Сетевые шлюзы

Для того, чтобы локальные сети, использующие разные протоколы, могли обмениваться информацией между собой или с глобальной сетью существуют устройства, преобразующие протокол одного типа в другой. Такие устройства называются сетевыми шлюзами. Сетевые шлюзы могут иметь вид аппаратного устройства или программного обеспечения.

Чаще всего сетевой шлюз – это программное обеспечение, установленное на компьютер или роутер. Абсолютно все операционные системы снабжены такими программами. Получив из глобальной сети информацию, сформатироавнную под один протокол, сетевой шлюз конвертирует ее в информацию другого протокола, затем может отправить переформатированную информацию в другой сегмент сети.

Рассмотрим принцип передачи данных сетью через сетевой шлюз. Так, сетевой шлюз – это распределительная точка, которая принимает информацию из глобальной сети и конвертирует ее в информацию, понятную пользователям локальной сети. Роутеры в локальной сети получают и отправляют информацию только среди локальных сетей, которые используют одни и те же протоколы. Сетевые шлюзы обычно работают медленнее, чем коммутаторы или роутеры.

Для корпоративной сети организации существует универсальный шлюз – программный комплекс Интернет Контроль Сервер. Этот шлюз осуществляет полный контроль подключений компьютеров сети к Интернет, ведет персонифицированный учет трафика.

Операционная система Windows имеет, как правило, встроенный мастер подключения к сети. Ответив на несколько вопросов, вы получаете автоматическую настройку программного комплекса для связи с локальной или глобальной сетью. Способность таких систем использовать протокол DHCP позволяет добавлять в сеть новые устройства и компьютеры, а также расширять сеть очень просто, почти автоматически.

Варианты исполнения МЭ

Существует два основных варианта исполнения МЭ — программный и программно-аппаратный. В свою очередь программно-аппаратный вариант имеет две разновидности — в виде специализированного устройства и в виде модуля в маршрутизаторе или коммутаторе.

В настоящее время чаще используется программное решение, которое на первый взгляд выглядит более привлекательным. Это связано с тем, что для его применения достаточно, казалось бы, только приобрести программное обеспечение (ПО) МЭ и установить на любой компьютер, имеющийся в организации. Однако на практике далеко не всегда в организации находится свободный компьютер, удовлетворяющий достаточно высоким требованиям по системным ресурсам. Поэтому одновременно с приобретением ПО приобретается и компьютер для его установки. Затем следует процесс установки на компьютер операционной системы (ОС) и ее настройка, что также требует времени и оплаты работы установщиков. И только после этого устанавливается и настраивается ПО системы обнаружения атак. Нетрудно заметить, что использование обычного персонального компьютера далеко не так просто, как кажется на первый взгляд.

Поэтому в последние годы значительно возрос интерес к программно-аппаратным решениям, которые постепенно вытесняют «чисто» программные системы. Широкое распространение стали получать специализированные программно-аппаратные решения, называемые security appliance. Программно-аппаратный комплекс межсетевого экранирования обычно состоит из компьютера, а также функционирующих на нем ОС и специального ПО. Следует отметить, что это специальное ПО часто называют firewall. Используемый компьютер должен быть достаточно мощным и физически защищенным, например находиться в специально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкционированного носителя. Программно-аппаратные комплексы используют специализированные или обычные ПО (как правило, на базе FreeBSD, Linux или MicrosoftWindows NT (2000)), «урезанные» для выполнения заданных функций и удовлетворяющие ряду требований:
• иметь средства разграничения доступа к ресурсам системы;
• блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
• запрещать привилегированный доступ к своим ресурсам из локальной сети;
• содержать средства мониторинга/аудита любых административных действий.

Достоинства специализированных программно-аппаратных решений:

• простота внедрения в технологию обработки информации. Такие средства поставляются с заранее установленной и настроенной ОС и защитными механизмами, поэтому необходимо только подключить их к сети, что выполняется в течение нескольких минут;

• простота управления. Данные средства могут управляться с любой рабочей станции Windows 9х, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например SSH или SSL;

• отказоустойчивость и высокая доступность. Исполнение МЭ в виде специализированного программно-аппаратного комплекса позволяет реализовать механизмы обеспечения не только программной, но и аппаратной отказоустойчивости и высокой доступности;

• высокая производительность и надежность. За счет исключения из ОС всех «ненужных» сервисов и подсистем, программно-аппаратный комплекс работает более эффективно с точки зрения производительности и надежности;

• специализация на защите. Решение только задач обеспечения сетевой безопасности не приводит к затратам ресурсов на выполнение других функций, например маршрутизации и т.п.

