41152

Программные средства обеспечения безопасности передачи данных в компьютерных сетях

Лекция

Информатика, кибернетика и программирование

Введение Интенсивное развитие глобальных компьютерных сетей появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Развитие глобальных сетей привело к многократному увеличению количества не только пользователей но и атак на компьютеры подключенные к сети Internet. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности в этой сети. В сфере компьютерных сетей межсетевой экран представляет...

Русский

2013-10-23

320.5 KB

34 чел.

25

PAGE  24

ГОСУДАРСТВЕННЫЙ УНИВЕРСИТЕТ ИНФОРМАЦИОННО-КОММУНИКАЦИОННЫХ ТЕХНОЛОГИЙ

Кафедра систем защиты информации

Н.Н. Блавацкая

ПРОГРАММНЫЕ СРЕДСТВА ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРЕДАЧИ ДАННЫХ В КОМПЬЮТЕРНЫХ СЕТЯХ

(Лекция № 4 для студентов )

                                                                                                                                (Время - 2 часа)

Форма обучения: дневная

Лекция рассмотрена и одобрена

на заседании кафедры систем защиты информации.

Протокол № ___ от «___» ___________ 2009 года

Киев – 2009


Тема лекции
:

«Программные средства обеспечения безопасности передачи данных в компьютерных сетях»

ПЛАН

Введение

  1.  Особенности функционирования меж сетевых экранов
  2.  Основные компоненты межсетевых экранов
  3.  Основные схемы сетевой защиты на базе межсетевых экранов
  4.  Типовые решения по применению межсетевых экранов для защиты информационных ресурсов

ЛИТЕРАТУРА

  1.  Соколов А.В., Шаньгин В.Ф. Защита информации в распределенных корпоративных сетях и системах.- М.: ДМК Пресс, 2002. – 656 с.
  2.  Биячуев Т.А. / под ред. Л.Г.Осовецкого Безопасность корпоративных сетей. – СПб: СПб ГУ ИТМО, 2004.- 161 с.


Введение

Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных.

Использование Internet имеет и негативные стороны. Развитие глобальных сетей привело к многократному увеличению количества не только пользователей, но и атак на компьютеры, подключенные к сети Internet. Ежегодные потери, обусловленные недостаточным уровнем защищенности компьютеров, оцениваются десятками миллионов долларов. При подключении к Internet локальной или корпоративной сети необходимо позаботиться об обеспечении информационной безопасности в этой сети.

Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет злоумышленникам значительно больше возможности по сравнению с традиционными информационными системами. Через Internet нарушитель может:

  •  вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;
  •  незаконно скопировать важную и ценную для предприятия информацию;
  •  получить пароли, адреса серверов, а подчас и их содержимое;
  •  входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.

С помощью полученной злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов.

Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны. В литературе до последнего времени использовались вместо этого названия другие термины иностранного происхождения: брандмауэр и firewall. Вне компьютерной сферы брандмауэром (или firewall) называют стену, сделанную из негорючих материалов и препятствующую распространению пожара. В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от «фигурального пожара» - попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или удалить информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней.


1. ОСОБЕННОСТИ ФУНКЦИОНИРОВАНИЯ МЕЖСЕТЕВЫХ ЭКРАНОВ

Межсетевой экран - это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую (рис. 1). Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это, ему необходимо определить набор правил фильтрации.

Межсетевой экран является одним из основных компонентов виртуальной частной сети. Несмотря на то что система IPSec поддерживает множество интегрированных возможностей аутентификации, межсетевой экран остается важным средством защиты корпоративной сети от несанкционированного доступа. Обычно межсетевые экраны защищают внутреннюю сеть предприятия от вторжений из глобальной сети Internet, однако могут использоваться и для защиты от нападений из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Однако для большинства коммерческих организаций установка межсетевого экрана - необходимое условие обеспечения безопасности внутренней сети. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других хостов внешней сети.

Проблемы недостаточной информационной безопасности являются «врожденными» практически для всех протоколов и служб Internet. Большая часть этих проблем связана с исторической зависимостью Internet от операционной системы UNIX. Поэтому особенности методологии программирования в среде UNIX и ее архитектуры наложили отпечаток на реализацию протоколов обмена и политики безопасности в сети. Из-за открытости и распространенности система UNIX стала любимой добычей хакеров. Поэтому набор протоколов TCP/IP, который обеспечивает коммуникации в глобальной сети Internet и в получающих все большую популярность интрасетях, имеет недостатки защиты. То же самое можно сказать и о ряде служб Internet.

Набор протоколов управления передачей сообщений в Internet (Transmission Control Protocol/Internet Protocol - TCP/IP) используется для организации коммуникаций в неоднородной сетевой среде, обеспечивая совместимость между компьютерами разных типов. Совместимость - одно из основных преимуществ TCP/ IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия.

В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих «вредоносных» пакетах, после чего они будут выглядеть как пакеты, передаваемые авторизированным клиентом.

Ряд распространенных служб Internet обладает «врожденными слабостями». К числу таких служб Internet относятся:

  •  программа электронной почты Sendmail;
  •  служба сетевых имен DNS;
  •  служба эмуляции удаленного терминала Telnet;
  •  Всемирная паутина WWW;
  •  простой протокол передачи электронной почты SMTP;
  •  протокол передачи файлов FTP;
  •  графическая оконная система X Windows и др.

Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, необходимо решить, будет ли ограничен доступ пользователей к определенным службам Internet на базе протоколов TCP/IP, и если будет, то до какой степени.

Политика сетевой безопасности каждой организации должна включать две составляющие:

  •  политику доступа к сетевым сервисам;
  •  политику реализации межсетевых экранов.

Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к сетевым сервисам. В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ. Задаются также ограничения на методы доступа, например на использование протоколов SLIP (Serial Line Internet Protocol) и РРР. Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к «запрещенным» сервисам Internet обходными путями. Например, если для ограничения доступа в Internet сетевой администратор устанавливает специальный шлюз, который не дает возможности пользователям работать в системе WWW, им не удастся установить РРР-соединение с Web-серверами по коммутируемой линии.

Межсетевой экран может реализовывать ряд политик доступа к сервисам. Однако обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:

  •  запретить доступ из Internet во внутреннюю сеть и разрешить доступ из внутренней сети в Internet;
  •  разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных «авторизированных» систем, например информационных и почтовых серверов.

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

  •  запрещать все, что не разрешено в явной форме;
  •  разрешать все, что не запрещено в явной форме.

Межсетевой экран, который реализует первый принцип, по умолчанию запрещает все сервисы, кроме тех, которые указаны в списке разрешенных. Этот принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности. Реализация межсетевого экрана на основе данного принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с ним, могут доставлять большие неудобства пользователям; кроме того, их реализация обходится достаточно дорого.

Межсетевой экран, который реализует второй принцип, пропускает все сервисы в сеть по умолчанию, если только какой-либо сервис не был явно указан в политике управления доступом как запрещенный. Реализация второго принципа менее желательна, так как она предоставляет пользователям больше способов обойти межсетевой экран, например пользователи могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, хотя пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.

