Межсетевой экран spi. Зачем нужен сетевой экран в роутере. Проблемы, связанные с NAT-устройствами

Для Windows Phone 27.03.2019
Для Windows Phone

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

    обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;

    происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;

    отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

    традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);

    персональный межсетевой экран – программа, установленная на пользова-тельском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

    сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;

    сеансовом уровне (также известные, как stateful ), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;

    прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

    сравнительно невысокая стоимость;

    гибкость в определении правил фильтрации;

    небольшая задержка при прохождении пакетов.

Недостатки:

    не собирает фрагментированные пакеты;

    нет возможности отслеживать взаимосвязи (соединения) между пакетами.?

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

    stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;

    stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

    анализ содержимого пакетов;

    не требуется информации о работе протоколов 7 уровня.

Недостатки:

    сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Рис. 2.12. Пример работы механизма Stateful Inspection с FTP-протоколом

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой, а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня прил ожений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

К преимуществам такой фильтрации относится:

    простые правила фильтрации;

    возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием "дыр" в программном обеспечении;

    способность анализировать данные приложений.

Недостатки:

    относительно низкая производительность по сравнению с фильтрацией пакетов;

    proxy должен понимать свой протокол (невозможность использования с неизвестными протоколами)?;

    как правило, работает под управлением сложных ОС.

1 590 руб.

TP-Link TP-LINK TD-W8961N(RU)

. С поддержкой ADSL2+. С поддержкой Telnet. Количество портов коммутатора - 4. Со статической маршрутизацией. С встроенным маршрутизатором. С функцией SPI . Исполнение - внешний. С поддержкой NAT. С поддержкой Dynamic DNS. Тип модема - ADSL. С поддержкой SNMP. С DHCP-сервером. С встроенным коммутатором. Интерфейс - Ethernet. С веб-интерфейсом. С демилитаризованной зоной (DMZ). Размеры 130х195х35 мм.

купить в интернет-магазине TopComputer.RU

возможен самовывоз

видеообзор фото

1 390 руб.

7% 1 490 руб.

Модем xDSL TP-LINK TD-W8901N

Поддержка VPN (VPN pass through). Встроенный маршрутизатор. Встроенный коммутатор. Поддержка Dynamic DNS. Веб-интерфейс. Поддержка Telnet. С количеством портов коммутатора 4. SPI . Межсетевой экран (Firewall) . DHCP-сервер. NAT. Исполнение - внешний. Демилитаризованная зона (DMZ). Интерфейс - Ethernet. Тип модема - ADSL. Поддержка SNMP. Поддержка ADSL2+. С глубиной: 128 мм. С шириной: 35 мм. С высотой: 182 мм.

купить в интернет-магазине XcomShop

возможен самовывоз

видеообзор фото

790 руб.

Модем UPVEL UR-104AN ADSL2+ роутер с 4 портами Ethernet 10/100 Мбит/с с поддержкой IP-TV

Со статической маршрутизацией. С демилитаризованной зоной (DMZ). С поддержкой NAT. С DHCP-сервером. С поддержкой VPN-туннелей (VPN Endpoint). С поддержкой ADSL2+. С функцией SPI . С межсетевым экраном (Firewall) . Количество портов коммутатора - 4. Интерфейс - Ethernet. Исполнение - внешний. Число поддерживаемых VPN-туннелей - 100. С встроенным маршрутизатором. С поддержкой SNMP. С поддержкой Dynamic DNS. С веб-интерфейсом. С встроенным коммутатором. Тип модема - ADSL. Вес: 180 г. Размеры 110х160х35 мм.

купить в интернет-магазине Oldi.ru

видеообзор фото

2 261 руб.

Модем D-link DSL-2640U

Поддержка SNMP. Поддержка ADSL2+. SPI . Исполнение - внешний. Межсетевой экран (Firewall) . Демилитаризованная зона (DMZ). Тип модема - ADSL. Поддержка VPN-туннелей (VPN Endpoint). Поддержка VPN (VPN pass through). Интерфейс - Ethernet. DHCP-сервер. NAT. Веб-интерфейс. Статическая маршрутизация. Встроенный коммутатор. Поддержка Dynamic DNS. Встроенный маршрутизатор. С количеством портов коммутатора 4. С весом: 327 г.

в интернет-магазине price-com.ru

видеообзор фото

1 890 руб.

TP-Link TP-LINK TD-W8968

Тип модема - ADSL. С веб-интерфейсом. С DHCP-сервером. С поддержкой Dynamic DNS. С поддержкой Telnet. С демилитаризованной зоной (DMZ). С встроенным маршрутизатором. С функцией SPI . С межсетевым экраном (Firewall) . С поддержкой NAT. Со статической маршрутизацией. Интерфейс - Ethernet. Исполнение - внешний. С поддержкой SNMP. Количество портов коммутатора - 4. С поддержкой ADSL2+. С поддержкой VPN (VPN pass through). С встроенным коммутатором. С глубиной: 130 мм. С шириной: 195 мм. С высотой: 36 мм.

в интернет-магазине TopComputer.RU

возможен самовывоз

видеообзор фото

1 590 руб.

Модем xDSL TP-LINK TD-W8961N

Демилитаризованная зона (DMZ). Встроенный коммутатор. SPI . NAT. Исполнение - внешний. Поддержка ADSL2+. Поддержка Telnet. Интерфейс - Ethernet. Межсетевой экран (Firewall) . Поддержка SNMP. Поддержка Dynamic DNS. DHCP-сервер. Веб-интерфейс. С количеством портов коммутатора 4. Тип модема - ADSL. Статическая маршрутизация. Встроенный маршрутизатор. Глубина: 130 мм. Ширина: 195 мм. Высота: 35 мм.

в интернет-магазине XcomShop

возможен самовывоз

видеообзор фото

2 075 руб.

ADSL-модем Upvel UR-203AWP

Исполнение - внешний. С поддержкой ADSL2+. С поддержкой SNMP. Интерфейс - Ethernet. Тип модема - ADSL. С веб-интерфейсом. Со статической маршрутизацией. С функцией SPI . С межсетевым экраном (Firewall) . С поддержкой Telnet. С встроенным маршрутизатором. Количество портов коммутатора - 3. С демилитаризованной зоной (DMZ). С поддержкой NAT. С DHCP-сервером. С поддержкой VPN (VPN pass through). С встроенным коммутатором. С поддержкой Dynamic DNS. С шириной: 175 мм. С глубиной: 115 мм. С высотой: 30 мм. С весом: 280 г.

в интернет-магазине TopComputer.RU

возможен самовывоз

фото

1 790 руб.

Модем xDSL TP-LINK TD-W8960N

Демилитаризованная зона (DMZ). DHCP-сервер. Поддержка VPN (VPN pass through). Поддержка Dynamic DNS. Встроенный коммутатор. Поддержка SNMP. SPI . Межсетевой экран (Firewall) . NAT. Интерфейс - Ethernet. Консольный порт. Веб-интерфейс. Тип модема - ADSL. С числом поддерживаемых VPN-туннелей 10 . Исполнение - внешний. Поддержка VPN-туннелей (VPN Endpoint). Поддержка ADSL2+. Статическая маршрутизация. Встроенный маршрутизатор. С количеством портов коммутатора 4. С глубиной: 140 мм. С высотой: 28 мм. С шириной: 200 мм.

Компания D-Link является известным разработчиком и поставщиком аппаратных решений для построения компьютерных сетей любого масштаба. В линейку продуктов также входят устройства для обеспечения защиты сети от внешних угроз: межсетевые экраны и системы обнаружения вторжений. Мы обратились к представителю D-Link с просьбой рассказать, какие технологии используются в аппаратных решениях для обеспечения IT-безопасности, чем аппаратные решения отличаются от своих программных аналогов и в каких случаях, какой класс продуктов наиболее оптимален. Определенная часть интервью также посвящена специфике российского рынка решений в сфере IT-безопасности, а также его тенденциям и перспективам. На наши вопросы отвечает Иван Мартынюк, консультант по проектам компании D-Link.


