Специальная публикация NIST 800-10


Интеграция модемных пулов с брандмауэрами


Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе , это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

Рисунок 3.5

Рисунок 3.5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.

Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.

Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.

Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.



Содержание раздела