Учебное пособие 1401

имеется и второй межсетевой экран. Правила для межсетевого экрана 2 приведены в табл. 4.

Рис. 4. Архитектура 3: двойные межсетевые экраны

Таблица 3 Правила межсетевого экрана 1 в архитектуре с двумя

межсетевыми экранами

9

Таблица 4. Правила межсетевого экрана 2 в архитектуре с двойным

межсетевым экраном

Построение набора правил межсетевого экрана

Большая часть межсетевых экранов работает по принципу «первого соответствия» при принятии решения о передаче или отклонении пакета. При построении набора правил согласно алгоритму «первого соответствия» наиболее специфичные правила располагаются в верхней части набора правил, а наименее специфичные (т. е. более общие) - в нижней части набора. Такое размещение правил гарантирует, что общие правила не перекрывают собой более специфичные.

Некоторые межсетевые экраны содержат обработчик набора правил, проверяющий набор на наличие правил, перекрываемых другими правилами. Обработчик информирует об

10

этой ситуации администратора межсетевого экрана перед установкой правил на межсетевой экран.

Чем больше правил необходимо проверять для каждого пакета, тем больше вычислений должен производить межсетевой экран. Для повышения эффективности работы экрана следует оценить ожидаемую нагрузку трафика на межсетевой экран и упорядочить трафик по типам. Как правило, наибольший объем занимает трафик HTTP. Для повышения эффективности межсетевого экрана следует разместить правила, относящиеся к HTTP, вверху набора правил. Это означает, что правило, позволяющее внутренним системам использовать HTTP для подключения к любой системе в интернете, и правило, разрешающее внешним пользователям осуществлять доступ к вебсайту организации, должны быть расположены очень близко к верхней границе набора правил. Единственными правилами, которые должны находиться выше двух упомянутых правил, являются специфичные правила отказа в доступе, относящиеся к протоколу HTTP.

Правила обычно делятся на следующие категории:

правила для входящих и исходящих соединений;

запрещающие и разрешающие правила.

Со вторым типом в современных условиях все достаточно просто - весь трафик, который явно не разрешён, должен быть запрещён.

При планировании системы правил обычно вначале планируются правила для входящих соединений (со стороны Интернета), как более ограничительные, а затем - для исходящих соединений. На многих предприятиях вообще любая возможность инициировать соединение с внутренней сетью закрыта. При планировании правил для входящих соединений есть смысл подумать о пропуске следующего трафика (по протоколам и портам):

ICMP Echo Reply - отклики на пинги;

ICMP Time Exceded - отклики Traceroute;

TCP 21 - FTP (если внутри сети предприятия организован доступный из Интернета FTP сервер). Обычно

11

необходимо также для нормальной работы FTP обеспечить пропуск трафика так называемых вторичных соединений (в большинстве брандмауэров для этого предусмотрены специальные средства). Если есть возможность, то лучше отказаться от FTP в пользу передачи файлов по HTTP по причине отсутствия в стандартных реализациях FTP нормальных средств защиты;

TCP 25 - SMTP. Обычно приходится открывать, чтобы обеспечить получение электронной почты извне;

UDP 53 - DNS. Используется только тогда, когда ваш DNS-сервер нужен пользователям из Интернета (например, в нем находятся записи для вашего Интер- нет-домена). TCP 53, как правило, не нужен (этот порт

- для DNS zone transfers);

TCP 80 - HTTP и TCP 443 - HTTPS. Используется то-

гда, когда в вашей внутренней сети находится Webсервер, доступ к которому необходим из Интернета (Web-сайт организации, Web-интерфейс для доступа к электронной почте для сотрудников из дома и т.п.);

UDP 500, 1701, 4500 - VPN (протокол L2TP-IPSec).

Вкачестве других примеров можно привести средства Web-телефонии и видеоконференций, доступ на терминальный сервер и т.п. В большинстве брандмауэров существует заранее заготовленный набор правил, из которых можно выбрать необходимые и активизировать их.

Общее правило - не открывать больше портов/траффика, чем минимально необходимо пользователям вашей сети.

Если нужно обеспечить доступ пользователей из Интернета к ресурсам вашей сети, то часто используется концепция DMZ, DeMilitarized Zone. При этом используется два брандмауэра. Первый ставится между DMZ и Интернетом и обеспечивает доступ в Интернет из DMZ и доступ из Интернета к серверам в DMZ. Второй ставится между DMZ и внутренней сетью предприятия и обеспечивает выход в DMZ (и через неё – в Интернет) из внутренней сети предприятия и серверам из DMZ - доступ во

12

внутреннюю сеть. При этом лучше, чтобы брандмауэры были разными (разные аппаратные модели, если брандмауэр программный - использовались разные программы и операционные системы и т.п.).

Для исходящих соединений обычно разрешается больше, чем для входящих. Не рекомендуется открывать все исходящие порты по причине того, что инициировать нежелательные соединения изнутри могут трояны. Обычно для исходящих соединений открываются порты TCP 20/21, TCP 25, UDP 53, TCP 80/443.

