1. В.Г. Олифер Базовые технологии компьютерных сетей (ознакомительное качество) Высокое качество PDF, для печати :-)

  2. Михаил Гук. Интерфейсы ПК. Справочник (ознакомительное качество) Высокое качество PDF, для печати :-)


Главная Главная по Компьютерным сетям

Предыдущая | Оглавление | Следующая

Глава 10. Шлюзы

Роль шлюзов в сети изначально была очевидна. В первоначальной реализации Internet термин шлюз (gateway) относился к маршрутизатору. Последний представлял собой единственное осязаемое воплощение киберпространства, расположенного за пределами локального домена. Этот «шлюз» с неизвестным был (и по-прежнему остается) в состоянии рассчитывать маршруты и передавать разбитые на пакеты данные через сети, не имеющие никакого отношения к исходной локальной сети. Следовательно, это устройство можно рассматривать в качестве шлюза с Internet.

Со временем маршрутизаторы лишились покрова таинственности. Появление и последующее распространение корпоративных глобальных сетей, использующих протокол IP, привело к быстрому росту количества маршрутизаторов. Технологические нововведения также способствовали исчезновению различий между маршрутизаторами и шлюзами. Функция маршрутизации может осуществляться с помощью серверов и даже с помощью коммутаторов-концентраторов. Первоначальный «шлюз» уже не был таинственным черным ящиком. Маршрутизатор эволюционировал в многофункциональное сетевое устройство, которое выполняет широкий спектр задач от сегментирования локальных сетей и их объединения в корпоративную сеть до установления соединения между глобальными сетями и Internet. В результате термин «маршрутизатор» потерял синонимичность с термином «шлюз».

Тем не менее термин «шлюз» прижился. Этому термину удалось найти столько применений, что теперь дать ему однозначное определение просто невозможно. В настоящее время существует три категории шлюзов:

n    Шлюзы протоколов

n    Шлюзы приложений

n    Шлюзы безопасности

Любой их них выступает в роли посредника между двумя разнотипными доменами, областями или системами. В зависимости от проблем, которые необходимо преодолеть для установления соединения, выбирается шлюз определенного типа.

Шлюзы протоколов

Шлюзы протоколов (protocol gateways), как правило, объединяют области сети, которые используют различные протоколы. Физическое преобразование происходит на втором уровне справочной модели OSI (сетевом уровне), третьем уровне (межсетевом уровне) или между вторым и третьим уровнем. Протокольные шлюзы двух типов не выполняют преобразования - это шлюзы безопасности и туннели (tunnels).

Шлюзы безопасности, которые соединяют технически подобные области сети, вследствие логических различий между областями являются обязательными промежуточными звеньями. Например, может возникнуть необходимость объединить частную глобальную сеть с сетью общего пользования, в частности, с Internet. Подобная ситуация подробно описана в конце главы под заголовком «Комбинации фильтрующих шлюзов». Оставшаяся часть этого раздела посвящена протокольным шлюзам, осуществляющим физическое преобразование протоколов.

Туннельные шлюзы

Для передачи данных через несовместимые области сети используется относительно несложная методика туннелирования (tunneling). Пакеты данных инкапсулируются в кадры, которые распознаются сетью, через которую планируется организовать передачу. При этом сохраняется первоначальный формат и разбиение на кадры. На стороне получателя хост-компьютер восстанавливает данные в исходном формате, «отсекая» всю лишнюю служебную информацию. На рисунке 10.1 пакеты IPv4 преобразуются маршрутизатором А в формат IPv6 с целью передачи через глобальную сеть IPv6 хост-компьютеру IPv4. Маршрутизатор В преобразует данные из формата протокола IPv6 в формат IPv4.

Методики туннелирования можно использовать практически с любыми протоколами третьего уровня, от SNA до IPv6, а также со многими отдельными протоколами из вышеупомянутых стеков. Туннелирование позволяет скомпенсировать некоторые недостатки сетевой топологии, но одновременно может оказаться потенциальной причиной серьезных проблем. Основной принцип туннелирования заключается в сокрытии неприемлемых пакетов путем преобразования их в приемлемый формат. Хакеры используют туннелирование для обхода брандмауэров, успешно инкапсулируя протоколы, которым было отказано в доступе к области частной сети.