Функциональные требования к МЭ охватывают следующие сферы:

  •  фильтрацию на сетевом уровне;
  •  фильтрацию на прикладном уровне;
  •  настройку правил фильтрации и администрирование;
  •  средства сетевой аутентификации;
  •  внедрение журналов и учет.

2. ОСНОВНЫЕ КОМПОНЕНТЫ МЕЖСЕТЕВЫХ ЭКРАНОВ

Большинство компонентов межсетевых экранов можно отнести к одной из трех категорий:

  •  фильтрующие маршрутизаторы;
  •  шлюзы сеансового уровня;
  •  шлюзы уровня приложений.

Эти категории можно рассматривать как базовые компоненты реальных межсетевых экранов. Лишь немногие МЭ включают лишь одну из перечисленных категорий. Тем не менее эти компоненты отражают ключевые возможности, отличающие межсетевые экраны друг от друга.

2.1. Фильтрующие маршрутизаторы

Фильтрующий маршрутизатор представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- и IP-заголовках пакетов.

Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы следующих полей заголовка пакета:

  •  IP-адрес отправителя (адрес системы, которая послала пакет);
  •  IP-адрес получателя (адрес системы, которая принимает пакет);
  •  порт отправителя (порт соединения в системе-отправителе);
  •  порт получателя (порт соединения в системе-получателе).

Порт - это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений. Идентифицируется 16-битовым числом.

В настоящее время не все фильтрующие маршрутизаторы фильтруют пакеты по TCP/UDP-порту отправителя, однако многие производители маршрутизаторов начали обеспечивать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации.

Фильтрация может быть реализована различным образом для блокирования соединений с определенными хост-компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех хост-компьютеров и сетей, которые считаются враждебными или ненадежными.

Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам обеспечивает большую гибкость. Известно, что такие серверы, как демон Telnet, обычно связаны с конкретными портами (например, порт 23 протокола Telnet). Если межсетевой экран способен блокировать соединения TCP или UDP с определенными портами или от них, то можно реализовать политику безопасности, при которой некоторые виды соединений устанавливаются лишь с конкретными хост-компьютерами.

Например, внутренняя сеть может блокировать все входные соединения со всеми хост-компьютерами за исключением нескольких систем. Для этих систем могут быть разрешены только определенные сервисы (SMTP для одной системы и Telnet или FTP - для другой). При фильтрации по портам TCP и UDP подобная политика может быть реализована фильтрующим маршрутизатором или хост-компьютером с возможностью фильтрации пакетов (рис. 2).

Правила фильтрации пакетов формулируются сложно, и обычно отсутствуют средства для проверки их корректности, кроме медленного ручного тестирования. У некоторых фильтрующих маршрутизаторов нет средств протоколирования, поэтому, если правила фильтрации пакетов все-таки позволят опасным пакетам пройти через маршрутизатор, такие пакеты не смогут быть выявлены до обнаружения последствий проникновения.

Даже если администратору сети удастся создать эффективные правила фильтрации, их возможности остаются ограниченными. Например, администратор задает правило, в соответствии с которым маршрутизатор будет отбраковывать все пакеты с неизвестным адресом отправителя. Однако хакер может использовать в качестве адреса отправителя в своем «вредоносном» пакете реальный адрес доверенного (авторизованного) клиента. В этом случае фильтрующий маршрутизатор не сумеет отличить поддельный пакет от настоящего и пропустит его. Практика показывает, что подобный вид нападения, называемый подменой адреса, довольно широко распространен в сети Internet и часто оказывается эффективным.

Межсетевой экран с фильтрацией пакетов, работающий только на сетевом уровне эталонной модели взаимодействия открытых систем OSI-ISO, обычно проверяет информацию, содержащуюся только в IP-заголовках пакетов. Поэтому обмануть его несложно: хакер создает заголовок, который удовлетворяет разрешающим правилам фильтрации. Кроме заголовка пакета, никакая другая содержащаяся в нем информация межсетевыми экранами данной категории не проверяется.

К положительным качествам фильтрующих маршрутизаторов следует отнести:

  •  сравнительно невысокую стоимость;
  •  гибкость в определении правил фильтрации;
  •  небольшую задержку при прохождении пакетов.

Недостатками фильтрующих маршрутизаторов являются:

  •  внутренняя сеть видна (маршрутизируется) из сети Internet;
  •  правила фильтрации пакетов трудны в описании и требуют очень хороших знаний технологий TCP и UDP;
  •  при нарушении работоспособности межсетевого экрана с фильтрацией пакетов все компьютеры за ним становятся полностью незащищенными либо недоступными;
  •  аутентификацию с использованием IP-адреса можно обмануть путем подмены IP-адреса (атакующая система выдает себя за другую, используя ее IP-адрес);
  •  отсутствует аутентификация на пользовательском уровне.

2.2. Шлюз сеансового уровня

Шлюз сеансового уровня представляет собой транслятор TCP-соединения. Этот шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа «один-много»). Используя различные порты, можно создавать различные конфигурации соединений. Данный тип шлюза позволяет создать транслятор TCP-соединения для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. Шлюз следит за подтверждением (квитированием) связи между авторизированным клиентом и внешним хостом, определяя, является ли запрашиваемый сеанс связи допустимым. Чтобы выявить допустимость запроса на сеанс связи, шлюз выполняет следующую процедуру. Когда авторизированный клиент запрашивает некоторый сервис, шлюз принимает этот запрос, проверяя, удовлетворяет ли данный клиент базовым критериям фильтрации (например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя). Затем, действуя от имени клиента, шлюз устанавливает соединение с внешним хостом и следит за выполнением процедуры квитирования связи по протоколу TCP. Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить) - рис. 3.

Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 1000, является запросом клиента на открытие сеанса. Внешний хост, получивший этот пакет, посылает в ответ другой, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете (в нашем случае 1001), подтверждая тем самым прием пакета SYN от клиента.

Далее осуществляется обратная процедура: хост посылает клиенту пакет SYN с исходным числом (например, 2000), а клиент подтверждает его получение передачей пакета АСК, содержащего число 2001. На этом процесс квитирования связи завершается.

Шлюз сеансового уровня признает запрошенное соединение допустимым только в том случае, если при выполнении процедуры квитирования связи флаги SYN и АСК, а также числа, содержащиеся в TCP-пакетах, оказываются логически связанными между собой.

После того как шлюз определил, что доверенный клиент и внешний хост являются авторизованными участниками сеанса TCP, и проверил его допустимость, он устанавливает соединение. Начиная с этого момента шлюз копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, зафиксированных в данной таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшуюся в текущем сеансе.

После установления связи шлюзы сеансового уровня фильтруют пакеты только на сеансовом уровне модели OSI, то есть не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ, и, поскольку эта передача осуществляется вслепую, хакер, находящийся во внешней сети, имеет возможность «протолкнуть» свои «вредоносные» пакеты через такой шлюз. Впоследствии нарушитель может уже напрямую обратиться к внутреннему Web-серверу, который сам по себе не способен выполнять функции межсетевого экрана. Иными словами, если процедура квитирования связи успешно завершена, шлюз сеансового уровня установит соединение и будет копировать и перенаправлять все последующие пакеты независимо от их содержимого.

