CC BY
34
СЕМИНАР 1S
ДОКЛАД НА СИМПОЗИУМЕ "НЕДЕЛЯ ГОРНЯКА - 99" МОСКВА, МГГУ, 2S.01.99 - 29.01.99
Д. В. Бутянов, МГГУ
ВЫВОР ПРОГРАММНЫХ СРЕПСТВ ЗАЩИТЫ КОРПОРАТИВНЫХ СЕТЕЙ
В работах современных авторов существует большое число определений брандмауэров, их свойств и характеристик. В подавляющем большинстве случаев брандмауэр тесно связывается с таким понятием, как Internet - в то же время, круг применения данных систем может быть расширен и на область информационных систем, приложений типа «клиент-сервер». В рамках данной работы целесообразно определить брандмауэр следующим образом: Брандмауэр - это система или комбинация систем, позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия прохождения пакетов из одной части в другую. Брандмауэр, таким образом, пропускает через себя весь трафик. Для каждого проходящего пакета брандмауэр принимает решение - пропускать его или отбросить. Для того, чтобы брандмауэр мог принимать эти решения, ему необходимо определить набор правил.
Работу всех брандмауэров можно совместить с уровнями модели OSI. В этом случае будет наглядно видно, на каком уровне абстракции работает каждый тип брандмауэра. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
Большинство из исследованных брандмауэров функционируют на какой-либо UNIX платформе - чаще всего это BSDI, SunOS, AIX, IRIX и т.д., реже - DOS, VMS, WNT, Windows NT. Из аппаратных платформ встречаются INTEL, Sun SPARC, RS6000, Alpha, HP PA-RISC, семейство RISC процессоров R4400-R5000. Помимо Ethernet, многие брандмауэры поддерживают FDDI,
Token Ring, 100Base-T, 100VG-AnyLan, различные серийные устройства. Требования к оперативной памяти и объему жесткого диска зависят от количества машин в защищаемом сегменте сети, но чаще всего рекомендуется иметь не менее 32Мб ОЗУ и 500 Мб на жестком диске.
В операционную систему, под управлением которой работает брандмауэр, вносятся изменения, цель которых - повышение защиты самого брандмауэра. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом брандмауэре не разрешается иметь счетов пользователей (а значит и потенциальных дыр), только счет администратора. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.
Управление большей частью трафика между внешней и внутренней сетями можно осуществлять на основе номера протокольного порта процесса-получателя (destination port) в заголовке TCP. Для протокола Telnet, этот номер равен 23. Следовательно, чтобы трафик Telnet не пересекал границу внутренней сети, система firewall должна отфильтровывать все пакеты, в заголовке TCP которых указан номер протокольного порта процесса-получателя, равный 23.
FTP работает иначе. В первоначальном запросе клиента к серверу используется номер протокольного порта процесса-получателя, равный 21. После передачи запроса на пересылку данных начинается другой сеанс связи. Для него клиент выбирает случайный номер порта процесса-получателя в диапазоне от 1024 до
65535 и сообщает серверу, что тот должен использовать протокольный порт с выбранным номером для передачи данных клиенту. Так как номер протокольного порта здесь выбирается случайно, то обычный маршрутизатор не может его отслеживать.
Единственный способ обеспечить пропуск трафика FTP через маршрутизатор (во внутреннюю сеть) - разрешить прохождение всех пакетов с номерами протокольного порта процесса-получателя от 1024 до 65535. Недостаток этого подхода заключается в том, что хакер может попытаться установить связь с хостом во внутренней сети, используя один из номеров протокольных портов в указанном диапазоне. Таким способом хакер может подобраться к тем уязвимым местам сети, доступ к которым открывается через эти номера протокольных портов.
Способ решения указанной проблемы состоит в использовании команды PASV, которая устраняет необходимость в обратной связи с клиентом через протокольные порты 1024-65535. Недостаток этого метода в том, что не всякий клиент и сервер могут выполнить данную команду.
