1999 г
Е. В. БАЛАКШИН
НАЧАЛЬНИК ОТДЕЛА UNIX-СИСТЕМ КОРПОРАЦИИ ЮНИ
С. В. ХЛУПНОВ
ВЕДУЩИЙ СПЕЦИАЛИСТ ОТДЕЛА UNIX-СИСТЕМ КОРПОРАЦИИ ЮНИ
В различных публикациях можно найти достаточно много теоретических изысканий по систематизации подхода к системе безопасности в существующих компьютерных сетях. Наиболее проработанные материалы, например документы Государственной технической комиссии, стандарты и другие руководящие документы, в основном ориентированы на оценщиков систем безопасности. Такие документы формулируют необходимые критерии, но практические рекомендации в них, как правило, отсутствуют.
В данной публикации мы попытались соединить воедино теоретическую базу и реальный опыт работы с лидирующим на сегодняшний день программным продуктом Check Point FireWall-1.
Почему ЮНИ выбрала Check Point?
Выбор Check Point FireWall-1 как основы для реализации проектов сетевой безопасности был не случаен. Впервые мы познакомились с этим продуктом более четырех лет назад. В то время он был представлен на Российском рынке ОЕМ-версией от SUN Microsystems. Первые версии продукта представляли в большей степени теоретический интерес: Check Point реализовал совершенно новый по тем временам подход к инспекции IP-пакетов, но вскоре этот метод (Statefull Inspection Technology) получил высокую оценку и был запатентован. Сейчас многие производители систем firewall используют принципиально похожие технологии. Продукт совершенствовался и через два года своего существования стал наиболее распространенной в мире системой сетевой защиты. В России Check Point FireWall-1 начал пользоваться заслуженной популярностью в 1995 году, когда появление крупных проектов потребовало соответствующей технической поддержки и активного взаимодействия с непосредственным производителем. А затем ЮНИ и Check Point заключили сначала реселлерское, а затем и дистрибьюторское соглашения. В 1997 году ЮНИ авторизовала в Check Point свой учебный центр NTC. Возможность подготовить специалистов по материалам, одобренным производителем, на наш взгляд, является одним из ключевых моментов в реализации комплекса мер по защите сетей.
Что такое межсетевой экран?
Теперь немного терминологии. В данной статье мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные. Уточним основные понятия (по материалам руководящего документа Государственной технической комиссии России).
Под сетями ЭВМ, распределенными автоматизированными системами (АС), в данном документе понимаются соединенные каналами связи системы обработки данных, ориентированные на конкретного пользователя.
МЭ представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.
Упрощенно, firewall — это устройство, устанавливаемое между сетями и предназначенное для контроля трафика ними.
Как видно из определения, основное назначение систем firewall — регламентировать использование ресурсов одних сетей пользователями других. Появление таких устройств обусловлено существенным усложнением архитектуры сетей и ростом числа различных сетевых сервисов. Основная идея, положенная в основу этого решения, — сосредоточить в одной критической точке все необходимые контрольные функции вместо того, чтобы контролировать доступ и используемые сервисы на всех компонентах сети. Наиболее широкое распространение эта технология защиты получила при использовании открытых сетей.
Угрозы и их последствия
Остановимся подробнее на тех опасностях и проблемах, которые подстерегают организацию при работе с подобными сетями, например Internet.
Существует достаточно много различных аналитических разработок по оценке рисков, которые в основном сводятся к трем категориям:
- несанкционированный доступ к ресурсам сети;
- нелегальное ознакомление с информацией;
- отказ в предоставлении ресурса сети.
Как это ни парадоксально, но для компаний, активно использующих Internet в повседневной деятельности, влияние третьего фактора риска может быть очень существенным.
Наиболее опасными и, к сожалению, самыми распространенными являются непреднамеренные ошибки операторов информационных систем. Результатом такой ошибки может стать брешь в системе защиты, потеря данных, останов или выход из строя системы. Один из путей минимизации рисков, связанных с этим типом угроз, — максимальная автоматизация рабочего процесса, контроль за точным соблюдением инструкций и повышение квалификации персонала.
Заметим, что ущерб от краж и подлогов, совершенных с использованием компьютеров, находится всего лишь на втором месте. Мы хотим особо подчеркнуть, что основная опасность исходит непосредственно от персонала предприятия, причем угрозу создают как преднамеренные, так и непреднамеренные действия.
