Шлюзы приложений
Недостатки маршрутизаторов с фильтрацией пакетов
Фильтрация пакетов служит эффективным средством защиты различных служб от сетевых атак, но методы фильтрации пакетов неэффективны против атак, не зависящих от сетевых служб. Примером является атака с подменой IP-адреса пакета, которая может быть применена к любой сетевой службе. Для исполнения такого рода атаки хакер в отсылаемом с внешнего хоста пакете подменивает исходный IP-адрес фальшивым IP-адресом, для которого разрешено прохождение пакетов. Если брандмауэр не настроен должным образом, пакет с фальсифицированным IP-адресом может быть пропущен в сеть.
Другой возможный вариант сетевой атаки, против которой бессильна фильтрация пакетов – это обход системы защиты сети указанием в переданном пакете маршрутной информации. Здесь важно, чтобы брандмауэр был настроен на отбрасывание таких пакетов.
Еще одна брешь возникает, когда применяется фрагментация пакетов, при которой хакер делит пересылаемые пакеты на маленькие части и посылает их на маршрутизатор с фильтрацией пакетов. Во фрагментированном пакете номер порта целевого хоста должен содержать только самый первый фрагмент, а остальные фрагменты содержат лишь само сообщение.
Другой недостаток маршрутизаторов с фильтрацией пакетов состоит в отсутствии проверки содержимого пакетов, что делает их непригодными для защиты от атак, управляемых данными. Для отражения таких атак более эффективны другие методы, обеспечиваемые шлюзами приложений.
Шлюзы приложений полезны тем, что позволяют создать более жесткие правила политики безопасности, чем это позволяют сделать маршрутизаторы с фильтрацией пакетов. Для управления трафиком между хостами глобальной и локальной сети в шлюзах приложений используются специальные программы, называемые службами-посредниками. Поэтому для защиты каждого защищаемого шлюзом приложения требуется установить отдельную службу, без которой приложение-посредник не сможет предоставлять свои услуги сетевым пользователям. Далее служба-посредник может быть конфигурирована для предоставления только определенной части услуг защищаемого приложения.
Шлюзы с фильтрацией пакетов разрешают прямое прохождение информационных пакетов внутрь и наружу системы; в отличие от них, шлюзы приложений запрещают прямой обмен пакетами между внутренними и внешними хостами.
При решении вопроса о предоставлении доступа к службе-посреднику бастионный хост может выполнить дополнительную аутентификацию подсоединяющегося пользователя. Для аутентификации может быть использована технология одноразовых паролей, генерируемых криптографическим устройством опознания, реализованным на интеллектуальной карточке. Более того, для усиления защиты такие средства аутентификации могут быть реализованы отдельно для каждой службы-посредника.
Основное преимущество шлюзов-приложений в том, что они позволяют жестко ограничить доступ ко всем приложениям и службам, используемым в локальной сети, со стороны как внешних, так и внутренних хостов. Для решения такой задачи, как и в случае шлюзов с фильтрацией пакетов, используются правила фильтрации. Наибольший недостаток шлюзов приложений – ограничение свободы действий пользователей, а также необходимость инсталляции на каждом хосте, запрашивающем службу-посредника, дополнительных программных средств.