Для того чтобы фильтровать пакеты, генерируемые определенными сетевыми службами, в соответствии с их содержимым необходим шлюз прикладного уровня.

2.3. Шлюзы уровня приложений

С целью защиты ряда уязвимых мест, присущих фильтрующим маршрутизаторам, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как Telnet и FTP. Подобное приложение называется уполномоченным (или proxy-службой), а хост, на котором работает proxy-служба - шлюзом уровня приложений (прикладным шлюзом). Шлюз уровня приложений исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне. Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания запрашиваемой услуги, пусть это будет Telnet, FTP, World Wide Web или электронная почта.

Для достижения более высокого уровня безопасности и гибкости шлюзы уровня приложений и фильтрующие маршрутизаторы могут быть объединены в межсетевом экране. В качестве примера рассмотрим сеть, где с помощью фильтрующего маршрутизатора блокируются входящие соединения Telnet и FTP. Этот маршрутизатор допускает прохождение пакетов Telnet или FTP только к одному хосту - шлюзу прикладного уровня Telnet/FTP (рис. 4). Внешний пользователь, который хочет соединиться с некоторой системой в сети, должен сначала соединиться со шлюзом прикладного уровня, а затем уже с нужным внутренним хостом. Это осуществляется следующим образом:

1. Внешний пользователь устанавливает Telnet-соединение со шлюзом прикладного уровня при помощи протокола Telnet и вводит имя интересующего его внутреннего хоста.

2. Шлюз проверяет IP-адрес отправителя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа.

3. Пользователю может потребоваться аутентификация (возможно, с помощью одноразовых паролей).

4. Сервер-посредник устанавливает Telnet-соединение между шлюзом и внутренним хостом.

5. Сервер-посредник осуществляет передачу информации между этими двумя соединениями.

6. Шлюз прикладного уровня протоколирует соединение.

Приведенный пример наглядно показывает преимущества использования уполномоченных приложений:

  •  уполномоченные приложения пропускают только те службы, которые им поручено обслуживать. Иначе говоря, если шлюз прикладного уровня наделен полномочиями (и уполномоченными приложениями) для служб FTP и Telnet, то в защищаемой сети будут разрешены только FTP и Telnet, а все другие службы полностью блокируются. Для некоторых организаций такой вид безопасности имеет большое значение, так как гарантирует, что через межсетевой экран будут пропускаться только службы, которые считаются безопасными;
  •  уполномоченные приложения обеспечивают возможность фильтрации протокола. Например, некоторые межсетевые экраны, использующие шлюзы прикладного уровня, могут фильтровать FTP-соединения и запрещать использование команды FTP put, что гарантированно не позволяет пользователям записывать информацию на анонимный РТР-сервер.

В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и - что особенно важно - предупреждают сетевого администратора о возможных нарушениях защиты. Шлюзы прикладного уровня позволяют обеспечить надежную защиту, поскольку взаимодействие с внешним миром реализуется через небольшое число уполномоченных приложений, полностью контролирующих весь входящий и исходящий трафик. Следует отметить, что шлюзы уровня приложений требуют отдельного приложения для каждого сетевого сервиса.

Шлюзы прикладного уровня имеют ряд преимуществ по сравнению с работающими в обычном режиме, при котором прикладной трафик пропускается непосредственно к внутренним хостам. Перечислим эти преимущества:

  •  невидимость структуры защищаемой сети из глобальной сети Internet. Имена внутренних систем можно не сообщать внешним системам через DNS, поскольку шлюз прикладного уровня может быть единственным хостом, имя которого должно быть известно внешним системам;
  •  надежная аутентификация и регистрация. Прикладной трафик может быть аутентифицирован, прежде чем он достигнет внутренних хостов, и зарегистрирован более эффективно, чем с помощью стандартной регистрации;
  •  приемлемое соотношение цены и эффективности. Дополнительные программные или аппаратные средства аутентификации или регистрации нужно устанавливать только на шлюзе прикладного уровня;
  •  простые правила фильтрации. Правила на фильтрующем маршрутизаторе оказываются менее сложными, чем на маршрутизаторе, который самостоятельно фильтровал бы прикладной трафик и отправлял его большому числу внутренних систем. Маршрутизатор должен пропускать прикладной трафик, предназначенный только для шлюза прикладного уровня, и блокировать весь остальной;
  •  возможность организации большого числа проверок. Защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, что снижает вероятность взлома с использованием «дыр» в программном обеспечении.

К недостаткам шлюзов уровня приложений относятся:

  •  относительно низкая производительность по сравнению с фильтрующими маршрутизаторами. В частности, при использовании клиент-серверных протоколов, таких как Telnet, требуется двушаговая процедура для входных и выходных соединений;
  •  более высокая стоимость по сравнению с фильтрующими маршрутизаторами.

Помимо Telnet и FTP шлюзы прикладного уровня обычно используются для электронной почты, X Windows и некоторых других служб.

2.4. Усиленная аутентификация

Одним из важных компонентов концепции межсетевых экранов является аутентификация (проверка подлинности пользователя). Прежде чем пользователю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он действительно тот, за кого себя выдает. Предполагается, что сервис для данного пользователя разрешен. Процесс определения, какие сервисы разрешены конкретному пользователю, называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы.

При получении запроса на использование сервиса от имени какого-либо пользователя межсетевой экран проверяет, какой способ аутентификации определен для данного субъекта и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран образует запрашиваемое пользователем соединение.

При реализации процесса аутентификации, как правило, применяется принцип, получивший название «что он знает»; пользователю известно некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Один из способов аутентификации - использование традиционных UNIX-паролей, однако эта схема наиболее уязвима с точки зрения безопасности: пароль может быть перехвачен и задействован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехватывать передающиеся в них открытым текстом пароли, поэтому схему аутентификации с традиционными паролями следует признать устаревшей.

Для преодоления указанного недостатка разработан ряд средств усиленной аутентификации: смарт-карты, персональные жетоны, биометрические механизмы и т.п. Хотя там задействованы разные механизмы аутентификации, общим для них является то, что пароли, генерируемые этими устройствами, не могут быть повторно использованы нарушителем, наблюдающим за установлением связи. Поскольку проблема с паролями в сети Internet является постоянной, межсетевой экран для соединения с Internet, не располагающий средствами усиленной аутентификации или не использующий их, теряет всякий смысл.

Ряд наиболее популярных средств усиленной аутентификации, применяемых в настоящее время, получил название системы с одноразовыми паролями. Для генерации одноразовых паролей используются как программные, так и аппаратные средства - последние представляют собой устройства, вставляемые в слот компьютера. Знание секретной информации необходимо пользователю для приведения такого устройства в действие. Например, смарт-карты или жетоны аутентификации генерируют информацию, которую хост использует вместо традиционного пароля. Поскольку смарт-карта или жетон работают вместе с аппаратным и программным обеспечением хоста, генерируемый пароль уникален для каждого установления сеанса. Результатом является одноразовый пароль, который, даже если он перехватывается, не может быть использован злоумышленником под видом пользователя для установления сеанса с хостом. Этот пароль будет бесполезен при последующей аутентификации, а вычислить следующий пароль из предыдущего крайне трудно.