Иван Мартынюк, консультант по проектам компании D-Link



Алексей Доля : Вы не могли немного рассказать о своей компании?

Иван Мартынюк : По меркам IT-индустрии компания D-Link является довольно старой компанией. Она была организована в марте 1986 года. 87 региональных офисов компании осуществляют продажу и поддержку оборудования на территории более чем 100 стран мира. В компании работает более трёх тысяч сотрудников. Если говорить о сфере деятельности компании, то D-Link является крупнейшим производителем сетевого оборудования для сегментов малого и среднего бизнеса, так, согласно ряду исследований потребительского сектора рынка сетевого оборудования, проведенных аналитической компанией Synergy Research Group, D-Link занимает первое место в мире по объему продаж оборудования в этом секторе. По данным Synergy Research Group, в первом квартале 2004 года компания D-Link продала более 8 миллионов сетевых устройств, что почти в два раза превосходит количество устройств, проданных ее ближайшим конкурентом. А по оценкам IDC, D-Link занимает первое место по продажам коммутаторов и беспроводного оборудования в странах Азиатско-Тихоокеанского региона.


Алексей Доля : Как давно вы занимаетесь разработкой продуктов для защиты сетей? Что это за продукты?

Иван Мартынюк : Первые специализированные продукты для защиты сетей появились у нашей компании не очень давно - в 2002 году. Относительно позднее появление компании в этом сегменте вызвано политикой работы на рынке. D-Link занимается выпуском только массовой "устоявшейся" продукции, которая обладает высоким рыночным спросом. Компания не разрабатывает новейшие технологии и протоколы, а использует в своих продуктах уже хорошо отлаженные стандартизированные спецификации. Ещё одним отличием нашей компании от других является то, что мы сами не только разрабатываем устройства вплоть до разработки некоторых микросхем и пишем для них программное обеспечение, а ещё и сами производим их на собственных заводах. У компании есть несколько центров разработки и заводов, которые находятся в разных странах мира. Продукты для защиты сетей разрабатываются и производятся на Тайване. На сегодняшний день, эта продуктовая линейка довольно широка и включает в себя: маршрутизаторы и коммутаторы, обладающие функциями защиты сетей, межсетевые экраны и системы обнаружения вторжений, а также специализированные устройства, например, беспроводные шлюзы, которые обладают некоторыми функциональными особенностями, специально предназначенными для использования в беспроводных сетях, - это специфические для беспроводных сетей средства обеспечения безопасности, средства аутентификации и тарификации пользователей и др.


Алексей Доля : Вы не могли бы подробно рассказать о функционале ваших межсетевых экранов и средств обнаружения вторжений, от каких атак они защищают?

Иван Мартынюк : На сегодняшний день существует три поколения межсетевых экранов. Первое поколение - это межсетевые экраны с пакетной фильтрацией. Эти устройства могут выполнять анализ пакетов на сетевом и транспортном уровнях, то есть анализировать IP-адреса, а также TCP и UDP порты источника и назначения, и на основании этой информации принимать решение о том, что делать дальше с этим пакетом: разрешить его прохождение, запретить, изменить приоритет и т.д. Второе поколение устройств - это межсетевые экраны посредники (Proxy). Данные устройства могут выполнять анализ информации на всех семи уровнях, вплоть до уровня приложений и соответственно обеспечивают очень высокий уровень защиты. При этом такие устройства не напрямую передают пакеты во внешний мир, а выступают в качестве агента-посредника между внутренними приложениями и внешними службами, что в случае попытки взлома приводит к взлому межсетевого экрана, а не внутреннего хоста. Соответственно, такие устройства для обеспечения высокой производительности требуют высокоскоростных аппаратных платформ и имеют самую высокую стоимость. Третье поколение - это межсетевые экраны с анализом пакетов и сохранением состояния (Stateful Packet Inspections - SPI). Эти устройства по своей работе похожи на экраны с пакетной фильтрацией, но они анализируют большее число полей в пакетах, например, флаги и последовательные номера пакетов, а также сохраняют информацию о ранее проходивших пакетах и, соответственно, обеспечивают более высокий уровень защиты. Такие устройства могут запрещать прохождение пакетов с одного интерфейса на другой, в случае, если они не являются частью предварительно установленной сессии в обратном направлении, или разрывать сессию, если в ней замечены какие-то нарушения. Данные устройства требуют практически таких же вычислительных ресурсов, как и межсетевые экраны с пакетной фильтрацией и не сильно отличаются от них по цене, но обеспечивают гораздо более высокий уровень защиты.
Системы обнаружение вторжений (Intrusion Detection System - IDS) - это ещё более интеллектуальные устройства, которые не только работают на всех семи уровнях, а ещё и содержат средства, позволяющие более детально анализировать содержимое пакетов и обнаруживать замаскированные троянские программы и вирусы или другие вредоносные действия. Для этого такие системы содержат заранее подготовленные базы сигнатур атак и вирусов, а также обладают системами эвристического анализа, позволяющими в некоторых случаях блокировать те атаки, сигнатуры которых не содержатся в базе.
Если говорить о наших устройствах, то в зависимости от модели они обладают одними или другими функциональными возможностями.


Алексей Доля : Какие конкретно технологии и алгоритмы применяются для защиты сетей, то есть, как именно работают ваши межсетевые экраны?

Иван Мартынюк : Все наши межсетевые экраны: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 являются экранами с анализом пакетов и сохранением состояния (SPI), поддерживают функцию трансляции адресов (Network Address Translation - NAT), которая позволяет скрыть внутреннюю структуру сети, защищают от атак типа "отказ в обслуживании" (DoS - это отдельная группа атак, направленных на вывод хоста или службы из рабочего состояния), позволяют ограничить доступ локальных пользователей к определённым внешним web-ресурсам и поддерживают средства построения виртуальных частных сетей (Virtual Private Network - VPN) при помощи протоколов: IPSec, PPTP и L2TP. Причём, все вышеперечисленные функции обеспечения безопасности поддерживаются не только в специализированных устройствах - межсетевых экранах, а и в более дешёвых - интернет-шлюзах серии DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Розничная стоимость самого младшего устройства (DI-804HV) составляет всего 99$, что делает его доступным практически для каждой компании и даже домашних пользователей.
Старшие модели устройств поддерживают и другие, более сложные механизмы обеспечения безопасности. Например, устройства: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 и DFL-1500 позволяют производить аутентификацию пользователей встроенными или внешними средствами. DFL-600, DFL-700, DFL-900, DFL-1100 и DFL-1500 позволяют управлять полосой пропускания канала. DFL-200, DFL-700, DFL-900, DFL-1100 и DFL-1500 имеют встроенный модуль системы обнаружения вторжений (IDS), с обновляемой базой сигнатур. DFL-900 и DFL-1500 имеют встроенные модули-посредники (Proxy) для протоколов: HTTP, FTP, SMTP и POP3, т.е. являются межсетевыми экранами-посредниками, и при работе на этих протоколах обеспечивают не только более высокий уровень безопасности, а ещё и позволяют выполнять контроль содержимого. Например, позволяют ограничить доступ пользователя к определённым web-ресурсам, причём, в отличие от других моделей, где администратор должен был вводить эти ресурсы вручную, в DFL-900 и DFL-1500 имеется встроенная категоризированная база, которая автоматически обновляется, и единственное, что нужно администратору - это выбрать разрешённые или запрещённые для доступа категории web-сайтов. Также доступ может быть ограничен на основании содержимого web-страницы или к определённому ресурсу, который администратор ввёл вручную. Может быть заблокировано выполнение Java или ActiveX апплетов и скриптов, загрузка Cookies. На протоколах FTP, SMTP и POP3 может быть заблокирована загрузка определённых типов файлов. Устройства: DFL-1100 и DFL-1500 поддерживают режим высокой доступности, то есть позволяют установить параллельно два устройства и в автоматическом режиме переключиться на резервное, если основное вышло со строя.
Кроме того, все устройства отличаются друг от друга производительностью, количеством интерфейсов, наличием некоторых дополнительных функциональных возможностей и, естественно, стоимостью.


