Межсетевые защитные экраны (брандмауэры)

Самый надежный способ полностью обезопасить компьютер от возможных атак со стороны всемирной сети — физически отключить его от Интернета. По понятным причинам этот тривиальный вариант мы рассматривать не будем, но в данном случае для разрешения принципиального противоречия действуют так же, как и во многих других аналогичных ситуациях, — вводят посредника. Таким посредником может быть другой компьютер или специальное программное средство, размещаемое между защищаемым компьютером (локальной сетью) и средой (локальной, глобальной сетью, Интернетом). Подобные аппаратные или программные средства называют брандмауэрами (firewall). В технической отечественной литературе для них иногда используется термин защитный экран, или межсетевой экран (рис. 10.21).

Принцип действия брандмауэра. Принцип действия брандмауэра основан на том, что это средство контролирует состояние соединения на уровнях ниже прикладного (на уровне соединения, сетевом, транспортном) и, тем самым, способно уловить признаки работы несанкционированных средств, незаметно “врезавшихся” со своим виртуальным соединением в систему связи ниже прикладного уровня, подконтрольного пользователю. В частности, брандмауэр способен отследить деятельность средств удаленного администрирования. Одновременно брандмауэр может контролировать потоки данных (трафик) и осуществлять их фильтрацию. Настроив брандмауэр соответствующим образом, можно полностью или частично запретить доступ внешних клиентов к службам, находящимся в защищенной области, и, наоборот, запретить внутренним клиентам обращение к службам внешней сети.

Для пояснения сути работы брандмауэра рассмотрим упрощенный пример (рис. 10.22). Допустим, два руководителя предприятий обмениваются письмами. Написав письмо, руководитель передает его секретарю для печати, а секретарь передает письмо курьеру для доставки. В этой системе связи только три уровня: прикладной (руководитель), уровень представления (секретарь) и физический уровень.

Физическая связь существует только между курьерскими службами, однако руководители тоже полагают, что между ними есть связь. Она действительно есть, но она виртуальная (опосредованная). Кстати, секретари обоих руководителей тоже могут считать, что они имеют друг с другом виртуальное соединение.

Предположим, что секретари обоих начальников вступили в сговор и, перепечатывая их письма, обмениваются информацией между собой. Секретарь отправителя что-то дописывает карандашом в письме, а секретарь получателя стирает то, что было дописано.

Руководители занимают высшие уровни в системе связи и потому они не знают, что их канал используется несанкционированно. Однако об этом очень легко догадаются курьеры, если им разрешить читать то, что они доставляют. Специальным образом подготовленный курьер может в данном случае дать сигнал руководителю о том, что им обнаружено незарегистрированное соединение. Именно этим и занимаются брандмауэры.

Совокупность ограничений, накладываемых на сотрудников предприятия в результате настройки брандмауэра, определяется политикой предприятия в области обеспечения режима сетевой безопасности. За реализацию этой политик отвечает уполномоченное лицо, обычно — системный администратор.

С работой простейшего программного средства, выполняющего функции брандмауэра, программой ATGuard (www.atguard.com), читатель может познакомиться в практическом занятии данной главы. Программа работает в фоновом режиме и занимается проверкой состояния коммуникационных портов. В случае обнаружения попыток использовать тот или иной порт она сообщает о них пользователю. Если коммуникация осуществляется с его ведома, он может разрешить создание TCP-соединения. В противном случае выдается запрет и предпринимаются меры по идентификации процесса, породившего запрос. Возможно, что запрос пришел снаружи (злоумышленник ищет контакт со средством удаленного администрирования путем сканирования коммуникационных портов), а может быть, и изнутри (средство удаленного администрирования уже скрытно работает на компьютере и пытается выйти в Сеть).