Способы нападений на компьютерные сети и защита от несанкционированного межсетевого доступа
2.1. Способы несанкционированного доступа к информации в компьютерных сетях
2.1.1. Классификация способов несанкционированного доступа и жизненный цикл атак
В настоящее время информация, как результат автоматизированной обработки, с каждым годом определяет действия не только все большего числа людей, но и все большего числа технических систем, созданных человеком. Отсюда становится понятна актуальность задачи защиты информации в компьютерных системах с целью недопущения ее использования во вред людям и государству. Для эффективного решения данной задачи необходим тщательный анализ всех возможных способов несанкционированного доступа к информации в компьютерных системах, что позволяет своевременно принять меры для противодействия возможным угрозам. Здесь под доступом к информации понимается такой доступ, который правила использования информационных ресурсов компьютерной системы, установленные для ее пользователей. Несанкционированный доступ Является реализацией преднамеренной угрозы информационно-компьютерной безопасности и часто называется еще атакой или нападением на компьютерную систему.
Современные вычислительные системы являются территориально распределенными компьютерными сетями, объединяющими с помощью каналов связи различные компьютеры и локальные сети. Уязвимость распределенных вычислительных систем существенно превышает уязвимость автономных компьютеров. Это связано, прежде всего, с открытостью, масштабностью и неоднородностью самих компьютерных сетей. Соответственно существует немало способов атак на современные компьютерные сети. При этом количество угроз информационно-компьютерной безопасности и способов их реализации постоянно увеличивается. Основными причинами здесь являются недостатки современных информационных технологий, а также неуклонный рост сложности программно-аппаратных средств.
Приводимая ниже классификация не рассматривает атаки на информацию в полностью открытых и не защищаемых компьютерных системах, так как способы их выполнения очевидны и не отличаются от обычных способов доступа к информационным ресурсам. Все возможные способы несанкционированного доступа к информации в защищаемых компьютерных системах (рис. 2.1) можно классифицировать по следующим признакам.
1. По принципу несанкционированного доступа:
• физический несанкционированный доступ;
• логический несанкционированный доступ.
Физический несанкционированный доступ может быть реализован одним из следующих способов:
• преодоление рубежей территориальной защиты и доступ к незащищенным информационным ресурсам;
• хищение документов и носителей информации;
• визуальный перехват информации, выводимой на экраны мониторов и принтеры, а также подслушивание;
• перехват электромагнитных излучений.
Логический несанкционированный доступ предполагает логическое преодоление системы защиты ресурсов активной компьютерной сети. Учитывая, что подавляющее большинство угроз информации могут быть реализованы только в процессе функционирования вычислительной системы, а также то, что логический несанкционированный доступ является наиболее результативным для злоумышленника, он и будет основным предметом анализа. Способы физического несанкционированного доступа далее рассматриваться не будут.
2. По положению источника несанкционированного доступа:
• несанкционированный доступ, источник которого расположен в локальной сети;
несанкционированный доступ, источник которого расположен вне локальной сети.
В первом случае атака проводится непосредственно из любой точки локальной сети. Инициатором такой атаки чаще всего выступает санкционированный пользователь.
При подключении любой закрытой компьютерной сети к открытым сетям, например, к сети Internet, высокую актуальность приобретают возможности несанкционированного вторжения в закрытую сеть из открытой. Подобный вид атак характерен также для случая, когда объединяются отдельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При ограничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений.
По режиму выполнения несанкционированного доступа: атаки, выполняемые при постоянном участии человека; атаки, выполняемые специально разработанными программами без непосредственного участия человека.
В первом случае для воздействия на компьютерную систему может использоваться и стандартное программное обеспечение. Во втором случае всегда применяются специально разработанные программы, в основу функционирования которых положена вирусная технология.
4. По типу используемых слабостей системы информационно-компьютерной безопасности:
• атаки, основанные на недостатках установленной политики безопасности;
• атаки, основанные на ошибках административного управления компьютерной сетью;
• атаки, основанные на недостатках алгоритмов защиты, реализованных в средствах информационно-компьютерной безопасности;
• атаки, основанные на ошибках реализации проекта системы защиты.
Недостатки политики безопасности означают, что разработанная для конкретной компьютерной сети политика безопасности настолько не отражает реальные аспекты обработки информации, что становится возможным использование этого несоответствия для выполнения несанкционированных действий. Под ошибками административного управления понимается некорректная организационная реализация или недостаточная административная поддержка принятой в компьютерной сети политики безопасности. Например, согласно политике безопасности должен быть запрещен доступ пользователей к определенному каталогу, а на самом деле по невнимательности администратора этот каталог доступен всем пользователям. Эффективные способы атак могут быть также основаны на недостатках алгоритмов защиты и ошибках реализации проекта системы информационно-компьютерной безопасности.
