Специальная публикация NIST 800-10
Джон Вэк и Лиза Карнахан
"Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры))"
Реферат
Перевод Владимира Казеннова
- Введение в Интернет и безопасность в нем
1.1. Интернет
1.2 Обзор внутреннего устройства TCP/IP
1.3 Проблемы, связанные с безопасностью
1.4 Насколько уязвимы сети организаци в Интернете?
- Введение в брандмауэры
2.1 Понятие брандмауэра
2.2 Почему именно брандмауэры?
2.3 Проблемы, возникающие из-за брандмауэров
2.4 Компоненты брандмауэра
- Объединение частей в единое целое - примеры брандмауэров
3.1 Брандмауэр с фильтрацией пакетов
3.2 Брандмауэр на основе машины, подключенной к двум сетям
3.3 Брандмауэр с изолированным хостом
3.4 Брандмауэр с изолированной подсетью
3.5 Интеграция модемных пулов с брандмауэрами
- Следующие шаги
4.1 Политика брандмауэра
4.2 Приобретение брандмауэра
4.3 Организационные вопросы с брандмауэрами
- Библиография
- Приложение. Онлайновые информационные ресурсы
Этот документ содержит обзор проблем, связанных с безопасностью в Интернете. Он также кратко описывает все компоненты брандмауэра и основные причины, приводящие к необходимости использовать брандмауэры. Описывается несколько типов политик сетевого доступа и техническая реализация этих политик. В конце документ содержит библиографию по данной теме.
Целью этого документа является помощь пользователям понять природу проблем, связанных с безопасностью в Интернете, и то, какие типы брандмауэров могут решить эти проблемы. Пользователи могут использовать этот документ как руководство при проектировании или приобретении брандмауэра.
Предисловие
Интернет - это объединение в масштабе всей планеты группы сетей, которое использует единый протокол для передачи данных. Большое число организаций сейчас присоединяются к Интернету для того, чтобы воспользоваться преимуществами и ресурсами Интернета. Бизнесмены и государственные организации используют Интернет в самых различных целях - включая обмен электронной почтой, распространение информации среди заинтересованных лиц и проведение исследований. Многие организации сегодня присоединяют существующие локальные сети к Интернету , чтобы рабочие станции этих ЛВС могли получить прямой доступ к сервисам Интернета.
Присоединение к Интернету может дать огромные преимущества, хотя при этом нужно серьезно учесть вопросы, связанные с безопасностью соединения. Существуют достаточно серьезные риски безопасности, связанные с Интернетом, которые зачастую являются неочевидными для пользователей-новичков. В частности, в мире наблюдается деятельность злоумышленников, при этом имеется много уязвимых мест, которые могут ее облегчить. Действия злоумышленников трудно предсказать и порой ее бывает трудно обнаружить и прекратить. Многие организации уже потеряли много времени и понесли значительные финансовые потери из-за деятельности злоумышленников; некоторым организациям был нанесен урон их репутации, когда стало известно о проникновениях в их сети.
Эта публикация будет рассматривать вопросы, связанные с безопасностью, которые нужно учесть как организациям, собирающимся присоединиться к Интернету , так и организациям, уже присоединенным к Интернету. В частности, это документ подробно рассматривает брандмауэры для Интернета, как один из механизмов и методов, используемых для защиты внутренних сетей от угроз, связанных с Интернетом. Этот документ рекомендует организациям использовать технологию брандмауэров и другие, связанные с ними, средства, для фильтрации соединений и управления доступом в сети.
Цель
Цель этого документа - объяснить, как работают брандмауэры, и какие шаги необходимы для их реализации. Пользователи могут использовать это документ как помощь при проектировании или приобретении брандмауэра.
Для кого написана эта книга
В-основном, эта публикация для технических администраторов, то есть для тех, кто может отвечать за реализацию или поддержание соединений с Интернетом. Она также будет полезна и для другого руководящего состава, кто хочет узнать больше о безопасности соединения с Интернетом.
Предполагается знание некоторых основ в областях компьютерной безопасности и сетей передачи данных. Тем не менее, этот документ является введением; более детальная информация о бехопасности в Интернете и брандмауэрах может быть найдена в литературе, указанной в библиографии.
Структура документа
Этот документ начинается с обзора Интернета и его основных сервисов. Детально описываются проблемы безопасности, связанные с Интернетом, связанные с различными сервисами TCP/IP, а также другие факторы, которые приводят к небезопасности работы в Интернете. Глава 2 описывает брандмауэры, их преимущества и недостатки, и после этого, различные компоненты брандмауэра, включая средства усиленной аутентификации и политику сетевого доступа. Глава 3 описывает различные конфигурации брандмауэров, которые иллюстрируют, как компоненты брандмауэра соединяются друг с другом, и могут быть использованы для реализации различных политик. Глава 4 рассматривает вопросы надзора, административные вопросы и другие действия, которые должны предпринять организации для защиты своих систем, присоединенных к Интернету. Приложение А содержит список литературы и других источников инфомации о брандмауэрах и безопасности в Интернете. Приложение В содержит набор часто задаваемых вопросов о брандмауэрах, который доступен в режиме online.
Терминология
Интернетовские брандмауэры часто называются в литературе безопасными Интернетовскими шлюзами. Этот документ использует термин брандмауэр для обозначения безопасного Интернетовского шлюза.
Брандмауэр, согласно данному документу, включает ряд элементов, таких как политика, внесение изменений в структуру сети, а также технические средства и организационные меры. Этот документ будет использовать термин система брандмауэра для обозначения хостов или маршрутизаторов, реализующих брандмауэр.