Так как межсетевые экраны могут централизовать управление доступом в сети, они являются подходящим местом установки программ или устройств усиленной аутентификации. Хотя средства усиленной аутентификации могут использоваться на каждом хосте, более практично их размещение на межсетевом экране. При отсутствии МЭ, использующего меры усиленной аутентификации, неаутентифицированный трафик таких приложений, как Telnet или FTP, может напрямую проходить к внутренним системам в сети. Если хосты не применяют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или перехватить сетевой трафик с целью найти там сеансы, в ходе которых передаются пароли.

На рис. 5 показана сеть с межсетевым экраном, использующим усиленную аутентификацию. В этом случае сеансы Telnet или FTP, устанавливаемые со стороны Internet с системами сети, должны проходить проверку с помощью средств усиленной аутентификации, прежде чем будут разрешены. Системы сети могут запрашивать для разрешения доступа и статические пароли, но их - даже если они будут перехвачены злоумышленником - нельзя будет использовать, так как средства усиленной аутентификации и другие компоненты межсетевого экрана предотвращают проникновение атакующих или обход ими межсетевого экрана.

Ряд межсетевых экранов поддерживает Kerberos - один из распространенных методов аутентификации. Как правило, большинство коммерческих межсетевых экранов поддерживает несколько различных схем аутентификации, позволяя администратору сетевой безопасности сделать выбор наиболее приемлемой в сложившихся условиях.

2.5. Администрирование и система сбора статистики

Легкость администрирования - один из ключевых аспектов создания эффективной и надежной системы защиты. Ошибки при определении правил доступа ведут к образованию «дыры», через которую может быть взломана система. Поэтому в большинстве межсетевых экранов реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактировать правила. Обычно эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям, например, все, что относится к конкретному пользователю или сервису.

Еще одним важным компонентом межсетевых экранов является система сбора статистики и предупреждения об атаке. Если весь доступ к Internet и из Internet осуществляется через межсетевой экран, то последний может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе фиксации сигналов о подозрительных событиях (alarm) межсетевой экран может дать детальную информацию о том, были ли МЭ или сеть атакованы или зондированы. Собирать статистику использования сети и доказательства зондирования важно по ряду причин. Прежде всего, нужно знать наверняка, что межсетевой экран устойчив к зондированию и атакам, и определить, адекватны ли меры защиты МЭ. Кроме того, статистика использования сети важна в качестве исходных данных при проведении исследований и анализе риска для формулирования требований к сетевому оборудованию и программам.

Информация обо всех событиях-отказах, входящих, выходящих соединениях, числе переданных байтов, использовавшихся сервисах, времени соединения и т.д. накапливается в файлах статистики. Многие межсетевые экраны позволяют гибко определять подлежащие протоколированию события, фиксировать действия межсетевого экрана при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора будет чрезвычайно полезным, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих межсетевых экранов входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по применению сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.

3. ОСНОВНЫЕ СХЕМЫ СЕТЕВОЙ ЗАЩИТЫ НА БАЗЕ МЕЖСЕТЕВЫХ ЭКРАНОВ

При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

  •  защита корпоративной или локальной сети от несанкционированного удаленного доступа со стороны глобальной сети;
  •  скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
  •  разграничение доступа в защищаемую сеть из глобальной и из защищаемой сети в глобальную.

Необходимость работы с удаленными пользователями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом в организации часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:

  •  свободно доступные сегменты (например, рекламный WWW-сервер);
  •  сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);
  •  закрытые сегменты (например, финансовая локальная подсеть организации).

Для защиты корпоративной или локальной сети применяются следующие основные схемы организации межсетевых экранов:

  •  межсетевой экран - фильтрующий маршрутизатор;
  •  межсетевой экран на основе двупортового шлюза;
  •  межсетевой экран на основе экранированного шлюза;
  •  межсетевой экран - экранированная подсеть.

3.1. Межсетевой экран – фильтрующий маршрутизатор

Межсетевой экран, основанный на фильтрации пакетов, является самым распространенным и наиболее простым в реализации. Он состоит из фильтрующего маршрутизатора, расположенного между защищаемой сетью и Internet (рис. 6).

Фильтрующий маршрутизатор сконфигурирован для блокирования или фильтрации входящих и исходящих пакетов на основе анализа их адресов и портов.

Компьютеры, находящиеся в защищаемой сети, имеют прямой доступ в Internet, в то время как большая часть доступа к ним из Internet блокируется. Часто блокируются такие опасные службы, как X Windows, NIS и NFS. В принципе фильтрующий маршрутизатор может реализовать любую из политик безопасности, описанных ранее. Однако если маршрутизатор не фильтрует пакеты по порту источника и номеру входного и выходного порта, то реализация политики «запрещено все, что не разрешено в явной форме» может быть затруднена.

Межсетевые экраны, основанные на фильтрации пакетов, имеют те же недостатки, что и фильтрующие маршрутизаторы, причем эти недочеты становятся более ощутимыми при ужесточении требований к безопасности защищаемой сети. Отметим некоторые из них:

  •  сложность правил фильтрации. В некоторых случаях их совокупность может стать неуправляемой;
  •  невозможность полного тестирования правил фильтрации. Это приводит к незащищенности сети от непротестированных атак;
  •  практически отсутствующие возможности регистрации событий. В результате администратору трудно определить, подвергался ли маршрутизатор атаке и скомпрометирован ли он;
  •  каждый хост-компьютер, связанный с сетью Internet, нуждается в своих средствах усиленной аутентификации.

3.2. Межсетевой экран на основе двупортового шлюза

Межсетевой экран на базе двупортового прикладного шлюза включает двудомный хост с двумя сетевыми интерфейсами. При передаче информации между этими интерфейсами и осуществляется основная фильтрация. Для обеспечения дополнительной защиты между прикладным шлюзом и сетью Internet обычно размещают фильтрующий маршрутизатор (рис. 7). В результате между прикладным шлюзом и маршрутизатором образуется внутренняя экранированная подсеть. Ее можно использовать для размещения доступного извне информационного сервера. Такое размещение информационного сервера увеличивает безопасность сети, поскольку даже при проникновении на него злоумышленник не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.

В отличие от схемы межсетевого экрана с фильтрующим маршрутизатором, прикладной шлюз полностью блокирует трафик IP между Internet и защищаемой сетью. Только уполномоченные приложения, располагаемые на прикладном шлюзе, могут предоставлять услуги и доступ пользователям.

Данный вариант межсетевого экрана реализует политику безопасности, основанную на принципе «запрещено все, что не разрешено в явной форме»; при этом пользователю недоступны все службы, кроме тех. для которых определены соответствующие полномочия. Такой подход обеспечивает высокий уровень безопасности, поскольку маршруты к защищенной подсети известны только межсетевому экрану и скрыты от внешних систем.

Рассматриваемая схема организации межсетевого экрана относительно проста и достаточно эффективна.