5. По пути несанкционированного доступа:
• атаки, ориентированные на использование прямого стандартного пути доступа к компьютерным ресурсам;
• атаки, ориентированные на использование скрытого нестандартного пути доступа к компьютерным ресурсам.
Реализация атак первого типа чаще всего основана на использовании слабостей установленной политики безопасности, а также недостатков процесса административного управления компьютерной сетью. Например, при отсутствии контроля на стойкие пароли возможна маскировки под санкционированного пользователя компьютерной системы. Атаки второго типа чаще всего осуществляются путем использования недокументированных особенностей системы информационно-компьютерной безопасности.
6. По текущему месту расположения конечного объекта атаки:
атаки на информацию, хранящуюся на внешних запоминающих устройствах;
атаки на информацию, передаваемую по линиям связи;
• атаки на информацию, обрабатываемую в основной памяти компьютера.
Наиболее распространенными являются атаки первых двух типов.
7. По непосредственному объекту атаки:
• атаки на политику безопасности и процесс административного управления;
• атаки на постоянные компоненты системы защиты;
• атаки на сменные элементы системы безопасности;
• нападения на протоколы взаимодействия;
• нападения на функциональные элементы компьютерной системы. Конечным объектом нападения всегда является защищаемая информация. Под непосредственным же объектом атаки понимается объект, анализ или использование которого позволяет успешно реализовать несанкционированный доступ к защищаемой информации. Например, непосредственным объектом нападения может быть криптосистема, позволяющая злоумышленнику спрогнозировать значение генерируемого секретного ключа. Признак классификации способов несанкционированного доступа по непосредственному объекту атаки является наиболее важным, так как точнее всего позволяет разграничить применяемые способы нападений. Все перечисленные по данному признаку классификации способы атак будут рассмотрены далее.
Приведенная система классификации способов нападений позволяет сделать вывод, что эффективный несанкционированный доступ к информации осуществляется только на основе слабостей системы защиты атакуемой компьютерной сети. Поэтому обобщенный алгоритм подготовки и реализации несанкционированного доступа, как правило, включает следующие этапы (рис. 2.2).
1. Тщательный анализ структуры и принципов функционирования атакуемой компьютерной сети с целью поиска уязвимостей системы защиты ее ресурсов.
2. Анализ найденных слабостей и разработка наиболее действенных способов преодоления системы информационно-компьютерной безопасности.
3. Выполнение подготовленных атак и оценка полученных результатов.
4. При несоответствии полученных результатов требуемым тщательный анализ процесса выполнения атак и переход к первому шагу для уточнения способов их реализации.
Представленный алгоритм предполагает поэтапное совершенствование воздействий на атакуемую компьютерную систему. Безопасность — это цепочка и для атаки важно определить лишь ее слабое звено. Такое звено может быть обнаружено во всем, что связано с информационно-компьютерной безопасностью: в политике безопасности, средствах защиты, реализациях программного и аппаратного обеспечения, управлении системой. Могут использоваться также дефекты, которые на первый взгляд не имеют непосредственного отношения к обеспечению безопасности, например, дефекты прикладного программного обеспечения.
2. 1.2. Нападения на политику безопасности и процедуры административного управления
Так же, как любая работа должна начинаться с тщательного планирования, эффективной защите компьютерной сети должна предшествовать разработка политики безопасности.
Под политикой безопасности понимается совокупность документированных концептуальных решений, направленных на защиту информации и ассоциированных с ней ресурсов. Данная политика разрабатывается людьми, ответственными за поддержание информационно-компьютерной безопасности, и утверждается руководством организации.
Политика безопасности должна включать следующие разделы:
• стратегические цели обеспечения информационно-компьютерной , безопасности и требования к защищаемой информации;
• глобальную концепцию защиты информации в компьютерной сети;
• совокупность организационных мероприятий, направленных на защиту
информации и ассоциируемых с ней ресурсов;
• меры ответственности и должностные обязанности сотрудников организации по защите информации.
Место этапа разработки политики безопасности в общем процессе построения системы защиты представлено на рис. 2.3. Из данного рисунка следует, что при неполном выполнении этапов построения системы защиты, предшествующих разработке политики безопасности, последняя может содержать существенные недоработки, которые с успехом могут использоваться для атак на компьютерную сеть. Недоработки могут содержаться как в концепциях предупреждения и своевременного обнаружения несанкционированного воздействий на компьютерные ресурсы, так и в концепции восстановления безопасности вычислительной системы (рис. 2.4).
