К уязвимым службам и протоколам Internet относятся также протокол копирования UUCP, протокол маршрутизации RIP, графическая оконная система Х Windows и др.

Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран является набором компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, не­обходимо решить, будет ли ограничен доступ пользователей к оп­ределенным службам Internet на базе протоколов TCP/IP и если будет, то до какой степени.

Политика сетевой безопасности каждой организации должна включать две составляющие:

· политику доступа к сетевым сервисам;

· политику реализации межсетевых экранов.

В соответствии с политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (Point-to-Point Protocol). Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к "запрещенным" сервисам Internet обходны­ми путями. Например, если для ограничения доступа в Internet се­тевой администратор устанавливает специальный шлюз, который не дает возможности пользователям работать в системе WWW, они могли бы установить РРР-соединения с Web-серверами по коммутируемой линии.

Политика доступа к сетевым сервисам обычно основыва­ется на одном из следующих принципов:

1) запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;

2) разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.

В соответствии с политикой реализации межсетевых экра­нов определяются правила доступа к ресурсам внутренней сети. Прежде всего, необходимо установить, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

1) запрещать все, что не разрешено в явной форме;

2) разрешать все, что не запрещено в явной форме.

Реализация межсетевого экрана на основе первого прин­ципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищен­ной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рацио­нальности выбора и использования основных компонентов межсе­тевого экрана.

Функциональные требования к межсетевым экранам включают:

· требования к фильтрации на сетевом уровне;

· требования к фильтрации на прикладном уровне;

· требования по настройке правил фильтрации и администрированию;

· требования к средствам сетевой аутентификации;

· требования по внедрению журналов и учету.

Основные компоненты межсетевых экранов

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

· фильтрующие маршрутизаторы;

· шлюзы сетевого уровня;

· шлюзы прикладного уровня.

Эти категории можно рассматривать как базовые компо­ненты реальных межсетевых экранов. Лишь немногие межсетевые экраны включают только одну из перечисленных категорий. Тем не менее, эти категории отражают ключевые возможности, отличаю­щие межсетевые экраны друг от друга.

Фильтрующие маршрутизаторы

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигури­рованные таким образом, чтобы фильтровать входящее и исходя­щие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP- заголовках пакетов .

Фильтрующие маршрутизаторы обычно может фильтровать IP-пакет на основе группы следующих полей заголовка пакета:

· IP- адрес отправителя (адрес системы, которая послала пакет);

· IP-адрес получателя (адрес системы которая принимает пакет);

· Порт отправителя (порт соединения в системе отправителя );

· Порт получателя (порт соединения в системе получателя );

Порт – это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16 – битовым числом.

В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP – порт отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем исполь­зуют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соеди­нения, идущие от конкретных адресов тех хост-компьютеров и се­тей. которые считаются враждебными или ненадежными.

Добавление фильтрации по портам TCP и UDP к фильтра­ции по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как демон TELNET, обычно связаны с конкретными портами (например, порт 23 протокола TELNET). Если межсетевой экран может блокировать соединения TCP или UDP с определен­ными портами или от них, то можно реализовать политику безо­пасности, при которой некоторые виды соединений устанавлива­ются только с конкретными хост-компьютерами.

Например, внутренняя сеть может блокировать все вход­ные соединения со всеми хост-компьютерами за исключением не­скольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и TELNET или FTP -для другой). При фильтрации по портам TCP и UDP эта по­литика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов.

В качестве примера работы фильтрующего маршрутизато­ра рассмотрю реализацию политики безопасности, допускающей определенные соединения с внутренней сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хост-компьютером с адресом 123.4.5.6, который может быть приклад­ным TELNET-шлюзом, а SMTP-соединения - только с двумя хост-компьютерами с адресами 123.4.5.7 и 123.4.5.8, которые могут быть двумя шлюзами электронной почты. Обмен по NNTP (Network News Transfer Protocol) разрешается только от сервера новостей с адресом 129.6.48.254 и только с NNTP-сервером сети с адресом 123.4.5.9, а протокол NTP (сетевого времени)-для всех хост-компьютеров. Все другие серверы и пакеты блокируются. рации

Первое правило позволяет пропускать пакеты TCP из сети Internet от любого источника с номером порта большим, чем 1023, к получателю с адресом 123.4.5.6 в порт 23. Порт 23 связан с сервером TELNET, а все клиенты TELNET должны иметь неприви­легированные порты с номерами не ниже 1024.