3.5 Интеграция модемных пулов с брандмауэрами

Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе 2.3.2, это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

Рисунок 3.5

Рисунок 3.5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.

Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.

Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.

Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.

Рисунок 3.6

При использовании брандмауэров на основе шлюза с двумя интерфейсами и с изолированной подсетью маршрутизатор, соединенный с Интернетом, будет предотвращать прямую передачу данных между системами в Интернете и модемным пулом. Кроме того, при использовании брандмауэра с изолированной подсетью внутренний маршрутизатор сделает невозможной прямую передачу данных между внутренними систеами и модемным пулом; а при использовании брандмауэра на основе шлюза с двумя интерфейсами прикладной шлюз также помешает этому. Пользователи, устанавливающие соединение через модемный пул, смогут установить соединение с внутренними системами только через прикладной шлюз, который может использовать средства усиленной аутентификации.

Если сеть использует какие-либо средства защиты этого рода при установлении соединения через модем, то должна строго соблюдаться политика, запрещающая пользователям устанавливать соединения с внутренней сетью через модемы в местах, отличных от этой изолирвоанной подсети. Даже если модем имеет встроенные средства защиты, это только усложнит схему защиты брандмауэра и добавит еще одно "слабое звено" к цепочке.