Недостатки защиты от несанкционированных действий пользователей и программ
Аутентификация пользователей. В большинстве случаев отсутствует гибкая система подтверждения пользователей при входе в компьютерную систему. Администратор не имеет возможности выбора способа аутентификации, так как чаще всего система защиты включает только функцию подтверждения подлинности на основе простого пароля. Не предусмотрен динамический контроль качества назначаемых паролей и нередко пароли передаются по каналам связи в открытом виде. Отсутствует возможность аутентификации путем независимого ввода нескольких различных паролей.
Не во всех системах после успешной аутентификации пользователя ему сообщаются статистические данные, например, дата и время предыдущего входа и окончания сеанса работы, позволяющие обнаружить факт несанкционированного входа в систему под именем данного пользователя.
Разграничение доступа к компьютерным ресурсам. Система разграничения доступа во многих системах не является надежной по причине отсутствия действенных способов криптографической защиты информации. Кроме того, большинство систем не обеспечивает мандатного контроля доступа, а соответственно не позволяет разграничить компьютерные ресурсы по уровням секретности и категориям. В ряде случаев отсутствует возможность звания паролей по доступу к отдельным наиболее важным компьютерным ресурсам. Проблематично ограничить доступ пользователей к дискетам.
Защита от запуска несанкционированных программ. Многие системы защиты не могут предотвратить несанкционированный запуск исполняем файлов. Например, для такого запуска исполняемые файлы могут быть переименованы. Часто не контролируется косвенный запуск программ и макросов при открытии и обработке HLP-файлов, а также файлов документов, электронных таблиц и баз данных, которые могут содержать такие вызовы. Следует учитывать, что в сетевых операционных системах используется удаленный запуск процедур (RPC) для доступа к ресурсам других компьютеров, Например, именно удаленное исполнение процедур дает возможность изменять конфигурационные файлы на удаленном компьютере. Соответственно можно заставить RPC-сервер неправильно определять имя пользователя или устанавливать права доступа.
Защита от компьютерных вирусов. В большинстве систем отсутствует
встроенная защита от компьютерных вирусов, что существенно снижает безопасность обработки и хранения данных. Заражение компьютера или локальной сети вирусом может привести как к потере работоспособности компьютерной системы, так и нарушениям целостности и конфиденциальности хранящейся в ней информации.
Криптографическая защита информации. Криптографическая защита является основой защиты информации от хищения. Недостатком современных систем безопасности является недостаточно высокая скорость криптографических преобразований, что вынуждает пользователей отказываться от функций шифрования. Присутствующие на рынке криптографические средства не обеспечивают того уровня защиты, который обещан в рекламе. Часа в программных реализациях криптосредств допускаются ошибки или используются усеченные алгоритмы шифрования, неадекватные криптографическим стандартам. Большинство продуктов разрабатывается и прикняется отнюдь не в сотрудничестве с криптографами. Этим занимаются инженеры, для которых криптография — просто еще один компонент. Но криптография — не компонент. Нельзя обеспечить безопасность системы, "вставляя" криптографию после разработки системы. На каждом этапе, от замысла до инсталляции, необходимо осознавать, что и зачем делается.
Контроль целостности данных и программ. В ряде систем отсутствуют средства обнаружения несанкционированных или случайных изменений данных и программ. Периодическому контролю на целостность должна подвергаться вся конфиденциальная, а также системная информация, хранящаяся в вычислительной системе, включая программы.
Периодический контроль целостности конфиденциальной информации позволяет своевременно обнаружить попытки подлога и потери данных, а— внедрение программных закладок и компьютерных вирусов.
Контроль правильности функционирования системы защиты и сигнализация. Независимо от мощности системы защиты невозможно достигнуть своевременного обнаружения несанкционированных действий и высокой информационной безопасности в целом без эффективной реализации функций контроля правильности работы защитных подсистем. В подавляющем большинстве систем защиты такие функции не предусмотрены. Многие системы обеспечивают выполнение функций сигнализации.
Безопасность обмена информацией. Данные между сервером и клиентскими за исключением функции аутентификации, чаще всего передаются в незашифрованном виде и без проверки подлинности. Соответственно сообщения, циркулирующие по локальной сети, могут быть подделаны и перехвачены злоумышленником. Часто отсутствуют действенные функции распределения ключей между узлами сети. В результате не обеспечивается конфиденциальность, подлинность и целостность циркулирующих в сети данных, а также безопасность локальной сети при ее подключении к Internet.
