Методи за предпазване от атаки
Известни са няколко основни подхода за защита на достъпа до компютърните мрежи:
- Без защита.
- Защита чрез неизвестност (security through obscurity).
- Защита на ниво хост (host security). При този подход сигурността се прилага към всеки хост поотделно, като е необходимо анализиране на проблемите на сигурността за конкретния хост. Сигурността на ниво хост се базира на познанията и уменията на потребителите, имащи привилегирован достъп до машината.
- Защита на ниво мрежа (network security). При този модел се акцентира върху контролирането на мрежовия достъп до различните хостове и услуги, отколкото върху защитата на всяка поотделно. Сигурността на ниво мрежа включва изграждане на специализирани защитни стени (firewalls) за защита на вътрешните системи и мрежи, прилагане на строги правила за автентициране на потребителите и използване на криптирано предаване на информацията.
Firewall архитектури
Firewall е множество от компоненти (хар. и софт.), най-често обединени под формата на доверена (trusted) машина, разположена между вътрешната и публичната мрежи. Всичкият трафик към и от вътрешната мрежа преминава през него. Благодарение на това, firewall се явява мястото, където се прилага политиката на сигурност на организацията – контрол на специфичен трафик между специфични системи.
Някои аспекти остават извън възможностите му: наличието на нарушители във вътрешната мрежа; трафикът, не-преминаващ през него не може да бъда контролиран; наличието на нови видове заплахи за сигурността; невъзможността за спиране на компютърните вируси.
Съществуват две основни архитектури за изграждане на firewall – dual-homed хост и screened рутер.
Dual-homed хост архитектура. Тази архитектура е изградена на базата на компютър, притежаващ най-малко два интерфейса. Такъв хост би могъл да играе ролята на рутер между свързаните чрез интерфейсите му мрежи. За реализирането на сигурността обаче, маршрутизирането е изключено. Системите от вътрешната мрежа могат да комуникират с dual-homed хоста, системите от външните мрежи (Интернет) също могат да комуникират с него, но тези системи не могат директно да комуникират помежду си. Блокирането на IP трафика между вътрешната и публичната мрежи позволява постигането на изключително високо ниво на сигурност при тази архитектура. Осигуряването на достъпа до Интернет услугите в този случай се реализира чрез използването на специализирани сървърни програми, изпълнявани върху dual-homed хоста – proxy сървъри. Proxy сървърите получават потребителските заявки за Интернет и ги препращат съобразно политиката на организацията към реалните услуги. По този начин те заменят необходимостта от маршрутизиране на IP трафика през firewall. Едно от най-важните предимства на proxy сървърите е тяхното прозрачно функциониране.
Screened хост архитектура. Тази архитектура позволява достъп до услуги, изпълняващи се върху машина от вътрешната мрежа, чрез въвеждането на отделен рутер.
Машината от вътрешната мрежа, до която имат достъп Интернет потребителите е известна под наименованието bastion хост. Контролирането на достъпа до този хост се реализира посредством филтриране на пакети от допълнителния screened рутер.
Филтрирането на пакети е механизъм за мрежова сигурност, позволяващ анализиране на преминаващите дейтаграми на базата на различни критерии:
Тип на протокол: TCP, UDP, ICMP и др.; Адрес на източника; Адрес на получателя; Тип на дейтаграмата – SYN/ACK, данни и др.; Вид на услугата – FTP, HTTP, SMTP и др.
Филтрирането на пакети е ефективен метод за контрол на трафика защото притежава редица предимства: един screened рутер може да защитава цялата мрежа; не е необходим специализиран клиентски софтуер за разлика от proxy; филтрирането е разпространено като софтуер в маршрутизаторите, предлагани на пазара.
Чрез филтрирането може да се позволи единствено на bastion хоста да създава конекции към Интернет. По този начин машините от вътрешната мрежа няма да могат да имат директен трафик към Интернет, а ще използват услугите на proxy сървър, изпълняващ се върху bastion хоста. В повечето случаи screened хост архитектурата предоставя по-голямо ниво на сигурност от dual-homed архитектурата. Най-главният недостатък е, че bastion хостът се явява основната цел за атаки и при неговото компрометиране не остава никакво средство за защита между него и машините от вътрешната мрежа.
Screened subnet архитектура
При тази архитектура се въвежда повишено ниво на сигурност чрез добавяне на гранична (perimeter) подмрежа, която допълнително изолира вътрешната мрежа от Интернет. Граничната мрежа е известна още и под наименованието демилитализирана зона (Demilitarized zone – DMZ).
Поради факта, че bastion хостът е винаги обект на атака, изолирането му в отделна подмрежа позволява намаляване на риска за вътрешната мрежа при евентуалното му компрометиране. Основният вид на тази архитектура изисква използването на два screened рутера – един между DMZ и Интернет, и втори – между DMZ и вътрешната мрежа.
