2.5.3. Брандмауэр: бағытталуы, негізгі типтері. Брандмауэрлердің негізгі технологиялары. Фильтрлеудің негізгі принциптері. Web-серверлер қауіпсіздігі. Firewall жүйесі. Желіаралық экран - брандмауэр немесе firewall жүйесі деп аталатын арнайыланған желіаралық қорғаныс комплексі. Желіаралық экран ортақ желіні екіге бөлуге және ортақ желінің бір облысынан екінші облысының шекарасынан берілгендер пакетінің өту шаттарын анықтайтын ережелер жиынтығын іске асыруға мүмкіндік береді. Мұндай шекаралар мекеменің жергілікті желісі және Internet ауқымды желісі арасында жүргізіледі.
Әдетте желіаралық экран Internet ауқымды желісінен мекеменің ішкі желісін бұзып кіруден қорғайды, мекеменің жергілікті желісіне қосылған корпоративті интражелідегі шабуылдан қорғау үшін де қолданыла береді. Желіаралық экран технологиясы корпоративті желілерді сыртқы кауіп қатерден қорғайтын ең алғашқы технологиялардың бірі.
Көптеген мекемелерде желіаралық экран – орнату ішкі желіні қорғаудың ең қажетті шарты болып табылады.
Санкцияланбаған желіаралық бұзуға қарсы тұру үшін желіаралық экран ішкі болып табылатын мекеменің қорғалатын желісі және сыртқы қарсылас желінің арасында орналасуы керек (1 - сурет). Соған қарамастан осы желілер арасындағы қарым қатынастар желіаралық экран арқылы жүзеге асырылуы тиіс. Желіаралық экран жалпы қорғалатын желі құрамына кіреді.
Бірнеше түйіндерді бірден шешетін желіаралық экран, мыналарды жүзеге асырады:
· Корпоративті желінің ішкі ресурстарына сыртқы қолданушылардың кіруін шектеу жұмысы (қорғалатын желіге байланысты). Мұндай пайдаланушыларға серіктестер, жойылған қолданушылар, хакерлер және де сол мекеменің желіаралық экран қорғайтын берілгендер қорын алғысы келетін жұмысшыларын жатқызуға болады.
· Сыртқы ресурстарға қорғалатын желінің қолданушыларының кіруін шектемеу мәселесі. Бұл мәселені шешу, мысалы қызмет бабының орындалуын қажет етпейтін серверлерге кіруді қадағалауға мүмкіндік береді.
Осы кезге дейін жалпыға мойындалған бір ғана желіаралық экран классификациясы жоқ. Оларды мысалға келесі негізгі белгілері бойынша классификациялауға болады:
OSI моделінің деңгейінде функционалдау: · Пакет сүзгіші (screening – экрандалатын маршрутизатор);
· Сеанстық деңгей шлюзі (экрандалатын көлік);
· Қолданбалы шлюз (aplication gateway); · Эксперттік деңгей шлюзі (stateful inspection firewall). Қолданылатын технология бойынша: · Протокол жағдайын қадағалау (stateful inspection); · Орадағы модульдер (proxy). Орындалуы бойынша: · Программа – аппараттық;
· Программалық.
Қосылу схемасы бойынша: · Желіні қорғаудың ортақ схемасы;
· Қорғалатын жабық және қорғалмайтын ашық желі сегменттерінің схемасы;
· Бөлек жабық қорғау мен ашық желі сегментінің схемасы.
Ақпараттық ағымдарды сүзгілеу олардың экран арқылы таңдап өткізу кейбір түрлендірулердің жасалуынан тұрады. Сүзгілеу таңдалған қауіпсіздік ережелеріне сәйкес, желіаралық экранға алдын ала жүктелген ережелер арқылы жүзеге асады. Сондықтан да желіаралық экранды ақпараттық ағымды өңдейтін сүзгі ретінде қарастырған ыңғайлы.
Фильтрдің әрқайсысы бөлек сүзгілерді мына жолдармен интерпретациялау үшін арналған:
1. интерпретацияланатын критерий ережелеріне сәйкес ақпаратты анализдеу, мысалы қабылдаушы адресі бойынша және ақпарат арналған жіберушіге немесе түсініктеме түріне.
2. интерпретацияланатын ереженің біреуі негізінде келесі шешімдерді қабылдау:
· берілгендерді тастап кетпеу;
· алушы атынан берілгендерді өңдеу және жіберушіге қорытындыны жіберу;
· анализді жалғастыру үшін берілгендерді келесі сүзгіге жіберу;
· келесі фильтрлардан берілгендерді өткізіп жіберу.