Следует отметить, что безопасность двудомного хоста, используемого в качестве прикладного шлюза, должна поддерживаться на высоком уровне. Любая брешь в его защите может серьезно ослабить безопасность защищаемой сети. Если шлюз окажется скомпрометированным, у злоумышленника появится возможность проникнуть в защищаемую сеть.

Так как межсетевой экран использует хост, то на нем могут быть установлены программы для усиленной аутентификации пользователей. Межсетевой экран может также протоколировать доступ, попытки зондирования и атак системы, что позволит выявить действия злоумышленников.

Для некоторых сетей гибкость схемы межсетевого экрана с прикладным шлюзом может оказаться недостаточной.

3.3. Межсетевой экран на основе экранированного шлюза

Межсетевой экран на основе экранированного шлюза обладает большей гибкостью по сравнению с межсетевым экраном, построенным на основе шлюза с двумя интерфейсами, хотя эта гибкость достигается ценой некоторого уменьшения безопасности. Межсетевой экран объединяет фильтрующий маршрутизатор и прикладной шлюз, размещаемый со стороны внутренней сети. Прикладной шлюз реализуется на хосте и имеет только один сетевой интерфейс (рис. 8).

В этой схеме первичная безопасность обеспечивается фильтрующим маршрутизатором. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренних систем. Пакетная фильтрация в фильтрующем маршрутизаторе может быть реализована одним из следующих способов:

  •  внутренним хостам позволяется открывать соединения с хостами в сети Internet для определенных сервисов (доступ к ним разрешается средствами пакетной фильтрации);
  •  запрещаются все соединения от внутренних хостов (им надлежит использовать уполномоченные приложения на прикладном шлюзе).

В такой конфигурации межсетевой экран может реализовывать комбинацию двух политик, соотношение между которыми зависит от конкретной политики безопасности, принятой во внутренней сети. В частности, пакетная фильтрация на фильтрующем маршрутизаторе может быть организована таким образом, чтобы прикладной шлюз, используя свои уполномоченные приложения, обеспечивал для систем защищаемой сети сервисы типа Telnet, FTP, SMTP.

Дополнительная гибкость брандмауэра с изолированным хостом обусловливается двумя обстоятельствами. Во-первых, имеются не одна, а две системы - маршрутизатор и прикладной шлюз, которые нужно конфигурировать. Во-вторых, маршрутизатору нужно ограничивать трафик только для прикладного шлюза, поэтому правила фильтрации пакетов могут оказаться не такими сложными, как при использовании межсетевого экрана с фильтрацией пакетов. Недостаток состоит в том, что подобная гибкость делает возможным нарушение политики (что верно и для межсетевого экрана с фильтрацией пакетов). Данная проблема менее серьезна для МЭ с двумя интерфейсами, так как технически нереально передать трафик при отсутствии соответствующего proxy-сервиса. Для обеспечения безопасности межсетевого экрана на основе экранированного шлюза нужна строгая политика безопасности.

Основной недостаток схемы межсетевого экрана с экранированным шлюзом заключается в том, что если атакующий нарушитель сумеет проникнуть в хост, то перед ним окажутся незащищенные системы внутренней сети. Другой недостаток связан с возможной компрометацией маршрутизатора. Если маршрутизатор окажется скомпрометированным, внутренняя сеть станет доступна атакующему нарушителю.

По этим причинам в настоящее время все более популярной становится схема межсетевого экрана с экранированной подсетью.

3.4. Межсетевой экран – экранированная подсеть

Межсетевой экран, состоящий из экранированной подсети, представляет собой развитие схемы межсетевого экрана на основе экранированного шлюза. Для создания экранированной подсети используются два экранирующих маршрутизатора (рис. 9). Внешний маршрутизатор располагается между Internet и экранируемой подсетью, а внутренний - между экранируемой подсетью и защищаемой внутренней сетью. Экранируемая подсеть содержит прикладной шлюз, а также может включать информационные серверы и другие системы, требующие контролируемого доступа. Эта схема межсетевого экрана обеспечивает хорошую безопасность благодаря организации экранированной подсети, которая еще лучше изолирует внутреннюю защищаемую сеть от Internet.

Внешний маршрутизатор защищает от вторжений из Internet как экранированную подсеть, так и внутреннюю сеть. Он должен пересылать трафик согласно следующим правилам:

  •  разрешается трафик от объектов Internet к прикладному шлюзу;
  •  разрешается трафик от прикладного шлюза к Internet;
  •  разрешается трафик электронной почты от Internet к серверу электронной почты;
  •  разрешается трафик электронной почты от сервера электронной почты к Internet;
  •  разрешается трафик FTP, Gopher и т.д. от Internet к информационному серверу;
  •  запрещается остальной трафик.

Внешний маршрутизатор запрещает доступ из Internet к системам внутренней сети и блокирует весь трафик к Internet, идущий от систем, которые не должны являться инициаторами соединений (в частности, информационный сервер и др.). Этот маршрутизатор может быть использован также для блокирования других уязвимых протоколов, которые не должны передаваться к хост-компьютерам внутренней сети или от них.

Внутренний маршрутизатор защищает внутреннюю сеть как от Internet, так и от экранированной подсети (в случае ее компрометации). Внутренний маршрутизатор осуществляет большую часть пакетной фильтрации. Он управляет трафиком к системам внутренней сети и от них в соответствии со следующими правилами:

  •  разрешается трафик от прикладного шлюза к системам сети;
  •  разрешается прикладной трафик от систем сети к прикладному шлюзу;
  •  разрешается трафик электронной почты от сервера электронной почты к системам сети;
  •  разрешается трафик электронной почты от систем сети к серверу электронной почты;
  •  разрешается трафик FTP, Gopher и т.д. от систем сети к информационному серверу;
  •  запрещается остальной трафик.

Чтобы проникнуть во внутреннюю сеть при такой схеме межсетевого экрана, атакующему нужно пройти два фильтрующих маршрутизатора. Даже если атакующий каким-то образом проник в хост прикладного шлюза, он должен еще преодолеть внутренний фильтрующий маршрутизатор. Таким образом, ни одна система внутренней сети не достижима непосредственно из Internet, и наоборот. Кроме того, четкое разделение функций между маршрутизаторами и прикладным шлюзом позволяет достичь более высокой пропускной способности.

Прикладной шлюз может включать программы усиленной аутентификации.

Межсетевой экран с экранированной подсетью хорошо подходит для защиты сетей с большими объемами трафика или с высокими скоростями обмена.

Межсетевой экран с экранированной подсетью имеет и недостатки:

  •  пара фильтрующих маршрутизаторов нуждается в большом внимании Для обеспечения необходимого уровня безопасности, поскольку из-за ошибок при их конфигурировании могут возникнуть провалы в безопасности всей сети;
  •  существует принципиальная возможность доступа в обход прикладного шлюза.

3.5. Применение межсетевых экранов для организации виртуальных корпоративных сетей

Межсетевые экраны используются при организации защищенных виртуальных корпоративных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в одну защищенную виртуальную корпоративную сеть (рис. 10). Передача данных между этими локальными сетями производится прозрачным образом для пользователей. Конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п. При передаче данных могут шифроваться не только содержимое пакета, но и некоторые поля заголовка.

