GAUNTLET

Защита локальной сети при подключении к Internet

Информация предоставлена "Р-Альфа"

Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ), разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки зрения защиты вариант МЭ - фильтр на уровне приложений, при этом обеспечивает максимальную прозрачность при использовании, возможность создания VPN и простое управление всем этим. Этот МЭ позволяет пользоваться только теми протоколами, которые описал оператор и только в случае их безопасного использования. Безопасность обеспечивается при работе через МЭ в обоих направлениях в соответствии с политикой безопасности, определенной для данной организации. Продукт доступен в предустановленном виде на Pentium машинах, а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день является стандартом де-факто для построения МЭ на уровне приложений. Система Gauntlet получила сертификат Национального Агентства Компьютерной Безопасности США и была проверена Агентством Национальной безопасности США.

Данный продукт предоставляет возможность безопасного и строго аутентифицированного доступа по следующим протоколам:

• telnet, rlogin
• ftp
• smtp, pop3
• http, shttp, ssl
• gopher
• X11
• printer
• rsh
• Sybase SQL
• RealAudio

Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения, которое можно использовать для протоколов, не нуждающихся в авторизации пользователя, например NNTP. В наличии имеется также возможность организовывать "сырые" соединения для пользователей с подтверждениями полномочий. По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.

В дополнение к фильтрации на уровне приложений, МЭ требует внесения определенных изменений в базовую операционную систему. Эти изменения включают:

• для использования в варианте виртуальных сетей добавлен пакетный фильтр
• режим роутера выключен полностью. Информация между сетями передается только посредством транслирующих серверных программ (proxy)
• систему определения атак с подменой адресов
• поддержка VPN
• поддержка прозрачного режима для proxy
• выключена обработка пакетов со специальными признаками
• добавлена возможность заносить в журнал все попытки соединения с МЭ по несконфигурированным видам сервиса

Дополнительные возможности системы включают в себя особые фильтры, позволяющие организовать на самом МЭ определенные информационные сервисы, такие как

• электронная почта
• DNS
• ftp
• WWW

Этот МЭ - единственный из существующих, позволяющий защитить пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные сетевые вирусы, причем независимо от платформы.

Gauntlet разработан по принципу "белого ящика", что на практике означает его распространение вместе с исходными текстами. Кроме того, наиболее простые и эффективные приемы написания программ значительно упрощают анализ исходных текстов.

При изначальной разработке МЭ особое внимание уделялось следующим принципам:

• Минимализм. Простое лучше сложного. Разработка велась четко по принципу "сверху вниз". В результате был получен минимальный по объему а наиболее эффективный по производительности программный интерфейс, легко позволяющий реализовать proxy для протокола, не входящего в базовый комплект. Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает вероятность скрытых ошибок.
• Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок администратора. Неправильная директива интерпретируется как глобальное запрещение данного сервиса. Кроме того, таким образом введено умолчание - запрещено. Введение любого нового сервиса обязательно влечет за собой его увязывание с политикой безопасности.
• На МЭ не должно быть пользователей. Единственный пользователь, имеющий возможность только локальной работы - администратор.
• Записывать в журнал все, что возможно. Избыточность статистической информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и с точки зрения оценки производительности и т.д.
• Работа МЭ легко контролируется. Наличие единой базы пользователей и эффективного интерфейса для работы с ней легко позволяют осуществлять контроль пользователей, их блокировку, изменение атрибутов и т. д.
• Простая и логичная конфигурация. Основной конфигурационный файл МЭ имеет текстовый формат, его логическая структура довольно очевидна и не составляет препятствия для системного администратора.

Изначальная конфигурация.

Изначально МЭ не содержит никаких сетевых пользователей, все сетевые сервисы закрыты. В первую очередь необходимо в соответствии с политикой безопасности сети определить защищаемый интерфейс, правила приема/передачи электронной почты. По умолчанию системный журнал сконфигурирован таким образом, что в него записываются:

• сообщения ядра
• сообщения о состоянии файловой системе
• все попытки доступа ко всем сетевым сервисам
• все факты использования МЭ
• все факты, связанный с аутентификацией пользователей

Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:

• адрес инициатора соединения
• адрес удаленной стороны
• время события
• начала сессии
• конец сессии
• количество переданных байт
• количество принятых байт
• использование тех или иных специальных параметров протокола
• результаты аутентификации пользователя
• попытки смены пароля и иного общения с системой авторизации

Для защиты самого МЭ используются следующие механизмы:

• ограничение доступа по узлам файловой системы (UNIX chroot)
• отсутствие пользователей на МЭ
• система контроля целостности программ и ключевых файлов

Управление пользователями МЭ позволяет:

• определить способ аутентификации для каждого пользователя отдельно
• создавать группы пользователей
• определять для каждого пользователя/группы время работы
• определять для пользователя/группы использование тех или иных протоколов в зависимости от времени суток, адреса источника и destination.
• определять по правилам предыдущих пунктов возможность использования конкретных параметров и управляющих директив протоколов.
• устанавливать для пользователей право изменения пароля

МЭ поддерживает два основных режима работы - прозрачный и обычный. при использовании обычного режима порядок действий пользователя для соединения с машиной по другую сторону МЭ выглядит следующим образом:

• соединяется с МЭ
• проходит авторизацию (в зависимости от политики безопасности)
• дает команду proxy на соединение с удаленной машиной

Второй пункт обычно используется в случае доступа со стороны открытой сети, доступ изнутри наружу может быть разрешен без дополнительной авторизации. Работа в прозрачном режиме выглядит так:

• дается команда на соединение с внешней машиной
• авторизация

Т.е. при доступе из сети, не требующей авторизации, пользователь просто соединяется куда пожелает, и наличие МЭ ему не видно. При работе в любом режиме действуют все правила, определенные администратором МЭ

Краткий обзор по протоколам

1. Терминальный сервис

   Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном режиме при использовании этих видов сервиса. При стандартном режиме работы пользователь общается только с соответствующей программой, он не осуществляет удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ, соответственно каждый сервис требует отдельной конфигурации.