Сүзгілеудің ережесін жалғастырушы функциясына жататын қосымша іс - әрекеттерде бере алады, мысалға берілгендерді өңдеу, оқиғаларды тіркеу және т.б. Соған байланысты сүзгілеу ережесі орындалуына байланысты шарттарды анықтайды:
· алдағы берілгендердің жіберілуін шектеу немесе шешу;
· қосымша қорғаныс функцияларының орындалуы;
Ақпараттық ағымның талдауының критерийлері ретінде келесі шамалар қолданыла алады:
· желілік адрестерден, индикаторлардан, интерфейс адресінен, порттар номерінен және де басқа мәні бар берілгендерден тұратын хабарламалар пакетінің қосымша өрістері;
· мысалы компьютерлік вирустың бар жоғына тексеретін хабарлама пакеттерінің құрамы;
· ақпараттық ағымның сыртқы мінездемелері, мысалы уақытша, жиілік мінездемелер, берілгендердің көлемі және т.б.
Қолданылып отырған анализ критерийлері сүзгілеу жүзеге асырып жатқан OSI моделінің деңгейіне байланысты болады. Жалпы жағдайда желіаралық экран сүзгілеуден өткізіп жатқан пакеттің неғұрлым OSI моделінің деңгейі жоғары болса, соғұрлым ол қамтамасыз ететін қорғаныс деңгейі де жоғары болады.
Желіаралық экран жалғаушы функциясы экрандалатын агент немесе жалғаушы - программа деп аталатын арнайы программалар арқылы орындалады. Бұл программалар резидентті болып табылады және ішкі және сыртқы желілер арасындағы ретсіз ақпарат алмасуға рұқсат бермейді.
Ішкі желіден сыртқы желіге немесе керісінше қол жеткізу қажет болған жағдайда, ең алдымен желіаралық экран компьютерде функционалдайтын жалғаушы – программамен логикалық байланыс орнатылуы қажет. Жалғаушы программа сұралған желіаралық байланысты тексеріп, ол шешілетін болса өзі керекті компьютермен байланыс орнатады. Әрі қарай ішкі және сыртқы желі компьютерлері арасындағы байланыс программалық жалғауыш арқылы жүзеге асады, ол өз кезегінде келген ақпаратты сүзгіден өткізіп, басқа да қорғаныс функцияларын орындайды. Желіаралық экран жалғауыш-программа көмегінсіз сүзгілеу функциясын жүзеге асыра алады, бұл жағдайда ол ішкі және сыртқы желі арасында мөлдір өзара байланысты қамтамасыз етеді. Сонымен қатар жалғауыш-программа хабарламаларды сүзгілеуден өткізуді жүзеге асыра алмауы да мүмкін.
Браузердің адрестік жолындағы қажетті URLді теріп болған соң, браузер пайдаланған протокол (HTTP) жөнінде мәлімет және сервер атын алады. Сервер атын IP- адреске ауыстыру үшін браузер DNS серверіне- жүгінеді. Алынған IP- адрес негізінде браузер ізделінді Web- сервермен байланыс орнатады және HTTP протоколын пайдалана отырып ізделінді ресурсты сұрайды. Сервер браузерге серверде сақталатын HTML бетін жібереді. Браузер HTML- тэгтерін оқу нәтижесінде сіздің компьютеріңіздің экранында бет ашалады, одан сіз өз сұранысыңыздың нәтижесін көраласыз. Әдетте қарапайым Web беттерде тек текст қана емес графиктерден де тұрады, яғни әр түрлі типтегі бірнеше файлдан тұрады. Браузер ол файлдарды тану үшін, сервер қандай файлды (HTLM форматындағы текст немесе JPG форматындағы графика және т.б) жіберу керек жөнінде мәлемет береді содан соң файл мазмұны жіберіледі. Әдетте, Web беттер көптеген файлдардан түрғанына қарамастан бір рет сұраныс уақытысынды Web сервер тек қана бір файлды жібереді. Яғни, html текст алып одан графикалық элементке сілтеме тауып, браузер серверге жаңа сұраныс жібереді ( html текст келген серверге ғана жіберу міндетті емес). Әрбір жаңа файлды көшіріп алу үшін браузер жаңа HTTP сұранысын жіберу керек. Бұнда қазіргі серверлермен браузерлер көп потокты режімде жұмыс істейтіндіктен бір мезгілде бірнеше сұраныс орындалуы мүмкін. Егер берілген адресте сұранып отырған ресурс жоқ болса онда Web сервер мұнандай мәлімет береді 404/File not found ( файл табылмады). Статистикалық және динамикалық беттер. Статистикалық беттер Web сервер каталогында орналасқан файлдардың нақ копиясы болып табылады және өңдеуші өзі онда бір нәрсені ауыстырмайынша өзгермейді. Дегенмен беттер динамикалық түрде қалыптасады, яғни дискідегі дайын