Шлюзы ограниченного применения

Значительный разрыв между устаревшими системами больших ЭВМ (мэйнфреймов) и современными компьютерами послужил причиной появления на рынке разнообразнейших шлюзов ограниченного применения (proprietary gateways). Типичная роль подобного шлюза сводилась к соединению конкретных клиентов (персональных компьютеров) с конвертером протоколов на краю локальной сети. Конвертер через сеть Х.25 предоставляет доступ к мэйнфрейму. На рисунке 10.2 шлюз преобразует пакеты протокола IP в пакеты протокола Х.25.

РИСУНОК 10.1. Передача данных путем туннелирования.

Подобные шлюзы обычно представляют собой недорогую плату, выполняющую единственную функцию. Такие платы обычно устанавливаются в подключенные к локальной сети компьютеры. Это позволяет сохранить минимальную стоимость самого шлюза и облегчить переход на новые технологии. В примере, проиллюстрированном на рисунке 10.2, выполняющий единственную функцию шлюз облегчает участь системного администратора при переходе от эры стационарных терминалов мэйнфреймов к персональным компьютерам и локальным сетям.

Шлюзы протоколов второго уровня

Данные шлюзы обеспечивают преобразование протоколов между локальными сетями. Иногда их называют транслирующими мостами (translating bridges). Необходимость в этом типе преобразования может возникнуть при объединении сетей с различными типами кадров или различной тактовой частотой.

Несоответствие кадров

Совместимые со стандартом IEEE 802 локальные сети используют один и тот же уровень доступа к среде. Однако различные структуры кадров и механизмы доступа к физической среде не позволяют всем сетям взаимодействовать непосредственно. Транслирующие мосты используют общие свойства второго уровня, например МАС-адреса, и выполняют мгновенное преобразование отличающихся фрагментов структуры кадров, обеспечивая тем самым функциональную совместимость сетей (см. рис. 10.3).

РИСУНОК 10.2. Примитивный шлюз ограниченного применения.

РИСУНОК 10.3. Стандартный механизм доступа к среде передачи данных в случае использования совместимых со стандартом 802 кадров.

В локальных сетях первого поколения приходилось использовать в качестве транслирующих мостов отдельное устройство. Современные многопротокольные концентраторы-коммутаторы обычно организовывают высокопроизводительную магистраль, которая выступает в роли транслирующего моста между кадрами различных типов (см. рис. 10.4).

Автоматизированная процедура фоновой ретрансляции недостаточно четко определяет аспекты преобразования протоколов. Тем не менее необходимость в использовании обособленного устройства ретрансляции отпала. Концентратор-коммутатор выполняет все функции преобразующего протокольного шлюза второго уровня.

В качестве альтернативы устройствам исключительно второго уровня (таким, как транслирующие мосты и концентраторы-коммутаторы) можно рассматривать устройство третьего уровня: маршрутизатор. Маршрутизаторы достаточно долго использовались в качестве локализованной магистрали локальной сети (см. рис, 10.5). Поскольку маршрутизаторы объединяют локальные сети в глобальные, они поддерживают стандартные интерфейсы локальных сетей. Сконфигурированный корректным образом, маршрутизатор без проблем осуществляет преобразование несоответствующих типов кадров.

Однако устройства третьего уровня в обязательном порядке обращаются к таблицам маршрутизации. Эта функция возложена на программное обеспечение. Такие устройства второго уровня, как коммутаторы и концентраторы, выполняют все необходимые процедуры аппаратно, что позволяет в значительной степени повысить быстродействие.

РИСУНОК 10.4. Современные концентраторы-коммутаторы автоматически осуществляют преобразование кадров различных сетей.

РИСУНОК 10.5. Для трансляции кадров различных локальных сетей может быть использован маршрутизатор, работающий в режиме нейтрального шлюза.