Вопросы применения межсетевых экранов в рамках комплексного решения проблем обеспечения информационной безопасности корпоративных сетей подробно рассматриваются в следующих главах.

Проблемы, связанные с межсетевыми экранами

Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Кроме описанных выше достоинств межсетевых экранов, существует ряд ограничений в их использовании и ряд угроз безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении МЭ.

Большое количество остающихся уязвимых мест. Межсетевые экраны не защищают от черных входов (люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную межсетевым экраном, атакующие могут эффективно обойти межсетевой экран. Сейчас скорости модемов достаточны для того, чтобы сделать возможным использование SLIP и РРР; SLIP- или РРР-соединение внутри защищенной сети, по сути, является еще одним соединением с сетью и потенциальным уязвимым местом.

Плохая защита от атак своих сотрудников. Межсетевые экраны обычно не обеспечивают защиты от внутренних угроз. Хотя межсетевой экран может защитить организацию от получения посторонними лицами критических данных, он не исключает копирования своими сотрудниками данных на ленту или дискету и выноса за пределы сети. Поэтому, было бы ошибкой думать, что наличие межсетевого экрана защищает от атак изнутри.

Ограничение в доступе к нужным сервисам. Самый очевидный недостаток межсетевого экрана заключается в том, что он может блокировать ряд сервисов, которые применяют пользователи, - Telnet, FTP, X Windows, NFS и др. Тем не менее эти недостатки присущи не только межсетевым экранам; сетевой доступ может также ограничиваться при защите на уровне хостов в соответствии с применяемой политикой безопасности. Только хорошо продуманная политика безопасности, в которой найден баланс между требованиями безопасности и потребностями пользователей, существенно помогает при решении проблем, возникающих из-за ограничений в доступе к службам.

Некоторые сети могут иметь топологию, которая не позволяет применять межсетевой экран или использовать сервисы типа NFS так, чтобы применение межсетевого экрана не потребовало серьезных ограничений при работе в сети. Например, в сети может потребоваться использование NFS и NIS через основные маршрутизаторы. В такой ситуации затраты на установку межсетевого экрана нужно сравнить с ущербом, который понесет организация от атаки на уязвимые места, защищаемые межсетевым экраном, то есть нужно провести анализ риска, а затем принять решение на основании полученных результатов.

Концентрация средств обеспечения безопасности в одном месте. Система межсетевого экрана концентрирует безопасность в одном месте («все яйца в одной корзине»), а не распределяет ее среди группы систем. Компрометация брандмауэра может иметь катастрофические последствия для плохо защищенных систем в подсети.

Возможное ограничение пропускной способности. Межсетевые экраны являются потенциально узким местом, так как все соединения должны проходить через межсетевой экран и в некоторых случаях - изучаться им. Тем не менее сегодня это не является проблемой, так как межсетевые экраны могут обрабатывать данные со скоростью 1,5 Мбит/с, а большинство сетей имеют подключение к Internet со скоростью меньшей или равной этой.

С межсетевым экраном связан также ряд других проблем:

  •  информационные серверы и клиенты, такие как WWW, Gopher, WAIS и ряд других, не рассчитаны на совместную работу с МЭ. Существует потенциальная возможность атак с помощью передачи специальных данных, в результате чего обрабатываемые клиентом данные будут содержать команды клиенту, которые могут заставить его изменить параметры средств управления доступом или модифицировать важные файлы, связанные с защитой его машины;
  •  передачи типа MBONE, содержащие речь и изображение, инкапсулируются в других пакетах. Межсетевые экраны обычно пропускают эти пакеты, не проверяя их содержимое. Передачи типа MBONE представляют потенциальную угрозу, если пакеты содержат команды, изменяющие параметры работы средств защиты и позволяющие злоумышленникам получить доступ;
  •  межсетевые экраны не защищают от зараженных вирусами программ для ПЭВМ, загружаемых из архивов Internet или передаваемых в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты множеством способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов. Проблема вирусов будет оставаться и должна быть решена с помощью других антивирусных мер защиты.

Для защиты информационных ресурсов распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

4. ТИПОВЫЕ РЕШЕНИЯ ПО ПРИМЕНЕНИЮ МЕЖСЕТЕВЫХ ЭКРАНОВ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИОННЫХ РЕСУРСОВ

Полнофункциональная защита корпоративной сети должна обеспечить:

  •  безопасное взаимодействие пользователей и информационных ресурсов, расположенных в extranet- и intranet-сетях, с внешними сетями, например Internet;
  •  технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;
  •  иерархическую систему защиты, предоставляющую адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Такую защиту можно обеспечить при помощи технологии межсетевых экранов, или firewall, то есть на основе сертифицированных отечественных МЭ и совместимых с ними зарубежных продуктов, реализующих технологии безопасного взаимодействия с внешней средой.

Характер современной обработки данных в корпоративных системах Internet/intranet требует наличия у МЭ следующих основных качеств:

  •  мобильность и масштабируемость относительно различных аппаратно-программных платформ;
  •  возможность интеграции с аппаратно-программными средствами других производителей;
  •  простота установки, конфигурирования и эксплуатации;
  •  управление в соответствии с централизованной политикой безопасности.

В зависимости от масштабов организации и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны, отличающиеся по степени функциональности и стоимости. Для небольших предприятий, использующих до десятка узлов, подойдут МЭ с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления, например CyberWall WS/SV. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными МЭ, поддержку NAT и VPN (Cisco, FW-1, AXENT). По мере расширения компании можно легко наращивать возможности установленной ранее системы и переходить к централизованному управлению системой защиты информации от несанкционированного доступа (НСД).

Защита внутренних критичных ресурсов корпоративной сети от НСД

В современных условиях более 50% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, поэтому классический «периметровый» подход к созданию системы защиты корпоративной сети становится недостаточно эффективным. Корпоративную сеть можно считать действительно защищенной от НСД только при наличии в ней как средств защиты точек входа со стороны Internet, так и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия.

Безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети наилучшим образом обеспечивают решения на основе распределенных или персональных межсетевых экранов.

Внутренние корпоративные серверы компании, как правило, представляют собой приложения под управлением операционной системы Windows NT/2000, Netware или, реже, семейства UNIX, например Linux или BSD 4.0/4.1. По этой причине корпоративные серверы становятся потенциально уязвимыми для различного рода атак. Например, широко распространенные серверы под управлением ОС Windows NT/2000 находятся выше стека протоколов сервера NT. Между тем данная ОС не проводит мониторинг и регистрацию событий в сети, не выявляет подозрительную активность в ней и не блокирует множество входящих и исходящих соединений. Недостаток функций контроля доступа и обнаружения вторжений открывает ОС корпоративных серверов, а соответственно и их приложения, для различного рода атак, например атак DoS («отказ в обслуживании»), а также внедрения «троянских коней» и подбора пароля.

