3.6 Фільтрація на основі порту джерела
Перевірка портів, зазначених у заголовках пакетів, виконується як для клієнтів-програм, запущених у локальній мережі, так і для серверів. Така перевірка дозволяє переконатися в тім, що програми працюють коректно і захищають користувачів Internet від улучення на їхні комп’ютери графіка локальної мережі.
При звертанні локальних клієнтів до вилучених серверів у заголовку пакетів повинні міститися лише непривілейовані номери портів джерела. Перевірка номерів вихідних портів брандмауером забезпечує додатковий контроль правильності роботи програм.
Пакети, передані сервером, обов’язково повинні містити в заголовку порт джерела, що збігає з номером порту, виділеним для служби даного типу. Перевірка номера порту по суті являє собою перевірку роботи засобів підтримки протоколів. Контролюючи номера портів, брандмауер виключає несанкціоновані звертання до серверів і вилучення даних, призначених для передачі по локальній мережі, у Internet.
3.7 Фільтрація на основі порту призначення
Оскільки локальні клієнти можуть звертатися до вилучених серверів лише по конкретних номерах портів, фільтрація вихідних пакетів є одночасно засобом контролю за використанням протоколів. Це, по-перше, запобігає випадковим установленням з’єднань з помилково обраними серверами, а по-друге, не дає можливості користувачам локальної мережі проводити сканування портів вилучених комп’ютерів і впливати на них іншими способами.
Вилучені клієнти при встановленні з’єднань з вашими серверами використовують винятково непривілейовані порти, тому брандмауер повинний стежити, щоб у відповідях локальних серверів як порти призначення також указувалися порти з номерами 1024 і вище.
3.8 Фільтрація за значеннями прапорів стану
Як і при фільтрації вхідних пакетів, обробка вихідного пакета може виконуватися на основі значень прапорів, що визначають стан з’єднання. На різних етапах TCP-з’єднання стан клієнта і сервера змінюється.
У першому пакеті, що відправляється клієнтом у рамках конкретного TCP-з’єднання, установлений прапор SYN. В усіх наступних пакетах прапор SYN скинутий, але встановлений прапор АСК. Таким чином, при настроюванні брандмауера необхідно задати правило, відповідно до якого в пакетах, переданих клієнтом, повинний бути встановлений або прапор SYN, або АСК.
Пакети, передані серверами, являють собою відповіді на запити клієнтів. У кожнім з таких пакетів установлений прапор АСК. Цей факт також повинний бути відбитий у настроюваннях брандмауера.
4. Доступ до служб локальної мережі
Самий вірний спосіб спровокувати незаконне проникнення в систему – відкрити доступ з Internet до серверів, призначеним для використання в межах локальної мережі. Подібні сервери ні при яких обставинах не повинні бути “видимі” ззовні, тобто з Internet. Порушення цього правила переслідується неприємностями. Через такий сервер важлива інформація може потрапити в руки конкурентів, тому що програма, що підтримує роботу служби, може мати недоліки в системі захисту.
Одними з перших мережних служб можна вважати команди вилученого доступу, реалізовані в системі BSD. Вони були розроблені для зручності поділу ресурсів, при цьому вважалося, що комп’ютери, що беруть участь у процесі обміну, і користувачі, що працюють за ними, заслуговують повної довіри. Пізніше з’явилися сервісні засоби, спеціально призначені для роботи в Internet. У той час, коли вони розроблялися, Internet використовувалася в основному при проведенні наукових досліджень і являла собою відносно безпечне середовище. В даний час ситуація докорінно змінилася; Internet перетворилася в глобальну мережу, і питання забезпечення безпеки стали, мабуть, самими злободенними.
Багато служб, підтримувані в системі UNIX, надають інформацію про систему і користувачів. Звернувшись до відповідного серверу, можна довідатися про облікові записи користувачів, про тім, хто з них є власником програми, що виконується в системі, про стан системи і мережі, про використовувані ресурси і про інші вузли мережі. Звичайно, у відповідях серверів не містяться явні зведення про недоліки в системі захисту, однак інформація, що повертається у відповідь на запит, багато чого говорить досвідченому зломщику й істотно спрощує процес незаконного проникнення в систему. Крім того, у системі міститься інформація про користувачів – імена, адреси, номери телефонів, – яку ви навряд чи згодні зробити надбанням будь-якого бажаючих.
Найбільшу небезпеку представляють служби, призначені для організації доступу до поділюваних файлових систем і мережних пристроїв: принтерам, факсам-апаратам і т.д.
Деякі сервери, що працюють у локальній мережі, складні в настроюванні, особливо важко настроїти їх так, щоб забезпечити належний рівень захисту. Вибору конфігурації мережних служб присвячені спеціальні видання, а в даній книзі це не розглядається.
Деякі служби не підтримуються в невеликих локальних мережах і тим більше на домашніх комп’ютерах, область їхнього використання – корпоративні мережі. Як приклади таких сервісних засобів можна привести маршутизаторів, програмне забезпечення великих інформаційних центрів, засобу кодування даних і т.д.
Найпростіший спосіб уберегтися від проникнення в систему за допомогою одного із серверів – зробити цей сервер недоступним з Internet. Варто помітити, що не всі сервери можна ефективно захистити засобами фільтрації пакетів. Як приклади служб, при організації захисту яких приходиться вирішувати безліч проблем, можна привести RealAudio і ICQ.
