2000 г
Направления развития средств безопасности предприятия
Виктор Олифер, Корпорация Uni
Сегодня неотъемлемым элементом бизнеса многих предприятий становится осуществление электронных транзакций по Internet и другим публичным сетям. Прогнозируемое превращение в недалеком будущем Internet в новую публичную сеть (New Public Network), предоставляющую массовому пользователю все виды информационных услуг и переносящую все виды трафика в глобальном масштабе, должно превратить эту тенденцию в норму жизни. Электронная коммерция, продажа информации, оказание консультационных услуг в режиме on-line и многие другие услуги становятся для предприятий в новых условиях основными видами деятельности, поэтому разрушение информационного ресурса, его временная недоступность или несанкционированное использование могут нанести предприятию значительный материальный ущерб. В связи с этим информационные ресурсы и средства осуществления электронных сетевых транзакций (серверы, маршрутизаторы, серверы удаленного доступа, каналы связи, операционные системы, базы данных и приложения) нужно защищать особенно надежно и качественно - цена каждой бреши в средствах защиты быстро растет и этот рост будет в ближайшем будущем продолжаться.
Поддержание массовых и разнообразных связей предприятия через Internet с одновременным обеспечением безопасности этих коммуникаций является сегодня основным фактором, влияющим на развитие средств защиты предприятия.
Трансформация Internet в глобальную публичную сеть означает для средств безопасности предприятия не только резкое увеличение количества внешних пользователей и разнообразие типов коммуникационных связей, но и сосуществование с новыми сетевыми и информационными технологиями. Для создания прочной основы массовой глобальной сети IP-технологии быстро приобретают такие новые свойства как поддержка дифференцированного по пользователям и приложениям качества обслуживания (QoS), управление сетью на основе централизованной политики, групповое вещание и т.д., и т.п. Постоянно появляются и новые информационные сервисы, например, сервис передачи голоса - VoIP, сервис поиска и доставки новостей PointCast и другие. Средства безопасности должны учитывать эти изменения, так как каждая новая технология и новый сервис могут потребовать своих адекватных средств защиты, а также оказать влияние на уже применяемые. Например, дифференцированное обслуживание трафика на основе признаков, находящихся в заголовке и поле данных IP-пакета, может быть затруднено работой средств инкапсуляции и шифрации IP-пакетов, применяемых в защищенных каналах VPN и закрывающих доступ к нужным признакам. На средства защиты может оказать значительное влияние и появление новых отдельных продуктов, особенно в том случае, когда ожидается массовое применение такого продукта (свежий пример этого рода - выход в свет Windows 2000).
Перспективные средства защиты данных предприятия должны учитывать появление новых технологий и сервисов, а также удовлетворять общим требованиям, предъявляемым сегодня к любым элементам корпоративной сети:
- Основываться на открытых стандартах. Средства защиты особенно тяготеют к фирменным решениям, т.к. отсутствие информации о способе защиты безусловно повышает эффективность защиты. Однако без следования открытым стандартам невозможно построить систему защиты коммуникаций с предприятиями-партенерами и массовыми клиентами, которых поставляет сегодня Intrenet. Принятие таких стандартов как IPSec и IKE представляет значительный шаг в направлении открытости стандартов и эта тенденция должна поддерживаться.
- Обеспечивать интегрированные решения. Интеграция требуется в разных аспектах:
- интеграция различных технологий безопасности между собой для обеспечения комплексной защиты информационных ресурсов предприятия - например, интеграция межсетвого экрана с VPN-шлюзом и транслятором IP-адресов.
- интеграция средств защиты с остальными элементами сети - операционными системами, маршрутизаторами, службами каталогов, серверами QoS-политики и т.п.
- Допускать масштабирование в широких пределах, то есть обеспечивать эффективную работу при наличии у предприятия многочисленных филиалов, десятков предприятий-партнеров, сотен удаленных сотрудников и миллионы потенциальных клиентов.
