Построение средств межсетевой защиты информации

Л. Осовецкий, НТЦ "Критические Информационные Технологии"

Лицензия Гостехкомиссии России №77 от 30.06.95 г.

Аттестат аккредитации органа по сертификации №СЗИ RU.077.А01.004 от 26.06.96

Аттестат аккредитации испытательной лаборатории №СЗИ RU.077.Б06.019 от 26.12.96

Бурное развитие глобальных сетей, появление новых технологий поиска информации и отображения данных привлекает все больше внимания к сети Internet со стороны частных лиц и различных организаций. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть, а также установки своих WWW-, FTP-, Gopher- и других серверов услуг в глобальных сетях. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащую коммерческую или государственную тайну, влечет за собой необходимость построения квалифицированной системы защиты информации.

Использование глобальных сетей не только для поиска "интересной" информации или игры в Red AlertФ с заокеанскими партнерами (или противниками), но и в коммерческих целях, приводит к возможным потерям из-за действия поля угроз защищенности и отсутствия необходимых систем и средств защиты. В настоящее время в России глобальные сети используются для передачи коммерческой информации различной степени конфиденциальности, например, связь с удаленными офисами из головной штаб-квартиры организации или создание WWW-страницы предприятия с размещенной на ней рекламы и коммерческих предложений.

Одним из следствий бурного развития глобальных сетей является практически неограниченный рост количества пользователей этих сетей, и как следствие, рост вероятности угроз защищенности информации, связанных с предумышленным и неумышленным воздействием. Необходимость работы с удаленными пользователями и обмена конфиденциальной информацией с ними приводит к необходимости установления жестких ограничений доступа к информационным ресурсам локальной сети. При этом чаще всего бывает необходима организация в составе корпоративной сети нескольких сегментов с различным уровнем защищенности:

• свободно доступные (Например, рекламный WWW-сервер),
• сегмент с ограничениями доступа (Например, для доступа сотрудникам организации с удаленных узлов),
• закрытые для любого доступа (Например, финансовая локальная сеть организации).

Угрозы защищенности в глобальных сетях

При подключении локальной или корпоративной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:

1. Защита локальной или корпоративной сети от несанкционированного удаленного доступа со стороны глобальной сети;
2. Скрытие информации о структуре сети и ее компонент от пользователей глобальной сети;
3. Разграничение доступа из/в защищаемой локальной сети в/из незащищенную глобальную сеть.

При этом наиболее распространены следующие способы так:

1. Вход с узла сети с недопустимым сетевым адресом.
2. "Заваливание" сетевыми пакетами при помощи программы ping.
3. Соединение с разрешенного сетевого адреса по запрещенному сетевому адресу.
4. Соединение по запрещенному или неподдерживаемому сетевому протоколу.
5. Подбор пароля пользователя по сети
6. Модификация таблицы маршрутизации с помощью ICMP пакета типа REDIRECT
7. Модификация таблицы маршрутизации с помощью нестандартного пакета протокола RIP.
8. Запрос несанкционированного удаленного администрирования с запрещенного адреса
9. Запрос на изменение пароля при соединении со стороны открытой сети.
10. Соединение с использованием DNS spoofing.
    1. Соединение с разрешенного адреса по разрешенному адресу в неразрешенное время

Приведенное перечисление видов угроз охватывает несколько областей глобальной сети:

• локальный участок, традиционная местная управляемая и администрируемая в организации локальная сеть,
• стык локальная-глобальная сеть,
• участок глобальной сети, используемый для передачи конфиденциальной информации, администрируемый коллективным администратором безопасности,
• неуправляемый участок глобальной сети.

На каждом указанном участке необходимо использование своих, специфических средств защиты. В таблице 1 показана привязка перечисленных угроз к участкам глобальной сети.

