

Законный получатель, приняв шифртекст С, расшифровывает его с помощью обратного преобразования Dк(С) и получает исходное сообщение в виде открытого текста М.

Преобразование Ек выбирается из семейства криптографических преобразований, называемых криптоалгоритмами. Параметр, с помощью которого выбирается отдельное преобразование, называется криптографическим ключом К.

Криптосистема имеет разные варианты реализации: набор инструкций, аппаратные средства, комплекс программ, которые позволяют зашифровать открытый текст и расшифровать шифртекст различными способами, один из которых выбирается с помощью конкретного ключа К.

Преобразование шифрования может быть симметричным и асимметричным относительно преобразования расшифрования. Это важное свойство определяет два класса криптосистем:

Симметричное шифрование

Симметричное шифрование, которое часто называют шифрованием с помощью секретных ключей, в основном используется для обеспечения конфиденциальности данных. Для того чтобы обеспечить конфиденциальность данных, пользователи должны совместно выбрать единый математический алгоритм, который будет использоваться для шифрования и расшифровки данных. Кроме того, им нужно выбрать общий (секретный) ключ, который будет использоваться с принятым ими алгоритмом шифрования/дешифрования, т.е. один и тот же ключ используется и для зашифрования, и для расшифрования (слово "симметричный" означает одинаковый для обеих сторон).

Пример симметричного шифрования показан на рис. 2.2.

Сегодня широко используются такие алгоритмы шифрования, как Data Encryption Standard (DES), 3DES (или "тройной DES") и International Data Encryption Algorithm (IDEA). Эти алгоритмы шифруют сообщения блоками по 64 бита. Если объем сообщения превышает 64 бита (как это обычно и бывает), необходимо разбить его на блоки по 64 бита в каждом, а затем каким-то образом свести их воедино. Такое объединение, как правило, происходит одним из следующих четырех методов:

Triple DES (3DES) – симметричный блочный шифр, созданный на основе алгоритма DES, с целью устранения главного недостатка последнего – малой длины ключа (56 бит), который может быть взломан методом полного перебора ключа. Скорость работы 3DES в 3 раза ниже, чем у DES, но криптостойкость намного выше. Время, требуемое для криптоанализа 3DES, может быть намного больше, чем время, нужное для вскрытия DES.

Алгоритм AES (Advanced Encryption Standard), также известный как Rijndael – симметричный алгоритм блочного шифрования – шифрует сообщения блоками по 128 бит, использует ключ 128/192/256 бит.

Шифрование с помощью секретного ключа часто используется для поддержки конфиденциальности данных и очень эффективно реализуется с помощью неизменяемых "вшитых" программ (firmware). Этот метод можно использовать для аутентификации и поддержания целостности данных.

С методом симметричного шифрования связаны следующие проблемы:

Асимметричное шифрование

Асимметричное шифрование часто называют шифрованием с помощью открытого ключа, при котором используются разные, но взаимно дополняющие друг друга ключи и алгоритмы шифрования и расшифровки. Отношение между ключами является математическим – один ключ зашифровывает информацию, а другой ее расшифровывает.

Асимметричное шифрование – система шифрования и/или электронной цифровой подписи (ЭЦП), при которой открытый ключ передаётся по открытому (то есть незащищённому, доступному для наблюдения) каналу, и используется для проверки ЭЦП и для шифрования сообщения. Для генерации цифровой подписи и для расшифрования сообщения используется секретный ключ. Криптографические системы с открытым ключом в настоящее время широко применяются в различных сетевых протоколах, в частности, в защищенных протоколах передачи данных TLS и его предшественнике SSL (лежащих в основе протокола HTTPS), в протоколе безопасного удаленного управления SSH. Также используется в протоколах шифрования электронной почты PGP и S/MIME.

Для того чтобы установить связь с использованием шифрования через открытый ключ, обеим сторонам нужно получить два ключа: открытый К1 и частный (секретный) К2 (рис. 2.3). Для шифрования и расшифровки данных обе стороны будут пользоваться разными ключами.

В симметричной криптосистеме секретный ключ надо передавать отправителю и получателю по защищённому схеме распространения ключей (например из рук в руки или с помощью поверенного курьера). В асимметричной криптосистеме по подобной схеме передается только открытый ключ, а частный (секретный) ключ хранится на месте его генерации (у владельца).

Обобщенная схема асимметричной криптосистемы


увеличить изображение

Рис. 2.3.  Обобщенная схема асимметричной криптосистемы

Механизмы генерирования пар открытых/частных ключей являются достаточно сложными, но в результате получаются пары очень больших случайных чисел, одно из которых становится открытым ключом, а другое – секретным. Генерирование таких чисел требует больших процессорных мощностей, поскольку эти числа, а также их произведения должны отвечать строгим математическим критериям. Однако этот процесс генерирования абсолютно необходим для обеспечения уникальности каждой пары открытых/частных ключей. Алгоритмы шифрования с использованием открытых ключей часто используют в приложениях, где аутентификация проводится с помощью цифровой подписи и управления ключами.

Среди наиболее известных алгоритмов открытых ключей можно назвать RSA (Rivest-Shamir-Adleman) и DSA (Digital Signature Algorithm). Криптосистема RSA стала первой системой, пригодной и для шифрования, и для цифровой подписи. Алгоритм DSA применяется для создания цифровой подписи, но не для шифрования

При использовании алгоритма RSA можно не только использовать открытый ключ для зашифрования, а секретный для расшифрования, но и наоборот: данные можно зашифровать с помощью секретного ключа, а открытый ключ применять при расшифровывании данных. Конечно, такой способ не дает возможность сохранять секреты, поскольку открытый ключ свободно доступен и любой может расшифровать информацию, но это дает способ поручиться за целостность содержимого сообщения: если открытый ключ правильно расшифровывает данные, значит, они были зашифрованы с помощью секретного ключа. Такой метод называется электронной цифровой подписью. Идея применения цифровой подписи строится на двух основных предположениях: во-первых, что секретный ключ уникален и защищен (только владелец ключа имеет к нему доступ), и, во-вторых, единственным способом поставить цифровую подпись является применение этого секретного ключа.

Применение цифровой подписи


увеличить изображение

Рис. 2.4.  Применение цифровой подписи

Если данные зашифрованы с помощью не секретного ключа отправителя, а, например, открытого ключа или какого-либо другого, то получатель, расшифровав данные с использованием открытого ключа, получит не открытый текст сообщения, а бессмыслицу.

Как правило, при создании цифровой подписи шифруется не весь открытый текст, а определенный фрагмент, так называемый дайджест сообщения (message digest), который генерируется (на основе вычислений) из исходного текста сообщения. К нему добавляется информация о том, кто подписывает документ. Получившаяся строка далее зашифровывается секретным ключом подписывающего с использованием того или иного алгоритма. Получившийся зашифрованный набор бит и представляет собой подпись.

Отправитель посылает дайджест сообщения вместе с этим сообщением. При приеме получателем производятся такие же вычисления дайджеста. Если в сообщение были внесены изменения, результат вычисления будет отличаться от полученного, что свидетельствует о том, что целостность сообщения нарушена.

Алгоритм вычисления дайджеста принимает входные данные любой длины и преобразует их, чтобы получить псевдослучайный результат фиксированной длины. Другой термин, часто использующийся для дайджеста сообщений, – это хэш.

Хэш (hash) – это результат преобразования входных данных произвольной длины в данные фиксированной длины. Функция, с помощью которой реализуется это преобразование, называется функция хэширования или хэш-функция.

В криптографии принято выделять криптографически стойкие хэш-функции, удовлетворяющие следующим условиям: во-первых, необратимость (т.е. невозможность восстановления исходного текста по результатам вычислений) и, во-вторых, стойкость к коллизиям. Коллизия – это ситуация, когда двум сообщениям соответствует один и тот же хэш. Наиболее часто в качестве алгоритма хэширования используется алгоритм MD5 (генерируется 128-битное значение) или SHA-1 (генерируется 160-битное значение).

Хэш-функции широко применяются при создании пользовательских паролей, когда строка произвольной длины (пароль) преобразуется в указанный ключ заранее заданной длины, и для проверки целостности данных, когда данные отправляются вместе с контрольным значением.

Сертификаты открытых ключей

Криптография с открытым ключом предоставляет не только мощный механизм для шифрования, но и средства идентификации и аутентификации пользователей и устройств. Однако, если между отправителем и получателем нет конфиденциальной схемы передачи асимметричных ключей, то возникает серьезная опасность появления злоумышленника-посредника. Ручное распространение ключей становится непрактичным и создает бреши в системе безопасности. По этим причинам было разработано другое решение – применение сертификатов открытых ключей.

В своей основной форме сертификатом называется информационный пакет, содержащий открытый ключ, электронную подпись, подтверждающую этот ключ, и имя доверенной третьей стороны, удостоверяющей достоверность этих фактов. Третья сторона, которой доверяют пользователи и которая подтверждает идентичность пользователя и его права, называется удостоверяющим центром CA (Certificate Authority) или центром сертификации . CA создает сертификаты пользователей, включающие следующую информацию: имя пользователя (сюда же относится пароль и другие дополнительные сведения, однозначно идентифицирующие этого пользователя), открытый ключ пользователя, время действия сертификата, конкретные операции, в которых этот ключ может быть использован (идентификация, шифрование). Удостоверяющий центр полностью ответственен за аутентичность своих конечных пользователей.

Удостоверяющие центры можно разделить на 2 категории: открытые и частные. Открытые СА действуют через Интернет, предоставляя услуги сертификации всем желающим. Частные СА, как правило, принадлежат организациям или закрытым сетям и выдают сертификаты только пользователям локальных сетей.

Выдача сертификатов удостоверяющим центром СА


увеличить изображение

Рис. 2.5.  Выдача сертификатов удостоверяющим центром СА

Наиболее широко распространенным форматом сертификатов, принятым для технологии открытых ключей, является стандарт X.509 v.3, описанный в документах RFC 2459 и RFC 5280.

Надежной системой распространения открытого ключа CA является инфраструктура открытых ключей PKI (Public Key Infrastructure), которая определяет взаимодействие между конечными пользователями и доверяющими сторонами, предоставляя возможность безопасно выпускать и работать с сертификатами.

Криптографические средства широко применяются в различных программно-аппаратных элементах системы защиты информации, таких как межсетевые экраны, Интернет-маршрутизаторы, концентраторы доступа. Один из примеров реализации программно-аппаратной криптографической системы представлен комплексом "КРИПТОН" фирмы "Анкад". Программный комплекс Crypton IPMobile предназначен для организации виртуальной частной сети (VPN).

Типичная схема организации частной виртуальной сети с использованием VPN-шлюзов


увеличить изображение

Рис. 2.6.  Типичная схема организации частной виртуальной сети с использованием VPN-шлюзов

Crypton IPMobile может работать на основе концентратора доступа D-Link DSA-3110.

Crypton-VPN на базе концентратора доступа D-Link DSA-3110


Рис. 2.7.  Crypton-VPN на базе концентратора доступа D-Link DSA-3110

Программно-аппаратный комплекс Crypton-VPN DSA-3110 обладает функциональностью криптографического маршрутизатора с применением шифрования. Концентратор доступа DSA-3110 представляет собой систему обеспечения доступа к сети с использованием технологии VPN, которая интеллектуально управляет аутентификацией, авторизацией и учетом подключающихся пользователей. Это устройство обеспечивает сеть полным набором функций, включая управление учетными записями и выдачу статистики по трафику с использованием технологии NetFlow.

Безопасность сетевого доступа

Концентратор доступа DSA-3110 обеспечивает клиентским компьютерам удобный и безопасный способ предоставления доступа к сети оператора/глобальной сети. Система гарантирует, что только зарегистрированные пользователи смогут использовать ресурсы сети. Используемые технологии доступа VPN (PPTP или PPPoE) позволяют надежно авторизовать пользователей и обеспечить защищенное и безопасное подключение. Активирование режима криптографического маршрутизатора и инициализация ключей и политики осуществляется с помощью информации, записанной на сменный носитель Touch Memory (TM).

Выполнение функций AAA

DSA-3110 выполняет 3 основные функции – аутентификацию, авторизацию и учет (Authentication, Authorization and Accounting (AAA)), которые часто встречаются во многих сетевых сервисах. Примером этих сервисов является доступ в Интернет через телефонную линию, электронная коммерция, печать через Интернет. Аутентификация выполняет проверку идентичности для авторизации доступа к сетевому ресурсу. Для учета использования ресурсов выдаются данные статистики подключений и соответствующая информация о трафике с целью анализа тенденций, планирования пропускной способности, биллинга, аудита и распределения затрат.

Использование в сетях операторов

DSA-3110 также может использоваться в коммерческих сетях, предоставляя сервисы клиентам (рис. 2.8). Для того чтобы удостовериться, что пользователь является именно тем, кем он себя заявил, необходима аутентификация. После того, как пользователь будет аутентифицирован, необходимо удостовериться, что он авторизован на выполнение тех операций, которые запрашивает. Авторизация обычно обеспечивается путем использования списков доступа или политик безопасности.

Использование в компаниях

Зачастую при предоставлении сотрудникам доступа в глобальную сеть предприятию необходимо разграничить доступ своих сотрудников к различным службам (рис. 2.9). DSA-3110 позволяет инициировать и использовать различные гибкие правила доступа к сети оператора/глобальной сети на основании множества критериев, таких как: адрес/служба/протокол/порт. Использование режима криптомаршрутизатора базируется на статических IP-адресах клиентов. При этом DSA-3110 является аппаратным межсетевым экраном (Firewall), что позволяет организовать защиту сети предприятия от внешних атак. Так же устройство позволяет сотрудникам, находящимся за пределами компании, получить защищенный доступ в локальную сеть предприятия.

Схема применения DSA-3110 в сети оператора


Рис. 2.8.  Схема применения DSA-3110 в сети оператора

Схема применения DSA-3110 в сети компании


Рис. 2.9.  Схема применения DSA-3110 в сети компании

Способы предотвращения удаленных атак на информационные системы

Удаленные атаки были бы не осуществимы, если бы на каждое сетевое соединение была выделена отдельная линия связи, но инфраструктура сетей общего пользования не предусматривает соединения по принципу выделенного канала для каждого сетевого объекта. Альтернативой выделенному каналу связи стало использование защищенных виртуальных соединений по технологиям VPN (Virtual Private Network – виртуальные частные сети). Данному механизму посвящен отдельный раздел "Виртуальные частные сети (VPN)".

Задача идентификации и аутентификации пользователей в распределенной сети имеет чрезвычайно важное значение. От успеха ее решения зависит безопасность информационной системы в целом. Как выше было рассмотрено, стандартными способами компрометации пользователей злоумышленником являются:

Исходя из того, что стандартные методы идентификации и аутентификации (имя/ пароль) в информационных системах не достаточны для защиты от удалённых атак на неё, необходимо введение дополнительных средств идентификации объектов в информационной сети и криптозащиты передаваемой в ней информации.

При создании виртуального канала могут использоваться криптоалгоритмы с открытым ключом (например, SSL – Secret Socket Layer). Как упоминалось ранее, основная идея заключается в способе шифрования с двумя ключами, при котором ключ шифрования и ключ для дешифровки отличаются друг от друга, причем последний нельзя определить по первому. Суть криптографии с открытым ключом (или двухключевой криптографии) заключается в том, что ключи, имеющиеся в криптосистеме, входят в нее парами и каждая пара удовлетворяет следующим двум свойствам:

Поэтому один из ключей может быть опубликован. При опубликованном (открытом) ключе шифрования и секретном ключе дешифрования получается система шифрования с открытым ключом. Каждый пользователь сети связи может зашифровать сообщение при помощи открытого ключа, а расшифровать его сможет только владелец секретного ключа. При опубликовании ключа дешифрования получается система цифровой подписи. Здесь только владелец секретного ключа создания подписи может правильно зашифровать текст (т.е. подписать его), а проверить подпись (дешифровать текст) может любой на основании опубликованного ключа проверки подписи.

В 1976 г. У. Диффи и М. Хеллман предложили следующий метод открытого распределения ключей. Пусть два объекта A и B условились о выборе в качестве общей начальной информации большого простого числа P и большого простого числа a. Тогда эти пользователи действуют в соответствии с алгоритмом:

Алгоритм В.Диффи и М.Хеллмана открытого распределения ключей


Рис. 2.10.  Алгоритм В.Диффи и М.Хеллмана открытого распределения ключей

Следует отметить, что объекты А и В обменялись не своими секретными кодами, а только результатами mod-функций, что делает достаточно трудным провести обратную операцию для получения секретного ключа.

Это число и является сеансовым ключом для одноключевого алгоритма, например, DES. Для раскрытия этого ключа криптоаналитику необходимо по известным ax (mod P), ay (mod P) найти axy (mod P), т.е. найти x или y. Нахождение числа x по его экспоненте ax (mod P) называется задачей дискретного логарифмирования в простом поле. Эта задача является труднорешаемой, и поэтому полученный ключ, в принципе, может быть стойким.

Особенность данного криптоалгоритма состоит в том, что перехват по каналу связи пересылаемых в процессе создания виртуального канала сообщений ax (mod P) и ay (mod P) не позволит атакующему получить конечный ключ шифрования axy (mod P). Этот ключ далее должен использоваться, во-первых, для цифровой подписи сообщений и, во-вторых, для их криптозащиты. Цифровая подпись сообщений позволяет надежно идентифицировать объект распределенной сети, который запрашивает доступ к ресурсам информационной системы по виртуальному каналу.

Защита от атаки "анализ сетевого трафика"

Анализ сетевого трафика относится к постоянно ожидаемой угрозе, которую невозможно устранить, но можно сделать бессмысленной для атакующего, если применять стойкие криптоалгоритмы в передаваемом потоке данных.

Для предоставления удаленного авторизованного доступа к ресурсам информационных систем не рекомендуется использовать протоколы удаленного доступа TELNET, HTTP и FTP, так как они не предусматривают элементарную криптозащиту передаваемых по сети идентификаторов (имен) и аутентификаторов (паролей). Использование защищенных протоколов обмена (таких как SSL, TLS, SSH, HTTPS) обеспечит защищенный удаленный доступ к ресурсам своих систем.

Для передачи конфиденциальной информации рекомендуется применять виртуальные каналы связи (VPN), подключения в которых обеспечиваются с использованием средств криптографии.

Защита от DoS-атак

Сегодня ряд компаний предлагает как программные средства защиты от DoS-атак, так и программно-аппаратные. Однако стопроцентной защиты от отказа в обслуживании для стандарта IPv4 в распределенной сети не существует. Это связано с тем, что в IPv4 невозможен контроль за маршрутом сообщений. Поэтому нельзя обеспечить надежный контроль за сетевыми соединениями, так как одним пользователем может быть занято неограниченное число каналов связи с удаленным объектом, и при этом сохраняется анонимность пользователя.

Тем не менее, выполняя определенные правила, можно значительно ослабить DoS-атаку и снизить ее воздействие на атакуемую систему. Ниже приведены рекомендации, применение которых позволит в определенной степени защититься от DoS-атак.

  1. Для повышения надежности работы системы использовать как можно более мощные компьютеры. Чем больше число и частота работы процессоров, чем больше объем оперативной памяти, тем более надежной будет работа сетевой ОС, когда на нее обрушится направленный шторм ложных запросов на создание соединения. Кроме того, необходимо использование соответствующих вычислительным мощностям операционных систем с внутренней очередью, способной вместить большое число запросов на подключение.
  2. Применение функций анти-DoS и анти-spoofing на межсетевых экранах и маршрутизаторах защищает систему от перегрузки за счет ограничения полуоткрытых каналов.
  3. Регулярное обновление операционной системы и программного обеспечения.
  4. Использование кластера серверов позволяет увеличить надежность и производительность работы в несколько раз по сравнению с обычным сервером.
  5. При обнаружении атаки маскирование IP-адреса сервера.

Программно-аппаратные средства обеспечения безопасности информационных сетей

Как указывалось выше, система защиты информации – это комплекс мер, а также соответствующих им мероприятий, сил, средств и методов. Программно-аппаратный компонент системы защиты информации предназначен для защиты данных, обрабатываемых и хранящихся в компьютерах и серверах локальных сетей в различных информационных системах. Как правило, он реализует тесно взаимосвязанные процессы:

Средства управления доступом позволяют разграничивать и контролировать выполняемые над информацией действия, которые совершаются пользователями (ограничение доступа на вход в систему, разграничение доступа авторизованных пользователей, запрет доступа неавторизованных пользователей и т.п.). То есть речь идет о логическом управлении доступом, который реализуется программными средствами. Контроль прав доступа осуществляется посредством различных компонентов программной среды – ядром сетевой операционной системы, системой управления базами данных, дополнительным программным обеспечением и т.д.

Идентификация предназначена для того, чтобы пользователь мог идентифицировать себя путем сообщения своего имени. С помощью аутентификации вторая сторона убеждается, что пользователь, пытающийся войти в систему, действительно тот, за кого себя выдает.

Регистрация событий (протоколирование, журналирование) – это процесс сбора и накопления информации о событиях, происходящих в информационной системе. Возможные события принято делить на две группы:

  1. внешние события, вызванные действиями как авторизованных, так и неавторизованных пользователей;
  2. внутренние события, вызванные действиями пользователей и администраторов. Аудитом называется процедура анализа накопленной в результате журналирования информации. Этот анализ может осуществляться оперативно, почти в реальном времени, или периодически.

Методы криптографии – одно из наиболее мощных средств обеспечения конфиденциальности и целостности информации. Как уже упоминалось, основной элемент криптографии – шифрование.

Сетевая защита, как правило, обеспечивается установкой на границе сетей так называемых экранов. Экран – это средство разграничения доступа пользователей из одного сетевого множества к ресурсам, принадлежащим другому сетевому множеству. Функция экрана заключается в контроле всех информационных потоков между двумя множествами систем. Примерами экранов являются межсетевые экраны, устанавливаемые для защиты локальной сети организации, имеющей выход в публичную сеть (такую как Интернет).

Помимо прочего, сегодня практически все производители программно-аппаратных средств обеспечения безопасности информации включают поддержку антивирусной защиты и систем обнаружения вторжений, обеспечивающих защиту от вредоносного ПО и атак.

Для примера приведем аппаратные межсетевые экраны D-Link серии DFL, обладающие функцией проверки трафика на наличие вредоносных программ. В частности, даже "младшая" модель DFL-260/260E позволяет сканировать на наличие вредоносного ПО файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые "узкие места" в сети. Межсетевые экраны серии DFL используют сигнатуры вирусов от антивирусной компании "Лаборатории Касперского" (Kaspersky Labs). При этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут устройств локальной сети.

Кроме того, для эффективной борьбы с вредоносным трафиком и для того, чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны компании D-Link (DFL-800/860/860E/1600/1660/2500/2560) поддерживают специальную функцию – ZoneDefense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика. Более подробно аппаратные межсетевые экраны компании D-Link и о технологии ZoneDefense мы рассмотрим в следующих главах.

DFL-260E – межсетевой экран NetDefend для сетей SOHO


Рис. 2.11.  DFL-260E – межсетевой экран NetDefend для сетей SOHO

Межсетевой экран

Говоря о программно-аппаратной составляющей системы информационной безопасности, следует признать, что наиболее эффективный способ защиты объектов локальной сети (сегмента сети) от воздействий из открытых сетей (например, Интернета), предполагает размещение некоего элемента, осуществляющего контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Такой элемент получил название межсетевой экран (сетевой экран) или файрволл, брандмауэр.

Файрволл, файрвол, файервол, фаервол – образовано транслитерацией английского термина firewall.

Брандмауэр (нем. Brandmauer) – заимствованный из немецкого языка термин, являющийся аналогом английского "firewall" в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).

Сетевой/межсетевой экран (МСЭ) – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по различным протоколам в соответствии с заданными правилами.

Основной задачей межсетевого экрана является защита компьютерных сетей и/или отдельных узлов от несанкционированного доступа. Иногда межсетевые экраны называют фильтрами, так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Для того чтобы эффективно обеспечивать безопасность сети, межсетевой экран отслеживает и управляет всем потоком данных, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений) межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана пакеты данных, связанные с конкретными протоколами и адресами, зависит от принятой в защищаемой сети политики безопасности. По сути, межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности. Политика сетевой безопасности каждой организации должна включать (кроме всего прочего) две составляющие: политика доступа к сетевым сервисам и политика реализации межсетевых экранов.

Однако недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений – главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Таким образом, управляющие решения требуют, чтобы межсетевой экран имел доступ, возможность анализа и использования следующих факторов:

Типы межсетевых экранов

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

К преимуществам такой фильтрации относится:

Недостатки:

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

Недостатки:

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection. Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Пример работы механизма Stateful Inspection с FTP-протоколом


увеличить изображение

Рис. 2.12.  Пример работы механизма Stateful Inspection с FTP-протоколом

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой , а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня прил ожений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относится:

Недостатки:

Сравнение аппаратных и программных межсетевых экранов

Для сравнения межсетевых экранов разделим их на два типа: 1-й – аппаратные и программно-аппаратные и 2-й – программные.

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.

Основные направления, присущие и первому, и второму типам:

Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

Программные межсетевые экраны, кроме основных направлений, позволяют:

Межсетевой экран не является симметричным устройством. Он различает понятия: "снаружи" и "внутри". Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

Прокси-сервер

Прокси-сервер (proxy – представитель, уполномоченный) – служба в компьютерных сетях, позволяющая клиентам выполнять косвенные запросы к другим сетевым службам. Сначала клиент подключается к прокси-серверу и запрашивает какой-либо ресурс (например, e-mail), расположенный на другом сервере. Затем прокси-сервер либо подключается к указанному серверу и получает ресурс у него, либо возвращает ресурс из собственного кэша (cache) (в случаях, если прокси имеет свой кэш). В некоторых случаях запрос клиента или ответ сервера может быть изменён прокси-сервером в определённых целях. Также прокси-сервер позволяет защищать клиентский компьютер от некоторых сетевых атак и помогает сохранять анонимность клиента.

Proxy являются попыткой реализовать межсетевой экран на уровне приложения. Их основное преимущество – поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении и имеют возможность обработки и действий над информацией.

Однако имеются очевидные трудности в использовании proxy на уровне приложения в качестве межсетевого экрана:

В добавление, proxy беззащитны к ошибкам в приложениях и OC, неверной информации в нижних уровнях протоколов и в случае традиционных прокси-серверы очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли общему их применению и нуждам сети Интернет. Однако, по мере превращения Интернета в постоянно меняющуюся динамичную среду, предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодействий в сети Интернет или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.

Интернет-маршрутизатор

Так называемые классические маршрутизаторы действуют на сетевом уровне, и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей межсетевого экрана:

К тому же, маршрутизаторы достаточно сложно конфигурировать, следить за их состоянием и управлять. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения.

В последнее время получили распространение устройства класса SOHO (Small Office/Home Office), значительно упрощающие задачу подключения локальной вычислительной сети к сети Интернет и условно называемые Интернет-маршрутизаторами . Как правило, Интернет-маршрутизатор – это аппаратное решение с одним (или несколькими) портом WAN для подключения к сети общего пользования (Интернет) и несколькими (чаще четыре) портами LAN для подключения рабочих станций локальной сети. Иногда Интернет-маршрутизатор оборудован беспроводной точкой доступа для организации связи в локальной сети с беспроводными клиентами. Может оснащаться USB-портом для подключения принтера и/или других устройств (например, 3G-модема).

Интернет-маршрутизатор разработан для совместного доступа группы пользователей к широкополосному Интернет-соединению через выделенную линию, DSL или кабельный модем. Кроме того, в качестве дополнительного канала возможно применение Wimax / 3G-модемов, обеспечивающих доступ в Интернет через Wimax / 3G-сети.

Интернет-маршрутизатор оснащен встроенным межсетевым экраном для защиты компьютеров в сети от вирусных и DoS-атак. Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС-адресов источника и приемника.

Маршрутизатор может быть настроен таким образом, что отдельные FTP, Web- и игровые серверы смогут совместно использовать один, видимый извне IP-адрес, и в тоже время останутся защищенными от атак хакеров. Пользователи через Web-интерфейс маршрутизатора могут настроить любой (или конкретно выделенный производителем для этой цели) из LAN-портов как DMZ-порт (см. раздел "Механизмы PAT и NAT"). В последнее время всё чаще стала присутствовать функция "родительского" контроля (Parental control), которая позволяет фильтровать нежелательные URL-адреса Web-сайтов, блокировать домены и управлять использованием Интернет по расписанию.

Поддержка Интернет-маршрутизаторами технологии QoS (см. раздел "Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)") обеспечивает более эффективную передачу приложений, чувствительных к задержкам, таких как Интернет-телефония (VoIP), мультимедиа и игры по Интернет.

Таблица 2.1. Стандартный набор возможностей Интернет-маршрутизаторов и используемых в работе технологий
Типы подключения WAN:Поддержка VPN:
  • Static IP
  • Dynamic IP
  • PPPoE
  • L2TP
  • PPTP
  • DualAccess PPPoE
  • DualAccess PPTP
  • PPTP pass-through
  • IPSec pass-through
  • L2TP pass-through

Функции Интернет-шлюза:

Управление доступом пользователей:

Межсетевой экран:

Фильтрация Web-сайтов с помощью фильтрации URL-адресов.

Приоритизация VoIP-трафика и потоковых медиафайлов при приеме/передаче.

Широковещательный поток IGMP (Internet Group Management Protocol)

DIR-857 – Высокопроизводительный двухдиапазонный беспроводной Интернет-маршрутизатор D-Link, оснащенный 4 портами Gigabit Ethernet, портом USB 3.0 и слотом для SD-карты


Рис. 2.13.  DIR-857 – Высокопроизводительный двухдиапазонный беспроводной Интернет-маршрутизатор D-Link, оснащенный 4 портами Gigabit Ethernet, портом USB 3.0 и слотом для SD-карты

Лекция 3. Технологии безопасности беспроводных сетей и унифицированные решения

Технологии безопасности беспроводных сетей

Говоря о сетевой безопасности как части информационной безопасности объекта, нельзя обойти стороной тему о методах защиты беспроводных сегментов компьютерной сети.

Как уже упоминалось ранее, существует множество технологий, призванных повысить сетевую безопасность, и все они предлагают решения для важнейших компонентов политики в области защиты данных: аутентификации, поддержания целостности данных и активной проверки. Под аутентификацией подразумевается аутентификация пользователя или конечного устройства (хост клиента, сервер, коммутатор, маршрутизатор, межсетевой экран и т.д.) и его местоположения с последующей авторизацией пользователей и конечных устройств. Целостность данных включает такие области, как безопасность сетевой инфраструктуры, безопасность периметра и конфиденциальность данных. Активная проверка помогает удостовериться в том, что установленная политика в области безопасности выдерживается на практике, и отследить все аномальные случаи и попытки несанкционированного доступа.

Стандарт IEEE 802.11 с традиционной безопасностью (Tradition Security Network, TSN) предусматривает два механизма аутентификации беспроводных клиентов: открытую аутентификацию (Open Authentication) и аутентификацию с общим ключом (Shared Key Authentication). Для аутентификации в беспроводных сетях также широко используются два других механизма, которые не являются частью стандарта 802.11, а именно – назначение идентификатора беспроводной локальной сети (Service Set Identifier, SSID) и аутентификация клиента по его MAC-адресу (MAC Address Authentication).

Идентификатор беспроводной локальной сети (SSID) представляет собой атрибут беспроводной сети (так называемое имя сети), позволяющий логически отличать сети друг от друга. Когда пользователь пытается войти в сеть, беспроводной адаптер с помощью программы, прежде всего, сканирует пространство на предмет наличия в ней беспроводных сетей. При применении режима скрытого идентификатора сеть не отображается в списке доступных и подключиться к ней можно только в том случае, если, во-первых, точно известен ее SSID, а во-вторых, заранее создан профиль подключения к этой сети.

Аутентификация в стандарте IEEE 802.11 ориентирована на аутентификацию клиентского устройства радиодоступа, а не конкретного клиента как пользователя сетевых ресурсов (несмотря на то, что в литературе распространено выражение "аутентификация клиента"). Процесс аутентификации клиента беспроводной локальной сети IEEE 802.11 проиллюстрирован на рисунке 2.14 и состоит из следующих этапов:

  1. Клиент посылает кадр (фрейм) запроса Probe Request во все радиоканалы.
  2. Каждая точка радиодоступа (Access Point, AP), в зоне радиуса действия которой находится клиент, посылает в ответ фрейм Probe Response.
  3. Клиент выбирает предпочтительную для него точку радиодоступа и посылает в обслуживаемый ею радиоканал запрос на аутентификацию Authentication Request.
  4. Точка радиодоступа посылает подтверждение аутентификации Authentication Reply.
  5. В случае успешной аутентификации клиент посылает точке доступа запрос на соединение (ассоциирование) Association Request.
  6. Точка доступа посылает в ответ фрейм подтверждения ассоциации Association Response.
  7. Клиент может теперь осуществлять обмен пользовательским трафиком с точкой радиодоступа и проводной сетью.

Аутентификация по стандарту 802.11


увеличить изображение

Рис. 3.1.  Аутентификация по стандарту 802.11

Аутентификация с общим ключом является вторым методом аутентификации стандарта IEEE 802.11. Процесс аутентификации с общим ключом аналогичен процессу открытой аутентификации, отличаясь тем, что данный метод требует настройки статического ключа шифрования WEP, идентичного на клиентском устройстве (беспроводной адаптер) и на беспроводной точке доступа.

Аутентификация клиента по его MAC-адресу поддерживается многими производителями оборудования для беспроводных сетей, в том числе D-Link. При аутентификации по MAC-адресу происходит сравнение MAC-адреса клиента либо со списком разрешенных (или запрещенных) адресов клиентов, внесенным в МАС-таблицу точки доступа, либо с помощью внешнего сервера аутентификации (рисунок 3.2). Аутентификация по MAC-адресу используется в дополнение к открытой аутентификации и аутентификации с общим ключом стандарта IEEE 802.11 для уменьшения вероятности доступа посторонних пользователей.

Аутентификация с помощью внешнего сервера


увеличить изображение

Рис. 3.2.  Аутентификация с помощью внешнего сервера

Но перечисленные механизмы аутентификации не обеспечат неуязвимость и полную безопасность беспроводной сети.

Идентификатор SSID регулярно передается точками радиодоступа в специальных фреймах Beacon. Любая приемо-передающая станция, расположенная в радиусе действия и поддерживающая стандарт 802.11, может определить SSID с помощью анализатора трафика протокола 802.11. Некоторые точки радиодоступа, в том числе D-Link, позволяют административно запретить широковещательную передачу SSID внутри фреймов Beacon. Однако и в этом случае SSID можно легко определить путем захвата фреймов Probe Response, посылаемых точками радиодоступа. SSID не обеспечивает конфиденциальность данных, данный идентификатор не разрабатывался для использования в качестве механизма обеспечения безопасности. Кроме этого, отключение широковещательной передачи SSID точками радиодоступа может серьёзно отразиться на совместимости оборудования беспроводных сетей различных производителей при использовании в одной беспроводной сети.

Открытая аутентификация не позволяет точке доступа определить, разрешен ли клиенту доступ к сети или нет. Это становится уязвимым местом в системе безопасности в том случае, если в беспроводной локальной сети не используется так называемое WEP-шифрование. В случаях, когда использование WEP-шифрования не требуется или невозможно (например, в беспроводных локальных сетях публичного доступа), методы аутентификации более высокого уровня могут быть реализованы посредством Интернет-шлюзов.

Стандарт IEEE 802.11 требует передачи MAC-адресов клиента и точки радиодоступа в открытом виде. В результате этого в беспроводной сети, использующей аутентификацию по MAC-адресу, злоумышленник может обмануть метод аутентификации путём подмены своего MAC-адреса на разрешенный.

Первым стандартом шифрования данных в беспроводных сетях стал протокол WEP (Wired Equivalent Privacy). Шифрование осуществляется с помощью 40 или 104-битного ключа (поточное шифрование с использованием алгоритма RC4 на статическом ключе) и дополнительной динамической составляющей размером 24 бита, называемой вектором инициализации (Initialization Vector, IV).

Процедура WEP-шифрования выглядит следующим образом. Первоначально передаваемые в пакете данные проверяются на целостность (алгоритм CRC-32) для получения значения контроля целостности (Integrity Check Value, ICV), добавляемого в конец исходного сообщения. Далее генерируется 24-битный вектор инициализации (IV), а к нему добавляется статический (40- или 104-битный) секретный ключ. Полученный таким образом 64- или 128-битный ключ и является исходным ключом для генерации псевдослучайного числа, которое используется для шифрования данных. Далее данные смешиваются (шифруются) с помощью логической операции XOR с псевдослучайной ключевой последовательностью, а вектор инициализации добавляется в служебное поле кадра.

Формат WEP-кадра


Рис. 3.3.  Формат WEP-кадра

Как и любая другая система безопасности на основе паролей, надежность WEP зависит от длины и состава ключа, а также частоты его смены. Первый серьезный недостаток – применение статического ключа – за относительно небольшое время ключ можно подобрать перебором. И второй недостаток WEP-шифрования – самосинхронизация для каждого сообщения, поскольку вектор инициализации передается незашифрованным текстом с каждым пакетом и через небольшой промежуток времени он повторяется. В результате протокол шифрования WEP на основе алгоритма RC4 в настоящее время не является стойким.