Алексей Доля : Как работают ваши системы обнаружения вторжений?

Иван Мартынюк : Наши системы обнаружения вторжений (DFL-2100 и DFL-2400) являются классическими прозрачными сетевыми системами обнаружения вторжений (Transparent Network based Intrusion Detection System - TNIDS). То есть, это выделенные аппаратные устройства, которые устанавливаются в разрыв сети и анализируют весь проходящий через них трафик. Анализ может производиться на основании базы сигнатур, которая периодически обновляется, или на основе эвристического анализа, позволяющего обнаруживать новые атаки, которых нет в перечне сигнатур. В случае обнаружения атаки система записывает информацию в лог файл, может выполнить уведомление системного администратора, заблокировать прохождение пакетов или разорвать сессию. С системами поставляется специальное программное обеспечение - Policy Server, позволяющее выполнять гибкое управление системами обнаружения вторжений, принимать сообщения об атаках, обновлять базы сигнатур, создавать системному администратору свои собственные сигнатуры, строить различные отчёты и выполнять мониторинг трафика в реальном режиме времени. Между собой DFL-2100 и DFL-2400 отличаются только производительностью.


Алексей Доля : Вы не могли бы сравнить концепции использования аппаратных и программных средств защиты сетей (брандмауэров и систем обнаружения вторжений)? Какие плюсы и минусы есть у этих двух категорий продуктов относительно друг друга?

Иван Мартынюк : При разработке программных решений существует меньше различных технологических ограничений и к этому процессу привлекается, как правило, меньшее количество разработчиков, соответственно, удельная стоимость таких решений зачастую ниже. Это справедливо и для межсетевых экранов. Стоимость программных межсетевых экранов по сравнению с аналогичными по функциональным возможностям аппаратными решениями - ниже. При этом программные решения оказываются гибче. К ним в будущем проще добавить дополнительные функциональные возможности или исправить допущенные ранее ошибки. Из того, что я сказал, получается, что аппаратные решения как бы и не нужны - программные и функциональнее и дешевле. Но не всё так просто. Во-первых, для конечного пользователя программное решение может оказаться дороже, чем аппаратное, так как законченное решение включает в себя не только стоимость программного обеспечения межсетевого экрана, а и стоимость операционной системы, поверх которой работает брандмауэр, а также стоимость аппаратной платформы, производительность которой должна быть гораздо выше, чем в случае аппаратного решения. Свободно распространяемые бесплатные межсетевые экраны практически не применяются компаниями. По анализам различных агентств такое программное обеспечение применяет порядка 3-5% компаний. Низкий процент использования обусловлен в основном проблемами с поддержкой, что очень критично для данного класса оборудования, а в некоторых случаях и с качеством такого программного обеспечения. Во-вторых, программные решения обладают ещё целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. А количество уязвимостей, содержащихся в операционных системах гораздо выше, чем в специализированном программном обеспечении межсетевого экрана или их аппаратных аналогах. Кроме того, надёжность программных решений ниже, так как они работают на универсальных аппаратных платформах, которые содержат большое количество компонентов (чем меньше компонентов содержит система, тем выше её надёжность). Причём, некоторые из этих компонентов содержат: движущиеся механические элементы (винчестеры, вентиляторы), у которых наработка на отказ гораздо ниже, чем у электронных; магнитные элементы (винчестеры), которые имеют низкую стойкость к повреждениям и подвержены электромагнитному излучению; большое количество контактных групп, т.е. высока вероятность возникновения проблем, связанных с нарушением контакта. Программные межсетевые экраны требуют более высокого уровня квалификации от обслуживающего их персонала, так как необходимо правильно настроить не только сам экран, а и операционную систему, что не так просто, как многие полагают. Некоторые программные межсетевые экраны даже не продаются без предоставления платных услуг по их настройке. Программные межсетевые экраны более дорогие в обслуживании, так как необходимо постоянно отслеживать не только обнаруженные уязвимости в специализированном программном обеспечении и устанавливать заплатки, а и уязвимости операционных систем, которых, как я уже сказал, гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Также необходимо постоянно отслеживать состояние механических и магнитных компонентов на отсутствие повреждений. Помещение, в котором находится программный межсетевой экран, должно иметь более строгие правила по допуску персонала, так как универсальная аппаратная платформа позволяет произвести подключение к ней различными путями. Это и внешние порты (USB, LPT, RS-232), и встроенные приводы (CD, Floppy), а, вскрыв платформу можно подключиться через IDE или SCSI интерфейс. При этом операционная система позволяет установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на её времени работы от источника бесперебойного питания в случае пропадания электроэнергии. Споры о том, какие решения, в конечном итоге, программные или аппаратные лучше ведутся давно, но я хотел бы заметить, что любые технические средства - это лишь инструмент в руках тех, кто их эксплуатирует. И в большинстве случаев, проблемы с безопасностью происходят по причине невнимательности или низкой квалификации ответственного за это персонала, а не выбора той или иной платформы.


Алексей Доля : В каких случаях вы считаете целесообразным использовать именно аппаратные решения для защиты сетей, а в каких - программные? Желательно парочку примеров сценариев использования продуктов.

Иван Мартынюк : Применение программных межсетевых экранов оправдано в случае необходимости использования какой-то очень специфической функциональной возможности, которой не обладают аппаратные решения, например, необходим модуль посредник для какого-то экзотического протокола, или наоборот, необходимо получить очень дешёвое решение, при этом у компании или пользователя уже есть аппаратная платформа и операционная система. В любом случае, нужно учитывать все недостатки и достоинства обоих решений и выбирать компромиссное.


Алексей Доля : Правильно ли я понимаю, что домашним пользователям аппаратные брандмауэры просто не нужны?

Иван Мартынюк : Я бы так не сказал. Применение тех или иных средств защиты зависит не от того, кто этот пользователь: домашний или корпоративный, большая это компания или маленькая, а от стоимости информации, которую нужно защищать, т.е. от потерь, которые понесёт пользователь в случае нарушения одной или нескольких функций защиты - нарушения конфиденциальности, целостности или доступности информации. Как правило, действительно, чем больше компания, тем больше у неё информации, которая носит конфиденциальный характер и потери компании в этом случае выше. Но и обычный пользователь, например, руководитель той же компании на своём домашнем компьютере может содержать информацию, потеря которой может обойтись очень дорого. Соответственно, его компьютер должен быть защищён не хуже, чем корпоративная сеть. Выбор средств защиты и их стоимость, как правило, и определяется стоимостью защищаемой информации. Другими словами, не имеет смысла тратиться на средства защиты больше, чем стоит сама информация. Проблема состоит в другом - в определении стоимости информации. Если речь заходит о защите информации, которая принадлежит государству, то тут в силу вступают законодательные акты, которые регламентируют необходимый уровень защиты.


Алексей Доля : Судя по опыту ведения бизнеса в России, вы можете проследить темпы роста рынка аппаратных средств защиты сетей за последние несколько лет?

Иван Мартынюк : Я уже говорил, что компания имеет трёхлетний опыт работы в этом сегменте рынка. И для нас 2004 год в этом плане был показательным. Объёмы продаж устройств в денежном выражении по сравнению с предыдущим годом увеличились более чем на 170%. Если судить по отчётам аналитических агентств, то в прошедшем году значительный рост в этом сегменте наблюдался не только у нас, а и у других компаний, выпускающих такое оборудование. Рынок систем безопасности в том виде, в котором он существует, сформировался где-то в 1997 году но, только начиная с прошлого года его можно считать массовым.


