Безопасность в Internet- Intranet

Защищенное и эффективное управление инфраструктурой IP-адресов предприятия


Инфраструктура IP-адресов современного предприятия, ведущего бизнес с помощью Internet, является для системы безопасности одновременно и ресурсом, который нужно защищать, и источником данных, на основе которых система безопасности выполняет свои основные обязанности - управляет доступом к другим ресурсам сети, обнаруживает атаки и т.д.

Защита IP-адресов предприятия состоит в скрытии их от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе. Обычно для этой цели в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями. Провайдеры Internet не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на хост с частным адресом извне корпоративной сети, что существенно повышает безопасность сети.

Для обеспечения взаимодействия сети с частными адресами с внешним миром в Internet разработана техника трансляции адресов NAT, поддержка которой является прямой обязанностью системы безопасности. Реализация некоторых режимов NAT (например, организация соединений по инициативе внешних хостов или двойной NAT, решающий проблему пересечения адресного пространства внутренних и внешних адресов) требует помощи службы DNS, поэтому для защиты адресного пространства средства безопасности должны быть тесно интегрированы с этой службой.

Защиту IP-адресов обеспечивают также VPN-шлюзы, скрывающие за счет инкапсуляции истинный адрес отправителя и отправляющие пакет во внешнюю сеть от адреса своего внешнего интерфейса.

Перспективные средства защиты IP-адресов должны учитывать возможность использования адресации по стандарту IPv6, плавный переход на который ожидается в ближайшем будущем.

Интеграция средств безопасности с основными службами сети, управляющими IP-адресацией, нужна и для выполнения первыми основных функций по контролю доступа. Традиционное использование средствами защиты IP-адресов в качестве идентификаторов субъектов доступа сегодня существенно затрудняется динамическим характером назначения адресов, поддерживаемым службой DHCP. Для того, чтобы сопоставить IP-адрес с пользователем, средства защиты должны получать информацию от двух сетевых служб: аутентификации и DHCP.

Наличие службы DHCP влияет и на работу транслятора адресов, который должен при установлении внешних соединений с внутренними хостами корректно заменять DNS-имена на внутренние IP-адреса хостов. Эта проблема может решаться стандартным образом, если служба DNS поддерживает режим Dynamic DNS, в противном случае сервис NAT должен решать ее самостоятельно.

В результате для эффективной работы в новых условиях средства безопасности сети должны уметь координировать свою работу с основными службами управления IP-адресами (DHCP, DNS), а также обеспечивать поддержку новых протоколов, связанных с IP-адресацией (например, IPv6, Mobile IP) в случае необходимости.


Функции управления инфраструктурой IP-адресов реализуются в нескольких продуктах компании Check Point.

Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по распространенным в Internet алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью нрафического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во мнгоих случаях надежно защищает корпоративную сеть от внешних атак.

Продукты VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого пакета, то такой способ обмена существенно сокращает вероятность атаки на внутренние взлы сети по их IP-адресам.

Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.

Meta IP позволяет создать отказоустойчивую систему управления IP-адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP и DNS серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP и управляемую централизованно.




Система Meta IP включает:

  • Реализацию DNS-сервера в среде Windows NT, основанную на последней версии BIND 8.1.2 и дополненную инетрфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на настоящее время версию стандарта Dynamic DNS для среды Windows NT.
  • Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP-сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP.
  • Сервис UAM, тесно интегрированный с FireWall-1, и агентов UAT, работающих в службах аутентификации операционных систем.
  • Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельной сервис управления (Manager Service), который собирает в LDAP-совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP-совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP - например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.


  • Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP с помощью графической консоли, которая имеет две реализации - для среды Win32 и виде Java-апплета, способного работать в любой системе с помощью поддерживающего Java браузера. С помощью Meta IP можно управлять также стандартными DNS-серверами.

    Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.


    Содержание раздела