Многие сети имеют возможность подключения через модем к ним.
Как уже отмечалось в разделе 2.3.2, это
потенциальное место для организации "черного входа " в сеть и может
свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим
методом организации работы через модем является объединение их в модемный пул и
последующее обеспечение безопасности соединений из этого пула. Как правило
модемный пул состоит из сервера доступа, который является специализированным
компьютером, предназначенным для соединения модемов с сетью. Пользователь
устанавливает соединение через модем с сервером доступа, а затем соединяется
(например, через telnet) оттуда с другими машинами сети. Некоторые серверы
доступа имеют средства безопасности, которые могут ограничить соединения только
определенными системами, или потребовать от пользователя аутентификации. Или же
сервер доступа может быть обычной машиной с присоединенными к ней модемами.
Рисунок 3.5
Рисунок 3.5 показывает модемный пул, размещенный со стороны
Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов
должны обрабатываться так же, как соединения из Интернета, то размещение модемов
с наружней стороны брандмауэра заставляет модемные соединения проходить через
брандмауэр.
Могут быть использованы средства усиленной аутентификации
приклданого шлюза для аутентификации пользователей, которые устанавливают
соединения через модемы точно также , как это деалется для соединения из
Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для
предотвращения прямого соединения внутренних систем с модемным пулом.
Недостатком такого подхода является то, что модемный пул
напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если
злоумышленник хочет проникнуть в модемный пул, то он может использовать его как
точку начала атаки на другие системы в Интернете. Поэтому должны использоваться
сервер доступа со встроенными средствами защиты, позволяющими блокировать
установление соединения с системами, крмое прикладного шлюза.
Брандмауэры на основе шлюза с двумя интерфейсами и с
изолированной подсетью обеспечивают более безопасный способ использования
модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней,
изолированной подсети, в которой доступ к модемному пулу и от него может быть
проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со
стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для
всех машин, кроме прикладного шлюза.
Рисунок 3.6
При использовании брандмауэров на основе шлюза с двумя
интерфейсами и с изолированной подсетью маршрутизатор, соединенный с Интернетом,
будет предотвращать прямую передачу данных между системами в Интернете и
модемным пулом. Кроме того, при использовании брандмауэра с изолированной
подсетью внутренний маршрутизатор сделает невозможной прямую передачу данных
между внутренними систеами и модемным пулом; а при использовании брандмауэра на
основе шлюза с двумя интерфейсами прикладной шлюз также помешает этому.
Пользователи, устанавливающие соединение через модемный пул, смогут установить
соединение с внутренними системами только через прикладной шлюз, который может
использовать средства усиленной аутентификации.
Если сеть использует какие-либо средства защиты этого рода при
установлении соединения через модем, то должна строго соблюдаться политика,
запрещающая пользователям устанавливать соединения с внутренней сетью через
модемы в местах, отличных от этой изолирвоанной подсети. Даже если модем имеет
встроенные средства защиты, это только усложнит схему защиты брандмауэра и
добавит еще одно "слабое звено" к цепочке.
|