Несоответствие скоростей передачи данных

Многие устаревшие технологии локальных сетей были модернизированы с целью повышения скорости передачи данных. Например, существуют совместимые со стандартом IEEE 802.3 версии Ethernet, поддерживающие скорость передачи данных 10 и 100 Мбит/с, а в ближайшее время ожидается выход версии 1 Гбит/с. Структура кадров и межкадровые промежутки не изменились. Основные различия заключены в особенностях реализации физического уровня и, следовательно, в механизмах доступа к среде. Среди них наиболее очевидными являются различия в скорости передачи данных.

Сети Token Ring также претерпели несколько модернизаций, целью которых было повышение скорости передачи данных. В соответствии с исходными спецификациями сеть Token поддерживает скорость передачи данных 4 Мбит/с. Современные версии передают данные со скоростью 16 Мбит/с. Архитектура FDDI (100 Мбит/с), прямой потомок Token Ring, часто используется для создания объединяющей магистрали между локальными сетями Token Ring.

Несоответствие тактовых частот локальных сетей, остальные параметры которых идентичны, заставляет использовать механизм взаимодействия с высокоскоростной буферизацией. Большинство современных высокопроизводительных концентраторов-коммутаторов позволяет эффективно скомпенсировать несоответствие скоростей передачи данных (см. рис. 10.6).

Современное поколение концентраторов-коммутаторов, поддерживающих различные топологии локальных сетей, обеспечивает внешнюю буферизацию различных скоростей передачи данных. Эти же устройства в состоянии преобразовывать кадры второго уровня в форматы локальных сетей, совместимых со стандартом 802.

Маршрутизаторы также позволяют скомпенсировать различные скорости передачи данных. Они выгодно отличаются от стандартных концентраторов-коммутаторов возможностью расширения памяти. Оперативная память этих устройств используется для буферизации исходящих и входящих пакетов на время, необходимое маршрутизатору для определения следующего пролета в траектории пакета. Этот же объем памяти может быть использован для компенсации разницы в скорости передачи данных (см. рис. 10.7), которая может быть присуща объединяемым маршрутизатором сетям.

РИСУНОК 10.6. Компенсация разницы в скорости передачи данных с помощью концентратора-коммутатора.

РИСУНОК 10.7. Компенсация разницы в скорости передачи данных с помощью маршрутизатора.

Шлюзы приложений

Шлюзы приложений (application gateways) представляют собой системы, которые преобразуют данные из одного формата в другой. Как правило, эти шлюзы выполняют роль промежуточного устройства между несовместимыми на уровне данных получателем и отправителем. Типичная последовательность действий, выполняемых шлюзом, сводится к приему данных в одном формате, преобразованию их и передаче в другом формате (см. рис. 10.8). Наличие непосредственного соединения между передающим и принимающим данные устройствами необязательно.

Отдельное приложение может располагать несколькими шлюзами. Например, сообщения электронной почты составляются в различных форматах. У серверов, предоставляющих доступ к электронной почте, может возникнуть необходимость взаимодействия с другими почтовыми серверами, использующими другой формат. Это возможно только при наличии нескольких шлюзов приложений. На рисунке 10.9 проиллюстрирован способ взаимодействия шлюзов приложений с сервером электронной почты.

Кроме всего прочего шлюзы приложений предоставляют клиентам локальных сетей доступ к внешним данным и устанавливают локальные соединения для интерактивных приложений (см. рис. 10.10). Использование исходного кода и логики приложений соответствующей локальной сети позволяет избежать снижения производительности глобальной сети. Это, в свою очередь, дает возможность сократить время обслуживания клиентов. Шлюз приложения имеет право передать запрос на операции ввода/вывода соответствующему сетевому компьютеру, которому принадлежат необходимые клиенту данные. Последние считываются и преобразуются в удобный для клиента формат.

РИСУНОК 10.8. Упрощенная логическая модель функционирования шлюза приложений.

РИСУНОК 10.9. Перед приложением стоит задана поддержки нескольких внешних форматов.

РИСУНОК 10.10. Шлюз приложения может использоваться для предоставления пользователю удаленных данных.

В этой главе не приведен исчерпывающий обзор всех возможных способов применения шлюзов приложений, но даже рассмотренных примеров достаточно для адекватного описания основных конфигураций. Как правило, в шлюзах агрегируется весь трафик сети. Для адекватной поддержки таких устройств необходимо использовать корректную комбинацию технологий и топологий локальной и/или глобальной сети.

