Для контроля на прикладном уровне в межсетевых экранов этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.

В конечном итоге было отдано межсетевому экрану Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.

· Прозрачная аутентификация всех исходящих соединений через межсетевой экран. В среде с высоким уровнем безопасности для регистрации в домене требуется двухфакторная аутентификация. Благодаря прозрачной аутентификации, пользователи не могут обмениваться учетными данными для доступа к Internet, так как система никогда не выводит на экран окно регистрации. В результате повышаются достоверность данных в журнале и эффективность дальнейшего расследования на основе этой информации.

· Полное протоколирование всех входящих и исходящих соединений через межсетевой экран. Эти сведения, в том числе об именах пользователей и приложениях, задействованных для доступа к любым ресурсам через межсетевой экран, незаменимы при выполнении аудита на соответствие законодательству и в ходе административных, уголовных и гражданских расследований.

· Контроль на прикладном уровне туннелей SSL (Secure Sockets Layer - уровень защищенных гнезд). Устройство NS6200 на базе ISA Server 2004 выполняет контроль на прикладном уровне входящих соединений SSL через межсетевой экран. Такие соединения могут использоваться для обращений к частным данным на сервере Microsoft Outlook Web Access (OWA) или Microsoft SharePoint Portal Server. В отличие от других межсетевых экранов в таблице 3.2, NS6200 может дешифровать SSL-соединение в межсетевом экране, передать заголовки и данные в механизм прикладного управления межсетевого экрана, а затем заново зашифровать данные для сквозной пересылки по безопасному шифрованному соединению.

· Проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам. Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения между сайтами. Каналы VPN нередко оказываются слабым звеном во многих межсетевых экранов, так как подключенные к VPN машины, как правило, рассматриваются как "доверенные" и не подвергаются контролю на прикладном уровне. Такой подход был главной причиной атаки червя Blaster на сети, в остальном защищенные от внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединения по-прежнему могут служить средой их распространения. NS6200 открывает каналы VPN для контроля на прикладном уровне и блокирует нападения на межсетевом экране.

Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных межсетевых экранов в табл. 3.2 не располагает функциями безопасности, реализованными в NS6200.

Более масштабные сети с высоким уровнем защиты

Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через межсетевой экран. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.

Таким фирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.

Выяснить, сколько денег организации этого типа готовы потратить на защиту межсетевым экраном, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный межсетевой экран с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший межсетевой экран.

В таблице 3.3 показан выбор межсетевых экранов, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевого экрана и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям -- основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.

В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через межсетевой экран.

Оптимальный выбор

Высокоуровневые сетевые межсетевые экраны, представленные в данном разделе, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального межсетевого экрана следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного межсетевого экрана важно помнить об отказоустойчивости.

Таблица 3.2. Аппаратные межсетевые экраны для малых предприятий с высокими требованиями к безопасности

Характеристика	SonicWALL Pro 3060	Cisco PIX-515E-R-DMZ	Network Engines NS6200	Symantec SGS 5420
Цена в долларах	2319	2699	2499	2999
Контроль на прикладном уровне с учетом состояния	Нет	Да (ограничено)	Да (умеренно)	Да (ограничено)
Контроль прикладного протокола	Да	Да	Да	Да
Проверка пакетов на соответствие заданным условиям	Да	Да	Да	Да
Прозрачная аутентификация Windows	Нет	Нет	Да	Нет
Протоколирование всех имен пользователей и приложений Web и Winsock	Нет	Нет	Да	Нет
Контроль на прикладном уровне через туннели SSL	Нет	Нет	Да	Нет
Поддержка Exchange	Нет	Нет	Да	Нет
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Нет	Да	Нет
Обнаружение и предотвращение несанкционированного доступа	Да	Да	Да	Да
Сервер удаленного доступа VPN и шлюз VPN	Да	Да	Да	Да
VPN-клиент	Нет	Да	Да	Нет
10/100-Мбит/с порты ЛВС	5	2	3	5
Порты WAN	1	1	1	1
Балансировка нагрузки	Нет	Нет	Да	Нет
Число пользователей	Неогр.	Неогр.	Неогр.	50
Передача функций отказавшего межсетевого экрана исправному устройству	Нет	Нет	Нет	Нет
Переключение Internet-провайдера и полосы пропускания	Нет	Нет	Нет
Настройка	Web-интерфейс	Командная строка и Web-интерфейс	Ограниченный Web и FIPS-совместимый RDP	Web-интерфейс
Процессор	2-ГГц Intel	1-ГГц Intel	2-ГГц Intel	Intel
Web-кэширование и proxy	Нет	Нет	Да	Нет