Для того, чтобы обеспечить надежную защиту ресурсов корпоративной сети сегодня и в ближайшем будущем, разработчики системы безопасности предприятия должны учитывать следующие основные тенденции:
1. Координированный контроль доступа в нескольких точках
Межсетевые экраны традиционно являются основным средством контроля внешнего доступа к ресурсам корпоративной сети, ограничивая проникновение трафика во внутренние подсети предприятия и тем самым существенно снижая потенциальные угрозы для ресурсов корпоративной сети. Долгое время функции межсетевых экранов ориентировались на достаточно простую схему доступа:
- Доступ контролировался в одной точке, которая располагалась на пути соединения внутренней сети с Internet или другой публичной сетью, являющейся источником потенциальных угроз.
- Все субъекты доступа делились на группы по IP-адресам, причем чаще всего - на две группы - внутренние пользователи и внешние пользователи. Таким образом субъектами доступа были подсети и классификацию трафика выполнять было достаточно просто - по IP-адресам, явно указанным в пакете.
- Внешним пользователям разрешалось для доступа к внутренним ресурсам сети использовать один-два популярных сервиса Internet, например электронную почту, основанную на протоколе SMTP, а трафик остальных сервисов отсекался
Сегодня в связи с широким использованием разнотипных соединений внутренней сети предприятия с Internet и через Internet, а также повышенными требованиями к защите ресурсов от внутренних угроз схема контроля доступа существенно усложняется.
У предприятия появляется, как правило, несколько точек контроля доступа. Во-первых, это точки, в которых контролируется доступ к нескольким внешним сетям, например, к публичной части Internet и IP-сети провайдера. Предприятие может также иметь несколько связей с Internet через разных провайдеров для надежности или по другим соображениям. Кроме того, вовлечение в автоматизированную обработку информации практически всех подразделений предприятия и повышение требований к защите обрабатываемой и передаваемой информации приводит к необходимости использования межсетевых экранов и между внутренними подсетями, что приводит к появлению дополнительных точек контроля доступа.
Применение нескольких межсетевых экранов в пределах одной внутренней сети требует изменений их функциональных возможностей. Прежде всего это касается возможности координированной работы всех экранов на основе общей политки доступа. Координация нужна для того, чтобы корректно обрабатывать пакеты пользователей независимо от того, через какую точку доступа проходит их маршрут. Изменение маршрутов пакетов может происходить как на долговременной, так и на кратковременной основах. Долговременные изменения (на часы или сутки) происходят обычно из-за перемещения пользователя между разными географическими пунктами (сегодня пользователь работает в основном здании, завтра - дома, а через неделю - в филиале в другом городе) и для их учета достаточно загрузить во все межсетевые экраны единый набор правил контроля доступа. Кратковременные изменения маршрута пакетов - на секунды или даже миллисекунды - вызываются динамической природой IP-маршрутизации (ожидаемый переход на маршрутизацию с учетом маршрутизаторов - QoS-based routing -, только усилит эту динамику). Кратковременные изменения маршрутов требуют от экрана не только координированного задания правил доступа, но и синхронизации состояний отслеживаемых сессий во всех экранах для того, чтобы любой пакет корректно соотносился с определенной сессией.
Для обеспечения масштабируемости координация правил доступа требует централизованной системы задания и распространения правил.
2. Управление доступом на уровне пользователей
В новых условиях требуются изменения и в отношении субъектов доступа - наряду с подсетями ими все чаще становятся группы пользователей и даже отдельные пользователи. Это связано, во-первых, с тем, что через Internet и другие глобальные сети с корпоративной сетью сегодня связываются различные категории пользователей, и им необходимо предоставить различный доступ к внутренним ресурсам. Во-вторых, ориентация на пользователей является следствием применения межсетевых экранов для контроля трафика между внутренними подсетями, что добавляет к субъектам межсетевого доступа большую армию сотрудников данного предприятия. В результате от межсетевого экрана требуется распознавание большого числа групп пользователей, в которые входят:
- Сотрудники подразделений предприятия, работающие во внутренней сети
- Удаленные и мобильные сотрудники предприятия
- Сотрудники предприятий-партнеров по бизнесу, в том числе удаленные и мобильные
- Клиенты предприятия, получающие услуги по Internet
- Потенциальные клиенты, просматривающие рекламные материалы предприятия через Internet.
