Прозрачные, мостиковые и внутренние файрволы

21:20 / 25 декабря, 2003

Профессионалы по защите сети используют множество утилит для построения защищенной сети. Маршрутизаторы, виртуальные частные сети, системы обнаружения вторжения и сканеры уязвимостей наиболее часто используются для этой цели. Многие согласятся, что фундаментом для организации защищенной сети является файрвол. Хотя и традиционное использование файрвола в качестве маршрутизатора оправдывает себя в большинстве ситуаций, файрвол также может укрепить текущие конфигурации и справиться с тем, с чем их собратьям не под силу. В этой статье мы проанализируем концепцию прозрачных и мостиковых файрволов, находящихся внутри сети, которую они защищают.

Матт Таназ, перевод TECKLORD

Введение

Основы

Без сомнения, многие из нас ежедневно используют файрволы из-за их фундаментальной и ключевой роли в безопасности сети. Как мы знаем, эти устройства анализируют и фильтруют трафик, перед тем как принять решение - что делать с пакетом. Обычно имеют два интерфейса: внешний и внутренний. Внешнее подключение находиться ниже маршрутизатора, подключенного к Интернет. Внутренний интерфейс обычно ведет к локальному маршрутизатору или к частной сети. На каждом интерфейсе или сетевом адаптере присутствует 3-ий уровень, или IP-адрес. Входящий пакет из Интернета достигнет внешнего интерфейса, и файрвол согласно прописанным правилам решит, что с ним делать. Далее количество TTL будет уменьшено, пакет будет изменен соответственно и перенаправлен по назначению. Легко думать о многих файрволах, как о простых маршрутизаторах с современной возможностью фильтра пакетов. И, наоборот, у маршрутизаторов очень скромные возможности фильтрации пакетов.

Хотя такой файрвол подходит для многих ситуаций, существуют некоторые недостатки:

Не совсем просто подключить такой файрвол к сети. Внешний и внутренний интерфейсы требуют создания IP-адреса и маски подсети. Внутренние хосты должны быть сконфигурированы таким образом, чтобы видеть файрвол как шлюз. К тому же, окружающие маршрутизаторы должны распознавать файрвол как hop для внутренней сети. Если кратко, существует возможность возникновения проблем с настройкой или требуемыми обновлениями, прежде чем устройство будет установлено.
Большие издержки. Существует очень много требований для обработки каждого пакета: исследование, изменение, маршрутизация. Это, в свою очередь, либо повышает цену на оборудование, либо ухудшает выполнение задачи.
Все знают, что файрвол работает. Он не делает каких-либо попыток скрыть себя для внешнего мира. После небольшого исследования можно определить устройство, работающее как файрвол. И даже если устройство само по себе является безопасным, уже тот факт, что оно существует и доступно для сети делает его уязвимым. Тип программного обеспечения и версия могут быт выявлены путем исследования ответов. Отказ в обслуживании - очень распространенная атака, так как часто это единственная возможность поразить такие устройства, как файрволы. Существует возможность отображения набора правил с использованием firewallking и знанием фильтрующего устройства.

Все это может принести лишь головную боль администраторам и инженерам. Давайте посмотрим, можно ли сделать что-то, чтобы смягчить некоторые из этих недостатков.

Прозрачные файрволы

Поскольку главной задачей файрвола является фильтрование пакетов, то слабина в его традиционном поведении – это то, что файрвол должен перенаправить пакет, после того, как примет решение. Можно ли это упростить? Конечно можно! И решение этой проблемы мы найдем, спустившись на один уровень ниже модели OSI. А что, если вместо распределения пакетов на 3 уровне (сетевом), файрвол будет просто анализировать фреймы и отправлять на нужный интерфейс? Этот тип устройств продолжит фильтрование пакетов, но уже на 2 уровне (data link), как мост. Такой тип устройств нам известен под несколькими именами: прозрачный, внутренний, теневой, скрытый или мостиковый файрвол.

Почему именно мост? В отличии от роутера, который принимает решения для пакета, мост, просто, перенаправляет фрейм с одного интерфейса на другой. Это сетевое устройство намного проще. Перед тем как решить, как это может нам помочь, давайте посмотрим, как это может быт реализовано. Некоторые из операционных систем, имеющие в наличии широкие возможности роутинга, такие как Linux, OpenBSD, также могут строить мосты. Данные поступают на один интерфейс, и через него направляются на следующий и наоборот. Как раз по средине этого процесса мы можем использовать главную задачу файрвола – фильтрацию.

Что хорошего может принести мостиковый файрвол?

