3.5 Интеграция модемных пулов с
брандмауэрами
Многие сети имеют возможность
подключения через модем к ним. Как
уже отмечалось в разделе 2.3.2, это
потенциальное место для
организации "черного входа " в
сеть и может свести на нет всю
защиту, обеспечиваемую
брандмауэром. Гораздо более лучшим
методом организации работы через
модем является объединение их в
модемный пул и последующее
обеспечение безопасности
соединений из этого пула. Как
правило модемный пул состоит из
сервера доступа, который является
специализированным компьютером,
предназначенным для соединения
модемов с сетью. Пользователь
устанавливает соединение через
модем с сервером доступа, а затем
соединяется (например, через telnet)
оттуда с другими машинами сети.
Некоторые серверы доступа имеют
средства безопасности, которые
могут ограничить соединения только
определенными системами, или
потребовать от пользователя
аутентификации. Или же сервер
доступа может быть обычной машиной
с присоединенными к ней модемами.
Рисунок 3.5
Рисунок 3.5 показывает модемный
пул, размещенный со стороны
Интернета в брандмауэре с
изолированным хостом. Так как
соединения от модемов должны
обрабатываться так же, как
соединения из Интернета, то
размещение модемов с наружней
стороны брандмауэра заставляет
модемные соединения проходить
через брандмауэр.
Могут быть использованы средства
усиленной аутентификации
приклданого шлюза для
аутентификации пользователей,
которые устанавливают соединения
через модемы точно также , как это
деалется для соединения из
Интернета. А маршрутизатор с
фильтрацией пакетов может
использоваться для предотвращения
прямого соединения внутренних
систем с модемным пулом.
Недостатком такого подхода
является то, что модемный пул
напрямую соединен с Интернетом и
поэтому более уязвим к атакам. Если
злоумышленник хочет проникнуть в
модемный пул, то он может
использовать его как точку начала
атаки на другие системы в
Интернете. Поэтому должны
использоваться сервер доступа со
встроенными средствами защиты,
позволяющими блокировать
установление соединения с
системами, крмое прикладного шлюза.
Брандмауэры на основе шлюза с
двумя интерфейсами и с
изолированной подсетью
обеспечивают более безопасный
способ использования модемного
пула. На рисунке 3.6 сервер доступа
размещен во внутренней,
изолированной подсети, в которой
доступ к модемному пулу и от него
может быть проконтролирован
маршрутизаторами и прикладными
шлюзами. Маршрутизатор со стороны
Интернета предотвращает прямой
доступ к модемному пулу из
Интернета для всех машин, кроме
прикладного шлюза.
Рисунок 3.6
При использовании брандмауэров
на основе шлюза с двумя
интерфейсами и с изолированной
подсетью маршрутизатор,
соединенный с Интернетом, будет
предотвращать прямую передачу
данных между системами в Интернете
и модемным пулом. Кроме того, при
использовании брандмауэра с
изолированной подсетью внутренний
маршрутизатор сделает невозможной
прямую передачу данных между
внутренними систеами и модемным
пулом; а при использовании
брандмауэра на основе шлюза с двумя
интерфейсами прикладной шлюз также
помешает этому. Пользователи,
устанавливающие соединение через
модемный пул, смогут установить
соединение с внутренними системами
только через прикладной шлюз,
который может использовать
средства усиленной аутентификации.
Если сеть использует какие-либо
средства защиты этого рода при
установлении соединения через
модем, то должна строго соблюдаться
политика, запрещающая
пользователям устанавливать
соединения с внутренней сетью
через модемы в местах, отличных от
этой изолирвоанной подсети. Даже
если модем имеет встроенные
средства защиты, это только
усложнит схему защиты брандмауэра
и добавит еще одно "слабое
звено" к цепочке.
Назад | Содержание | Вперед
|