Каждая из этих категорий пользователей отличается правами доступа, причем категории могут включать и подкатегории, а некоторым пользователям (например, руководителям или администраторам) нужен индивидуальный доступ.
Классифицировать эти группы пользователей только на основании их IP-адреса, как это традиционно делали межсетевые экраны, практически невозможно, учитывая применение таких методов управления IP-адресами как DHCP, NAT и туннелирование. Поэтому контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Кроме того, очень желательна тесная интеграция этих средств с применяемыми в сетях системами администрирования и аутентификации пользователей.
Пользователь, прошедший аутентификацию на межсетевом экране, становится объектом правил доступа, разработанных либо для него лично, либо для группы пользователей, куда он входит. Кроме детализации прав доступа, работа на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью. Такой аудит дает информацию о том, кто, когда и с помощью каких средств (протоколов и приложений) получал доступ к ресурсам предприятия.
Управление безопасностью на уровне пользователей не исключает использования IP-адресов при принятии решений о доступе и отслеживании активности пользователей. Более того, выполнение детального аудита невозможно без информации о том, какому пользователю принадлежит IP-адрес, указанный в пакетах, с помощью которых выполнялся тот или иной доступ к ресурсам. В условиях динамического назначения и изменения адресов эта задача требует от системы безопасности дополнительной работы по установлению соответствия между пользователями и используемыми ими IP-адресами.
3. Развитие методов и средств аутентификации
Для работы с пользователями межсетевой экран (а при необходимости и другие средства безопасности, например, шлюз VPN) может выполнять аутентификацию пользователей либо полностью самостоятельно, либо с привлечением внешних систем аутентификации и авторизации, которые имеются в сетевых операционных системах или системах удаленного доступа. Самостоятельное выполнение аутентификации экраном ведет к дублированию базы учетных записей пользователей, что нежелательно по многим причинам. В то же время сегодня в корпоративных сетях широко используются средства аутентификации, основанные на централизованной службе каталогов, такой как NDS компании Novell или Directory Services компании Microsoft (которую должна сменить служба Active Directory для Windows 2000, обладающая существенно более высокой масштабируемостью и совместимостью с основными стандартами Internet ). Такие системы аутентификации обладают многими привлекательными свойствами:
- обеспечивается единый логический вход пользователя в сеть (а не на отдельный сервер),
- администратор работает с единственной записью учетных данных о каждом пользователе и системном ресурсе,
- система отлично масштабируются за счет распределенного характера базы данных каталога,
- доступ к данным каталога осуществляется с помощью стандартного для Internet протокола LDAP (службой Directory Services не поддерживается)
- данные о пользователях и ресурсах сети хранятся в иерархическом виде, соответствующем структуре организации и сети.
Для повышения эффективности работы с пользователями межсетевой экран должен уметь использовать учетные данные, хранящиеся в службе каталогов сети, при конструирования правил доступа (например, обращаясь к ним по протоколу LDAP), а также выполнять транзитную аутентификацию, выполняя роль посредника между пользователем и используемой в сети системой аутентификации. Такой вариант работы средств безопасности позволяет администратору средств безопасности сосредоточиться на выполнении своих прямых обязанностей и не дублировать работу по администрированию пользователей.
Особым случаем является аутентификация массовых клиентов предприятия, которые возникают при ведении бизнеса с помощью Internet. При усложнении схем бизнеса появляются различные категории массовых клиентов, которым нужно давать разные права доступа. Для аутентификации массовых клиентов традиционные схемы на основе индивидуальных паролей неэффективны, так как требуют ввода в систему и хранения каждого пароля, и, следовательно, плохо масштабируются. Для работы с массовыми пользователями очень желательно, чтобы межсетевой экран поддерживал технологию аутентификации на основе цифровых сертификатов стандарта X.509 и инфраструктуры публичных ключей (PKI), которая получает все большее распространение в Internet. Сертификаты позволяют разбить пользователей на несколько классов и предоставлять доступ в зависимости от принадлежности пользователя к определенному классу. Инфраструктура публичных ключей нужна для организации жизненного цикла сертификатов и позволяет, в частности, проверить подлинность предъявленного сертификата за счет проверки подлинности цифровой подписи сертифицирующей организации (Certificate Authority) или цепочки сертифицирующих организаций, если организация, выдавшая сертификат, не входит в перечень пользующихся на данном предприятии доверием сертификационных центров.