Один зі способів захистити служби, призначені для внутрішнього використання, – відмовитися від розміщення відповідних серверів на комп’ютерах, доступних із глобальної мережі. Якщо комп’ютер “не видний” з Internet, вилучений клієнт не має ніякої можливості звернутися до розмішеного на ньому серверу. Однак у невеликих мережах не завжди є можливість реалізувати таке рішення на практиці. Часто системний адміністратор просто не може виділити для роботи сервера окрему машину, недоступну ззовні. Тому в деяких випадках компроміси неминучі.
Для захисту сервера від звертань з Internet можна застосувати брандмауера, що виконує фільтрацію пакетів по порту призначення. Наявність такого брандмауера дозволяє запускати в локальній мережі велику кількість служб, не піддаючи серйозної небезпеки мережні ресурси.
Проте фільтрація пакетів не забезпечує повної безпеки. Для ряду програм приходиться застосовувати засоби захисту, що працюють на більш високих рівнях мережної взаємодії. Для деяких програм організувати захист настільки складно, що їхнє виконання на комп’ютері, що має з’єднання з Internet, неминуче сполучене з ризиком.
5. Вибір серверів для установки в системі
Одне з головних рішень, що відносяться до безпеки системи, – вибір серверів, що повинні бути встановлені на комп’ютері, що виконує роль брандмауера. Кожний із серверів по-своєму впливає на загальну безпеку системи, тому, вибираючи програми для роботи в UNIX, треба дотримувати наступного правила: установлювати лише ті сервери, що абсолютно необхідні для нормальної роботи мережі й особливості роботи яких ви добре собі представляєте. Перш ніж приступати до інсталяції програми, необхідно з’ясувати, які функції вона виконує і хто буде нею користатися.
У наступних розділах описані популярні сервери, що можуть бути запущені в системі Red Hat Linux. В описі служб приведені рекомендації щодо того, як і на якому етапі системи повинні бути запущені відповідні програми.
Існують три способи запуску програм, що реалізують мережні служби, у системі UNIX. Основна частина серверів автоматично запускається при завантаженні операційної системи під керуванням диспетчера рівнів виконання. Порядок запуску вказується в сценаріях, що зберігаються в каталозі /etc/rc.d. Другий спосіб — запуск програм за допомогою демона inetd при надходженні запиту від клієнта-програми. Особливості виклику серверів описуються в конфігураційному файлі програми /etc/ inetd. conf. І, нарешті, мережні служби можуть безпосередньо запускатися за допомогою сценаріїв, керуючих конфігурацією системи. Як правило, подібні сервери не входять у стандартний комплект постачання Linux і інстилуються окремо.
6. Принципи роботи брандмауерів
Інформаційні системи корпорацій, урядових закладів і інших організацій постійно розвиваються в наступних напрямках.
• Система централізованої обробки даних, що працює на базі мейнфрейма, до якого безпосередньо підключене деяке число терміналів.
• Локальна мережа, що поєднує персональні комп’ютери і термінали один з одним і мейнфреймом.
• Об’єднана мережа, що складається з декількох локальних мереж, зв’язаних один з одним персональних комп’ютерів, серверів і, можливо, одного чи двох мейнфреймов.
• Мережа масштабу підприємства, що складає з декількох, що знаходяться на досить великій відстані друг від друга об’єднаних мереж, що зв’язуються між собою за допомогою відомчої глобальної мережі.
• Зв’язок через Internet, при якій різні об’єднані мережі виявляються підключеними до Internet і можуть бути також зв’язаними один з одним відомчою глобальною мережею.
Сьогодні зв’язок з Internet для більшості організацій уже є звичною справою. Для багатьох організацій інформація і послуги Internet життєво необхідні. Крім того, доступ до Internet потрібно багатьом індивідуальним користувачам, і якщо їхня локальна мережа не забезпечує такого доступу, вони самостійно використовують засоби вилученого доступу для підключення своїх персональних комп’ютерів до Internet через постачальника послуг Internet (провайдера). Але, хоча доступ до Internet і дає організації очевидні переваги, вона в той же час відкриває ресурси внутрішньої мережі організації зовнішньому світу. Ясно, що це несе в собі визначену погрозу для організації. Для захисту від цієї погрози можна обладнати кожну робочу станцію і кожен сервер внутрішньої мережі надійними засобами захисту типу системи захисту від вторгнень, але такий підхід, мабуть, непрактичний. Розглянемо, наприклад, мережу із сотнями чи навіть тисячами окремих систем, на яких працюють самі різні версії UNIX, так ще і Windows 95„ Windows 98 і Windows NT. Якщо буде виявлена яка-небудь вада в системі захисту, прийдеться внести зміни в засоби захисту всіх систем, що потенційно можуть показатися вразливими. Альтернативою, що стає усе більш популярною, є використання брандмауера. Цей пристрій розміщається між внутрішньою мережею організації і Internet, забезпечуючи контрольований зв’язок і споруджуючи зовнішню стіну, чи границю. Метою створення такої границі є захист внутрішньої мережі від несанкціонованого проникнення ззовні через Internet і організація єдиного центра, у якому повинні застосовуватися засоби захисту і контролю. Брандмауер може являти собою як окремий комп’ютер мережі, так і групу спеціально виділених комп’ютерів, що здійснюють функції брандмауера мережі, взаємодіючи між собою.