Основы безопасности информационных технологий. Технологии межсетевых экранов

1. Основы безопасности информационных технологий

Технологии межсетевых экранов.

2. Содержание лекции

Основные понятия
Фильтрация пакетов
Межсетевые экраны уровня соединения
Межсетевые экраны прикладного уровня
Межсетевые экраны с динамической фильтрацией пакетов
Межсетевые экраны инспекции состояний
Межсетевые экраны уровня ядра
Обход межсетевых экранов
постепенный подход
туннелирование

3. Основные понятия

Межсетевой экран (сетевой экран) — комплекс аппаратных или
программных средств, осуществляющий контроль и фильтрацию
проходящих через него сетевых пакетов в соответствии с
заданными правилами.
Задачи:
защита и изоляция приложений, сервисов и машин во
внутренней сети от нежелательного трафика, приходящего
из внешней сети интернет
ограничение или запрещение доступа хостов внутренней
сети к сервисам внешней сети интернет
поддержка преобразования сетевых адресов (network
address translation, NAT)

4. Фильтрация пакетов

Фильтры пакетов контролируют:
физический интерфейс, откуда пришел пакет
IP-адрес источника
IP-адрес назначения
тип транспортного уровня (TCP, UDP, ICMP)
транспортные порты источника и назначения

5. Фильтрация пакетов

Схема архитектуры фильтра пакетов
Уровень приложений
Область ядра
Поток отфильтрованных
пакетов
Сетевой
стек
Буфер входящих
пакетов
Пакетный
фильтр
Применяемый
список
правил

6. Трансляция пакетов

Таблица NAT
маршрутизатора
Пакет от
176.25.10.1
к 191.13.13.13
176.25.10.1 191.1.1.1
…
176.25.10.1 191.1.1.3
Пакет от
191.1.1.1
к 191.13.13.13
Интернет
Пакет от
191.13.13.13
к 176.25.10.1
Пакет от
191.13.13.13
к 191.1.1.1

7. Достоинства и недостатки технологии фильтрации

Преимущества
Быстрота работы (по сравнению с
другими технологиями МЭ)
МЭ может быть реализован аппаратно
Не требуется конфигурирование
хостов пользователя
Схема NAT «прячет» внутренние
IP-адреса
Недостатки
Не «понимает» прикладные протоколы
Не может ограничить доступ
подмножеству протоколов даже для
основных служб
Не отслеживает соединения (не
содержит информацию о сеансе)
Слабые возможности обработки
информации внутри пакета
Не может ограничить информацию с
внутренних компьютеров к службам
МЭ сервера
Практически не имеет аудита
Трудно тестировать правила (из-за
сложности внутренних сетей,
наличия различных служб)

8. Межсетевые экраны уровня соединения

Схема функционирования МЭ уровня соединения
Уровень приложений
Область ядра
Сетевой
стек
Строки состояния на
каждое установленное
соединение
Входящие
пакеты
Буфер входящих
пакетов
Фильтр
соединения
Отфильтрованные
пакеты
Упорядоченный
список правил

9. Межсетевые экраны уровня соединения

Таблица состояний:
идентификатор сеанса
состояние соединения
последовательная информация
IP-адрес источника и IP-адрес назначения
номера портов, участвующих в сеансе
физический интерфейс, куда прибыл пакет
физический интерфейс, куда передается пакет
временные метки начала открытия сеанса и т.д.

10. Достоинства и недостатки технологии соединений

Достоинства
Возможность запрещения
соединений с определенными
хостами
При использовании NAT —
скрытие внутренних IP-адресов
Недостатки
Не могут ограничить доступ
протоколов, отличных от TCP
Не осуществляют проверки для
протоколов высших уровней
Ограниченный аудит (слабая
связь с высшими уровнями
протоколов)
Не позволяют дополнения функций
— HTTP-кэширования ответов,
фильтрации URL,
аутентификацию
Трудность тестирования правил

11. Межсетевые экраны прикладного уровня

Схема функционирования МЭ прикладного уровня
Анализ данных,
сравнение со списками
допустимых команд
Служба proxy
Список
accept и deny
Уровень приложений
Область ядра
Специальный сетевой
стек
Входящие
пакеты
Буфер входящих
пакетов
Отфильтрованные
пакеты