Аутентификация на основе сертификатов может применяться не только к массовым клиентам, но и к сотрудникам предприятий-партнеров, а также и к собственным сотрудникам.
Поддержка межсетевым экраном сертификатов и инфраструктуры публичных ключей приводит к исключительно масштабируемым системам аутентификации, так как в этом случае в системе требуется хранить только открытые ключи нескольких корневых сертифицирующих организаций и поддерживать протоколы взаимодействия с их серверами сертификатов. Для успешной работы в гетерогенной среде, порождаемой взаимодействием с различными пользователями и организациями, важно, чтобы средства безопасности могли поддерживать продукты PKI основных ведущих производителей, таких как Entrust, Netscape, Microsoft и т.п.
4. Контроль доступа на основе содержания передаваемой информации
Во многих случаях необходимо контролировать доступ не на основе IP-адресов или каких-либо данных об отправителях/получателях, а в зависимости от содержания передаваемой информации. Например, многие атаки на сеть основаны на внедрении вирусов в коды загружаемых пользователями предприятия программ или в макросы загружаемых документов. Часто источником угроз является содержимое электронной почты, рассылаемой в массовом порядке. Еще одним распространенным типом содержания, представляющего потенциальную опасность для сети, являются Java и ActiveX апплеты, загружаемые в компьютеры предприятия при просмотре активных Web-страниц.
Средства контроля содержания могут также служить эффективным дополнением для традиционных средств контроля доступа в том случае, когда, например, доступ на уровне пользователей был ошибочно задан слишком свободно, но известен список ключевых слов, содержащихся в конфиденциальных документах.
Так как для каждого типа потенциально опасного содержания требуется применение специфических методов контроля, то доступ по содержанию обычно выполняется отдельными продуктами, дополняющими функции межсетевого экрана. Однако, для повышения оперативности защиты важно, чтобы экран мог самостоятельно выполнять некоторый набор примитивных функций, часто также относимых к контролю доступа по содержанию, например:
- разрешение выполнения только определенного подмножества операций, определенных в протоколе (например, только команды GET в протоколе FTP или метода GET в протоколе HTTP),
- доступ только по определенному списку URL,
- доступ на основе списка разрешенных адресов электронной почты.
В остальных случаях межсетевой экран должен уметь взаимодействовать со специализированными продуктами, передавая им проверку определенного типа содержания.
5. Защита данных при передаче через публичные сети
Средства контроля доступа защищают внутренние ресурсы сети от преднамеренного и непреднамеренного разрушения или использования. Широкое использование Internet и других публичных сетей для организация различных связей предприятия делает необходимым защищать информацию также и при ее передаче. Эта задача решается средствами создания виртуальных частных сетей (VPN) в публичных сетях с коммутацией пакетов. Средства VPN организуют в публичных сетях защищенные каналы, по которым передаются корпоративные данные. Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для скрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.
Предыдущие поколения VPN-шлюзов (защищающих данные всех узлов сети) и VPN-клиентов (защищающих данные отдельного компьютера) во многом использовали фирменные алгоритмы и протоколы защиты данных (для аутентификации сторон, реализации цифровой подписи и шифрования). Сегодня ситуация изменилась - основой для организации защищенных VPN-каналов стал комплекс стандартов Internet, известный под названием IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов и инфраструктуры PKI, что делает решение IPSec масштабируемым и согласованным с другими средствами защиты, например, контроля доступа. Протоколы IPSec прошли успешную широкомасштабную проверку в экстрасети ANX автомобильных концернов Америки, и поддержка IPSec сегодня стала обязательным условием для перспективных VPN-продуктов.
Средства VPN предприятия должны эффективно поддерживать защищенные каналы различного типа:
- с удаленными и мобильными сотрудниками (защищенный удаленный доступ)
- с сетями филиалов предприятий (защита intranet)
- с сетями предприятий-партнеров (защита extranet)
Для защиты удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем, которые сегодня пока не поддерживают протоколы IPSec в стандартной поставке. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен, а возможно и тысяч защищенных соединений.