Алексей Доля : Есть ли специфика ведения бизнеса в российском сегменте рынка аппаратных средств защиты по сравнению с другими странами?

Иван Мартынюк : Да, действительно российский рынок немного отличается от мирового. Связано это, скорее всего, с экономическим состоянием страны и менталитетом. Во-первых, отличается сама структура рынка систем обеспечения безопасности. Если в мировом масштабе рынок аппаратных средств более чем в два раза превышает рынок программных продуктов, то в России их доли примерно одинаковы. Вызвано это определёнными экономическими проблемами и, соответственно, высоким уровнем распространения пиратского программного обеспечения. В России практически отсутствует очень популярный в других странах рынок аутсорсинговых услуг в сфере обеспечения безопасности. Данный бизнес не развит, так как многие руководители считают не безопасным отдавать решение проблем защиты информации третьим лицам, и экономически более выгодным решать проблемы силами собственных специалистов, уровень квалификации которых зачастую не удовлетворяет минимальным требованиям. То, что Российские сети лучше защищены, и у нас более высокий уровень персонала - это такой же миф, как и то, что свободно распространяемое программное обеспечение надёжнее коммерческого. Поэтому и способ ведения бизнеса в России немного отличается. У нас особое внимание приходится уделять не работе с системными интеграторами и аутсорсинговыми компаниями, а с конечными пользователями, потребителями продукции.


Алексей Доля : Можете сделать прогноз на будущее, как будет развиваться отрасль защиты информации в ближайшие несколько лет?

Иван Мартынюк : В последнее время всё больше ущерба и неудобства пользователям приносят атаки, реализованные на уровне приложений, а также вирусы, Spyware и спам. Соответственно, разработчиками будет больше внимания уделено системам, работающим именно на этом уровне - это и различные межсетевые экраны-посредники, системы контроля содержимого (Content Management), системы обнаружения и предотвращения вторжений. Получат большее распространение, и будут развиваться в функциональном плане различные распределённые системы, позволяющие принимать решение об атаке и способе её отражения на основании информации, полученной от различных источников, систем и зондов.


Алексей Доля : Вы не могли раскрыть мысль специалистов известной компании The Yankee Group о том, что в ближайшие годы акцент при построении защитных систем будет плавно перемещаться - от противодействия "внешним" хакерским нападениям к защите от нападений "изнутри"?

Иван Мартынюк : Если посмотреть на отчёты различных аналитических агентств, то можно заметить один парадокс. С одной стороны, компаний, которые используют средства защиты, обеспечивающие безопасность по периметру сети - гораздо больше, чем тех, которые защищаются и от атак изнутри, а с другой, потери компаний от реализованных "внутренних" атак гораздо выше, чем от "внешних". Специалисты в этой области, естественно, надеются, что когда-нибудь персонал компаний, ответственный за обеспечение безопасности, одумается, и будет уделять внимание внутренним угрозам не меньшее, чем внешним.


Алексей Доля : Какую техническую поддержку вы оказываете покупателям своих продуктов? Судя по информации предоставленной на вашем сайте, D-Link предоставляет дополнительные сервисные услуги, FAQ, Базу Знаний, HELPER и многое другое. Нельзя ли поподробнее?

Иван Мартынюк : Хотя компания D-Link и специализируется на производстве оборудования для сегментов малого и среднего бизнеса, но в нашем арсенале есть довольно высокофункциональные и сложные продукты, освоить которые не просто даже высококвалифицированному специалисту. Если вы зайдёте на наш web-сайт, то увидите, что у компании очень большое количество региональных офисов, которые оказывают поддержку на местах. Чем ближе вы к человеку, тем лучше его понимаете и сможете предложить ему лучшее техническое решение или решить его проблему более оперативно. В этом случае человеку проще позвонить к вам или подъехать, или вы сами можете подъехать к пользователю и решить проблему на месте. Компанией также поддерживается русскоязычный web-сайт, на котором можно найти подробную информацию о продуктах, узнать, где их можно приобрести, прочитать новости. Одним из наибольших разделов сайта является раздел технической поддержки, который содержит ответы на часто задаваемые вопросы (FAQ), базу знаний (Knowledge Base), в которой есть ответы на многие технические вопросы, помощник (Helper), который пригодится при построении сети начинающим пользователям, эмуляторы интерфейсов устройств, форум, где можно обсудить различные технические аспекты применения оборудования, как с другими пользователями, так и сотрудниками D-Link, а также множество другой полезной технической информации. Кроме web-сайта, поддерживается и FTP-сайт, откуда можно загрузить полные руководства пользователя для устройств, причём многие из них переведены на русский язык, а также прошивки, драйвера и другое программное обеспечение, и документацию для оборудования.


Алексей Доля : Помимо технической поддержки вы занимаетесь обучением? Семинары, курсы?

Иван Мартынюк : Во всех наших региональных офисах регулярно проводятся бесплатные технические семинары, которые позволяют интерактивно общаться с пользователями и донести до них ту информацию, которую невозможно предоставить через средства массовой информации или web-сайт. Повышение технического уровня IT-специалистов в результате положительно сказывается на уровне технических решений, реализуемых ими и объёмах продаж нашего оборудования. Семинары состоят из двух частей: теоретической, где рассказывается о принципах построения сетей, сетевых протоколах, технологиях и наших продуктах и практической, где показывается, как эти продукты настраивать под конкретные задачи.


Алексей Доля : Хотите сказать что-нибудь нашим читателям напоследок?

Иван Мартынюк : Хотелось бы заметить, что межсетевые экраны и системы обнаружения вторжений являются необходимыми, но не достаточными средствами защиты информации. К этому вопросу нужно подходить масштабно и внедрять так называемую "Комплексную систему защиты информации", которая представляет собой комплекс организационно-правовых и технических мероприятий. Решение задачи информационной безопасности всегда начинают с анализа информации, циркулирующей на предприятии, её классификации и определения ценности, потом выявляют множество потенциально возможных угроз, причём многие из них могут быть естественного характера, например, отказ оборудования, природные катаклизмы, ошибка персонала и др., и только после этого выбирают необходимую модель и средства защиты. Кроме того, даже правильно спроектированная и построенная система защиты не будет всегда эффективно защищать вашу сеть, так как её логическая и физическая структура постоянно изменяется, постоянно изменяется организационная структура предприятия, и появляются новые виды угроз. Систему защиты постоянно нужно анализировать и подстраивать под изменившиеся обстоятельства. Безопасность - это процесс.


Алексей Доля : Большое спасибо, что согласились ответить на наши вопросы. Мы и дальше будем следить за успехами вашей компании и ее продуктов!

При огромном разнообразии профессиональных программных средств защиты от разного рода атак на локальную сеть извне (то есть из Интернета) все они имеют один серьезный недостаток — высокую стоимость. И если речь идет о небольших сетях класса SOHO, то приобретение солидных пакетов — непозволительная роскошь. В то же время стоит отметить, что для небольших сетей возможности подобных пакетов могут оказаться даже избыточными. Поэтому для защиты небольших сетей класса SOHO широкое применение получили недорогие аппаратные решения — брандмауэры. По своей конструкции брандмауэры могут либо выполняться в виде отдельного решения, либо быть составной частью маршрутизаторов класса SOHO, в частности беспроводных маршрутизаторов, что позволяет комбинировать на их основе проводные и беспроводные сегменты локальной сети.
В этой статье мы рассмотрим основные функциональные возможности современных аппаратных брандмауэров, которые встраиваются в маршрутизаторы класса SOHO и используются для обеспечения защиты небольших локальных сетей.