Основное отличие внешних угроз — это их непредсказуемость. К внешним угрозам мы относим не только попытки проникновения в сети предприятия с использованием слабостей в реализации той или иной стратегии защиты и администрирования, но и такие «мирные» угрозы, как сбой электропитания, обрыв информационного кабеля и т. д. По статистике, ущерб, нанесенный хакерами, намного меньше ущерба, связанного с выходом из строя отдельных элементов инфраструктуры.
Далее мы попытаемся дать несколько практических советов по реализации сетевой инфраструктуры, обратим ваше внимание на некоторые аспекты администрирования системы защиты, которые направлены на минимизацию упомянутых выше рисков.
Типичный пример реализации системы защиты при доступе к Internet
Структура сети и ее вклад в политику защиты
При построении системы защиты очень важен выбор структуры сети. Правильный выбор структуры сети обычно облегчает разработку политики безопасности и управлении firewall и повышает устойчивость защиты. Во многих случаях неудачное размещение какого-либо сетевого объекта может создать трудности при контроле некоторых видов трафика и детектировании попыток взлома сети. Примерная схема сети компании, реализующей полнофункциональное подключение к Internet, приведена на рисунке. В некоторых случаях (где часть сервисов предоставляет провайдер) отдельные элементы схемы могут отсутствовать. Практически, реализация данной схемы не зависит от величины компании, важно только наличие или отсутствие соответствующих сетевых сервисов.
Распределенная DMZ и минимизация внутренних угроз
Одним из примеров решения по выбору структуры сети является размещение общедоступных серверов - Web, FTP, SMTP, DNS в распределенной демилитаризованной зоне. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. В достаточно крупной компании администратор не может контролировать все подключения к этим серверам, так как это заняло бы как минимум весь рабочий день. С другой стороны, именно эта часть системы подвержена наибольшему риску оказаться объектом атаки как по причине своей очевидной доступности, так и из-за массы известных и регулярно обнаруживаемых новых ошибок в реализации программ, обеспечивающих эти типы сервиса. Даже при безупречном программном обеспечении существуют некоторые возможности прервать работу публичных серверов, используя особенности реализации стека TCP/IP. Так или иначе, даже если администраторы сети постоянно следят за всеми публикациями об обнаруженных ошибках и устанавливают все выпускаемые "заплатки", нет никакой гарантии, что некто не сможет получить доступ к открытым серверам. Пока единственной гарантией может служить только полная изоляция сервера.
Поэтому все доступные извнесерверы обычно размещают в специально отведенной только для них зоне так, чтобы в худшем случае под угрозой оказался только один участок сети. Еще более предпочтительным вариантом является подключение каждого из открытых серверов на отдельный сетевой интерфейс firewall. Это дает возможность со стопроцентной уверенностью контролировать весь трафик такого сервера и гарантирует защиту одного открытого сервера от другого в случае нарушения безопасности одного из них. В случае размещения всех серверов в одной сети такой возможности не существует, и, получив доступ к одной из машин, нарушить работу остальных достаточно просто.
Proxy - помощник или конкурент?
Все системы firewall обычно делятся на два основных класса - packet-filtering и application proxy. Системы первого типа свои функции выполняют на уровне протокола TCP/IP. Вторые обычно являются набором прокси-программ для каждого из поддерживаемых типов сервисов. Firewall-1 имеет свойства каждого из этих классов, и, казалось бы, наличие дополнительного прокси-сервера для HTTP и FTP является избыточным. Однако такой прокси-сервер позволяет в некоторых случаях сильно упростить политику безопасности, а также исключить ряд неприятных возможностей доступа извне к машинам внутренних сетей.
Firewall-1 имеет ряд полезных функций по контролю соединений HTTP и FTP: запрещение доступа к спискам URL, вырезание тегов Java и ActiveX из загружаемых страничек, антивирусная проверка файлов, ограничение доступа по паролю и т. п. Однако такая проверка обычно выполняется для стандартного протокола HTTP, который использует порт 80. Безусловно, существует возможность описания и других портов, но это становится не очень удобным, а иногда такой вариант и просто неприемлем, так как очень многие русскоязычные сайты используют для разных кодировок произвольные порты. В таком случае приходится либо открывать для доступа в глобальную сеть все старшие порты TCP/IP, либо постоянно добавлять тот или иной порт для новых сайтов. Кроме того, ряд сайтов использует тот же номер порта, что и доступные http-прокси вне локальной сети предприятия. В случае необходимости применения ограничений на HTTP вариант с внешними прокси сводит на нет все усилия администратора.