Сеть, защищаемая брандмауэром, называется защищенной подсетью или защищенной ЛВС.
Некоторые люди не могут понять, следует ли рассматривать протоколы TCP/IP как протоколы или как сервисы. Можно, например, доказывать, что TELNET является протоколом, сервисом или командой. Там, где это нужно, в документе используется термин протокол, в остальных случаях используется термин сервис.
В этом документе прикладными шлюзами называются ряд систем брандмауэров в противоположность хостам-бастионам.
Насколько это возможно, этот документ избегает использования таких терминов, как хакер и кракер, и использует вместо этого менее тендециозные термины злоумышленник и атакующий.
Предыстория
Интернет стал жизненно необходимой и постоянно растущей сетью, которая изменила образ жизнедеятельности многих людей и организаций. Тем не менее, из-за Интернета возникло много серьезных проблем с безопасностью. Многие организации были атакованы или зондированы злоумышленниками( Злоумышленники часто проверяют сети организаций на возможность проникновения в них путем методического сканирования систем в них на наличие уязвимых мест. Злоумышленники часто используют средства автоматического зондирования, то есть программы, которые сканируют все хосты, присоединенные к сети организации. Эта деятельность называется иногда зондирование сети организации ) что привело к большим потерям во времени и ущербу репутации. В некоторых случаях, организации вынуждены были временно отсоединиться от Интернета, и потратить значительные средства для решения возникших проблем с конфигурацией хостов и сети. Сети организаций, которые неосведомлены или игнорируют эти проблемы, подвергают себя большому риску быть атакованными сетевыми злоумышленниками. Даже те организации, в которых безопасности уделяется внимание, могут подвергаться риску из-за появления новых уязвимых мест в сетевом программном обеспечении или упорства некоторых злоумышленников.
Данное положение дел сложилось по ряду причин. Одной из основных причин может быть то, что при разработке Интернет требования безопасности не учитывались, так как гланым требованием при реализации Интернета было требование удобства при обмене информацией при проведении научных исследований. Тем не менее, феноменальный успех Интернета в сочетании с появлением большого числа категорий пользователей , включая пользователей , у которых отсутствует понятие этики, усугубило существующие недостатки в обеспечении безопасности до такой степени, что сети, открытые для доступа со стороны Интернета, стали подвергаться риску проникновений в них и нанесения им разрушений. Другими причинами являются следуюшие:
- уязвимость сервисов TCP/IP
- ряд сервисов TCP/IP являются небезопасными и могут быть скомпрометированы умными злоумышленниками; сервисы, использующиеся в ЛВС для улучшения управления сетью, особенно уязвимы
- легкость наблюдения за каналами и маскарада
- большинство траффика Интернета незашифровано; электронная почта, пароли и передаваемые файлы могут быть перехвачены, используя легкодоступные программы, затем злоумышленники могут использовать пароли для проникновения в системы
- отсутствие политики
- многие сети могут быть сконфигурированы по незнанию таким образом, что будут позволять доступ к ним со стороны Интернета, не подозревая при этом о возможных злоупотреблениях этим; многие сети допускают использование большего числа сервисов TCP/IP, чем это требуется для деятельности их организации, и не пытаются ограничить доступ к информации об их компьютерах, которая может помочь злоумышленникам проникнуть в сеть
- сложность конфигурирования
- средства управления доступом в хостах зачастую являются сложными в настройке и контроле за ними; неправильно сконфигурированные средства часто приводят к неавторизованному доступу.
Решение
К счастью, существуют простые и надежные решения, которые могут быть использованы для улучшения безопасности сети организации. Система брандмауэра является одним из способов, который доказал свою высокую эффективность при повышении общей безопасности сети. Система брандмауэра - это набор систем и маршрутизаторов, добавленных в сеть в местах ее соединения с Интернетом и политики доступа, определяющей правила их работы. Брандмауэр заставляет все сетевые соединения проходить через шлюз, где они могут быть проанализированы и оценены с точки зрения безопасности, и предоставляет другие средства, такие как меры усиленной аутентификации вместо паролей. Кроме того, брандмауэр может ограничить доступ к тем или иным системам или доступ к Интернету от них, блокировать определенные сервсиы TCP/IP, или обеспечить другие меры безопасности. Хорошо сконфигурированная система брандмауэра может выполнять роль пресс-службы организации и помочь сформировать у пользователей Интернета хорошее впечатление об организации.
Самой простой политикой сетевого доступа, которая может быть реализована с помощью брандмауэра, является предоставление доступа от внутренних к внешним системам и запрет, полный или частичный, доступа от внешних к внутренним системам. Но использование брандмауэра не должно позволять администраторам забыть о необходимости обеспечения безопасности отдельных систем. Существует большое число средств для системных администраторов, позволяющих повысить безопасность систем и обеспечить улучшыенные возможности по протоколированию. Такие средства могут проверять пароли, журналы с информацией о соединениях, обнаруживать изменения системных файлов или обеспечивать другие меры безопасности, которые помогут администраторам обнаружить деятельность злоумышленников и проникновения в их системы.
Рекомендации авторов
Мы рекомендуем организациям перед присоединением к Интернету разработать политику, которая бы ясно указывала, какие сервисы Интернета будут использоваться, и как они будут использоваться. Эта политика должна быть простой, четкой и понятной, со встроенными механизмами по ее изменению. Организации должны рассмотреть возможность использования систем брандмауэров как часть плана по реализации этой политики. (Образец такой политики приведен в приложении). Также рекомендуется использовать меры усиленной аутентификации: смарткарты или другие механизмы одноразовых паролей как составную часть брандмауэров при аутентификации соединений с системами сети.
Вперед