При защите extranet основным требованием является соответствие реализации VPN-продуктов стандартам IPSec, что с большой степенью уверенности подтверждается наличием у продукта сертификата ICSA.
Предприятие может снять с себя часть забот по защите данных, воспользовавшись услугами провайдера по организации VPN. Провайдер настраивает параметры защищенных каналов для своих клиентов в соответствии с их требованиями, а при необходимости дополняет услуги VPN услугами межсетевого экрана, также настраиваемого по заданию пользователя.
В том случае, когда VPN-шлюз поддерживает удаленное защищенное управление, провайдер может взять на себя услуги по конфигурированию и эксплуатации шлюза, установленного на территории пользователя.
6. Интеграция средств контроля доступа и средств VPN
Средства контроля доступа в сеть на основе межсетевых экранов и средства организации защищенных каналов представляют собой две основные составляющие любых систем защиты предприятия, поэтому они должны применяться вместе и работать согласованно. Интеграция этих средств может порождать определенные проблемы, особенно в том случае, когда эти средства выполнены в виде отдельных продуктов.
Так как и межсетевой экран и VPN-шлюз могут требовать проведения аутентификации пользователей, то желательно согласовывать эти процедуры и выполнять их по возможности прозрачным для пользователя способом. Использование общих схем аутентификации, например, на основе цифровых сертификатов и PKI, упрощает эту задачу.
Другой аспект интеграции связан с взаимным расположением экрана и шлюза относительно внешней связи. Экран может выполнять контроль доступа только при работе с незашифрованным трафиком, поэтому по этой причине он должен располагаться после VPN-шлюза. С другой стороны, многие VPN-шлюзы, выполненные как отдельные продукты, не могут защитить себя от разнообразных атак из внешней сети, с чем хорошо справляются межсетевые экраны. Из этих соображений экран помещается перед VPN-шлюзом, но тогда экран пропускает любой зашифрованный трафик, полагаясь на то, что аутентифицированная сторона не причинит вреда внутренним ресурсам сети, что не всегда соответствует действительности. Часто производители отдельных VPN-устройств считают предпочтительной параллельную установку экрана и VPN-шлюза за счет двух каналов доступа к публичной сети. Эта архитектура потенциально еще более опасна, чем предыдущие: VPN-устройство открыто для атак из публичной сети, а контроль доступа для трафика, проходящего через VPN-шлюз, не производится.
Наиболее просто вопросы интеграции решаются при объединении функций межсетевого экрана и VPN-шлюза в одном продукте, но это требует высокопроизводительной платформы, так как вычислительная сложность операций аутентификации и VPN существенно выше сложности операций фильтрации трафика при контроле доступа. При решении проблем производительности реализациия межсетевого экрана и VPN-щлюза в одном продукте является наиболее перспективной для организации комплексной защиты корпоративной сети.
7. Обнаружение вторжений
Повысить уровень защищенности корпоративной сети можно с помощью средств обнаружения вторжений (Intrusion Detection). Средства обнаружения вторжений хорошо дополняют защитные функции межсетевых экранов. Если межсетевые экраны стараются отсечь потенциально опасный трафик и не пропустить его в защищаемые сегменты, то средства обнаружения вторжений анализируют результирующий (то есть прошедший через межсетевой экран или созданный внутренними источниками) трафик в защищаемых сегментах и выявляют атаки на ресурсы сети или действия, которые могут классифицироваться как потенциально опасные (подозрительные). Средства обнаружения вторжений могут также использоваться и в незащищенных сегментах, например, перед межсетевым экраном, для получения общей картины об атаках, которым подвергается сеть извне.
Средства обнаружения вторжений автоматизируют такие необходимые элементы деятельности администратора системы безопасности, как:
- регулярный анализ событий, связанных с доступом к ресурсам, по данным журналов аудита,
- выявление атак и подозрительной активности,
- выполнение ответных действий - реконфигурация средств защиты (межсетевых экранов, настроек операционных систем и т.п.) для пресечения подобных атак в будущем.
