Серверы-посредники

Ронен Яри

Вы наверняка слышали ужасные истории, расписывающие подробности провалов в системах безопасности Internet. К сожалению, ситуация изменится не скоро. Согласно недавним оценкам, в США ежегодно похищается ценной информации более чем на 10 млрд. дол.

Чтобы не попасть в списки жертв, большинство компаний установили системы firewall в качестве защитного барьера от предполагаемых взломщиков. Однако эти системы лишают корпоративных пользователей доступа ко многим новым сетевым ресурсам, таким как аудиосерверы. Если вы не собираетесь открывать бреши в вашей защитной системе, то единственный практичный способ решения указанной проблемы — установить сервер-посредник (proxy-server).

Сервер с другим именем

Серверы-посредники, по существу, соединяют вашу внутреннюю сеть с внешним миром. Иными словами, они подобны биржевым маклерам, но только не берущим комиссионных. На бирже поставщики товаров никогда не связаны непосредственно с покупателями — от имени продавца действует маклер. Каждый раз, когда вы хотите принять участие в торгах или получить информацию из Internet, с помощью программы просмотра Web вы посылаете команду вашему серверу-посреднику, работающему по протоколу HTTP. В этом случае сервер-посредник можно считать специальным HTTP-сервером, запущенным на машине firewall. Он ждет директив из системы, защищенной firewall, пересылает запрос к удаленному серверу, расположенному за пределами защитной системы, получает от него ответное сообщение и передает его по назначению. Преимущество серверов-посредников, работающих на машине firewall, состоит в том, что они, будучи однажды правильно сконфигурированы, обеспечивают надежный доступ к ресурсам Internet, не нарушая системы защиты.

Реалии системы firewall

Двумя основными блоками систем firewall являются маршрутизаторы с фильтрами пакетов и серверы-посредники. Их можно использовать раздельно или в различных комбинациях. Фильтры пакетов, в соответствии с их названием, решают, пропускать ли пакет c определенным адресом IP либо номером порта TCP, содержащимися в заголовке пакета. Они отлично работают, если определено лишь несколько фильтров, абсолютно прозрачных для приложений и конечных пользователей. Но без дополнительных средств фильтры пакетов обеспечивают относительно слабую степень защиты.

Программы сервера-посредника, работающие на той же машине, что и firewall, одновременно взаимодействуют и с защищенной внутренней сетью, и с “дебрями” сети Internet. Эти серверы принимают запросы пользователей на услуги Internet (такие как FTP, HTTP, Telnet, gopher и WAIS) и посылают их, в соответствии с политикой безопасности данного узла, к реальным поставщикам этих услуг. Серверы-посредники намного надежнее фильтров, но при этом приходится жертвовать показателями качества и прозрачности.

Однако серверы-посредники не только пересылают запросы на услуги. Например, разработанный CERN сервер-посредник, работающий по протоколу HTTP, может накапливать данные в местном кэше, так что пользователям ЛВС не нужно дважды отправляться в Internet для получения изображения одной и той же Web-страницы. Их запросы просто переправляются в кэш, откуда и извлекается нужная страница. Кэширование также создает эффект увеличения полосы пропускания, поскольку документы, передаваемые из близлежащего кэша, появляются мгновенно, в отличие от тех, которые приходят из какого-нибудь удаленного узла сети.

У технологии кэширования есть и недостатки. Например, неясно, какие документы и как долго нужно хранить в кэше на сервере и какова вероятность, что там находится последняя версия. Большинство серверов-посредников позволяет точно задать размер кэша и время хранения документов.

Централизованное кэширование на сервере-посреднике более эффективно по сравнению с распределенным, при котором копии одного и того же документа хранятся у нескольких пользователей, так как экономит дисковое пространство. Централизованное кэширование также более эффективно в смысле распределения часто запрашиваемых документов, поскольку кэш-менеджер может прогнозировать, как долго нужно хранить тот или иной документ. Серверы-посредники пригодны для ведения журналов клиентов, включающих IP-адрес, дату и время, универсальный указатель ресурса URL, число переданных байтов и коэффициент потерь. И обычные, и метаинформационные поля транзакций протокола HTTP могут быть включены в журнал регистрации, что просто невозможно сделать на уровнях IP и TCР. Хотя часто возможности ведения журналов сервером-посредником недооцениваются, они чрезвычайно важны не только для анализа возможных атак, но и для подтверждения необходимости затрат на защиту сети (и нужности работы “бедняги”, ответственного за безопасность и жизнеспособность сети).

Подводные камни

Хотя программы серверов-посредников для традиционных услуг Internet, таких как FTP и Telnet, получили широкое распространение, однако надежное ПО, поддерживающее новые услуги Internet, такие как Real Audio или IRC, все еще труднодоступно. Разница во времени между запуском новой услуги и возможностью получить соответствующее ПО для серверов-посредников затрудняет работу администраторов Web-серверов. Следует учитывать, что для распознавания каждого протокола и фильтрации потоков данных из локальной сети во внешний мир и обратно может потребоваться сервер-посредник. Поиск, установка и конфигурирование всех этих услуг — непростое дело.

Чтобы обеспечить защиту узла сети, серверы-посредники должны определять, какие операции протокола безопасны. Но это не всегда удается сделать. Например, ни один сервер-посредник не может предотвратить загрузку приложений, зараженных вирусами.

Благодаря тому, что боўльшая часть браузеров и другие клиентские программы рассчитаны на работу с серверами-посредниками, которые широко распространены, любой пользователь, защищенный системой firewall, имеет полный доступ к услугам сети Internet без каких-либо компромиссов по отношению к безопасности. Корпорациям больше не нужно ограничивать доступ пользователей к Internet.

Вот перечень адресов, где можно получить более полную информацию:

· Разработка CyberGuard Firewall корпорации Harris Computer Systems: http:// www.csd.harris.com/ trusted/ cyberguard_bulletin.html.

· Система Firewall-1 фирмы Checkpoint Software Technologies, которая включает функцию Statefull Multi-Layer Inspection и улучшенную идентификацию пользователей: http://www2.

checkpoint.com: 8000/

firewall-1.html.

· Продукт организации CERN под названием httpd является основным гипертекстовым сервером, работающим через порт 80 и обрабатывающим гипертекстовые и другие документы, и, одновременно, сервером-посредником для доступа к внешнему миру из сетей, защищенных системой firewall. Обеспечено также и кэширование документов. Адрес: http://www.w3.org/ pub/WWW/Daemon/.