Комплексная система обеспечения безопасности беспроводных сетей

На смену WEP пришёл стандарт IEEE 802.11i, представляющий из себя комплексную систему обеспечения безопасности. Эта система включает в себя системы аутентификации, создания новых ключей для каждой сессии, управления ключами (на базе технологии Remote Access Dial-In User Service, RADIUS), проверки подлинности пакетов и т.д.

Разработанный стандарт IEEE 802.11i призван расширить возможности протокола IEEE 802.11, предусмотрев средства шифрования передаваемых данных, а также централизованной аутентификации пользователей и рабочих станций.

Основные организации, участвующие в разработке и продвижении стандартов Wi-Fi, в лице ассоциаций Wi-Fi Alliance и IEEE, не дожидаясь ратификации стандарта IEEE 802.11i, в ноябре 2002г. анонсировали спецификацию Wi-Fi Protected Access (WPA), соответствие которой обеспечивает совместимость оборудования различных производителей. В последующем WPA стал составной частью стандарта IEEE 802.11i.

Новый стандарт безопасности WPA обеспечил уровень безопасности куда больший, чем может предложить WEP, и имеет то преимущество, что микропрограммное обеспечение более старого оборудования может быть заменено без внесения аппаратных изменений.

А позже был разработан и утвержден стандарт WPA2, обеспечивающий еще более высокий уровень безопасности, чем первая версия WPA.

WPA/WPA2 (Wi-Fi Protected Access, защищенный доступ Wi-Fi) представляет собой обновленную программу сертификации устройств беспроводной связи. Преимуществами WPA являются усиленная безопасность данных и ужесточенный контроль доступа к беспроводным сетям. Изначально WPA основывался на протоколе TKIP (Temporal Key Integrity Protocol), использующий метод шифрования RC4. Между тем WPA2 задействует новый метод шифрования CCMP (Counter-Mode with CBC-MAC Protocol), основанный на более мощном, чем RC4, алгоритме шифрования AES (Advanced Encryption Standard). CCMP является обязательной частью стандарта WPA2 и необязательной частью стандарта WPA. Кроме того, в WPA/WPA2 обеспечена поддержка стандартов IEEE 802.1х, протокола EAP (Extensible Authentication Protocol – расширяемый протокол аутентификации) и проверка целостности сообщений MIC (Message Integrity Check).

Wi-Fi Alliance дает следующую формулу для определения сути WPA:

WPA = IEEE 802.1X + TKIP + EAP + MIC

Из этой формулы видно, что WPA, по сути, является суммой нескольких технологий.

Стандарт IEEE 802.1x не требует обязательной смены ключей шифрования одноадресной рассылки. Кроме того, в стандартах IEEE 802.11 и IEEE 802.1x не определены механизмы изменения открытого ключа шифрования, который используется для многоадресного и широковещательного трафика. В WPA требуется смена обоих ключей. В случае использования ключа одноадресной рассылки протокол TKIP (Temporal Key Integrity Protocol) изменяет ключ для каждого кадра, а изменение синхронизируется между беспроводным клиентом и точкой беспроводного доступа. Для общего ключа шифрования в WPA включены средства передачи измененного ключа от точки беспроводного подключения к клиентам.

TKIP отвечает за увеличение размера ключа с 40 до 128 бит, а также за замену одного статического ключа WEP-ключами, которые автоматически генерируются и рассылаются сервером аутентификации. Кроме того, в TKIP используется специальная иерархия ключей и методология управления ключами, которая убирает излишнюю предсказуемость, которая использовалась для несанкционированного снятия защиты WEP-ключей.

Сервер аутентификации после получения сертификата от пользователя использует 802.1х для генерации уникального базового ключа для сеанса связи. TKIP осуществляет передачу сгенерированного ключа пользователю и точке доступа, после чего выстраивает иерархию ключей плюс систему управления. Для этого используется двусторонний ключ для динамической генерации ключей шифрования данных, которые в свою очередь используются для шифрования каждого пакета данных. Подобная иерархия ключей TKIP заменяет один ключ WEP (статический) на 500 миллиардов возможных ключей, которые будут использованы для шифрования данного пакета данных.

Как упомянуто выше, в стандарте WPA используется расширяемый протокол аутентификации EAP как основа для механизма аутентификации пользователей. Непременным условием аутентификации является предъявление пользователем свидетельства, подтверждающего его право на доступ в сеть. Для этого права пользователь проходит проверку по специальной базе зарегистрированных пользователей. Без аутентификации работа в сети для пользователя будет запрещена.

WPA может работать в двух режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).

В первом случае, хранение базы данных и проверка аутентичности по стандарту IEEE 802.1x в больших сетях обычно осуществляются специальным сервером, чаще всего RADIUS.

Во втором случае подразумевается применение WPA всеми категориями пользователей беспроводных сетей, т.е. имеет упрощенный режим, не требующий сложных механизмов. Этот режим называется WPA-PSK (Pre-Shared Key) и предполагает введение одного пароля на каждый узел беспроводной сети (точку доступа, беспроводной маршрутизатор, клиентский адаптер, мост). До тех пор пока пароли совпадают, клиенту будет разрешен доступ в сеть. Можно заметить, что подход с использованием пароля делает WPA-PSK уязвимым для атаки методом подбора, однако этот режим избавляет от путаницы с ключами WEP, заменяя их целостной и четкой системой на основе цифробуквенного пароля.

Другим важным механизмом аутентификации является проверка целостности сообщений MIC (Message Integrity Check). Ее используют для предотвращения перехвата пакетов данных, содержание которых может быть изменено, а модифицированный пакет вновь передан по сети. MIC построена на основе мощной математической функции, которая применяется на стороне отправителя и получателя, после чего сравнивается результат. Если проверка показывает на несовпадение результатов вычислений, данные считаются ложными и пакет отбрасывается. Благодаря такому механизму могут быть ликвидированы слабые места защиты, способствующие проведению атак с использованием поддельных фреймов и манипуляцией битами.

Даже не принимая во внимания тот факт, что WEP не обладает какими-либо механизмами аутентификации пользователей как таковой, его ненадёжность состоит, прежде всего, в криптографической слабости алгоритма шифрования. Стандарт WPA/WPA2 позволяет использовать алгоритм AES – симметричный алгоритм блочного шифрования (размер блока 128 бит, ключ 128/192/256 бит).

CCMP (Counter Mode with Cipher Block Chaining Message Authentication Code Protocol – протокол блочного шифрования с кодом аутентичности сообщения и режимом сцепления блоков и счётчика) – протокол шифрования IEEE 802.11i, созданный для замены TKIP – обязательного протокола шифрования в WPA и WEP – как более надёжный вариант. CCMP, являясь частью стандарта 802.11i, использует алгоритм AES. В отличие от TKIP, управление ключами и целостностью сообщений осуществляется одним компонентом, построенным вокруг AES с использованием 128-битного ключа, 128-битного блока, в соответствии со стандартом шифрования FIPS-197.

Стандарт IEEE 802.11i использует концепцию повышенной безопасности (Robust Security Network, RSN), и это потребует изменений в аппаратной части и программном обеспечении, т.е. сеть, полностью соответствующая RSN, станет несовместимой с существующим оборудованием WEP. Сейчас пока еще поддерживается как оборудование RSN, так и WEP (на самом деле WPA/TKIP было решением, направленным на сохранение инвестиций в оборудование), но в дальнейшем устройства WEP перестанут использоваться.

IEEE 802.11i применим к различным сетевым реализациям и может задействовать TKIP, но по умолчанию RSN использует AES (Advanced Encryption Standard) и CCMP (Counter Mode CBC MAC Protocol) и, таким образом, является более мощным расширяемым решением (AES – блочный шифр, оперирующий блоками данных по 128 бит).

802.11i (WPA2) – это наиболее устойчивое и безопасное решение, предназначенное в первую очередь для больших предприятий, где управление ключами и администрирование были главной головной болью. С 13 марта 2006 года поддержка WPA2 является обязательным условием для всех сертифицированных Wi-Fi устройств.

Производительность канала связи, как свидетельствуют результаты тестирования оборудования различных производителей, падает на 5-20% при включении как WEP-шифрования, так и WPA. Однако испытания того оборудования, в котором включено шифрование AES вместо TKIP, не показали сколько-нибудь заметного падения скорости.

WPA2, так же как и WPA, может работать в двух режимах: Enterprise (корпоративный) и Pre-Shared Key (персональный).

Стандарт IEEE 802.1x/EAP

Проблемы, с которыми столкнулись разработчики и пользователи сетей на основе стандарта IEEE 802.11, вынудили искать новые решения защиты беспроводных сетей. Были выявлены компоненты, влияющие на системы безопасности беспроводной локальной сети:

Стандарт IEEE 802.1x описывает единую архитектуру контроля доступа к портам с использованием разнообразных методов аутентификации клиентов и обеспечивает аутентификацию пользователей на канальном уровне любой топологии (как проводной, так и беспроводной) семейства стандартов IEEE 802.

Алгоритм аутентификации EAP поддерживает централизованную аутентификацию элементов инфраструктуры беспроводной сети и её пользователей с возможностью динамической генерации ключей шифрования.

Аутентификация по стандарту IEEE 802.1x – это процесс, независимый от аутентификации по стандарту IEEE 802.11. При аутентификации по стандарту IEEE 802.1х используется метод установления подлинности между клиентом и сервером (например, удаленная аутентификация RADIUS), к которому подключена точка доступа. Процесс аутентификации использует идентификационную информацию, например, пароль пользователя, который не передается через беспроводную сеть. Большинство видов аутентификации IEEE 802.1х поддерживают динамические ключи для пользователя, сеанса и для усиления защиты ключа.

Аутентификация стандарта IEEE 802.1x для беспроводных сетей имеет три главных компонента:

Защита аутентификации стандарта 802.1х инициирует запрос на аутентификацию от клиента беспроводной сети в точку доступа, которая устанавливает его подлинность через протокол EAP в соответствующем сервере RADIUS. Этот сервер RADIUS может выполнить аутентификацию пользователя (с помощью пароля или сертификата) или компьютера (с помощью адреса MAC). Теоретически, клиент беспроводной сети не может войти в сеть до завершения транзакции. (Не все методы аутентификации используют сервер RADIUS. Режимы WPA-PSK и WPA2-PSK используют общий пароль, который вводится в точке доступа и в устройствах, запрашивающих доступ к сети).

Процесс аутентификации в 802.1x/EAP


увеличить изображение

Рис. 3.4.  Процесс аутентификации в 802.1x/EAP

IEEE 802.1x предоставляет клиенту беспроводной локальной сети лишь средства передачи атрибутов серверу аутентификации и допускает использование различных методов и алгоритмов аутентификации. Задачей сервера аутентификации является поддержка требуемых политикой сетевой безопасности методов аутентификации.

Аутентификатор (точка доступа) создаёт логический порт для каждого клиента на основе его идентификатора ассоциирования. Логический порт имеет два канала для обмена данными. Неконтролируемый канал беспрепятственно пропускает трафик из беспроводного сегмента в проводной и обратно, в то время как контролируемый канал требует успешной аутентификации для беспрепятственного прохождения сетевого трафика.

Таким образом, в терминологии стандарта IEEE 802.1x точка доступа играет роль коммутатора в проводных сетях Ethernet. Очевидно, что в проводном сегменте сети, к которому подсоединена точка доступа, должен быть подключен сервер аутентификации. Его функции, как уже отмечалось ранее, обычно выполняет RADIUS-сервер, интегрированный с той или иной базой данных пользователей, в качестве которой может выступать стандартный RADIUS, LDAP или Windows Active Directory. Беспроводные шлюзы высокого класса могут реализовывать как функции аутентификатора, так и сервера аутентификации.

Клиент активизируется и ассоциируется с точкой доступа (или физически подключается к сегменту в случае проводной локальной сети). Аутентификатор распознаёт факт подключения и активизирует логический порт для клиента, сразу переводя его в состояние "неавторизован". В результате этого через клиентский порт возможен обмен лишь трафиком протокола IEEE 802.1x, для всего остального трафика порт заблокирован. Поскольку в локальных сетях IEEE 802.11 нет физических портов, то ассоциация между беспроводным клиентским устройством и точкой доступа считается сетевым портом доступа. Клиент также может (но не обязан) отправить сообщение EAP Start (начало аутентификации EAP) для запуска процесса аутентификации.

После завершения аутентификации сервер отправляет сообщение RADIUS-ACCEPT (принять) или RADIUS-REJECT (отклонить) аутентификатору. При получении сообщения RADI¬US-ACCEPT аутентификатор переводит порт клиента в состояние "авторизован", и начинается передача всего трафика пользователя.

В стандарте IEEE 802.1x аутентификация пользователей на канальном уровне выполняется по протоколу EAP. Протокол EAP подобен протоколу CHAP (Challenge Handshake Authentication Protocol – протокол взаимной аутентификации), который применяется в РРР (Point to Point Protocol – протокол соединения "точка-точка"), он предназначен для использования в локальных сетях. EAP является "обобщённым" протоколом в системе аутентификации, авторизации и учёта (authentication, authorization, and accounting, AAA), обеспечивающим работу разнообразных методов аутентификаци. AAA-клиент (сервер доступа по терминологии AAA в беспроводной сети представлен точкой доступа), поддерживающий EAP, может не понимать конкретных методов, используемых клиентом и сетью в процессе аутентификации. Сервер доступа туннелирует сообщения протокола аутентификации, которыми обмениваются клиент и сервер аутентификации. Сервер доступа интересует лишь факт начала и окончания процесса аутентификации.

Есть несколько вариантов ЕАР, спроектированных с участием различных компаний-производителей. Такое разнообразие вносит дополнительные проблемы совместимости, так что выбор подходящего оборудование и программного обеспечения для беспроводной сети становится непростой задачей. Возможные варианты EAP при конфигурировании способа аутентификации пользователей в беспроводной сети:

EAP-MD5 – это обязательный уровень ЕАР, который должен присутствовать во всех реализациях стандарта 802.1x, именно он был разработан первым. С точки зрения работы он дублирует протокол CHAP. Протокол EAP-MD5 не поддерживает динамическое распределение ключей. Кроме того, он уязвим для атаки "человек посередине" с применением фальшивой точки доступа и для атаки на сервер аутентификации, так как аутентифицируются только клиенты. И наконец, в ходе аутентификации злоумышленник может подслушать запрос и зашифрованный ответ, после чего провести атаку с известным открытым или шифрованным текстом.

EAP-TLS (EAP-Transport Layer Security – протокол защиты транспортного уровня) поддерживает взаимную аутентификацию на базе сертификатов. EAP-TLS основан на протоколе SSLv3 и требует наличия удостоверяющего центра. Протоколы TLS и SSL используют ряд элементов инфраструктуры PKI (Public Key Infrastructure). Клиент должен иметь действующий сертификат для аутентификации по отношению к сети. AAA-сервер должен иметь действующий сертификат для аутентификации по отношению к клиенту. Центр сертификации с сопутствующей инфраструктурой управляет сертификатами субъектов PKI. Клиент и RADIUS-сервер должны поддерживать метод аутентификации EAP-TLS. Точка доступа должна поддерживать процесс аутентификации в рамках 802.1x/EAP, хотя может и не знать деталей конкретного метода аутентификации.

EAP-LEAP (Lightweight ЕАР – облегчённый EAP) был первой (и на протяжении длительного времени единственной) схемой аутентификации в стандарте IEEE 802.1x, основанной на паролях. Сервер аутентификации посылает клиенту запрос, а тот должен вернуть пароль, предварительно выполнив его свертку со строкой запроса. Будучи основан на применении паролей, EAP-LEAP аутентифицирует пользователя, а не устройство. В то же время очевидна уязвимость этого варианта для атак методом полного перебора и по словарю, не характерная для методов аутентификации с применением сертификатов.

PEAP (Protected ЕАР – защищённый EAP) и EAP-TTLS (Tunneled Transport Layer Security ЕАР – протокол защиты транспортного уровня EAP) достаточно популярны и поддерживаются производителями сетевого оборудования, в том числе D-link. Для работы EAP-TTLS требуется, чтобы был сертифицирован только сервер аутентификации, а у претендента сертификата может и не быть, так что процедура развертывания упрощается. EAP-TTLS поддерживает также ряд ранних методов аутентификации, в том числе PAP, CHAP, MS-CHAP, MS-CHAPv2 и даже EAP-MD5. Чтобы обеспечить безопасность при использовании этих методов, EAP-TTLS создает зашифрованный по протоколу TLS туннель, внутри которого эти протоколы и работают. Протокол РЕАР очень похож на EAP-TTLS, только он не поддерживает методы аутентификации типа РАР и CHAP. Вместо них поддерживаются протоколы PEAP-MS-CHAPv2 и PEAP-EAP-TLS, работающие внутри безопасного туннеля. Поддержка РЕАР реализована в пакете программ точек доступа D-link и хорошо реализована в наиболее популярных операционных системах персональных компьютеров. В общем виде схема обмена РЕАР выглядит следующим образом:

Процесс аутентификации PEAP


увеличить изображение

Рис. 3.5.  Процесс аутентификации PEAP

Еще два варианта ЕАР – это EAP-SIM и ЕАР-АКА для аутентификации на базе SIM и USIM (Universal Subscriber Identity Modules). В основном они предназначены для аутентификации в сетях GSM, а не в беспроводных сетях IEEE 802.11. Тем не менее, протокол EAP-SIM поддерживается точками доступа и клиентскими устройствами некоторых производителей.

Развертывание беспроводных виртуальных сетей

Подробнее технология VPN рассмотрена в разделе "Виртуальные частные сети (VPN)". Здесь мы рассмотрим ситуации, возможные в беспроводных сетях.

Виртуальная частная сеть (VPN) – это метод, позволяющий воспользоваться сетевой инфраструктурой общего пользования, например сетью Интернет, для предоставления удаленным офисам или отдельным пользователям безопасного доступа к локальной сети организации. Поскольку беспроводные сети 802.11 работают в нелицензируемом диапазоне частот и легкодоступны для случайного или злонамеренного прослушивания, то именно в них развертывание и обслуживание VPN приобретает особую важность, если необходимо обеспечить высокий уровень защиты информации.

Защищать нужно как соединения между хостами в беспроводной локальной сети, так и двухточечные каналы между беспроводными мостами. Для обеспечения безопасности особо секретных данных нельзя полагаться на какой-то один механизм или на защиту лишь одного уровня сети. В случае двухточечных каналов проще и экономичнее развернуть VPN, покрывающую две сети, чем реализовывать защиту на базе стандарта IEEE 802.11i включающую RADIUS-сервер и базу данных о пользователях.

VPN и технологии безопасности беспроводных сетей не конкурируют, а дополняют друг друга. VPN работает поверх разделяемых сетей общего пользования, обеспечивая в то же время конфиденциальность за счет специальных мер безопасности и применения туннельных протоколов, таких как туннельный протокол на канальном уровне (Layer Two Tunneling Protocol, L2TP). Смысл их в том, что, осуществляя шифрование данных на отправляющем конце и дешифрирование на принимающем, протокол организует туннель, в который не могут проникнуть данные, незашифрованные должным образом. Дополнительную безопасность может обеспечить шифрование не только самих данных, но и сетевых адресов отправителя и получателя. Беспроводную локальную сеть можно сравнить с разделяемой сетью общего пользования, а в некоторых случаях она таковой и является (например, хот-споты).

VPN-сеть не является устойчивой к DoS- или DDoS-атакам и не может гарантировать доступность на физическом уровне просто в силу своей виртуальной природы и зависимости от нижележащих протоколов.

Две наиболее важные особенности VPN, особенно в беспроводных средах, где имеется лишь ограниченный контроль над распространением сигнала – это целостность и, что еще более существенно, конфиденциальность данных. Предположим ситуацию, когда злоумышленнику удалось преодолеть шифрование по протоколу WEP и подключиться к беспроводной локальной сети. Если VPN отсутствует, то он сможет прослушивать данные и вмешиваться в работу сети. Но если пакеты аутентифицированы, то атака "человек посередине" становится практически бесполезной, хотя перехватить данные по-прежнему легко. Включение в VPN элемента шифрования уменьшает негативные последствия перехвата данных. VPN обеспечивает не столько полную изоляцию всех сетевых взаимодействий, сколько осуществление таких взаимодействий в более контролируемых условиях с четко определенными группами допущенных участников.

Системы обнаружения вторжения в беспроводных сетях

Системы обнаружения вторжения (Intrusion Detection System, IDS) – это устройства, с помощью которых можно выявлять и своевременно предотвращать вторжения в вычислительные сети. Они делятся на два вида: на базе сети и на базе узла.

Сетевые системы (Network Intrusion Detection Systems, NIDS) анализируют трафик с целью обнаружения известных атак на основании имеющихся у них наборов правил (экспертные системы). Подмножеством сетевых систем обнаружения вторжений являются системы для наблюдения только за одним узлом сети (Network Node IDS).

Другой вид систем обнаружения вторжений представляют системы на базе узла (Host Intrusion Detection Systems, HIDS). Они устанавливаются непосредственно на узлах и осуществляют наблюдение за целостностью файловой системы, системных журналов и т.д.

NIDS делятся в свою очередь на две большие категории: на основе сигнатур и на основе базы знаний. Сигнатурные IDS наиболее распространены. В таких системах события, происходящие в сети, сравниваются с признаками известных атак, которые и называются сигнатурами. Базы данных, содержащие сигнатуры, необходимо надежно защищать и часто обновлять. IDS на основе базы знаний следят за сетью, собирают статистику о её поведении в нормальных условиях, обнаруживают различные отклонения и помечают их как подозрительные. Поэтому такие IDS еще называют основанными на поведении или статистическими.

Для эффективной работы статистической IDS необходимо иметь надежную информацию о том, как ведет себя сеть в нормальных условиях, так называемую точку отсчета. Хотя такую IDS обмануть сложнее, но и у нее есть свои проблемы: ложные срабатывания и трудности при обнаружении некоторых видов коммуникаций по скрытому каналу. Ложные срабатывания особенно вероятны в беспроводных сетях из-за нестабильности передающей среды. Кроме того, атаки, проведенные на ранних стадиях периода фиксации точки отсчета, могут исказить процедуру обучения статистической IDS.

Хорошая IDS для беспроводной сети должна быть одновременно сигнатурной и статистической. Некоторые инструменты для проведения атак на беспроводные сети имеют четко выраженные сигнатуры. Если они обнаруживаются в базе данных, то можно поднимать тревогу. С другой стороны, у многих атак очевидных сигнатур нет, зато они вызывают отклонения от нормальной работы сети на нижних уровнях стека протоколов. Отклонение может быть неощутимым (например, несколько пришедших не по порядку фреймов) или сразу заметным (выросшая в несколько раз нагрузка). Обнаружение таких аномалий – это непростая задача, поскольку не существует двух одинаковых беспроводных сетей. То же относится и к проводным локальным сетям, но там хотя бы нет радиопомех, отражения, рефракции и рассеивания сигнала. Поэтому эффективное применение IDS в беспроводных сетях возможно только после длительного периода детального исследования сети. При разворачивании системы необходимо четко понимать, что, как и зачем нужно анализировать и постараться ответить на эти вопросы, чтобы сконструировать необходимую систему IDS.

Характеристики систем обнаружения вторжений


увеличить изображение

Рис. 3.6.  Характеристики систем обнаружения вторжений

Только собрав значительный объем статистических данных о работе конкретной сети, можно решить, что является аномальным поведением, а что – нет, и идентифицировать проблемы со связью, ошибки пользователей и атаки. Многократные запросы на аутентификацию по протоколу IEEE 802.1x/LEAP могут свидетельствовать о попытке атаки методом полного перебора. Но это может объясняться и тем, что пользователь забыл свой пароль или работой плохо написанного клиентского приложения, которое продолжает попытки войти в сеть, пока не будет введен правильный пароль. Увеличение числа фреймов-маяков может быть признаком DoS-атаки или присутствия в сети фальшивой точки доступа, но не исключено, что все дело в неисправной или неправильно сконфигурированной законной точке доступа. События, фиксируемые IDS на верхних уровнях стека протоколов, например большое число фрагментированных пакетов или запросов TCP SYN, может указывать на сканирование портов или DoS-атаку, но, возможно, это просто результат плохой связи на физическом уровне.

Таким образом, любое событие требует тщательного исследования и анализа.

Унифицированные решения

В данном разделе познакомимся с одним любопытным решением компании D-Link, связанным с созданием унифицированных коммутируемых локальных сетей (проводных и беспроводных), которые обеспечивают высокую производительность при безопасной передаче информации и масштабируемость с возможностью управления и контроля.

Система Унифицированного Доступа (Unified Access System) – комплексное решение от компании D-Link. Позволяет развёртывать безопасные беспроводные сети WLAN (Wireless LAN), обеспечивая внедрение современных беспроводных сетевых возможностей, в том числе бесшовный роуминг уровней L2 и L3 для конечных пользователей.

В приведенном на рис. 3.7 примере организации локальной сети точки доступа отделов 1 и 2 управляются коммутатором Unified Access.

Организация локальной сети с использованием Unified Access System


увеличить изображение

Рис. 3.7.  Организация локальной сети с использованием Unified Access System

Компоненты D-Link Unified Access System:

  1. Унифицированные проводные/беспроводные коммутаторы Gigabit Ethernet, серии D-Link DWS-3024/3024L/3026/4026:
  2. Коммутируемые беспроводные точки доступа типа DWL-8500/8600AP – унифицированные беспроводные точки доступа, управление которыми осуществляется при подключении к беспроводному коммутатору DWS-3024/3024L/3026/4026.

Гигабитные беспроводные коммутаторы DWS-3024/3024L/3026/4026 являются корневыми устройствами, позволяющими управлять безопасностью, полосой пропускания и поддерживать функционирование всей беспроводной сети. Помимо этого, выполняя мониторинг пользователей и управляя их аутентификацией во время роуминга, коммутаторы могут задавать и управлять всеми параметрами беспроводных точек доступа, включая радиочастотные каналы, управление питанием, сегментацией беспроводного трафика, роумингом, балансировкой нагрузки, обнаружением несанкционированных точек доступа и параметрами безопасности.

Разработанные для легкого развертывания сети, коммутаторы поддерживают от 24 до 64 (в зависимости от модели) беспроводных точек доступа, которые могут быть подключены к портам беспроводного коммутатора непосредственно или опосредованно через коммутатор локальной сети. В сетях малого и среднего бизнеса (сектор SMB – Small and Medium Business) для управления несколькими точками доступа или для использования в смешанной проводной/беспроводной локальной сети потребуется только один беспроводной коммутатор. При увеличении количества точек доступа в систему централизованного управления можно объединить до 4 коммутаторов. Благодаря простоте расширения, поддержке гигабитных скоростей для подключения высокоскоростных точек доступа и маршрутизации уровня 3 для организации межсетевого роуминга, DWS-3024/3024L/3026/4026 обеспечивают архитектуру, которая унифицирует и упрощает сложную конфигурацию беспроводной сети, подготавливая простой переход к будущим технологиям.

Коммутируемые беспроводные точки доступа DWL-8500/8600 являются высокопроизводительными устройствами, предоставляя беспроводным клиентам мобильность и возможность работы в двух частотных диапазонах (2,4 Ггц и 5 ГГц). При подключении к этим коммутаторам каждая точка доступа (AP, Access Point) автоматически настраивается на оптимальный радиочастотный канал и выходную мощность передатчика, обеспечивая беспроводных клиентов сигналом наилучшего качества.

Организация беспроводной сети с использованием коммутатора и точек доступа Unified Access System


Рис. 3.8.  Организация беспроводной сети с использованием коммутатора и точек доступа Unified Access System

Каждый клиент, подключаемый к беспроводной сети, проходит через процесс строгой аутентификации, что гарантирует максимальную безопасность. Неважно, является ли клиент постоянным пользователем, гостем или просто имеет доступ к сети отдела, коммутаторы DWS-3024/3024L/3026/4026 защищают сетевую инфраструктуру с помощью большого набора функций безопасности, включая: WEP-шифрование данных, WPA/WPA2, аутентификацию пользователей 802.1x и стандарт безопасности 802.11i, адаптивный портал и аутентификацию MAC-адресов.

Коммутаторы обеспечивают определение и обнаружение несанкционированных точек доступа для предотвращения нелегального вторжения во внутреннюю сеть, а также предоставляют такие сервисы, как членство в виртуальной частной группе (SSID), аутентификацию, определение местонахождения и выдачу статистики о сетях. Во время роуминга пользователь сохраняет авторизацию, т.к. все коммутаторы DWS-3024/3024L/3026/4026 имеют общую базу данных, гарантируя безопасный доступ к соответствующим ресурсам сети. Наряду с проверкой учетных данных подключаемых пользователей в локальной базе данных, также может быть осуществлена аутентификация пользователей на внешнем сервере RADIUS.

Кроме того, DWS-4026 поддерживает новейшую функцию Wireless Intrusion Detection System (WIDS), предназначенную для обнаружения несанкционированных точек доступа и несанкционированных клиентов, а также различных угроз безопасности беспроводной сети. С помощью функции WIDS администраторы могут обнаружить различные угрозы и использовать сканирование радиочастотных каналов для обзора беспроводной сети в целях предотвращения любых потенциальных угроз безопасности. Для проводных клиентов DWS-4026 использует функцию Dynamic ARP Inspection (DAI) и DHCP Snooping для обеспечения максимальной безопасности. Совместное использование функций Dynamic ARP Inspection (DAI) и DHCP Snooping предотвращает угрозы самого высокого уровня, например, "man-in-the-middle" и ARP poisoning.

Благодаря централизованным радиочастотным политикам, автоматическому выбору наименее используемого канала и балансировке нагрузки точек доступа, коммутаторы DWS-3024/3024L/3026/4026 могут эффективно управлять беспроводной полосой пропускания для оптимизации трафика WLAN.

Коммутаторы поддерживают централизованную базу данных с информацией по доступу беспроводных пользователей к ресурсам, например, MAC-адреса и ключи аутентификации. В сети с несколькими коммутаторами эта информация обеспечивается обменом данными между ними. По мере перемещения пользователей по офису с использованием беспроводного оборудования, может меняться используемая для подключения точка доступа.

Лекция 4. Протоколы и функции, применяемые в межсетевых экранах и интернет-маршрутизаторах

В данной главе рассматриваются основные функции и протоколы, обеспечивающие сетевое взаимодействие различных систем, а также их безопасность. Для каждого сервиса приводится подробное описание настроек на базе устройств D-Link.

Протоколы и функции, обеспечивающие работу сети

Маршрутизация

Маршрутизация осуществляется на сетевом уровне OSI, который отвечает за обеспечение связи между любыми хостами в сети. Маршрутизирующие устройства (например, Интернет-маршрутизаторы или межсетевые экраны) объединяют отдельные сети в общую составную сеть. В сложных составных сетях почти всегда существует несколько альтернативных маршрутов для передачи пакетов между конечными хостами. Задачу выбора маршрутов из нескольких возможных решают маршрутизирующие устройства. Правильно выбранная структура сети и настроенная в соответствии с ней маршрутизация гарантируют, что отправленный по сети пакет будет доставлен по назначению.

Что же такое "маршрутизация"?

Маршрутизация (Routing) – процесс определения в коммуникационной сети (наилучшего) пути, по которому пакет может достигнуть адресата или, точнее – это набор правил, определяющих маршрут следования информации в сетях связи. Любые сетевые пакеты направляются в соответствии с набором правил – таблиц маршрутизации. Как правило, маршрутизация сводится к выбору интерфейса и следующего транзитного хоста при следовании пакета между сетями.

Маршрут – это путь, который должен пройти пакет от отправителя до точки назначения через маршрутизирующие устройства.

Маршрутизирующее устройство выбирает маршрут на основании информации о текущей конфигурации сети и соответствующего критерия выбора маршрута. Обычно в качестве критерия выступает метрика, которая отражает приоритет маршрута (наилучший маршрут). При определении наилучшего маршрута и назначения метрики рассматриваются следующие характеристики: время прохождения маршрута, которое в локальных сетях совпадает с длиной маршрута, измеряемой в количестве пройденных узлов маршрутизации; надежность и пропускная способность канала связи; время передачи пакета по каждой линии связи; нагрузка сетевого ресурса.

Маршрутизация может осуществляться статическим или динамическим способом.

Алгоритмы статической маршрутизации представляют таблицы, составленные сетевым администратором. Содержимое этих таблиц может быть изменено только сетевым администратором.

Итак, статическая маршрутизация (Static routing) – это метод маршрутизации в сетях с коммутацией пакетов, при котором данные передаются по заданному пути. При конфигурировании таблиц маршрутизации должны быть указаны все взаимосвязи между логическими сетями, которые остаются неизменными.

Динамическая маршрутизация предполагает, что маршрутизирующее устройство может автоматически определять новые пути либо модифицировать информацию о существующих путях.

Динамическая маршрутизация (Dynamic routing) – это метод выбора маршрута в сетях с коммутацией каналов, учитывающий динамическое состояние выходных каналов хоста (локальная маршрутизация) или сети (глобальная маршрутизация). Алгоритмы динамической маршрутизации адаптируются к изменениям сетевой обстановки, анализируя поступающие сообщения об обновлении маршрутов и используя при этом протоколы маршрутизации такие, как RIP (Routing Information Protocol), OSPF (Open Shortest Path First), BGP (Border Gateway Protocol).

Осуществление маршрутизации в межсетевых экранах D-Link рассмотрено в разделе "Создание и проверка правил маршрутизации" приложения D "Управление межсетевыми экранами через Web-интерфейс".

Маршрутизация осуществляется, используя IP-адресацию сетей и сетевых устройств. В версии IPv4 IP-адрес представляет собой 32-битное двоичное число, состоит из 4-х октетов и в десятичном виде записывается в виде четырех чисел, разделенных точками (например: 192.168.1.1). Существует также понятие "маска подсети". В десятичном представлении она имеет такой же вид, как и IP-адрес. Маска определяет, какая часть IP-адреса узла сети относится к адресу сети, а какая – к адресу самого узла в этой сети.

В версии IPv6 IP-адрес имеет 128-битное представление, состоит из 8 октетов, разделяющихся двоеточиями и записывается с использованием шестнадцатеричных чисел (например: СА81:0:0:0:800:800С:121:1Б).

Протокол OSPF

OSPF (Open Shortest Path First) – протокол динамической маршрутизации, основанный на технологии отслеживания состояния канала (link-state technology) и использующий для нахождения кратчайшего пути алгоритм Дейкстры.

Последняя версия протокола представлена в RFC 2328. OSPF представляет собой протокол внутреннего шлюза (Interior Gateway Protocol – IGP), распространяет информацию о доступных маршрутах между маршрутизирующими устройствами (маршрутизаторами) одной автономной системы.

OSPF предлагает решение следующих задач:

Терминология протокола OSPF

Объявление о состоянии канала (Link-State Advertisement, LSA) – объявление описывает все каналы маршрутизатора, все интерфейсы и состояние каналов.

Состояние канала (Link state) – состояние канала между двумя маршрутизаторами; обновления происходят при помощи пакетов LSA.

Метрика (metric) – условный показатель "стоимости" пересылки данных по каналу;

Автономная система (Autonomous System, AS) – группа устройств, обменивающаяся маршрутизирующей информацией в соответствии с единой политикой и протоколом маршрутизации.

Зона (area) – совокупность сетей и маршрутизаторов, имеющих один и тот же идентификатор зоны.

Соседи (neighbours) – два маршрутизатора, имеющие интерфейсы в общей сети.

Состояние соседства (adjacency) – взаимосвязь между определенными соседними маршрутизаторами, установленная с целью обмена информацией маршрутизации.

Hello-пакеты (Hello packets) – используются для обмена информации и поддержания соседских отношений.

База данных соседей (Neighbours database) – список всех соседей.

База данных состояния каналов (Link State Database, LSDB) – список всех записей о состоянии каналов. Встречается также термин топологическая база данных (topological database), употребляется как синоним базы данных состояния каналов.

Идентификатор маршрутизатора (Router ID, RID) – уникальное 32-битовое число, которое уникально идентифицирует маршрутизатор в пределах одной автономной системы.

Выделенный маршрутизатор (Designated Router, DR) – управляет процессом рассылки LSA в сети. Каждый маршрутизатор сети устанавливает отношения соседства с DR и отправляет ему информацию об изменениях в сети, а DR отвечает за то, чтобы данная информация была отправлена остальным маршрутизаторам сети. Недостатком в схеме работы с DR маршрутизатором является то, что при выходе его из строя должен быть выбран новый DR. Новые отношения соседства должны быть сформированы и, пока базы данных маршрутизаторов не синхронизируются с базой данных нового DR, сеть будет недоступна для пересылки пакетов. Для устранения этого недостатка выбирается BDR.

Резервный выделенный маршрутизатор (Backup Designated Router, BDR). Каждый маршрутизатор сети устанавливает отношения соседства не только с DR, но и BDR. DR и BDR также устанавливают отношения соседства между собой. При выходе из строя DR, BDR становится выделенным маршрутизатором и выполняет все его функции. Так как маршрутизаторы сети устанавливают отношения соседства с BDR, то время недоступности сети минимизируется.

Краткое описание работы протокола OSPF

Маршрутизаторы обмениваются hello-пакетами через все интерфейсы, на которых активирован OSPF. Устройства, разделяющие общий канал передачи данных, становятся соседями после согласования определенных параметров, указанных в hello-пакетах.