2. Протокол передачи файлов

   Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном и обычном режимах. При использовании прозрачного режима графические реализации клиента FTP (например CuteFTP for Windows95) не требуют изменения. При стандартном режиме и в случае дополнительной авторизации графические версии использовать не рекомендуется (можно пользоваться терминальной версией ftp в windows95). МЭ осуществляет полный контроль за использованием команд протокола RETR,STOR и т.д.

3. Электронная почта.

   МЭ предоставляет поддержку электронной почты с использованием протокола SMTP. Поскольку известно большое количество проблем, связанных со стандартной программы передачи почты sendmail, МЭ не запускает ее в привилегированном режиме. Вместо этого с протоколом SMTP работает специальная программа (2000 строк против 40 000 строк в sendmail), которая обрабатывает все соединения по порту 25, проводит полный анализ всех управляющих команд и заголовков письма, после чего вызывает sendmail для реальной передачи сообщения. Все это происходит не в режиме суперпользователя и на изолированном участке файловой системы. Среди дополнительных возможностей имеется возможность скрыть реальную внутреннюю структуру сети от анализа по почтовым адресам.

   Для чтения почты пользователями используется специальная серверная программа, использующая авторизацию через одноразовые пароли. МЭ поддерживает работу по протоколу POP3 с использованием APOP стандарта( см. RFC1725).

4. WWW.

   МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ, отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше публично доступных аналогичных программ и может быть легко проанализирована. Важнейшим отличием ее от других является возможность блокирования передачи в составе гипертекстовых документов программ на языке JAVA. О полезности этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль за используемыми HTTP методами (GET,PUT,HEAD).

5. X11.

   X Window System хорошо известная проблемами с безопасностью среда. X11 клиент, соединившийся с сервером, имеет возможность получить контроль над клавиатурой, прочитать содержимое других окон. Система доступа к X11 в МЭ используется совместно с терминальными программами telnet и rlogin. Она определяет псевдо-сервер, с которым и организуется соединений по протоколу X11. При каждом таком соединении пользователю предлагается сделать выбор мышкой - разрешить или запретить работу вызванного приложения.

6. Удаленная печать.

   В некоторых случаях есть необходимость пересылки по сети печатной информации. МЭ включает средства поддержки удаленной печати. При использовании соответствующей программы проверяется откуда приходит запрос и на какой принтер. также осуществляется контроль за удаленным управлением очередями печати

7. Удаленное выполнение задач.

   Эта возможность реализована несколько ограниченно по причинам безопасности, поскольку протокол rsh является одним из наиболее опасных. Пользователи из приватной сети могут по правилам определенным администратором МЭ выполнять задачи удаленно в открытой сети.

8. Передача звука - RealAudio.

   Для пользователей приватной сети имеется возможность использовать аудио по запросу протокол.

9. Доступ к базам данных.

   В настоящий момент реализована возможность доступа к базам данных Sybase с контролем на МЭ.

10. Нестандартные протоколы.

    Для работы с нестандартными протоколами, использующих TCP в составе МЭ имеется средство plug-ge, позволяющее использовать прозрачное прямое соединение. Поскольку это средство не поддерживает авторизации, его использование должно происходить под строгим контролем и только если администратор понимает, что он делает. В общем случае рекомендуется использовать circuit-level приложение из состава МЭ, поддерживающее авторизацию. Управление этим средством со стороны пользователя легко осуществляется с помощью стандартной программы telnet. Авторизовавшись, пользователь может осуществить несколько соединений. Каждое такое соединение происходит только при подтверждении со стороны пользователя, что это делает именно его программа.

Средства аутентификации пользователей

МЭ позволяет использовать различные средства аутентификации пользователей, как системы одноразовых паролей, так и пароли условно-постоянного действия. Использование последних для доступа через открытые сети крайне не рекомендуется, ввиду их легкой компрометации. Из систем одноразовых паролей поддерживаются все основные виды смарт-карт и софтверных реализаций. В наших условиях наиболее употребительной системой может стать S/Key, ввиду доступности. смарт-карты на данный момент не могут импортироваться в соответствии с законодательством.

Прозрачность при использовании.

Главным положительным качеством пакетных фильтров является их прозрачность, т.е. комфортабельность использования. Кроме того, при использовании пакетного фильтра нет необходимости изменять клиентское матобеспечение. Нынешний уровень развития фильтров на уровне приложений позволяют достичь практически полной прозрачности. Рассматриваемый МЭ - пример наиболее эффективной реализации этих возможностей. Для пользователей внутренней сети МЭ может рассматриваться как стандартный роутер.

Почтовый сервер и DNS.

МЭ включает средства построения этих видов сервиса, при этом позволяет полностью скрыть структуру внутренней сети от внешнего мира, как в почтовых адресах, так и в DNS.

Трансляция адресов

Поскольку МЭ является фильтром на уровне приложений, все соединения проходящие через него имеют обратный адрес самого МЭ, что полностью скрывает внутреннюю структуру защищенной сети.

Система обработки статистики

МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по адресам клиента и сервера, имени пользователя, времени сеанса, времени соединения, количеству переданных/принятых данных, действия администратора по управлению пользователями, действий пользователей по авторизации и изменения пароля. Система обработки производит анализ статистики и предоставляет администратору подробный отчет. За счет использования специальных протоколов МЭ позволяет организовать удаленное оповещение об определенных событиях в режиме реального времени.