Таблица 3.3. Аппаратные межсетевые экраны для крупных предприятий с высокими требованиями к безопасности

Характеристика	SonicWALL Pro 4060	Cisco PIX-515E UR-FE-BUN	RimApp RoadBLOCK F302PLUS
Цена в долларах	4995	5145	5580
Контроль на прикладном уровне с учетом состояния	Нет	Да (ограничено)	Да
Контроль прикладного протокола	Да	Да	Да
Проверка пакетов на соответствие заданным условиям	Да	Да	Да
Прозрачная аутентификация Windows	Нет	Нет	Да
Протоколирование всех имен пользователей и приложений Web и Winsock	Нет	Нет	Да
Контроль на прикладном уровне через туннели SSL	Нет	Нет	Да
Поддержка Exchange	Нет	Нет	Да
Контроль шлюзового и клиентского трафика VPN на прикладном уровне	Нет	Нет	Да
Обнаружение и предотвращение несанкционированного доступа	Да	Да	Да
Сервер удаленного доступа VPN и шлюз VPN	Да	Да	Да
VPN-клиент	Нет	Да	Да
10/100-Мбит/с порты ЛВС	5	6	2-5
Порты WAN	1	1-4	1-5
Балансировка нагрузки	Нет	Нет	Да
Число пользователей	Неограниченно	Неограниченно	Неограниченно
Передача функций отказавшего межсетевого экрана исправному устройству	Да	Да	Да
Переключение Internet-провайдера и объединение полосы пропускания	Да	Нет	Да
Конфигурирование Web-интерфейс	Командная строка и Web-интерфейс	Исчерпывающий Web и FIPS-совместимый RDP
Процессор	2-ГГц Intel	433-МГц Celeron	2,8-ГГц Intel
Web - кэширование и proxy	Нет	Нет	Да

3.2 Intrusion Detection Systems (IDS)

Система обнаружение вторжение

IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности.

Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.

IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы - от простейших отчетов до активного вмешательства при определении проникновений.

Почему следует использовать IDS

Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.

Почему следует использовать IDS, особенно если уже имеются межсетевые экраны, антивирусные инструментальные средства и другие средства защиты?

Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.

Межсетевые экраны являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики межсетевого экрана. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли межсетевой экран, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.

IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей:

1. Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника. Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.

2. Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данная цель определяется следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.

Атакующие, используя свободно доступные технологии, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.

Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие как ICAT или CERT, которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее, существует много ситуаций, в которых использование этих уязвимостей все же возможно:

· Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.

· Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых обновлений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.

· Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.

· Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.

· При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.

В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.

Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации.

3. Возможно определение преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.

Когда нарушитель атакует систему, он обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания. Имея такой неограниченный доступ, атакующий в конечном счете может найти уязвимость и использовать ее для получения необходимой информации.

Та же самая сеть с IDS, просматривающей выполняемые операции, представляет для атакующего более трудную проблему. Хотя атакующий и может сканировать сеть на уязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит персонал, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть.

4. Выполнение документирования существующих угроз для сети и систем.

При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности.

5. Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.

Когда IDS функционирует в течении некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам.

6. Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.

Даже когда IDS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может лежать в основе соответствующих законодательных мер. В конечном счете, такая информация может определить проблемы, касающиеся конфигурации или политики безопасности.

7. IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.

Типы IDS

Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик:

Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based.

Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection).

Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time.

Большинство коммерческих IDS являются real-time network-based системами.

К характеристикам IDS также относятся:

Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.

Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами -- отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.

Развертывание IDS

Технология обнаружения проникновений является необходимым дополнением для инфраструктуры сетевой безопасности в каждой большой организации. Эффективное развертывание IDS требует тщательного планирования, подготовки, прототипирования, тестирования и специального обучения.

Следует тщательно выбирать стратегию обнаружения проникновения, совместимую с сетевой инфраструктурой, политикой безопасности и имеющимися ресурсами.

Стратегия развертывания IDS

Следует определить несколько стадий развертывания IDS, чтобы персонал мог получить опыт и создать необходимый мониторинг и необходимое количество ресурсов для функционирования IDS. Требуемые ресурсы для каждого типа IDS могут сильно различаться, в частности, и в зависимости от системного окружения. Необходимо иметь соответствующую политику безопасности, планы и процедуры, чтобы персонал знал, как обрабатывать различные многочисленные сигналы тревоги, выдаваемые IDS.