Далее маршрутизаторы обмениваются hello-пакетами с устройствами других сетей для установления соседства. OSPF определяет несколько типов сетей и несколько типов маршрутизаторов. Пара маршрутизаторов, находящихся в состоянии соседства синхронизирует между собой базу данных состояния каналов.

Каждый маршрутизатор посылает объявление о состоянии канала своему соседу. Последний, получив объявление, записывает передаваемую в нем информацию в базу данных состояния каналов маршрутизатора и рассылает копию объявления всем другим своим соседям.

Рассылая объявления через зону, все маршрутизаторы строят идентичную базу данных состояния каналов маршрутизатора.

Когда база данных построена, каждый маршрутизатор использует алгоритм нахождения кратчайшего пути для вычисления графа без образования петель (т.е. дерева кратчайшего пути), который будет описывать кратчайший маршрут к каждому известному пункту назначения, отображая в качестве корня самого себя. Самый короткий путь в дереве соответствует оптимальному маршруту к каждой сети назначения в автономной системе.

Каждый маршрутизатор строит таблицу маршрутизации из своего дерева кратчайшего пути и отправляет соседям не все записи таблицы, а только обновленные и измененные данные о маршрутах.

Учитывая, что в сетях с множественным доступом отношения соседства должны быть установлены между всеми маршрутизаторами, существует проблема рассылки огромного количества копий LSA. Для предотвращения этой проблемы в сетях выбираются выделенный (DR) и резервный выделенный (BDR) маршрутизаторы.

Типы зон

При разделении автономной системы на зоны, маршрутизаторам, принадлежащим к одной зоне, не известна информация о детальной топологии других зон.

Разделение на зоны позволяет:

Каждой зоне присваивается идентификатор зоны (Area ID) и может быть указан в десятичном формате или в формате записи IP-адреса. Однако идентификаторы зон не являются IP-адресами и могут совпадать с любым назначенным IP-адресом.

В любых OSPF-сетях обязательно должна быть определена магистральная зона (Backbone area), известная также как нулевая зона (Area 0) или зона 0.0.0.0, которая формирует ядро сети OSPF. Все остальные зоны должны быть соединены с ней при помощи маршрутизатора, через который обеспечивается межзональная маршрутизация. Если область не связана физически с магистралью, то необходимо добавить виртуальное соединение.

Тупиковая зона (Stub area) не принимает информацию о внешних маршрутах для автономной системы, а объявляет о маршруте по умолчанию. Если маршрутизаторам из тупиковой зоны необходимо передавать информацию за границу автономной системы, то они используют маршрут по умолчанию.

Транзитная зона (Transit area) передает информацию из зон, не связанных непосредственно с магистральной зоной.

Типы маршрутизаторов

Все интерфейсы внутреннего маршрутизатора (Internal Router, IR) принадлежат одной зоне. У таких маршрутизаторов только одна база данных состояния каналов.

Граничный маршрутизатор (Area Border Router, ABR) соединяет одну или больше зон с магистральной зоной и выполняет функции шлюза для межзонального трафика. У граничного маршрутизатора всегда хотя бы один интерфейс принадлежит магистральной зоне. Для каждой присоединенной зоны маршрутизатор поддерживает отдельную базу данных состояния каналов.

Граничный маршрутизатор автономной системы (AS Boundary Router, ASBR) обменивается информацией с маршрутизаторами других автономных систем. ASBR может находиться в любом месте автономной системы и быть внутренним, граничным или магистральным маршрутизатором.

Магистральный маршрутизатор (Backbone Router, BR) используется в магистральной зоне.

Сеть OSPF


увеличить изображение

Рис. 4.1.  Сеть OSPF

OSPF поддерживает следующие методы аутентификации:

Сервисы DHCP

DHCP (Dynamic Host Configuration Protocol – протокол динамической конфигурации узла) – это сетевой протокол, позволяющий хостам автоматически получать IP-адреса и другие параметры, необходимые для работы в сети TCP/IP. Эти адреса выбираются из предопределенного пула IP-адресов, который управляется сервером DHCP. Данный протокол работает по модели "клиент – сервер". Для автоматической конфигурации хост-клиент (DHCP-клиент) на этапе конфигурации сетевого устройства обращается к DHCP-серверу и получает от него нужные параметры (например: IP-адрес, имя домена, период аренды IP-адреса). Чтобы адрес не "простаивал", DHCP-сервер предоставляет его на определенный администратором срок, это называется арендным договором (lease). По истечении половины срока арендного договора DHCP-клиент запрашивает его возобновление, и DHCP-сервер продлевает арендный договор. Это означает, что когда машина прекращает использовать назначенный IP-адрес, арендный договор истекает, и адрес возвращается в пул адресов для повторного использования.

Автоматическое назначение IP-адреса хосту


увеличить изображение

Рис. 4.2.  Автоматическое назначение IP-адреса хосту

DHCP-клиент в межсетевых экранах D-Link NetDefend

В состав системы NetDefendOS (операционная система межсетевых экранов D-Link NetDefend) включена функция DHCP-клиент (DHCP Client), которая отвечает за динамическое получение адреса от DHCP-сервера (например, в случае подключения к Интернет-провайдеру по DHCP). Используя данную функцию, можно получить IP-адрес интерфейса, адрес локальной сети, к которой относится данный интерфейс, IP-адрес шлюза по умолчанию и IP-адреса DNS-серверов.

Опция DHCP Client может быть включена или отключена администратором в свойствах интерфейса. По умолчанию это свойство отключено на всех Ethernet-интерфейсах, за исключением WAN1-порта (или WAN-порта, в зависимости от модели).

Активация-деактивация функции DHCP-клиент на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 4.3.  Активация-деактивация функции DHCP-клиент на примере межсетевого экрана DFL-860E

Если функция DHCP-клиент активирована на каком-либо Ethernet-интерфейсе, то IP-адресация, относящая к данному интерфейсу (IP-адрес интерфейса/адрес сети/IP-адреса шлюза и DNS), не может быть изменена или удалена. Для изменения этих адресов необходимо отключить опцию DHCP Client.

DHCP-сервер в межсетевых экранах D-Link NetDefend

Как уже упоминалось выше, DHCP-сервер распределяет IP-адреса из определенного пула IP-адресов и управляет ими. В системе NetDefendOS DHCP-серверы не ограничены использованием одного диапазона IP-адресов, а могут применять любой диапазон IP-адресов, который определен как объект IP-адрес.

В NetDefendOS администратор имеет возможность настроить один или несколько логических DHCP-серверов. Фильтрация запросов DHCP-клиентов к разным DHCP-серверам зависит от двух параметров:

Список DHCP-серверов формируется по мере занесения в него новых строк. Когда в системе NetDefendOS выбирается DHCP-сервер для обслуживания запроса клиента, поиск по списку осуществляется сверху вниз. Выбор падает на верхний по списку сервер, соответствующий комбинации параметров (интерфейс и IP-адрес устройства, выполняющего функцию DHCP Relay). Если совпадений в списке не найдено, запрос игнорируется.

Составление списка DHCP-серверов на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 4.4.  Составление списка DHCP-серверов на примере межсетевого экрана DFL-860E

Для DHCP-серверов задаются следующие параметры (рис. 4.5):

Вкладка General:

Name – Символьное имя сервера. Используется в последующих настройках как ссылка на интерфейс или как ссылка в сообщениях для записи в журнал событий (log).

Interface Filter – Интерфейс источника, на котором система NetDefendOS будет ожидать получения DHCP-запросов.

Relay Filter – Каждый DHCP-сервер должен иметь определенное значение фильтра по IP-адресу ретранслятора. Возможны следующие варианты:

IP Address pool – Диапазон IP-адресов (группа или сеть), который используется DHCP-сервером для распределения IP-адресов DHCP-клиентам в соответствии с DHCP-арендой.

Netmask – Маска подсети, которая будет рассылаться DHCP-клиентам.

Вкладка Options:

Default GW – указывается IP-адрес устройства, выполняющего функции основного шлюза, который передается клиенту (маршрутизатор, к которому подключается клиент).

Domain – имя домена, используемое DNS для определения IP-адреса. Например, domain.com.

Lease Time – время предоставленной DHCP-аренды в секундах. По истечении данного периода DHCP-клиент должен возобновить аренду.

Primary/Secondary DNS – IP-адреса DNS-серверов.

Primary/Secondary NBNS/WINS – IP-адреса WINS-серверов среды Microsoft, которые используют NBNS-серверы для установления соответствий между IP-адресами и именами в NetBIOS.

Next Server – определяет IP-адрес сервера, с которого осуществляется загрузка операционной системы хостов, в случае загрузки по сети (например, TFTP-сервера).

Параметры DHCP-сервера на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 4.5.  Параметры DHCP-сервера на примере межсетевого экрана DFL-860E

Помимо описанных свойств, DHCP-сервер системы NetDefendOS может иметь два дополнительных набора объектов: Static Hosts и Custom Options.

Static Hosts. При необходимости установления фиксированной связи между клиентом и конкретным IP-адресом, система NetDefendOS позволяет назначить данный IP-адрес MAC-адресу клиента. Другими словами, позволяет создать хост со статическим IP-адресом.

Custom Options. Заполнение раздела специальных опций DHCP-сервера при его определении позволяет администратору в сообщениях, содержащих детали аренды (такие, как код и тип данных), также отправлять дополнительную информацию для DHCP-клиентов. В качестве примера могут служить те коммутаторы, которым требуется IP-адрес TFTP-сервера, для передачи дополнительной информации.

Коды вводятся в соответствии со значениями, определенными в RFC 2132 (DHCP Options and BOOTP Vendor Extensions).

RFC (Request for Comments – запрос комментариев) – это документы из серии пронумерованных информационных документов Интернета, содержащих технические спецификации и стандарты.

Функция DHCP Relays в межсетевых экранах D-Link NetDefend

По протоколу DHCP хост-клиент отправляет запросы DHCP-серверам, чтобы классифицировать их с помощью широковещательной рассылки. Однако такие сообщения обычно распространяются только в локальных сетях. Это означает, что DHCP-сервер и клиент всегда должны находиться в одной и той же физической сети. Поскольку для сетевой топологии, подобной сети Интернет, невозможно установить свой DHCP-сервер в каждой сети, в межсетевых экранах NetDefend используется функция DHCP Relays, которая позволяет передавать запросы от DHCP-клиентов DHCP-серверу.

DHCP Relayer (DHCP-ретранслятор) занимает место DHCP-сервера в локальной сети и выполняет роль связи между клиентом и удаленным DHCP-сервером. Он перехватывает запросы от клиентов и передает их DHCP-серверу. DHCP-сервер затем отвечает ретранслятору, который переадресовывает ответ обратно клиенту. Чтобы выполнять функции ретрансляции, DHCP Relayer использует протокол TCP/IP Bootstrap Protocol (BOOTP). Поэтому DHCP Relayer иногда ассоциируют с агентом пересылки BOOTP (BOOTP relay agent).

Пример получения IP-адресов клиентами системы NetDefendOS на интерфейсе lan от DHCP-сервера, расположенного во внешней сети, приведен на рисунке 3.6. IP-адрес DHCP-сервера определен в адресной книге системы NetDefendOS как ip-dhcp. Когда в системе NetDefendOS завершается процесс получения IP-адреса по DHCP, для клиента добавляется еще один маршрут (во вкладке Add Route нужно включить опцию Add dynamic routes for this relayed DHCP lease) .

Использование функции DHCP Relays на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 4.6.  Использование функции DHCP Relays на примере межсетевого экрана DFL-860E

Сервисы DNS

DNS (Domain Name System – система доменных имён) – служба преобразования текстового доменного имени в цифровой IP-адрес. Например, текстовое имя поискового сервера yandex.ru соответствует IP-адресу 213.180.204.11, а сервера dlink.ru > 213.234.241.211. Доменные имена, также как и IP-адреса одной сети, уникальны, т.е. в глобальной сети нет двух одинаковых доменных имен.

DNS – это сеть серверов с базами данных, распределенная в сети Интернет. Все серверы связаны между собой, и при поступлении запроса на расшифровку и невозможности по какой-либо причине определить его самостоятельно, сервер передает этот запрос другим подобным серверам по специально разработанным схемам до тех пор, пока доменное имя не будет переведено в IP-адрес.

Для выполнения DNS-решений в системе NetDefendOS предусмотрена встроенная опция DNS-клиент, которую можно настраивать на использование трех DNS-серверов: Primary Server (первый сервер), Secondary Server (второй сервер) и Tertiary Server (третий сервер). Для функционирования DNS необходимо настроить хотя бы Primary Server . Рекомендуется настраивать первый и второй серверы для непрерывной работы при отказе первичного сервера:

Использование функции DNS-клиент на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 4.7.  Использование функции DNS-клиент на примере межсетевого экрана DFL-860E

Настройка хотя бы одного DNS-сервера необходима для работы следующих модулей системы NetDefendOS: автоматическая синхронизация времени; доступ к внешнему авторизованному СА-серверу для получения CA-сертификатов; функций UTM (Unified Threat Management) для использования внешних сервисов Anti-Virus и IDP.

DNS-сервис системы NetDefendOS позволяет информировать DNS-серверы при изменении IP-адреса межсетевого экрана NetDefend. Это называется Dynamic DNS и используется при изменении внешних IP-адресов межсетевых экранов NetDefend.

Технология Dynamic DNS может применяться в VPN-решениях, где обе конечные точки используют динамические IP-адреса. Если же динамический адрес использует только одна конечная точка туннеля, то при настройках VPN-туннеля в системе NetDefendOS нужно выбрать функцию VPN keep alive.

В папке меню System → Misc . Clients определено несколько динамических DNS-сервисов:

Использование механизма Dynamic DNS на примере межсетевого экрана  DFL-860E


увеличить изображение

Рис. 4.8.  Использование механизма Dynamic DNS на примере межсетевого экрана DFL-860E

HTTP Poster – сгенерированный динамический DNS-клиент, который позволяет определить 3 различных любых URL-адреса. В этом заключается различие между конкретным DNS-клиентом (DynDNS, D-Link DynDNS и т.д.) и HTTP Poster.

Резервирование маршрутов (Route Failover)

При подключении корпоративной сети ко второму провайдеру рано или поздно возникает вопрос обеспечения рационального использования двух Интернет-каналов и возможность автоматического резервирования, чтобы работоспособность сети быстро восстанавливалась при возникновении проблем на одном из каналов.

Основные задачи, которые можно решить при использовании резервирования каналов в сеть Интернет:

Для таких ситуаций в межсетевых экранах D-Link серии NetDefend предусмотрена возможность переключения маршрутов при отказе (Route Failover): в случае отказа одного из маршрутов трафик автоматически начинает передаваться по другому, резервному маршруту. Система NetDefendOS выявляет неудачные маршруты, используя при этом функцию мониторинга маршрутов Route Monitoring, и перенаправляет трафик на резервный маршрут.

Резервирование каналов


увеличить изображение

Рис. 4.9.  Резервирование каналов

Выполнение данной задачи с использованием межсетевых экранов NetDefend заключается в активировании опции Monitor for Route Failover:

Использование функции мониторинга маршрутов (Route Monitoring) при резервировании каналов в межсетевых экранах NetDefend


увеличить изображение

Рис. 4.10.  Использование функции мониторинга маршрутов (Route Monitoring) при резервировании каналов в межсетевых экранах NetDefend

В сценарии с основным (предпочтительным) и резервным маршрутами в основной маршрут добавляется Route Monitoring. В резервном маршруте данная опция не указывается, если не требуется переключения при отказе (failover). Когда Route Monitoring для маршрута включен, нужно выбрать один из следующих методов контроля:

Следует заметить, что функцию Route Monitoring нельзя применять для автоматически созданных маршрутов, так как им присвоен специальный статус, и обращение к ним происходит по-другому. К таким маршрутам относятся маршруты, автоматически создаваемые для физических интерфейсов при запуске системы NetDefendOS. Если же данным маршрутам требуется активировать Route Monitoring, то их необходимо сначала удалить, а затем добавить вручную, как новые маршруты.

При определении маршрута необходимо установить метрику (metric) маршрута. Метрика – это целое положительное число, которое указывает на приоритет маршрута. При наличии двух маршрутов для одного и того же адреса назначения система NetDefendOS выберет маршрут с минимальным значением метрики.

ВНИМАНИЕ: приоритет основного подключения должен быть выше (т.е. значение метрики – меньше), чем у резервного подключения.

Дополнительная функция системы NetDefendOS Host Monitoring (рис. 4.10) обеспечивает гибкий и легко конфигурируемый способ контроля целостности маршрута. Данный метод позволяет межсетевому экрану посылать запрос одному или нескольким внешним узлам о доступности конкретного маршрута.

Довольно часто встречаются ситуации, когда канал работоспособен и шлюз доступен, но соединений нет, т.к. проблема возникла дальше, за шлюзом. Чтобы произошло переключение с маршрута первого выбора на резервный, предусмотрен механизм ICMP- /TCP- /HTTP-мониторинга, позволяющий осуществлять контроль за работоспособностью определенных хостов (рис. 4.11), которым назначена функция Host Monitoring. Межсетевые экраны NetDefend позволяют выбрать для конкретного маршрута один из методов мониторинга:

Назначение параметров при мониторинге хоста для резервирования маршрутов


увеличить изображение

Рис. 4.11.  Назначение параметров при мониторинге хоста для резервирования маршрутов

Балансировка нагрузки сети

В терминологии компьютерных сетей балансировка (выравнивание) нагрузки – распределение процесса выполнения заданий между несколькими серверами сети с целью оптимизации использования ресурсов и сокращения времени вычисления.

Типы серверов, которые должны быть сбалансированы:

Обычно системы балансировки загрузки серверов используют возможности уровня L4 (UDP/TCP). При этом контролируется доступность сервера по IP-адресу и номеру порта и принимается решение: какому из доступных серверов следует переслать запрос. Наиболее часто для выбора сервера используется карусельный алгоритм (round-robin). В этом варианте предполагается, что все запросы создают одинаковую загрузку и длительность исполнения. В более продвинутых вариантах алгоритма используется уровень занятости сервера и число активных соединений.

Раньше возможности балансировки нагрузки встраивались в саму прикладную программу или операционную систему. Современные системы балансировки нагрузки должны удовлетворять следующим требованиям:

Здесь важно учитывать, что доступность IP-адреса и порта еще не гарантирует доступа к приложению.

В последнее время для решения задачи балансировки нагрузки все чаще используется прикладной уровень. При этом в процессе принятия решения учитывается тип клиента, запрашиваемый URL, информация из cookie, возможности конкретного сервера и тип прикладной программы, что позволяет оптимизировать использование ресурсов системы.

Довольно существенные преимущества может предоставить система GSLB (Global Server Load Balancing), которая способна решать задачу балансировки для произвольно расположенных ферм серверов с учетом их удаленности от клиента. Эта система может поддерживать несколько разных алгоритмов распределения нагрузки и обеспечивать оптимальное обслуживание клиентов, разбросанных по всему миру. Для администраторов система дает возможность формирования гибкой политики управления ресурсами.

Одним из способов ускорения обслуживания является кэширование. В случае хорошо сконфигурированного кэша доля запросов, удовлетворяемых кэшем, может достигать 40%. При этом ускорение обслуживания может быть улучшено в 30 раз.

Еще одним методом ускорения обслуживания может служить архивация данных, так как в этом варианте понижается уровень перегрузки каналов сети.

Управление балансировкой нагрузки можно совместить с функцией прикладного межсетевого экрана (70% успешных вторжений использует уязвимости приложений) и с использованием SSL по VPN-туннелю. SSL – Secure Sockets Layer – криптографический протокол, который обеспечивает установление безопасного соединения между клиентом и сервером.

Для достижения максимальной пропускной способности и отказоустойчивости межсетевые экраны позволяют распределить или сбалансировать нагрузку, используя все имеющиеся каналы Интернета (серверов) одновременно. Например, можно избежать такой ситуации, когда передаваемые по сети пакеты идут через одного провайдера, в то время как выход в Интернет через другого провайдера простаивает без дела. Или распределить сервисы и направить трафик через все имеющиеся Интернет-каналы. Возможна настройка балансировки нагрузки, если соединения с провайдерами осуществляются с разными типами подключения (Static IP, PPPoE, PPTP/L2TP), а также – для балансировки трафика, проходящего через VPN-туннели, установленные на разных физических интерфейсах.

Балансировка нагрузки по нескольким маршрутам


увеличить изображение

Рис. 4.12.  Балансировка нагрузки по нескольким маршрутам

В межсетевых экранах D-Link серии NetDefend предусмотрена функция, предназначенная для балансировки сетевой нагрузки по разным маршрутам – Route Load Balancing (RLB), возможности которой обеспечивают:

Функция балансировки нагрузки в межсетевых экранах NetDefend активируется на основе таблицы маршрутизации путем создания объекта RLB Instance, в котором определены два параметра: таблица маршрутизации и RLB-алгоритм. С таблицей маршрутизации может быть связан только один объект Instance.

Выбор алгоритма распределения нагрузки в межсетевых экранах NetDefend


увеличить изображение

Рис. 4.13.  Выбор алгоритма распределения нагрузки в межсетевых экранах NetDefend

Есть возможность выбрать один из алгоритмов распределения нагрузки между Интернет-интерфейсами:

Использование метрик маршрута с алгоритмом Round Robin

Метрика каждого маршрута по умолчанию равна нулю. При использовании взаимосвязанных алгоритмов Round Robin и Destination можно устанавливать разные значения метрик, позволяющие создать приоритет выбора маршрутов. Маршруты с минимальным значением метрики будут выбираться чаще, чем маршруты с более высоким значением.

Если в сценарии с двумя Интернет-провайдерами (часто встречается выражение "ISP-провайдер", т.е. Internet Service Provider) требуется, чтобы большая часть трафика проходила через одно из ISP-подключений, то следует активировать RLB и назначить меньшее значение метрики для маршрута основного ISP-подключения (например, 90) относительно второго (например, 100).

Если задача заключается в равномерной балансировке трафика между двумя Интернет-провайдерами, то значение метрик для обоих маршрутов следует назначать одинаковое.

Использование метрик маршрута с алгоритмом Spillover

При использовании алгоритма Spillover для каждого маршрута обязательно должна быть определена метрика. В этом случае система NetDefendOS всегда выбирает маршрут с самым низким значением метрики. Алгоритм не предназначен для работы с одинаковыми метрическими значениями маршрутов, поэтому администратору следует устанавливать различные значения метрик для всех маршрутов, к которым применяется алгоритм Spillover.

Значение метрики определяет порядок, в соответствии с которым трафик перенаправляется на другой маршрут после того, как для выбранного маршрута превышено допустимое значение передаваемого трафика.

Можно создать несколько альтернативных маршрутов с различными метрическими значениями, для каждого из которых определена пороговая величина настроек алгоритма – Spillover Setting – для каждого интерфейса. Сначала выбирается маршрут с минимальной метрикой; после того как превышен допустимый порог настроек алгоритма, будет выбран следующий маршрут.

Если на всех альтернативных маршрутах достигнуты пороговые значения Spillover Setting, то маршрут не меняется.

ВНИМАНИЕ: значение метрики на интерфейсах (маршрутах), которые используются в балансировке, должно быть установлено выше, чем для остальных интерфейсов (маршрутов). Чем ниже значение метрики на интерфейсе (маршруте), тем чаще этот интерфейс (маршрут) будет использован для установки соединения, относительно интерфейса (маршрута) с большим значением метрики. Доля использования интерфейсов (маршрутов) будет пропорциональна разнице между значениями метрик на этих интерфейсах (маршрутах).

Балансировка нагрузки сети и НА-кластеризация (резервирование устройств) межсетевых экранов NetDefend

Высокий уровень сетевой отказоустойчивости достигается за счет использования двух межсетевых экранов NetDefend: основного устройства (master) и резервного устройства (slave). Основной и резервный межсетевые экраны взаимосвязаны и составляют логический HA-кластер.

Межсетевые экраны NetDefend не поддерживают балансировку нагрузки в НА-кластеризации устройств, т.е. распределение нагрузки между ними не обеспечивается, так как одно устройство всегда является активным (active), в то время как другое находится в режиме ожидания (passive).

НА-кластеризация межсетевых экранов NetDefend


увеличить изображение

Рис. 4.14.  НА-кластеризация межсетевых экранов NetDefend

Лекция 5. Протоколы IGMP и UPnP. Качество обслуживания и Технология SharePort

IGMP для IPTV

IGMP (Internet Group Management Protocol – межсетевой протокол управления группами) – протокол управления групповой (multicast) передачей данных в сетях, основанных на протоколе IP. IGMP используется маршрутизирующими устройствами и IP-узлами для организации сетевых устройств в группы.

Этот протокол является частью спецификации групповой передачи пакетов в IP-сетях. IGMP расположен выше сетевого уровня, хотя, по сути, действует не как транспортный протокол. IGMP может использоваться для поддержки потокового видео и онлайн-игр. Для таких типов приложений он позволяет использовать сетевые ресурсы более эффективно. IGMP уязвим к определенным атакам, и, если в нем нет необходимости, брандмауэры обычно позволяют пользователю отключить функцию IGMP.

Протокол IGMP используется для динамической регистрации отдельных узлов в многоадресной группе локальной сети. Узлы сети определяют принадлежность к группе, посылая IGMP-сообщения на свой локальный многоадресный маршрутизатор. По протоколу IGMP маршрутизаторы (коммутаторы L3) получают IGMP-сообщения и периодически посылают запросы, чтобы определить какие группы активны или неактивны в данной сети.

В общем случае протокол IGMP определяет следующие типы сообщений:

В настоящее время существуют три версии протокола IGMP:

Протокол IGMP используется только в сетях с адресацией IPv4, так как в сетях с адресацией IPv6 групповая передача пакетов реализована по-другому.

Что такое IPTV?

Услугу IPTV (Internet Protocol Television, IP-телевидение) предоставляет провайдер. IPTV напоминает обычное кабельное телевидение. Разница в том, что услуга IPTV предоставляется не по коаксиальному кабелю, а по тому же каналу, что и Интернет (ADSL модем или Ethernet).

Технология IPTV представляет собой трансляцию каналов преимущественно в форматах MPEG2/MPEG4 по транспортной сети провайдера, с последующим просмотром на компьютере.

Межсетевые экраны по умолчанию не обрабатывают пакеты IPTV (мультикаст). Необходимо разрешить в системных правилах протокол IGMP (протокол управления подключениями к мультикаст-группам), создать правила, одно из которых будет отвечать за запрос query от сервера к межсетевому экрану, а от него уже к клиенту, второе будет переправлять ответ report от клиента к межсетевому экрану, затем от него к источнику вещания.

Кроме этого, на управляемом коммутаторе нужно включить функцию IGMP snooping. IGMP Snooping – процесс отслеживания сетевого трафика IGMP, который позволяет сетевым устройствам канального уровня (коммутаторам) отслеживать IGMP-обмен между клиентами и поставщиками (маршрутизаторами) многоадресного (multicast) IP-трафика, формально происходящий на более высоком (сетевом) уровне.

IGMP Snooping – это функция второго уровня модели OSI, которая позволяет коммутаторам изучать членов многоадресных групп, подключенных к его портам, прослушивая IGMP-сообщения (запросы и ответы) передаваемые между узлами-подписчиками и маршрутизаторами (коммутаторами L3) сети.

Передача многоадресного трафика с поддержкой IGMP Snooping.


Рис. 5.1.  Передача многоадресного трафика с поддержкой IGMP Snooping.

Когда узел, подключенный к коммутатору, хочет вступить в многоадресную группу или отвечает на IGMP-запрос, полученный от маршрутизатора (коммутатора L3) многоадресной рассылки, он отправляет IGMP-ответ, в котором указан адрес многоадресной группы. Коммутатор просматривает информацию в IGMP-ответе и создает в своей ассоциативной таблице коммутации IGMP Snooping запись для этой группы (если она не существует). Эта запись связывает порт, к которому подключен узел-подписчик, с портом, к которому подключен маршрутизатор (коммутатор L3) многоадресной рассылки и МАС-адрес многоадресной группы.

Если коммутатор получает IGMP-ответ для этой же группы от другого узла данной VLAN, то он добавляет номер порта в уже существующую запись ассоциативной таблицы коммутации IGMP Snooping.

Формируя таблицу коммутации многоадресной рассылки, коммутатор осуществляет передачу многоадресного трафика только тем узлам, которые в нем заинтересованы.

После включения IGMP Snooping, коммутатор начинает анализировать все IGMP-пакеты между подключенными к нему компьютерами-клиентами и маршрутизаторами-поставщиками multicast-трафика. Обнаружив IGMP-запрос (report) клиента на подключение к мультикаст-группе, коммутатор включает порт, к которому тот подключен, в список ее членов (для ретрансляции группового трафика). И наоборот – услышав запрос "IGMP Leave" (покинуть), удаляет соответствующий порт из списка группы.

Направлять сообщения IGMP query клиенту может маршрутизатор IGMP (IGMP Snooping на управляемом коммутаторе) или сервер вещания, поддерживающий функцию генерирования IGMP query (тогда коммутатор не нужен).

Схема подключения оборудования для прохождения мультикастового потока через межсетевой экран NetDefend


Рис. 5.2.  Схема подключения оборудования для прохождения мультикастового потока через межсетевой экран NetDefend

Eсли доступ в Интернет осуществляется через Интернет-маршрутизатор, необходимо убедиться, что данное устройство поддерживает IGMP/multicast. Не во всяком маршрутизаторе присутствует эта функция.

Активировать опцию для прохождения мультикастового потока (рис. 5.3) можно в настройках Интернет-маршрутизатора: Enable Multicast Streams или IGMP (если такого пункта в настройках нет, а модель поддерживает функцию, необходимо обновить прошивку).

Активирование функции IGMP/мультикаст для прохождения мультикастового потока на примере Интернет-маршрутизатора DIR-857


увеличить изображение

Рис. 5.3.  Активирование функции IGMP/мультикаст для прохождения мультикастового потока на примере Интернет-маршрутизатора DIR-857

Поддержка UPnP

Служба UPnP (Universal Plug and Play) – сетевая архитектура, предоставляющая возможность легко и быстро организовывать обмен данными между любыми устройствами в сети, автоматически определяя, подключая и настраивая эти устройства для работы с локальными сетями. Сетевые продукты, использующие технологию Universal Plug and Play, заработают сразу, как только будут физически подключены к сети. UPnP поддерживает практически все технологии сетевых инфраструктур – как проводные, так и беспроводные.

UPnP – это расширение стандартов Plug-and-Play для упрощения управления устройствами в сети, т.е. автоматическое конфигурирование устройств (программных или аппаратных маршрутизаторов), которые эту службу поддерживают. В частности, программа на компьютере в локальной сети может обратиться к маршрутизатору "на языке" UPnP с указанием перенаправить на себя нужный порт.

Практически все модели Интернет-маршрутизаторов серий DI-xxx и DIR-xxx поддерживают службу Universal Plug and Play.

Активирование UPnP представлено на рис. 5.3 на примере Интернет-маршрутизатора DIR-857.

Качество обслуживания (QoS) и управление полосой пропускания трафика (Traffic Shaping)

Сегодня, во время активного развития сети Интернет, многие сервис-провайдеры пытаются привлечь клиентов дополнительными информационными услугами такими, как IP-телефония, интерактивные игры, видеоконференции, видео-телефония, доступ к разнообразным базам данных, электронным магазинам и т. д. Клиенты же ищут не просто выход в Интернет, а интересуются полосой пропускания, безопасностью, стабильностью связи. По этой причине многие компании, производящие сетевое оборудование, уделяют повышенное внимание средствам управления трафиком и качеству обслуживания QoS.

С целью поддержки передачи по одной сети трафика потоковых мультимедийных приложений (IP-телефония (VoIP), IPTV, видеоконференции, онлайн-игры и др.) и трафика данных с различными требованиями к пропускной способности необходимы механизмы, обеспечивающие возможность дифференцирования и обработки различных типов сетевого трафика в зависимости от предъявляемых ими требований. Негарантированная доставка данных (best effort service), традиционно используемая в сетях, построенных на основе коммутаторов, не предполагала проведения какой-либо классификации трафика и не обеспечивала надежную доставку трафика приложений, гарантированную пропускную способность канала и определенный уровень потери пакетов. Для решения этой проблемы было введено такое понятие, как качество обслуживания (Quality of Service, QoS).

Функции качества обслуживания в современных сетях заключаются в обеспечении гарантированного и дифференцированного уровня обслуживания сетевого трафика, запрашиваемого теми или иными приложениями на основе различных механизмов распределения ресурсов, ограничения интенсивности трафика, обработки очередей и приоритизации.

Можно выделить три модели реализации QoS в сети:

Технология DiffServ позволяет классифицировать пакеты из трафика, направленного в локальную сеть. Работа DiffServ основывается на идентификаторе DSCP (DiffServ code Point), представляющего собой первые 6 бит поля ToS (Type of Service, тип обслуживания IP-пакетов). DSCP определяет, как будут перенаправляться пакеты в DiffServ-сети. Изменяя значение этого идентификатора, можно распределить различные виды трафика в очереди проброса по приоритетам. Таким образом, можно распределять ресурсы согласно значениям DSCP и сконфигурированным правилам.

Межсетевые экраны D-Link серии NetDefend для управления полосой пропускания трафика поддерживают технологию DiffServ.

Функция ограничения полосы пропускания трафика (Traffic shaping) – или, как ее еще называют – "шейпинг" трафика – работает, оценивая и выстраивая в очередь IP-пакеты в соответствии с заданными параметрами. Определить различные ограничения скоростей и выделить гарантированную полосу пропускания можно на основании адреса источника, адреса назначения и параметров протокола – в основном так же, как определяются правила межсетевого экрана.

Объектом для управления полосой пропускания трафика служит Pipe-канал, через который будут передаваться данные в соответствии с созданными правилами (Pipe Rules).

Управление полосой пропускания трафика по Pipe-каналам


увеличить изображение

Рис. 5.4.  Управление полосой пропускания трафика по Pipe-каналам

При использовании функции Traffic shaping в межсетевых экранах NetDefend различают два основных компонента и два вспомогательных:

В NetDefenseOS используется 8 приоритетов очередей: от 0 (низший приоритет) до 7 (наивысший приоритет). Приоритет будет определяться как отдельная очередность передачи пакетов: трафик с приоритетом 2 будет отправлен перед трафиком с приоритетом 0, трафик с приоритетом 4 будет отправлен перед трафиком с приоритетом 2 и т.д.

При конфигурировании Pipe-канала назначается 3 приоритета:

Значение Default Precedence – это приоритет, который получает пакет в том случае, если он явно не принадлежит какому-нибудь Pipe-правилу.

Минимальное и максимальное значения (Minimum Precedence и Maximum Precedence) определяют диапазон приоритета, в котором может находиться Pipe-канал. Если пакету уже назначен приоритет ниже минимального в правиле, то его приоритет изменится на значение Minimum Precedence. Например, если пакет пришел со значением приоритета 0, а минимальный приоритет для сервиса данного пакета – 2, то далее пакет отправляется с приоритетом 2.

Аналогично, если пакет имеет приоритет выше Maximum Precedence, то значение приоритета меняется на максимальное заданное.

Для контроля полосы пропускания назначается приоритет для первого канала First pipe при выборе одного из значений:

Ниже приведен пример настройки приоритизации SMTP- , FTP-потоков относительно всего трафика (рисунки 5.5, 5.6 и 5.7). Для корректной работы полосы пропускания, помимо Pipe-объектов (каналов для SMTP- , FTP-потоков и остального трафика Total), создан дополнительный Pipe-канал Other без выбора приоритетов. Уровни приоритетов (precedence) назначены следующим образом: для SMTP-трафика – 5, для FTP-трафика – 2, для трафика остальных протоколов – приоритет не указывается.

Настройка функции Traffic Shaping в межсетевых экранах NetDefend для SMTP-потока


увеличить изображение

Рис. 5.5.  Настройка функции Traffic Shaping в межсетевых экранах NetDefend для SMTP-потока

Настройка функции Traffic Shaping в межсетевых экранах NetDefend для FTP-потока


увеличить изображение

Рис. 5.6.  Настройка функции Traffic Shaping в межсетевых экранах NetDefend для FTP-потока

Настройка функции Traffic Shaping в межсетевых экранах NetDefend для потоков других протоколов


увеличить изображение

Рис. 5.7.  Настройка функции Traffic Shaping в межсетевых экранах NetDefend для потоков других протоколов

Использование технологии QoS в Интернет-маршрутизаторах D-Link

В маршрутизаторах D-Link функции приоритизации трафика в зависимости от используемых приложений на клиентских компьютерах поддерживаются благодаря технологиям QoS Engine и WISH Stream Engine.

Технология QOS Engine позволяет за счет активного использования технологии QoS (Quality of Service) ограничить максимальную ширину Интернет-канала для одних приложений и выделить персональный канал для других. Эта функция полезна в основном для компьютерных онлайн-игр, просмотра онлайн-видео и потокового вещания, для которых важным критерием является не только ширина канала, но и время отклика.

Активирование функции QoS Engine на примере Интернет-маршрутизатора DIR-857


увеличить изображение

Рис. 5.8.  Активирование функции QoS Engine на примере Интернет-маршрутизатора DIR-857

Технология WISH (Wireless Intelligent Stream Handling – интеллектуальная обработка потоков в беспроводной сети) автоматически различает мультимедиафайлы, VoIP и онлайновые игры, не требующие настроек пользователя и в зависимости от их наличия помещает тэгированный и чувствительный к задержкам трафик в начало очереди, оптимизируя частотные настройки для оптимальной беспроводной полосы пропускания. Поддержка данной функции позволяет маршрутизаторам прозрачно работать с другими технологиями QoS, что дает возможность быстро увеличить скорость передачи данных в беспроводной сети.