Также достаточно неприятным моментом является возможность доступа к машинам локальной сети предприятия с использованием стандартных средств протокола FTP - обратного соединения. В случае если firewall позволяет пользователям работать напрямую по протоколу FTP, для передачи данных обычно используется соединение, открываемое машиной, находящейся вне внутренней сети, к машине, запросившей файл. Причем в зависимости от реализации firewall, такое обратное соединение может быть открыто либо только к машине, инициировавшей ftp-сессию (такая проверка есть в Firewall-1), либо вообще к любой машине.
Установка прокси-сервера на отдельном сетевом сегменте системы firewall позволяет решить эти проблемы. Так как все пользователи обращаются к прокси-серверу по единственному порту TCP, есть возможность применения всех средств контроля протоколов FTP и HTTP в одном месте - между пользователями и прокси-сервером. В случае с протоколом FTP, установка прокси исключает возможность использования обратного соединения, так как всю работу по FTP прокси-сервер выполняет сам. Заметим, что использование только прокси-сервера в качестве центрального элемента защиты во многих случаях просто невозможно.
Служба DNS — двуликий Янус
При построении системы защиты предприятия, имеющего доступ к открытым сетям, важным принципом является сокрытие информации о внутреннем устройстве сети от внешних лиц. Один из источников такой информации — служба имен DNS. Классическим решением этой задачи может служить установка двух отдельных серверов DNS — одного для обслуживания запросов внутренних пользователей, другого для запросов имен извне (некоторые системы защиты предоставляют средства, объединяющие эти два DNS-сервера на одном компьютере, но функциональность этих средств, как правило, ограничена). Внутренний сервер должен содержать всю информацию о внутренней сети предприятия, а для разрешения запросов об именах внешних машин обращаться к внешнему серверу организации, который содержит записи, необходимые только для поддержания функционирования сервера имен, и имена публичных серверов (SMTP, Web, FTP). Такая структура позволяет создать полноценную службу DNS внутри организации, а на все внешние запросы DNS сообщать информацию только о доступных всем серверах.
Адресная трансляция
При подключении к Internet организация обычно получает в свое распоряжение одну сеть класса С, что позволяет использовать 254 уникальных адреса для компьютеров в сети предприятия (наличие внутри сети маршрутизаторов сокращает это число). Кроме очевидной проблемы с количеством, использование выделенных Internet-адресов достаточно сильно снижает гибкость при распределении адресов, создает массу трудностей при смене провайдера услуг Internet, обеспечивает потенциальную возможность доступа извне к любой машине, имеющей такой адрес. Не случайно в пространстве IP-адресов существуют области, специально зарезервированные для внутреннего использования. При применении этих адресов администратор сети имеет возможность назначать внутренним машинам адреса из сетей любого класса по своему усмотрению. Это снимает все ограничения на количество IP-адресов во внутренней сети и вместе с тем затрудняет задачу доступа к таким адресам из внешнего мира. В простейшем случае с помощью NAT (Network Address Translation) возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.
Для организации работы таких сетей с Internet используется механизм трансляции адресов (NAT). Обычно эти функции (NAT) выполняет либо маршрутизатор, либо система firewall - эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов. Check Point Firewall-1 имеет достаточно гибкие возможности по организации NAT. В простейшем случае администратору достаточно поставить галочку, разрешая трансляцию адресов, и указать, в какой реальный адрес (или начиная с какого) и как (Static/Hide) транслировать адрес данной машины, сети или набора адресов.
Если же требуется более сложная конфигурация, Firewall-1 позволяет в ручном режиме задать правила трансляции в зависимости от адресов источника или назначения и типа протокола, которому принадлежит пакет.
Удаленный доступ в схеме "корпорация и провайдер"
Во многих организациях необходимо обеспечить возможность работы удаленных или мобильных пользователей с каким-либо ресурсом внутренней сети компании по телефонной линии через модем или через ближайшего к ним провайдера. Оба случая требуют особого внимания к аутентификации пользователей и защите передаваемых данных.
Хорошим решением в таких случаях могут стать средства Firewall-1 SecuRemote. Этот пакет может быть установлен на компьютерах удаленных пользователей для защиты от прослушивания и изменения конфиденциальной информации и обеспечения безопасности процедур входа и регистрации при загрузке или аутентификации. SecuRemote использует средства с открытым ключом, причем использование их возможностей может быть ограничено лишь отдельными видами трафика, тогда как остальной обмен (например, выход в глобальную сеть) может передаваться в открытом виде. Аутентификация firewall поддерживает целый ряд программных и аппаратных средств других производителей - ActiveCard, Axent/ AssureNet, Funk Software, Security Dynamics/RSA, VASCO Data Security. При реализации удаленного доступа мы рекомендуем устанавливать устройства удаленного доступа на отдельный интерфейс системы firewall. Как отмечалось выше, это позволяет полностью контролировать как доступ к серверам удаленного доступа, так и все процессы авторизации пользователей (обычно в крупных системах используются внешние серверы авторизации).