Използването на гранична мрежа изолира вътрешния от Интернет трафика. Тъй като никакъв вътрешен трафик (между два хоста) не преминава през граничната мрежа, тази архитектура позволява ефективна защита на вътрешния трафик дори и при компрометиране на bastion хоста.
Bastion хостът се явява основна точка на приемане на получаваните от Интернет заявки за услуги. Типично, върху него могат да се изпълняват услугите, предоставяни за публичен достъп от организацията – FTP, Web, e-mail, DNS. Вътрешният рутер (choke router) защитава вътрешната мрежа както от Интернет, така и от граничната мрежа. Външният рутер (access router) принципно трябва да защитава както граничната, така и вътрешната мрежи. На практика той пропуска почти всичкия изходен трафик от граничната мрежа към Интернет, като реализира сравнително малко филтриране на пакети.
Филтриране на пакети под Linux. Netfilter.
Netfilter представлява общ програмен модел на филтриране на пакети, позволяващ улеснен и ефективен контрол на трафика под Linux. Този модел започва да се прилага от версия 2.4 на ядрата на Linux, като софтуерната реализация е базирана на пакета iptables. Модулният принцип на изграждане на iptables дава възможност за постигане на гъвкавост при реализирането на различни стратегии за изграждане на firewall архитектури. За основното функциониране е необходимо зареждането на основния модул ip_tables.
Конфигурирането на Netfilter се базира на използването на таблици, всяка от които се състои от последователност от правила. Правилата дефинират критериите, които трябва да удовлетворят преминаващите през машината пакети и действията (целите – targets), които ще се предприемат при тяхното удовлетворяване. За всяка таблица са дефинирани последователности от правила (вериги – chains), по които преминават пакетите. Потребителят може да използва стандартните вериги, както и да дефинира собствени такива.
Netfilter включва три стандартни таблици:
mangle – използва се за модифициране на пакетите. Основно това се отнася за промяна на полето Type of Service на дейтаграмата. Това позволява задаване на политика на мрежата в зависимост от това как пакетът да бъде маршрутизиран. За използването на таблицата е необходимо е първоначално зареждане на модула iptable_mangle;
nat – тази таблица се използва основно за транслиране на адресите (Network Address Translation – NAT). Основните цели за тази таблица са: DNAT – промяна на адреса на получателя; SNAT – промяна на адреса на източника с фиксиран IP адрес; MASQUARADE – промяна на адреса на източника с нов, избран от адресен пул. За използването на таблицата е необходимо е първоначално зареждане на модула iptable_nat;
filter – използва се основно за филтриране на пакетите. Принципно, всичките стандартни цели са приложими за тази таблица. За използването на таблицата е необходимо е първоначално зареждане на модула iptable_filter.
За таблиците са дефинирани следните стандартни вериги:
- INPUT – входна верига за предназначените за локалната машина дейтаграми;
- OUTPUT – изходна верига за дейтаграмите, генерирани от локалната верига;
- FORWARD – верига за дейтаграмите, предназначени за рутиране към други машини;
- PREROUTING – верига, по която преминават пакетите преди определяне на получателя им (локално или за друг хост);
- POSTROUTING – верига, по която преминават пакетите след определяне на техния получателя.
Сходни статии:
- Основни термини на компютърната система Определение за компютърна система-Съвременните компютри са електронни автоматични устройства, работещи на принципа на програмното управление. Те преобразуват данни (цифрови факти) в информация (организирана използваема форма). При това изпълняват функциите управление,...
- Хост сигурност (Host security) В многослойния модел за сигурност хост слоят се отнася към индивидуалните устройства, като сървъри, стационарни компютри, комутатори (switches), маршрутизатори (routers) и т.н., в мрежата. Всяко устройство притежава множество от конфигурационни...
- Интелигентна система за демонстриране методи за търсене в пространствено състояниe Графа може да се опише чрез отношението ”nasl”. Съседството между два възела X и Y може да се изрази чрез предиката: nasl(X,Y). който е в сила,ако Y е непосредствен...
- Маршрутизатори в локалните компютърни мрежи (Local Network Routers) Маршрутизаторите (routers) са многопротоколни устройства. Те позволяват свързване на хетерогенни (разнородни) ЛКМ на мрежово ниво. Функциите за маршрутизиране се решават на мрежово ниво, което осигурява свързване на подмрежи. При ЛКМ...
- Интернет – възникване и развитие Най-често сравняват Интернет с “море от информация”, “информационен поток” или други помпозни наименования, зад които стои простата истина, че Интернет е мястото, в което има всичко. Хората казват, че нищо...
