Объединение модемного пула с Firewall

Многие сети разрешают доступ через модемы, размещенные в различных точках сети. Такой доступ сам является потенциально опасным и может свести на нет всю защиту, обеспечиваемую Firewall.Управлять модемами будет намного легче, если сосредоточить их в модемном пуле, а затем осуществлять безопасные соединения с этим пулом. Модемный пул состоит из терминального сервера, представляющего собой специальный компьютер, разработанный для соединения модемов с сетью. Пользователь по модему соединяется с терминальным сервером, а затем с его помощью осуществляет необходимые соединения (например, с помощью протокола TELNET)с другими системами. Некоторые терминальные серверы содержат средства обеспечения безопасности и могут ограничивать соединения с некоторыми системами или потребовать от пользователей применения аутентификации.

Модем

Системы сети

Маршрутизатор

Internet

Прикладной шлюз

На рисунке показан модемный пул и Firewallс экранированным хостом. Поскольку к соединениям с модемами нужно относиться с тем же подозрением, как и к соединениям с Internet,размещение модемного пула на внешней стороне Firewallзаставляет модемные соединения осуществляться через Firewall.

Для аутентификации пользователей, устанавливающих связи как по модему, так и через Internet,могут быть использованы средства усиленной аутентификации прикладного шлюза. Для предохранения внутренних систем от соединения непосредственно с модемным пулом можно использовать фильтрующий маршрутизатор.

Недостатком данной схемы является то, что модемный пул напрямую связан с Internetи, следовательно, подвержен атакам. Если нарушителю удастся проникнуть в модемный пул, то он может использовать его как базу для атаки других системInternet.Для предотвращения этого кроме прикладного шлюза должен использоваться терминальный сервер, обладающий свойствами безопасности.

Firewallс двойным шлюзом и экранированной подсети реализует более безопасный метод управления модемными аулами. На рисунке изображен терминальный сервер, расположенный во внутренней экранированной подсети, где доступ к модемному пулу и от него можно тщательно контролировать с помощью маршрутизаторов и прикладных шлюзов. Маршрутизатор со стороны Internetпредохраняет модемный пул от любого прямого доступа, кроме доступа от прикладного шлюза.

В случае Firewallэкранированной подсети доступ к модемному пулу со стороны Internetи от систем сети запрещается соответствующими маршрутизаторами. В случае Firewallс простым шлюзом доступ к модемному пулу контролирует сам шлюз, в котором должны использоваться средства усиленной аутентификации.

Прикладной шлюз

Маршрутизатор

Маршрутизатор

Модем

Системы сети

Internet

Прикладной шлюз

Маршрутизатор

Модем

Если сеть использует для защиты модемного доступа подобные средства, она должна строго придерживаться политики, предотвращающей подключение к модемам любого пользователя в любом месте защищенной подсети. Даже если модемы обладают свойствами безопасности, это усложняет схему защиты с помощью Firewallи тем« самым добавляет в цепь еще одно слабое звено.