12. Достоинства и недостатки МЭ прикладного уровня

Достоинства
Недостатки
Работа с протоколами высшего уровня
(HTTP, FTP)
Служба proxy требует замены сетевого стека
на сервере МЭ
Возможность хранения частичной
информации о состоянии, полной
информации состояния приложения и
частичной информации о сеансе
Служба proxy слушает порт (как сетевой
сервер, т.е. МЭ не может его
использовать)
Возможность ограничения доступа к
определенным сетевым службам
Временная задержка (входной пакет
обрабатывается дважды — приложением
и proxy)
Возможность оперирования с информацией
данных пакета
Новый proxy должен быть добавлен для
каждого контролируемого протокола
Запрещение прямого соединения с
внешними серверами
Службы proxy обычно требуют модификации
процедур клиентов
Прозрачность proxy
Службы proxy уязвимы к ошибкам ОС и ПО
прикладного уровня
Возможность реализации дополнительных
свойств (фильтрации URL,
аутентификации, кэширования HTTP)
Хороший аудит
Не осуществляется проверка информации
пакета, содержащейся в низших уровнях
Служба proxy может требовать
дополнительных паролей или процедур
аутентификации

13. Межсетевые экраны с динамической фильтрацией пакетов

Схема функционирования МЭ с динамической фильтрацией
Домены
аутентификации
Обработка пакетов,
связанных
с аутентификацией
Уровень приложений
Область ядра
Строки состояния на
каждое установленное
соединение
Входящие
пакеты
Буфер входящих
пакетов
Сетевой стек
Фильтр пакетов
Отфильтрованные
пакеты
Динамические
правила
Список правил

14. Достоинства и недостатки МЭ с динамической фильтрацией

Достоинства
Не позволяет непрошеным пакетам
UDP войти во внутреннюю сеть
Если запрос пакета UDP приходит из
внутренней сети и направлен на не
доверенный хост, то сервер МЭ
позволяет появление ответного
пакета, доставляемого хосту —
инициатору запроса. Пакет ответа
должен содержать IPн
(соответствующий запросу) и номер
порта (соответствующий запросу) и
иметь соответствующий тип
протокола транспортного уровня
Динамический фильтр может
использоваться для поддержки
ограниченного множества команд
ICMP
Недостатки
Не «понимает» прикладные протоколы
Не может ограничить доступ
подмножеству протоколов даже для
основных служб
Не отслеживает соединения
Слабые возможности обработки
информации внутри пакета
Не может ограничить информацию с
внутренних компьютеров к службам
МЭ сервера
Практически не имеет аудита
Трудно тестировать правила (из-за
сложности внутренних сетей,
наличия различных служб)

15. Межсетевые экраны инспекции состояний

Таблица состояний:
протокол, используемый для
соединения
IP-адреса источника и
назначения
номера портов источника и
назначения
листинг с обращенными
адресами и номерами портов
время, по истечению которого
соединение будет удалено
состояние TCP-соединения
состояние отслеживаемого
соединения
Фильтрация на основе данных,
использующий сеансовый,
транспортный и прикладной
уровни
Прикладной
Транспортный
Таблицы
состояния
Сетевой
Канальный
Физический
Входящий трафик
Разрешенный трафик

16. Пример записи в таблице состояний для IPtables

tcp 6 93 SYN_SENT src=192.168.1.1 dst=192.168.200.200
sport=1054 dport=21 [UNREPLIED]
src=192.168.200.200 dst = 192.1 68.1.1 sport=21
dport=1054 use=1
tcp 6 41294 ESTABLISHED src=192.168.1.1
dst=192.168.200.200
sроrt=1054 dport = 21 src=192.168.200.200
dst=192.168.1.1 [ASSURED] use=1

17. Межсетевые экраны уровня ядра

Подсистема МЭ включает следующие модули:
ядро безопасности
модуль управления хостом
модуль управления каналами связи МЭ
агент регистрации входов
агент аутентификации

18. Межсетевые экраны уровня ядра

Схема функционирования МЭ уровня ядра
Уровень приложений
Область ядра
Динамически создаваемый
стек для сеанса 1
Модуль
верификации
Перехватчик
пакетов
ые
Входящие
пакеты
н
ан
ов
тр ты
ль
фи паке
От
Анализатор
пакетов
Динамически создаваемый
стек для сеанса N
Сетевой стек

19. Виды Proxy

для IP
для ICMP
для TCP
для UDP
для HTTP
для FTP
для Telnet
для SMTP

20. Обход межсетевых экранов: постепенный подход

Под постепенным подходом (firewalking) понимается
методика сбора информации об удаленной сети,
защищенной МЭ используя трассировкочно-подобные
методы для посылки и анализа ответов на IP-пакетов

21. Обход межсетевых экранов: туннелирование

В процессе инкапсуляции применяются три типа
протоколов:
несущий протокол
протокол-пассажир
протокол инкапсуляции
Необходимо решить следующие задачи:
разработать несущий протокол, протокол-пассажир и
протокол инкапсуляции
проанализировать методы обнаружения туннеля и
снизить влияние демаскирующих факторов