Брандмауэры как составная часть маршрутизаторов

оскольку маршрутизаторы являются сетевыми устройствами, устанавливаемыми на границе между внутренней и внешней сетями, и выполняют функцию сетевого шлюза, то в конструктивном плане они должны иметь как минимум два порта. К одному из этих портов подключается локальная сеть, и этот порт становится внутренним LAN-портом. Ко второму порту подключается внешняя сеть (Интернет), превращая его во внешний WAN-порт. Как правило, маршрутизаторы класса SOHO имеют один WAN-порт и несколько (от одного до четырех) LAN-портов, которые объединяются в коммутатор. В большинстве случаев WAN-порт коммутатора имеет интерфейс 10/100Base-TX, и к нему может подключаться либо xDSL-модем с соответствующим интерфейсом, либо сетевой Ethernet-кабель.

Кроме того, широкое распространение беспроводных сетей обусловило появление целого класса так называемых беспроводных маршрутизаторов. Эти устройства, помимо классического маршрутизатора с WAN- и LAN-портами, содержат интегрированную точку беспроводного доступа, поддерживающую протокол IEEE 802.11a/b/g. Беспроводной сегмент сети, который позволяет организовать точка доступа, с позиции маршрутизатора относится к внутренней сети, и в этом смысле компьютеры, подключаемые к маршрутизатору беспроводным образом, ничем не отличаются от тех, что подключены к LAN-порту.

Любой маршрутизатор, как устройство сетевого уровня, имеет свой IP-адрес. Помимо маршрутизатора свой IP-адрес имеет также WAN-порт.

Компьютеры, подключаемые к LAN-портам маршрутизатора, должны иметь IP-адрес той же подсети, что и сам маршрутизатор. Кроме того, в сетевых настройках этих ПК необходимо по умолчанию задать адрес шлюза, совпадающий с IP-адресом маршрутизатора. И наконец, устройство, подключаемое к WAN-порту со стороны внешней сети, должно иметь IP-адрес из той же подсети, что и WAN-порт маршрутизатора.

Поскольку маршрутизатор выполняет функцию шлюза между локальной сетью и Интернетом, логично ожидать от него такой функции, как защита внутренней сети от несанкционированного доступа. Поэтому практически все современные маршрутизаторы класса SOHO имеют встроенные аппаратные брандмауэры, которые также называются сетевыми экранами (firewall).

Функции брандмауэров

сновная задача любого брандмауэра в конечном счете сводится к обеспечению безопасности внутренней сети. Для решения этой задачи брандмауэры должны уметь маскировать защищаемую сеть, блокировать все известные типы хакерских атак, блокировать утечку информации из внутренней сети, контролировать приложения, получающие доступ во внешнюю сеть.

Для того чтобы реализовать указанные функции, брандмауэры анализируют весь трафик между внешней и внутренней сетями на предмет его соответствия тем или иным установленным критериям или правилам, определяющим условия прохождения трафика из одной сети в другую. Если трафик отвечает заданным критериям, то брандмауэр пропускает его через себя. В противном случае, то есть если установленные критерии не соблюдены, трафик блокируется брандмауэром. Брандмауэры фильтруют как входящий, так и исходящий трафики, а также позволяют управлять доступом к определенным сетевым ресурсам или приложениям. Они могут фиксировать все попытки несанкционированного доступа к ресурсам локальной сети и выдавать предупреждения о попытках проникновения.

По своему назначению брандмауэры больше всего напоминают контрольно-пропускной пункт (КПП) охраняемого объекта, где производится проверка документов всех входящих на территорию объекта и всех покидающих ее. Если пропуск в порядке — доступ на территорию разрешен. Совершенно аналогично действуют и брандмауэры, только в роли людей, проходящих через КПП, выступают сетевые пакеты, а пропуском является соответствие заголовков этих пакетов предопределенному набору правил.

Так ли надежны брандмауэры?

ожно ли утверждать, что брандмауэр обеспечивает 100-процентную безопасность пользовательской сети или персонального ПК? Безусловно, нет. Хотя бы потому, что вообще ни одна система не дает 100-процентной гарантии безопасности. К брандмауэру стоит относиться как к средству, которое, при правильной его настройке, способно в значительной мере осложнить задачу злоумышленника по проникновению в персональный компьютер пользователя. Подчеркнем: лишь осложнить, но вовсе не гарантировать абсолютной безопасности. Кстати, если речь заходит не о защите локальной сети, а о защите отдельного ПК, имеющего доступ в Интернет, то с обеспечением его персональной безопасности успешно справляется и брандмауэр ICF (Internet Connection Firewall), встроенный в операционную систему Windows XP. Поэтому в дальнейшем мы будем говорить лишь о корпоративных аппаратных брандмауэрах, ориентированных на защиту небольших сетей.

Если брандмауэр, устанавливаемый на входе в локальную сеть, активирован по полной программе (как правило, это соответствует настройкам по умолчанию), то защищаемая им сеть полностью непроницаема и недоступна извне. Однако у столь полной непроницаемости внутренней сети есть и своя оборотная сторона. Дело в том, что в этом случае становится невозможно пользоваться Интернет-сервисами (например, ICQ и тому подобными программами), установленными на ПК. Таким образом, задача настройки брандмауэра заключается в том, чтобы в первоначально глухой стене, которую представляет собой брандмауэр для злоумышленника, проделать окошки, предоставив возможность пользовательским программам отвечать на запросы извне и в конечном счете реализовать подконтрольное взаимодействие внутренней сети с внешним миром. Однако чем больше подобных окон появляется в такой стене, тем более уязвимой становится и сама сеть. Так что еще раз подчеркнем: ни один брандмауэр не может гарантировать абсолютной безопасности защищаемой им локальной сети.

Классификация брандмауэров

озможности брандмауэров и степень их интеллектуальности зависят от того, на каком уровне эталонной модели OSI они функционируют. Чем выше уровень OSI, на основе которого построен брандмауэр, тем выше обеспечиваемый им уровень защиты.

Напомним, что модель OSI (Open System Interconnection) включает семь уровней сетевой архитектуры. Первый, самый нижний, — это физический уровень. За ним следуют канальный, сетевой, транспортный, сеансовый уровни, уровень представления и прикладной уровень, или уровень приложений. Для того чтобы обеспечивать фильтрацию трафика, брандмауэр должен работать как минимум на третьем уровне модели OSI, то есть на сетевом уровне, где происходит маршрутизация пакетов на основе преобразования MAC-адресов в сетевые адреса. С точки зрения протокола TCP/IP этот уровень соответствует уровню IP (Internet Protocol). Получая информацию сетевого уровня, брандмауэры способны определить адрес источника и получателя пакета и проверить, допустима ли передача трафика между данными адресатами. Однако информации сетевого уровня для анализа содержимого пакета недостаточно. Брандмауэры, функционирующие на транспортном уровне модели OSI, получают несколько больше информации о пакетах и в этом смысле могут предоставлять более интеллектуальные схемы защиты сетей. Что же касается брандмауэров, работающих на уровне приложений, то им доступна полная информация о сетевых пакетах, а значит, такие брандмауэры обеспечивают наиболее надежную сетевую защиту.

В зависимости от уровня модели OSI, на которых функционируют брандмауэры, исторически сложилась следующая классификация этих устройств:

  • пакетный фильтр (packet filter);
  • шлюз сеансового уровня (circuit-level gateway);
  • шлюз прикладного уровня (application-level gateway);
  • Stateful Packet Inspection (SPI).

Отметим, что данная классификация имеет лишь исторический интерес, поскольку все современные брандмауэры относятся к категории наиболее совершенных (в плане защиты сети) SPI-брандмауэров.

Пакетные фильтры

Брандмауэры типа пакетных фильтров являются наиболее простыми (наименее интеллектуальными). Эти брандмауэры работают на сетевом уровне модели OSI или на IP-уровне стека протоколов TCP/IP. Такие брандмауэры в обязательном порядке присутствуют в каждом маршрутизаторе, поскольку любой маршрутизатор работает как минимум на третьем уровне модели OSI.

