ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

10.2 Развертывание элементов управления шлюза безопасности

10.2.1 Архитектура межсетевого экрана с фильтрацией пакетов

Существует два типа МЭ с фильтрами пакетов: с отслеживанием или без отслеживания состояния. МЭ без отслеживания состояния подходит для удаления искаженных пакетов и пакетов, поступающих из "неправильного" источника или направляющихся к "неправильному" назначению. Источник или назначение могут быть идентифицированы по направлению потока через МЭ, сетевому адресу пакета или порту содержимого транспортного уровня пакета. Каждый пакет рассматривается изолированно от всех других пакетов. МЭ с фильтрацией пакетов не разрывает сквозного подключения. Самый базовый тип архитектуры МЭ называется МЭ с фильтрацией пакетов, изображенным на рисунке 3. МЭ с фильтрацией пакетов - это, по сути, устройства маршрутизации, которые включают в себя функции контроля доступа для сетевых адресов и сеансов связи. Их часто называют экранирующими маршрутизаторами. В своей базовой форме МЭ с фильтрацией пакетов работают на уровне 3 модели OSI.

 

 

- весь трафик

 

Рисунок 3 - МЭ с фильтрацией пакетов/экранирующий

маршрутизатор

 

Функция управления доступом МЭ с фильтрацией пакетов управляется набором директив, совместно именуемых набором правил. Наборы правил обычно называются ACL. Они обеспечивают управление доступом к сети и могут, например, быть основаны на адресе источника пакета, адресе получателя пакета, типе трафика, некоторых характеристиках связи уровня 4, таких как порты источника и получателя, а также на информации, относящейся к тому интерфейсу маршрутизатора, с которого поступил пакет, и какому интерфейсу маршрутизатора предназначен пакет.

МЭ с фильтрацией пакетов имеют два основных преимущества: скорость и гибкость. Поскольку пакетные фильтры обычно не исследуют данные выше уровня 4 модели OSI, они могут работать очень быстро. Эта простота позволяет развертывать МЭ с фильтрацией пакетов как внешний маршрутизатор перед экранированным узлом или экранированной подсетью. Причиной такого размещения является их способность блокировать "отказ в обслуживании" и связанные с ним атаки. Экранирующие маршрутизаторы не могут предотвратить атаки, в которых используются специфичные для приложений уязвимости или функции, поскольку они не проверяют данные верхнего уровня (уровень 5 - 7). Ограниченная информация, доступная МЭ, приводит к ограниченной функциональности регистрации в МЭ с фильтрацией пакетов. Из-за большого количества переменных, используемых в решениях по управлению доступом, они подвержены нарушениям безопасности, вызванным неправильными конфигурациями.

10.2.2 Архитектура двудомного шлюза

Двудомный шлюз - это прокси-сервер приложений/шлюз уровня приложений, который разрывает сквозное соединение. Двудомный шлюз, показанный на рисунке 4, состоит из узла с двумя сетевыми интерфейсами A и B и с отключенной возможностью пересылки IP-адресов внутри узла. Таким образом, IP-пакеты из одной сети (например, сети Интернет) не направляются напрямую в другую сеть (например, во внутреннюю сеть). Системы внутренней сети могут взаимодействовать с двудомным узлом, и системы за МЭ во внешних сетях могут взаимодействовать с двудомным узлом, но эти системы не могут напрямую взаимодействовать друг с другом.

 

 

- весь трафик

 

Рисунок 4 - Двудомный шлюз

 

Если узел оснащен несколькими сетевыми картами, то существуют варианты конфигурации, например для отдельных подключений к сети Интернет, к поставщикам Интернет-услуг или к внутренней сети с различными серверами, такими как серверы электронной почты или серверы регистрации событий. В этом случае он называется мультидомным шлюзом.

При необходимости маршрутизатор, действующий в качестве пакетного фильтра, может быть подключен к внешним сетям для обеспечения дополнительной защиты путем фильтрации сетевых пакетов. Двудомный шлюз блокирует весь прямой IP-трафик между внешними сетями и защищенным узлом сети. Доступ предоставляется службами прокси-сервера приложений на МЭ.

