Безопасность и Internet - статьи



         

Типичный пример реализации системы защиты при доступе к Internet - часть 2


Proxy - помощник или конкурент?

Все системы firewall обычно делятся на два основных класса - packet-filtering и application proxy. Системы первого типа свои функции выполняют на уровне протокола TCP/IP. Вторые обычно являются набором прокси-программ для каждого из поддерживаемых типов сервисов. Firewall-1 имеет свойства каждого из этих классов, и, казалось бы, наличие дополнительного прокси-сервера для HTTP и FTP является избыточным. Однако такой прокси-сервер позволяет в некоторых случаях сильно упростить политику безопасности, а также исключить ряд неприятных возможностей доступа извне к машинам внутренних сетей.

Firewall-1 имеет ряд полезных функций по контролю соединений HTTP и FTP: запрещение доступа к спискам URL, вырезание тегов Java и ActiveX из загружаемых страничек, антивирусная проверка файлов, ограничение доступа по паролю и т. п. Однако такая проверка обычно выполняется для стандартного протокола HTTP, который использует порт 80. Безусловно, существует возможность описания и других портов, но это становится не очень удобным, а иногда такой вариант и просто неприемлем, так как очень многие русскоязычные сайты используют для разных кодировок произвольные порты. В таком случае приходится либо открывать для доступа в глобальную сеть все старшие порты TCP/IP, либо постоянно добавлять тот или иной порт для новых сайтов. Кроме того, ряд сайтов использует тот же номер порта, что и доступные http-прокси вне локальной сети предприятия. В случае необходимости применения ограничений на HTTP вариант с внешними прокси сводит на нет все усилия администратора.

Также достаточно неприятным моментом является возможность доступа к машинам локальной сети предприятия с использованием стандартных средств протокола FTP - обратного соединения. В случае если firewall позволяет пользователям работать напрямую по протоколу FTP, для передачи данных обычно используется соединение, открываемое машиной, находящейся вне внутренней сети, к машине, запросившей файл. Причем в зависимости от реализации firewall, такое обратное соединение может быть открыто либо только к машине, инициировавшей ftp-сессию (такая проверка есть в Firewall-1), либо вообще к любой машине.

Установка прокси-сервера на отдельном сетевом сегменте системы firewall позволяет решить эти проблемы. Так как все пользователи обращаются к прокси-серверу по единственному порту TCP, есть возможность применения всех средств контроля протоколов FTP и HTTP в одном месте - между пользователями и прокси-сервером. В случае с протоколом FTP, установка прокси исключает возможность использования обратного соединения, так как всю работу по FTP прокси-сервер выполняет сам. Заметим, что использование только прокси-сервера в качестве центрального элемента защиты во многих случаях просто невозможно.




Содержание  Назад  Вперед