Даже если сервер компании защищен стандартными средствами, это не предотвратит попытки нарушения безопасности самой операционной системы. Если злоумышленник, используя DoS-атаку, блокирует сервер, то автоматически блокируется и приложение. В результате компания начинает нести убытки, связанные с нарушением работоспособности своей сети. Именно поэтому необходимы специальные защитные механизмы для защиты внутренних серверов компании от внешних атак.

Классическая схема защиты корпоративных серверов

Простейший способ защиты серверов — установка между серверами и Internet межсетевого экрана, например Firewall-1 компании Checkpoint или Cisco PIX компании Cisco (рис. 11).

При правильной конфигурации большинство межсетевых экранов может защитить внутренние серверы от внешних злоумышленников, а некоторые даже выявляют и предотвращают атаки типа «отказ в обслуживании». Тем не менее, этот подход не лишен некоторых недостатков. Когда корпоративные серверы защищены одним единственным межсетевым экраном, все правила контроля доступа и верифицированные данные оказываются сосредоточенными в одном месте. Таким образом, межсетевой экран становится «узким местом» и по мере возрастания нагрузки значительно теряет в производительности. Конечно, он может быть дополнен программным обеспечением, балансирующим нагрузку (например, FloodGate компании Checkpoint), и многопроцессорными модулями, но подобные преобразования усложняют систему и повышают ее стоимость.

Децентрализованная защита корпоративных серверов

Альтернатива предыдущей схемы — установка межсетевого экрана Firewall-1 компании Checkpoint или Cisco PIX компании Cisco перед каждым сервером (рис. 12). В результате того, что межсетевой экран становится выделенным ресурсом сервера, решается проблема «узкого места» и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети.

Однако и данный подход нельзя назвать идеальным. Система из десяти серверов потребовала бы столько же лицензированных конфигураций межсетевых экранов, работающих на десяти аппаратных платформах с таким же количеством операционных систем, требующих администрирования и обслуживания. Соответственно, на порядок возрастают величина издержек, сложность администрирования и частота отказов. Даже если учесть, что влияние отказа отдельного межсетевого экрана сокращается в результате демонтажа лишь одной системы вместо десяти, среднее время наработки на отказ для общего количества продуктов Firewall оказывается в десять раз ниже, чем для одного. Например, если в сервере отказ аппаратного обеспечения происходит в среднем один раз за двадцать месяцев, то при использовании десяти серверов этот промежуток времени сокращается до двух месяцев.

Использование распределенных межсетевых экранов для защиты корпоративных серверов

Наиболее подходящим решением проблемы защиты корпоративных серверов служит размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта задача выполняется путем использования распределенных или персональных межсетевых экранов, например CyberwallPLUS компании Network 1 (рис. 13). Данные решения существенно дополняют функциональные возможности традиционных (периметровых) межсетевых экранов и могут использоваться для защиты как внутренних, так и Internet-серверов.

В отличие от традиционных МЭ, представляющих собой, как правило, локальные «контрольные точки» контроля доступа к критическим информационным ресурсам корпорации, распределенные межсетевые экраны являются дополнительным программным обеспечением, которое надежно защищает корпоративные сервера, например Internet-сервер.

Сравним традиционный и распределенный межсетевые экраны по нескольким показателям.

Эффективность. Традиционный МЭ часто располагается по периметру сети, обеспечивая лишь один слой защиты. Если этот единственный слой нарушен, система оказывается не защищенной от любых атак. Персональный МЭ функционирует на уровне ядра операционной системы и надежно защищает корпоративные сервера, проверяя все входящие и исходящие пакеты.

Простота установки. Традиционный МЭ должен устанавливаться как часть конфигурации корпоративной сети. Распределенный МЭ представляет собой программное обеспечение, которое устанавливается и удаляется в считанные минуты.

Управление. Традиционный МЭ управляется сетевым администратором. Распределенный МЭ может управляться либо сетевым администратором, либо пользователем локальной сети.

Производительность. Традиционный МЭ является устройством обеспечения межсетевого обмена с фиксированным ограничением производительности по пакетам в секунду и не подходит для растущих серверных парков, соединенных друг с другом коммутированными местными сетями. Распределенный МЭ позволяет наращивать серверные парки без ущерба принятой политике безопасности. Несмотря на то что встроенный МЭ в определенной мере загружается с центрального процессора хоста, обработка правил безопасности распространяется на всех участников серверного парка, допуская неограниченный рост сети.

Стоимость. Традиционные МЭ, как правило, являются системами с фиксированными функциями и достаточно высокой стоимостью. Распределенные продукты МЭ представляют собой программное обеспечение, которое стоит, как правило, от 1/5 до 1/10 цены традиционных экранов.

Технология распределенных экранов появилась сравнительно недавно, поэтому, рассматривая ниже возможные решения на примере МЭ CyberwallPLUS, остановимся более подробно на возможностях этого продукта. Данный межсетевой экран сочетает в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работает в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Несанкционированные виды деятельности, такие как попытки взлома и НСД, блокируются этим экраном до перехода на уровень приложений сервера.

Отметим основные преимущества распределенных МЭ для защиты Internet-серверов:

  •  обеспечение безопасности входящего и исходящего трафика на всех NIC, закрепленных за сервером;
  •  обеспечение масштабируемой архитектуры путем распространения безопасности МЭ на многочисленные серверы;
  •  устранение традиционного продукта МЭ как единственного места сбоев;
  •  обеспечение недорогого, легкого в реализации и управлении решения безопасности (программное обеспечение сервера в сравнении с сетевым аппаратным обеспечением).

Следует отметить, что МЭ CyberwallPLUS SV использует уникальную структуру безопасности и, обеспечивая присутствие двух ее ключевых элементов -функций контроля доступа к ресурсам сети и активного обнаружения вторжений, - защищает операционную систему Windows NT от попыток нарушения защиты. Ядро безопасности МЭ CyberwallPLUS SV расположено между сетевой картой сервера и стеком протоколов - ниже, чем защищаемые приложения.

Для обеспечения безопасности NT-приложений, таких как корпоративные серверы, рекомендуется защитить доступ к ним через операционную систему. МЭ CyberwallPLUS SV позволяет закрыть все неиспользуемые порты, ограничивая тем самым доступ к NT-приложениям и сервисам. Те или иные сервисы могут иметь специфические сетевые адреса для направления (входящий/исходящий) и для времени (дата, время Windows), которые обеспечивают определяемую базу правил контроля доступа.

МЭ CyberwallPLUS SV также обеспечивает активное обнаружение вторжений для NT-системы, защищая ее от атак и сканирования. Наиболее легкий путь негативного воздействия на Internet-сервер - блокирование NT-сервера, на котором находится приложение. Обычно это делается посредством DoS-атаки, при которой поток пакетов, отправленных к серверу, перегружает память и нарушает работоспособность. Примером нарушения защиты также служат атаки типа Ping Flood и SYN Flood. Другим способом нарушения защиты Internet-сервера является сканирование NT-сервера на наличие backdoor, или открытого порта. Обычно это называется сканированием TCP- или UDP-портов.