В настоящее время общеупотребительным подходом к построению критериев оценки средств информационно-компьютерной безопасности является использование совокупности определенным образом упорядоченных качественных требований к подсистемам защиты, их эффективности и эффективности реализации. Подобный подход выдержан и в руководящем документе Гостехкомиссии России Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации, где устанавливается классификация межсетевых экранов по уровню защищенности от НСД к информации. Данная классификация построена на базе перечня показателей защищенности и совокупности описывающих их требований.

Показатели защищенности применяются к брандмауэрам для определения уровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы межсетевых экранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэров на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо для разработки и принятия обоснованных и экономически оправданных мер по достижению требуемой степени защиты информации при межсетевых взаимодействиях.

Устанавливается 5 классов межсетевых экранов по показателям защищенности. Самый низкий класс защищенности пятый, применяемый для безопасного взаимодействия автоматизированных систем (АС) класса 1Д с внешней средой, четвертый для 1Г, третий 1В, второй 1Б, самый высокий первый, применяемый для безопасного взаимодействия АС класса 1А с внешней средой. При включении брандмауэра в АС определенного класса защищенности, класс защищенности совокупной системы, полученной из исходной путем добавления в нее межсетевого экрана, не должен понижаться. Для АС класса 3Б, 2Б должны применяться брандмауэры не ниже 5 класса. Для АС класса 3А, 2А, в зависимости от важности обрабатываемой информации, должны применяться брандмауэры следующих классов:

• при обработке информации с грифом секретно не ниже 3 класса;
• при обработке информации с грифом совершенно секретно не ниже 2 класса;
• при обработке информации с грифом особой важности не ниже 1 класса.

Требования к межсетевым экранам по классам защищенности приведены в табл. 1.

Перечень показателей межсетевых экранов по классам защищенности

Обозначения:

- нет требований к данному классу;
+ новые или дополнительные требования;
= требования совпадают с требованиями к МЭ предыдущего класса

Ряд стендовых испытаний и экспериментов, проведенных в ЗАО Эврика, показали, что достойными кандидатами на эффективное разграничение внутрисетевого доступа являются межсетевые экраны BorderManager компании Novell и Firewall-1 компании Check Point Software Technologies. Они обеспечивают выполнение всех базовых функций по защите межсетевого взаимодействия.

Важным достоинством BorderManager является возможность управления большинством его подсистем через службу каталогов NDS, имеющую очень удобные средства администрирования. Вкладки по управлению находятся в окнах детальных свойств сервера Netware и контейнеров, предоставляя возможности по управлению шлюзами сеансового уровня, посредниками прикладного уровня и виртуальными частными сетями. Межсетевой экран BorderManager поддерживает различные режимы фильтрации пакетов на сетевом уровне. С помощью шлюзов сеансового уровня (IPX/IP и IP/IP) имеется возможность контроля межсетевого доступа на уровне пользователей (и групп пользователей) NDS, а не только на уровне IP/IPX-адресов компьютеров. Поддерживается широкий спектр посредников приложений, обеспечивающих контроль доступа на уровне прикладных сервисов (HTTP вместе с HTTPS и SSL, FTP, SMTP/POP3, DNS, SOCKS 4, SOCKS 5 и др.).

Межсетевой экран Firewall-1 компании Check Point Software Technologies это брандмауэр экспертного уровня, реализующий передовую технологию фильтрации пакетов с контролем состояния соединения (Stateful Inspection Technology). Фильтрация осуществляется на основе специальных методов многоуровневого анализа состояния пакетов (Stateful Multi-Layer Technique SMLT). Эта гибридная технология позволяет отслеживать состояние сетевого соединения, перехватывая пакеты на сетевом уровне и извлекая из них информацию прикладного уровня, которая используется для контроля за соединением. Быстрое сравнение проходящих пакетов с известным состоянием (state) дружественных пакетов, позволяет значительно сократить время обработки по сравнению с посредниками уровня приложений.

Цель данной лекции – рассказать о межсетевых экранах.

В соответствии с поставленной целью возникают следующие задачи:

- исследовать понятие и сущность межсетевого экрана;

- рассказать о способах обхода межсетевого экрана;

- рассказать о проблемах построения экранирующих систем.

1. ПОНЯТИЕ И СУЩНОСТЬ МЕЖСЕТЕВОГО ЭКРАНА

Проблема межсетевого экранирования формулируется следующим образом. Пусть имеется две информационные системы или два множества информационных систем. Экран (firewall) - это средство разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве.

Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая “информационная мембрана”. В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа, в частности, фиксировать все “незаконные” попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.

Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия «внутри» и «снаружи», и задача экрана состоит в защите внутренней сети от «потенциально враждебного» окружения. Важнейшим примером потенциально враждебной внешней сети является Интернет.

Межсетевой экран или firewall - одно из наиболее эффективных средств защиты сети от НСД (Несанкционированный доступ), вирусных и DoS (или DDoS) атак. Межсетевой экран часто определяют как набор средств, существующих для запрета нежелательного доступа в локальную сеть или утечки информации из сети. Экран устанавливается на границе защищаемой сети и фильтрует все входящие и исходящие данные, пропуская только разрешенные. При этом межсетевые экраны могут быть установленных и на отдельных компьютерах корпоративной сети для ограничения доступа пользователей к определенным узлам и данным.

Межсетевой экран можно считать эффективным, если он удовлетворяет следующим требованиям:

- Межсетевой экран должен фильтровать все данные входящие/исходящие из сети.

- Сам межсетевой экран не может быть доступен ни из внешней, ни из внутренней сети.

В самом начале корпоративная сеть каждого предприятия имевшего выход в интернет, оснащалась одним экраном. Однако, по мере роста количества филиалов и падения цен на цифровые линии xDSL и T1 многие крупные предприятия позволили удаленным офисам соединяться с сетью Internet (а так же другими сетями) напрямую, а не через главный корпоративный межсетевой экран. Это явление потребовало централизованного управления политикой безопасности для всех межсетевых экранов. Как результат появилось три категории межсетевых экранов:

• Межсетевые экраны для предприятий
• Межсетевые экраны-приложения
• Встроенные межсетевые экраны

Рассмотрим кратко каждую из них.

Межсетевые экраны для предприятий

Эта категория представляет собой комплекс программных и аппаратных средств, обычно, занимающий одну рабочую станцию. Это обусловлено тем, что под защиту такого экрана попадает более 100 рабочих мест, с выходом во внешнюю сеть.

Межсетевые экраны этой категории могут фильтровать большое количество протоколов различных типов и подходят для предприятий организующих в своей сети возможности для ведения электронного бизнеса. Также экраны этой категории поддерживают управление всеми межсетевыми экранами (дочерние межсетевые экраны) с единой консоли и поддерживают распределенную архитектуру. Стоимость экранов этой категории колеблется от $10 т. до $30 т.

Межсетевые экраны-приложения

Такие экраны обычно работают на собственном аппаратном обеспечении. Для эксплуатации экрана-приложения не требуется навыков работы с ОС.

Межсетевые экраны этой категории могут быть классифицированы так:

• Надзиратели (turnkey solutions) - устанавливаемые на компьютерную систему вместе с ОС.
• Экраны с ограниченными возможностями (not-quite-firewalls) - использующиеся для защиты конкретных платформ и представляющие из себя прокси.
• Полнофункциональные экраны (do-it-all firewalls) - представляющие из себя Интернет/Интранет серверы (WEB/DNS/MAIL). Межсетевые экраны этой категории можно разделить на два сегмента. Сегмент дешевых экранов, которые используются для установки простых политик безопасности, в основном для контроля исходящего или входящего трафика. И сегмент дорогих экранов, которые обеспечивают полную функциональность межсетевого экрана с интегрированными возможностями VPN.

Встроенные межсетевые экраны

Встроенные межсетевые экраны представляют собой средства для выполнения набора функций межсетевого экрана, встроенного в устройство (built-in device), выполняющее также и другие функции. Такие экраны состоят в основном из персональных экранов, но уже ведутся разработки экранов на ИС, которые можно будет встроить в модем или сетевую карту. Основные характеристики:

· Низкая стоимость

• Прозрачность
• Возможность функционирования с центральным управлением

Распределенные сетевые экраны

Появление этого дополнительного не указанного ранее типа вызвано многочисленными сеансами доступа к сети, как извне, так и изнутри. Распределенные firewall’ы расположены по всему периметру корпоративной сети - на web-сайтах, ПК, модемах и т.д. Главная идея распределенных firewall - обеспечить слой защиты от хакеров, планомерно обходящих традиционные firewall:-). Структурно firewall устанавливаются на рабочие станции пользователей и на серверы приложений. В результате получается довольно большое количество firewall. Все они централизованы и по управлению и по настройкам. Как и традиционные firewall, распределенные firewall ограничивают трафик, руководствуясь правилами контроля доступа. Правила контроля используются для определения того, какие типы данных могут быть переданы в определенных направлениях и в определенное время. Для firewall, расположенных на серверах приложений, доступ определяется на уровне протоколов и позволяют администраторам видеть какие именно установлены правила.