Двудомный шлюз представляет собой более "квалифицированный" тип шлюза безопасности, поскольку он скрывает внутренние IP-адреса от систем внешних сетей и обеспечивает возможность регистрации, которая может использоваться в сочетании с СОВ для обнаружения возможных действий злоумышленника. Ограниченная гибкость - это возможность передачи только таких служб, для которых существует прокси-сервер; ограниченная гибкость может быть недостатком для некоторых узлов сети.

Эту проблему может решить дополнительный маршрутизатор, если в этом случае может быть установлено надежное соединение в обход шлюза безопасности. Безопасность узла, используемого для МЭ, имеет решающее значение для общей защиты, потому что, если МЭ скомпрометирован, то злоумышленник может получить доступ к внутренним системам.

10.2.3 Архитектура экранированного узла

Архитектура экранированного узла, показанная на рисунке 5, объединяет маршрутизатор с фильтрацией пакетов с узлом-бастионом, используя прокси-сервер приложений. Узел-бастион находится в защищенной части подсети маршрутизатора. В этой архитектуре первичная защита обеспечивается маршрутизатором с фильтрацией пакетов, например, чтобы пользователи не могли обходить прокси-серверы для установления прямых соединений с внутренней сетью.

 

 

- весь трафик

 

Рисунок 5 - Экранированный узел

 

Фильтрация пакетов на экранирующем маршрутизаторе настроена таким образом, что узел-бастион является единственной системой, с которой узлы внешних сетей могут открывать соединения. Такой узел-бастион, как МЭ уровня приложений, состоит из служб прокси-сервера, которые пропускают или блокируют службы в соответствии с политикой узла. Маршрутизатор отфильтровывает потенциально опасные протоколы до передачи их в узел-бастион.

Трафик приложений из внешних сетей на узел-бастион маршрутизируется; весь другой трафик от внешних сайтов отклоняется. Маршрутизатор отклоняет весь трафик приложения, исходящий из внутренних сетей, если только он не пришел с узла-бастиона.

10.2.4 Архитектура экранированной подсети

Архитектура экранированной подсети, изображенная на рисунке 6, представляет собой вариант архитектур с двудомным шлюзом и экранированным узлом. Это добавляет дополнительный уровень защиты к архитектуре экранированного узла, присоединяя сеть периметра, что далее изолирует внутреннюю сеть от внешних сетей, таких как сеть Интернет.

 

 

- весь трафик

 

Рисунок 6 - Архитектура экранированной подсети

 

Для создания внутренней экранированной подсети используются два маршрутизатора. В этой подсети, иногда называемой ДМЗ или сетью периметра, размещается узел-бастион или МЭ уровня приложений, однако в ней также могут размещаться веб-сервер(ы), сервер(ы) электронной почты или DNS-сервер(ы) и другие системы, требующие тщательно контролируемого доступа. Внешний маршрутизатор ограничивает доступ из внешних сетей к конкретным системам в экранированной подсети (например, маршрутизация трафика электронной почты с узлов сети Интернет на сервер электронной почты) и блокирует весь другой трафик во внешние сети, исходящий из систем, которые не должны создавать соединения (например, монтирование файловой системы на внешние системы). Внутренний маршрутизатор передает трафик в и из систем в экранированной подсети в соответствии с существующими правилами (например, маршрутизация трафика электронной почты от систем узла сети к серверу электронной почты и наоборот).

Для двудомного и часто многодомного шлюза важно, чтобы ни одна внутренняя система не была напрямую доступна из внешних сетей и наоборот. Благодаря экранированной архитектуре подсети нет необходимости в реализации соответствующего узла-бастиона шлюза уровня приложений в качестве двудомной системы. С архитектурой экранированной подсети нет абсолютной необходимости для реализации соответствующего базового узла шлюза уровня приложений в качестве системы с двойным интерфейсом.

Экранированная архитектура подсети может больше подходить для узлов с большим объемом трафика или узлов, которым требуется обеспечить высокоскоростной трафик.