Активирование функции WISH Stream Engine на примере Интернет-маршрутизатора DIR-857


Рис. 5.9.  Активирование функции WISH Stream Engine на примере Интернет-маршрутизатора DIR-857

Технология SharePort

Технология SharePort – инновационная разработка компании D-Link – позволяет обеспечить совместный доступ к USB-устройствам через сети Ethernet и Wi-Fi. Суть новой технологии заключается в том, что устройства, подключенные к USB-портам Интернет-маршрутизаторов, становятся доступными для использования на компьютерах в сети, а передача USB-сигнала между устройством и персональными компьютерами осуществляется по протоколу TCP/IP. Таким образом, можно организовать совместный доступ пользователей к USB-устройствам (принтеры*, устройства хранения и др.) из любой точки сети.

Утилита D-Link SharePort™ Network USB обеспечивает совместное использование в сети USB-устройств, включая внешние устройства хранения информации и принтеры/многофункциональные устройства (МФУ). Для этого достаточно просто подключить выбранное устройство к маршрутизатору D-Link, поддерживающему данную функцию. Такой способ организации совместного доступа пользователей к внешнему устройству хранения или принтеру является хорошей альтернативой подключения этих устройств к локальному компьютеру.

Скачать утилиту D-Link SharePort ™ Network USB можно с FTP-сервера компании D-Link. После установки программы в правом нижнем углу монитора появится значок D-Link SharePort network USB utility. При нажатии по нему правой кнопки мыши выведется окно включения-отключения USB-устройства:

Использование утилиты D-Link SharePort™ Network USB


Рис. 5.10.  Использование утилиты D-Link SharePort™ Network USB

И далее – окно обнаружения USB-устройства:

Окно обнаружения USB-устройства при использовании утилиты D-Link SharePort™ Network USB


Рис. 5.11.  Окно обнаружения USB-устройства при использовании утилиты D-Link SharePort™ Network USB

При нажатии на значок утилиты левой кнопкой мыши выведется окно приглашения к подключению USB-устройства:

Окно подключения USB-устройства при использовании утилиты D-Link SharePort™ Network USB


Рис. 5.12.  Окно подключения USB-устройства при использовании утилиты D-Link SharePort™ Network USB

Ограничение данной технологии:

  1. Одновременно использовать устройства, подключенные к USB-порту роутера, может только один пользователь. Для использования устройства другим компьютером, на первом компьютере необходимо отключить утилиту SharePort.
  2. Функция SharePort доступна на определенных Интернет-маршрутизаторах серии DIR-6xx и DIR-8xx.

*Список поддерживаемых USB-принтеров доступен на FTP-сервере компании D-Link: http://ftp.dlink.ru/pub/Router/SharePort_Compatibility_List.xls

Уведомление о нештатных событиях по электронной почте

Поддержка уведомлений по электронной почте и системного журнала событий (Syslog) позволяет сетевым администраторам получать информацию, необходимую для управления инфраструктурой сети.

В межсетевых экранах и Интернет-маршрутизаторах D-Link предусмотрено ведение журнала системных событий (log-файла) для регистрации всех событий, происходящих в сети и последующем уведомлении о них по электронной почте.

Настройка уведомлений по электронной почте на примере Интернет-маршрутизатора DIR-857


увеличить изображение

Рис. 5.13.  Настройка уведомлений по электронной почте на примере Интернет-маршрутизатора DIR-857

В межсетевых экранах NetDefend уведомление по электронной почте конфигурируется только для IDP-событий, которые произошли за время, назначенное пользователем. Можно определить три альтернативных email-адреса.

Настройка уведомлоений по электронной почте на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 5.14.  Настройка уведомлоений по электронной почте на примере межсетевого экрана DFL-860E

Следует отметить, что при настройке данной конфигурации подразумевается, что уже созданы объект SMTP-сервер и IDP-правила для определенного вида трафика. Во вкладке Log Setting необходимо отметить поле Enable logging для записи событий в журнал:

Настройка уведомлений по электронной почте на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 5.15.  Настройка уведомлений по электронной почте на примере межсетевого экрана DFL-860E

Лекция 6. Фильтрация трафика и виртуальные сети

Фильтрация трафика

При отсутствии гибкой фильтрации доступа к сети Интернет на долю ненужных и опасных сайтов, ежедневно посещаемых сотрудниками, приходится чуть ли не половина общего трафика.

Лидерами в списке нежелательных ресурсов являются социальные сети, порталы, выкладывающие контент непристойного содержания, серверы онлайновых игр, а также сайты, генерирующие так называемый "тяжелый" трафик и предлагающие посетителям загружать и просматривать видеоролики и флэш-баннеры.

Потенциальные угрозы, возникающие в результате посещения сотрудниками различных не относящихся к выполняемой ими работе сайтов, помимо нецелевого использования рабочего времени, могут выглядеть как:

Чтобы обеспечить безопасность и целостность бизнеса, перекрыть каналы возможной утечки информации и повысить производительность работы сотрудников, необходимо управлять потоком Интернет-трафика, входящего в локальную сеть при помощи фильтрации Интернет-запросов. Запрещая при помощи настройки фильтров доступ к тем или иным ресурсам, можно решить вопросы снижения затрат на нецелевые Интернет-ресурсы, а также значительно уменьшить риск инфицирования внутренних ресурсов корпоративной сети.

Применение фильтрации в межсетевых экранах NetDefend D-Link рассмотрено в разделе "Функции IDP, WCF, AV" ("Фильтрация Web-содержимого (WCF)").

Виртуальные локальные сети VLAN

VLAN (Virtual Local Area Network – виртуальная локальная сеть). Виртуальной локальной сетью называется логическая группа устройств, имеющих возможность взаимодействовать между собой напрямую на канальном уровне, хотя физически при этом они могут быть подключены к разным сетевым коммутаторам. И наоборот, трафик устройств, находящихся в разных VLAN’ах, полностью изолирован от других узлов сети на канальном уровне, даже если они подключены к одному коммутатору. Это означает, что передача кадров между разными виртуальными сетями на основании MAC-адреса невозможна, независимо от типа адреса – уникального, группового или широковещательного.

VLAN’ы обладают следующими преимуществами:

В системе NetDefendOS виртуальная локальная сеть может поддерживать один или несколько VLAN-интерфейсов, которые связаны с конкретным физическим интерфейсом. В межсетевых экранах NetDefend VLAN-интерфейсы рассматриваются как логические интерфейсы и могут обращаться к другим интерфейсам NetDefendOS с помощью наборов правил и таблиц маршрутизации. Виртуальные локальные сети, настроенные в межсетевых экранах серии DFL-xxx, функционируют на уровне L3.

VLAN применяется в нескольких случаях. Обычное применение – когда один Ethernet-интерфейс представлен как несколько интерфейсов. Это означает, что число физических Ethernet-портов на межсетевых экранах NetDefend не ограничивается числом соединений внешних сетей.

Виртуальные локальные сети также используются для группировки отдельных пользователей таким образом, чтобы их трафик был полностью отделен от других виртуальных локальных сетей. Под управлением NetDefendOS трафик может проходить между различными VLAN’ами и фильтроваться с помощью политик безопасности, предусмотренными правилами системы NetDefendOS.

Конфигурация VLAN системы NetDefendOS включает в себя комбинацию VLAN-каналов (trunk) от межсетевых экранов NetDefend до коммутаторов, интерфейсы которых настроены, как VLAN на основе портов (port based VLANs). Любой физический интерфейс межсетевого экрана может одновременно пропускать оба трафика – VLAN-трафик для одного или нескольких виртуальных локальных сетей и не- VLAN-трафик.

NetDefendOS полностью поддерживает стандарт IEEE 802.1Q для виртуальных локальных сетей, которые функционируют, добавляя к заголовку Ethernet-кадра идентификатор виртуальной локальной сети (VLAN ID). VLAN ID – это число от 0 до 4095, используемое для идентификации виртуальной локальной сети, которой принадлежит каждый фрейм. С применением такого механизма Ethernet-фреймы могут принадлежать разным виртуальным локальным сетям и при этом совместно использовать один физический интерфейс. В NetDefendOS одному физическому интерфейсу может назначаться уникальный VLAN ID и тот же самый VLAN ID может быть назначен другим физическим интерфейсам, т.е. одна и та же виртуальная сеть позволяет объединить компьютеры пользователей, подключенных к разным физическим интерфейсам (на рис. 6.1 – VLAN1 и VLAN2).

Подключение VLAN-клиентов


Рис. 6.1.  Подключение VLAN-клиентов

Один или несколько VLAN’ов настроены на физический интерфейс межсетевого экрана NetDefend и соединяются прямо с коммутатором. Это соединение работает как VLAN-канал (trunk). Коммутатор должен поддерживать тип port based VLANs. Конфигурация порта коммутатора, который соединяется с межсетевым экраном, должна быть настроена на прием VLAN ID, которые будут передаваться через VLAN-каналы (trunk).

На рис. 6.1 приведен пример организации VLAN-сетей. На коммутаторе 1 один из портов сконфигурирован как VLAN2, а два других – как VLAN1. На втором коммутаторе одному порту присвоен VLAN1, а двум другим – VLAN2. Клиенты виртуальной сети VLAN1 используют совместные ресурсы, не имея доступа в сеть VLAN2. Аналогично работают клиенты сети VLAN2.

Пакеты, полученные с Ethernet-фреймами на физическом интерфейсе межсетевого экрана, проверяются на наличие VLAN ID системой NetDefendOS. Если VLAN ID найден, определяется соответствующий VLAN-интерфейс, который NetDefendOS будет использовать в качестве логического интерфейса, и проводится дальнейшая обработка кадра. Если при приеме пакета на физический интерфейс VLAN ID не обнаружен и не определен соответствующий VLAN-интерфейс, то этот пакет отклоняется и генерируется сообщение unknown_vlanid.

Интерфейс межсетевого экрана не должен ориентироваться только на виртуальные локальные сети, т.к. нужно обеспечить прохождение трафика и из других сетей. Если не найден VLAN ID принятого Ethernet-фрейма, то источником считается физический интерфейс.

ВНИМАНИЕ: Система NetDefendOS не поддерживает стандарт IEEE 802.1ad (provider bridges), который позволяет пробрасывать VLAN внутри другого VLAN’а. Различные модели межсетевых экранов D-Link поддерживают различное количество VLAN’ов.

Для конфигурирования VLAN в межсетевых экранах NetDefend, VLAN-интерфейсу необходимо создать список IP-правил и маршрутов. Если, например, нет правила Allow в наборе IP-правил для VLAN-интерфейса, то пакеты, поступающие на этот интерфейс, будут отброшены. Ниже описаны шаги по настройке VLAN-интерфейса:

  1. Создать объекты VLAN_ip и VLAN_net в адресной книге (Objects→Address Book) и назначить им адреса.
  2. Назначить имя VLAN-интерфейса (Interfaces→VLAN).
  3. Выбрать физический интерфейс для VLAN.
  4. Назначить VLAN ID (уникальный на физическом интерфейсе).
  5. Выбрать IP-адрес для VLAN-интерфейса и VLAN-сети.
  6. Во вкладке Advanced при выделенных полях Automatic Route Creation маршруты в таблицах маршрутизации будут создаваться автоматически.
  7. Создать правила в наборе IP-правил, допускающие прохождение трафика через VLAN-интерфейс (Rules→IP-Rules).

Конфигурирование VLAN в межсетевых экранах NetDefend


увеличить изображение

Рис. 6.2.  Конфигурирование VLAN в межсетевых экранах NetDefend

В межсетевых экранах предусмотрена возможность "привязки" LAN-портов к определенному VLAN (рис. 6.3).

Настройка Switch Management в межсетевых экранах NetDefend


увеличить изображение

Рис. 6.3.  Настройка Switch Management в межсетевых экранах NetDefend

Так же как в проводной локальной сети представлена возможность использования VLAN’ов, так и в беспроводной сети существуют механизмы разграничения беспроводных клиентов.

Виртуальные частные сети (VPN)

Интернет все чаще используется в качестве средства коммуникации между компьютерами, поскольку он предлагает эффективную и недорогую связь. Однако Интернет является сетью общего пользования и для того чтобы обеспечивать безопасную коммуникацию через него необходим некий механизм, удовлетворяющий как минимум следующим задачам:

Этим требованиям удовлетворяет механизм, названный VPN (Virtual Private Network – виртуальная частная сеть) – обобщённое название технологий, позволяющих обеспечить одно или несколько сетевых соединений (логическую сеть) поверх другой сети (например, Интернет) с использованием средств криптографии (шифрования, аутентификации, инфраструктуры открытых ключей, средств для защиты от повторов и изменений передаваемых по логической сети сообщений).

Создание VPN не требует дополнительных инвестиций и позволяет отказаться от использования выделенных линий. В зависимости от применяемых протоколов и назначения, VPN может обеспечивать соединения трёх видов: хост-хост, хост-сеть и сеть-сеть.

Для наглядности представим следующий пример: предприятие имеет несколько территориально отдаленных филиалов и "мобильных" сотрудников, работающих дома или в разъезде. Необходимо объединить всех сотрудников предприятия в единую сеть. Самый простой способ – это поставить модемы в каждом филиале и организовывать связь по мере необходимости. Такое решение, однако, не всегда удобно и выгодно – порой нужна постоянная связь и большая пропускная способность. Для этого придется либо прокладывать выделенную линию между филиалами, либо арендовать их. И то и другое довольно дорого. И здесь в качестве альтернативы при построении единой защищенной сети можно применять VPN-подключения всех филиалов фирмы через Интернет и настройку VPN-средств на хостах сети.

VPN-соединение типа сеть-сеть


увеличить изображение

Рис. 6.4.  VPN-соединение типа сеть-сеть

VPN-соединение типа хост-сеть


Рис. 6.5.  VPN-соединение типа хост-сеть

В этом случае решаются многие проблемы – филиалы могут располагаться где угодно по всему миру.

Опасность здесь заключается в том, что, во-первых, открытая сеть доступна для атак со стороны злоумышленников всего мира. Во-вторых, по Интернету все данные передаются в открытом виде, и злоумышленники, взломав сеть, будут обладать всей информацией, передаваемой по сети. И, в-третьих, данные могут быть не только перехвачены, но и заменены в процессе передачи через сеть. Злоумышленник может, например, нарушить целостность баз данных, действуя от имени клиентов одного из доверенных филиалов.

Чтобы этого не произошло, в решениях VPN используются такие средства, как шифрование данных для обеспечения целостности и конфиденциальности, аутентификация и авторизация для проверки прав пользователя и разрешения доступа к виртуальной частной сети.

VPN-соединение всегда состоит из канала типа точка-точка, также известного под названием туннель. Туннель создаётся в незащищённой сети, в качестве которой чаще всего выступает Интернет.

Туннелирование (tunneling) или инкапсуляция (encapsulation) – это способ передачи полезной информации через промежуточную сеть. Такой информацией могут быть кадры (или пакеты) другого протокола. При инкапсуляции кадр не передается в том виде, в котором он был сгенерирован хостом-отправителем, а снабжается дополнительным заголовком, содержащим информацию о маршруте, позволяющую инкапсулированным пакетам проходить через промежуточную сеть (Интернет). На конце туннеля кадры деинкапсулируются и передаются получателю. Как правило, туннель создается двумя пограничными устройствами, размещенными в точках входа в публичную сеть. Одним из явных достоинств туннелирования является то, что данная технология позволяет зашифровать исходный пакет целиком, включая заголовок, в котором могут находиться данные, содержащие информацию, которую злоумышленники используют для взлома сети (например, IP-адреса, количество подсетей и т.д.).

Хотя VPN-туннель устанавливается между двумя точками, каждый узел может устанавливать дополнительные туннели с другими узлами. Для примера, когда трём удалённым станциям необходимо связаться с одним и тем же офисом, будет создано три отдельных VPN-туннеля к этому офису. Для всех туннелей узел на стороне офиса может быть одним и тем же. Это возможно благодаря тому, что узел может шифровать и расшифровывать данные от имени всей сети, как это показано на рисунке:

Создание VPN-туннелей для нескольких удаленных точек


увеличить изображение

Рис. 6.6.  Создание VPN-туннелей для нескольких удаленных точек

Пользователь устанавливает соединение с VPN-шлюзом, после чего пользователю открывается доступ к внутренней сети.

Внутри частной сети самого шифрования не происходит. Причина в том, что эта часть сети считается безопасной и находящейся под непосредственным контролем в противоположность Интернету. Это справедливо и при соединении офисов с помощью VPN-шлюзов. Таким образом, гарантируется шифрование только той информации, которая передаётся по небезопасному каналу между офисами.

Существует множество различных решений для построения виртуальных частных сетей. Наиболее известные и широко используемые протоколы – это:

Перечисленные протоколы поддерживаются устройствами D-Link.

PPTP

Протокол PPTP, в первую очередь, предназначен для виртуальных частных сетей, основанных на коммутируемых соединениях. Протокол позволяет организовать удаленный доступ, благодаря чему пользователи могут устанавливать коммутируемые соединения с Интернет-провайдерами и создавать защищенный туннель к своим корпоративным сетям. В отличие от IPSec, протокол PPTP изначально не предназначался для организации туннелей между локальными сетями. PPTP расширяет возможности PPP – протокола, расположенного на канальном уровне, который первоначально был разработан для инкапсуляции данных и их доставки по соединениям типа точка-точка.

Протокол PPTP позволяет создавать защищенные каналы для обмена данными по различным протоколам – IP, IPX, NetBEUI и др. Данные этих протоколов упаковываются в кадры PPP, инкапсулируются с помощью протокола PPTP в пакеты протокола IP. Далее они переносятся с помощью IP в зашифрованном виде через любую сеть TCP/IP. Принимающий узел извлекает из пакетов IP кадры PPP, а затем обрабатывает их стандартным способом, т.е. извлекает из кадра PPP пакет IP, IPX или NetBEUI и отправляет его по локальной сети. Таким образом, протокол PPTP создает соединение точка-точка в сети и по созданному защищенному каналу передает данные. Основное преимущество таких инкапсулирующих протоколов, как PPTP – это их многопротокольность. Т.е. защита данных на канальном уровне является прозрачной для протоколов сетевого и прикладного уровней. Поэтому, внутри сети в качестве транспорта можно использовать как протокол IP (как в случае VPN, основанного на IPSec), так и любой другой протокол.

В настоящее время за счет легкости реализации протокол PPTP широко используется как для получения надежного защищенного доступа к корпоративной сети, так и для доступа к сетям Интернет-провайдеров, когда клиенту требуется установить PPTP-соединение с Интернет-провайдером для получения доступа в Интернет.

Метод шифрования, применяемый в PPTP, специфицируется на уровне PPP. Обычно в качестве клиента PPP выступает настольный компьютер с операционной системой Microsoft, а в качестве протокола шифрования используется протокол Microsoft Point-to-Point Encryption (MPPE). Данный протокол основывается на стандарте RSA RC4 и поддерживает 40- или 128-разрядное шифрование. Для многих приложений такого уровня шифрования использование данного алгоритма вполне достаточно, хотя он и считается менее надежным, нежели ряд других алгоритмов шифрования, предлагаемых IPSec, в частности, 168-разрядный Triple-Data Encryption Standard (3DES).

Как происходит установление соединения PPTP?

PPTP инкапсулирует пакеты IP для передачи по IP-сети. Клиенты PPTP создают управляющее туннелем соединение, которое обеспечивает работоспособность канала. Этот процесс выполняется на транспортном уровне модели OSI. После создания туннеля компьютер-клиент и сервер начинают обмен служебными пакетами.

В дополнение к управляющему соединению PPTP создается соединение для пересылки данных по туннелю. Инкапсуляция данных перед отправкой в туннель включает два этапа. Сначала создается информационная часть PPP-кадра. Данные проходят сверху вниз, от прикладного уровня OSI до канального. Затем полученные данные отправляются вверх по модели OSI и инкапсулируются протоколами верхних уровней.

Данные с канального уровня достигают транспортного уровня. Однако информация не может быть отправлена по назначению, так как за это отвечает канальный уровень OSI. Поэтому PPTP шифрует поле полезной нагрузки пакета и берет на себя функции второго уровня, обычно принадлежащие PPP, т. е. добавляет к PPTP-пакету PPP-заголовок (header) и окончание (trailer). На этом создание кадра канального уровня заканчивается. Далее, PPTP инкапсулирует PPP-кадр в пакет Generic Routing Encapsulation (GRE), который принадлежит сетевому уровню. GRE инкапсулирует протоколы сетевого уровня, например IP, IPX, чтобы обеспечить возможность их передачи по IP-сетям. Однако применение только GRE-протокола не обеспечит установление сессии и безопасность данных. Для этого используется способность PPTP создавать соединение для управления туннелем. Применение GRE в качестве метода инкапсуляции ограничивает поле действия PPTP только сетями IP.

После того как кадр PPP был инкапсулирован в кадр с заголовком GRE, выполняется инкапсуляция в кадр с IP-заголовком. IP-заголовок содержит адреса отправителя и получателя пакета. В заключение PPTP добавляет PPP заголовок и окончание.

На рис. 6.7 показана структура данных для пересылки по туннелю PPTP:

Структура данных для пересылки по туннелю PPTP


увеличить изображение

Рис. 6.7.  Структура данных для пересылки по туннелю PPTP

Для организации VPN на основе PPTP не требуется больших затрат и сложных настроек: достаточно установить в центральном офисе сервер PPTP (решения PPTP существуют как для Windows, так и для Linux платформ), а на клиентских компьютерах выполнить необходимые настройки. Если же нужно объединить несколько филиалов, то вместо настройки PPTP на всех клиентских станциях лучше воспользоваться Интернет-маршрутизатором или межсетевым экраном с поддержкой PPTP: настройки осуществляются только на пограничном маршрутизаторе (межсетевом экране), подключенном к Интернету, для пользователей все абсолютно прозрачно. Примером таких устройств могут служить многофункциональные Интернет-маршрутизаторы серии DIR/DSR и межсетевые экраны серии DFL.

GRE-туннели

Generic Routing Encapsulation (GRE) – протокол инкапсуляции сетевых пакетов, обеспечивающий туннелирование трафика через сети без шифрования. Примеры использования GRE:

Пример работы GRE-туннеля


Рис. 6.8.  Пример работы GRE-туннеля

Между двумя маршрутизаторами A и B (рис. 6.8) находится несколько маршрутизаторов, GRE-туннель позволяет обеспечить соединение между локальными сетями 192.168.1.0/24 и 192.168.3.0/24 так, как если бы маршрутизаторы A и B были подключены напрямую.

L2TP

Протокол L2TP появился в результате объединения протоколов PPTP и L2F. Главное достоинство протокола L2TP в том, что он позволяет создавать туннель не только в сетях IP, но и в сетях ATM, X.25 и Frame relay. L2TP применяет в качестве транспорта протокол UDP и использует одинаковый формат сообщений как для управления туннелем, так и для пересылки данных.

Как и в случае с PPTP, L2TP начинает сборку пакета для передачи в туннель с того, что к полю информационных данных PPP добавляется сначала заголовок PPP, затем заголовок L2TP. Полученный таким образом пакет инкапсулируется UDP. В зависимости от выбранного типа политики безопасности IPSec, L2TP может шифровать UDP-сообщения и добавлять к ним заголовок и окончание Encapsulating Security Payload (ESP), а также окончание IPSec Authentication (см. в разделе "L2TP over IPSec"). Затем производится инкапсуляция в IP. Добавляется IP-заголовок, содержащий адреса отправителя и получателя. В завершение L2TP выполняет вторую PPP-инкапсуляцию для подготовки данных к передаче. На рис. 6.9 показана структура данных для пересылки по туннелю L2TP.

Структура данных для пересылки по туннелю L2TP


увеличить изображение

Рис. 6.9.  Структура данных для пересылки по туннелю L2TP

Компьютер-получатель принимает данные, обрабатывает заголовок и окончание PPP, убирает заголовок IP. При помощи IPSec Authentication проводится аутентификация информационного поля IP, а ESP-заголовок IPSec помогает расшифровать пакет.

Далее компьютер обрабатывает заголовок UDP и использует заголовок L2TP для идентификации туннеля. Пакет PPP теперь содержит только полезные данные, которые обрабатываются или пересылаются указанному получателю.

IPSec

IPsec (сокращение от IP Security) – набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяет осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет.

Безопасность IPSec достигается за счёт дополнительных протоколов, добавляющих к IP-пакету собственные заголовки – инкапсуляции. Т.к. IPSec – стандарт Интернет, то для него существуют документы RFC:

IPsec является неотъемлемой частью Интернет-протокола IPv6 и необязательным расширением версии Интернет-протокола IPv4.

Механизм IPSec решает следующие задачи:

Компоненты IPSec

Протокол AH (Authentication Header) – протокол идентификации заголовка. Обеспечивает целостность путём проверки того, что ни один бит в защищаемой части пакета не был изменён во время передачи. Но использование AH может вызвать проблемы, например, при прохождении пакета через NAT устройство. NAT меняет IP-адрес пакета, чтобы разрешить доступ в Интернет с закрытого локального адреса. Т.к. пакет в таком случае изменится, то контрольная сумма AH станет неверной (для устранения этой проблемы разработан протокол NAT-Traversal (NAT-T), обеспечивающий передачу ESP через UDP и использующий в своей работе порт UDP 4500). Также стоит отметить, что AH разрабатывался только для обеспечения целостности. Он не гарантирует конфиденциальности путём шифрования содержимого пакета.

Протокол ESP (Encapsulation Security Payload) обеспечивает не только целостность и аутентификацию передаваемых данных, но еще и шифрование данных, а также защиту от ложного воспроизведения пакетов.

Протокол ESP – инкапсулирующий протокол безопасности, который обеспечивает и целостность, и конфиденциальность. В режиме транспорта ESP-заголовок находится между исходным IP-заголовком и заголовком TCP или UDP. В режиме туннеля ESP-заголовок размещается между новым IP-заголовком и полностью зашифрованным исходным IP-пакетом.

Т.к. оба протокола – AH и ESP – добавляют собственные заголовки IP, каждый из них имеет свой номер (ID) протокола, по которому можно определить, что последует за IP-заголовком. Каждый протокол, согласно IANA (Internet Assigned Numbers Authority – организация, ответственная за адресное пространство сети Интернет), имеет свой собственный номер (ID). Например, для TCP этот номер равен 6, а для UDP – 17. Поэтому, очень важно при работе через межсетевой экран настроить фильтры таким образом, чтобы пропускать пакеты с ID AH и/или ESP протокола.

Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается ID протокола 51, а для ESP – номер 50.

ВНИМАНИЕ: ID протокола не то же самое, что номер порта.

Протокол IKE (Internet Key Exchange) – стандартный протокол IPsec, используемый для обеспечения безопасности взаимодействия в виртуальных частных сетях. Предназначение IKE – защищенное согласование и доставка идентифицированного материала для ассоциации безопасности (SA).

SA – это термин IPSec для обозначения соединения. Установленный SA (защищенный канал, называемый "безопасной ассоциацией" или "ассоциацией безопасности" – Security Association, SA) включает в себя разделяемый секретный ключ и набор криптографических алгоритмов.

Протокол IKE выполняет три основные задачи:

IKE использует UDP-порт с номером 500. При использовании функции NAT Traversal, как упоминалось ранее, протокол IKE использует UDP-порт с номером 4500.

Обмен данными в IKE происходит в 2 фазы. В первой фазе устанавливается ассоциация SA IKE. При этом выполняется аутентификация конечных точек канала и выбираются параметры защиты данных, такие как алгоритм шифрования, сессионный ключ и др.

Во второй фазе SA IKE используется для согласования протокола (обычно IPSec).

При настроенном VPN-туннеле для каждого используемого протокола создаётся одна пара SA. SA создаются парами, т.к. каждая SA – это однонаправленное соединение, а данные необходимо передавать в двух направлениях. Полученные пары SA хранятся на каждом узле.

Так как каждый узел способен устанавливать несколько туннелей с другими узлами, каждый SA имеет уникальный номер, позволяющий определить, к какому узлу он относится. Этот номер называется SPI (Security Parameter Index) или индекс параметра безопасности.

SA храняться в базе данных (БД) SAD (Security Association Database).

Каждый узел IPSec также имеет вторую БД – SPD (Security Policy Database) – БД политики безопасности. Она содержит настроенную политику узла. Большинство VPN-решений разрешают создание нескольких политик с комбинациями подходящих алгоритмов для каждого узла, с которым нужно установить соединение.

Гибкость IPSec состоит в том, что для каждой задачи предлагается несколько способов ее решения, и методы, выбранные для одной задачи, обычно не зависят от методов реализации других задач. Вместе с тем, рабочая группа IETF определила базовый набор поддерживаемых функций и алгоритмов, который должен быть однотипно реализован во всех продуктах, поддерживающих IPSec. Механизмы AH и ESP могут использоваться с различными схемами аутентификации и шифрования, некоторые из которых являются обязательными. Например, в IPSec определяется, что пакеты аутентифицируются либо с помощью односторонней функции MD5, либо с помощью односторонней функции SHA-1, а шифрование осуществляется с использованием алгоритма DES. Производители продуктов, в которых работает IPSec, могут добавлять другие алгоритмы аутентификации и шифрования. Например, некоторые продукты поддерживают такие алгоритмы шифрования, как 3DES, Blowfish, Cast, RC5 и др.

Для шифрования данных в IPSec может быть применен любой симметричный алгоритм шифрования, использующий секретные ключи.

Протоколы защиты передаваемого потока (AH и ESP) могут работать в двух режимах – в транспортном режиме и в режиме туннелирования. При работе в транспортном режиме IPsec работает только с информацией транспортного уровня, т.е. шифруется только поле данных пакета, содержащего протоколы TCP / UDP (заголовок IP-пакета не изменяется (не шифруется)). Транспортный режим, как правило, используется для установления соединения между хостами.

В режиме туннелирования шифруется весь IP-пакет, включая заголовок сетевого уровня. Для того чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищённый IP-туннель. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети (схема подключения "хост-сеть") или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети (схема подключения "сеть-сеть").

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие – туннельный.

На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета. При этом предполагается, что оба узла знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован.

В режиме транспорта AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:

AH в режиме транспорта защищает IP-заголовок (за исключением полей, для которых разрешены изменения) и полезные данные в исходном IP-пакете (рисунок 3.39).

В туннельном режиме исходный пакет помещается в новый IP-пакет, и передача данных выполняется на основании заголовка нового IP-пакета.

Для туннельного режима AH при выполнении расчета в контрольную сумму ICV включаются следующие компоненты:

Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:

Туннельный и транспортный режимы работы протокола АН


увеличить изображение

Рис. 6.10.  Туннельный и транспортный режимы работы протокола АН

В режиме транспорта ESP аутентифицирует не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-пакет сразу после заголовка IP, а окончание ESP (ESP Trailer), соответственно, добавляется после данных.

Режим транспорта ESP шифрует следующие части пакета:

Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации IV (Initialization Vector) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения вектора инициализации, он охраняется контрольной суммой ICV. В этом случае ICV выполняет следующие расчеты:

Туннельный режим ESP инкапсулирует весь исходный IP-пакет в заголовок нового IP, заголовок ESP и ESP Trailer. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50, причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP область аутентификации IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. Исходный заголовок помещается после заголовка ESP. После того, как зашифрованная часть инкапсулируется в новый туннельный заголовок, который не зашифровывается, осуществляется передача IP-пакета. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей сети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер, находящийся во внутренней сети. Режим туннелирования ESP шифрует следующие части пакета:

Туннельный и транспортный режим протокола ESP


увеличить изображение

Рис. 6.11.  Туннельный и транспортный режим протокола ESP

Комитет IETF по протоколу IPSec не рекомендует использовать только AH, т.к. он не обеспечивает должного уровня безопасности при передаче данных по незащищенной сети Интернет.

Сравнение протоколов ESP и AH


увеличить изображение

Рис. 6.12.  Сравнение протоколов ESP и AH

Резюме по применению режимов IPSec:

При создании политики, как правило, возможно создание упорядоченного списка алгоритмов и Diffie-Hellman групп. Diffie-Hellman (DH) – протокол шифрования, используемый для установления общих секретных ключей для IKE, IPSec и PFS (Perfect Forward Secrecy – совершенная прямая секретность). В таком случае будет использована первая позиция, совпавшая на обоих узлах. Очень важно, чтобы всё в политике безопасности позволяло добиться этого совпадения. Если за исключением одной части политики всё остальное совпадает, узлы всё равно не смогут установить VPN-соединение. При настройке VPN-туннеля между различными системами нужно выяснить, какие алгоритмы поддерживаются каждой стороной, чтобы была возможность выбора наиболее безопасной политики из всех возможных.

Основные настройки, которые включает в себя политика безопасности:

  1. Симметричные алгоритмы для шифрования/дешифрования данных.
  2. Криптографические контрольные суммы для проверки целостности данных.
  3. Способ идентификации узла. Самые распространенные способы – это предустановленные ключи (pre-shared secrets) или СА-сертификаты.
  4. Использовать ли режим туннеля или режим транспорта.
  5. Какую использовать группу Diffie-Hellman (DH group 1 (768-bit); DH group 2 (1024-bit); DH group 5 (1536-bit)).
  6. Использовать ли AH, ESP, или оба вместе.
  7. Использовать ли PFS.

Ограничением IPSec является то, что он поддерживает только передачу данных на уровне протокола IP.

Существуют две основные схемы применения IPSec, отличающиеся ролью узлов, образующих защищенный канал.

В первой схеме защищенный канал образуется между конечными хостами сети. В этой схеме протокол IPSec защищает тот узел, на котором выполняется:

Создание защищенного канала между двумя конечными точками


Рис. 6.13.  Создание защищенного канала между двумя конечными точками

Во второй схеме защищенный канал устанавливается между двумя шлюзами безопасности. Эти шлюзы принимают данные от конечных хостов, подключенных к сетям, расположенным за шлюзами. Конечные хосты в этом случае не поддерживают протокол IPSec, трафик, направляемый в публичную сеть, проходит через шлюз безопасности, который выполняет защиту от своего имени.

Создание защищенного канала между двумя шлюзами


увеличить изображение

Рис. 6.14.  Создание защищенного канала между двумя шлюзами

Для хостов, поддерживающих IPSec, возможно использование как транспортного, так и туннельного режимов. Для шлюзов разрешается использование только туннельного режима.

Установка и поддержка VPN

Как упоминалось выше, установка и поддержка VPN-туннеля выполняется в два этапа. На первом этапе (фазе) два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie-Hellman. Они также идентифицируют друг друга. Всё это может пройти в результате обмена тремя нешифрованными сообщениями (т.н. агрессивный режим, Aggressive mode) или шестью сообщениями, с обменом зашифрованной информацией об идентификации (стандартный режим, Main mode).

В режиме Main Mode обеспечивается возможность согласований всех параметров конфигурации устройств отправителя и получателя, в то время как в режиме Aggressive Mode такой возможности нет, и некоторые параметры (группа Diffie-Hellman, алгоритмы шифрования и аутентификации, PFS) должны быть заранее одинаково настроены на каждом устройстве. Однако, в данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec.

Обмен сообщениями в стандартном (а) и агрессивном (б) режимах


увеличить изображение

Рис. 6.15.  Обмен сообщениями в стандартном (а) и агрессивном (б) режимах

Предполагая, что операция завершилась успешно, создаётся SA первой фазы – Phase 1 SA (также называемый IKE SA) и процесс переходит ко второй фазе.

На втором этапе генерируются данные ключей, узлы договариваются об используемой политике. Этот режим, также называемый быстрым режимом (Quick mode), отличается от первой фазы тем, что может установиться только после первого этапа, когда все пакеты второй фазы шифруются. Правильное завершение второй фазы приводит к появлению Phase 2 SA или IPSec SA и на этом установка туннеля считается завершённой.

Сначала на узел прибывает пакет с адресом назначения в другой сети, и узел инициирует первую фазу с тем узлом, который отвечает за другую сеть. Допустим, туннель между узлами был успешно установлен и ожидает пакеты. Однако узлам необходимо переидентифицировать друг друга и сравнить политику по прошествие определённого периода времени. Этот период называется время жизни Phase One или IKE SA lifetime.

Узлы также должны сменить ключ для шифрования данных через отрезок времени, который называется временем жизни Phase Two или IPSec SA lifetime.

Phase Two lifetime короче, чем у первой фазы, т.к. ключ необходимо менять чаще. Нужно задать одинаковые параметры времени жизни для обоих узлов. Если не выполнить этого, то возможен вариант, когда изначально туннель будет установлен успешно, но по истечении первого несогласованного промежутка времени жизни связь прервётся. Проблемы могут возникнуть и в том случае, когда время жизни первой фазы меньше аналогичного параметра второй фазы. Если настроенный ранее туннель прекращает работу, то первое, что нуждается в проверке – это время жизни на обоих узлах.

Еще следует отметить, что при смене политики на одном из узлов изменения вступят в силу только при следующем наступлении первой фазы. Чтобы изменения вступили в силу немедленно, надо убрать SA для этого туннеля из базы данных SAD. Это вызовет пересмотр соглашения между узлами с новыми настройками политики безопасности.

