GAUNTLET

Защита локальной сети при подключении к Internet

Информация предоставлена "Р-Альфа"

Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ), разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки зрения защиты вариант МЭ - фильтр на уровне приложений, при этом обеспечивает максимальную прозрачность при использовании, возможность создания VPN и простое управление всем этим. Этот МЭ позволяет пользоваться только теми протоколами, которые описал оператор и только в случае их безопасного использования. Безопасность обеспечивается при работе через МЭ в обоих направлениях в соответствии с политикой безопасности, определенной для данной организации. Продукт доступен в предустановленном виде на Pentium машинах, а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день является стандартом де-факто для построения МЭ на уровне приложений. Система Gauntlet получила сертификат Национального Агентства Компьютерной Безопасности США и была проверена Агентством Национальной безопасности США.

Данный продукт предоставляет возможность безопасного и строго аутентифицированного доступа по следующим протоколам:

Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения, которое можно использовать для протоколов, не нуждающихся в авторизации пользователя, например NNTP. В наличии имеется также возможность организовывать "сырые" соединения для пользователей с подтверждениями полномочий. По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.

В дополнение к фильтрации на уровне приложений, МЭ требует внесения определенных изменений в базовую операционную систему. Эти изменения включают:

Дополнительные возможности системы включают в себя особые фильтры, позволяющие организовать на самом МЭ определенные информационные сервисы, такие как

Этот МЭ - единственный из существующих, позволяющий защитить пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные сетевые вирусы, причем независимо от платформы.

Gauntlet разработан по принципу "белого ящика", что на практике означает его распространение вместе с исходными текстами. Кроме того, наиболее простые и эффективные приемы написания программ значительно упрощают анализ исходных текстов.

При изначальной разработке МЭ особое внимание уделялось следующим принципам:

Изначальная конфигурация.

Изначально МЭ не содержит никаких сетевых пользователей, все сетевые сервисы закрыты. В первую очередь необходимо в соответствии с политикой безопасности сети определить защищаемый интерфейс, правила приема/передачи электронной почты. По умолчанию системный журнал сконфигурирован таким образом, что в него записываются:

Кроме этого, во всех записях, связанный с сетевой работой содержится информация о:

Для защиты самого МЭ используются следующие механизмы:

Управление пользователями МЭ позволяет:

МЭ поддерживает два основных режима работы - прозрачный и обычный. при использовании обычного режима порядок действий пользователя для соединения с машиной по другую сторону МЭ выглядит следующим образом:

Второй пункт обычно используется в случае доступа со стороны открытой сети, доступ изнутри наружу может быть разрешен без дополнительной авторизации. Работа в прозрачном режиме выглядит так: Т.е. при доступе из сети, не требующей авторизации, пользователь просто соединяется куда пожелает, и наличие МЭ ему не видно. При работе в любом режиме действуют все правила, определенные администратором МЭ

Краткий обзор по протоколам

  1. Терминальный сервис

    Поддерживается протоколы telnet,rlogin,tn3270. Работа по этим протоколам невозможна в обход МЭ. МЭ может быть сконфигурирован в прозрачном режиме при использовании этих видов сервиса. При стандартном режиме работы пользователь общается только с соответствующей программой, он не осуществляет удаленный вход в систему МЭ. rlogin сервис не использует rlogind сервер на МЭ. telnet и rlogin сервисы обслуживаются разными программами МЭ, соответственно каждый сервис требует отдельной конфигурации.

  2. Протокол передачи файлов

    Протокол FTP аналогично telnet может быть сконфигурирован в прозрачном и обычном режимах. При использовании прозрачного режима графические реализации клиента FTP (например CuteFTP for Windows95) не требуют изменения. При стандартном режиме и в случае дополнительной авторизации графические версии использовать не рекомендуется (можно пользоваться терминальной версией ftp в windows95). МЭ осуществляет полный контроль за использованием команд протокола RETR,STOR и т.д.

  3. Электронная почта.

    МЭ предоставляет поддержку электронной почты с использованием протокола SMTP. Поскольку известно большое количество проблем, связанных со стандартной программы передачи почты sendmail, МЭ не запускает ее в привилегированном режиме. Вместо этого с протоколом SMTP работает специальная программа (2000 строк против 40 000 строк в sendmail), которая обрабатывает все соединения по порту 25, проводит полный анализ всех управляющих команд и заголовков письма, после чего вызывает sendmail для реальной передачи сообщения. Все это происходит не в режиме суперпользователя и на изолированном участке файловой системы. Среди дополнительных возможностей имеется возможность скрыть реальную внутреннюю структуру сети от анализа по почтовым адресам.