Традиционные firewall ограничивают трафик в определенной «точке» сетевого интерфейса, контролируя и проверяя входящие и исходящие потоки. При большой активности (например DoS) может произойти сбой или замедление процессов обмена информацией. Распределенные firewall разносят такую нагрузку на разные компьютеры, что позволяет достичь большей устойчивости к DoS и DDoS атакам. Кроме того структура распределенных firewall позволяет производить фильтрацию внутреннего трафика по сети.

Существует два основных способа создания наборов правил межсетевого экрана: ''включающий'' и ''исключающий''. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Безопасность может быть дополнительно повышена с использованием ''межсетевого экрана с сохранением состояния''. Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что оптимально для реальных применений.

2. СПОСОБЫ ОБХОДА МЕЖСЕТЕВЫХ ЭКРАНОВ

Как известно, межсетевые экраны, как и другие средства защиты, настраиваются людьми. А людям свойственно ошибаться, даже специалистам по защите информации. Именно этот факт и используется многими злоумышленниками.

Алексей Викторович Лукацкий, заместитель технического директора Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании Check Point Software в своей работе, посвященной выявлению недостатков МСЭ, считает, что не стоит пытаться проникнуть к защищаемым ресурсам через защитные средства, когда можно попытаться обойти их. Он иллюстрирует свое утверждение примером из смежной области: «21 февраля 1990 г. Мэри Пирхем, аналитик по бюджету одной американской компании, пришла на работу. Однако она не смогла пройти на свое рабочее место даже после набора четырехзначного кода и произнесения кодового слова в системе контроля доступа. Желая все-таки попасть на работу, Мэри обошла здание и открыла дверь черного хода при помощи пилки для ногтей и пластмассовой расчески. Новейшая защитная система, которую обошла Мэри Пирхем, рекламировалась как «безотказная и надежная» и стоила несколько десятков тысяч долларов.» Аналогично и с межсетевыми экранами, только роль черного хода может выполнять модем. При обследовании одной сети начальники отдела защиты информации и автоматизации утверждали, что они знают все до единого модема, установленные в их сети. Запустив систему анализа защищенности Internet Scanner, были действительно обнаружили указанные ими модемы, используемые для обновления баз данных бухгалтерской и юридической систем. Однако было обнаружено и два неизвестных модема. Один использовался сотрудником аналитического отдела с целью получения доступа к рабочим каталогам из дома. Второй модем использовался для доступа в Internet, в обход межсетевого экрана.

С возможностью обхода МСЭ связан и другой пример. Не всегда угрозы идут только с внешней стороны МСЭ, из сети Internet. Большое количество потерь связано как раз с инцидентами защиты со стороны внутренних пользователей (по статистике - до 80% инцидентов исходят изнутри). Необходимо уточнить, что межсетевой экран только просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МСЭ и не находит никаких проблем. В 1985 году на одном из российских судостроительных заводов была разоблачена преступная группа из свыше 70 (!) человек, которая в течение 1981-1985 гг. путем введения в информационную систему расчета зарплаты фальшивых документов похитила более 200 тыс. рублей. Аналогичные случаи были зафиксированы на заводах г. Ленинграда и г. Горького. Ни один, даже самый эффективный межсетевой экран, не смог бы обнаружить такую деятельность.

Но даже просмотр трафика на границе между внешней и внутренней сетями не гарантирует полной защиты. Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МСЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений (attachments) в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика, то во внутреннюю сеть может попасть и "вирусная инфекция". Также примером может служить атака Loki, которая позволяет туннелировать различные команды (например, запрос на передачу файла паролей /etc/passwd) в запросы ICMP Echo Request и реакцию на них в ответы ICMP Echo Reply.