Для защиты сети предприятия рекомендуется рассмотреть комбинацию network-based IDS и host-based IDS. Далее следует определить стадии развертывания, начиная с network-based IDS, так как они обычно являются более простыми для инсталлирования и сопровождения. После этого следует защитить критичные серверы с помощью host-based IDS. Используя инструментальные средства анализа уязвимостей, следует протестировать IDS и другие механизмы безопасности относительно правильного конфигурирования и функционирования.

Такие технологии, как Honey Pot и аналогичные, должны использоваться только в том случае, если имеется достаточная техническая квалификация администратора. Более того, эти технологии должны использоваться только после анализа существующего законодательства.

Развертывание network-based IDS

Единственный вопрос, который следует тщательно продумать при развертывании network-based IDS, -- это расположение системных сенсоров. Существует много вариантов расположения network-based IDS, каждый из которых имеет свои преимущества:

1. Основная подсеть

2. Подсеть с критичными ресурсами и дополнительными точками доступа

3. DMZ-сеть

Рис. 3.1. Возможные варианты расположения сенсоров network-based IDS

Позади внешнего межсетевого экрана в DMZ-сети (расположение 1)

Преимущества:

· Видит атаки, исходящие из внешнего мира, которым удалось преодолеть первую линию обороны сетевого периметра.

· Может анализировать проблемы, которые связаны с политикой или производительностью межсетевого экрана, обеспечивающего первую линию обороны.

· Видит атаки, целями которых являются прикладные серверы (такие как web или ftp), обычно расположенные в DMZ.

· Даже если входящая атака не распознана, IDS иногда может распознать исходящий трафик, который возникает в результате компрометации сервера.

Перед внешним межсетевым экраном (расположение 2)

Преимущества:

· Документирует количество атак, исходящих из Интернета, целью которых является сеть.

· Документирует типы атак, исходящих из Интернета, целью которых является сеть.

На основной магистральной сети (расположение 3)

Преимущества:

· Просматривает основной сетевой трафик; тем самым увеличивается вероятность распознания атак.

· Определяет неавторизованную деятельность авторизованных пользователей внутри периметра безопасности организации.

В критичных подсетях (расположение 4)

Преимущества:

· Определяет атаки, целью которых являются критичные системы и ресурсы.

· Позволяет фокусироваться на ограниченных ресурсах наиболее значимых информационных ценностей, расположенных в сети.

Развертывание host-based IDS

После того как network-based IDS размещены и функционируют, для увеличения уровня защиты системы дополнительно может быть рассмотрено использование host-based IDS. Однако инсталлирование host-based IDS на каждый хост может потребовать существенных временных затрат. Поэтому рекомендуется, чтобы в первую очередь host-based IDS были инсталлированы на критичных серверах. Это может уменьшить общую стоимость развертывания и позволит основное внимание уделить реагированию на тревоги, касающиеся наиболее важных хостов. После того как host-based IDS начали функционировать в обычном режиме, организации с повышенными требованиями к безопасности могут обсудить возможность инсталлирования host-based IDS на другие хосты. В этом случае следует приобретать host-based системы, которые имеют централизованное управление и функции создания отчетов. Такие возможности могут существенно понизить сложность управления сообщениями о тревогах от большого числа хостов.

Далее следует рассмотреть возможность повышения квалификации администраторов. В большинстве случаев эффективность конкретной host-based IDS зависит от возможности администратора различать ложные и верные тревоги.

Также важно (так как часто администратор не сопровождает постоянно host-based IDS) установить график проверки результатов IDS. Если это не сделано, риск, что противник изменит что-либо в IDS в течение осуществления атаки, возрастает.

Стратегии оповещения о тревогах

Наконец, при развертывании IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае. Большинство IDS поставляются с уже сконфигурированными возможностями оповещения о тревогах, которые допускают широкий диапазон опций, включая посылку сообщений на e-mail, пейджер, использование протоколов сетевого управления и даже автоматическое блокирование источника атаки.

Важно быть консервативным в использовании этих возможностей до тех пор, пока не будет стабильной инсталляции IDS и некоторого понимания поведения IDS в данном окружении. Иногда рекомендуется не активизировать оповещения о тревогах IDS в течение нескольких месяцев после инсталляции.

