Построение средств межсетевой защиты информации
Л. Осовецкий,
НТЦ "Критические Информационные Технологии"
Лицензия Гостехкомиссии
России №77 от 30.06.95 г.
Аттестат аккредитации органа по сертификации №СЗИ
RU.077.А01.004
от 26.06.96
Аттестат аккредитации испытательной лаборатории №СЗИ
RU.077.Б06.019
от 26.12.96
Бурное развитие глобальных сетей, появление новых
технологий поиска информации и отображения данных привлекает все
больше внимания к сети Internet со стороны частных лиц и различных
организаций. Многие организации принимают решение об интеграции
своих локальных и корпоративных сетей в глобальную сеть, а также
установки своих WWW-, FTP-, Gopher- и других серверов услуг в
глобальных сетях. Использование глобальных сетей в коммерческих
целях, а также при передаче информации, содержащую коммерческую
или государственную тайну, влечет за собой необходимость построения
квалифицированной системы защиты информации.
Использование глобальных сетей не только для поиска
"интересной" информации или игры в Red AlertФ с заокеанскими
партнерами (или противниками), но и в коммерческих целях, приводит
к возможным потерям из-за действия поля угроз защищенности и отсутствия
необходимых систем и средств защиты. В настоящее время в России
глобальные сети используются для передачи коммерческой информации
различной степени конфиденциальности, например, связь с удаленными
офисами из головной штаб-квартиры организации или создание WWW-страницы
предприятия с размещенной на ней рекламы и коммерческих предложений.
Одним из следствий бурного развития глобальных сетей
является практически неограниченный рост количества пользователей
этих сетей, и как следствие, рост вероятности угроз защищенности
информации, связанных с предумышленным и неумышленным воздействием.
Необходимость работы с удаленными пользователями и обмена конфиденциальной
информацией с ними приводит к необходимости установления жестких
ограничений доступа к информационным ресурсам локальной сети.
При этом чаще всего бывает необходима организация в составе корпоративной
сети нескольких сегментов с различным уровнем защищенности:
- свободно доступные (Например,
рекламный WWW-сервер),
- сегмент с ограничениями доступа (Например, для
доступа сотрудникам организации с удаленных узлов),
- закрытые для любого доступа (Например, финансовая
локальная сеть организации).
Угрозы защищенности в глобальных сетях
При подключении локальной или корпоративной сети
к глобальным сетям администратор сетевой безопасности должен
решать следующие задачи:
- Защита локальной или корпоративной сети от несанкционированного
удаленного доступа со стороны глобальной сети;
- Скрытие информации о структуре сети и ее компонент
от пользователей глобальной сети;
- Разграничение доступа из/в защищаемой локальной
сети в/из незащищенную глобальную сеть.
При этом наиболее распространены следующие способы
так:
- Вход с узла сети с недопустимым сетевым адресом.
- "Заваливание" сетевыми пакетами при
помощи программы ping.
- Соединение с разрешенного сетевого адреса по
запрещенному сетевому адресу.
- Соединение по запрещенному или неподдерживаемому
сетевому протоколу.
- Подбор пароля пользователя по сети
- Модификация таблицы маршрутизации с помощью ICMP
пакета типа REDIRECT
- Модификация таблицы маршрутизации с помощью нестандартного
пакета протокола RIP.
- Запрос несанкционированного удаленного администрирования
с запрещенного адреса
- Запрос на изменение пароля при соединении со
стороны открытой сети.
- Соединение с использованием DNS spoofing.
- Соединение с разрешенного адреса по разрешенному
адресу в неразрешенное время
Приведенное перечисление видов угроз охватывает несколько
областей глобальной сети:
- локальный участок, традиционная
местная управляемая и администрируемая в организации локальная
сеть,
- стык локальная-глобальная сеть,
- участок глобальной сети, используемый для передачи
конфиденциальной информации, администрируемый коллективным администратором
безопасности,
- неуправляемый участок глобальной сети.
На каждом указанном участке необходимо использование
своих, специфических средств защиты. В таблице 1 показана привязка
перечисленных угроз к участкам глобальной сети.
Таблица 1. Привязка угроз к различным участкам
глобальной сети
| Области глобальной сети
|
Угрозы
| Локальный участок
| Стык ЛС/ГС
| Администр.