Для выполнения своих функций средства обнаружения вторжений обычно используют экспертные системы и другие элементы искусственного интеллекта (например, подсистему самообучения). База данных экспертной системы должна содержать сценарии большинства известных на сегодняшний день атак и постоянно пополняться.
Средства обнаружения вторжений могут обнаружить атаку в реальном времени, анализируя реальный трафик в сети, а не журнал аудита. В этом случае желательным свойством такой системы будет тесная интеграция с межсетевым экраном для немедленного блокирования трафика злоумышленника.
Средства обнаружения вторжений должны учитывать тенденции развития технологий корпоративных сетей - наличие большого количества коммутируемых сегментов, логическую структуризацию сети на основе VLAN, защиту внутреннего трафика с помощью VPN и т.п. Только в этом случае анализ трафика будет полным, а защищенность сети - высокой.
Еще одним важным требованием к средствам обнаружения вторжений является их масштабируемость, которая требуется для выполнения эффективного контроля в условиях постоянно увеличивающего количества сегментов и подсетей, а также количества защищаемых узлов в корпоративной сети.
8. Обеспечение высокой производительности средств защиты и поддержка QoS
Появление и широкое распространение новых высокоскоростных сетевых технологий, в том числе и технологий доступа к глобальным сетям и Internet (xDSL, кабельные модемы и т.п.), ставит перед средствами защиты новые задачи в области производительности. Разработанные первоначально для работы на одном канале доступа со скоростями в десятки, максимум сотни килобит, межсетевые экраны и VPN-устройства сегодня должны обрабатывать трафик в реальном времени на скоростях в десятки, а иногда и сотни мегабит.
Учитывая вычислительную сложность и специализированный характер многих операций, выполняемых средствами защиты, основным направлением повышения производительности этих средства является аппаратная реализация типовых функций, используемых при аутентификации и других VPN-операциях. Аппаратное устройство может быть выполнено как дополнение к стандартной компьютерной платформе, или же в виде автономного специализированно устройства, включающего компьютерную платформу и выполняющему все функции экрана или VPN-шлюза.
Производительность отдельного устройства всегда ограничена, поэтому весьма перспективным является поддержка средствами защиты такого классического способа повышения производительности как распараллеливание. Кластеры VPN-шлюзов или межсетевых экранов, синхронизирующие свою работу, могут понадобиться для обслуживания тысяч одновременных соединений, возникающих при современном ведении бизнеса через Internet.
Еще одной существенной тенденцией в области производительности, которую нужно учитывать при развитии систем безопасности, является быстрое развитие различных технологий поддержки качества обслуживания (QoS) для IP-сетей. Эти технологии распределяют доступную полосу пропускания между классами трафика и отдельными соединениями, обеспечивая тем самым определенное качество транспортного обслуживания, требуемое для многих современных приложений. Для успешной работы таких QoS-технологий как DiffServ, RSVP и MPLS, применяемых сегодня как в корпоративных сетях, так и в Internet (пока - только на магистралях отдельных провайдеров), нужна их сквозная поддержка всеми сетевыми устройствами, через которые проходит трафик соединений. Устройства защиты - межсетевые экраны и VPN-устройства - всегда располагаются в точках, через которые проходит внешний трафик, поэтому данные устройства должны поддерживать QoS-технологии, чтобы обеспечить качество обслуживания "из конца в конец".
Поддержка функций QoS в межсетевом экране или VPN-шлюзе важна и в том случае, когда остальные устройства сети и публичная сеть не поддерживают управление качеством обслуживания. Обеспечиваемое устройством защиты дифференцированное обслуживание разных классов трафика в канале связи с внешней сетью (который часто представляет собой узкое место) способно заметно улучшить работу наиболее ответственных приложений.
В том случае, когда VPN-шлюз не поддерживает QoS-протоколы, он должен быть расположен в сети так, чтобы не мешать работе других QoS-устройств, которым нужен доступ к данным заголовков IP-пакетов для классификации трафика..