Схема с полностью скрытым шлюзом (и VPN)
Как бы ни была построена сеть компании и система защиты, главным является сам firewall.
Как правило, большинство ограничений и проверок выполняются именно этой машиной, и firewall имеет интерфейсы во все основные сети предприятия. Защита самого firewall по этой причине является одной из важных задач в обеспечении безопасности сети. Для решения этой задачи используются два основных элемента. Во-первых, выключение на компьютере всех, не относящихся к firewall служб и запрещение любого трафика, адресатом или инициатором которого мог бы быть firewall. Модули Firewall-1 устанавливаются сразу за драйверами сетевых адаптеров до операционной системы, что позволяет оградить firewallот различных атак, направленных на стек TCP/IP. Во-вторых, для затруднения неавторизованного доступа к firewall используют адреса из пространства, зарезервированного самим firewall. Для попытки подключения к такой машине необходимо узнать ее IP-адрес, что практически невозможно при отсутствии доступа к расположенным поблизости от firewall маршрутизаторам. Если такой адрес все же стал известен, для доставки пакета с таким "нелегальным" адресом назначения через открытую сеть потребуются определенные усилия.
Организация такой схемы защиты предполагает наличие маршрутизатора между firewall и внешней сетью для использования зарезервированных адресов на всех интерфейсах firewall, а также для фильтрации нежелательных пакетов с его внешнего интерфейса.
Конечно, необходимо обеспечить защиту внешнего маршрутизатора, но эта задача несоизмеримо проще. Как правило, предоставляемые маршрутизаторами средства фильтрации прекрасно приспособлены для защиты самого устройства и в меньшей степени пригодны для реализации полнофункциональной защиты предприятия. Для облегчения задачи создания правил фильтрации можно использовать Firewall-1 Router Extension, который поддерживает генерацию и установку списков фильтрации на маршрутизаторы Bay Networks, Cisco, 3Com. Этот механизм полностью интегрирован в политику безопасности Firewall-1, его средства управления и мониторинга.
Протоколы администрирования сетевых устройств
Большинство сетевых устройств управляется и конфигурируется по протоколам telnet или SNMP v1, причем многие не имеют возможности задавать список адресов станций управления.
Авторизация построена на передаче секретной строки текста, причем эта передача идет в незакодированном виде. Таким образом, любой пользователь, находящийся в одном сегменте с администратором, может узнать полную конфигурацию или даже получить доступ к управлению устройствами. При построении системы защиты имеет смысл постараться привести структуру сети к такому виду, чтобы возможность этих действий была сведена к минимуму. Одним из решений, не требующих замены или модернизации сетевых устройств для поддержки какого-либо из протоколов с защитой информации, является вынесение всех администраторов и интерфейсов сетевых устройств, через которые ведется управление, в одну сеть или в одну виртуальную локальную сеть. Связь выделенной для управления части сети с остальными частями внутренней сети и внешним миром должна быть защищена firewall с блокировкой всего SNMP, telnet и др. трафика в направлении этой сети.
Вирусы в сети и способы борьбы с ними
Кроме стандартных способов борьбы с вирусами, таких как сканирование дисковых разделов, где хранятся файлы, и почтовых ящиков, в Firewall-1 имеется возможность проводить проверку всего входящего и выходящего SMTP, FTP и HTTP-трафика на наличие в нем вирусов и архивов с зараженными файлами.
Специально для этих целей создан протокол CVP (Content Vectoring Protocol), который поддерживают продукты многих компаний-изготовителей антивирусных средств (Symantec, EliaShim, McAfee, Integralis, Cheynne). Антивирусный сервер представляет собой отдельный компьютер с работающим на нем антивирусным программным обеспечением. Firewall передает ему все проходящие через него файлы, а проверенные или вылеченные направляет затем пользователю.
FireWall-1 сертифицирован Гостехкомиссией
8 октября 1997 года межсетевой экран FireWall-1 компании Check Point Software Technologies Ltd., пройдя сертификационные испытания, получил сертификат Государственной технической комиссии при Президенте Российской Федерации № 111.