3.3 IPv6 как сильное влияние на конструкцию межсетевого экрана

Из всех новшеств, которые появились в ближайшие несколько лет, самое сильное влияние на конструкцию межсетевых экранов окажет одно - новое поколение протокола IP.

Текущей, четвертой версии протокола IP (или IPv4) уже почти 20 лет, и ее возраст начинает сказываться. Адресное пространство IPv4 быстро исчерпывается. Хакеры постоянно находят новые способы эксплуатации слабостей протокола и основанных на нем служб. Новые службы могли бы быть более надежными, если бы таким был сам протокол, лежащий в основе Интернет. Очевидно, что по всем этим и другим причинам в ближайшем будущем произойдет переход на новую, шестую версию протокола IP (IPv6). Работа над IPv6 началась в начале 90-х, а первый предложенный стандарт был одобрен в ноябре 1994 года в документе RFC 1752 «The Recommendation for the IP Next Generation Protocol».

IPv6 сможет взаимодействовать с IPv4, и скорее всего развертывание IPv6 произойдет путем плавной замены, в процессе которой оба протокола будут мирно сосуществовать.

Совместная работа IPv4 и IPv6

Как будет обеспечиваться возможность совместной работы IPv4 и IPv6 в одной сети? В настоящий момент для этого предлагается два метода. Первый из них состоит в использовании в системах с IPv6 двух различных стеков протоколов, одного для IPv4, а другого для IPv6. Их выбор будет определяться типом протокола, применяемого на узле, с которым устанавливается соединение. Второй метод заключается в туннелировании пакетов IPv6 внутри пакетов IPv4 при обмене данными между компьютерами с IPv6 по маршруту, содержащему компьютеры с IPv4.

Заголовок IPv6

Длина нового заголовка IP-пакета равна 40 байтам. Благодаря тому, что эта величина фиксирована, сетевые устройства смогут обрабатывать пакеты намного быстрее. На рис. 3.2 видно, что новый заголовок содержит меньше полей, чем заголовок IPv4.

Кроме уменьшения количества полей, самым заметным отличием заголовка IPv6 является больший размер полей адреса. Поля отправителя и получателя имеют 128 бит, что позволит создать достаточное количество адресов для уникальной идентификации каждой песчинки на планете. Этого должно хватить, по крайней мере, еще на несколько лет.

Версия	Класс трафика	Метка потока
Длина данных	Следующий заголовок	Счетчик сегментов
Адрес отправителя
Адрес получателя

Рис. 3.2. Длина заголовка IPv6 фиксирована и равна 40 байтам

Следующие поля заголовка IPv4 были исключены из заголовка IPv6:

· поля, относящиеся к фрагментации, такие как Fragment Offset (Смещение фрагмента) и Identification (Идентификатор), а также флаги Don't Fragment (Запрет фрагментации) и More Fragments (Флаг фрагментации);

· поле контрольной суммы;

· поле параметров.

Для увеличения скорости обработки пакетов в IPv6 было решено отказаться от их фрагментации. Очередной маршрутизатор, не способный передать дальше слишком большой пакет, не станет разбивать его на фрагменты, которые придется собирать на принимающем конце. Вместо этого пакет будет отброшен, а маршрутизатор вернет новое сообщение ICMP (Packet Too Big - слишком большой размер пакета) отправителю, который сможет самостоятельно разбить сообщение на более мелкие пакеты.

Дальнейшей попыткой увеличить скорость обработки пакетов в IPv6 является отказ от поля контрольной суммы пакета. Каждый маршрутизатор на пути пакета должен заново определять значение данного поля, так как счетчик сегментов в поле TTL уменьшается на каждом новом узле. Поскольку контрольная сумма вычисляется в лежащем в основе IP канальном уровне, а также в протоколах TCP и UDP, удаление этого поля из IP-заголовка не вызовет никаких проблем.

Новые сообщения ICMP

Протокол IP с помощью сообщений ICMP выполняет множество функций, наиболее известной из которых является проверка доступности узла удаленной сети утилитой PING, которая посылает для этого эхо сообщения ICMP. Как и протокол IP, ICMP будет расширен, чтобы идти в ногу со временем. Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet).