Очень часто из уст многих отечественных разработчиков средств VPN можно услышать, что разработанное им средство построения виртуальных частных сетей способно решить многие проблемы безопасности. Они упирают на то, что раз защищаемая сеть общается со своими оппонентами (удаленными офисами, партнерами, заказчиками и т.д.) только по VPN-соединению, то никакая «зараза» в нее не проникнет. Отчасти это так, но только при условии, что и оппоненты также ни с кем не общаются по незащищенным каналам. А это уже представить себе трудно. И поскольку большинство организаций используют шифрование для защиты внешних сетевых соединений, интерес злоумышленника будет направлен к тем местам в сети, где информация, представляющая для него интерес, вероятно, не является защищенной, то есть к узлам или сетям, с которым установлены доверенные отношения. И даже в случае создания VPN-соединений между сетью, защищаемой при помощи МСЭ с функциями VPN, и доверенной сетью, злоумышленник сможет с той же эффективностью реализовывать свои атаки. Мало того, эффективность его атак будет еще выше, поскольку зачастую требования по безопасности к доверенным узлам и сетям намного ниже всех остальных узлов. Злоумышленник сможет проникнуть в доверенную сеть, а уж затем из нее осуществлять свои несанкционированные действия по отношению к цели своей атаки.

Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа «отказ в обслуживании» на нее.

Межсетевые экраны часто сами являются объектами атаки. Атаковав МСЭ и выведя его из строя, злоумышленники могут спокойно, не боясь быть обнаруженными, реализовывать свои преступные замысли по отношению к ресурсам защищаемой сети. Например, с начала 2001 года было обнаружено немало уязвимостей в реализации различных известных межсетевых экранов. Например, неправильная обработка TCP-пакетов с флагом ECE в МСЭ ipfw или ip6fw позволяла удаленному злоумышленнику обойти созданные правила. Еще одна уязвимость была обнаружена в межсетевом экране BorderWare Firewall Server 6.1.2. Использование данной уязвимости, связанной с широковещательной посылкой запросов ICMP Echo Request, приводила к нарушению доступности МСЭ BorderWare. В стороне не остались и другие межсетевые экраны - Cisco Secure Pix Firewall, WatchGuard Firebox и т.д.

Абсолютное большинство межсетевых экранов построено на классических моделях разграничения доступа, разработанных в 70-х, 80-х годах прошлого столетия в военных ведомствах. Согласно этим моделям субъекту (пользователю, программе, процессу или сетевому пакету) разрешается или запрещается доступ к какому-либо объекту (например, файлу или узлу сети) при предъявлении некоторого уникального, присущего только этому субъекту, элемента. В 80% случаев этим элементом является пароль. В других случаях таким уникальным элементом является таблетка Touch Memory, Smart или Proximity Card, биометрические характеристики пользователя и т.д. Для сетевого пакета таким элементом являются адреса или флаги, находящиеся в заголовке пакета, а также некоторые другие параметры.

Можно заметить, что самым слабым звеном этой схемы является уникальный элемент. Если нарушитель каким-либо образом получил этот самый элемент и предъявил межсетевому экрану, то он воспринимает его, как «своего» и разрешает действовать в рамках прав того субъекта, секретным элементом которого несанкционированно воспользовались. При современных темпах развития технологий получить доступ к такому секретному элементу не составляет большого труда. Его можно «подслушать» при передаче по сети при помощи анализаторов протоколов, в том числе и встроенных в операционные системы (например, Network Monitor в Windows NT 4.0). Его можно подобрать при помощи специальных программ, доступных в Internet, например, при помощи L0phtCrack для Windows или Crack для Unix.

Таким образом, даже самый мощный и надежный межсетевой экран не защитит от проникновения в корпоративную сеть нарушителя, если последний смог подобрать или украсть пароль авторизованного пользователя. Мало того, межсетевой экран даже не зафиксирует нарушения, так как для него нарушитель, укравший пароль, является авторизованным пользователем.

В каждой организации есть пользователи, обладающие практически неограниченными правами в сети. Это сетевые администраторы. Они никому неподконтрольны и могут делать в сети практически все, что угодно. Как правило, они используют свои неограниченные права для выполнения своих функциональных обязанностей. Но представьте на минуту, что администратор чем-то обижен. Будь-то низкой зарплатой, недооценкой его возможностей, местью и т.п. Известны случаи, когда такие обиженные администраторы «портили кровь» не одной компании и приводили к очень серьезному ущербу. Осенью 1985 года директор по компьютерной безопасности компании USPA & IRA Дональд Берлисон попытался через руководство компании добиться снижения суммы налога на прибыль, которую ему постоянно приходилось выплачивать, и чем он был недоволен. Однако он был уволен. Через три дня после увольнения он пришел на работу и, получив доступ в сеть компании, удалил 168000 записей базы данных о страховании и защите торговых сделок. Затем он запустил в сеть несколько программ-червей, которые должны были продолжать удалять аналогичные записи в будущем.