Шлюзы безопасности

Шлюзы безопасности (security gateways), или брандмауэры (firewalls), успешно используют самые различные технологии и существенно отличаются от рассмотренных выше шлюзов, что позволяет выделить их в отдельную категорию. Основная область применения - фильтрация данных на различных уровнях (от уровня протокола до уровня приложений).

Различают три типа брандмауэров:

n    Фильтры пакетов

n    Линейные (circuit) шлюзы

n    Шлюзы приложений

ПРИМЕЧАНИЕ

Из перечисленных брандмауэров только один считается фильтром. Остальные являются шлюзами.

Упомянутые механизмы фильтрации часто используются в комбинации. Под термином фильтр подразумевается аналитический механизм (или механизмы), предназначенный для разделения кадров с корректными привилегиями доступа к определенным ресурсам и кадров, представляющих собой потенциальную опасность для сети. Каждый механизм имеет свои достоинства и недостатки, которые должны быть тщательно проанализированы с точки зрения безопасности.

Фильтры пакетов

Наиболее распространенной формой обеспечения безопасности является фильтрация пакетов (packet filtration). Программное обеспечение позволяет анализировать потенциальную опасность каждого пакета по адресам получателя и отправителя, а также номеру порта. Фильтрация предназначенных для хорошо известных портов пакетов предоставляет возможность блокировать или разрешать использование таких межсетевых протоколов как FTP, rlogin и т.д.

Процедура фильтрации применима ко входящим и/или исходящим пакетам. Реализация этой процедуры на сетевом уровне означает, что стандартная машина (маршрутизатор) будет в состоянии предоставить некоторые функции безопасности всем приложениям, обменивающимся данными через сеть.

Поскольку фильтр является постоянным компонентом маршрутизатора, его можно использовать в любой маршрутизируемой сети. Но ни в коем случае не рассматривайте его в качестве панацеи! Фильтрация пакетов не лишена недостатков. Не стоит отказываться от фильтрации, но ожидать от нее каких-то потрясающих результатов было бы наивно.

ПРИМЕЧАНИЕ

Термин маршрутизатор относится к логической сетевой функции. Устройством, выполняющим эту функцию, может быть собственно маршрутизатор или хост-компьютер.

В случае если критерии безопасности сформулированы нечетко, может возникнуть иллюзия, будто фильтрацию пакетов организовать невозможно.

На самом деле создать такой фильтр совсем несложно. В результате анализа информации в заголовке пакета на соответствие заранее подготовленному списку приоритетов доступа фильтр пакетов принимает решение «пустить/не пустить». Данная методика имеет несколько потенциально уязвимых мест.

Именно от администратора в первую очередь зависит создание корректного набора привилегий доступа. Цена любых ошибок при составлении списка слишком высока. Они создают брешь в периметре защиты, чем не замедлят воспользоваться хакеры.

Даже если администратор корректно запрограммировал набор привилегий, их логика должна быть безупречной. Действительно, запрограммировать маршрутизатор не составит труда, чего не скажешь о создании и поддержке запутанного и длинного списка привилегий. Администратор обязан должным образом отображать в списке привилегий повседневные изменения конфигурации сети. Новые серверы, недостаточно защищенные брандмауэрами, могут превратиться в уязвимую мишень.

Со временем необходимость анализа привилегий доступа пакетов может снизить производительность маршрутизатора. После получения пакета маршрутизатор должен определить следующий пролет, соответствующий адресу получателя. Одновременно выполняется интенсивно использующая ресурсы процессора процедура - анализ списка привилегий доступа. Чем больше список, тем больше времени уходит на его анализ.

Второй недостаток пакетной фильтрации заключается в том, что информация заголовка пакета предполагается заведомо правильной. В результате процедура аутентификации адреса отправителя никогда не осуществляется. Фальсификация информации заголовка (spoofing - мистификация) с успехом используется сообразительными хакерами.

Множество недостатков пакетной фильтрации не позволяет эффективно использовать эту методику для адекватного обеспечения вопросов безопасности. Оптимальных результатов можно ожидать лишь в комбинации с другими, более сложными методами фильтрации.

