Протоколы IPSec и трансляция сетевых адресов

При подключении сетей организаций к Интернет, часто используется механизм трансляции сетевых адресов – NAT (от англ. «Net-work Address Translation»). Это позволяет уменьшить число зарегистрированных IP-адресов, используемых в данной сети. Внутри сети используются незарегистрированные «частные» адреса (как правило, из диапазонов, специально выделенных для этой цели, например, адреса вида 192.168.x.y для сетей класса C). Если пакет из такой сети передается в Интернет, то маршрутизатор, внешнему интерфейсу которого назначен по крайней мере один зарегистрированный ip-адрес, модифицирует ip-заголовки сетевых пакетов, подставляя вместо частных адресов зарегистрированный адрес. Порядок, по которому производится подстановка, описывается в специальной таблице. При получении ответа, в соответствии с таблицей делается обратная замена, и пакет переправляется во внутреннюю сеть.

Рассмотрим пример использования NAT Рисунок 3.11. В данном случае, во внутренней сети используются частные адреса 192.168.0.x. С компьютера, с адресом 192.168.0.2 обращаются во внешнюю сеть к компьютеру с адресом 195.242.2.2. Пусть это будет подключение к web-серверу (протокол HTTP, который использует TCP порт 80).

При прохождении пакета через маршрутизатор, выполняющий трансляцию адресов, ip-адрес отправителя (192.168.0.2) будет заменен на адрес внешнего интерфейса маршрутизатора (195.201.82.146), а в таблицу трансляции адресов будет добавлена запись, аналогичная приведенной в таблице 3.1.

Получив представление о механизме работы NAT, разберемся, какие сложности могут возникнуть, в случае использования IPSec.

Предположим, с хоста с адресом 192.168.0.2 пытаются установить защищенное соединение с внешним хостом 195.242.2.2, используя протокол аутентифицирующего заголовка (AH). При прохождении маршрутизатора, ip-адрес отправителя меняется, как было описано выше. Протокол AH определяет, что значение имитовставки рассчитывается, включая неизменяемые поля IP-заголовка, в частности – адрес отправителя. Сторона-получатель, обнаружит неверное (из-за трансляции адресов) значение имитовставки и отбросит пакет.

Таким образом, механизм NAT и протокол AH несовместимы. В то же время, протокол ESP, который не контролирует целостность ip-заголовка, может использоваться совместно с трансляцией адресов.

Кроме того, RFC 2709 определяет расширение NAT - IPC-NAT (англ. «IPSec policy Controlled NAT» – NAT управляемый правилами

IPSec). Оно позволяет решить указанную проблему путем создания IP-IP туннеля, одной из конечных точек которого является узел NAT.

В этом случае, вместо модификации IP-адреса отправителя в заголовке исходного пакета, NAT-устройство помещает без изменений весь исходный пакет (который аутентифицирован AH), в новый IP-пакет, в заголовке которого в качестве адреса отправителя ставится адрес NAT-устройства. На стороне получателя из полученного пакета изымают исходный пакет и далее обрабатывают его как обычно.

Отдельно необходимо решать вопрос с распределением ключей. Если для этой цели используется протокол IKE (а он использует транспортный протокол UDP, порт 500), потребуется специально организовать пересылку соответствующих данных во внутреннюю сеть.

В том, случае, если задействовать UDP-порт 500 не представляется

возможным, можно использовать описываемый в документах

RFC 3947, 3948 механизм NAT-T (от англ. «NAT traversal»), определяющий инкапсуляцию IKE и IPSec трафика в пакеты UDP. При этом задействуется порт 4500.

МЕЖСЕТЕВЫЕ ЭКРАНЫ

Межсетевой экран (МЭ) –это средство защиты информации,осуществляющее анализ и фильтрацию проходящих через него сетевых пакетов. В зависимости от установленных правил, МЭ пропускает или уничтожает пакеты, разрешая или запрещая таким образом сетевые соединения. МЭ является классическим средством защиты периметра компьютерной сети: он устанавливается на границе между внутренней (защищаемой) и внешней (потенциально опасной) сетями и контролирует соединения между узлами этих сетей. Но бывают и другие схемы подключения, которые будут рассмотрены ниже.

Английский термин, используемый для обозначения МЭ – «firewall». Поэтому в литературе межсетевые экраны иногда также называют файервол или брандмауэр (немецкий термин, аналог fire-wall).

Как уже было отмечено, фильтрация производится на основании правил. Наиболее безопасным при формировании правил для МЭ считается подход «запрещено все, что явно не разрешено». В этом случае, сетевой пакет проверяется на соответствие разрешающим правилам, а если таковых не найдется – отбрасывается. Но в некоторых случаях применяется и обратный принцип: «разрешено все, что явно не запрещено». Тогда проверка производится на соответствие запрещающим правилам и, если таких не будет найдено, пакет будет пропущен. Фильтрацию можно производить на разных уровнях эталонной модели сетевого взаимодействия OSI. По этому признаку МЭ делятся на следующие классы [13]:

- экранирующий маршрутизатор;

- экранирующий транспорт (шлюз сеансового уровня);

- экранирующий шлюз (шлюз прикладного уровня).

Экранирующий маршрутизатор (или пакетный фильтр)функционирует на сетевом уровне модели OSI, но для выполнения прове-рок может использовать информацию и из заголовков протоколов транспортного уровня. Соответственно, фильтрация может производиться по ip-адресам отправителя и получателя, а также по ТСР и UDP портам. Такие МЭ отличает высокая производительность и относительная простота – функциональностью пакетных фильтров обладают сейчас даже наиболее простые и недорогие аппаратные маршрутизаторы. В то же время, они не защищают от многих атак, например, связанных с подменой участников соединений.