Эти примеры демонстрируют, что даже самый эффективный межсетевой экран не смог бы защитить корпоративную сеть, если бы на нее совершил нападение ее администратор.

ПРОБЛЕМЫ ПОСТРОЕНИЯ ЭКРАНИРУЮЩИХ СИСТЕМ

Рассмотрим более подробно, какие проблемы возникают при построении экранирующих систем. При этом мы будем рассматривать не только проблему безопасного подключения к Интернет, но и разграничение доступа внутри корпоративной сети организации.

Первое, очевидное требование к таким системам, это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

Во-вторых, экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети.

В-третьих, экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

В-четвертых, экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в “пиковых” режимах. Это необходимо для того, чтобы firewall нельзя было, образно говоря, “забросать” большим количеством вызовов, которые привели бы к нарушению ее работы.

Пятое. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

Шестое. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики безопасности.

Седьмое. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем немение, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.

Классическим примером, на котором хотелось бы проиллюстрировать все вышеизложенные принципы, является программный комплекс Solstice FireWall-1 компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.

Рассмотрим основные компоненты Solstice FireWall-1 и функции, которые они реализуют.

Центральным для системы FireWall-1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отметить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса.

Администратору безопасности сети для конфигурирования комплекса FireWall-1 необходимо выполнить следующий ряд действий:

- Определить объекты, участвующие в процессе обработки информации. Здесь имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации.

- Описать сетевые протоколы и сервисы, с которыми будут работать приложения. Впрочем, обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1.

- Далее, с помощью введенных понятий описывается политика разграничения доступа в следующих терминах: “Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале”. Совокупность таких записей компилируется в исполнимую форму блоком управления и далее передается на исполнение в модули фильтрации.

Модули фильтрации могут располагаться на компьютерах - шлюзах или выделенных серверах - или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются следующие два типа маршрутизаторов: Cisco IOS 9.x, 10.x, а также BayNetworks (Wellfleet) OS v.8.

Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и, в зависимости от заданных правил, пропускают или отбрасывают эти пакеты, с соответствующей записью в регистрационном журнале. Следует отметить, что эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.

Рассмотрим процесс практической реализации политики безопасности организации с помощью программного пакета FireWall-1.

1. Прежде всего разрабатываются и утверждаются на уровне руководства организации правила политики безопасности.

2. После утверждения эти правила надо воплотить в жизнь. Для этого их нужно перевести в структуру типа “откуда, куда и каким способом доступ разрешен или, наоборот, запрещен. Такие структуры легко переносятся в базы правил системы FireWall-1.

3. Далее, на основе этой базы правил формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии далее переносятся на физические компоненты сети, после чего правила политики безопасности “вступают в силу”.

4. В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а, также, запускают механизмы “тревоги”, требующие от администратора немедленной реакции.

5. На основе анализа записей, сделанных системой, отдел компьютерной безопасности организации может разрабатывать предложения по изменению и дальнейшему развитию политики безопасности.

Рассмотрим простой пример реализации следующих правил:

1. Из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например, по UNIX-паролю.

2. Всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента.

3. Из Internet разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.

Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall-1.

После загрузки правил, FireWall-1 для каждого пакета, передаваемого по сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю.

Итак, сама суть Firewall-методики является абсолютно непогрешимой и логичной. Основной ее постулат состоит в создании выделенного бастиона (bastion host), на который возлагается задача обеспечения контроля и безопасности в защищаемом сегменте сети и через который осуществляется связь данного сегмента с внешним миром

ЗАКЛЮЧЕНИЕ

Межсетевые экраны не обеспечивают достаточного уровня защищенности корпоративных сетей. Хотя ни в коем случае от них нельзя отказываться. Они помогут обеспечить необходимый, но явно недостаточный, уровень защиты корпоративных ресурсов. Как уже отмечалось, традиционные средства, к которым можно отнести и межсетевые экраны, были построены на основе моделей, разработанных в то время, когда сети не получили широкого распространения и способы атак на эти сети не были так развиты, как сейчас. Чтобы на должном уровне противодействовать этим атакам, необходимо применение новых технологий. Например, технология обнаружение атак (intrusion detection), которая стала активно развиваться за рубежом и несколько лет назад попала в Россию. Эта технология, ярким представителем которой является семейство средств RealSecure компании Internet Security Systems, позволяет эффективно дополнять существующие межсетевые экраны, обеспечивая более высокий уровень защищенности.

Дата добавления: 2014-01-04; Просмотров: 6297; Нарушение авторских прав?; Мы поможем в написании вашей работы!