Выявление различий между межсетевыми экранами различных типов

При выполнении работы обратите внимание на различия в системах защиты межсетевых экранов различных типов. Используйте межсетевой экран прикладного уровня, а также экран с фильтрацией пакетов.

Последовательность действий

1.Сконфигурируйте сеть согласно архитектуре 2. Не подключайте эту сеть к интернету!

2.Создайте почтовый сервер и веб-сервер с настройками по умолчанию и оставьте в каждой системе уязвимости.

3.Разместите межсетевой экран прикладного уровня в сети и настройте его согласно набору правил из табл. 2.

4.Сконфигурируйте другую систему в качестве внешней системы (как если бы она располагалась вне межсетевого экрана в интернете) и запустите сканер уязвимостей.

5.С помощью сканера уязвимостей просканируйте почтовый сервер и веб-сервер, а также межсетевой экран.

6.Теперь замените межсетевой экран прикладного уровня межсетевым экраном с фильтрацией пакетов.

7.Снова просканируйте серверы.

8.Сравните полученные результаты. Различна ли информация, полученная при первом и втором сканировании?

13

Одинаковы ли уязвимости, отображённые при подключении обоих межсетевых экранов? Если нет, то почему?

Если модули доступа на межсетевом экране прикладного уровня настроены правильно, в результате сканирования через экран с фильтрацией пакетов, скорее всего, отобразится большее число уязвимостей, чем при сканировании через межсетевой экран прикладного уровня. Причиной этому является то, что модуль доступа перехватывает и интерпретирует почту и веб-запросы перед отправкой на серверы. В некоторых случаях этот подход обеспечивает защиту от использования уязвимостей серверов.

Для выполнения работы используйте сетевой экран лаборатории Касперского (бесплатная 30-дневная версия).

Контрольные вопросы

1.Выделите два основных типа межсетевых экранов.

2.Какие действия по умолчанию осуществляются межсетевым экраном в отношении трафика?

3.Является ли один из типов межсетевых экранов более безопасным, нежели другой?

4.Что межсетевой экран прикладного уровня по умолчанию делает с внутренними адресами?

5.В чем сходство межсетевого экрана с фильтрацией пакетов и маршрутизатора?

6.Когда рекомендуется выбирать межсетевой экран с пакетной фильтрацией?

7.Что должен обеспечивать межсетевой экран для проверки состояния?

8.Где расположены доступные из интернета системы в архитектуре с одним межсетевым экраном?

9.Почему порядок правил в наборе правил межсетевого экрана играет важную роль?

10.Что проверяет межсетевой экран с фильтрацией пакетов, помимо набора правил, для принятия решения о блокировке или передаче пакета?

14

Лабораторная работа № 6 Организация VPN

Цель работы —изучение и практическая отработка методов организации VPN средствами протокола PPTP и анализа защищённости передаваемой информации.

Краткие теоретические сведения

Предлагается организовать соединение по протоколу PPTP между двумя сетевыми узлами. При этом имитируется соединение, которое пользователь Интернет устанавливает с сервером провайдера в том случае, когда используется подключение по выделенному каналу на основе Ethernet. В результате подключения пользователю выделяется IP-адрес, который может быть известен пользователю заранее либо выделяться динамически. Динамическое выделение адресов позволяет затруднить идентификацию узла пользователя из Интернет, сделав его

вкакой-то степени анонимным. Кроме того, это даёт возможность провайдеру более эффективно использовать выделенное ему адресное пространство.

Для имитации предполагается использовать два рабочих места. Первое рабочее место (рис. 5) имитирует PPTP-сервер Интернет-провайдера, этим сервером является компьютер под управлением ОС Windows XP. На этом же рабочем месте имитируется пользовательский компьютер, который выполняется в виде виртуальной машины VMWare с установленной Windows

XP.

Второе рабочее место (им может быть любой компьютер

влокальной сети) имитирует удалённый web-сервер. Предполагается, что удалённый web-сервер имеет IP-

адрес 192.168.1.1, основной компьютер имеет два интерфейса

— внутренний с адресом 192.168.200.1 и внешний с адресом 192.168.1.128. Пользовательский компьютер имеет внутренний адрес 192.168.200.2. Пройдя авторизацию на PPTP-сервере, пользовательский компьютер получит адрес внешней сети

15

192.168.1.129. В дальнейшем пользовательский компьютер будет обращаться к внешнему web-серверу по протоколу HTTP. Анализ трафика будет осуществляться в локальной сети между пользовательским компьютером и PPTP-сервером.

Рис. 5. Схема имитируемой VPN-сети

Установка и настройка VPN

Настроить виртуальную сеть между основной ОС и виртуальной машиной Windows XP. Для этого выполнить следующие действия.

1. В общих настройках виртуальной сети включить адаптер VMnet1 (опция «Enable adapter», рис. 6).

16