Задача пакетных фильтров заключается в фильтрации пакетов на основе информации об IP-адресе источника или получателя, а также о номерах портов.

В брандмауэрах типа пакетных фильтров каждый пакет, до того как он будет передан, анализируется на предмет соответствия критериям передачи или блокировки передачи. В зависимости от пакета и от сформированных критериев передачи брандмауэр может передать пакет, отвергнуть его или послать уведомление инициатору передачи.

Пакетные фильтры просты в реализации и практически не влияют на скорость маршрутизации.

Шлюзы сеансового уровня

Шлюзы сеансового уровня — это брандмауэры, которые работают на сеансовом уровне модели OSI или на TCP (Transport Control Protocol) уровне стека протоколов TCP/IP. Данные брандмауэры отслеживают процесс установления TCP-соединения (организацию сеансов обмена данными между оконечными машинами) и позволяют определить, является ли данный сеанс связи легитимным. Данные, передаваемые к удаленному компьютеру во внешней сети через шлюз на сеансовом уровне, не содержат информации об источнике передачи, то есть все выглядит таким образом, как будто данные отправляются самим брандмауэром, а не компьютером во внутренней (защищаемой) сети. Все брандмауэры на основе NAT-протокола являются шлюзами сеансового уровня (протокол NAT будет описан ниже).

Шлюзы сеансового уровня также не оказывают существенного влияния на скорость маршрутизации. В то же время эти шлюзы не способны осуществлять фильтрацию отдельных пакетов.

Шлюзы прикладного уровня

Шлюзы прикладного уровня, или proxy-серверы, функционируют на прикладном уровне модели OSI. Прикладной уровень отвечает за доступ приложений в сеть. К задачам этого уровня относятся перенос файлов, обмен почтовыми сообщениями и управление сетью. Получая информацию о пакетах на прикладном уровне, шлюзы прикладного уровня могут реализовывать блокировку доступа к определенным сервисам. К примеру, если шлюз прикладного уровня сконфигурирован как Web-proxy, то любой трафик, относящийся к протоколам Telnet, FTP, Gopher, будет заблокирован. Поскольку эти брандмауэры анализируют пакеты на прикладном уровне, они способны осуществлять фильтрацию специфических команд, например, http:post, get и т.д. Данная функция недоступна ни пакетным фильтрам, ни шлюзам сеансового уровня. Шлюзы прикладного уровня могут также использоваться для регистрации активности отдельных пользователей и для установления ими сеансов связи. Эти брандмауэры предлагают более надежный способ защиты сетей по сравнению со шлюзами сеансового уровня и пакетными фильтрами.

SPI-брандмауэры

Последний тип брандмауэров — Stateful Packet Inspection (SPI) — объединяет в себе преимущества одновременно и пакетных фильтров, и шлюзов сеансового уровня, и шлюзов прикладного уровня. То есть фактически речь идет о многоуровневых брандмауэрах, которые работают одновременно на сетевом, сеансовом и прикладном уровнях.

SPI-брандмауэры осуществляют фильтрацию пакетов на сетевом уровне, определяют легитимность установления сеанса связи на основании данных сеансового уровня и анализируют содержимое пакетов, основываясь на данных прикладного уровня.

Эти брандмауэры реализуют наиболее надежный способ защиты сетей и на данный момент являются стандартом де-факто.

Настройка брандмауэров

етодология и возможности по настройке брандмауэров зависят от конкретной модели. К сожалению, не существует единых правил настройки и тем более единообразного интерфейса. Можно говорить лишь о неких общих правилах, которых стоит придерживаться. Собственно, основное правило довольно простое — необходимо запрещать все, что не требуется для нормального функционирования сети.

Чаще всего возможности по настройке брандмауэров сводятся к активированию некоторых предопределенных правил и к созданию статических правил в виде таблицы.

Рассмотрим в качестве примера возможности по настройке брандмауэра, входящего в маршуртизатор Gigabyte GN-B49G. В этом маршрутизаторе имеется ряд предопределенных правил, позволяющих реализовывать различные уровни безопасности внутренней сети. К таким правилам относятся следующие:

  • Access to Router’s configuration and administration from the WAN side is prohibited. Активация данной функции запрещает доступ к настройкам маршрутизатора из внешней сети;
  • The access from Global-IP to Private-IP is prohibited inside LAN. Данная функция позволяет блокировать доступ внутри локальной сети с глобальных IP-адресов (если таковые имеются) на IP-адреса, зарезервированные для частного использования;
  • Prevent file and printer sharing from outside the router’s network. Функция предотвращает использование разделяемого доступа к принтерам и файлам внутренней сети извне;
  • The existence of the router cannot be detected from the WAN side. Данная функция делает маршрутизатор невидимым со стороны внешней сети;
  • Denial of Service (DoS) type attacks are prevented. При активировании этой функции реализуется защита от атак типа DoS (Denial of Service). Атаки DoS — это вид сетевых атак, который заключается в поступлении на сервер множества запросов с требованием услуги, предоставляемой системой. Сервер расходует свои ресурсы на установление соединения и его обслуживание и при определенном потоке запросов не справляется с ними. Защита от атак этого вида строится на анализе источников избыточного по сравнению с обычным трафика и запрете его передачи.

Как мы уже отмечали, многие брандмауэры имеют предопределенные правила, которые по своей сути не отличаются от перечисленных выше, но могут иметь другие названия.

Другой способ настройки брандмауэра сводится к созданию статических правил, которые позволяют не только защитить сеть снаружи, но и ограничить пользователям локальной сети доступ во внешнюю сеть. Возможности по созданию правил достаточно гибкие и позволяют реализовать практически любую ситуацию. Для создания правила задаются IP-адрес (или диапазон адресов) источника, порты источника, IP-адреса и порты получателя, тип протокола, направление передачи пакета (из внутренней сети во внешнюю или наоборот), а также действие, которое должно предприниматься при обнаружении пакета с означенными свойствами (отбросить или пропустить пакет). К примеру, если требуется запретить пользователям внутренней сети (диапазон IP-адресов: 192.168.1.1-192.168.1.100) обращение к FTP-серверу (порт 21), расположенному по внешнему IP-адресу 64.233.183.104, то правило может быть сформулировано следующим образом:

  • направление передачи пакетов: LAN-to-WAN;
  • IP-адреса источника: 192.168.1.1-192.168.1.100;
  • порт источника: 1-65535;
  • порт получателя: 21;
  • протокол: TCP;
  • действие: drop.

Статическая настройка правила брандмауэра для рассмотренного выше примера показана на рис. 1.

Протокол NAT как составная часть брандмауэра

се современные маршрутизаторы со встроенными брандмауэрами поддерживают протокол трансляции сетевых адресов NAT (Network Address Translation).

Протокол NAT не является составной частью брандмауэра, но в то же время способствует повышению безопасности сети. Основная же задача протокола NAT — решение проблемы дефицита IP-адресов, которая становится все более актуальной по мере роста числа компьютеров.

Дело в том, что в настоящей версии протокола IPv4 для определения IP-адреса отводится четыре байта, что позволяет сформировать свыше четырех миллиардов адресов сетевых компьютеров. Конечно, в те времена, когда Интернет только зарождался, трудно было себе даже представить, что когда-нибудь этого количества IP-адресов может оказаться недостаточно. Для того чтобы частично решить проблему дефицита IP-адресов, и был в свое время предложен протокол трансляции сетевых адресов NAT.

Протокол NAT определен стандартом RFC 1631, в котором определяется, каким образом происходит преобразование сетевых адресов.

В большинстве случаев устройство NAT преобразует IP-адреса, зарезервированные для частного использования в локальных сетях, в открытые IP-адреса.