Иногда при настройке IPSec-туннеля между оборудованием разных производителей возникают затруднения, связанные с согласованием параметров при установлении первой фазы. Следует обратить внимание на такой параметр, как Local ID – это уникальный идентификатор конечной точки туннеля (отправителя и получателя). Особенно это важно при создании нескольких туннелей и использовании протокола NAT Traversal.

Dead Peer Detection

В процессе работы VPN, при отсутствии трафика между конечными точками туннеля, или при изменении исходных данных удалённого узла (например, смена динамически назначенного IP-адреса), может возникнуть ситуация, когда туннель по сути таковым уже не является, становясь как бы туннелем-призраком. Для того чтобы поддерживать постоянную готовность к обмену данными в созданном IPSec-туннеле, механизм IKE (описанный в RFC 3706) позволяет контролировать наличие трафика от удалённого узла туннеля, и в случае его отсутствия на протяжении установленного времени, посылается hello- сообщение (в межсетевых экранах D-Link посылается сообщение "DPD-R-U-THERE"). При отсутствии ответа на это сообщение в течение определённого времени, в межсетевых экранах D-Link заданного настройками "DPD Expire Time", туннель демонтируется. Межсетевые экраны D-Link после этого, используя настройки "DPD Keep Time" (рис. 6.18), автоматически пытаются восстановить туннель.

Протокол NAT Traversal

IPsec-трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но так как маршрутизатор не всегда может извлечь информацию, характерную для протоколов транспортного уровня, то прохождение IPsec через NAT-шлюзы невозможно. Как упоминалось ранее, для решения этой проблемы IETF определила способ инкапсуляции ESP в UDP, получивший название NAT-T (NAT Traversal).

Протокол NAT Traversal инкапсулирует трафик IPSec и одновременно создает пакеты UDP, которые NAT корректно пересылает. Для этого NAT-T помещает дополнительный заголовок UDP перед пакетом IPSec, чтобы он во всей сети обрабатывался как обычный пакет UDP и хост получателя не проводил никаких проверок целостности. После поступления пакета по месту назначения заголовок UDP удаляется, и пакет данных продолжает свой дальнейший путь как инкапсулированный пакет IPSec. Таким образом, с помощью механизма NAT-T возможно установление связи между клиентами IPSec в защищённых сетях и общедоступными хостами IPSec через межсетевые экраны.

При настройке межсетевых экранов D-Link в устройстве-получателе нужно отметить два пункта:

Local ID может быть одним из:

IPSec в межсетевых экранах D-Link

Межсетевые экраны NetDefend позволяют создавать IPSec-туннели на основе IKE-ключей и сертификатов.

Создание IPSec-туннеля между двумя межсетевыми экранами NetDefend


увеличить изображение

Рис. 6.16.  Создание IPSec-туннеля между двумя межсетевыми экранами NetDefend

Использование ключей (Pre-Shared Key)

При минимальных настройках для работы VPN-сервера необходимо:

Использование сертификатов (Certificates)

Сертификаты X.509 базируются на методе шифрования с открытым ключом. Каждый сертификат наряду с другой информацией (сроком действия, именем владельца и т.п.) содержит публичный ключ. Секретный ключ владелец сохраняет в отдельном файле.

Сертификаты подписываются центром Certificate Authority (CA), что позволяет подтвердить подлинность сертификата, информации, содержащейся в сертификате и, в конечном итоге, удаленного хоста. Подлинность CA проверяется в соответствии с его свидетельством, которое является общедоступным.

Сертификаты являются цифровым подтверждением личности и могут быть использованы для аутентификации индивидуальных пользователей или других конечных пользователей. Для установки VPN-туннеля с аутентификацией по сертификатам межсетевому экрану необходимо иметь собственный сертификат и сертификат удаленного межсетевого экрана. Эти сертификаты могут быть либо самоподписанными, либо подписаны центром сертификации (CA).

При установке VPN-туннеля межсетевой экран должен знать, кому он должен доверять. При использовании заранее распределенных ключей все просто. Межсетевой экран доверяет всем, у кого есть такой же ключ. В случае использования сертификатов межсетевой экран должен доверять всем, чей сертификат подписан данным CA. Прежде чем сертификат будет принят, выполняются следующие действия для проверки подлинности сертификата:

Обычно VPN-туннель устанавливается, если сертификат удаленного узла, подписанный CA, представлен в поле Root certificates во вкладке Authentication в меню созданного VPN-туннеля. Однако в некоторых случаях возникает необходимость ограничить тех, кто может устанавливать VPN-туннель даже среди узлов, подписанных тем же CA. Список личностей может быть выбран в поле Identification List. Если список IKE ID List настроен, межсетевой экран сверяет личность удаленного узла, устанавливающего соединение, с этим списком и VPN-туннель открывается, только если совпадение было найдено.

Шаги по созданию IPSec-туннеля с использованием сертификатов аналогичны созданию туннеля с ключами, только вместо объекта с ключами создается объект с сертификатами.

Создание объекта с использованием сертификатов в межсетевых экранах NetDefend


увеличить изображение

Рис. 6.17.  Создание объекта с использованием сертификатов в межсетевых экранах NetDefend

Дополнительные параметры

Дополнительные параметры VPN-туннеля используются, когда необходимо изменить некоторые свойства туннеля (в папке Interfaces → IPSec):

L2TP over IPSec

При выборе протокола PPTP или L2TP over IPSec для VPN-решения удаленного доступа следует принять во внимание следующее.

Инкапсуляция пакетов L2TP over IPSec выполняется на двух уровнях:

Первый уровень: инкапсуляция L2TP – к PPP-кадру добавляются заголовки L2TP и UDP.

Второй уровень: инкапсуляция IPSec – к получившемуся сообщению L2TP добавляются заголовок и окончание поля ESP-протокола (Encapsulating Security Payload) IPSec, окончание проверки подлинности IPSec, который обеспечивает целостность и проверку подлинности сообщения, а также IP-заголовок. В IP-заголовке содержатся исходный и конечный IP-адреса, соответствующие VPN-клиенту и VPN-серверу.

Структура данных для пересылки по туннелю L2TP over IPSec (транспортный режим)


увеличить изображение

Рис. 6.22.  Структура данных для пересылки по туннелю L2TP over IPSec (транспортный режим)

Лекция 7. Технология преобразования сетевых адресов, механизмы PAT и NAT

Технология преобразования сетевых адресов (NAT)

Ещё одним механизмом, позволяющим поддерживать сетевую безопасность, является технология NAT.

NAT (Network Address Translation – преобразование сетевых адресов) – это механизм в сетях TCP/IP, позволяющий преобразовывать IP-адреса транзитных пакетов. Механизм NAT описан в RFC 1631, RFC 3022.

Преобразование адресов методом NAT может производиться почти любым маршрутизирующим устройством – Интернет-маршрутизатором, сервером доступа, межсетевым экраном. Наиболее популярным является Source NAT (SNAT), суть механизма которого состоит в замене адреса источника (source) при прохождении пакета в одну сторону и обратной замене адреса назначения (destination) в ответном пакете. Наряду с адресами источника/назначения могут также заменяться номера портов источника и назначения.

Помимо SNAT, т.е. предоставления пользователям локальной сети с внутренними адресами доступа к сети Интернет, часто применяется также Destination NAT, когда обращения извне транслируются межсетевым экраном на сервер в локальной сети, имеющий внутренний адрес и потому недоступный из внешней сети непосредственно (без NAT).

На рисунках ниже приведен пример действия механизма NAT.

Подключение одного компьютера с доступом в Интернет


Рис. 7.1.  Подключение одного компьютера с доступом в Интернет

Пользователь корпоративной сети отправляет запрос в Интернет, который поступает на внутренний интерфейс маршрутизатора, сервер доступа или межсетевого экрана (устройство NAT).

Объединение нескольких компьютеров в локальную сеть c доступом в Интернет


увеличить изображение

Рис. 7.2.  Объединение нескольких компьютеров в локальную сеть c доступом в Интернет

Устройство NAT получает пакет и делает запись в таблице отслеживания соединений, которая управляет преобразованием адресов.

Запись в таблице соединений


увеличить изображение

Рис. 7.3.  Запись в таблице соединений

Затем подменяет адрес источника пакета собственным внешним общедоступным IP-адресом и посылает пакет по месту назначения в Интернет.

Преобразование адресов при использовании функции NAT


увеличить изображение

Рис. 7.4.  Преобразование адресов при использовании функции NAT

Узел назначения получает пакет и передает ответ обратно устройству NAT.

Принятие запроса сервером и отправка ответа


увеличить изображение

Рис. 7.5.  Принятие запроса сервером и отправка ответа

Устройство NAT, в свою очередь, получив этот пакет, отыскивает отправителя исходного пакета в таблице отслеживания соединений, заменяет IP-адрес назначения на соответствующий частный IP-адрес и передает пакет на исходный компьютер. Поскольку устройство NAT посылает пакеты от имени всех внутренних компьютеров, оно изменяет исходный сетевой порт и данная информация хранится в таблице отслеживания соединений.

Преобразование адресов при использовании функции NAT


увеличить изображение

Рис. 7.6.  Преобразование адресов при использовании функции NAT

Существует 3 базовых концепции трансляции адресов:

Статический NAT отображает локальные IP-адреса на конкретные публичные адреса на основании один к одному. Применяется, когда локальный хост должен быть доступен извне с использованием фиксированных адресов.

Динамический NAT отображает набор частных адресов на некое множество публичных IP-адресов. Если число локальных хостов не превышает число имеющихся публичных адресов, каждому локальному адресу будет гарантироваться соответствие публичного адреса. В противном случае, число хостов, которые могут одновременно получить доступ во внешние сети, будет ограничено количеством публичных адресов.

Маскарадный NAT (NAPT, NAT Overload, PAT, маскарадинг) – форма динамического NAT, который отображает несколько частных адресов в единственный публичный IP-адрес, используя различные порты. Известен также как PAT (Port Address Translation).

Механизмов взаимодействия внутренней локальной сети с внешней общедоступной сетью может быть несколько – это зависит от конкретной задачи по обеспечению доступа во внешнюю сеть и обратно и прописывается определенными правилами. Определены 4 типа трансляции сетевых адресов:

В первых трех типах NAT для взаимодействия разных IP-адресов внешней сети с адресами из локальной сети используется один и тот же внешний порт. Четвертый тип – симметричный – для каждого адреса и порта использует отдельный внешний порт.

При использовании NAT, работающему по типу Full Cone, внешний порт устройства (маршрутизатора, сервера доступа, межсетевого экрана) открыт для приходящих с любых адресов запросов. Если пользователю из Интернета нужно отправить пакет клиенту, расположенному за NAT’ом, то ему необходимо знать только внешний порт устройства, через который установлено соединение. Например, компьютер за NAT’ом с IP-адресом 192.168.0.4 посылает и получает пакеты через порт 8000, которые отображаются на внешний IP-адрес и порт, как 10.1.1.1:12345. Пакеты из внешней сети приходят на устройство с IP-адресом:портом 10.1.1.1:12345 и далее отправляются на клиентский компьютер 192.168.0.4:8000.

Во входящих пакетах проверяется только транспортный протокол; адрес и порт назначения, адрес и порт источника значения не имеют.

Использование NAT Full Cone


увеличить изображение

Рис. 7.7.  Использование NAT Full Cone

При использовании NAT, работающему по типу Restricted Cone, внешний порт устройства (маршрутизатора, сервера доступа, межсетевого экрана) открыт для любого пакета, посланного с клиентского компьютера, в нашем примере: 192.168.0.4:8000. А пакет, пришедший из внешней сети (например, от компьютера 172.16.0.5:4000) на устройство с адресом:портом 10.1.1.1:12345, будет отправлен на компьютер 192.168.0.4:8000 только в том случае, если 192.168.0.4:8000 предварительно посылал запрос на IP-адрес внешнего хоста ( в нашем случае – на компьютер 172.16.0.5:4000). То есть, маршрутизатор будет транслировать входящие пакеты только с определенного адреса источника (в нашем случае компьютер 172.16.0.5:4000), но номер порта источника при этом может быть любым. В противном случае, NAT блокирует пакеты, пришедшие с хостов, на которые 192.168.0.4:8000 не отправлял запроса.

Использование NAT Restricted Cone


увеличить изображение

Рис. 7.8.  Использование NAT Restricted Cone

Механизм NAT Port Restricted Cone почти аналогичен механизму NAT Restricted Cone. Только в данном случае NAT блокирует все пакеты, пришедшие с хостов, на которые клиентский компьютер 192.168.0.4:8000 не отправлял запроса по какому-либо IP-адресу и порту. Mаршрутизатор обращает внимание на соответствие номера порта источника и не обращает внимания на адрес источника. В нашем примере маршрутизатор будет транслировать входящие пакеты с любым адресом источника, но порт источника при этом должен быть 4000. Если клиент отправил запросы во внешнюю сеть к нескольким IP-адресам и портам, то они смогут посылать пакеты клиенту на IP-адрес:порт 10.1.1.1:12345.

Symmetric NAT существенно отличается от первых трех механизмов способом отображения внутреннего IP-адреса:порта на внешний адрес:порт. Это отображение зависит от IP-адреса:порта компьютера, которому предназначен посланный запрос. Например, если клиентский компьютер 192.168.0.4:8000 посылает запрос компьютеру №1 (172.16.0.5:4000), то он может быть отображен как 10.1.1.1:12345, в тоже время, если он посылает с того же самого порта (192.168.0.4:8000) на другой IP-адрес, он отображается по-другому (10.1.1.1:12346).

Компьютер №1 (172.16.0.5:4000) может отправить пакет только на 10.1.1.1:12345, а компьютер №2 (169.10.2.8:6000) – только на 10.1.1.1:12346. Если любой из них попытается отправить пакеты на порт, с которого он не получал запроса, NAT заблокирует данные пакеты.

Внешний IP-адрес:порт открыт только тогда, когда клиентский компьютер отправляет данные во внешнюю сеть по определенному адресу:порту.

Использование Symmetric NAT


увеличить изображение

Рис. 7.9.  Использование Symmetric NAT

NAT выполняет три важных функции.

  1. Позволяет сэкономить IP-адреса, транслируя несколько внутренних IP-адресов в один внешний публичный IP-адрес (или в несколько, но меньшим количеством, чем внутренних). По такому принципу построено большинство сетей в мире: на небольшой район домашней сети местного провайдера или на офис выделяется 1 публичный (внешний) IP-адрес, за которым работают и получают доступ интерфейсы с частными (внутренними) IP-адресами.
  2. Позволяет предотвратить или ограничить обращение снаружи к внутренним хостам, оставляя возможность обращения из внутренней сети во внешнюю. При инициации соединения изнутри сети создаётся трансляция. Ответные пакеты, поступающие снаружи, соответствуют созданной трансляции и поэтому пропускаются. Если для пакетов, поступающих из внешней сети, соответствующей трансляции не существует (а она может быть созданной при инициации соединения или статической), они не пропускаются.
  3. Позволяет скрыть определённые внутренние сервисы внутренних хостов/серверов. По сути, выполняется та же указанная выше трансляция на определённый порт, но возможно подменить внутренний порт официально зарегистрированной службы (например, 80-й порт TCP (HTTP-сервер) на внешний 54055-й). Тем самым, снаружи, на внешнем IP-адресе после трансляции адресов на сайт (или форум) для осведомлённых посетителей можно будет попасть по адресу http://dlink.ru:54055, но на внутреннем сервере, находящимся за NAT, он будет работать на обычном 80-м порту.

Однако следует упомянуть и о недостатках данной технологии:

  1. Не все протоколы могут "преодолеть" NAT. Некоторые не в состоянии работать, если на пути между взаимодействующими хостами есть трансляция адресов. Опеределенные межсетевые экраны, осуществляющие трансляцию IP-адресов, могут исправить этот недостаток, соответствующим образом заменяя IP-адреса не только в заголовках IP, но и на более высоких уровнях (например, в командах протокола FTP).
  2. Из-за трансляции адресов "много в один" появляются дополнительные сложности с идентификацией пользователей и необходимость хранить полные логи трансляций.
  3. Атака DoS со стороны узла, осуществляющего NAT – если NAT используется для подключения многих пользователей к одному и тому же сервису, это может вызвать иллюзию DoS-атаки на сервис (множество успешных и неуспешных попыток). Например, избыточное количество пользователей ICQ за NAT приводит к проблеме с подключением к серверу некоторых пользователей из-за превышения допустимой скорости подключений.

Механизмы PAT и NAT

У этой технологии есть множество названий – это и трансляция адрес/порта, и "проброс" портов, и перенаправление портов, и "порт-форвардинг/порт-маппинг", и сокращенные DNAT/PAT. Но с любым названием открытие портов просто необходимо для тех, кто хочет показать свой сервер из-за стены под названием NAT.

Virtual Servers

Фунция Virtual Servers в Интернет-маршрутизаторах D-Link обеспечивает перенаправление запросов пользователей из внешней сети (например, Интернета) на определенный порт маршрутизатора во внутреннюю сеть на IP-адрес сервера.

Виртуальные серверы (Virtual Servers) – это дополнительная возможность Интернет-маршрутизаторов, предназначенная для предоставления доступа пользователям из Интернета к внутренним ресурсам, например к почтовым серверам, WWW, FTP и т.д. Виртуальными они называются потому, что доступ к этим серверам происходит по внешнему (реальному) адресу маршрутизатора, но фактически обращение транслируется на заданный в настройках адрес во внутренней сети. Причем из Интернета могут обращаться к внешнему адресу для получения доступа, например, к FTP и WWW-серверам, физически же эти серверы могут быть на разных компьютерах во внутренней сети.

Сервер можно выбрать из выпадающего меню, либо прописать вручную (рис. 7.10). Номера публичного и частного портов можно использовать либо уже известные (привязанные к определенным службам и приложениям), либо назначать в соответствии с требованиями политики сетевого администратора.

Использование функции Virtual Server на примере маршрутизатора DIR-615


увеличить изображение

Рис. 7.10.  Использование функции Virtual Server на примере маршрутизатора DIR-615

Port Forwarding

Данная функция используется для открытия нескольких портов (например: 80,68,888) или диапазона портов (например, 100-150) маршрутизатора и перенаправления данных из внешней сети через эти порты к определенному IP-адресу компьютера (сервера) во внутренней сети.

Использование функции Port Forwarding на примере маршрутизатора DIR-857


увеличить изображение

Рис. 7.11.  Использование функции Port Forwarding на примере маршрутизатора DIR-857

DMZ

Иногда, в случае использования домашних (SOHO) маршрутизаторов, возможность проброса портов, т.е. осуществления трансляции пришедшего из внешней сети запроса на какой-либо порт маршрутизатора на указанный хост внутренней сети, подразумевается технология DMZ.

DMZ (Demilitarized Zone – демилитаризованная зона) – Технология обеспечения безопасности внутренней сети при предоставлении доступа внешних пользователей к определенным ресурсам внутренней сети (таким как почтовые, WWW-, FTP-серверы и др.). При применении данной технологии серверы, отвечающие на запросы из внешней сети, находятся в особом сегменте сети (который и называется DMZ), а доступ к основным ресурсам сети ограничен с помощью межсетевого экрана (firewall). В отличие от функции "Virtual Servers", когда отображается только один порт, в данном случае запрос извне на любой порт внешнего, например, WAN- или Internet-интерфейса отображается на такой же порт компьютера или сервера, указанного в настройках DMZ. То есть, все открытые порты на этом компьютере (сервере) доступны снаружи.

Это может создать угрозу безопасности для данного компьютера (сервера), поэтому на нем необходимо установить программный межсетевой экран для защиты от атак.

Использование функции DMZ на примере маршрутизатора DIR-857


Рис. 7.12.  Использование функции DMZ на примере маршрутизатора DIR-857

Функция DMZ в маршрутизаторах D-Link несколько отличается от аналогичной функции в аппаратном решении межсетевых экранов D-Link. В аппаратных межсетевых экранах настраивается отдельный физический порт DMZ с возможностью использования DMZ-интерфейса в правилах конфигурации. В маршрутизаторах же нет выделенного физического порта, а функция DMZ настраивается по IP-адресу хоста, находящемуся в локальной сети (LAN).

Использование технологии DMZ на межсетевых экранах D-Link


Рис. 7.13.  Использование технологии DMZ на межсетевых экранах D-Link

В зависимости от требований к безопасности, DMZ может организовываться одним, двумя или тремя межсетевыми экранами.

Простейшей (и наиболее распространённой) схемой является схема, в которой DMZ, внутренняя и внешняя сеть подключаются к разным портам Интернет-маршрутизатора (выступающего в роли межсетевого экрана), контролирующего соединения между сетями. Подобная схема проста в реализации, требует всего лишь одного дополнительного порта. Однако в случае взлома (или ошибки конфигурирования) маршрутизатора сеть оказывается уязвима напрямую из внешней сети.

В конфигурации с двумя межсетевыми экранами, DMZ подключается к двум маршрутизаторам, один из которых ограничивает соединения из внешней сети в DMZ, а второй контролирует соединения из DMZ во внутреннюю сеть. Подобная схема позволяет минимизировать последствия взлома любого из межсетевых экранов или серверов, взаимодействующих с внешней сетью – до тех пор, пока не будет взломан внутренний межсетевой экран, злоумышленник не будет иметь произвольного доступа к внутренней сети, а взлом внутреннего межсетевого экрана не возможен без взлома внешнего межсетевого экрана.

Схема с двумя межсетевыми экранами может быть организована как с общим подключением (когда между внешним и внутренним МСЭ есть соединение), так и с раздельным (когда сервера имеют два сетевых порта, один из которых связан с внешним межсетевым экраном, а второй с внутренним). В последнем случае прямое взаимодействие между внешним и внутренним межсетевыми экранами отсутствует.

Существует редкая конфигурация с тремя межсетевыми экранами. В этой конфигурации первый из них принимает на себя запросы из внешней сети, второй контролирует сетевые подключения DMZ, а третий – контролирует соединения внутренней сети. В подобной конфигурации обычно DMZ и внутренняя сеть скрываются за NAT.

Одной из ключевых особенностей DMZ является не только фильтрация трафика на внутреннем межсетевом экране, но и требование обязательной сильной криптографии при взаимодействии между активным оборудованием внутренней сети и DMZ. В частности, не должно быть ситуаций, в которых возможна обработка запроса от сервера в DMZ без авторизации. В случае если DMZ используется для обеспечения защиты информации внутри периметра от утечки информации изнутри, аналогичные требования предъявляются для обработки запросов пользователей из внутренней сети.

Прозрачный режим (Transparent mode)

В прозрачном режиме межсетевой экран (или маршрутизатор, поддерживающий данный режим) не осуществляет маршрутизацию, а просто изучает MAC-адреса на всех своих интерфейсах подобно коммутатору, и при этом позволяет проводить фильтрацию трафика на уровне L2. Режим NAT в данном случае не поддерживается.

Прозрачный режим позволяет устанавливать межсетевые экраны NetDefendOS D-Link в любое место сети без изменения ее конфигурации и без уведомления пользователей о работе межсетевого экрана. И внешний, и внутренний интерфейсы DFL могут принадлежать одной сети. Функционал NetDefendOS предоставляет возможность контроля и анализа за изменением сетевого трафика, также может разрешать или запрещать доступ к различным сервисам (например, HTTP) и ссылкам. Пакеты, поступающие на DFL, будут перенаправлены на необходимый сетевой интерфейс с учетом настроенных политик безопасности.

Прозрачный режим для LAN- и WAN-интерфейсов


увеличить изображение

Рис. 7.14.  Прозрачный режим для LAN- и WAN-интерфейсов

При использовании межсетевых экранов D-Link, работающих в прозрачном режиме, значительно увеличивается безопасность передачи данных по сетям авторизованных пользователей. Однако необходимо отметить, что применение данного режима не допускает прохождение широковещательного трафика через устройство.

Межсетевой экран NetDefend может работать в двух режимах: режим маршрутизации, использующий некоммутируемые маршруты и прозрачный режим, использующий коммутируемые маршруты.

При использовании некоммутируемых маршрутов межсетевой экран NetDefend работает как маршрутизатор и использует маршрутизацию на 3 уровне модели OSI. Если межсетевой экран размещен в сети впервые или если изменилась топология сети, то конфигурация маршрутизации должна быть проверена на совместимость таблицы маршрутизации с новой топологией. Новая настройка IP-параметров может потребоваться для уже существующих маршрутов и защищенных сервисов.

При использовании коммутируемых маршрутов межсетевой экран NetDefend работает в прозрачном режиме как коммутатор 2 уровня модели OSI, в котором фильтры передают IP-пакеты к нужному интерфейсу без изменения информации об интерфейсах источника или назначения на IP- или Ethernet-уровне. Это достигается за счет того, что система NetDefendOS сохраняет MAC-адреса узлов и позволяет физическим Ethernet-подсетям функционировать в роли отдельных логических IP-сетей.

Коммутируемые маршруты (Switch Routes)

Прозрачный режим позволяет устанавливать коммутируемые маршруты вместо стандартных в таблицах маршрутизации. Такие маршруты обычно используются во всех сетях, где встречается специальный интерфейс (например, если нужно объединить DMZ-интерфейс и LAN-интерфейс в общую локальную сеть).

При подключении к Ethernet-сети с коммутируемыми маршрутами, в отличие от подключений с некоммутируемыми, система NetDefend обменивается ARP-сообщениями для идентификации и дальнейшего хранения IP-адресов соединенных интерфейсов.

Иногда в коммутируемых маршрутах вместо all-nets можно указывать диапазон сети, это применяется в том случае, если сеть разделена между двумя интерфейсами и администратор не знает, к какому интерфейсу принадлежит пользователь.

Существует возможность объединения обоих режимов – прозрачного и режима маршрутизации – на одном межсетевом экране. Коммутируемые маршруты можно определить одновременно с некоммутируемыми, но на разных интерфейсах.

Объединение двух различных интерфейсов в одну сеть


увеличить изображение

Рис. 7.15.  Объединение двух различных интерфейсов в одну сеть

Рассмотрим на примерах варианты использования прозрачного режима:

  1. Обеспечение конфиденциальности между пользователями.

    Предприятиям необходимо разделить подсети между разными отделами. Отделу финансов разрешить доступ к ограниченным наборам сервисов (например, HTTP) технического отдела, в то же время техническому отделу может потребоваться доступ к определенным сервисам финансового отдела. При использовании одного межсетевого экрана NetDefend можно решить данную задачу, применив прозрачный (но управляемый) режим работы межсетевого экрана NetDefend.

  2. Управление доступом в Интернет.

    Такая организация сети позволяет проходить трафику между Интернетом и определенным диапазоном публичных IP-адресов внутренней сети. При использовании прозрачного режима можно контролировать сервисы и ссылки, к которым обращаются эти адреса. Например, в такой ситуации можно разрешить только HTTP-сервис для доступа к Интернету.

Как работает прозрачный режим?

При использовании прозрачного режима система NetDefendOS позволяет ARP-транзакциям проходить через межсетевой экран NetDefend и на основании этого ARP-трафика определяет отношения между IP-адресами, физическими адресами и интерфейсами. NetDefendOS сохраняет информацию об этих адресах для дальнейшей передачи IP-пакетов. Межсетевой экран NetDefend не уведомляет пользователей о проведении ARP-транзакций.

При установке нового соединения хост определяет физический адрес назначения в ARP-запросе. Система NetDefendOS анализирует этот запрос, проводит на его основании внутреннюю транзакцию и передает ARP-запрос на все остальные интерфейсы (за исключением исходного) по коммутируемым маршрутам. Если в течение определенного времени система NetDefendOS получает ARP-ответ от интерфейса назначения, то анализируется запись о состоянии ARP-транзакции, на основании которой ARP-ответ передается интерфейсу источника.

Во время проведения ARP-транзакции система NetDefendOS изучает информацию об адресе источника, информация о котором записывается в две таблицы: CAM (Content Addressable Memory – контекстно-адресуемая память) и кэш 3 уровня. В таблице CAM хранятся MAC-адреса, доступные для данного интерфейса, а в кэш 3 уровня (применяется только для IP-трафика) заносится соответствие между IP-адресами и MAC-адресами.

Для каждого IP-пакета, проходящего через межсетевой экран NetDefend, осуществляется поиск маршрута. Если маршрут пакета соответствует коммутируемому маршруту или записи кэша 3 уровня в таблице маршрутизации, то система NetDefendOS обрабатывает пакет в прозрачном режиме. Если в маршруте доступны интерфейс назначения и MAC-адрес, то система NetDefendOS получает необходимую информацию для дальнейшей передачи пакета. Если маршрут соответствует коммутируемому маршруту и информация об интерфейсе назначения отсутствует, межсетевой экран сам ищет место назначения в сети.

Система NetDefendOS находит исходящие ARP-запросы так же, как ICMP-запросы (ping), которые действуют как инициация отправителя оригинального IP-пакета для интерфейсов назначения, указанных в коммутируемом маршруте. Если получен ARP-ответ, то система NetDefendOS обновляет CAM-таблицу и кэш 3 уровня и отправляет пакет к интерфейсу назначения.

При переполнении CAM-таблицы или кэша 3 уровня происходит автоматическая очистка таблиц и кэша.

Основные требования при конфигурации прозрачного режима:

Прозрачный режим при использовании DHCP

В большинстве сценариев использования прозрачного режима заранее определяется и фиксируется IP-адрес пользователей, и функция динамического распределения адресов DHCP не используется. Основное преимущество прозрачного режима заключается в том, что независимо от местонахождения пользователя система NetDefendOS определяет его IP-адрес через ARP-запросы и направляет трафик по заданным маршрутам.

Тем не менее, DHCP-сервер можно использовать при установке прозрачного режима для размещения IP-адресов пользователей. При Интернет-соединении распределять публичные IP-адреса может DHCP-сервер провайдера. В этом случае система NetDefendOS должна быть сконфигурирована, как DHCP Relayer, передающий DHCP-трафик между пользователями и DHCP-сервером.

Лекция 8. Функции IDP, WCF, AV и технология ZoneDefense

Функции IDP, WCF, AV

По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, капиталовложения в решения по сетевой информационной безопасности становятся все более значимыми. D-Link представляет ряд мощных решений для защиты сетей предприятий от разнообразных угроз.

Межсетевые экраны серии NetDefend учитывают растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусных угроз и повышению конфиденциальности информации. Каждый межсетевой экран этой серии обеспечивает высокий процент возврата инвестиций, благодаря поддержке широкого набора функций, гибкой настройке и высокому уровню защиты сети.

Межсетевые экраны NetDefend обладают следующими функциональными системами:

Система обнаружения и предотвращения атак (IDP)

В первой главе мы упоминали о таком явлении, как сетевая атака. Так называемый жизненный цикл сетевой атаки можно условно разделить на несколько этапов:

  1. анализ сети, позволяющий злоумышленнику определить потенциально уязвимые узлы в сети;
  2. определение используемых сервисов и приложений, используемых потенциальной "жертвой";
  3. из анализа используемых потенциальной "жертвой" атаки сервисов и приложений определение используемых (открытых) портов TCP / UDP;
  4. определение используемых операционных систем и их версий.

После анализа всей полученной информации злоумышленник может выполнять конкретные действия на наиболее уязвимые места системы.

Широко распространённые системы обнаружения вторжений IDS (Intrusion Detection System), используемые в межсетевых экранах, предназначены для обеспечения сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Как правило, механизм IDS основан на определённом шаблоне и выдаст сигнал тревоги в случае обнаружения необычного или атакующего трафика. Важно заметить, что системы подобные IDS не в состоянии остановить атаку, они лишь оповещают о ней.

Система предотвращения вторжений IPS (Intrusion Prevention Service) является системой сетевой профилактики нового поколения. Помимо возможностей IDS, в этой системе обеспечивается возможность блокировать или отбрасывать нежелательные пакеты. Тем самым предохраняя внутренние узлы информационной системы от действий вредоносного трафика.

Межсетевые экраны NetDefend используют уникальную технологию IPS – компонентные сигнатуры, которые позволяют распознавать и обеспечивать защиту как против известных, так и против неизвестных атак. В результате данные устройства помогают при атаках (реальных или потенциальных) значительно снизить влияние на такие важные аспекты, как полезная нагрузка, закрытая информация, а также предотвратить компьютерные вторжения и распространение вредоносных ПО. Встроенные базы данных сигнатур используются на основе технологии Component-based, которая эффективно предотвращает все наиболее известные виды атак. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных сайтах (например, National Vulnerability Database и BugTraq). Межсетевые экраны NetDefend обеспечивают высокую эффективность сигнатур IPS, постоянно создавая и оптимизируя сигнатуры NetDefend через D-Link Auto-Signature Sensor System. Эти сигнатуры обеспечивают высокую точность обнаружения сетевых атак при минимальном количестве ошибочных срабатываний. Сочетая в себе функции безопасности, высокой производительности и своевременного обновления сигнатур, данное решение способно остановить Интернет-угрозы прежде, чем они смогут нанести вред защищаемым узлам.

Термины IDS (Intrusion Detection System – система обнаружения вторжений), IDP (Intrusion Detection and Prevention – система обнаружения и предотвращения вторжений) и IPS (Intrusion Prevention System – система предотвращения вторжений) попеременно встречаются в материалах D-Link, но под этими терминами понимается метод IDP.

Обнаружение вторжений (Intrusion Detection)

Отличие вторжений от вирусных атак состоит в том, что вирус обычно содержится в отдельном загрузочном файле, который закачивается в систему пользователя, а вторжения проявляются, как образцы (шаблоны) вируса, нацеленные на поиск путей преодоления механизмов обеспечения безопасности. Такие угрозы встречаются довольно часто и постоянно развиваются, так как их создание может быть автоматизировано. IDP-правила системы NetDefend обеспечивают защиту от угроз такого типа.

Подсистема обнаружения и предотвращения Intrusion Detection and Prevention (IDP) системы NetDefend разработана для защиты против попыток вторжения. Контролируя сетевой трафик, проходящий через межсетевой экран, IDP определяет образцы (шаблоны) вируса, указывающие на то, что предпринято вторжение. Обнаружив вторжение один раз, NetDefendOS IDP нейтрализует все последующие вторжения этого типа и их источник (как саму атаку, так и ее источник).

Для построения эффективной и надежной IDP-системы необходимо решить следующие вопросы:

  1. Какой вид трафика следует анализировать?
  2. Что нужно искать в данном трафике?
  3. Какое действие должно выполняться при обнаружении вторжения?

Компоненты NetDefendOS IDP

Решение вышеперечисленных задач осуществляется за счет использования следующих механизмов:

Правила IDP (IDP Rules)

Компоненты правил

IDP-правила определяют, какой трафик или сервис нужно анализировать. Структура IDP-правил подобна структуре других политик безопасности системы NetDefendOS, например, IP-правил. IDP-правила определяют соответствие заданного интерфейса/адреса источника/получателя с объектом сервиса/протоколов. С IDP-правилами можно связать объект расписание.

ВНИМАНИЕ: IDP-правила определяют действие (Rule Action), которое следует предпринять при обнаружении вторжения во входящем трафике.

HTTP Normalization

Каждое правило IDP позволяет производить настройки процесса нормализации HTTP. Выбираются те условия, которые должны быть приняты при обнаружении IDP-несовместимости в URI (Uniform Resource Identifier – унифицированный идентификатор ресурса), встроенном в принятом запросе HTTP.

Условия URI, которые может детектировать IDP:

Настройка IDP-правил на межсетевых экранах D-Link


увеличить изображение

Рис. 8.1.  Настройка IDP-правил на межсетевых экранах D-Link

Первоначальная обработка пакета

Порядок обработки пакетов следующий:

  1. Входящий пакет принимается межсетевым экраном и NetDefendOS выполняет обычную проверку. Если пакет является частью нового соединения, то он проверяется IP-правилами перед прохождением к IDP-модулю. Если же пакет – часть существующего соединения, то он проходит прямо к IDP-системе. Если пакет не является частью существующего соединения или отклонен набором IP-правил, то он отбрасывается.
  2. Информация об источнике и получателе сравниваются с набором IDP-правил, установленных администратором. Если соответствие найдено, то пакет проходит на следующий уровень обработки IDP-правилами – Pattern Matching. Если же соответствие с заданными IDP-правилами не найдено, тогда пакет принимается и IDP-система не предпринимает никаких дальнейших действий, а пакет проверяется набором IP-правил, таких как переадресация и запись в журнал.

Проверка отброшенных пакетов

Данная опция предусмотрена в NetDefendOS IDP для просмотра вторжений во всем трафике, даже тех пакетов, которые были отклонены IP-правилами при новом соединении и пакетов, являющихся частью несуществующего соединения, что позволяет администратору обнаружить вторжение в любом трафике. Только с использованием этой опции IDP Rule Action регистрирует событие в журнале.

IDP-поиск соответствия с образцом (IDP Pattern Matching)

Сигнатуры

Для правильной идентификации вторжения IDP использует профиль признаков или образцов (шаблонов), связанных с различными типами атак. Определенные образцы вирусов и атак, известные как сигнатуры, хранятся в базе данных локальной системы NetDefendOS и используются IDP-модулем при анализе трафика. Каждая IDP-сигнатура имеет свой уникальный номер.

Приведем пример простой атаки с использованием FTP-сервера. Злоумышленник может восстановить файл пароля "passwd" от FTP-сервера, используя FTP-команду RETR passwd. Сигнатура, ищущая ASCII-текст RETR и passwd, найдет соответствие и укажет на возможное вторжение. В рассмотренном примере образец найден в открытом тексте, также соответствие с образцом определяется и при использовании двоичных данных.