участок ГС
| Неуправ. участок ГС
|
1. Неверный сетевой адрес
| + |
| +
| + |
2. "Заваливание" пакетами
| | | | +
|
3. Недопустимое соединение
| + |
| | +
|
4. Недопустимый протокол
| + |
+ |
| + |
5. Подбор пароля | +
| + |
| +
|
6. ICMP атака |
| + |
+ |
|
7. RIP атака |
| + |
+ |
|
8. Несанкц.удаленн. администрирование
| + |
+ | +
| + |
9. Изменение пароля |
| | | +
|
10. DNS атака |
| + |
+ |
|
11. Недопустимое время |
+ | +
| + |
+ |
Ряд задач по отражению наиболее вероятных угроз в том или ином
объеме способны решать межсетевые экраны (firewalls). В российской
литературе данный термин иногда переводится как брандмауэр, реже
- межсетевой фильтр.
Межсетевой экран - это автоматизированная система или комплекс
систем, позволяющие разделить сеть на две или более частей и обеспечивающее
защитные механизмы от НСД на уровне пакетов обмена информацией
сетевого, транспортного и прикладного уровней сетевых протоколов
семиуровневой модели OSI.
На мировом рынке присутствуют около 50 различных межсетевых экранов,
отличающихся платформами функционирования, производительностью
и функциональными возможностями. Можно установить следующую классификацию
функциональных требований к межсетевым экранам.
Функциональные требования к МЭ включают в себя:
- требования к фильтрации на сетевом
уровне;
- требования к фильтрации на прикладном уровне;
- требования по ведению журналов и учету;
- требования по администрированию и настройке правил
фильтрации;
- требования к средствам сетевой аутентификации.
Фильтрация на сетевом уровне
При фильтрации на сетевом уровне межсетевой экран
принимает решение о пропуске пакета в/из защищаемой локальной
сети из/в глобальной незащищенной сети. Данное решение МЭ принимает
просматривая заголовок этого пакета и анализируя его содержимое.
Решение о пропускании или запрещении прохождении пакета может
зависеть от сетевых адресов источника и назначения пакета, номеров
TCP-портов, времени и даты прохождения пакета и любых полей заголовка
пакета.
Достоинствами данного вида фильтрации являются:
- небольшая задержка при прохождении
пакетов,
- относительно невысокая стоимость МЭ.
К недостаткам данного вида фильтрации можно отнести:
- возможность просмотра структуры
локальной сети из глобальной сети,
- возможность обхода системы защиты при использовании
IP-спуфинга (IP-spoofing) - способ атаки, при котором атакующей
стороной производится подстановка IP-адреса "разрешенного"
сетевого узла в заголовок IP-пакета.
Фильтрация на прикладном уровне
При фильтрации на прикладном уровне решение о пропускании
или запрещении прохождении пакета принимается после обработки
запроса от клиента на программе-сервере конкретного сервера (WWW,
Telnet, FTP, SMTP, Gopher и т.п.). Данный сервер носит название
proxy-server (уполномоченный или доверенный сервер). Название
"доверенный" - из-за того, что сервер, к которому производится
обращение, доверяет proxy-серверу установить связь с клиентом,
идентифицировать его и провести аутентификацию. Proxy-сервер пропускает
через себя весь трафик, относящийся к данному сервису.
При принятии решения о пропускании и запрещении прохождения
пакета proxy-сервер может использовать следующие параметры:
- имя пользователя;
- название сервиса;
- сетевое имя компьютера клиента;
- способ аутентификации;
- время и дата запроса.
Достоинствами данного способа фильтрации являются:
- невидимость структуры локальной
сети из глобальной сети;
- возможность организации большого числа проверок,
что повышает защищенность локальной сети;
- организация аутентификации на пользовательском
уровне.
Основными недостатками данного способа маршрутизации
являются низкая производительность обработки и высокая стоимость.
Кроме того, при реализации данного способа фильтрации появляется
сложность использования протоколов UDP и RPC.
Ведение журналов и учет
Ведение журналов, сбор статистики и ее учет является
весьма важным компонентом межсетевого экрана. При помощи этих
функциональных возможностей администратор может гибко определять
политику реагирования на нарушения: необязательно при каждой ночной
попытке доступа к WWW-серверу компании выдавать администратору
безопасности сообщение на его личный пейджер, - администратор
- все-таки человек, и ночью хочет спать. В тоже время, при доступе
к финансовому сегменту с базой данных зарплаты вышеупомянутого
администратора необходимо указать данному администратору на возможность
депремирования и/или невыплаты заработной платы.