9. Надежность и отказоустойчивость средств защиты
Очевидно, что к надежности и отказоустойчивости средств защиты предприятия, предъявляются очень высокие требования, так как при отказе, например, межсетевого экрана или VPN-шлюза, предприятие полностью или частично (в зависимости от количества каналов связи) лишается возможности взаимодействовать с внешним миром, а это при современной схеме ведения бизнеса крайне убыточно.
Надежность и отказоустойчивость отдельного продукта безопасности определяется соответствующими характеристиками его платформы и качеством реализации самого продукта. Для обеспечения нужного уровня надежности средств защиты необходимо тщательно выбирать для них платформу (компьютер и операционную систему) или же пользоваться аппаратными устройствами безопасности, надежность которых гарантируется производителем.
В особо ответственных применениях надежность и отказоустойчивость системы защиты необходимо повышать за счет резервирования и избыточности самих средств защиты - межсетевых экранов, VPN-устройств, средств обнаружения вторжений и т.д. Для поддержки такой архитектуры устройства защиты должны поддерживать возможность работы по схемам горячего резервирования или кластерной организации с полной синхронизацией состояний. Переход на резервный межсетевой экран или избыточный шлюз должен происходить автоматически при обнаружении отказа основного устройства. Важным свойством отказоустойчивых средств безопасности является прозрачность перехода на резервное устройство для внешних пользователей, сессии которых не должны разрываться из-за реконфигурации устройств защиты.
10. Защищенное и эффективное управление инфраструктурой IP-адресов предприятия
Инфраструктура IP-адресов современного предприятия, ведущего бизнес с помощью Internet, является для системы безопасности одновременно и ресурсом, который нужно защищать, и источником данных, на основе которых система безопасности выполняет свои основные обязанности - управляет доступом к другим ресурсам сети, обнаруживает атаки и т.д.
Защита IP-адресов предприятия состоит в скрытии их от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе. Обычно для этой цели в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями. Провайдеры Internet не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на хост с частным адресом извне корпоративной сети, что существенно повышает безопасность сети.
Для обеспечения взаимодействия сети с частными адресами с внешним миром в Internet разработана техника трансляции адресов NAT, поддержка которой является прямой обязанностью системы безопасности. Реализация некоторых режимов NAT (например, организация соединений по инициативе внешних хостов или двойной NAT, решающий проблему пересечения адресного пространства внутренних и внешних адресов) требует помощи службы DNS, поэтому для защиты адресного пространства средства безопасности должны быть тесно интегрированы с этой службой.
Защиту IP-адресов обеспечивают также VPN-шлюзы, скрывающие за счет инкапсуляции истинный адрес отправителя и отправляющие пакет во внешнюю сеть от адреса своего внешнего интерфейса.
Перспективные средства защиты IP-адресов должны учитывать возможность использования адресации по стандарту IPv6, плавный переход на который ожидается в ближайшем будущем.
Интеграция средств безопасности с основными службами сети, управляющими IP-адресацией, нужна и для выполнения первыми основных функций по контролю доступа. Традиционное использование средствами защиты IP-адресов в качестве идентификаторов субъектов доступа сегодня существенно затрудняется динамическим характером назначения адресов, поддерживаемым службой DHCP. Для того, чтобы сопоставить IP-адрес с пользователем, средства защиты должны получать информацию от двух сетевых служб: аутентификации и DHCP.
Наличие службы DHCP влияет и на работу транслятора адресов, который должен при установлении внешних соединений с внутренними хостами корректно заменять DNS-имена на внутренние IP-адреса хостов. Эта проблема может решаться стандартным образом, если служба DNS поддерживает режим Dynamic DNS, в противном случае сервис NAT должен решать ее самостоятельно.
В результате для эффективной работы в новых условиях средства безопасности сети должны уметь координировать свою работу с основными службами управления IP-адресами (DHCP, DNS), а также обеспечивать поддержку новых протоколов, связанных с IP-адресацией (например, IPv6, Mobile IP) в случае необходимости.
11. Централизованное управление средствами безопасности
Наличие у современного предприятия многочисленных средств защиты (межсетевых экранов, VPN-шлюзов, VPN-клиентов, систем аутентификации, контроля доступа по содержанию и т.п.), распределенных к тому же по территории, требует централизованного управления.