Для имитации загруженности сети в данной работе перехватывался пакет запроса на установление соединения Telnet (с установленным в единицу битом TCP SYN), используя анализатор Sniffer фирмы Network General, и далее с помощью средства FrameThrower фирмы LANQuest повторно с разными скоростями этот пакет передавался через систему firewall. Таким образом, был использован пакет, который пропускался системой firewall в соответствии с реализуемой этой системой стратегией защиты, факт
4 і 1999
87
прохождения пакета проверялся анализатором Sniffer.
В ходе тестирования была предпринята попытка обеспечить одинаковую нагрузку на все системы firewall, настроив каждую систему на реализацию одной и той же стратегии защиты, предусматривающей передачу пакетов через 1O фильтров, которые «просматривают» номера протокольных портов TCP в их заголовках. Однако сравнивать результаты испытаний систем напрямую невозможно из-за слишком больших различий в их архитектуре и алгоритмах работы. Системы CyberGuard корпорации Harris и Firewall/Plus фирмы Network-1, например, отслеживают каждый сеанс TCP в масштабе реального времени и фиксируют его завершение. Каждый отправленный фоновый пакет рассматривался этими системами как новый сеанс TCP, что создавало огромную дополнительную нагрузку на них. Эти две системы не справились с тестом.
CyberGuard и Firewall/Plus показали низкую пропускную спо-
собность при передаче данных по протоколу FTP еще до того, как их стали «забрасывать» пакетами. Для повторного тестирования этих продуктов был изменен вид фонового пакета Telnet, установлением в нем бит SYN в ноль. При пересылке 800 таких пакетов в секунду CyberGuard продемонстрировал пропускную способность 2,26 Мбит/с. Firewall/Plus не справился с тестом даже при 300 фоновых пакетах в секунду. Остальные продукты не были подвергнуты повторному тестированию, исходя из предположения, что их результаты в этих условиях должны оказаться еще хуже.
KarlBridge - единственный продукт, который позволяет фильтровать пакеты протоколов четырех основных типов (TCP/IP, NetWare, DECnet, AppleTalk). Все другие рассмотренные системы, работают только с TCP/IP. При этом возможно появление аварийных ситуаций, например, работающий с протоколом AppleTalk сервер NetWare начал в ответ на запросы протокола зональной информации (ZIP) передавать не-
корректные данные, что случалось всякий раз, когда пользователь на компьютере Macintosh применял утилиту Chooser для поиска сетевых служб. Единственный способ исправить создавшееся положение заключался в остановке сервера и внесении поправки в его программное обеспечение. Помимо этого, данный продукт показал высокую пропускную способность при высокой степени загруженности сети (2.3 мБ/сек при 800 пакетах в секунду). Помимо этого, в KarlBridge имеются средства организации закрытых виртуальных сетей. Хотя примененный фирмой алгоритм шифрования, скорее всего, не подходит для защиты данных в Internet, его использование все же достаточно эффективно оградит сеть от досадных случайных вторжений. На основании этого можно утверждать, что для защиты корпоративных сетей большой загрузки KarlBridge является максимально эффективным из существующих систем шлюзования.
© Д.В. Бутянов
88
1'ИАБ
Файл:
Каталог:
Шаблон:
Заголовок:
Содержание:
Автор:
Ключевые слова: Заметки:
Дата создания:
Число сохранений: Дата сохранения: Сохранил:
Полное время правки: Дата печати:
При последней печати страниц: слов: знаков:
БУТЯНОВ
в:\С диска по работе в универе\01ЛВ_99\01ЛВ4_99\Все С:\и8еге\Таня\АррБа1а\Коат1^\М1сго80й\ШаблоныШогта1Ло1т Выбор программных средств защиты корпоративных сетей
Гитис Л.Х.
26.05.1999 11:46:00
5
15.06.1999 13:05:00 Гитис Л.Х.
19 мин.
14.12.2008 20:23:00 2
1 098 (прибл.)
6 265 (прибл.)