Обнаружение неизвестных угроз

При создании вторжений за основу часто берется использовавшийся ранее код, что с большой скоростью порождает новые атаки. Для предотвращения атак такого типа D-Link использует метод, в котором модуль сканирует многократно используемые компоненты и сопоставляет их с образцом на соответствие.

Типы IDP сигнатур

IDP предлагает три типа сигнатур, различающиеся уровнем защиты от угроз:

Подписка на сервис IPS

Сервис My D-Link служит платформой регистрации и управления для всех клиентов D-Link. Для получения обновлений IPS-сигнатур клиентам D-Link необходимо зарегистрировать свой межсетевой экран через NetDefend Center My D-Link (http://security.dlink.com.tw). Здесь отображается текущее состояние всех зарегистрированных продуктов, включая названия моделей, МАС-адреса, серийные номера, даты регистрации и даты окончания обслуживания IPS. Благодаря данному сервису пользователи могут легко отслеживать статус всех зарегистрированных межсетевых экранов.

При подписке предусматривается автоматическое обновление сигнатур баз данных.

Через определенный интервал времени новые сигнатуры баз данных автоматически загружаются системой NetDefendOS через HTTP-соединение с сервером D-Link, на котором представлены все новейшие сигнатуры баз данных. Если сигнатуры баз данных с сервера имеют более позднюю версию, чем текущая локальная база данных, то загружаются новые базы, которые заменяют предыдущие.

Регистрация межсетевого экрана NetDefend на портале D-Link


увеличить изображение

Рис. 8.2.  Регистрация межсетевого экрана NetDefend на портале D-Link

После регистрации межсетевого экрана можно активировать сервисы NetDefend. Для этого пользователю нужно ввести код активации (Maintenance → License) для получения версии free trial на 90 дней или приобретения подписки на 12 месяцев. Для каждого сервиса NetDefend требуется свой собственный код.

Активация сервисов AV, IDP и WCF в межсетевом экране NetDefend


Рис. 8.3.  Активация сервисов AV, IDP и WCF в межсетевом экране NetDefend

Для моделей DFL-260E/860E/1660/2560 предусмотрены три опциональных (т.е. необязательных) сервиса – IPS, AV и WCF. Пользователь может приобрести в соответствии с требованиями либо один из трех сервисов, либо необходимую комбинацию.

Настройка корректного системного времени

Для автоматического обновления и корректной работы IDP-модуля необходимо установить правильное системное время. Некорректное время может привести к прерыванию автообновлений.

Обновление в HA-кластере

Обновление баз данных для двух межсетевых экранов в HA-кластере автоматически обрабатывается системой NetDefendOS. Кластер всегда состоит из активного и пассивного устройств. Только активное устройство кластера может обрабатывать и проверять загружаемые базы данных. Если новые базы данных становятся доступными, то выполняются следующие шаги:

  1. Активное устройство определяет, что есть новые обновления и загружает новые базы данных.
  2. Активное устройство автоматически выполняет реконфигурацию для обновления баз данных.
  3. При реконфигурации активного устройства возникает время отказа (failover) и пассивное устройство становится активным.
  4. После того, как обновление баз данных закончится, данное устройство также загружает файлы для обновления и выполняет реконфигурацию.
  5. Что, в свою очередь, вызывает время отказа второго устройства (failover) и пассивная единица становится снова активной.

После окончания выполнения этих операций базы данных межсетевых экранов кластера обновлены и устройствам присвоены их первоначальные (активный/пассивный) режимы.

Потоковое сканирование вирусов (AV)

Антивирусные модули (Antivirus, AV) предназначены для проверки сетевого трафика на вирусы, троянские и другие вредоносные программы. Как правило, встроенные в межсетевые экраны или маршрутизаторы антивирусные модули обладают следующими возможностями: блокировка, предупреждения пользователей и отчеты о зараженных объектах. Принцип работы антивирусного модуля прост и надежен – сканируется весь почтовый трафик, HTTP- и FTP-трафик, проходящий через граничный шлюз (межсетевой экран, маршрутизатор). Зараженные объекты и вредоносные программы удаляются и/или блокируются.

В отличие от системы IDP, которая настраивается для защиты от сетевых атак, антивирус NetDefendOS сконцентрирован на загрузках, выполняемых клиентами, и выступает в качестве дополнения к антивирусному ПО, установленному на клиентских компьютерах.

Межсетевые экраны NetDefend позволяют сканировать и проводить анализ файлов любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые "узкие места" в сети. Межсетевые экраны NetDefend используют сигнатуры вирусов, создаваемые и регулярно обновляемые компанией Kaspersky Labs.

Антивирусный модуль NetDefendOS обеспечивает защиту от вредоносного кода в процессе загрузки файла (по протоколам HTTP, FTP, POP3 и SMTP). Основная цель антивирусной функции заключается в том, чтобы вирусы не попали в локальную сеть через граничный шлюз. Однако, антивирусный модуль не обеспечивает вирусную защиту от потенциально опасных подключений внутри защищаемой сети (подключения USB, беспроводные подключения и т.п.).

Встроенный аппаратный ускоритель позволяет межсетевому экрану осуществлять IPS и антивирусное сканирование одновременно, не ухудшая производительность межсетевого экрана.

Активация функции AV в межсетевых экранах NetDefend достигается за счет применения сервиса ALG, связанного с тем протоколом, который подлежит сканированию. При настройке функции AV первоначально создается объект ALG, и затем данный объект применяется в наборе IP- и IDP-правил, которые определяют прохождение/запрет трафика в локальную сеть.

Фильтрация Web-содержимого (WCF)

Фильтрация Web-содержимого WCF (Web Content Filtering) помогает администраторам осуществлять мониторинг, управление и контроль использования доступа пользователей локальной сети к Интернет-ресурсам, разрешая/блокируя доступ к тем или иным Web-сайтам. Межсетевые экраны NetDefend поддерживают возможность взаимодействия с несколькими серверами глобальных индексов с миллионами URL-адресов и информацией в реальном времени о Web-сайтах.

В межсетевых экранах NetDefend предусмотрены три механизма для фильтрации Интернет-трафика:

В межсетевых экранах D-Link NetDefend используются политики с множеством параметров, в том числе, классифицируя в реальном времени Интернет страницы более чем по 30 группам, что позволяет запретить или разрешить доступ в заданное время к Web-сайтам для любой комбинации пользователей, интерфейсов и IP-сетей.

Технология ZoneDefense

Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны NetDefend поддерживают специальную функцию – ZoneDefense. Она представляет собой механизм, позволяющий межсетевым экранам работать с определенными коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность (так называемую Joint Security). Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика.

Для решения вопросов безопасности компанией D-Link предлагается законченное решение по обеспечению комплексной безопасности, подразумевающего обеспечение безопасности на всех уровнях: хост, коммутатор и шлюз. Данный механизм включает в себя три компонента:

Gateway Security – межсетевые экраны NetDefend располагаются на границе целостной сетевой топологии и обеспечивают безопасность ресурсов локальных сетей.

Endpoint Security – коммутаторы xStack D-Link, работая совместно с межсетевыми экранами D-Link, обеспечивают защищенный LAN-доступ.

Joint Security – технология, объединяющая Gateway Security и Endpoint Security – ZoneDefense – собственная разработка компании D-Link .

Комплексная архитектура сетевой безопасности


увеличить изображение

Рис. 8.4.  Комплексная архитектура сетевой безопасности

Как уже упоминалось, в традиционных локальных сетях с определенным уровнем безопасности существует проблема распространения вредоносного программного обеспечения по сетевым устройствам, если вирус попал во внутреннюю сеть с какого-либо зараженного компьютера. Обычные межсетевые экраны имеют ограниченное количество портов и ограниченную производительность, таким образом, коммутирование L3-сетей основано на функциональных особенностях коммутаторов L3.

Распространение вредоносного ПО с одного зараженного хоста на все сетевые устройства


увеличить изображение

Рис. 8.5.  Распространение вредоносного ПО с одного зараженного хоста на все сетевые устройства

Новая архитектура, предложенная компанией D-Link, включающая технологию ZoneDefense, основана на политиках взаимодействия между LAN-сетями. В случае появления в локальной сети зараженного компьютера, межсетевой экран NetDefend в соответствии с настройками функции ZoneDefense, блокирует этот компьютер, тем самым предотвращая распространение вредоносного ПО в сети.

Блокирование всего трафика зараженного хоста


увеличить изображение

Рис. 8.6.  Блокирование всего трафика зараженного хоста

Заражение хоста в сети вирусами или распространение другого вредоносного ПО может характеризоваться значительным увеличением количества новых сессий, открываемых к внешним хостам.

Использование функции ZoneDefense позволяет ограничить сетевые соединения выбранного сервиса – если количество соединений хоста или сети превышает указанный в настройках порог (настройки Threshold Rules базируются на количестве новых соединений, произведенных за секунду или на общем количестве созданных соединений), межсетевой экран будет блокировать определенный сетевой узел на коммутаторе.

Соединения могут быть созданы единственным хостом или всеми хостами в пределах выбранного диапазона IP-адресов CIDR.

Когда система NetDefendOS определила, что хост или сеть превысили заданный порог соединений, на соответствующий коммутатор загружаются правила ACL (Access Control List), используя протокол SNMP, для блокировки всего трафика данного хоста или сети. Xосты остаются блокированными до разблокирования администратором вручную через Web- или CLI-интерфейс.

Приведем пример возникновения ситуации, когда применение механизма ZoneDеfense предотвратит распространение атак по сети. На платформе ОС Windows некоторые сетевые атаки основаны на взломе паролей, используемых в Microsoft SMB Protocol (Server Message Block) – сетевой протокол прикладного уровня для удалённого доступа к файлам, принтерам и другим сетевым ресурсам. Объект воздействия генерирует большое количество сетевого трафика, используя протокол TCP порт 445 и распространяет его по сетевым устройствам. Можно предотвратить аварийную ситуацию в сети, активировав механизм ZoneDefense. Для этого выполняется следующее:

  1. На межсетевом экране NetDefend в настройках ZoneDefense установить порог для TCP порт 445 "20 connections/second" – 20 подключений в секунду для каждого хоста.
  2. Сконфигурировать коммутаторы xStack, работающие совместно с данным межсетевым экраном и поддерживающие технологию ZoneDefense.

В случае попыток объекта воздействия распространить вредоносное ПО через TCP порт 445, межсетевой экран NetDefend обнаруживает превышение количества соединений данного объекта и дает команду коммутатору xStack загрузить ACL-правила для блокирования всего трафика этого хоста.

SNMP-протокол

Простой протокол сетевого управления (Simple Network Management Protocol, SNMP) – протокол прикладного уровня для комплексного управления сетями. SNMP позволяет управляющему (так называемый, менеджер или диспетчер) и управляемым (агентам) сетевым устройствам связываться друг с другом.

В настоящее время существует три версии протокола SNMP: SNMP v1 (RFC 1157), SNMP v2c (RFC 1901-1908) и SNMP v3 (RFC 3411-3418). Эти версии отличаются предоставляемым уровнем безопасности при обмене данными между менеджером и агентом SNMP.

Управляемые устройства должны поддерживать протокол SNMP. Коммутаторы D-Link являются SNMP-агентами (они поддерживают все три версии протокола), хранят данные о состоянии в базе данных MIB (Management Information Base) и обеспечивают информацией управляющее устройство после получения SNMP-запроса. Если на коммутаторе по умолчанию управление по SNMP отключено, его нужно активировать командой:

enable snmp

Компоненты SNMP

Сеть, управляемая по протоколу SNMP, основывается на архитектуре "клиент/сервер" и состоит из трех основных компонентов: менеджера SNMP, агента SNMP, базы управляющей информации (MIB)базы управляющей информации (MIB).

Менеджер SNMP (SNMP Manager) – это программное обеспечение, установленное на рабочей станции управления, наблюдающее за сетевыми устройствами и управляющее ими.

Агент SNMP (SNMP Agent) – это программный модуль для управления сетью, который находится на управляемом сетевом устройстве (маршрутизаторе, коммутаторе, точке доступа, Интернет-шлюзе, принтере и т.д.). Агент обслуживает базу управляющей информации и отвечает на запросы менеджера SNMP.

База управляющей информации (Management Information Base, MIB) – это совокупность иерархически организованной информации, доступ к которой осуществляется посредством протокола управления сетью.

Менеджер взаимодействует с агентами при помощи протокола SNMP с целью обмена управляющей информацией. В основном, это взаимодействие реализуется в виде периодического опроса менеджером множества агентов, которые предоставляют доступ к информации.

База управляющей информации SNMP

Базы управляющей информации описывают структуру управляющей информации устройств и состоят из управляемых объектов (переменных). Управляемый объект (или MIB-объект) – это одна из нескольких характеристик управляемого сетевого устройства (например, имя системы, время, прошедшее с ее перезапуска, количество интерфейсов устройства, IP-адрес и т.д.).

Обращение к управляемым объектам MIB происходит посредством идентификаторов объекта (Object IDentifier, OID). Каждый управляемый объект имеет уникальный идентификатор в пространстве имен OID и контролируется агентством IANA. Пространство имен OID можно представить в виде иерархической структуры с корнем без названия, идентификаторы верхних уровней которой отданы организациям, контролирующим стандартизацию, а идентификаторы нижних уровней определяются самими этими организациями. Каждая ветвь дерева OID нумеруется целыми числами слева направо, начиная с единицы. Идентификатор представляет собой последовательность целых десятичных цифр, разделенных точкой, записанных слева направо и включает полный путь от корня до управляемого объекта. Числам могут быть поставлены в соответствие текстовые строки для удобства восприятия. В целом, структура имени похожа на систему доменных имен Интернет (Domain Name System, DNS).

Каждая MIB (в настоящее время основными стандартами на базы управляющей информации для протокола SNMP являются MIB-I и MIB-II) определяет набор переменных, т. е. определенную ветку дерева OID, описывающую управляющую информацию в определенной области. Например, ветка 1.3.6.1.2.1.1 (символьное эквивалентное имя: iso.org.dod.internet.mgmt.mib-2.system) описывает общую информацию о системе.

Пространство имен OID


Рис. 8.7.  Пространство имен OID

Производители сетевого оборудования определяют частные ветви пространства имен OID (группа объектов private (4)), куда помещают управляемые объекты для своей продукции. Пример определения ветвей в коммутаторах D-Link:

create snmp view CommunityView 1 view_type included
create snmp view CommunityView 1.3.6.1.6.3 view_type excluded 
create snmp view CommunityView 1.3.6.1.6.3.1 view_type included  

Помимо непосредственного описания данных, необходимо вести операции над ними. Первоначальная спецификация MIB-I определяла только операции чтения значений переменных. Спецификация MIB-II дополнительно определяет операции изменения или установки значений управляемых объектов.

Безопасность SNMP

В протоколе SNMP v1 и v2c предусмотрена аутентификация пользователей, которая выполняется с помощью строки SNMP Community (SNMP Community string). Community string функционирует подобно паролю, который разрешает удаленному менеджеру SNMP доступ к агенту. Менеджер и агент SNMP должны использовать одинаковые Community string, т.к. все пакеты от менеджера SNMP не прошедшего аутентификацию будут отбрасываться. В коммутаторах с поддержкой SNMP v1 и v2c используются следующие Community по умолчанию:

public – позволить авторизованной рабочей станции читать (право "read only") MIB-объекты;

private - позволить авторизованной рабочей станции читать и изменять (право "read/write) MIB-объекты.

Протокол SNMP v3 использует более сложный процесс аутентификации, который разделен на две части. Первая часть – обработка списка и атрибутов пользователей, которым позволено функционировать в качестве менеджера SNMP. Вторая часть описывает, что каждый пользователь из списка может выполнять в качестве менеджера SNMP.

Используя на коммутаторе SNMP можно создавать группы со списками пользователей (менеджеров SNMP) и настраивать для них общий набор привилегий. Помимо этого для каждой группы может быть установлена версия используемого ей протокола SNMP. Таким образом, можно создать группу менеджеров SNMP, которым позволено просматривать информацию с правом "read only" или получать ловушки (trap), используя SNMP v1, в то время как другой группе можно настроить наивысший уровень привилегий с правами "read/write" и возможность использования протокола SNMP v3.

При использовании протокола SNMP v3 отдельным пользователям или группам менеджеров SNMP может быть разрешено или запрещено выполнять определенные функции SNMP-управления. Помимо этого в SNMP v3 доступен дополнительный уровень безопасности, при котором SNMP-сообщения могут шифроваться при передаче по сети.

SNMP-управление с использованием межсетевых экранов D-Link

Управляющее устройство (диспетчер) – межсетевой экран NetDefend – использует SNMP-протокол для контроля и управления сетевыми устройствами. Диспетчер может запрашивать у контролируемых устройств статистику с помощью строки SNMP Community (SNMP Community String). Если тип строки SNMP Community – write, то диспетчер может менять MIB-объекты.

По умолчанию, порты коммутаторов D-Link настроены на использование строки SNMP Community, как private и public. Чтобы изменить эти идентификаторы, в настройках коммутатора нужно удалить значения по умолчанию и ввести новые:

delete snmp community private
delete snmp community public
create snmp community dlinktestrw view CommunityView read_write  
create snmp community dlinktestro view CommunityView read_only
 

Информацию о каждом коммутаторе, который будет работать с межсетевым экраном, необходимо вводить вручную при конфигурировании межсетевого экрана.

Добавление информации о коммутаторе в настройки межсетевого экрана NetDefend


увеличить изображение

Рис. 8.8.  Добавление информации о коммутаторе в настройки межсетевого экрана NetDefend

Информация, необходимая для работы с коммутатором, содержит:

Во избежание случайной блокировки доступа межсетевого экрана к коммутатору, нужно добавить интерфейс межсетевого экрана для управления коммутатором в список исключений (ZoneDefense → Exclude) .

Пороговые правила (Threshold Rules)

Пороговое правило инициирует механизм ZoneDefense для блокировки определенных узлов или сети, если превышен указанный порог соединений, который может быть двух типов:

Параметры пороговых правил схожи с параметрами IP-правил и определяют тип трафика, к которому обращается пороговое правило.

У каждого порогового правила выделяют следующие параметры:

При прохождении трафика, соответствующего вышеупомянутым критериям и превышающего порог для данного хоста/сети, срабатывает механизм ZoneDefense, который будет препятствовать обращению хоста/сети к коммутатору. Все блокировки из-за превышения порога основаны на IP-адресе хоста или сети на коммутаторе.

Настройка пороговых правил с использованием функции ZoneDefense на примере межсетевого экрана DFL-860E


увеличить изображение

Рис. 8.9.  Настройка пороговых правил с использованием функции ZoneDefense на примере межсетевого экрана DFL-860E

ZoneDefense и сканирование антивирусом

Функция ZoneDefense может использоваться в связке со встроенным антивирусом системы NetDefendOS, которая сначала идентифицирует источник вредоносного ПО, а затем блокирует его, действуя совместно с коммутатором, сконфигурированным для работы с механизмом ZoneDefense. Эта функция активируется через следующие ALG:

HTTP – ZoneDefense может заблокировать HTTP-сервер, если он является источником вредоносного ПО.

FTP – ZoneDefense может заблокировать локального FTP-клиента при загрузке им вредоносного ПО.

SMTP – ZoneDefense может заблокировать локального SMTP-клиента при отправке им вредоносного ПО через e-mail.

Антивирусные базы Касперского загружаются и обновляются с сайта security.dlink.com.tw (меню Maintenance → Update Center).

В зависимости от модели коммутатора процесс работы ZoneDefense может различаться. Первое отличие заключается в разном времени ожидания между запуском блокирующего правила и моментом фактического блокирования соответствующего трафика коммутатором. Всем моделям коммутаторов необходим небольшой интервал времени ожидания для осуществления блокирования после запуска правила. Для некоторых моделей эта величина не превышает секунды, в то время как другим коммутаторам может потребоваться несколько минут.

Второе отличие заключается в максимальном количестве правил, поддерживаемых различными коммутаторами. Определенные модели коммутаторов поддерживают только 50 правил, другие – до 800 правил (обычно для того, чтобы заблокировать хост или сеть необходимо одно правило на порт коммутатора). Когда этот предел будет достигнут, хосты или сети перестанут блокироваться.

ВНИМАНИЕ: Только определенные модели межсетевых экранов или коммутаторов D-Link поддерживают функцию ZoneDefense. Более подробную информацию по данному вопросу можно получить в технической поддержке компании D-Link.

Лекция 9. Особенности применения межсетевых экранов и маршрутизаторов D-Link

Обзор маршрутизаторов D-Link

Маршрутизаторы D-Link разработаны для использования дома и в офисе, обеспечивая безопасные VPN-подключения, расширенную защиту межсетевым экраном и фильтрацию содержимого пакетов. Линейка Интернет-маршрутизаторов серии DIR и DSR включает в себя устройства, позволяющие создавать проводные локальные сети и беспроводные (со встроенным беспроводным модулем).

Интернет-маршрутизаторы D-Link


увеличить изображение

Рис. 9.1.  Интернет-маршрутизаторы D-Link

Для управления маршрутизаторами D-Link предусмотрен удобный для пользователя Web-интерфейс, доступ к которому осуществляется при подключении Ethernet-кабелем LAN-порта устройства к сетевой плате компьютера. Новому маршрутизатору D-Link с заводскими настройками автоматически назначен внутренний IP-адрес по умолчанию на интерфейсе LAN: 192.168.0.1. Для просмотра Web-интерфейса маршрутизатора можно использовать любой Web-браузер.

Более подробная информация о разделах Web-интерфейса на примере маршрутизатора DIR-857 приведена в приложении А.

Типичное использование маршрутизаторов D-Link


увеличить изображение

Рис. 9.2.  Типичное использование маршрутизаторов D-Link

Общие характеристики Интернет-маршрутизаторов D-Link

*В зависимости от конкретной модели

Интернет-маршрутизаторы для малых офисов и рабочих групп

Ниже приведен краткий обзор некоторых моделей маршрутизаторов серии DIR.

Одной из важных отличительных особенностей устройства DIR-100 является его универсальность – возможность использования в качестве одного из трех видов: широкополосного маршрутизатора, маршрутизатора Triple Play или коммутатора VLAN. Для получения нового устройства достаточно просто загрузить с FTP-сервера компании D-Link необходимое программное обеспечение.

Широкополосный маршрутизатор – идеальное клиентское решение для домашних и офисных пользователей, создающих свою первую сеть.

Функция "родительского" контроля (Parental control) позволяет фильтровать нежелательные URL-адреса Web-сайтов, блокировать домены и управлять расписанием по использованию выхода в Интернет. Благодаря фильтрации по MAC-адресам и IP-адресам можно управлять доступом пользователей в сети.

Маршрутизатор Triple Play. Популярность и доступность услуг Triple Play растет день ото дня. Пользователю достаточно просто подключить маршрутизатор Triple Play и заказать у провайдера соответствующую услугу. Маршрутизатор Triple Play DIR-100, рекомендованный для использования в сетях провайдеров, позволяет пользователям получать доступ в Интернет, просматривать передачи IPTV и пользоваться услугами VoiceOverIP с гарантированной скоростью передачи. Таким образом, с помощью одного WAN-соединения одновременно передается голосовой, видео и Интернет-трафик (Triple Play).

Принцип работы устройства довольно прост. Два его порта поддерживают NAT и функции межсетевого экрана. Эти порты предназначены для подключения персональных компьютеров и организации доступа к Интернету. Два же других порта не поддерживают функций маршрутизации – эти порты подключаются к WAN-порту в режиме прозрачного моста. К этим двум портам можно подключить, например, IP-телефон или оборудование, необходимое для реализации услуги IP-телевидения (IPSTB).

Использование DIR-100 в качестве маршрутизатора Triple Play


увеличить изображение

Рис. 9.3.  Использование DIR-100 в качестве маршрутизатора Triple Play

Коммутатор VLAN. Поддержка виртуальных сетей VLAN (802.1Q и на базе портов) особенно важна для этого устройства, т.к. именно эта функция позволяет передавать каждый вид трафика по собственной виртуальной сети. Также устройство поддерживает приоритизацию очередей 802.1p для обеспечения надлежащего качества обслуживания, позволяя пользователям использовать в сети чувствительные к задержкам приложения, такие как потоковое аудио/видео и VoIP.

Широкополосный маршрутизатор с 4 портами LAN и 1 оптическим портом WAN DIR-100/F разработан для применения в сетях ETTH (Ethernet To The Home). Цель решения ETTH (дословно – "Ethernet в дом") заключается в передаче данных, голоса и видео по простой и недорогой сети Ethernet. Уникальность данного решения заключается в том, что использование Ethernet с оптоволокном в качестве среды передачи позволяет обеспечить гигабитный доступ по сети непосредственно до конечного пользователя.

DIR-100/F


Рис. 9.4.  DIR-100/F

Беспроводной маршрутизатор DIR-300/NRU Wireless 150 позволяет создать беспроводную сеть для дома со скоростью подключения до 150 Мбит/с. Подключив беспроводной маршрутизатор к выделенной линии или широкополосному модему, пользователи могут совместно использовать высокоскоростное соединение с Интернет.

Данная модель обладает встроенным межсетевым экраном, что защищает пользовательскую сеть от вредоносных атак. Это минимизирует угрозы от действий хакеров и предотвращает нежелательные вторжения в сеть. Дополнительные функции безопасности такие, как например, фильтрация МАС-адресов, предотвращают неавторизованный доступ к сети. Функция "родительского контроля" позволяет запретить пользователям просмотр нежелательного контента. Маршрутизатор поддерживает стандарты шифрования WEP, WPA и WPA2 для обеспечения защиты передачи данных по беспроводному соединению.

В серию DIR-4xx входят маршрутизаторы, поддерживающие 3G-сети: например, DIR-456 работает в HSDPA-сетях. Данное устройство обеспечивает организацию Wi-Fi-сети в частотном диапазоне 2,4 ГГц (IEEE 802.11b/g/n). Кроме этого, при подключении к 3G-сети (нужно вставить SIM-карту UMTS/HSDPA*), DIR-456 способен принимать звонки и звонить с телефона, подключенного к маршрутизатору с использованием стандартного разъема RJ-11, отправлять и получать SMS через Web-интерфейс.

* Диапазон частот зависит от региональной версии аппаратного обеспечения

Беспроводной 2,4 ГГц (802.11b/g/n) 4-х портовый маршрутизатор DIR-615 позволяет усовершенствовать характеристики существующей домашней сети и организовать совместный защищенный доступ к Интернет-соединению и файлам с видео, музыкой, фото и документами. C использованием программного обеспечения revision C2 и revision Е4 маршрутизатор DIR-615 поддерживает, кроме стандарта IPv4, еще и стандарт IPv6.

Беспроводной маршрутизатор со встроенным 4-х портовым коммутатором DIR-620 оборудован портом USB для подключения 3G/CDMA/WiMAX-адаптера, что позволяет пользователям получать доступ везде, где есть 3G/CDMA/WiMAX-сети. Устройство поддерживает беспроводное соединение на скорости до 300 Мбит/с с устройствами стандарта 802.11n и обратно совместим с устройствами стандарта 802.11b/g.

Двухдиапазонный беспроводной 2.4 ГГц(802.11b/g/n)/5ГГц(802.11a/n) маршрутизатор DIR-628 может быть настроен на работу в одном из этих диапазонов. Если при диапазоне 2,4ГГц возникают проблемы с передачей данных, то можно переключиться на использование диапазона 5ГГц. Используя утилиту SharePort Network USB, можно подключить внешний жесткий диск или многофункциональное устройство к USB-порту маршрутизатора для совместного использования пространства на диске, функций печати или сканирования группой пользователей. Этот USB-порт также поддерживает подключение 3G-адаптера D-Link, благодаря чему можно подключить маршрутизатор к мобильному сервису 3G для доступа в Интернет во время путешествий.

Благодаря трем внешним антеннам, маршрутизатор DIR-655 обеспечивает расширенный радиус действия беспроводной сети (в диапазоне 2,4ГГц – 802.11b/g/n) для большого дома и офиса, а также для пользователей, работающих с приложениями, требовательными к полосе пропускания, таких как IP-телефония и аудио/видео контент. Используя технологию QoS, существует возможность анализа и разделения проводного и беспроводного трафика на несколько потоков данных. DIR-655 обладает встроенной технологией WISH Stream Engine, которая улучшает качество беспроводной передачи данных. Технология WISH (Wireless Intelligent Stream Handling) автоматически различает мультимедиа-файлы, VoIP и онлайновые игры, не требующие настроек пользователя.

Одной из отличительных характеристик двухдиапазонных маршрутизаторов DIR-815 и DIR-825 является поддержка одновременной работы в двух диапазонах частот (2.4 ГГц и 5 ГГц). Это дает возможность пользователям осуществлять поиск информации в Интернет, используя диапазон частот 2.4 ГГц, в то время как частотный диапазон 5 ГГц может применяться для просмотра, например, потокового видео. Ко второй особенности можно отнести поддержку маршрутизаторами DIR-815 и DIR-825 стандарта IPv6 (стандарт IPv4 также задействован).

Высокопроизводительный маршрутизатор DIR-857 с гигабитными портами и возможностью одновременной работы в двух частотных диапазонах сетей Wi-Fi со скоростью до 450 Мбит/с позволяет осуществлять качественную трансляцию потокового HD-видео и передачу трафика мультимедийных приложений.

Интернет-маршрутизаторы серии Unified Services

Сегодня, в эпоху активного развития компьютерных сетей, пользователи предпочитают высокую скорость передачи данных и хорошее качество получаемых посредством сетей услуг, и, как следствие, от современного оборудования требуется не только высокая производительность и возможность взаимодействия с себе подобными, но и совмещение в одном устройстве большого функционала, позволяющего выполнять множество задач, включая и быстрый обмен информацией, и качественную передачу медиаконтента, и защиту передаваемых данных.

Высокопроизводительные управляемые маршрутизаторы серии Unified Services DSR-250N/500/500N/1000/1000N предназначены для эффективного управления сетями и их защиты в секторах SOHO и SMB. Маршрутизаторы Unified Services совмещают быстродействие Gigabit Ethernet, функции межсетевого экрана и все преимущества использования Wi-Fi/3G-сетей.

К расширенному функционалу маршрутизаторов серии DSR относится поддержка IPv6, Dynamic DNS, IEEE 802.1Q VLAN, Multiple SSID. Управление на основе политик обеспечивает максимальную производительность устройств, расширенные функции VPN позволяют создавать защищенные каналы связи для подключения мобильных пользователей и филиалов к корпоративной сети, а возможность управления полосой пропускания гарантирует выделенную полосу для различных сервисов.

DSR-500/500N/1000/1000N поддерживают функции Route Fail-Over и Outbound Load Balancing, что гарантирует отказоустойчивость и позволяет распределять исходящий трафик между WAN-интерфейсами.

Высокая скорость в беспроводных сетях обеспечивается благодаря применению технологии MIMO. DSR-250N/500N работают в одном диапазоне частот (IEEE 802.11 b/g/n), а DSR-1000N может работать в двух диапазонах: 2,4 ГГц либо 5 ГГц (IEEE 802.11 a/b/g/n). Безопасность беспроводной сети обеспечивается поддержкой протоколов шифрования и аутентификации.

Создание VPN-туннеля с помощью маршрутизаторов DSR-500/500N


увеличить изображение

Рис. 9.5.  Создание VPN-туннеля с помощью маршрутизаторов DSR-500/500N

Маршрутизаторы ADSL

Маршрутизаторы ADSL D-Link разработаны для сетей малых офисов и дома. Они позволяют быстро и просто получить широкополосный доступ в Интернет и совместно использовать канал связи ADSL несколькими пользователями. Благодаря встроенному интерфейсу ADSL2/ADSL2+, поддерживающему скорость нисходящего потока до 24 Мбит/с, межсетевому экрану и QoS, данные устройства предоставляют пользователям удобный и экономичный способ создания безопасной, высокоскоростной сети.

ADSL-маршрутизаторы DSL-2500U и DSL-2540U обеспечивают защиту межсетевым экраном при помощи проверки состояния пакета SPI, ведут протокол попыток хакерских атак, таких как "отказ в обслуживании" (DoS). Управление доступом осуществляется с помощью фильтрации пакетов на основе МАС/IP-адресов источника и приемника. Маршрутизаторы поддерживают несколько очередей приоритетов для групп домашних и офисных пользователей в целях беспрерывной передачи данных без перегрузки трафика. Поддержка QoS обеспечивает более эффективную передачу данных приложений, чувствительных к задержкам. DSL-2500U оснащен портом Ethernet LAN, который можно непосредственно подключать к компьютеру или к коммутатору Ethernet, а DSL-2540U – 4 портами Ethernet LAN для предоставления пользователям возможности совместного использования широкополосной линии Интернет.

Кроме 4-х портового коммутатора 10/100 Мбит/с, ADSL-маршрутизаторы DSL-2650U и DSL-2750U оснащены беспроводным модулем (2,4 ГГц) и портом USB 2.0. Использование беспроводного модуля создает возможность передачи информации по беспроводной защищенной сети, а благодаря USB-портам, данные маршрутизаторы обеспечивают подключение принтеров, жесткого диска или flash-накопителей. Также можно получить совместный доступ к USB-накопителям в сети.

Обзор межсетевых экранов NetDefend D-Link

По мере того, как бизнес-процессы становятся все более зависимыми от сетевой инфраструктуры, решения по повышению безопасности сетей приобретают весьма актуальный характер. D-Link представляет межсетевые экраны серии NetDefend нового поколения, являющиеся комплексным решением по обеспечению безопасности сетей предприятий. Серия NetDefend учитывает растущие требования, предъявляемые к сетевой безопасности, защите от атак хакеров, вирусным угрозам и повышению конфиденциальности информации.

Позиционирование межсетевых экранов D-Link NetDefend


увеличить изображение

Рис. 9.6.  Позиционирование межсетевых экранов D-Link NetDefend

Устройства серии NetDefend представляют собой законченное решение в области безопасности, включающее встроенную поддержку межсетевого экрана, балансировку нагрузки, функций отказоустойчивости, механизма ZoneDefense, фильтрации содержимого, аутентификации пользователей, блокировки "мгновенных" сообщений и приложений Р2Р, защиты от атак "отказ в обслуживании" DoS. Эти устройства соответствуют требованиям предприятий к безопасности и удаленному доступу. Расширенные функции предоставляют администраторам сетей решение безопасности "все в одном".

Аппаратная спецификация межсетевых экранов NetDefend включает высокоскоростные процессоры, большие базы данных и вычислительные мощности, позволяющие обрабатывать до миллиона параллельных сессий. Устройства с портами Gigabit Ethernet, позволяют развертывать гибкие, масштабируемые и свободные от "узких" мест сети, объединяющие между собой различные рабочие группы и предприятия.

Все межсетевые экраны данной серии поддерживают удаленное управление через Web-интерфейс или выделенное соединение. Они включают набор функций для мониторинга и поддержания состояния и безопасности сети, в том числе отправку уведомлений по электронной почте, ведение журнала системных событий log и предоставление статистики в режиме реального времени. Эти функции, наряду с возможностью обновления программного обеспечения, дают возможность проведения анализа и эффективного управления сетевым трафиком.

Обзор производительности и портов DFL-260E и DFL-860E


увеличить изображение

Рис. 9.7.  Обзор производительности и портов DFL-260E и DFL-860E

Обзор производительности и портов DFL-1660 и DFL-2560


увеличить изображение

Рис. 9.8.  Обзор производительности и портов DFL-1660 и DFL-2560

Операционная система D-Link NetDefendOS является основным программным обеспечением, которое используется для управления межсетевыми экранами D-Link с расширенным функционалом. В отличие от продуктов, использующих стандартную операционную систему (например, Unix или Microsoft Windows), NetDefendOS обеспечивает бесшовную интеграцию всех подсистем, подробный контроль над всеми функциями и снижение риска атак. Ниже представлены основные функции системы NetDefedOS:

IP Routing (Маршрутизация). NetDefendOS обеспечивает различные опции IP-маршрутизации, включая статическую маршрутизацию, динамическую маршрутизацию, а также возможности маршрутизации multicast. Кроме того, NetDefendOS поддерживает такие функции, как Virtual LAN, мониторинг маршрутов и др.

Firewalling Policies (Политики межсетевого экрана). NetDefendOS предоставляет проверку пакетов SPI (Stateful Packet Inspection) для широкого набора протоколов, включая TCP, UDP и ICMP.

Администратор может задать подробные политики (набор правил) межсетевого экрана на основе источника/назначения сети/интерфейса, протокола, портов, учетных данных пользователя, времени дня, позволяющие определить, какой трафик будет разрешен или запрещен NetDefendOS.

Address Translation (Трансляция адресов). В целях обеспечения функционала, а также безопасности, NetDefendOS на основе политик поддерживает как динамическую трансляцию адресов (NAT), так и статическую трансляцию адресов (SAT), что обеспечивает работу в различных типах сетей.

VPN (Виртуальные частные сети). NetDefendOS поддерживает различные варианты реализации VPN (Virtual Private Network) на основе протоколов IPsec, L2TP, PPTP и может работать как сервер или клиент для этих типов VPN и позволяет настраивать индивидуальные политики безопасности для каждого VPN-туннеля.