С полем Options (Параметры) ситуация другая. Это поле переменной длины было убрано из IP-заголовка, чтобы его длина оказалась зафиксированной, но это не означает, что удалены также и параметры. Они могут быть заданы в поле Next Header (Следующий протокол), которое обычно обозначает другой протокол, такой как TCP или UDP. В этом случае параметры помещаются в область данных пакета, а в поле Next Header содержится указатель их положения. Благодаря отсутствию параметров в заголовке пакета (и тем самым сохранению длины заголовка постоянным) IP-пакеты обрабатываются намного быстрее.

В новом заголовок IPv6 могут содержаться следующие поля:

· Version (Версия) - 4-битное поле, обозначающее, как и в IPv4, версию протокола IP. В IPv6 всегда имеет значение 6;

· Traffic Class (Класс трафика) - 8-битное поле, предназначенное для тех же целей, что и поле Type of Service (Тип службы) в заголовке IPv4, хотя его спецификации еще не устоялись;

· Flow Label (Метка потока) - используется для обозначения различных потоков (flows) трафика. Позволяет задавать приоритеты обработки потоков. Окончательного определения потока еще нет. Это может быть более дорогостоящий трафик, либо трафик с аудио- или видеоданными;

· Payload Length (Длина данных) - 16-битное поле, указывающее число байт в блоке данных, который идет после заголовка;

· Next Header (Следующий заголовок) - служит для определения протокола более высокого уровня, которому IP передаст пакет для дальнейшей обработки. В данном поле применяются те же номера протоколов, что и в IPv4;

· Hop Limit (Счетчик сегментов) - максимально допустимое число сегментов. Каждый маршрутизатор, через который проходит пакет, уменьшает значение этого поля на единицу. Когда значение счетчика становится равным нулю, пакет отбрасывается;

· Source Address (Адрес отправителя) -- 128-битное поле с адресом отправителя пакета;

· Destination Address (Адрес получателя) - 128-битное поле с адресом получателя пакета.

Расширенные заголовки

Поле Next Header в 40-байтном заголовке фиксированной длины служит для обозначения типа заголовка, который будет расположен в начале области данных IP-пакета. Вспомним, что внутри пакета IP обычно находится пакет протокола более высокого уровня, такого как TCP или UDP, который имеет собственный заголовок. За счет применения IP-заголовка фиксированной длины обработка пакетов на маршрутизаторах и других сетевых устройствах намного ускоряется. Но поскольку некоторые поля были исключены из заголовка, для выполнения их функций должны быть предусмотрены другие методы.

Поэтому было разработано несколько типов так называемых расширенных заголовков (extension headers), которые также могут находиться в начале области данных IP-пакета. При этом поле Next Header указывает на расширенный заголовок. В качестве подобных заголовков допускается указывать следующие:

· Hop-by-Hop Options (Параметры, проверяемые на каждом узле);

· Fragmentation (Фрагментация);

· Routing (Маршрутизация);

· Authentication (Аутентификация);

· Security Encapsulation (Защита содержания);

· Encapsulation Security Payload (Безопасное закрытие содержания);

· Destination Options (Параметры получателя).

Первый тип расширенного заголовка (проверяемые на каждом узле параметры) обозначается нулевым значением поля Next Header. В этом заголовке находится информация, которую должна контролировать каждая система на пути пакета. На настоящий момент определен лишь один подобный параметр - Jumbo Payload (Большой пакет), то есть IP-пакет размером более 65535 байт. Взглянув на формат расширенного заголовка (рис. 3.3), мы увидим, что он, как и заголовок IPv6, содержит поле Next Header. Это позволяет вводить несколько расширенных заголовков, каждый из которых указывает на следующий.

Расширенному заголовку Fragmentation соответствует значение поля Next Header, равное 44, и этот заголовок вводится в том случае, если отправитель пакета понимает, что для передачи по сети сообщение должно быть фрагментировано. IPv6 пакеты не фрагментируются - эта возможность была удалена для ускорения обработки IP-пакетов. Любая фрагментация сообщения выполняется отправителем пакета, и данный расширенный заголовок предназначен для хранения информации об этом процессе, чтобы принимающий узел был способен корректно собрать сообщение.

94

Рис. 3.3. Формат расширенного заголовка

Функции расширенного заголовка Routing (значение поля Next Header для которого равно 43) аналогичны маршрутизации от источника в IPv4. Здесь в заголовке задается один или несколько узлов, через которые должен пройти пакет на своем пути к месту назначения.

Расширенный заголовок Destinations Options (значение поля Next Header для которого равно 60) предназначен для записи информации, которую проверяет только получатель.