Таблица 1. Привязка угроз к различным участкам глобальной сети

	Области глобальной сети
Угрозы	Локальный участок	Стык ЛС/ГС	Администр. участок ГС	Неуправ. участок ГС
1. Неверный сетевой адрес	+		+	+
2. "Заваливание" пакетами				+
3. Недопустимое соединение	+			+
4. Недопустимый протокол	+	+		+
5. Подбор пароля	+	+		+
6. ICMP атака		+	+
7. RIP атака		+	+
8. Несанкц.удаленн. администрирование	+	+	+	+
9. Изменение пароля				+
10. DNS атака		+	+
11. Недопустимое время	+	+	+	+

Ряд задач по отражению наиболее вероятных угроз в том или ином объеме способны решать межсетевые экраны (firewalls). В российской литературе данный термин иногда переводится как брандмауэр, реже - межсетевой фильтр.

Межсетевой экран - это автоматизированная система или комплекс систем, позволяющие разделить сеть на две или более частей и обеспечивающее защитные механизмы от НСД на уровне пакетов обмена информацией сетевого, транспортного и прикладного уровней сетевых протоколов семиуровневой модели OSI.

На мировом рынке присутствуют около 50 различных межсетевых экранов, отличающихся платформами функционирования, производительностью и функциональными возможностями. Можно установить следующую классификацию функциональных требований к межсетевым экранам.

Функциональные требования к МЭ включают в себя:

• требования к фильтрации на сетевом уровне;
• требования к фильтрации на прикладном уровне;
• требования по ведению журналов и учету;
• требования по администрированию и настройке правил фильтрации;
• требования к средствам сетевой аутентификации.

Фильтрация на сетевом уровне

При фильтрации на сетевом уровне межсетевой экран принимает решение о пропуске пакета в/из защищаемой локальной сети из/в глобальной незащищенной сети. Данное решение МЭ принимает просматривая заголовок этого пакета и анализируя его содержимое. Решение о пропускании или запрещении прохождении пакета может зависеть от сетевых адресов источника и назначения пакета, номеров TCP-портов, времени и даты прохождения пакета и любых полей заголовка пакета.

Достоинствами данного вида фильтрации являются:

• небольшая задержка при прохождении пакетов,
• относительно невысокая стоимость МЭ.

К недостаткам данного вида фильтрации можно отнести:

• возможность просмотра структуры локальной сети из глобальной сети,
• возможность обхода системы защиты при использовании IP-спуфинга (IP-spoofing) - способ атаки, при котором атакующей стороной производится подстановка IP-адреса "разрешенного" сетевого узла в заголовок IP-пакета.

Фильтрация на прикладном уровне

При фильтрации на прикладном уровне решение о пропускании или запрещении прохождении пакета принимается после обработки запроса от клиента на программе-сервере конкретного сервера (WWW, Telnet, FTP, SMTP, Gopher и т.п.). Данный сервер носит название proxy-server (уполномоченный или доверенный сервер). Название "доверенный" - из-за того, что сервер, к которому производится обращение, доверяет proxy-серверу установить связь с клиентом, идентифицировать его и провести аутентификацию. Proxy-сервер пропускает через себя весь трафик, относящийся к данному сервису.

При принятии решения о пропускании и запрещении прохождения пакета proxy-сервер может использовать следующие параметры:

• имя пользователя;
• название сервиса;
• сетевое имя компьютера клиента;
• способ аутентификации;
• время и дата запроса.

Достоинствами данного способа фильтрации являются:

• невидимость структуры локальной сети из глобальной сети;
• возможность организации большого числа проверок, что повышает защищенность локальной сети;
• организация аутентификации на пользовательском уровне.

Основными недостатками данного способа маршрутизации являются низкая производительность обработки и высокая стоимость. Кроме того, при реализации данного способа фильтрации появляется сложность использования протоколов UDP и RPC.

Ведение журналов и учет

Ведение журналов, сбор статистики и ее учет является весьма важным компонентом межсетевого экрана. При помощи этих функциональных возможностей администратор может гибко определять политику реагирования на нарушения: необязательно при каждой ночной попытке доступа к WWW-серверу компании выдавать администратору безопасности сообщение на его личный пейджер, - администратор - все-таки человек, и ночью хочет спать. В тоже время, при доступе к финансовому сегменту с базой данных зарплаты вышеупомянутого администратора необходимо указать данному администратору на возможность депремирования и/или невыплаты заработной платы.