Anti-Virus scanning (Антивирусное сканирование)*. NetDefendOS оснащена встроенным антивирусом, что позволяет просматривать файлы любого размера, используя технологию потокового сканирования. Данный метод сканирования увеличивает производительность проверки, сокращая так называемые "узкие места" в сети. Межсетевые экраны D-Link используют сигнатуры вирусов от "Лаборатории Касперского", при этом существует возможность обновления сигнатур. В результате вирусы и вредоносные программы могут быть эффективно заблокированы до того, как они достигнут конечных пользовательских устройств.

Intrusion Detection and Prevention (Система обнаружения и предотвращения вторжений). Для предотвращения атак на уровне приложений, против уязвимостей в сервисах и приложениях NetDefendOS предоставляет защиту от вторжений – Intrusion Detection and Prevention (IDP). Данный механизм работает на основе политик и позволяет выполнять высокопроизводительное сканирование и обнаружение атак и выполнять блокировку, при этом дополнительно вносить в черный список атакующие хосты.

Web Content Filtering (Фильтрация Web-контента). NetDefendOS предлагает различные механизмы фильтрации Web-контента, не соответствующего политике использования Интернета. На основе заданной категории Web-содержимое может блокироваться, а Web-сайты будут добавлены в белый или черный список в нескольких политиках.

Traffic Management (Управление трафиком)* . NetDefendOS обеспечивает удобные возможности для управления трафиком с помощью таких функций, как Traffic Shaping (Управление полосой пропускания трафика), Threshold Rules (Пороговые правила) и Server Load Balancing (Балансировка нагрузки сервера). Traffic Shaping обеспечивает ограничение и распределение полосы пропускания; Threshold Rules обеспечивают спецификацию порогов для отправки сообщений об авариях и/или ограничения сетевого трафика; Server Load Balancing позволяет устройству с NetDefendOS распределять нагрузку в сети между несколькими хостами.

ZoneDefense*. Для того чтобы минимизировать влияние аварийной ситуации на всю сеть, межсетевые экраны поддерживают специальную функцию – ZoneDefense, представляющую собой механизм, позволяющий им работать с коммутаторами локальных сетей D-Link и обеспечивающий активную сетевую безопасность. Функция ZoneDefense автоматически изолирует инфицированные компьютеры локальной сети и предотвращает распространение ими вредоносного трафика.

*Использование данной функции зависит от конкретной модели DFL.

Межсетевой экран DFL-260E

Межсетевой экран NETDEFEND DFL-260E предназначен для использования в малых сетях, например, домашних или сетях небольшого офиса. Данная модель является надежным решением по обеспечению безопасности, так как межсетевой экран объединяет систему предотвращения вторжений (IPS), проверку пакетов антивирусом, балансировку нагрузки (Load Balance), отказоустойчивость (Fault-Tolerance), аутентификацию пользователей, защиту от атак Denial of Service (DoS), а также поддерживает VPN-сети.

Межсетевой экран DFL-260E оснащен одним WAN-портом, одним настраиваемым пользователем DMZ-портом и пятью LAN-портами с 10/100/1000 Мбит/с Ethernet-интерфейсами. Поскольку DMZ-порт можно конфигурировать как WAN-интерфейс, данная модель эффективно применяется в сетях организаций для непрерывного соединения с Интернетом

Конфигурация интерфейсов DFL-260E по умолчанию:

Управление разрешено с любого LAN-интерфейса по адресу https://192.168.10.1, только LAN-интерфейс отвечает на команду "ping".



ВНИМАНИЕ: В более ранних моделях (DFL-210/260/800/860/1600/2500) управление по умолчанию осуществляется с LAN-интерфейса по адресуhttps://192.168.1.1 .

Обзор функциональных возможностей DFL-260 представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении C.

Типичная схема применения DFL-260E в сетях


увеличить изображение

Рис. 9.9.  Типичная схема применения DFL-260E в сетях

Межсетевой экран DFL-860E

Межсетевой экран NETDEFEND DFL-860E предназначен для применения в сетях малых и средних организаций, в том числе государственных структур, которым требуется более высокая производительность устройства по сравнению с предыдущей моделью. DFL-860E поддерживает все функции, что и DFL-260E, и, кроме этого, функционал позволяет использовать технологию ZoneDefense для блокирования зараженного вирусом хоста или сети.

Межсетевой экран DFL-860E оснащен двумя WAN-портами, одним DMZ-портом и 8-ю LAN-портами с 10/100/1000 Мбит/с Ethernet-интерфейсами. Использование двух WAN-портов, как правило, применятся в случае обеспечения доступа в Интернет через двух Интернет-провайдеров.

Конфигурация интерфейсов DFL-860E по умолчанию:

Управление разрешено с любого LAN-интерфейса по адресу https://192.168.10.1, только LAN-интерфейс отвечает на команду "ping".



Обзор функциональных возможностей DFL-860E представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении C.

Типичная схема применения DFL-860E в сетях с двумя Интернет-провайдерами


увеличить изображение

Рис. 9.10.  Типичная схема применения DFL-860E в сетях с двумя Интернет-провайдерами

Межсетевой экран DFL-1660

Межсетевой экран NETDEFEND DFL-1660 – комплексное решение по обеспечению безопасности сетей средних и крупных предприятий. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Тогда как для более крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами.

Межсетевой экран оснащен 6-ю Gigabit Ethernet портами, настраиваемыми администратором сети, в той конфигурации, которая отвечает политике предприятия.

Конфигурация интерфейсов DFL-1660 по умолчанию:

Управление разрешено с LAN1-интерфейса по адресу https://192.168.10.1, только LAN1-интерфейс отвечает на команду "ping".



увеличить изображение

Обзор функциональных возможностей DFL-1660 представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении C.

Межсетевой экран DFL-2560

Межсетевой экран NETDEFEND DFL-2560 для предприятий. Данная модель обладает расширенной функциональностью для сетей крупных предприятий. DFL-2560 оснащен 10-ю Gigabit Ethernet портами, настраиваемыми администратором сети.

Конфигурация интерфейсов DFL-2560 по умолчанию:

Управление разрешено с LAN1-интерфейса по адресу https://192.168.10.1, только LAN1-интерфейс отвечает на команду "ping".



увеличить изображение

Обзор функциональных возможностей DFL-2560 представлен в сравнительной таблице по межсетевым экранам серии NetDefend в приложении C.

Режимы отображения состояния устройства на панели DFL-1660/2560:

Типичная схема применения DFL-1660/2560 в сетях


увеличить изображение

Рис. 9.11.  Типичная схема применения DFL-1660/2560 в сетях

Архитектура NetDefendOS

Архитектура NetDefendOS использует соединения на основе состояний. В основном стандартные IP-маршрутизаторы или коммутаторы изучают пакеты и затем выполняют перенаправление на основе информации, содержащейся в заголовках пакетов. При этом пакеты перенаправляются без контекста, что устраняет любую возможность определения и анализа комплексных протоколов и применения соответствующих политик безопасности.

Система NetDefendOS использует технологию Stateful Inspection, осуществляющую проверку и перенаправление трафика на основе соединения, обеспечивая высокую производительность и повышая пропускную способность. NetDefendOS определяет новое установленное соединение и сохраняет определенную информацию или состояние в таблице state table (таблица состояний) для определения времени существования данного соединения. Таким образом, NetDefendOS предоставляет возможность определить контекст сетевого трафика, выполнить тщательное сканирование трафика, управление полосой пропускания и множество других функций.

Подсистема NetDefendOS, выполняющая stateful inspection, иногда употребляется в материалах D-Link, как NetDefendOS state-engine.

Структурные элементы NetDefendOS

Основными структурными элементами в системе NetDefendOS являются интерфейсы, логические объекты и различные типы правил (или набор правил).

Интерфейсы

Интерфейс – один из самых важных логических блоков в NetDefendOS. Весь сетевой трафик, проходящий через систему, задействует один или несколько интерфейсов.

Интерфейс, через который трафик поступает в систему, называется интерфейс получения (или входящий интерфейс). Соответственно, интерфейс, с которого трафик выходит из системы, называется интерфейс отправки (или исходящий интерфейс).

В NetDefendOS интерфейсы разделяются на несколько типов:

Физические интерфейсы

Каждый физический интерфейс представляет собой физический порт устройства. Таким образом, весь сетевой трафик, прошедший или ограниченный системой, в конечном итоге пройдет через физический интерфейс.

В настоящее время NetDefendOS поддерживает единственный физический тип интерфейса – Ethernet-интерфейс.

Под-интерфейсы

На одном физическом интерфейсе можно задать несколько под-интерфейсов. NetDefendOS поддерживает два типа под-интерфейсов:

  1. Применение виртуального VLAN-интерфейса определено стандартом IEEE 802.1Q. При передаче данных по виртуальной локальной сети IP-пакеты формируются в VLAN-теговые Ethernet-кадры.

    NetDefendOS полностью поддерживает стандарт IEEE 802.1Q для виртуальных локальных сетей. VLAN функционируют, добавляя к заголовку Ethernet-кадра VLAN ID (идентификатор виртуальной локальной сети).

    Системой NetDefendOS возможно создание одного или более VLAN’ов. Каждый VLAN-интерфейс локальной сети интерпретируется как логический интерфейс системы. Система проверяет поступившие Ethernet-кадры на наличие VLAN ID, значение которого должно быть в диапазоне от 0 до 4095. Если VLAN ID найден, определяется соответствующий VLAN-интерфейс и система проводит дальнейшую обработку полученного кадра.

    DFL-260E поддерживает создание до 8-ми VLAN, DFL-860E – до 16-ти VLAN, DFL-1660 – до 1024-x VLAN, DFL-2560 – до 2048-ми VLAN.

  2. С помощью PPPoE-интерфейса (Point-to-point protocol over Ethernet) предоставлена возможность подключения к серверам PPPoE.

    Так как протокол PPPoE – это протокол передачи кадров PPP через Ethernet, межсетевой экран должен использовать один из физических интерфейсов Ethernet, работающих по PPPoE. Каждый PPPoE-туннель интерпретируется как логический интерфейс системы NetDefendOS с возможностью маршрутизации и настройкой конфигурации. Интерфейс, через который сетевой трафик поступает на межсетевой экран из PPPoE-туннеля, является PPPoE-интерфейсом источника (Source Interface). Для исходящего трафика PPPoE-интерфейс будет интерфейсом назначения (Destination Interface).

    Технология PPPoE использует автоматическое назначение IP-адреса (подобно DHCP). Система NetDefendOS, получив информацию об IP-адресе от Интернет-провайдера, сохраняет ее в сетевом объекте и использует как IP-адрес интерфейса.

При автоматическом подключении к PPPoE-серверу для обеспечения пользовательской аутентификации провайдер предоставляет имя пользователя и пароль, которые устанавливаются в NetDefendOS.

Если включена функция Dial-on-demand (предоставление канала по требованию), PPPoE-соединение произойдет только при наличии трафика на PPPoE-интерфейсе, что позволяет анализировать активность трафика на входящем и исходящем интерфейсе.

Туннельные интерфейсы

Туннельные интерфейсы используются, когда сетевой трафик передается по туннелю между системой NetDefendOS и другим туннельным устройством.

NetDefendOS поддерживает следующие типы туннельных интерфейсов:

  1. IPSec-интерфейсы используются для создания виртуальных частных сетей (VPN) по IPSec-туннелям.
  2. PPTP/L2TP-интерфейсы используются для создания PPTP/L2TP-туннелей.
  3. GRE-интерфейсы используются для создания GRE-туннелей.

Логические объекты

Логические объекты – это предварительно определенные элементы, используемые в последующем в наборах правил. Адресная книга, например, содержит назначенные объекты, представляющие хост и сетевые адреса.

Другим примером логических объектов являются сервисы, предоставляющие определенные комбинации протоколов и портов. Помимо этого, важную роль играют объекты Application Layer Gateway (ALG), которые используются для определения дополнительных параметров в определенных протоколах, таких как HTTP, FTP, SMTP и H.323.

Набор правил NetDefendOS

В конечном итоге правила, определенные администратором в различные наборы правил (rule sets) используются для фактического применения политик безопасности NetDefendOS. Основополагающим набором правил являются IP-правила (IP Rules), которые используются, чтобы определить политику IP-фильтрации 3 уровня, а также для переадресации и балансировки нагрузки сервера. В Routing Rules создаются правила маршрутизации. В IGMP Rules настраивается маршрутизация при использовании функции IGMP. Правила управления полосой пропускания (Traffic Shaping Rules) определяют политику управления полосой пропускания, правила IDP(IDP Rules) обеспечивают защиту сети от вторжений.

Прохождение пакета через межсетевой экран D-Link

Каждый принятый Ethernet-кадр на один из Ethernet-интерфейсов проверяется системой NetDefendOS. Если система обнаруживает, что принятый кадр не соответствует каким-либо параметрам, данный пакет отклоняется (drop), а информация о каждом подобном событии регистрируется.

Начало блок-схемы, описывающей алгоритм прохождения пакета через NetDefendOS


увеличить изображение

Рис. 9.12.  Начало блок-схемы, описывающей алгоритм прохождения пакета через NetDefendOS

Пакет связан с интерфейсом источника (Source Interface), который определяется следующим образом (рис. 9.14):

Продолжение блок-схемы, описывающей алгоритм прохождения пакета через NetDefendOS


увеличить изображение

Рис. 9.13.  Продолжение блок-схемы, описывающей алгоритм прохождения пакета через NetDefendOS

IP-датаграмма из пакета передается на проверочное устройство NetDefendOS (рис. 9.14), которое выполняет проверку пакета на исправность, включая подтверждение контрольной суммы, флаги протокола, длину пакета и т.д. Если выявлена ошибка, пакет отклоняется и событие записывается в журнал (log). А NetDefendOS ищет новое подключение, сопоставляя параметры входящего пакета: исходного интерфейса, IP-адресов источника/назначения и IP-протоколов.

Если соответствия не найдены (рисунки 9.13, 9.14, 9.15), выполняются шаги согласно нижеприведенным пунктам. При определении соответствия пакет перенаправляется согласно шагу 7.

1,2. Определяется таблица маршрутизации, к которой относится интерфейс источника и при помощи виртуальных правил маршрутизации (Routing Rules) определяется текущая таблица маршрутизации для установления соединения.

3. При помощи правил доступа (Access) анализируется IP-адрес источника – имеет ли разрешение новое соединение входящего интерфейса. Если соответсвующее правило не найдено, в таблице маршрутизации выполняется обратный поиск маршрута для подтверждения того, что маршрут для данного интерфеса существует.

По-умолчанию интерфейс примет IP-адреса только тех сетей, маршруты к которым заданы в таблице маршрутизации для данного интерфейса. Если в результате анализа не найдено соответствия IP-адреса источника, пакет отклоняется и событие записывается в журнал (log).

Поиск маршрута осуществляется при использовании соответствующих таблиц маршрутизации. Затем определяется интерфейс назначения (Destination Interface) для установления соединения.

4. Определяются правила (IP rules), которым соответствуют параметры данного пакета: интерфейсы источника и назначения, сети источника и назначения, IP-протоколы (TCP, UDP, ICMP и т.д.), TCP/UDP-порты или типы ICMP-пакетов и расписание (время-день), когда действуют правила.

Если соответствие не найдено, пакет отклоняется. Если параметры нового соединения соответствуют правилам, то один из параметров правила – Action – определяет, что NetDefendOS должна делать с соединением. Если действие – Отклонить (Drop), то пакет отклоняется, и событие записывается в журнал (log). Если же действие – Разрешить (Allow), то пакет пропускается дальше. Данное состояние добавляется в таблицу соединений для соответствия с последующими пакетами, принадлежащими тому же соединению. Кроме того, объект Service, с которым связан один или несколько IP-протоколов (таких как HTTP, FTP и др.) с соответствующими им номерами портов протоколов транспортного уровня (TCP, UDP), может содержать ссылку на ALG (Application level gateway – шлюз прикладного уровня). Эти данные используются для того, чтобы система NetDefendOS управляла соответствующими приложениями для обеспечения обмена информацией.

В итоге созданное согласно настройкам правил соединение записывается в журнал (log).

5. Далее применяются правила IPS для проверки допустимости трафика (рис. 9.15). Если параметры пакета соответствуют правилам, IPS-данные отмечаются как проверенные и разрешенные к дальнейшему прохождению.

6. Анализируется ограничение полосы пропускания трафика (Traffic Shaping) и расписание правил ограничений (Threshold Limit rule). Таким образом, можно управлять входящим трафиком.

7. При наличии ALG-данных и выполнения IDP-сканирования данные пакета анализируются подсистемой TCP Pseudo-Reassembly, которая в свою очередь использует различные приложения (например, Application Layer Gateways) для дальнейшего анализа или изменения трафика.

Если содержимое пакета зашифровано (с помощью протокола IPSec, PPTP/L2TP или другого типа протокола туннелирования), выполняется проверка списков интерфейсов на соответствие. Если обнаружено соответствие, пакет расшифровывается и данные (незашифрованный текст) пересылаются обратно в NetDefendOS, но уже с интерфейсом источника, который соответствует интерфейсу туннелирования.

При наличии информации управления трафиком, пакет может быть определен в очередь или выполняются действия согласно настройкам по управлению трафиком.

Заключительная часть блок-схемы, описывающей алгоритм прохождения пакета через NetDefendOS


увеличить изображение

Рис. 9.14.  Заключительная часть блок-схемы, описывающей алгоритм прохождения пакета через NetDefendOS

8. В конечном итоге, пакет будет перенаправлен на интерфейс назначения в соответствии с его состоянием. Если интерфейс назначения является интерфейсом туннелирования или под-интерфейсом, может выполняться дополнительная обработка данных, например, шифрование или инкапсуляция.

Представление прохождения пакета через межсетевой экран NetDefend с помощью Web-интерфейса


увеличить изображение

Рис. 9.15.  Представление прохождения пакета через межсетевой экран NetDefend с помощью Web-интерфейса

Лекция 10. Управление межсетевыми экранами D-Link NetDefend

Управление межсетевыми экранами D-Link NetDefend

Система NetDefendOS разработана для обеспечения высокой производительности и надежной работоспособности. Система предоставляет не только расширенный набор функций, но и дает администратору возможность полного управления каждой деталью системы, что позволяет применять межсетевые экраны NetDefend в самых разнообразных ситуациях.

NetDefendOS поддерживает следующие интерфейсы управления:

Web-интерфейс пользователя или WebUI. Доступен через стандартный Web-браузер (рекомендуется Microsoft Internet Explorer или Firefox, но могут использоваться и другие). Браузер подключается к одному из Ethernet-интерфейсов оборудования с помощью протокола HTTP или HTTPS и система NetDefendOS выступает в роли Web-сервера, позволяя использовать Web-страницы в качестве интерфейса управления.

Интерфейс командной строки CLI. Доступен локально через консольный порт или удаленно с помощью протокола Secure Shell (SSH), обеспечивает управление всеми параметрами в NetDefendOS.

Secure Copy. Secure Copy (SCP) – широко распространенный протокол обмена данными, используемый для передачи файлов. NetDefendOS не предоставляет определенного SCP-клиента, однако, существует широкий выбор SCP-клиентов, доступных для всех платформ рабочих станций. SCP является дополнением к CLI и обеспечивает защиту файлов, передаваемых между рабочей станцией администратора и межсетевым экраном NetDefend. Различные файлы, используемые системой NetDefendOS, могут быть скачены и загружены с помощью SCP.

Удаленный доступ . Удаленный доступ к интерфейсам управления может быть организован с помощью политики удаленного управления. Таким образом, администратор может ограничить доступ к управлению на основе: сети источника, интерфейса источника, имени пользователя и пароля. Может быть разрешен удаленный доступ к интерфейсу командной строки CLI при подключении по IPSec-туннелю.

По умолчанию, доступ к Web-интерфейсу открыт пользователям в сети при подключении через LAN-интерфейс межсетевого экрана D-Link (при наличии устройства более одного LAN-интерфейса, LAN1 является интерфейсом по умолчанию).

Управление межсетевыми экранами NetDefend через интерфейс командной строки (CLI)

Система NetDefendOS предоставляет интерфейс командной строки (CLI) администраторам, которым предпочтительнее или требуется использовать командную строку, или которым необходимо более тщательное управление системными настройками. Интерфейс командной строки (CLI) доступен как локально через консольный порт, так и удаленно через Ethernet-интерфейс с использованием протокола Secure Shell (SSH) клиента SSH.

Консольный порт – это локальный порт RS-232 (на моделях DFL-210/260/260E/800/860/1600/1660/2500/2560) и локальный порт RJ-45 через кабель RJ45-to-DB9 (для моделей DFL-260E/860E) межсетевых экранов NetDefend, обеспечивающий прямой доступ к интерфейсу командной строки NetDefendOS CLI при подключении к компьютеру или терминалу без сетевых связей.

При настройке соединения компьютер (com-порт)-межсетевой экран NetDefend (консольный порт) необходимо запустить программу эмуляции терминала VT100

Например, настройки программы Putty-клиент putty.exe выглядят следующим образом:



Наиболее часто используемые команды CLI:

Как правило, команды CLI обычно начинаются со структуры: <command> <object_type> <object_name>. Например, для отображения IP-адреса объекта my_address, используется команда:

gw-world:/> show Address IP4Address my_address

Для просмотра адресов в папке InterfaceAddresses указывается следующий путь:

gw-world:/> show Address IP4Address InterfaceAddresses/my_address

Приглашение ко вводу команд " gw-world:/>" может быть другим. Например, по умолчанию в межсетевых экранах серии DFL приглашение выглядит следующим образом: в DFL-860E: DFL-860E:/>, в DFL-1660: DFL-1660:/> и т.д.

Вторая часть команды определяет тип объекта (object_type) и необходима для идентификации категории объекта, к которой относится имя объекта (принимая во внимание, что одно и то же имя может существовать в двух разных категориях).

Команда add может содержать свойства объекта. Для добавления нового объекта IP4Address с IP-адресом 140.168.2.8 используется команда:

gw-world:/> add IP4Address my_address Address=140.168.2.8

Типу объекта может опционально предшествовать категория объекта. Группы категорий совместно с набором типов используются с функцией tab completion. Достаточно сложно запомнить все команды и их опции. Система NetDefendOS предоставляет функцию, которая называется tab completion. Нажатие клавиши tab вызовет автоматическое завершение текущей части команды. Если завершение невозможно, нажатие клавиши tab вызовет автоматическое отображение доступных опций возможной команды.

Функция tab completion для данных. Преимущество функции tab completion заключается в отображении автоматического завершения команды или параметра данных возможными значениями. Это выполняется нажатием клавиши tab после ввода начального символа. Например, если при наборе незаконченной команды:

set Add

нажать клавишу tab, в командной строке автоматически отобразится

set Address

Если при наборе команды необходимо уточнить, например, возможности ввода значений IP-адресации, нужно ввести символ "=" (равно) и нажать tab:

set Address IP4Address lan_ip Address=

В командной строке отобразится:

add Address IP4Address lan_ip Address= Type: IP4Address Description: IP address, e.g. "172.16.50.8", "192.168.30.7,192.168.30.11", "192.168.7.0/24" or "172.16.25.10-172.16.25.50".

Выбор категории объектов. Для некоторых категорий (например, тип IP4Address принадлежит категории Address) сначала необходимо выбрать элемент данной категории с помощью команды cc (change category – изменение категории) до того, как отдельные объекты могут быть обработаны. Это касается, например, маршрутов. Если существует более одной таблицы маршрутизации, при добавлении или управлении маршрутом, прежде всего, необходимо использовать команду cc для идентификации именно той таблицы маршрутизации, которая требуется.

Предположим, что main – таблицa маршрутизации, в которую необходимо добавить маршрут. Первой командой будет:

gw-world:/> cc RoutingTable main gw-world:/main>

Cтрока команды изменилась для указания текущей категории. Теперь можно добавить маршрут:

gw-world:/main> add Route Interface=lan Network=InterfaceAddresses/lannet

Для отмены категории используется команда cc:

gw-world:/main> cc gw-world:/>

Иногда определенным параметрам присваивается несколько значений. Например, некоторые команды используют параметр AccountingServers, и данному параметру можно назначить более одного значения, разделяя их запятой. Например, если необходимо определить три сервера server1, server2, server3, назначение параметра в команде будет следующим:

AccountingServers=server1,server2,server3

Порядок правил, определенный в списках, например, набор IP-правил, является крайне важным. С помощью команды add, используемой CLI, по умолчанию добавляется новое правило в конец списка. Если размещение на определенной позиции является критичным, команда add может включить параметр Index= в качестве опции. Вставка на первую позицию в списке определена с помощью параметра Index=1 в команде add, на вторую позицию – с помощью параметра Index=2 и т.д.

Использование имен хоста в CLI. Для некоторых команд CLI, IP-адреса могут опционально определяться как текстовое имя хоста вместо объекта IP4Address. При этом перед именем хоста должен стоять префикс, состоящий из символов "dns:", указывающий на то, что таблица поиска DNS решает какому имени хоста соответствует какой IP-адрес. Например, имя хоста host.company.com будет определено в CLI как dns:host.company.com.

Параметры, где могут употребляться URN (Uniform Resource Names –унифицированные имена ресурсов) с CLI:

Если требуется выполнить поиск с помощью DNS, в системе NetDefendOS должен быть настроен хотя бы один публичный DNS-сервер для преобразования имен хостов в IP-адреса.

Доступ к CLI по протоколу SSH (Secure Shell). Протокол SSH (Secure Shell) используется для доступа к CLI с удаленного хоста в сети и необходим, в первую очередь, для обеспечения безопасного соединения в незащищенных сетях, а также строгой аутентификации и целостности данных. SSH-клиенты доступны для большинства платформ.

Система NetDefendOS поддерживает версии 1, 1.5 и 2 SSH-протокола. Доступ по SSH-протоколу выполняется с помощью политики удаленного управления в NetDefendOS, и по умолчанию отключен.

Пример включения удаленного доступа по SSH-протоколу и сети lannet через lan- интерфейс с помощью добавления правила в политику удаленного управления:

Интерфейс командной строки

gw-world:/> add RemoteManagement RemoteMgmtSSH ssh Network=lannet Interface=lan LocalUserDatabase=AdminUsers

Web-интерфейс

  1. Перейдите в System> Remote Management> Add> Secure Shell Management
  2. Введите Имя (Name) для политики удаленного управления по SSH-протоколу, например, ssh_policy
  3. Выберите следующее из выпадающих списков:
    • User Database: AdminUsers
    • Interface: lan
    • Network: lannet
  4. OK

CLI Prompt. CLI Prompt – это имя устройства, которое отражается в меню Web-интерфейса межсетевого экрана NetDefend на домашней странице (Home).

По умолчанию CLI Prompt:

gw-world:/>

Если необходимо изменить имя устройства (например, на DFL-860E_centre), в командную строку нужно ввести:

gw-world:/> set device name="DFL-860E_centre"

Тогда после активации и сохранения изменений, CLI Prompt примет вид:

DFL-860E_centre:/>

А на домашней странице Web-интерфейса имя устройства отобразится, как показано на рисунке:

Отображение имени межсетевого экрана NetDefend в Web-интерфейсе


увеличить изображение

Рис. 10.1.  Отображение имени межсетевого экрана NetDefend в Web-интерфейсе

Активация и применение изменений. Если в текущих настройках с помощью CLI выполнены какие-либо изменения, данные изменения не будут загружены в NetDefendOS, пока не будет выполнена команда:

gw-world:/> activate

Через 3-5 секунд после ввода команды activate должна быть выполнена команда commit для применения изменений:

gw-world:/> commit

Если в течение 30 секунд (время по умолчанию) не выполнена команда commit, сделанные изменения автоматически отменяются, и происходит восстановление прежней конфигурации.

gw-world:/> show -errors

Система NetDefendOS просканирует настройки на наличие активации и отобразит список проблем. Одна из возможных проблем, которая может быть обнаружена таким способом, - ссылка на IP-объект в Адресной книге, несуществующий в восстановленной резервной копии настроек.

Завершение работы в CLI. После завершения работы в интерфейсе командной строки CLI рекомендуется выйти из системы во избежание неавторизованного доступа к системе. Выход осуществляется с помощью команды exit или logout.

Использование команды sessionmanager. Интерфейс командной строки CLI предоставляет команду sessionmanager для самостоятельного управления сессиями. Команда используется для управления всеми типами сессий управления, включая:

Команда без ввода каких-либо опций предоставляет краткую информацию о текущих открытых сессиях:

gw-world:/> sessionmanager
Session Manager status
----------------------
Active connections : 3
Maximum allowed connections :64
Local idle session timeout : 900

Для просмотра списка всех сессий используется опция -list. Ниже отображены типичные выходные данные локальной сессии:

gw-world:/> sessionmanager -list
User     Database         IP        Type    Mode    Access
-------- ---------------- --------- ------- ------- -------
local    (none)           0.0.0.0   local   console admin

Если пользователь обладает правами администратора, можно завершить любую сессию с помощью опции -disconnect команды sessionmanager .

Сценарии (скрипты) CLI. Для хранения загрузочных файлов и выполнения команд CLI администратором, NetDefendOS поддерживает функцию CLI scripting . CLI script – это предварительно определенная последовательность команд CLI, которые можно выполнить после их сохранения в файл и последующей загрузки файла на межсетевой экран NetDefend.

Для создания CLI script нужно выполнить следующие шаги:

  1. Создайте текстовый файл в текстовом редакторе, содержащим последовательный список команд, по одной на строку. Для этих файлов D-Link рекомендует использовать расширение .sgs (Security Gateway Script). Имя файла, включая расширение, не должно содержать более 16 символов.
  2. Загрузите файл на межсетевой экран NetDefend, используя Secure Copy (SCP). Файлы-сценарии должны храниться в папке script. Загрузка SCP подробно описана ниже.
  3. Используйте команду CLI script -execute для запуска файла.

ВНИМАНИЕ: В файлах скриптов используются только четыре команды:

С помощью команды script –execute запускается именованный файл сценария (скрипта), предварительно загруженный на межсетевой экран. Например, для выполнения файла сценария my_script.sgs, который был предварительно загружен, используется следующая команда CLI:

gw-world:/> script -execute -name=my_script.sgs

Переменные скриптов. Файлы скриптов могут содержать любое количество переменных сценария, которые выглядят следующим образом:

$1, $2, $3, $4…. $n

Значения, используемые как имена переменных, определены в списке в конце командной строки script –execute. Числa 1…n в имени переменной указывают на положение значения переменной в списке. Первым идет значение $1, затем $2 и т.д. Переменная $0 является зарезервированной и перед выполнением всегда заменяется именем файла скрипта.

Например, выполняется скрипт с IP-адресом 126.12.11.1 и комментарием If1 Address , везде заменяя имеющуюся в скрипте переменную $1 на 126.12.11.1, и, соответственно, переменную $2 на строку If1 address.

Файл my_script.sgs содержит одну командную строку CLI:

add IP4Address If1_ip Address=$1 Comments=$2

Для запуска файла скрипта после загрузки, используется команда CLI:

> script -execute -name=my_script.sgs 126.12.11.01 "If1 address"

После запуска файла скрипта и замены переменных файл будет содержать:

add IP4Address If1_ip Address=126.12.11.01 Comments="If1 address"

По умолчанию, скрипты CLI не подтверждены. Это означает, что написание порядка скриптов не будет иметь значения. В начале скрипта может быть ссылка на объект конфигурации, которая создается только в конце (для улучшения читаемости скриптов). Для того, чтобы подобные действия не приводили к запутанному и бессвязному файлу, в файлах скриптов с большим объемом предпочтительнее группировать аналогичные команды CLI.

Если в существующем файле скрипта встречается ошибка, по умолчанию сценарий будет завершен. Завершение может быть прервано с помощью опции -force . Для запуска файла с именем my_script2.sgs таким способом используется команда CLI:

gw-world:/> script -execute -name=my_script2.sgs -force

Все выходные данные выполненного скрипта появятся в консоли CLI. Обычно эти данные состоят из любых сообщений об ошибках, которые произошли во время выполнения. Для просмотра подтверждения выполнения каждой команды, используется опция –verbose:

gw-world:/> script -execute -name=my_script2.sgs -verbose

Сохранение скриптов. При загрузке файла скрипта на межсетевой экран NetDefend, первоначально он хранится только во временной памяти RAM. При перезапуске NetDefendOS все загруженные скрипты будут потеряны из этой энергозависимой памяти, и для их запуска потребуется повторная загрузка. Для хранения скриптов между перезапусками следует переместить их на диск NetDefendOS с энергонезависимой памятью Disk с помощью команды script –store.

Для перемещения файла с именем my_script.sgs в энергонезависимую память используется команда:

gw-world:/> script -store -name=my_script.sgs

В качестве альтернативного варианта, все скрипты могут быть перемещены в энергонезависимую память с помощью команды:

gw-world:/> script -store -all

Команда script без каких-либо параметров отображает список всех скриптов, доступных в настоящее время с указанием размера каждого скрипта и типа памяти.

gw-world:/> script
Name            Storage Size (bytes)
--------------  ------------ --------------
my_script.sgs   RAM          8
my_script2.sgs  Disk         10 

Загрузка файлов через SCP. Для загрузки файлов (Upload) на межсетевой экран NetDefend или с него (Download), может использоваться протокол Secure Copy (SCP). Протокол SCP основан на протоколе SSH и поддерживается множеством свободно доступных SCP-клиентов, существующих практически для всех платформ (например, для OC Windows можно воспользоваться свободным приложением – консольной утилитой PSCP).

Для того чтобы использовать SSH-подключение, необходимо разрешить управление межсетевого экрана NetDefend через SSH-протокол. Данную функцию можно задать через меню Web-интерфейса в папке System → Remote Management → Add → SSH Management с указанием интерфейса, через который будет осуществляться SSH-управление.

Синтаксис команд SCP является простым для большинства клиентов на основе консоли. Основная используемая здесь команда – scp, за которой следует источник (source) и назначение (destination) для передачи файлов.

Загрузка с локального ресурса – компьютера – на межсетевой экран NetDefend (Upload) выполняется с помощью команды:

> scp <local_filename> <destination_firewall>

Загрузка с межсетевого экрана NetDefend на компьютер (Download) выполняется с помощью команды:

> scp <source_firewall> <local_filename>

Где local_filename – это имя файла, а source_firewall и destination_firewall – источник и назначение устройств – вводится в форме:

<user_name (имя пользователя, назначенное в NetDefendOS)>@<firewall_ip_address (IP-адрес устройства) >:<filepath (тип файла)>.

Например, admin@192.168.10.1:config.bak .

После ввода команды будет предложено ввести пароль, назначенный в NetDefendOS.

Типы файлов, которые можно загружать Upload-Download между SCP-клиентом и NetDefendOS:



увеличить изображение

Как и все изменения настроек, загруженные файлы с использованием SCP активируются только после выполнения команд CLI activate, а затем – commit для применения изменений.

Загруженные файлы обновленного программного обеспечения (в формате файлов .upg) или полная резервная копия системы (full.bak) являются исключениями. Оба из этих типов файлов приводят к автоматической перезагрузке системы.

Примеры использования скриптов

Приведем пример № 1 использования скрипта общей конфигурации для импорта конфигурации во все модели серии NetDefend. Решение должно поддерживать следующие условия:

Для выполнения поставленной задачи необходимо выполнить шаги:

  1. Изменить адресную книгу – назначить IP-адресацию для WAN-интерфейса (IP-адрес интерфейса, адрес сети, IP-адрес шлюза по умолчанию, IP-адреса DNS-серверов) – в нашем примере интерфейс назовем ISP1.
  2. Добавить DHCP-сервер для автоматического получения IP-адресов компьютерами пользователей внутренней локальной сети – в нашем примере сервер назовем Lan_DHCPServer.

В любом текстовом редакторе (например, Блокноте) создаем текстовый файл с расширением .sgs , в котором прописываем команды, которые будут выполняться в соответствии с заданными шагами; сохраняем как, например, conf_b.sgs .

ВНИМАНИЕ: Имя скрипта должно содержать не более 16 символов!

Скрипт без использования переменных


увеличить изображение

Рис. 10.2.  Скрипт без использования переменных

Ethernet 1 – это интерфейс WAN/WAN1 (в зависимости от модели DFL) по умолчанию, как показано на рисунке:

Нумерация Ethernet-интерфейсов в межсетевых экранах NetDefend


увеличить изображение

Рис. 10.3.  Нумерация Ethernet-интерфейсов в межсетевых экранах NetDefend

Далее, загружаем созданный скрипт (например, через PSCP-клиента):

ВНИМАНИЕ: Файл скрипта должен находиться в той же папке, что и файл pscp.exe .

Загрузка скрипта в межсетевых экранах NetDefend


Рис. 10.4.  Загрузка скрипта в межсетевых экранах NetDefend

Проверяем, загрузился ли скрипт в папку script межсетевого экрана. Можно использовать подключение через консоль:

Отображение доступного скрипта в устройстве через консольное подключение


Рис. 10.5.  Отображение доступного скрипта в устройстве через консольное подключение

или через Ethernet-интерфейс с использованием SSH-протокола:

Отображение доступного скрипта в устройстве через SSH-подключение


Рис. 10.6.  Отображение доступного скрипта в устройстве через SSH-подключение

Далее, через консоль или SSH-клиента запускаем файл с именем conf_b.sgs .

