Как защитить ценные данные с помощью firewall и держать в узде мародеров
Сообщения о преступлениях в Internet становятся все тревожнее. Хакер пробирается в Netcom и уничтожает все принадлежащие Internet-провайдерам записи по задолженностям клиентов. Какой-то датчанин залезает в компьютерную систему Национальной метеорологической службы в Мэриленде и стирает информацию о прогнозах погоды. Деятели из Legion of Doom ("Легион апокалипсиса") и Masters of Deception ("Мастера обмана") разбойничают в Internet каждую ночь.
Даже если вы думаете, что ваш "уголок" Internet вполне безопасен, запирайте двери - теперь в этой всемирной деревне иначе нельзя. Там бродит много лихих парней, и они не прочь использовать ваши Internet-связи для того, чтобы забраться в вашу сеть. Помните: если вы можете добраться до них, то и они могут добраться до вас.
СТРОЙТЕ FIREWALL
Firewall (обычно шлюз или маршрутизатор) обеспечивает вашим пользователям доступ к Internet, но не позволяет кому попало из Internet добираться до компьютеров вашей сети. Это - односторонний шлюз в Internet и из нее. Он позволяет следить за входящей и выходящей информацией. Поскольку все сети разные, каждая должна быть сконфигурирована по-своему.
Трафик, проходящий по каналам связи Internet, содержит IP-адрес отправителя и получателя, а также другие коды, указывающие на тип транзакции, для которой он предназначен (например, FTP, Tehet или SMTP).
Firewall может отбирать IP-адреса, чтобы принимать и допускать в сеть только ту информацию, которая поступает с определенных IP-адресов. Он может также отслеживать протоколы, чтобы предотвратить транзакции, при которых происходит передача файлов через firewall на ваши компьютеры и обратно.
Для примера мы взяли сравнительно простую ЛВС, но основные из продемонстрированных принципов применимы и к более крупным сетям. Она представляет собой 4 взаимосвязанных ЛВС, одну удаленную сеть, подключенную по типу "маршрутизатор - маршрутизатор", и одну линию связи с Internet.
К сети подключено 250 ПК и Macintosh. Их пользователи работают с системой электронной почты на основе ЛВС. Доступ к Internet осуществляется по специально выделенной линии связи с Internet-провайдером, обеспечивающей скорость связи 56 Кбит/с. Этот канал связи берет начало на маршрутизаторе одной из ЛВС.
В представленной на рисунке сети для связи с узлами World-Wide Web используется система просмотра Mosaic Web ассоциации NCSA. Чтобы пользователи могли отправлять и получать локальные и Internet-сообщения через один и тот же почтовый ящик, существует SMTP-шлюз для электронной почты.
ЗАЩИТИТЕ СВОЮ СЕТЬ
Обычно тот, кто устанавливает firewall, рассчитывает защитить свою сеть таким способом, чтобы пользователи этого не заметили. Лучше устанавливать firewall, не лишая пользователей возможности отправлять какие бы то ни было сообщения в Internet, но так, чтобы обеспечить контроль за входящим и исходящим трафиками.
В таком случае первое, что нужно сделать, - переконфигурировать сеть, чтобы сделать ее менее уязвимой. Для этого следует оставить единственную точку, через которую пойдет весь трафик.
Проблема выхода из сети Время от времени какого-нибудь хакера может посетить мысль, что было бы неплохо ’взломать" firewall. Большинство программ для firewall способно регистрировать попытки установления связи, идентификаторы отправителя и адресата и тому подобное. Читайте эти записи. Не существует идеальных firewall, так что старайтесь улучшить то, что есть. |
Обычно создается специальная внешняя ЛВС для связи с Internet, к которой подключаются системы, специально предназначенные для работы с этой сетью. После этого можно воспользоваться маршрутизатором для отслеживания IP-адресов и протоколов.
Следует установить специальный ПК, который будет работать в качестве шлюза Internet, и еще надежнее изолировать свои ЛВС, превратив этот шлюз в сервер, обслуживающий только пользователей. Чтобы доступ в Internet был изолирован еще сильнее, можно установить во внешней ЛВС Web-сервер. Не менее важно регистрировать трафик, который проходит через линию связи с Internet, чтобы вести учет случаев доступа в вашу сеть извне.
ЗАКРОЙТЕ "ЧЕРНЫЙ ХОД" INTERNET
Прежде чем создавать firewall, важно определить лучшее физическое местоположение для этого шлюза, поскольку весь трафик Internet будет идти именно через него. Необходимо закрыть все "черные ходы" к Internet, проходящие в обход firewall. Проверьте, нет ли каких-нибудь портов маршрутизатора, через которые пользователи могут связаться с другими сетями, имеющими доступ в Internet? Нет ли у кого-нибудь сервера, подключенного к Internet-провайдеру для частных или специальных целей?