МЭ CyberwallPLUS SV предотвращает DoS-атаки и сканирование портов, конфигурируя систему безопасности, например ограничивая число обращений к серверу или SYN ACKs за заданный отрезок времени. Установки также определяют количество портов, которые могут быть использованы (опробованы) в течение некоторого отрезка времени. Если эти условия нарушаются, МЭ CyberwallPLUS SV может прервать соединение, записать нарушение и сообщить о нем администратору по электронной почте. В результате доступ к корпоративным серверам для различного рода злоумышленников надежно блокируется.

Таким образом, межсетевые экраны CyberwallPLUS обеспечивают дополнительный уровень защиты платформ под управлением операционной системы Windows NT/2000, на которых установлены корпоративные приложения, например Internet-сервер. Кроме того, МЭ CyberwallPLUS SV может предотвратить применение известных типов атак для вторжений на критичные серверы компании и сообщить администратору безопасности о подозрительной деятельности в сети.

Характерные особенности типовых решений

Как видно из приведенных выше примеров, во всех технологических решениях используется масштабируемый ряд межсетевых экранов, который:

  •  защищает передаваемую информацию независимо от средств и среды передачи данных (спутниковые каналы, оптические линии связи, телефонные соединения, радиорелейные линии);
  •  выполняет защиту любых приложений, не требуя их изменений;
  •  прозрачен для конечных пользователей;
  •  позволяет реализовать масштабируемые системы защиты с возможностью дальнейшего их наращивания и усложнения по мере роста организаций и совершенствования требований политики безопасности;
  •  защищает отдельные сетевые информационные системы и приложения независимо от топологии сетей, которые они используют;
  •  
  •  защищает информационную систему предприятия от атак из внешней среды;
  •  защищает информацию от перехвата и изменения не только на внешних открытых соединениях, но и во внутренних сетях корпорации;
  •  может быть легко переконфигурирован по мере развития корпоративной политики информационной безопасности, добавления ресурсов, обновления технологий, роста сети корпорации.

Возможности дальнейшего применения технологии межсетевых экранов в корпоративных сетях организаций

Используя перечисленный выше набор межсетевых экранов, корпоративные организации могут развивать комплексное применение МЭ- и VPN-технологий для защиты целого ряда используемых и планируемых к использованию информационных систем:

  •  информационно-аналитических систем и систем автоматизации предприятий;
  •  финансовых систем;
  •  распределенных баз данных;
  •  систем взаимодействия с партнерами по бизнесу (электронная коммерция В2В);
  •  систем удаленного доступа работников к внутренним ресурсам через открытые сети и Internet в режиме реального времени из любой точки мира;
  •  системы корпоративной электронной почты;
  •  информационных ресурсов удаленного или мобильного пользователя;
  •  сегментов корпоративной сети;
  •  корпоративной сети в целом;
  •  периметра, закрывающего корпоративную сеть головного офиса и его распределенных филиалов.

Рис. 13. Оптимальная схема защиты корпоративных серверов

Рис. 12. Схема децентрализованной защиты корпоративных серверов

Рис. 11. Классическая схема защиты корпоративных серверов

Рис. 10. Схемы виртуальной корпоративной сети

Рис. 9. Межсетевой экран – экранированная подсеть

Рис. 8. Межсетевой экран с экранированным шлюзом

Рис. 7. Межсетевой экран с прикладным шлюзом и фильтрующим маршрутизатором

Рис. 6. Межсетевой экран на основе фильтрующего маршрутизатора

Рис. 5. Схема использования усиленной аутентицикации в меж сетевом экране для предварительной аутентицикации трафика Telnet, FTP

Рис. 4. Виртуальные соединения, реализуемые с помощью прикладного шлюза и proxy-средств

Рис. 3. Последовательность передачи пакетов SYN и ACK в процессе квитирования связи по протоколу TCP

Рис. 2. Схема фильтрации трафика SMTP и Telnet

Рис. 1. Схема подключения межсетевого экрана


 

А также другие работы, которые могут Вас заинтересовать

58045. Квадратична функція і її графік 82 KB
  Мета: розглянути побудову графіка функції y=x2bxc та її властивості використовуючи графік функції y = x2 навчитись знаходити значення функції значення аргументу розвивати вміння увагу й систематизувати вивчений матеріал; розвивати графічну грамотність.
58046. Урок – игра «Бизнес». Квадратные уравнения 56 KB
  Цель: Повторить, обобщить и систематизировать знания, умения и навыки по теме « Квадратные уравнения»; Развивать: самостоятельность, творчество, инициативу, работать в заданном темпе; Воспитать: аккуратность, настойчивость и прилежания в работе...
58047. Додавання, віднімання, порівняння та округлення десяткових дробів 61.5 KB
  Мета: Повторити основні поняття з теми: «Десяткові дроби. Додавання, віднімання, порівняння та округлення десяткових дробів» при розв’язанні задач; Звернути увагу на практичний вміст математичних задач; Сприяти розвитку творчих здібностей учнів та їх естетичного сприйняття.
58048. Стихійні явища природи. Екологічні проблеми. Природоохоронні території Африки 63.5 KB
  Мета. Формувати в учнів знання про основні види стихійних явищ, екологічні проблеми та природоохоронні території Африки, сприяючи розвиткові комплексного світосприйняття шляхом екологічного виховання; розвивати навики роботи з картою, просторово-логічне мислення, память; виховувати культуру спілкування.
58049. Узагальнення і систематизація знань учнів по темі «Нерівності» 297.5 KB
  Розвивати логічне мислення. Розвивати почуття краси в математиці. Я думаю що на цьому уроці ми розкриємо красу математичних закономірностей покажемо творчість і досконалість математичної мови при повторенні питань даної теми: Розв’язування нерівностей...
58050. Графічний метод розв’язування рівнянь, нерівностей та їх систем 1.09 MB
  Мета: удосконалення вмінь та навичок учнів при розв’язуванні рівнянь, нерівностей та їх систем графічним методом; розвиток творчих здібностей засобами розв’язування нестандартних завдань; виховання культури математичного мовлення, графічної культури; стимулювання творчої активності, формування комунікативної компетентності...
58051. Построение сечений многогранников 24.86 MB
  Образовательные: ввести понятие сечения многогранника; рассмотреть способы решения задач на построение сечений многогранников на основе аксиоматики. Развивающие: развивать пространственное воображение обучающихся; формировать умения чётко и ясно излагать свои мысли; совершенствовать графическую культуру.
58052. У світі синусоїдів. Урок дослідження. (Методом проектів) 724 KB
  Доведено що будьяке періодичне коливання можна зобразити як суму синусоїдальних коливань. Частоти цих синусоїдальних коливань називають спектром складного коливання. Розкладання складного коливання на суму синусоїдальних коливань називають спектральним аналізом коливання. Спектральним аналізом коливань користуються для розрахунку різних конструкцій.
58053. Урок навчання грамоти. Читання 80 KB
  МЕТА: повторити вивчені букви, формувати навички читання слів і речень з вивченими буквами; вдосконалювати навички побудови звуко-складових моделей; розвивати мовлення учнів, мислення; виховувати інтерес до уроку читання.