Существует большое количество схем подключения межсетевых
экранов: - сколько администраторов безопасности - столько мнений.
При этом все схемы подразделяются на:
1.Стандартные схемы защиты отдельной локальной сети.
2.Схемы включения в составе средств коллективной
защиты.
Стандартные схемы защиты отдельной локальной сети
Наиболее простым является решение, при котором межсетевой
экран просто экранирует локальную сеть от глобальной. При этом
WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются
также защищены межсетевым экраном (см. Рис.1.). При этом требуется
уделить много внимания на предотвращение проникновения на защищаемые
станции локальной сети при помощи средств легкодоступных WWW-серверов.
Рис. 1. Простое включение МЭ
Для предотвращения доступа в локальную сеть, используя
ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать
перед межсетевым экраном, так как показано на рисунке 2. Данный
способ обладает более высокой защищенностью локальной сети, но
низким уровнем защищенности WWW- и FTP-серверов.
Оба вышеприведенных случая показаны для межсетевых
экранов, имеющих два сетевых интерфейса. Межсетевые экраны с одним
сетевым интерфейсом существуют, но их настройка, а также настройка
маршрутизаторов для работы с таким межсетевым экраном, представляет
собой сложную задачу, с ценой решения превышающей стоимость замены
МЭ с одним интерфейсом на МЭ с двумя сетевыми интерфейсами. Поэтому,
схемы подключения межсетевых экранов с одним сетевым интерфейсом
в данной статье не рассматриваются.
Рис. 2. Подключение МЭ с вынесением общедоступных
серверов
Применение в составе средств коллективной защиты
Некоторые межсетевые экраны позволяют организовывать
виртуальные корпоративные сети (Virtual Private Network). При
этом несколько локальных сетей, подключенных к глобальной сети,
объединяются в одну виртуальную корпоративную сеть. Передача данных
между этими локальными сетями производится прозрачно для пользователей
локальных сетей. При этом обеспечивается конфиденциальность и
целостность передаваемой информации при помощи различных средств:
шифрования, использования цифровых подписей и т.п. При передаче
может шифроваться не только содержимое пакета, но и его заголовок,
включая все, входящие в него поля. Возможная схема использования
межсетевых экранов в составе виртуальных корпоративных сетей приведена
на рисунке 3.
Рис. 3. Построение виртуальной корпоративной
сети
Сертифицированные межсетевые экраны
В настоящее время на рынке сетевых средств защиты
информации присутствуют только два межсетевых экрана, имеющих
сертификаты системы сертификации средств защиты информации по
требованиям безопасности информации Гостехкомиссии России. Это
межсетевые экраны "Пандора" ( на базе МЭ "Gauntlet"
фирмы Trusted Information Systems Inc., функционирующий на рабочей
станции Silicon Graphics) и "BlackHole" (фирмы MilkyWay
Networks Corp., функционирующая под управлением BSDI OS). Оба
МЭ сочетают в себе возможности пакетной фильтрации и фильтрации
на прикладном уровне. Краткие технические характеристики данных
МЭ приведены в таблице 2.
МЭ "Пандора"("Gauntlet").
Сертификат СЗИ №73 выдан 16.01.1997 г. Гостехкомиссией
России.
МЭ "Black Hole" ("Черная дыра").
Сертификат СЗИ №79 выдан 30.01.1997 г. Гостехкомиссией
России.
Заключение
Развитие глобальных сетей привело к увеличению количества
пользователей и увеличению количества атак на компьютеры, подключенные
к Сети. Многие из этих атак являются непреднамеренными, но нет
никакой гарантии, что единственной сетевой угрозой для локальной
сети Вашей организации являются "пауки" (spiders) из
поисковой службы AltaVista. Оценки ежегодных потерь, связанных
с недостаточным уровнем защищенности, достигают десятков миллионов
долларов ежегодно. Планируя подключение Вашей локальной сети к
мировым глобальным сетям, не забывайте о безопасности Вашей информации.
[Назад]
[Содержание]
[Вперед]
|