Существует большое количество схем подключения межсетевых экранов: - сколько администраторов безопасности - столько мнений. При этом все схемы подразделяются на:

1.Стандартные схемы защиты отдельной локальной сети.

2.Схемы включения в составе средств коллективной защиты.

Стандартные схемы защиты отдельной локальной сети

Наиболее простым является решение, при котором межсетевой экран просто экранирует локальную сеть от глобальной. При этом WWW-сервер, FTP-сервер, почтовый сервер и другие сервера, оказываются также защищены межсетевым экраном (см. Рис.1.). При этом требуется уделить много внимания на предотвращение проникновения на защищаемые станции локальной сети при помощи средств легкодоступных WWW-серверов.

Рис. 1. Простое включение МЭ

Для предотвращения доступа в локальную сеть, используя ресурсы WWW-сервера, рекомендуется общедоступные серверы подключать перед межсетевым экраном, так как показано на рисунке 2. Данный способ обладает более высокой защищенностью локальной сети, но низким уровнем защищенности WWW- и FTP-серверов.

Оба вышеприведенных случая показаны для межсетевых экранов, имеющих два сетевых интерфейса. Межсетевые экраны с одним сетевым интерфейсом существуют, но их настройка, а также настройка маршрутизаторов для работы с таким межсетевым экраном, представляет собой сложную задачу, с ценой решения превышающей стоимость замены МЭ с одним интерфейсом на МЭ с двумя сетевыми интерфейсами. Поэтому, схемы подключения межсетевых экранов с одним сетевым интерфейсом в данной статье не рассматриваются.

Рис. 2. Подключение МЭ с вынесением общедоступных серверов

Применение в составе средств коллективной защиты

Некоторые межсетевые экраны позволяют организовывать виртуальные корпоративные сети (Virtual Private Network). При этом несколько локальных сетей, подключенных к глобальной сети, объединяются в одну виртуальную корпоративную сеть. Передача данных между этими локальными сетями производится прозрачно для пользователей локальных сетей. При этом обеспечивается конфиденциальность и целостность передаваемой информации при помощи различных средств: шифрования, использования цифровых подписей и т.п. При передаче может шифроваться не только содержимое пакета, но и его заголовок, включая все, входящие в него поля. Возможная схема использования межсетевых экранов в составе виртуальных корпоративных сетей приведена на рисунке 3.

Рис. 3. Построение виртуальной корпоративной сети

Сертифицированные межсетевые экраны

В настоящее время на рынке сетевых средств защиты информации присутствуют только два межсетевых экрана, имеющих сертификаты системы сертификации средств защиты информации по требованиям безопасности информации Гостехкомиссии России. Это межсетевые экраны "Пандора" ( на базе МЭ "Gauntlet" фирмы Trusted Information Systems Inc., функционирующий на рабочей станции Silicon Graphics) и "BlackHole" (фирмы MilkyWay Networks Corp., функционирующая под управлением BSDI OS). Оба МЭ сочетают в себе возможности пакетной фильтрации и фильтрации на прикладном уровне. Краткие технические характеристики данных МЭ приведены в таблице 2.

МЭ "Пандора"("Gauntlet").

Сертификат СЗИ №73 выдан 16.01.1997 г. Гостехкомиссией России.

МЭ "Black Hole" ("Черная дыра").

Сертификат СЗИ №79 выдан 30.01.1997 г. Гостехкомиссией России.

Заключение

Развитие глобальных сетей привело к увеличению количества пользователей и увеличению количества атак на компьютеры, подключенные к Сети. Многие из этих атак являются непреднамеренными, но нет никакой гарантии, что единственной сетевой угрозой для локальной сети Вашей организации являются "пауки" (spiders) из поисковой службы AltaVista. Оценки ежегодных потерь, связанных с недостаточным уровнем защищенности, достигают десятков миллионов долларов ежегодно. Планируя подключение Вашей локальной сети к мировым глобальным сетям, не забывайте о безопасности Вашей информации.

[Назад] [Содержание] [Вперед]