Запуск скрипта в межсетевых экранах NetDefend


Рис. 10.7.  Запуск скрипта в межсетевых экранах NetDefend

Файл загружен успешно, проверяем результат либо с помощью CLI-команд,

Отображение изменений Ethernet-интерфейса в устройстве через консольное подключение


Рис. 10.8.  Отображение изменений Ethernet-интерфейса в устройстве через консольное подключение

либо через Web-интерфейс:

Отображение изменений Ethernet-интерфейса в устройстве через Web-интерфейс


увеличить изображение

Рис. 10.9.  Отображение изменений Ethernet-интерфейса в устройстве через Web-интерфейс

Отображение изменений интерфейсов в адресной книге через Web-интерфейс


Рис. 10.10.  Отображение изменений интерфейсов в адресной книге через Web-интерфейс

В первом примере использована конкретная IP-адресация и конкретный интерфейс для DHCP-сервиса. В случае если указанные значения меняются, можно использовать переменные (пример № 2):

Скрипт с использованием переменных


увеличить изображение

Рис. 10.11.  Скрипт с использованием переменных

Выполняем аналогичные шаги, что и в первом примере. Только при запуске файла (например, с именем conf_v.sgs) через консоль или SSH-клиента указываем значения переменных ($1=5.5.5.2 $2=5.5.5.0/24 $3=5.5.5.1 $4=1.1.1.1 $5=2.2.2.2 $6=lan):

Запуск скрипта через SSH-клиента


Рис. 10.12.  Запуск скрипта через SSH-клиента

Меню загрузки (Boot menu) через консоль. Загрузчик NetDefendOS – это основное программное обеспечение для управления системой NetDefendOS. Меню загрузки доступно только через консоль устройства, подключенного непосредственно к консольному порту межсетевого экрана NetDefend. Доступ осуществляется через консоль после включения межсетевого экрана NetDefend и запуска системы NetDefendOS.

После включения межсетевого экрана NetDefend запуск системы NetDefendOS произойдет через 3 секунды, в то же время появится сообщение Press any key to abort and load boot menu (Нажмите любую кнопку для прерывания или загрузки меню загрузки), отображенное ниже:

Запуск системы NetDefendOS


Рис. 10.13.  Запуск системы NetDefendOS

При нажатии любой консольной клавиши в течение 3 секунд, происходит остановка запуска системы NetDefendOS и отображается меню загрузки.

При первоначальном запуске системы NetDefendOS без установки пароля для доступа к консоли, отображается полный набор опций загрузки меню, как показано ниже:

Запуск системы NetDefendOS


Рис. 10.14.  Запуск системы NetDefendOS

  1. Start firewall. Обеспечивает запуск программного обеспечения NetDefendOS на межсетевом экране NetDefend.
  2. Reset unit to factory defaults. Обеспечивает сброс устройства к заводским настройкам по умолчанию. При выборе данной опции выполняются следующие операции:
  3. Revert to default configuration. В данном случае выполняется восстановление только конфигурации по умолчанию, что не влияет на остальные опции, например, безопасность консоли.
  4. Set console password. Установка пароля для доступа к консоли. Пока пароль не установлен, любой может использовать консоль, поэтому рекомендуется устанавливать пароль. После установки пароля, консоль выполнит запрос пароля прежде, чем будет разрешен доступ к меню загрузки или интерфейсу командной строки (CLI). Удалить консольный пароль можно, если при выборе данной опции оставить поле пароля незаполненным и нажать клавишу Enter.

Установка пароля для консоли не связана с именем пользователя/пароля, используемым для доступа администратора через Web-браузер.

Управление межсетевыми экранами NetDefend через Web-интерфейс

Для управления системой через Ethernet-интерфейс с помощью стандартного Web-браузера, NetDefendOS поддерживает интуитивно-понятный Web-интерфейс (WebUI). Что позволяет администратору конфигурировать устройство с любого сетевого компьютера без добавления специального клиентского программного обеспечения.

Общие свойства интерфейса

Новому межсетевому экрану D-Link NetDefend с заводскими настройками системой NetDefendOS автоматически назначен внутренний IP-адрес по умолчанию на интерфейсе LAN1 (или интерфейс LAN на моделях с одним локальным интерфейсом). IP-адрес, назначаемый интерфейсу управления, зависит от модели межсетевого экрана NetDefend.

Для моделей DFL-260E/860E/1660/2560 IP-адрес интерфейса управления при использовании протокола HTTPS по умолчанию: https://192.168.10.1 . А для более ранних моделей DFL-210/260/800/860/1600/2500 – https://192.168.1.1 .

Слева в Web-интерфейсе представлено древовидное меню, обеспечивающее навигацию по различным объектам NetDefendOS. Центральная часть Web-интерфейса отображает информацию о выбранном в меню объекте.

Основные свойства интерфейса

По умолчанию, доступ к Web-интерфейсу разрешен только из внутренней сети. Если необходимо включить доступ из других сегментов сети, можно сделать это, изменив политику удаленного управления.

Пример:

Включение удаленного управления через протокол HTTPS

Интерфейс командной строки:

gw-world:/> add RemoteManagement RemoteMgmtHTTP https Network=all-nets Interface=any LocalUserDatabase=AdminUsers HTTPS=Yes

Web-интерфейс:

  1. Перейдите в System → Remote Management → Add → HTTP/HTTPS Management.
  2. Введите Имя (Name) политики удаленного управления HTTP/HTTPS, например, https.
  3. Отметьте поле HTTPS.
  4. Выберите следующее из списков выпадающего меню:
    • User Database: AdminUsers
    • Interface: any
    • Network: all-nets
  5. OK

Конфигурирование межсетевых экранов NetDefend

Система конфигурации состоит из Объектов конфигурации, где каждый объект представляет собой конфигурируемый элемент различного типа. К объектам конфигурации относятся: записи в таблице маршрутизации, записи адресной книги, описание сервиса, IP-правила и т. д. Каждый объект конфигурации обладает набором свойств, которые составляют значения объекта.

При создании разнообразных конфигураций соединений, как правило, выполняются три шага конфигурирования:

Создание и проверка объектов.

Важнейшей частью конфигурации является ОБЪЕКТ (Objects).

Объект – это простейший элемент конфигурации, такой как IP-адрес, сеть, ключ и т.п. Каждый объект имеет имя и может использоваться во многих местах конфигурации устройства.

Объекты – основная единица конфигурации устройства, они используются практически везде: в таблицах маршрутизации, в правилах, в конфигурации интерфейсов, VPN и т.д.

Объекты – Адресная книга (Address Book)

Адресная книга содержит объекты c заданным именем, с различной адресацией, включая IP-адреса интерфейсов и диапазон адресов сетей. При использовании имен объектов вместо самих адресов, нужно будет изменить значение только одного поля, а не каждого, где встречается данный адрес.

Объект IPv4 Address предназначен для информации об адресах хостов, сетей и дапазонов IP-адресов. Каждый хост представляется своим уникальным IP-адресом (например: 192.168.1.1). IP-сеть представлена с использованием бесклассовой внутридоменной маршрутизации - Classless Inter Domain Routing (CIDR) или иначе – с маской подсети, например: 192.168.1.1/24. Диапазон обозначает последовательный порядок адресов хостов, например: диапазон 192.168.1.10-192.168.1.14 включает 5 хостов.

Добавление или изменение объектов адресной книги через Web-интерфейс межсетевого экрана NetDefend


увеличить изображение

Рис. 10.15.  Добавление или изменение объектов адресной книги через Web-интерфейс межсетевого экрана NetDefend

Автоматическая генерация адресов объектов. При первичном запуске системы определенным объектам адреса задаются автоматически. К ним относятся:

Объекты Ethernet-адреса используются для обозначения символьными именами Ethernet-адресов (или MAC-адресов). Они применяются, например, при заполнении ARP-таблиц статическими ARP-данными, или в другой части конфигурации, где символьное имя предпочтительнее числовых (шестнадцатиричных) Ethernet-адресов.

При определении Ethernet-адреса используется формат aa-bb-cc-dd-ee-ff.

Объекты – ALG with AV/WCF

ALG (Application Layer Gateway) – механизм, позволяющий анализировать трафик. Анализируются данные протоколов и предпринимают действия, базируясь на сконфигурированных правилах. Нужный ALG определяется при конфигурации сервиса (Service). Трафик, подпадающий под параметры сервиса, будет обработан с использованием выбранного ALG.

Добавление или изменение объектов ALG через Web-интерфейс   межсетевого экрана NetDefend


увеличить изображение

Рис. 10.16.  Добавление или изменение объектов ALG через Web-интерфейс межсетевого экрана NetDefend

Объекты – Сервисы (Services)

Определяется IP-протокол и его параметры. Например, сервис http определен как протокол TCP с портом назначения 80, а сервис SMTP использует порт 25.

При установке правил фильтрации сервиса возможно использование объекта all_services, ссылающегося на все протоколы, но с точки зрения безопасности эффективнее использовать более определенные типы сервисов.

Добавление или изменение объектов Сервисы через Web-интерфейс межсетевого экрана NetDefend


увеличить изображение

Рис. 10.17.  Добавление или изменение объектов Сервисы через Web-интерфейс межсетевого экрана NetDefend

ВНИМАНИЕ: Сервис http-all не включает в себя DNS-протокол. Необходимый для Web-серфинга DNS-протокол входит в состав сервиса dns-all, который можно добавить в группу сервиса http-all и связать IP-правилами.

Объекты – Расписание (Schedules)

Расписание позволяет применять правила только в определенное время.

Добавление или изменение объектов Расписание через Web-интерфейс межсетевого экрана NetDefend


увеличить изображение

Рис. 10.18.  Добавление или изменение объектов Расписание через Web-интерфейс межсетевого экрана NetDefend

Объекты аутентификации – Authentication Objects

Определяет аутентификацию пользователей и шлюзов с помощью Pre-shared-ключей и сертификатов X.509.

Сертификат – это цифровой аналог удостоверения личности. Он позволяет идентифицировать предъявителя надежным и безопасным способом по технологии открытого/закрытого ключей. Сертификаты могут быть использованы для аутентификации, как пользователей, так и других шлюзов. Например, сертификат может быть использован для аутентификации VPN-туннеля.

Добавление или изменение объектов аутентификации через Web-интерфейс межсетевого экрана NetDefend


увеличить изображение

Рис. 10.19.  Добавление или изменение объектов аутентификации через Web-интерфейс межсетевого экрана NetDefend

Создание правил

Раздел правил (Rules) предназначен для создания списка правил.

Правила межсетевого экрана – это "сердце" межсетевого экрана. Правила являются основным фильтром, который разрешает или запрещает определенному типу трафика проходить через межсетевой экран. Правила также используются для управления пропускной способностью, функцией ограничения полосы пропускания трафика, проходящего через интерфейс WAN.

Основные наборы правил системы NetDefendOS определяют политики безопасности и используются для фильтрации параметров. К ним относятся:

IP-правила, определяющие, какой трафик пройдет через межсетевой экран NetDefend и для какого трафика требуется преобразование адреса (выбор осуществляется в древовидном меню в папке Rules → IP Rules).

Pipe-правила, определяющие, какой трафик активирует ограничение полосы пропускания трафика Traffic Shaping (выбор осуществляется в древовидном меню в папке Traffic Managment → Traffic Shaping → Pipe Rules).

Правила маршрутизации на основе политик, определяющие таблицы маршрутизации для трафика (выбор осуществляется в древовидном меню в папке Routing → Routing Rules) .

Правила аутентификации, определяющие, какой трафик активизирует процесс аутентификации (выбор осуществляется в древовидном меню в папке User Authentification → User Authentification Rules) .

Существуют два способа пропускания трафика через межсетевой экран NetDefend:

Для обеспечения наилучшей безопасности в системе NetDefendOS по умолчанию применяется первый метод, т.е. при первой установке и запуске в NetDefendOS не определены IP-правила, за исключением минимальных, и весь трафик отклоняется. Для прохождения любого трафика через межсетевой экран NetDefend (включая ICMP-запросы Ping) администратору необходимо определить соответствующие IP-правила.

Когда через межсетевой экран устанавливается новое соединение, то правила проверяются по списку сверху вниз до тех пор, пока не будет найдено правило, соответствующее новому соединению. Для нового соединения выполнятся действие, записанное в правиле. Если это действие – разрешить (Allow), соединение устанавливается, и структура, описывающая соединение, добавляется во внутреннюю таблицу соединений межсетевого экрана. Если действие – запретить (Reject) или отклонить (Drop), соединение будет отклонено.

Выбор необходимого действия производится при создании правила в поле Action:

Выбор действия для правил (IP Rules)


увеличить изображение

Рис. 10.20.  Выбор действия для правил (IP Rules)

Drop (отклонить) – Пакеты, попадающие под правило с действием "Drop", будут немедленно отклонены. Информация о таких пакетах будет занесена в журнал (log), если на странице Logging Settings включена регистрация событий в журнале.

Выбор действий


Рис. 10.21.  Выбор действий

Reject (отклонить) – Действие "Reject" работает примерно также как и Drop. Но кроме этого, межсетевой экран отправляет сообщение ICMP UNREACHABLE назад отправителю пакета или, если отклоненный пакет был пакетом TCP, сообщение TCP RST. Информация о таких пакетах будет занесена в журнал (log), если на странице Logging Settings включена регистрация событий в журнале.

Allow (разрешить) – Пакеты, попадающие под правило с действием "Allow", будут проходить далее в систему проверки содержимого, которая будет помнить, какое соединение было открыто. Информация об открытых соединениях записывается в таблицу соединений. Поэтому, правила для обратного трафика не требуются, поскольку трафик, относящийся к отрытым соединениям, автоматически пропускается, не добираясь до правил проверки. Если на странице Logging Settings включена регистрация проверки трафика, будет выполняться запись в журнал соответствующих сообщений (log).

NAT (динамическая трансляция адресов) – Правило с действием "NAT" динамически транслирует адреса и "скрывает" адрес отправителя. В основном используется для скрытия внутренних адресов защищаемой сети – все компьютеры внутренней сети используют один внешний адрес.

Forward fast (быстрый проброс) – Пакетам, удовлетворяющим правилу с действием "Forward fast", прохождение разрешается незамедлительно. Межсетевой экран не записывает соединения по этим правилам в таблицу соединений, и, соответственно, не отслеживает контекст соединения для этих пакетов. Этот метод работает быстрее для протоколов, не использующих соединения. Для протоколов с большим объемом передаваемого трафика через одно соединение действие Allow работает быстрее.

SAT (статическая трансляция адреса) – Правило с действием "SAT" определяет статическую трансляцию адреса из внешнего во внутренний. Решение о разрешении прохождения трафика принимается другими правилами.

SLB SAT* (Server Load Balancing SAT) – Балансировка нагрузки сервера с использованием статической трансляции.

Multiplex SAT* – Правило с действием Multiplex SAT определяет статическую трансляцию для широковещательных адресов.

* Доступность действий SLB SAT и Multiplex SAT зависит от конкретной модели.

Назначение опций при создании правил

Опции для правил (IP Rules)


увеличить изображение

Рис. 10.22.  Опции для правил (IP Rules)

Adrress Filter – Фильтр по адресу источника и назначения.

Source Interface – Указывает интерфейс, с которого принят пакет. Может быть указан VPN-туннель.

Source Network – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес источника в принятом пакете.

Destination Interface – Указывает интерфейс, через который передается принятый пакет. Может быть указан VPN-туннель.

Destination Network – Определяет диапазон IP-адресов, с которыми будет сравниваться адрес назначения в принятом пакете.

Применительно к межсетевым экранам выделяют два логических интерфейса: core и any.

Core находится в "сердце" межсетевого экрана, от физических интерфейсов весь трафик пересылается на интерфейс core с целью управления политиками безопасности.

Any – означает все возможные интерфейсы, включая core.

Расписание применения правил – Необходимое расписание применения правил можно выбрать из выпадающего меню в поле Schedules. Если правило должно быть активно всегда, указывается Always.

Создание и проверка правил маршрутизации

Системой NetDefendOS поддерживается два типа маршрутизации: статическая и динамическая.

Статическая маршрутизация – основная и наиболее распространенная форма маршрутизации. Термин "статическая" означает, что записи в таблицу маршрутизации добавляются вручную и поэтому постоянны (статичны). Для больших сетей, где применятся сложная топология построения, запись в таблицы маршрутизации вручную затруднительна и отнимает много времени. В таких случаях используется динамическая маршрутизация.

Задача маршрутизации решается на основе анализа записей таблиц маршрутизации (Routing Tables) – правил, а единственные данные, которые можно фильтровать, – это IP-адрес назначения пакета. Маршрутизацией, основанной на правилах, обычно называется расширенная маршрутизация, при которой дополнительные поля пакета учитываются при принятии решения о его маршрутизации. В межсетевых экранах каждое правило может содержать собственное решение по маршрутизации; по существу, маршрутизация проводится в соответствии с IP-адресами источника и назначения.

Приведем пример работы межсетевого экрана NetDefend c использованием типичной маршрутизации.

Сценарий типичной маршрутизации


Рис. 10.23.  Сценарий типичной маршрутизации

Компьютеры пользователей соединены через LAN-интерфейс с адресацией сети 192.168.1.0/24 . Через DMZ-порт создана DMZ-сеть с адресацией 172.17.100.0/24 . Через WAN-интерфейс 10.10.10.0/24 и ISP-шлюз 10.10.10.1 организован публичный доступ в Интернет.

Для данного примера таблица маршрутизации выглядит следующим образом:



Информация из таблицы определяет:

Маршрут с назначением all-nets называется Default Route (маршрут по умолчанию), так как он будет соответствовать всем пакетам, маршрут которых не определен. Такой маршрут обычно определяет интерфейс, связанный с публичной сетью Интернет.

Основная таблица маршрутизации с настройками по умолчанию


увеличить изображение

Рис. 10.24.  Основная таблица маршрутизации с настройками по умолчанию

Основная таблица маршрутизации с настройками прозрачного режима (Transparent mode)


увеличить изображение

Рис. 10.25.  Основная таблица маршрутизации с настройками прозрачного режима (Transparent mode)

Таблица маршрутизации содержит информацию, на основе которой межсетевой экран принимает решение о дальнейшей пересылке пакетов. Таблица состоит из маршрутов, в каждом из которых содержится интерфейс назначения, сеть назначения, шлюз назначения, т.е. адрес хоста, которому следует передавать пакеты, и метрики. Метрики записей в таблице используются при вычислении кратчайших маршрутов к различным получателям. У основного подключения метрика имеет высший приоритет в отличие от резервного подключения (чем меньше параметр метрики, тем главнее маршрут). По умолчанию метрика маршрутов равна 100.

Системой NetDefendOS поддерживается дополнительная функция route monitoring (мониторинг маршрутов), предназначенная для контроля за успешным или неуспешным ходом выполнения маршрутизации.

По умолчанию межсетевой экран управляется основной таблицей маршрутизации. Кроме этого, устройство позволяет создавать собственные политики маршрутизации - Policy Routing. Для этого создаются альтернативные таблицы маршрутизации, состоящие из перечня маршрутов и самих политик. Маршруты определяют куда будут посылаться пакеты: интерфейс, адрес шлюза, адрес, который станет адресом источника пакетов в случае, если интерфейс имеет несколько IP-адресов. Политики направляют трафик в определенную таблицу маршрутизации (основную или альтернативную) в зависимости от адресов и интерфейсов источника/назначения, протоколов и портов (в случае протокола TCP или UDP) и расписания.

Следует отметить, что маршруты в таблицах маршрутизации, настроенных администратором, могут добавляться, удаляться и изменяться автоматически в процессе работы и эти изменения отображаются в таблицах маршрутизации. Это может быть связано с использованием динамической маршрутизации OSPF, т.е. записи в таблицах маршрутизации будут обновляться новыми маршрутами, полученными от других маршрутизаторов OSPF-сети. На содержание таблиц маршрутизации могут повлиять и неудачные (fail-over) маршруты.

При первом запуске межсетевого экрана система NetDefendOS автоматически добавит маршрут в главную таблицу маршрутизации main для каждого физического интерфейса с метрикой по умолчанию 100:

Основная таблица маршрутизации


увеличить изображение

Рис. 10.26.  Основная таблица маршрутизации

Автоматически создаваемые маршруты нельзя удалять вручную из таблицы маршрутизации. В свойствах интерфейса следует отключить опцию Automatically add a route for this interface using the given network (автоматическое добавление маршрута для этого интерфейса, использующего данную сеть):

Отключение опции автоматического добавления маршрута


увеличить изображение

Рис. 10.27.  Отключение опции автоматического добавления маршрута

После отключения этой опции маршрут, созданный автоматически, будет удален из таблицы маршрутизации:

Автоматическое удаление маршрута из основной таблицы маршрутизации


увеличить изображение

Рис. 10.28.  Автоматическое удаление маршрута из основной таблицы маршрутизации

Маршрут all-nets (все сети) – наиболее важный маршрут, который обычно предназначен для публичного доступа в Интернет через ISP и определяется для любого физического интерфейса, который используется для соединения с Интернетом. В Web-интерфейсе маршрут all-nets добавляется в расширенных настройках (вкладка Advanced) Ethernet-интерфейса с помощью опции Automatically add a default route for this interface using the given default gateway (автоматическое добавление заданного по умолчанию маршрута для этого интерфейса, использующего заданный шлюз по умолчанию):

Автоматическое добавление заданного по умолчанию маршрута


увеличить изображение

Рис. 10.29.  Автоматическое добавление заданного по умолчанию маршрута

При включении этой опции маршрут all-nets автоматически добавляется в основную таблицу маршрутизации main интерфейса.

Маршруты Core (Core Routes) . Система NetDefendOS автоматически добавляет в таблицу маршрутизации маршруты Core. Эти маршруты предназначены непосредственно для системы и служат для определения движения трафика. Существует маршрут, который обязательно добавляется в каждый интерфейс системы. Другими словами, для LAN-интерфейса с адресом 192.168.1.1 и WAN-интерфейса с адресом 10.10.10.5 назначаются следующие маршруты:



увеличить изображение

При получении системой IP-пакета, чей адрес назначения – один из IP-интерфейсов (т.е. IP-адрес одного из интерфейсов системы), он направляется на интерфейс core, то есть обрабатывается непосредственно системой NetDefendOS.

Помимо этого, создается маршрут для всех адресов многоадресной рассылки:



увеличить изображение

По умолчанию маршруты Core не отображаются в таблице маршрутизации и для просмотра этих маршрутов следует включить опцию Show all routes в меню Status → Routes. Отображение маршрутов Core появится в этом же окне:

Включение опции отображения всех маршрутов


увеличить изображение

Рис. 10.30.  Включение опции отображения всех маршрутов

Маршрутизация на основе правил (Policy-Base Routing)

Когда возникает необходимость в PBR?

Маршрутизация на основе правил (PBR) используется там, где необходимо разделять трафик по какому-либо признаку и выбирать разный маршрут для каждого типа трафика в сочетании с интерфейсом источника/назначения и сетью источника/назначения.

Использование маршрутизации на основе правил


увеличить изображение

Рис. 10.31.  Использование маршрутизации на основе правил

PBR предоставляет администраторам гибкие возможности для определения правил маршрутизации на основе различных критериев, используя при этом альтернативные таблицы маршрутизации.

Добавление или изменение маршрутизации на основе правил


Рис. 10.32.  Добавление или изменение маршрутизации на основе правил

Стандартная маршрутизация отправляет пакеты согласно информации об IP-адресе получателя, полученной из статических или динамических протоколов маршрутизации. Например, при использовании OSPF, маршрут для пакета выбирается из SPF-расчета наименьшей длины пути. В PBR маршруты для трафика можно выбирать, исходя из определенных параметров трафика.

PBR может быть следующих типов:

Приведем пример использования различных маршрутов для входящего и исходящего трафика и/или решения вопроса о направлении всего трафика определенного сервиса (например, ftp-трафика) через второго провайдера, а в случае его недоступности, через первого. Для этого создается альтернативная таблица маршрутизации, например alternative, с соответствующими маршрутами:

Добавление альтернативной таблицы маршрутизации


увеличить изображение

Рис. 10.33.  Добавление альтернативной таблицы маршрутизации

и правило (Routing Rule), указывающее маршрутизацию трафика в соответствии с таблицами:

Создание правила с использованием таблиц маршрутизации


увеличить изображение

Рис. 10.34.  Создание правила с использованием таблиц маршрутизации

Для трафика, удовлетворяющего условиям, которые заданы фильтрами Address Filter (интерфейсы источника/назначения) и Service (протокол), указывается таблица маршрутизации, в соответствии с которой будет обрабатываться трафик (10.35). Т.е., если трафик соответствует условиям данных фильтров, то он будет обработан согласно той таблице маршрутизации, на которую указывает Forward Table и Return Table. Forward Table определяет какой таблице маршрутизации обрабатывать исходящий трафик (в нашем примере – alternative), а Return Table указывает какая таблица маршрутизации будет использована для обработки входящего трафика (main). Благодаря такой структуре правил маршрутизации возможно гибкое управление как входящим, так и исходящим трафиком согласно заданным условиям (протоколу, источнику трафика и/или его назначению, а так же согласно его расписанию).

Использование опций при создании правила маршрутизации


увеличить изображение

Рис. 10.35.  Использование опций при создании правила маршрутизации

Выбор таблицы маршрутизации

Когда система получает пакет, относящийся к новому соединению, то для выбора таблицы маршрутизации выполняются следующие шаги:

  1. Прежде чем применять правила маршрутизации, с помощью основной таблицы маршрутизации определяется интерфейс назначения. Поэтому важно, чтобы в таблице main был хотя бы маршрут по умолчанию (all-nets), который будет использован в случае, если более подходящий маршрут не будет найден.
  2. На данном этапе, осуществляется поиск правил, соответствующих заданным параметрам: интерфейс и сеть источника/назначения и выбранный протокол/сервис. Если соответствующее правило найдено, то используется определенная таблица маршрутизации. Если соответствующее правило не найдено, то используется таблица main.
  3. Как только выбрана необходимая таблица маршрутизации, осуществляется проверка фактической принадлежности IP-адреса источника принимающему интерфейсу. Ищется соответствие с правилами доступа (Access Rules). Если правила доступа или соответствие с ними не найдено, то в выбранной таблице маршрутизации осуществляется обратный поиск, а в качестве параметра используется IP-адрес источника. В случае если соответствие не найдено, в журнале Log генерируется сообщение об ошибке Default access rule.
  4. На данном этапе в выбранной таблице маршрутизации осуществляется поиск маршрута, по которому пакет будет отправлен на интерфейс назначения. На результаты поиска влияет параметр Ordering. Для реализации виртуальной системы следует использовать опцию Only.
  5. С этого момента соединение обрабатывается обычным набором IP-правил. Если в проверке участвует правило SAT, то выполняется преобразование адреса. Решение о том, какой маршрут использовать принимается до преобразования адресов, но фактический поиск маршрута выполняется с уже преобразованным адресом. Следует обратить внимание на то, что первоначальный поиск маршрута для определения интерфейса назначения осуществляется с еще не преобразованным адресом.
  6. Если проверка IP-правилами прошла успешно, то в таблице состояний системы NetDefendOS открывается новое соединение и пакет передается через это соединение.

При выборе соответствующей альтернативной таблицы применяются связанные с таблицей параметры Ordering, которые устанавливают, как альтернативная таблица объединена с основной таблицей main. Существуют три возможные опции:

Первые две опции можно считать как объединение альтернативной таблицы с таблицей main и назначать только один маршрут, если в обеих таблицах найдено соответствие.

ВНИМАНИЕ: Маршрут с интерфейсом all-nets обязательно должен присутствовать в основной таблице main.

Проброс портов с использованием PBR

Довольно часто возникают ситуации, когда необходимо настроить проброс портов для доступа из внешней во внутреннюю сеть по резервному каналу (например, WAN2).

Для этого надо создать правило, которое укажет устройству, что на весь входящий трафик, направленный к резервному интерфейсу (wan2_ip), необходимо использовать альтернативную таблицу маршрутизации (Return routing table). Ниже приведет пример данного правила:

Пример настройки правила (Routing Rule) при применении проброса портов


Рис. 10.36.  Пример настройки правила (Routing Rule) при применении проброса портов

Дополнения

Дополнение. Приложения

Приложение A. Знакомство с Web-интерфейсом Интернет-маршрутизаторов D-Link на примере DIR-857

1. Соединяем сетевым кабелем компьютер и маршрутизатор (LAN-порт).

На компьютере:

Пуск→Настройка→Сетевые подключения→Подключение по локальной сети. Вызвать контекстное меню, выбрать Свойства→Протокол Интернета TCP/IP→Свойства..

В маршрутизаторах серии DIR/DSR по умолчанию включен DHCP-сервер, поэтому в сетевых настройках компьютера укажем "Получить IP-адрес автоматически".

Настройка соединения на компьютере


Рис. 11.1.  Настройка соединения на компьютере

2. После получения IP-адреса компьютером, откроем Web-страницу маршрутизатор. Для этого загружаем Web-браузер (Internet Explorer, Mozilla Firefox и др.) и набираем в адресной строке http://192.168.0.1 (IP-адрес маршрутизатора по умолчанию).

Появится приглашение на ввод имени и пароля (по умолчанию User Name: "Admin", Password: пустое поле).

Страница аутентификации маршрутизатора


Рис. 11.2.  Страница аутентификации маршрутизатора

3. Настройка Internet-интерфейса:

Вкладка SETUP→ Internet→ кнопка Manual Configure.

На этой странице указываются данные настроек, которые представил Интернет- провайдер.

Страница настройки интерфейса Интернет


увеличить изображение

Рис. 11.3.  Страница настройки интерфейса Интернет

4. Настройка LAN-интерфейса:

Вкладка SETUP→Network Settings.

Страница настройки LAN


увеличить изображение

Рис. 11.4.  Страница настройки LAN

5. Настройка беспроводного соединения (если маршрутизатор поддерживает Wi-Fi):

Вкладка SETUP→Wireless Settings.

6. Произвести настройки перенаправления портов, фильтрации, маршрутизации можно во вкладке ADVANCED.

Страница настройки проброса портов


увеличить изображение

Рис. 11.5.  Страница настройки проброса портов

Здесь же можно настроить функции межсетевого экрана, в том числе – DMZ.

Страница настройки межсетевого экрана


увеличить изображение

Рис. 11.6.  Страница настройки межсетевого экрана

7. Во вкладке MAINTENANCE производятся настройки смены пароля, управления с удаленного компьютера. Здесь же настраивается дата-время, расписание, регистрация событий, а также предусмотрена возможность смены прошивки ПО.

Страница настройки управления


увеличить изображение

Рис. 11.7.  Страница настройки управления

8. Статистику о произведенных настройках, активных соединениях можно узнать во вкладке STATUS.

Страница просмотра рабочего состояния маршрутизатора


увеличить изображение

Рис. 11.8.  Страница просмотра рабочего состояния маршрутизатора

9. Настроить виртуальную частную сеть с помощью маршрутизаторов, поддерживающих данную возможность, можно при выборе необходимого протокола. Пример страницы с настройками VPN приведен на Web-интерфейсе маршрутизатора DSR-250N.

Вкладка SETUP→VPN Settings.

Страница настройки VPN


Рис. 11.9.  Страница настройки VPN

10. Для того чтобы изменения вступили в силу, необходимо нажать кнопку Save Settings.

Приложение В. Знакомство с Web-интерфейсом межсетевых экранов NetDefend D-Link на примере DFL-860E

1. Соединяем сетевым кабелем компьютер и межсетевой экран (LAN-порт).

На компьютере:

Пуск→Настройка→Сетевые подключения→Подключение по локальной сети. Вызвать контекстное меню, выбрать Свойства→Протокол Интернета TCP/IP→Свойства.

Использовать следующий IP-адрес: 192.168.10.ххх (xxx – уникальный номер, кроме 1) и маску подсети 255.255.255.0.

Настройка соединения на компьютере


Рис. 11.10.  Настройка соединения на компьютере

2. Подключаемся к межсетевому экрану.

Загружаем Web-браузер (Internet Explorer, Mozilla Firefox и др.).

Набираем в адресной строке https://192.168.10.1 (IP-адрес межсетевого экрана по умолчанию).

Появится приглашение на ввод имени и пароля ("admin", "admin").

Страница аутентификации межсетевого экрана NetDefend


Рис. 11.11.  Страница аутентификации межсетевого экрана NetDefend

3. В меню Home→ папке System производятся настройки даты-времени, управления с удаленного компьютера, регистрации событий, DHCP-службы и др.:

Страница элементов папки System


увеличить изображение

Рис. 11.12.  Страница элементов папки System

Использование протоколов HTTP и HTTPS для управления межсетевым экраном:

Страница настройки доступа к управлению межсетевым экраном


Рис. 11.13.  Страница настройки доступа к управлению межсетевым экраном

Также в папке System → Advanced Settings настраиваются различные параметры протоколов:

Страница элементов расширенных настроек (Advanced Settings)


увеличить изображение

Рис. 11.14.  Страница элементов расширенных настроек (Advanced Settings)

4. Создание новых и изменение настроек существующих объектов производится в папке Objects→Address Book:

Страница настроек элементов папки Objects→InterfaceAddresses


Рис. 11.15.  Страница настроек элементов папки Objects→InterfaceAddresses

Создание новых и изменение настроек существующих сервисов производится в разделе Objects→Services:

Страница раздела Services


увеличить изображение

Рис. 11.16.  Страница раздела Services

В папке Objects→Authentication Objects создаются и настраиваются ключи и сертификаты для их дальнейшего использования в протоколах шифрования:

Страница раздела Authentication Objects


Рис. 11.17.  Страница раздела Authentication Objects

В папке Objects→VPN Objects настраиваются алгоритмы шифрования:

Страница настроек алгоритмов шифрования


Рис. 11.18.  Страница настроек алгоритмов шифрования

5. В папке Rules создаются и изменяются различные разрешающие или запрещающие правила прохождения трафика между интерфейсами:

Страница элементов папки Rules


увеличить изображение

Рис. 11.19.  Страница элементов папки Rules

6. Настройки параметров интерфейсов производятся в папке Interfaces:

Страница настроек элементов папки Ethernet


Рис. 11.20.  Страница настроек элементов папки Ethernet

7. В папке Routing находится основная таблица маршрутизации, заданная по умолчанию. Здесь же создаются и настраиваются альтернативные таблицы маршрутизации. А также настраивается маршрутизация при использовании функций IGMP и балансировки нагрузки:

Страница настроек элементов папки Routing


увеличить изображение

Рис. 11.21.  Страница настроек элементов папки Routing

8. В папке IDP/IDS производятся настройки системы обнаружения и предотвращения вторжений:

Страница настроек элементов папки IDP/IDS


увеличить изображение

Рис. 11.22.  Страница настроек элементов папки IDP/IDS

9. В папке User Authentication настраиваются параметры аутентификации пользователей, в том числе пароль для управления устройством:

Страница настроек аутентификации пользователей


увеличить изображение

Рис. 11.23.  Страница настроек аутентификации пользователей

10. Настроить параметры для управления полосой пропускания трафика можно в папке Traffic Management:

Страница настроек полосы пропускания трафика


увеличить изображение

Рис. 11.24.  Страница настроек полосы пропускания трафика

11. В папке ZoneDefense производятся настройки при использовании функции ZoneDefense:

Страница настроек элементов папки ZoneDefense


увеличить изображение

Рис. 11.25.  Страница настроек элементов папки ZoneDefense

12. Все созданные или измененные настройки должны подтверждаться нажатием кнопки "OK".

13. Сохранение, отмена или просмотр проделанных изменений производится в меню Configuration:

Страница активирования изменений


увеличить изображение

Рис. 11.26.  Страница активирования изменений

14. В меню Tools можно проверить наличие соединений при помощи команды Ping. Здесь же генерируется SSH-ключ для защиты соединения при управлении межсетевым экраном SSH-протоколом (SSH Key Generator):

Меню выбора команд Ping и генерирования SSH-ключей


Рис. 11.27.  Меню выбора команд Ping и генерирования SSH-ключей

15. Статистику произведенных настроек, активных соединений, регистрацию событий можно узнать в меню Status:

Страница рабочего состояния межсетевого экрана NetDefend


Рис. 11.28.  Страница рабочего состояния межсетевого экрана NetDefend

16. Сбросить конфигурацию к заводским настройкам, обновить прошивку ПО, а также активизировать регистрацию межсетевого экрана NetDefend на сайте http://security.dlink.com.tw можно в меню Maintenance:

Меню технического сопровождения межсетевого экрана NetDefend


Рис. 11.29.  Меню технического сопровождения межсетевого экрана NetDefend

Приложение С. Сравнительная таблица межсетевых экранов D-Link серии NetDefend









Дополнение. Практика

Примечания

Практические работы, предложенные в данной книге, выполняются с использованием межсетевого экрана DFL-860E, однако их выполнение допустимо и на других моделях серии DFL. Нюансы могут заключаться в другом именовании интерфейсов, отличающемся Web-интерфейсе или отсутствующей рассматриваемой опции для данной модели/прошивки.

По окончании ввода правил, объектов и т.п. нажимайте ОК.

Objects->Address Book означает, что в корневом каталоге с левой стороны экрана сначала необходимо выбрать папку Objects (откроется окно) и затем – папку Address Book. При создании нового объекта в операционной системе NetDefendOS межсетевого экрана серии DFL, ему следует назначить уникальное имя (по умолчанию вновь создаваемые объекты называются Untitled). lan, lan1, lan2, lan3, dmz, wan1, wan2 – обозначение интерфейсов межсетевого экрана.

Лабораторные занятия

Материалы для занятий расположены  здесь.


Литература