Частное адресное пространство регламентируется документом RFC 1918. К этим адресам относятся следующие IP-диапазоны: 10.0.0.0-10.255.255.255, 172.16.0.0-172.31.255.255, 192.168.0.0-192.168.255.255.

Согласно документу RFC 1918, частные IP-адреса нельзя использовать в Глобальной сети, поэтому они могут свободно применяться только для внутренних целей.

Прежде чем перейти к особенностям функционирования протокола NAT, рассмотрим, как происходит сетевое соединение между двумя ПК.

Когда один компьютер сети устанавливает соединение с другим компьютером, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Формат IP-пакета предусматривает двухбайтовое поле для номеров портов. Это позволяет определить 65 535 портов, которые играют роль своеобразных каналов связи. Из 65 535 портов первые 1023 зарезервированы для хорошо известных серверных сервисов, таких как Web, FTP, Telnet и т.д. Все остальные порты могут использоваться для любых других целей.

Если, к примеру, один сетевой компьютер обращается к FTP-серверу (порт 21), то при открытии сокета операционная система присваивает сессии любой порт выше 1023. Например, это может быть порт 2153. Тогда IP-пакет, отправляемый со стороны ПК к FTP-серверу, будет содержать IP-адрес отправителя, порт отправителя (2153), IP-адрес получателя и порт назначения (21). IP-адрес и порт отправителя будут использоваться для ответа сервера клиенту. Использование разных портов для различных сетевых сессий позволяет клиентам сети одновременно устанавливать несколько сессий с различными серверами или с сервисами одного сервера.

Теперь рассмотрим процесс установления сессии при использовании NAT-маршрутизатора на границе внутренней сети и сети Интернет.

Когда клиент внутренней сети устанавливает связь с сервером внешней сети, то, как и в случае установки соединения между двумя ПК, открывается сокет, определяемый IP-адресом источника, портом источника, IP-адресом назначения, портом назначения и сетевым протоколом. Когда приложение передает данные через этот сокет, IP-адрес источника и порт источника вставляются в пакет в поля параметров источника. Поля параметров пункта назначения будут содержать IP-адрес сервера и порт сервера. К примеру, компьютер внутренней сети с IP-адресом 192.168.0.1 может обратиться к Web-серверу Глобальной сети с IP-адресом 64.233.188.104. В этом случае операционная система клиента может назначить установленной сессии порт 1251 (порт источника), а порт назначения — это порт Web-сервиса, то есть 80. Тогда в заголовке отправляемого пакета будут указаны следующие атрибуты (рис. 2):

  • порт источника: 1251;
  • IP-адрес получателя: 64.233.183.104;
  • порт получателя: 80;
  • протокол: TCP.

Устройство NAT (маршрутизатор) перехватывает исходящий из внутренней сети пакет и заносит в свою внутреннюю таблицу сопоставление портов источника и получателя пакета, используя IP-адрес назначения, порт назначения, внешний IP-адрес устройства NAT, внешний порт, сетевой протокол, а также внутренние IP-адрес и порт клиента.

Предположим, что в рассмотренном выше примере NAT-маршрутизатор имеет внешний IP-адрес 195.2.91.103 (адрес WAN-порта), а для установленной сессии внешний порт NAT-устройства — 3210. В этом случае внутренняя таблица сопоставления портов источника и получателя пакета содержит следующую информацию:

  • IP-адрес источника: 192.168.0.1;
  • порт источника: 1251;
  • внешний IP-адрес

NAT-устройства: 195.2.91.103;

  • внешний порт NAT-устройства: 3210;
  • IP-адрес получателя: 64.233.183.104;
  • порт получателя: 80;
  • протокол: TCP.

Затем устройство NAT «транслирует» пакет, преобразуя в пакете поля источника: внутренние IP-адрес и порт клиента заменяются внешними IP-адресом и портом устройства NAT. В рассмотренном примере преобразованный пакет будет содержать следующую информацию:

  • IP-адрес источника: 195.2.91.103;
  • порт источника: 3210;
  • IP-адрес получателя: 64.233.183.104;
  • порт получателя: 80;
  • протокол: TCP.

Преобразованный пакет пересылается по внешней сети и в итоге попадает на заданный сервер.

Получив пакет, сервер будет направлять ответные пакеты на внешний IP-адрес и порт устройства NAT (маршрутизатора), указывая в полях источника свои собственные IP-адрес и порт (рис. 3). В рассмотренном примере ответный пакет от сервера будет содержать в заголовке следующую информацию:

  • порт источника: 80;
  • IP-адрес получателя: 195.2.91.103;
  • порт получателя: 3210;
  • протокол: TCP.

Рис. 3. Принцип работы NAT-устройства при передаче пакета из внешней сети во внутреннюю

Устройство NAT принимает эти пакеты от сервера и анализирует их содержимое на основе своей таблицы сопоставления портов. Если в таблице будет найдено сопоставление порта, для которого IP-адрес источника, порт источника, порт назначения и сетевой протокол из входящего пакета совпадают с IP-адресом удаленного узла, с удаленным портом и с сетевым протоколом, указанным в сопоставлении портов, то NAT выполнит обратное преобразование: заменит внешний IP-адрес и внешний порт в полях назначения пакета на IP-адрес и внутренний порт клиента внутренней сети. Таким образом, пакет, передаваемый во внутреннюю сеть, для рассмотренного выше примера будет иметь следующие атрибуты:

  • IP-адрес источника: 64.233.183.104;
  • порт источника: 80;
  • IP-адрес получателя: 192.168.0.1;
  • порт получателя: 1251;
  • протокол: TCP.

Однако если в таблице сопоставления портов не находится соответствия, то входящий пакет отвергается и соединение разрывается.

Благодаря NAT-маршрутизатору любой ПК внутренней сети получает возможность передавать данные в Глобальную сеть с использованием внешнего IP-адреса и порта маршрутизатора. При этом IP-адреса внутренней сети, как присвоенные сессиям порты, остаются невидимыми со стороны внешней сети.

Однако NAT-маршрутизатор позволяет обмениваться данными между компьютерами внутренней и внешней сетей только в том случае, если этот обмен инициируется компьютером внутренней сети. Если же какой-нибудь компьютер внешней сети пытается получить доступ к компьютеру внутренней сети по своей собственной инициативе, то такое соединение отвергается устройством NAT. Поэтому помимо решения проблемы нехватки IP-адресов протокол NAT также способствует повышению безопасности внутренней сети.

Проблемы, связанные с NAT-устройствами

есмотря на кажущуюся простоту работы NAT-устройств, с ними связаны некоторые проблемы, нередко усложняющие организацию взаимодействия между сетевыми компьютерами или вообще препятствующие его установлению. К примеру, если локальная сеть защищена NAT-устройством, то любой клиент внутренней сети может установить соединение с сервером Глобальной сети, но не наоборот. То есть из внешней сети нельзя инициировать соединение с сервером, расположенным во внутренней сети за NAT-устройством. Но как быть, если во внутренней сети расположен сервис (например, FTP- или Web-сервер), к которому пользователи внешней сети должны иметь доступ? Для решения данной проблемы в NAT-маршрутизаторах используются технологии демилитаризованной зоны и перенаправления портов, которые будут подробно описаны ниже.

Другая проблема, связанная с NAT-устройствами, заключается в том, что некоторые сетевые приложения включают IP-адрес и порт в ту часть пакета, которая отводится для данных. Понятно, что NAT-устройство не способно выполнить преобразование таких адресов. В результате если сетевое приложение вставляет IP-адрес или порт в содержащую полезные данные часть пакета, то сервер, отвечая на такой пакет, будет использовать вложенные IP-адрес и порт, для которых отсутствует соответствующая запись сопоставления во внутренней таблице NAT-устройства. В итоге такой пакет будет отброшен NAT-устройством, а следовательно, приложения, использующие данную технологию, не смогут работать при наличии NAT-устройств.