Никаких конфигураций. С точки зрения сети, нет виртуально никаких изменений. Как это может быть? Просто мостиковый файрвол находится внутри сети, которую защищает. А это значит, что он может быть расположен между двумя маршрутизаторами, или маршрутизатором и свитчем. Вы можете даже установить его перед определенной машиной. Устройство следовало бы поместить на свое место, если бы оно функционировало в роли шлюза или маршрутизатора, но таковым мостиковый файрвол не является. Он просто пересылает фреймы после их анализа между интерфейсами. А это означает, что нет необходимости в изменении существующих сетевых настроек. Он полностью прозрачен. Никаких головных болей с маской подсети и дополнительных конфигураций не требуется
Производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных.
Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке. Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира. Если такой файрвол недоступен, то как его атаковать? И никакие тесты сети, отказы в обслуживании или firewalking не помогут. Атакующие даже не будут знать, что существует файрвол, проверяющий каждый их пакет.

Давайте оценим возможности мостикового файрвола и испытаем его в реальной ситуации.

Использование прозрачных файрволов

Мостиковые устройства являются полезными в комплексных окружениях, требующих быструю или новую установку файрвола. Использование обычного файрвола потребует принудительное изменение маршрутизации. Как уже говорилось, изменение конфигурации для хостов, соседних маршрутизаторов и самого файрвола будет необходимым. В большой или комплексной сети это будет трудной и длительной задачей. Использование мостикового файрвола уменьшит время, потраченное на конфигурации и настройку, а это большой плюс для любого бизнеса.

Прозрачный, мостиковый файрвол может иметь преимущества как для компаний с несколькими спутниковыми тарелками в разных офисах, так и для меньших организаций. Большие и маленькие сети имеют часто в наличии одно подключение к WAN (T1, DSL, ISDN) и маленький маршрутизатор. Мостиковый файрвол может быть сконфигурирован в офисе и без проблем установлен на спутник. Поскольку установки в этих офисах часто одинаковые, то одна и та же конфигурация может использоваться для различных сетей. Устройство может быть установлено за считанные секунды в каждом офисе. Это отличное решение для таких задач, как защита небольших корпоративных сетей.

Мостиковые устройства могут быть так же использованы другими приложениями. Поскольку потребление ресурсов такого устройства минимальное, мы можем смело добавить IDS на машину. Также представляет интерес комбинация мостикового файрвола и сниффера. В зависимости от той или иной ситуации, иногда очень полезно вести аудит и проверять типы пакетов в сети. Внутренний файрвол – это отличный способ собирать такие данные, поскольку он является невидимым маршрутизатором в сети. Это устройств может быть также удалено из системы для изучения, не причиняя последней никакого вреда.

Где взять мостиковый файрвол

Прочитав эту статью, мы уверенны, что некоторые из вас решат использовать такое устройство в своей сети. Но где его взять? Ответ на этот вопрос зависит от некоторых факторов.

Такое устройство может быть установлено на оборудовании с минимальными требованиями на операционных системах OpenBSD и Linux. У обеих операционных систем очень неплохие возможности для файрволов. FreeBSD и OpenBSD имеют встроенную в ОС поддержку мостов. Также существует проект open source для добавления таких возможностей в Linux. После установки желаемой системы и ее настройки в роли моста, остается лишь составить набор правил для файрвола. Что-то подобное делал, наверняка, много раз каждый администратор. Максимальная производительность и гибкость обеспечена, причем бесплатно.

Тем, кто решили все-таки купить такой файрвол, следует обратиться к коммерческим релизам. Многие производители уже предлагают множество Энтерпрайз - решений для таких устройств. За деньги вы получите удобство установки вдобавок к надежности и поддержке.

Заключение

Прозрачные/мостиковые файрволы, используемые по назначению, являются отличным средством обеспечения безопасности. Быстрая настройка и минимум конфигурирования делают их достойной альтернативой обычным файрволам, а это вмести с глубоким анализом пакетов и возможностями фильтрации дает надежды на то, что именно эти файрволы и есть файрволы будущего. Вскоре мы сможем управлять внутренними устройствами, маршрутизацией, фильтрацией и анализом пакетов в очень больших сетях, при этом затратив минимум своих усилия и времени.

Полезные ссылки

http://hogwash.sourceforge.net/ - домашняя страница проекта Hogwash 
http://www.linux.org/ - Информационный центр для ОС Linux
http://www.openbsd.org/faq/faq6.html#Bridge - OpenBSD FAQ п
о построению мостов 

http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/network-bridging.html
 - FreeBSD FAQ по построению мостов

http://bridge.sourceforge.net/ - ресурс по построению мостов на ОС Linux 

http://www.netfilter.org/ - Особенности фаирволов для ОС Linux

http://bridge.sourceforge.net/docs/Firewalling%20for%20Free.pdf - 
"Фаирволинг бесплатно", статья о мостиковых фаирволах.

Большой брат следит за вами, но мы знаем, как остановить его

Подпишитесь на наш канал!