Чтобы firewall оказался эффективным, прежде всего надо определить, с какими данными вы собираетесь работать. Точнее, что именно вы собираетесь защищать при помощи firewall. Есть ли у вас хост-машины и серверы, содержащие уязвимую, конфиденциальную или профессиональную информацию, в которой мoжeт быть заинтересован посторонний? Есть ли в сети списки клиентов, бухгалтерские данные или другие файлы, жизненно важные для вашего бизнеса, или вы просто хотите создать "плотину", которая защитит вас от мутной воды, льющейся из Internet?
КОНФИГУРИРОВАНИЕ МАРШРУТИЗАТОРА
Прежде всего сконфигурируйте в маршрутизаторе систему отбора IP-адреса. Можно создать таблицу базы данных, чтобы отбирать IP-адреса всего трафика, входящего через порт маршрутизатора по линии доступа в Internet.
Определите те хосты Internet, которым будет разрешен доступ к вашей сети, и сконфигурируйте таблицу со списком их IP-адресов. Такая схема исключит возможность несанкционированного доступа.
В сети, взятой нами для примера, сервис-провайдер Internet работает с почтовым шлюзом, т.е. вся Internet-почта сначала задерживается у сервис-провайдера, а затем направляется на хост электронной почты самой компании. Если все будет разыгрываться по такому сценарию, трафик Internet будет надежно отслеживаться при условии, что firewall (то есть маршрутизатор) был сконфигурирован так, чтобы принимать трафик только с определенного хоста сервис-провайдера Internet.
Впрочем, и пакетный фильтр маршрутизатора мог бы задерживать весь посторонний трафик, входящий из Internet, но это может оказаться неудобным. Например, при пересылке файла с сетевого ПК во внутреннюю ЛВС с использованием FTP исходный IP-адрес на входящих дейтаграммах файловой передачи (тех, в которых содержится файл) не будет входить в список адресов, разрешенных к проходу через firewall, и маршрутизатор остановит эти входящие IP-дейтаграммы. В этом случае защита, обеспечиваемая firewall, окажется несколько чрезмерной. Хотя в других случаях такая установка может быть подходящей.
Большинство сетей требует менее жесткого отслеживания трафика Internet, но уровень защиты должен быть примерно таким же. Чтобы решить эту проблему, установите еще один хост-шлюз во внешней ЛВС.
ШЛЮЗЫ ДЛЯ ДОПОЛНИТЕЛЬНОЙ ЗАЩИТЫ
Этот шлюз будет принимать весь входящий трафик вне зависимости от его источника и назначения. Работая вместе, маршрутизатор и шлюз превратятся в firewall.
SMTP-шлюз надежнее, чем маршрутизатор, поскольку он делает больше, чем простое отслеживание трафика. Но и маршрутизатор по-прежнему будет обеспечивать некоторую защиту, а его таблицы фильтрования могут оказаться полезными. Точнее, таблица фильтрования маршрутизатора будет преобразована так, чтобы пропускать трафик, предназначенный для SMTP-шлюза. То же самое можно проделать и с внутренними хостами, к которым есть доступ из Internet, так что маршрутизатор будет передавать трафик, направляемый на конкретный внутренний адрес, а не только приходящий с определенных внешних адресов.
Такая настройка создает дополнительные возможности обработки почты, избавляя от необходимости опираться только на Internet-провайдер.
Этот шлюз станет первым контрольно-пропускным пунктом для трафика, который уже прошел через маршрутизатор. После этого шлюз будет отслеживать все транзакции и передавать разрешенный трафик на системы, подключенные к внутренним сетям.
При таких условиях пользователь Internet по-прежнему сможет отправлять файлы с хоста, подключенного к одной из внутренних ЛВС, с помощью FTP-программы, но эта транзакция будет обрабатываться только в шлюзе и только косвенно - хостом внутренней ЛВС. Этот шлюз получил бы FTP-запрос и ответил бы запрашивающей системе Internet. В то же время шлюз мог бы отправить свой собственный FTP-запрос защищенному внутреннему хосту.
Чтобы обеспечить еще более надежную защиту, этот шлюз может быть сконфигурирован как сервер, обслуживающий только ПК и хосты, подключенные к внутренним ЛВС. В таком случае шлюз не только задерживал бы весь трафик, поступающий из Internet, но и обеспечивал контроль всех транзакций, исходящих из собственных ЛВС. Он передавал бы транзакции на хосты Internet, переоформляя их заново. Таким образом, все ПК и защищенные хосты оставались бы невидимыми из Internet.
Иногда такой шлюз мог бы использоваться в качестве DNS (Domain Name Server - сервер имени домена) для внешнего мира. Он обрабатывал бы DNS-запросы, относящиеся к защищенным им ЛВС, но идентифицировал бы только некоторые хосты. Остальные оставались бы скрытыми.
Запись Mail Exchange этого шлюза, которая при нормальных условиях указывает имена хостов и IP-адреса серверов электронной почты внутренних ЛВС, теперь указывала бы на сам шлюз.
Уильям Датчер (Вашингтон) занимается проектами по интеграции ЛВС в фирме Network Solutions, которая предоставляет услуги информационного центра Internet Network. Он также читает курс лекций по теме "Защита информационных служб".
УИЛЬЯМ ДАТЧЕР