    Для чтения почты пользователями используется специальная серверная программа, использующая авторизацию через одноразовые пароли. МЭ поддерживает работу по протоколу POP3 с использованием APOP стандарта( см. RFC1725).

  4. WWW.

    МЭ поддерживает все виды и вариации HTTP протокола. Программа МЭ, отвечающая за этот протокол имеет размер исходных текстов примерно в 20 раз меньше публично доступных аналогичных программ и может быть легко проанализирована. Важнейшим отличием ее от других является возможность блокирования передачи в составе гипертекстовых документов программ на языке JAVA. О полезности этого свойства говорит наличии в архиве CERT 2-3 сообщений о проникновении за системы защиты с помощью программ на этом языке, полученными пользователями приватной сети в составе документа. Кроме того, МЭ позволяет фильтровать такие вещи, как JavaScript и Frames. МЭ позволяет осуществлять контроль за используемыми HTTP методами (GET,PUT,HEAD).

  5. X11.

    X Window System хорошо известная проблемами с безопасностью среда. X11 клиент, соединившийся с сервером, имеет возможность получить контроль над клавиатурой, прочитать содержимое других окон. Система доступа к X11 в МЭ используется совместно с терминальными программами telnet и rlogin. Она определяет псевдо-сервер, с которым и организуется соединений по протоколу X11. При каждом таком соединении пользователю предлагается сделать выбор мышкой - разрешить или запретить работу вызванного приложения.

  6. Удаленная печать.

    В некоторых случаях есть необходимость пересылки по сети печатной информации. МЭ включает средства поддержки удаленной печати. При использовании соответствующей программы проверяется откуда приходит запрос и на какой принтер. также осуществляется контроль за удаленным управлением очередями печати

  7. Удаленное выполнение задач.

    Эта возможность реализована несколько ограниченно по причинам безопасности, поскольку протокол rsh является одним из наиболее опасных. Пользователи из приватной сети могут по правилам определенным администратором МЭ выполнять задачи удаленно в открытой сети.

  8. Передача звука - RealAudio.

    Для пользователей приватной сети имеется возможность использовать аудио по запросу протокол.

  9. Доступ к базам данных.

    В настоящий момент реализована возможность доступа к базам данных Sybase с контролем на МЭ.

  10. Нестандартные протоколы.

    Для работы с нестандартными протоколами, использующих TCP в составе МЭ имеется средство plug-ge, позволяющее использовать прозрачное прямое соединение. Поскольку это средство не поддерживает авторизации, его использование должно происходить под строгим контролем и только если администратор понимает, что он делает. В общем случае рекомендуется использовать circuit-level приложение из состава МЭ, поддерживающее авторизацию. Управление этим средством со стороны пользователя легко осуществляется с помощью стандартной программы telnet. Авторизовавшись, пользователь может осуществить несколько соединений. Каждое такое соединение происходит только при подтверждении со стороны пользователя, что это делает именно его программа.

Средства аутентификации пользователей

МЭ позволяет использовать различные средства аутентификации пользователей, как системы одноразовых паролей, так и пароли условно-постоянного действия. Использование последних для доступа через открытые сети крайне не рекомендуется, ввиду их легкой компрометации. Из систем одноразовых паролей поддерживаются все основные виды смарт-карт и софтверных реализаций. В наших условиях наиболее употребительной системой может стать S/Key, ввиду доступности. смарт-карты на данный момент не могут импортироваться в соответствии с законодательством.

Прозрачность при использовании.

Главным положительным качеством пакетных фильтров является их прозрачность, т.е. комфортабельность использования. Кроме того, при использовании пакетного фильтра нет необходимости изменять клиентское матобеспечение. Нынешний уровень развития фильтров на уровне приложений позволяют достичь практически полной прозрачности. Рассматриваемый МЭ - пример наиболее эффективной реализации этих возможностей. Для пользователей внутренней сети МЭ может рассматриваться как стандартный роутер.

Почтовый сервер и DNS.

МЭ включает средства построения этих видов сервиса, при этом позволяет полностью скрыть структуру внутренней сети от внешнего мира, как в почтовых адресах, так и в DNS.

Трансляция адресов

Поскольку МЭ является фильтром на уровне приложений, все соединения проходящие через него имеют обратный адрес самого МЭ, что полностью скрывает внутреннюю структуру защищенной сети.

Система обработки статистики

МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по адресам клиента и сервера, имени пользователя, времени сеанса, времени соединения, количеству переданных/принятых данных, действия администратора по управлению пользователями, действий пользователей по авторизации и изменения пароля. Система обработки производит анализ статистики и предоставляет администратору подробный отчет. За счет использования специальных протоколов МЭ позволяет организовать удаленное оповещение об определенных событиях в режиме реального времени.