Линейные шлюзы

Линейные шлюзы (circuit-level gateways) идеальным образом подходят для защиты внешних запросов, сгенерированных в частной безопасной сети. Шлюз перехватывает все запросы TCP и даже некоторые запросы UDP. Затем он подготавливает запрошенную информацию. Этот прокси-сервер накапливает запросы относительно расположенной в пространстве World Wide Web информации и впоследствии удовлетворяет их, уже не обращаясь ко внешней сети WWW. На рисунке 10.11 штриховой линией показан логический путь запроса, а штрих-пунктирной - действительный путь. На самом деле шлюз функционирует в качестве проводника между инициатором запроса и необходимыми данными, который не подвергает инициатора риску, связанному с передачей данных через небезопасную область сети.

Поддержка прокси-запросов подобным способом позволяет упростить управление краевым брандмауэром. Если список доступа существует, весь исходящий трафик может быть блокирован (за исключением запросов от прокси-сервера).

В идеальном случае данному серверу присваивается уникальный адрес, который не принадлежит диапазону внешних адресов. Это позволяет сократить до минимума объем информации, которая по недосмотру может проходить через небезопасную область (администратор может даже не догадываться об этом). Для внешних запросов должен быть известен только сетевой адрес прокси-сервера, но ни в коем случае не адреса конкретных компьютеров безопасного домена.

Шлюзы приложений брандмауэров

Шлюзы приложений можно рассматривать в качестве полной противоположности пакетной фильтрации. Фильтрация предполагает универсальную защиту всего трафика, проходящего через устройство фильтрации пакетов. Шлюзы приложений размещают на каждом защищаемом хост-компьютере соответствующее программное обеспечение. Эта более эффективная методика обеспечивает достаточный уровень безопасности для хост-компьютеров.

В качестве примера шлюза приложений можно рассмотреть программу-антивирус. Программы подобного типа интенсивно используются на настольных системах. Они загружаются в память во время загрузки и остаются резидентными, постоянно анализируя файлы на наличие вирусов (некоторые из таких программ используют для этого даже эвристические подходы). Антивирусы призваны защитить пользователя от потенциальных деструктивных действий вирусов.

Такой уровень защиты практически невозможно реализовать на сетевом уровне. Пришлось бы анализировать практически все пакеты, аутентифицировать адрес отправителя, определять соответствующий маршрут и потенциальную опасность пакета. Этот процесс несомненно снизил бы производительность сети.

РИСУНОК 10.11. Прокси-сервер.

Шлюзы приложений позволяют регистрировать исходящий и входящий трафик. Физическая принадлежность к хост-компьютеру позволяет привлекать дополнительные ресурсы процессора, оперативной памяти и дискового пространства.

Принципиальные ограничения шлюзов приложений связаны с тем обстоятельством, что для каждого хост-компьютера или приложения приходится использовать отдельный шлюз, что в насыщенной хост-компьютерами и приложениями среде связано с дополнительными затратами. Поэтому обычно администраторы ограничиваются защитой наиболее важных приложений. Шлюзы безопасности сетевого уровня, наоборот, организуют широкомасштабную защиту.

Комбинации фильтрующих шлюзов

Шлюзы, реализующие комбинированный подход к фильтрации, обеспечивают жесткий контроль за привилегиями доступа. Это достигается использованием нескольких уровней фильтров и различных механизмов фильтрации (на уровне пакетов, линий, приложений).

Чаще всего в этих целях создается так называемый часовой (sentry), контролирующий точки входа и выхода, расположенные на краях домена частной сети. Такие устройства больше известны под названием краевых шлюзов или брандмауэров. Для обеспечения адекватного уровня безопасности приходится использовать многократную фильтрацию. На рисунке 10.12 показан шлюз безопасности, состоящий из двух компонентов: маршрутизатора и процессора. В комбинации эти компоненты могут обеспечить защиту на уровнях приложения, протокола и линии.