Централизованное управление средствами безопасности подразумевает наличие некоторой единой (возможно, распределенной) базы правил, описывающих согласованную политику безопасности предприятия. Эта политика определяет поведение многочисленных средств защиты предприятия - межсетевых экранов, VPN-шлюзов, VPN-клиентов, трансляторов адресов и т.п. Согласованное задание администратором правил политики безопасности для различных устройств защиты с помощью общей консоли управления обеспечивает их непротиворечивость и эффективность, а также сокращает затраты труда и, соответственно, стоимость управления. Каждое устройство защиты, работающее в сети, должно поддерживать взаимодействие с централизованной системой управления и получать от нее защищенным образом правила безопасности, относящиеся к данному устройству. Управление на основе политики является эффективным инструментом не только в области безопасности, но в других областях, например, при управлении качеством транспортного обслуживания. Возможность интеграции различных систем управления на основе политики безусловно повышает эффективность управления и является весьма желательным свойством для корпоративных продуктов безопасности и поддержки QoS.
Общая тенденция при построении централизованно управляемых сетей состоит в использовании единой службы каталогов (называемой также справочной службой), хранящей данные, необходимые для управления всеми аспектами сетевой активности и всеми компонентами сети: учетные данные пользователей, права их доступа к сети и отдельным ее ресурсам, данные о распределении программных компонент по компьютерам сети, правила управления качеством обслуживания и т.д. и т.п. Над общей службой каталогов работают различные сетевые сервисы, использующие данные о компонентах сети для выполнения частных задач управления: администрирования пользователей, аутентификации пользователей, управления качеством обслуживания и т.д.
В этом ряду должны находиться и сервисы управления безопасностью, однако пока производители средств безопасности предпочитают использовать для хранения правил политики отдельные базы данных и фирменные протоколы распределения правил по устройствам защиты. Возможно, что дальнейшее развитие и распространение служб каталогов приведет к переносу в них и баз правил политики безопасности. Ситуация усложняется сегодня и тем, что продукты безопасности разных производителей если и имеют систему централизованного управления, то она не совместима с системами управления других производителей.
Наличие централизованных средств управления продуктами безопасности является безусловным требованием для возможности их применения в корпоративном масштабе. Также крайне желательна интеграция систем централизованного управления различными продуктами в единую систему управления, работающую на основе общей политики безопасности.
12. Использование открытых стандартов для интеграции средств защиты разных производителей
Переход на открытые стандарты составляет одну из основных тенденций развития средств безопасности. Такие стандарты как IPSec и PKI обеспечивают защищенность внешних коммуникаций предприятий и совместимость с соответствующими продуктами предприятий-партнеров или удаленных клиентов. Цифровые сертификаты X.509 также являются на сегодня стандартной основой для аутентификации пользователей и устройств. Перспективные средства защиты безусловно должны поддерживать эти стандарты уже сегодня.
Однако стандартизация распространяется пока далеко не все компоненты комплексной системы безопасности предприятия. Большой проблемой остается совместимость продуктов безопасности, работающих внутри сети и обеспечивающих различные аспекты защиты ресурсов. Например, система обнаружения вторжений должна при распознавании атаки каким-то образом воздействовать на межсетевой экран, чтобы заблокировать действия злоумышленника, а также сделать запись в журнале регистрации, который должен быть общим для всех компонент системы безопасности.
Совместимость различных продуктов безопасности можно обеспечить в том случае, когда их выпускает один производитель, и этот путь часто выбирают разработчики систем безопасности предприятия. Однако проблема надежной защиты корпоративных ресурсов настолько сложна и многопланова, что трудно ожидать от одного производителя выпуска всего спектра продуктов по всем направлениям защиты. Другим решением является интеграция лучших продуктов по каждому направлению от разных производителей на основе некоторых открытых стандартов взаимодействия. Построение системы защиты на основе такого подхода является гораздо более гибким и эффективным подходом.
Более подробную информацию вы можете найти на сайте корпорации Uni: http://www-win.uniinc.msk.ru/chkpf/index.htm