файлдан емес, белгілі бір программада сұраныстың өңделу уақытында. Осындай беттердің қалыптасуының бірнеше әдістері бар. Тікелей Web серверде сұранысқа сәйкес қалыптастыру. Web беттерді динамикалық қалыптастырудың мүмкіндігін жүзеге асыру үшін серверге мынадай бағыт берілуі керек, қандай файлдар «кәдімгі» болады, ал қандайы оның программалық өңделуіне нұсқаулары болады. Бұл жағдайда бетті сервердің өзі құрастырады ( арнайы командалар көмегімен немесе ішкі бағдарлама). Беттердің динамикалық қалыптастыратын командасы болатын программа мәтіні скрип деп аталады. Тұтынушы компьютерінде қалыптастыру. Бұл жағдайда программа мәтіні динамикалық web- парағын қалыптастыру үшін алдымен тұтынушының локальдық компьютеріне беріледі, бұнда браузер web- парағын алу және өңдеу үшін оған сәкес заттар шақыру керек. Динамикалық беттерді қалыптастыру үшін бірнеше технологиялар бар. CGI- технологиясы. Біздің сұранысымызға сәйкес дайындалған динамикалық беттер «жылдам қалыптасты». Мысалы кез-келген пікірлер кітабы сізге белгілі бір форманы көрсетеді бұнда сіз өз мәтініңізді қосасыз, келесіде осы бетті ашсаңыз онда жаңа хабарлама тұрады. Web- парағына динамикалық мазмұнды қосуға мүмкіндік жасайтын технологиялардың бірі CGI (Comman Gateway Interface) болып табылады. Ол сол немесе басқа URL мен статистикалық документі емес программаны түсінуге мүмкіндік жасайды нәтижесінде нақты уақытта мәліметтер қалыптастырады. Мысалы егер сіз белгілі бір районда ауа райынын дер кезіндегі мәліметінін бергіңіз келсе онда сіз әр бір ретте жаңа бетті құруыңыз керек. Бұл CGI технологиясының негізінде жүзеге асыруы мүмкін. Серверде жұмыс істеу бастағанда CGI программасы қосылады, ол цифрлы өлшеуіш құралына айналып температура,қысым және т.б мәліметтер береді. Әр кезде осы адрестен мәлімет алу үшін байланысқаныңызда сіз сол уақыттағы мәліметті аласыз. Басқа мысал: егер сіз ізденіс жүйесінен белгілі мәлімет алғыңыз келсе онда CGI программасы жұмысының нәтижесін ізделінді адрестер жыйынтығы түрінде аласыз. CGI программасын нақты уақыттағы Web сервердің бір бөлігі ретінде қарастыруға болады. Сервер тұтынушының сұрағын CGI программасына береді ол оларды өңдеп жұмыс нәтижесін тұтынушы экранына қайтарып береді. Клиент үшін адресте URL статистикалық құжат па немесе CGI программа ма еш қандай айырмашылығы жоқ. CGI программалары жұмысының нәтижесі статистикалық құжат сияқты форматта болады. CGI терминін тек қана программа емес протокол ретін де түсінуге болады. Бұл жағдайда CGI Web сервер үшін стандартты тәсіл болып табылады– тұтынушы сұранысын бағдарламаға беру және одан мәлімет алу. Сервер мен оның қосымшасының арасындағы бір біріне мәлімет жіберу жөніндегі CGI протоколы HTTP протоколының бір бөлігі болып табылады. CGI программасының үлкен бөлігі CGI скрипталары болып табылады. Скрип дегеніміз интерпритацияланатын немесе басқа программаларымен жұмыс жасайтын ережелер жинағы. Perl, JavaScript тілдері тура осы скрипталық тілдер түрінде ойлап табылған. Олар сценариилер жазу тілдері деп те аталады. Негізінен CGI программасы скрипталық тілде және де компилирлық тілде жазылуы мүмкін. C,C++,Delphi. CGI альтернативті техналогиясы Micrоsoft компаниясының технологиясы болып табылады. Ол былай аталады Active Server Page (ASP) ол да сол принциппен құрылған: web- серверге қосылған скрипт, парақ тұтынушыға жіберуден бұрын серверде орындалады. Осы принциппен орындалатын басқа да бір қатар технологиялар бар. Динамикалық мазмұны сервер жағындағы қалыптасатын схемадан өзгеше динамикалық мазмұны тұтынушы жағында көрінеді. Соңғы жағдайда активті құжаттар web серверде және локольдік компьютерде сақталады. Онда белгілі бір есептеулер орындалады жіне осы есептеулер нәтижесі экранда көрсетіледі. Активті құжаттарды дайындауда түрлі технологиялар пайдаланады: бұл мәліметтер JavaScript те Java апплеттерде жазылған қосымша болуы мүмкін және басқару элементі ActiveX болады.