Значение 59 в поле Next Header говорит о том, что больше не осталось расширенных заголовков, которые необходимо проверить. Если размер области данных, указанный в поле Payload Length, превышает это значение, байты, оставшиеся после обнаружения заголовка с таким значением, будут игнорироваться.

Адресация IPv6

При переходе от 32 бит к 128 битам адресное пространство IPv6 астрономически увеличится по сравнению с IPv4.

В IPv6 существует три основных типа адресов:

· unicast (индивидуальный) - уникальный идентификатор определенного сетевого интерфейса;

· anycast (любой) - обозначает несколько интерфейсов. Пакет, направленный на адрес типа anycast, будет передан на ближайший интерфейс (определенный используемым протоколом маршрутизации), заданный этим адресом;

· multicast (групповой) - также указывает на несколько интерфейсов. Но в отличие от случая с адресом типа anycast, пакет, отправленный на адрес типа multicast, пересылается всем интерфейсам, обозначенным этим адресом.

Несмотря на то, что адрес типа unicast является уникальным идентификатором сетевого интерфейса, один интерфейс может иметь несколько unicast-адресов. Широковещательных (broadcast) адресов больше нет - их функциональность унаследовал тип адресов multicast.

Заключения

Ознакомившись с описанными проблемами, можно сделать вывод, что межсетевые экраны обеспечивают защиту компьютерной сети организации от несанкционированного вмешательства. Межсетевые экраны являются необходимым средством обеспечения информационной безопасности. Они обеспечивают первую линию обороны. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. Выбрать нужную архитектуру и компонентов межсетевого экрана. Правильно настроить программную обеспечению и тестировать конфигурацию межсетевого экрана.

Список сокращений и обозначений

КСО	Компьютерный сеть организации
ИБ	Информационная безопасность
ОС	Операционная Система
ПО	Программное Обеспечение
НСД	Несанкционированный доступ
СОИБ	Система обеспечения информационной безопасности
СУБД	Система управлением база данных
ЦП	Центральный Процессор
CA	Certification Authority
CGI	Common Gateway Interface
DHCP	Dynamic Host Configuration Protocol
DMZ	Demilitarized Zone
DNS	Domain Name System
DoS	Denial of Service
DSA	Digital Signature Algorithm
FTP	File Transport Protocol
GUI	Graphical User Interface
HTML	Hyper Text Markup Language
HTTP	Hyper Text Transfer Protocol
IDS	Intrusion Detection System
IIS	Internet Information Services
KSK	Key Signing Key
MAC	Media Access Control
MAC	Message Authentication Code
MD5	Message Digest v5
NAT	Network Address Translation
NTP	Network Time Protocol
NTP	Network Time Protocol
OSI	Open System Interconnection
PKI	Public Key Infrastructure
RSA	Rivest, Shamir, Adleman
SEP	Secure Entry Point
SHA	Secure Hash Algorithm
SMTP	Simple Mail Transfer Protocol
SSH	Secure Shell
SSL	Secure Socket Layer
TOS	Trusted ОС
VPN	Virtual Private Network
URL	Uniform Resource Locator
REP	Robots Exclusion Standard
IE	Internet Explorer
SSI	Server Side Includes
ASP	Active Server Pages
ISP	Internet Service Provider

Список использованных источников литературы

1. О.Р. Лапонина. Межсетевое экранирование. «ИНТУИТ», М., 2009;

2. Т.В. Оглтри. Firewalls. Практические применение межсетевых экранов. «ДМК», М., 2008;

3. Девид Чемпен, Энди Фокс. Брандмауэры Cisco Secure PIX. «Вильямс», М., 2009;

4. Т.А. Биячуев. Безопасность корпоративных сетей. Спб., 2008;

5. А.Ю. Щеглов. Защита компьютерной сети от несанкционированного доступа. «НиТ», Спб., 2009;

6. Р. Зиглер. Брандмауэры в Linux. «Вильямс», М., 2009;

7. Журнал «Chip», июль 2007;

8. Журнал «Проблемы информационной безопасности», апрель 2008;

9. Яковлев. Лекция «Межсетевой экраны» 2009;

Интернет ресурсы

1. http://securitylab.ru

2. http://cisco.com

3. http://zonealarm.com

4. http://hub.ru

5. http://opennet.ru

6. http://infosecurity.ru

7. http://osp.ru

8. http://www.security-teams.net

9. http://www.oszone.ru

10. http://www.secure.com.ru