Существуют сетевые приложения, которые при передаче данных используют один порт (в качестве порта отправителя), но ожидают ответа на другой порт. Устройство NAT, анализируя исходящий трафик, производит сопоставление порта отправителя. Однако о том, что ответ ожидается на другой порт, устройство NAT не знает и выполнить соответствующего сопоставления не может. В результате ответные пакеты, адресованные на порт, для которого нет сопоставления во внутренней таблице NAT-устройства, будут отброшены.

Еще одна проблема, связанная с NAT-устройствами, заключается в множественном доступе к одному и тому же порту. Рассмотрим ситуацию, когда несколько клиентов локальной сети, отделенной от внешней сети NAT-устройством, обращаются к одному и тому же стандартному порту. К примеру, это может быть порт 80, зарезервированный для Web-сервиса. Поскольку все клиенты внутренней сети используют один и тот же IP-адрес, возникает вопрос: каким образом NAT-устройство сможет определить, к какому именно клиенту внутренней сети относится внешний запрос? Для решения данной проблемы в каждый момент времени доступ к стандартному порту имеет только один клиент внутренней сети.

Статическое перенаправление портов (Port mapping)

Для того чтобы сделать доступными из внешней сети определенные приложения, запускаемые на сервере во внутренней сети (такие, например, как Web-сервер или FTP-сервер), в NAT-устройстве необходимо задать сопоставление между портами, используемыми определенными приложениями, и IP-адресами тех серверов внутренней сети, на которых эти приложения работают. В этом случае говорят о технологии перенаправления портов (Port mapping), а сам сервер внутренней сети называется виртуальным сервером. В результате любой запрос из внешней сети на внешний IP-адрес NAT-устройства (маршрутизатора) по указанному порту будет автоматически перенаправлен на указанный виртуальный сервер внутренней сети.

К примеру, если во внутренней сети конфигурируется виртуальный FTP-сервер, который запускается на ПК с IP-адресом 192.168.0.10, то при настройке виртуального сервера задаются IP-адрес виртуального сервера (192.168.0.10), используемый протокол (TCP) и порт приложения (21). В подобном случае при обращении по внешнему адресу NAT-устройства (WAN-порт маршрутизатора) по порту 21 пользователь внешней сети может получить доступ к FTP-серверу внутренней сети, несмотря на использование протокола NAT. Пример конфигурирования виртуального сервера на реальном NAT-маршрутизаторе показан на рис. 4.

Как правило, NAT-маршрутизаторы позволяют создавать несколько статических перенаправлений портов. Так, на одном виртуальном сервере можно открыть сразу несколько портов или создать несколько виртуальных серверов с различными IP-адресами. Однако при статическом перенаправлении портов нельзя перенаправлять один порт на несколько IP-адресов, то есть порт может соответствовать одному IP-адресу. Невозможно, к примеру, сконфигурировать несколько Web-серверов с разными IP-адресами — для этого придется менять порт Web-сервера по умолчанию и при обращении по 80-му порту в настройке маршрутизатора в качестве внутреннего порта (Private Port) указывать измененный порт Web-сервера.

Большинство моделей маршрутизаторов позволяют также задавать статическое перенаправление группы портов, то есть ставить в соответствие IP-адресу виртуального сервера сразу целую группу портов. Такая возможность полезна в том случае, если необходимо обеспечить работу приложений, использующих большое количество портов, например игр или аудио/видеоконференций. Количество перенаправляемых групп портов в разных моделях маршрутизаторов различно, но обычно их не менее десяти.

Динамическое перенаправление портов (Special Application)

Статическое перенаправление портов позволяет отчасти решить проблему доступа из внешней сети к сервисам локальной сети, защищаемой NAT-устройством. Однако существует и противоположная задача — необходимость обеспечить пользователям локальной сети доступ во внешнюю сеть через NAT-устройство. Дело в том, что некоторые приложения (например, Интернет-игры, видеоконференции, Интернет-телефония и другие приложения, требующие одновременного установления множества сессий) не совместимы с NAT-технологией. Для решения этой проблемы используется так называемое динамическое перенаправление портов (иногда встречается название Special Application), когда перенаправление портов задается на уровне отдельных сетевых приложений.

В случае если маршрутизатор поддерживает данную функцию, необходимо задать номер внутреннего порта (или интервал портов), связанный с конкретным приложением (как правило, его обозначают Trigger Port), и задать номер внешнего порта NAT-устройства (Public Port), который будет сопоставляться с внутренним портом.

При активации динамического перенаправления портов маршрутизатор следит за исходящим трафиком из внутренней сети и запоминает IP-адрес компьютера, от которого исходит этот трафик. При поступлении данных обратно в локальный сегмент включается перенаправление портов и данные пропускаются внутрь. После завершения передачи перенаправление отключается, и тогда любой другой компьютер может создать новое перенаправление уже на свой IP-адрес.

Динамическое перенаправление портов используется в основном для служб, предусматривающих кратковременные запросы и передачу данных, поскольку если один компьютер использует перенаправление данного порта, то в этот же момент времени другой компьютер не может делать то же самое. Если требуется настроить работу приложений, которым необходим постоянный поток данных, занимающих порт на длительное время, то динамическое перенаправление малоэффективно. Однако и в этом случае существует решение проблемы — оно заключается в использовании демилитаризованной зоны.

DMZ-зона

Демилитаризованная зона (DMZ-зона) — еще один способ обхода ограничений протокола NAT. Эту возможность предоставляют все современные маршрутизаторы. При размещении компьютера внутренней локальной сети в зоне DMZ он становится прозрачным для протокола NAT. Фактически это означает, что компьютер внутренней сети виртуально располагается перед брандмауэром. Для ПК, расположенного в DMZ-зоне, осуществляется перенаправление всех портов на один внутренний IP-адрес, что позволяет организовать передачу данных из внешней сети во внутреннюю.

Если, к примеру, сервер с IP-адресом 192.168.1.10, находящийся во внутренней локальной сети, размещен в DMZ-зоне, а сама локальная сеть защищена NAT-устройством, то при поступлении по любому порту запроса из внешней сети по адресу WAN-порта NAT-устройства этот запрос будет переадресован на IP-адрес 192.168.1.10, то есть на адрес виртуального сервера в DMZ-зоне.

Как правило, NAT-маршрутизаторы класса SOHO позволяют разместить в DMZ-зоне только один компьютер. Пример конфигурирования компьютера в DMZ-зоне показан на рис. 5.

Рис. 5. Пример конфигурации компьютера в DMZ-зоне

Поскольку компьютер, размещенный в DMZ-зоне, становится доступным из внешней сети и никак не защищен брандмауэром, он становится уязвимым местом сети. Прибегать к размещению компьютеров в демилитаризованной зоне нужно только в самом крайнем случае, когда никакие другие способы обхода ограничений протокола NAT по тем или иным причинам не подходят.

Технология NAT Traversal

Перечисленные нами способы обхода ограничений протокола NAT могут представлять определенную сложность для начинающих пользователей. Для облегчения администрирования была предложена автоматизированная технология конфигурирования NAT-устройств. Технология NAT Traversal (прохождение NAT) позволяет сетевым приложениям определять, что они находятся под защитой NAT-устройства, узнавать внешний IP-адрес и выполнять перенаправление портов в автоматическом режиме. Таким образом, преимущество технологии NAT Traversal заключается в том, что пользователю не приходится вручную настраивать сопоставление портов.

Технология NAT Traversal опирается на протоколы UPnP (Universal Plug and Play) поэтому нередко в маршрутизаторах для активирования данной технологии необходимо отметить опцию UPnP&NAT.




Зачем нужен сетевой экран в роутере

Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.

Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого - когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым - приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.



Рекомендуем почитать