Совсем необязательно, чтобы этот достаточно нестандартный шлюз выполнял задачи преобразования пакетов, как это делают другие типы протокольных шлюзов. Рассматриваемый краевой шлюз используется на краю сети и отвечает за отсутствие потенциально опасных пакетов в исходящем и входящем трафике. Предположительно, внешние и внутренние глобальные сети, объединяемые шлюзом, будут использовать Internet Protocol (IP). Следовательно, необходимость преобразования протоколов отпала - сети непосредственно совместимы. Однако фильтрация по-прежнему остается актуальным вопросом.

Причины защиты сети от несанкционированного доступа очевидны. Именно поэтому сотрудникам больших корпораций выдают идентификационные карточки, подтверждающие их право доступа к определенной информации. Такая система позволяет разделить легальных пользователей, обращающихся к конфиденциальным ресурсам корпоративной сети, и лиц с сомнительными намерениями. Любая попытка доступа извне к частной сети должна быть проанализирована с точки зрения процедуры аутентификации.

Причины контроля за исходящими запросами могут быть не столь очевидны. В отдельных случаях фильтрация исходящих пакетов просто необходима. Например, приобретение броузерами популярности у пользователей может привести к увеличению объемов трафика глобальной сети. Если не предпринимать никаких административных действий, обработка запросов на доставку Web-содержимого имеет все шансы снизить производительность глобальной сети. Следовательно, может возникнуть необходимость блокировать этот тип трафика полностью или частично.

РИСУНОК 10.12. Двухкомпонентный шлюз безопасности.

Протокол IP (основной межсетевой протокол) является открытым и предназначенным для установления соединений между сетевыми доменами. Это обстоятельство одновременно - основное преимущество и главный недостаток. Строго говоря, установление соединения между двумя глобальными сетями IP создает одну большую глобальную сеть. На брандмауэр, расположенный у границы одной сети, возложена задача фильтрации легального межсетевого трафика и потенциально опасного.

К вопросу реализации брандмауэров

Реализация шлюза безопасности представляет собой далеко не тривиальную задачу. Успех этого предприятия в значительной степени зависит от формулирования четких требований, тщательного анализа к безукоризненной реализации. Первая задача сводится к составлению всеобъемлющего набора правил, которые определят разумный компромисс между аспектами безопасности и стоимости. Эти правила составят политику безопасности (security policy).

Политика может быть мягкой, строгой или разумной (последнее растяжимое понятие соответствует всем подходам, которые нельзя считать абсолютно строгими или мягкими). В соответствии с одной крайностью политика безопасности строится на предпосылках вседозволенности. Все немногочисленные исключительные ситуации не рассматриваются как критические. Более того, их обработка предусмотрена в инфраструктуре устройств безопасности. Такую политику легче всего реализовать, она не требует от администратора дальновидности. Будьте уверены, что такую защиту взломает даже начинающий хакер.

Вторая крайность предусматривает драконовские меры. В соответствии с этой политикой все межсетевые соединения должны жестко контролироваться. На некоторые поблажки могут рассчитывать только родные пользователи сети. Такой подход сложно реализовать, он не находит должной поддержки у пользователей и предполагает значительные расходы на обслуживание. Тем не менее он предоставляет все преимущества безопасной сети. С точки зрения «сетевой полиции» - это единственное приемлемое решение.

Между этими крайностями можно найти множество разумных компромиссов, учитывая простоту реализации и стоимость обслуживания. Большинство реализованных подходов попадают именно в эту широкую категорию компромиссов. Оптимальное решение предполагает тщательный анализ потенциальных рисков и необходимых вложений.

Резюме

Поскольку сетевое пространство постоянно расширяется, все больше и больше приложений будут работать в открытых сетевых системах. Не исключена возможность использования этими приложениями различных протоколов, поэтому роль шлюзов преобразования протоколов сложно переоценить.

Увеличившаяся конфиденциальность открытых сетевых протоколов привела к необходимости использования шлюзов безопасности. Функционируя на уровнях приложений, линий и протоколов, брандмауэры в состоянии обеспечить необходимый уровень безопасности.

Вне зависимости от типа и способа реализации шлюзы на данный момент являются неотъемлемым компонентом любой сети, позволяющим осуществить качественный переход к новым параметрам производительности.

Предыдущая | Оглавление | Следующая


Главная Главная по Компьютерным сетям


Сайт создан в системе uCoz