Шлюз сеансового уровня работает на сеансовом уровне моделиOSI и также может контролировать информацию сетевого и транспортного уровней. Соответственно, в дополнение к перечисленным выше возможностям, подобный МЭ может контролировать процесс установки соединения и проводить проверку проходящих пакетов на принадлежность разрешенным соединениям.

Шлюз прикладного уровня может анализировать пакеты на всехуровнях модели OSI от сетевого до прикладного, что обеспечивает наиболее высокий уровень защиты. В дополнение к ранее перечисленным, появляются такие возможности, как аутентификация пользователей, анализ команд протоколов прикладного уровня, проверка передаваемых данных (на наличие компьютерных вирусов, соответствие политике безопасности) и т. д. Рассмотрим теперь вопросы, связанные с установкой МЭ. типовые схемы подключения. Такая схема применяется, если требования в области защиты от несанкционированного межсетевого доступа примерно одинаковы для всех узлов внутренней сети. Например, «разрешать соединения, устанавливаемые из внутренней сети во внешнюю, и пресекать попытки подключения из внешней сети во внутреннюю». том случае, если требования для разных узлов различны (на-пример, нужно разместить почтовый сервер, к которому могут подключаться «извне»), подобная схема установки межсетевого экрана не является достаточно безопасной. Если в нашем примере нарушитель, в результате реализации сетевой атаки, получит контроль над указанным почтовым сервером, через него он может получить доступ к другим узлам внутренней сети. подобных случаях иногда перед МЭ создается открытый сегмент сети предприятия (Рисунок 3.12 б), а МЭ защищает остальную внутреннюю сеть. Недостаток данной схемы заключается в том, что подключения к узлам открытого сегмента МЭ не контролирует. МЭ с тремя сетевыми интерфейсами конфигурируется таким образом, чтобы правила доступа во внутреннюю сеть были более строгими, чем в открытый сегмент. В то же время, и те, и другие соединения могут контролироваться МЭ. Открытый сегмент в этом случае иногда называется «демилитаризованной зоной» – DMZ.

Еще более надежной считается схема, в которой для защиты сети с DMZ задействуются два независимо конфигурируемых МЭ (Рисунок 3.12 г). В этом случае, MЭ 2 реализует более жесткий набор правил фильтрации по сравнению с МЭ1. И даже успешная атака на пер-вый МЭ не сделает внутреннюю сеть беззащитной.

В последнее время стал широко использоваться вариант установки программного МЭ непосредственно на защищаемый компьютер. Иногда такой МЭ называют «персональным». Подобная схема позволяет защититься от угроз исходящих не только из внешней сети, но из внутренней. Особенно актуально применение персональных МЭ при непосредственном подключении компьютера к потенциально опасной сети. Например, при подключении домашнего компьютера к Интернет. Завершая учебное пособие, хочется отметить, что обеспечение информационной безопасности информационных и управляющих систем является сейчас очень актуальной задачей. Дополнительные сведения по данной тематике можно получить из специальной литературы, в частности из изданий, перечисленных в библиографическом списке

БИБЛИОГРАФИЧЕСКИЙ СПИСОК

1. ГОСТ Р 50922-2006. Защита информации. Основные термины

и определения.М.: Стандартинформ, 2010.12 с.

2. ГОСТ Р 51275-2006. Защита информации. Объект информатизации. Факторы, воздействующие на информацию. Общие положения. М.: Стандартинформ, 2011. 11 с.

3. Девянин П.Н., Михальский О.О., Правиков Д.И., Щерба-ков А.Ю. Теоретические основы компьютерной безопасности: Учеб. пособие для вузов. М.: Радио и связь, 2013. 192 с.

4. ГОСТ Р ИСО/МЭК 15408-1-2002. Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель. – М.: Госстандарт России, 2012. 40 с.

5. Зегжда Д.П., Ивашко А.М. Основы безопасности информационных систем. – М.: Горячая линия – Телеком, 2011. 452 с.

6. Молдовян Н.А. Проблематика и методы криптографии. СПб.: Изд-во СПбГУ, 2010. 212 с.

7. Ященко В.В. и др. Введение в криптографию. / Под общ. ред.

В.В.Ященко. – М.: МЦНМО, «ЧеРо», 2012. 272 с.

8. Грунтович М.М. Основы криптографии с открытыми ключа и. Учебное пособие. – Пенза: Изд-во Пензен. госуд. Ун-та, 2010. 65 с.

9. Романец Ю.В., Тимофеев П.А., Шаньгин В.Ф. Защита инфомации в компьютерных системах и сетях. - М.: Радио и связь, 2014. 328с.

10. Зима В.М., Молдовян А.А., Молдовян Н.А. Компьютерные сети и защита передаваемой информации. - СПб.: Изд-во СПбГУ,

2014. 328 с.

11. Конеев И.Р., Беляев А.В. Информационная безопасность предприятия. – СПб.: БХВ-Петербург, 2013. 752 с.

12. Василенко О.Н. Теоретико-числовые алгоритмы в криптографии. – М.: МЦНМО, 2013. 328 с.

13. Зима В.М., Молдовян А.А., Молдовян Н.А. Безопасность глобальных сетевых технологий. – 2-е изд. – СПб.: БХВ-Петербург,

2013. 368 с.

14. Рудаков О.И., Грунтович М.М. Протоколы защиты информации в сети: IPSEC и SKIP. Специальная техника средств связи. Серия: Системы, сети и технические средства конфиденциальной связи. Пенза, ПНИЭИ, вып. № 1, 2012 г. C.79-85