Недостатки защиты от потери информации и нарушения Работоспособности компьютерной системы информации. Многие системы не обеспечивают эффективную утилизацию функций периодического резервирования информации (планирования резервного копирования, резервирования открытых файлов и т. д.), Часто применяется лишь фоновое резервирование, которое, несмотря возможность автоматического восстановления, обеспечивает восстановление данных только после случайных отказов накопителей на жестких дисках, а также возникновения физических дефектов их памяти. Фоновое резервирование не обеспечивает восстановление информации, потерянной по причине некорректной работы программно-аппаратных средств, а также несанкционированных действий пользователей и программ. Периодическое же резервирование при условии защищенности от несанкционированного доступа резервных информационных носителей обеспечивает восстановление любых потерянных данных после реализации как случайных, так и преднамеренных угроз искажения или уничтожения информации.
Автономное восстановление работоспособности. Чаще всего отсутствуют средства, обеспечивающие автономное восстановление работоспособности компьютера после загрузки с системной дискеты или системного компакт- диска без использования содержимого жесткого диска. Такой режим восстановления будет единственно возможным, если нельзя загрузиться с жесткого диска, и наиболее эффективным при глобальном заражении компьютерным вирусом.
Безопасная инсталляция программных средств. В операционных системах нс предусмотрена функция безопасной инсталляции программного обеспечения, предполагающая специальный динамический режим регистрации и резервирования всех изменений, инсталлируемой программой В компьютерную систему. Такое резервирование, реализуемое специализированными утилитами, позволяет выполнить последующую корректную деинсталляцию в случае необходимости, например в случае некорректной работы инсталлированной программы.
Тестирование аппаратных средств и защита от дефектов компьютерной памяти. Отсутствуют средства глубокого тестирования аппаратных средств компьютера с целью предупреждения сбоев и отказов. Несмотря на то, что многие операционные системы имеют средства диагностирования и устранения дефектов дисковой памяти, использование резидентных средств контроля целостности дисков, обеспечивающих функционирование в прозрачном для пользователя режиме, не предусматривается. Не всегда имеются встроенные функции дефрагментации дисковой памяти. Часто не предусматривается также функция восстановления разметки дискет в возникновения ошибок чтения данных.
Недостатки административного управления сетью
Для разработки атак помимо недостатков политики безопасности успешно, могут использоваться и недостатки административного управления сетью.
С ошибками могут быть реализованы следующие функции управления:
● управление конфигурацией, предназначенное для получения исчерпывающей информации о конфигурации аппаратного и программного обеспечения сети, а также автоматизированного конфигурирования ее элементов;
• управление производительностью, позволяющее получить данные об использовании сетевых ресурсов и настроить компоненты сети для повышения эффективности ее функционирования;
• управление доступом к общим сетевым ресурсам для защиты от любых несанкционированных действий со стороны пользователей;
• управление функциональным дублированием компонентов сети с целью достижения высокой надежности их функционирования;
• управление подготовкой к восстановлению, предполагающее своевременное планирование восстановления и правильное резервирование информации;
• управление восстановлением, ориентированное на своевременное обнаружение потерь информации и отказов компонентов сети, а также оперативное восстановление данных и работоспособности компьютерной системы;
• проверка соблюдения всех норм по обеспечению информационно- компьютерной безопасности и контроль правильности функционирования системы защиты.
Последняя функция является особенно актуальной. Администратор может игнорировать следующие функции, которые периодически должны выполняться:
проверку систем защиты на соответствие руководящим и нормативных документам в области информационно-компьютерной безопасности; тестирование компонентов защиты на правильность реагирования при моделировании процесса реализации возможных угроз;
• проверку безопасности сетевого взаимодействия;
комплексный контроль работоспособности систем безопасности при моделировании нарушений работоспособности отдельных элементов компьютерных систем;
анализ политики формирования и использования эталонной информации (ключей, паролей и др.).
2.1.3. Нападения на постоянные компоненты системы защиты
Все элементы систем защиты информации подразделяют на две категории — постоянные (долговременные) и сменные. К долговременным элементам относятся те элементы, которые создавались при разработке систем защиты и для изменения требуют вмешательства специалистов или разработчиков. К сменным или легко сменяемым элементам относятся элементы системы, которые предназначены для произвольного модифицирования или модифицирования по заранее заданному правилу, возможно исходя из случайно выбираемых начальных параметров. К легко сменяемым элементам относятся, например, ключи, пароли, идентификаторы и т. п.
Наиболее важным компонентом любой системы информационно-компьютерной безопасности является подсистема криптографической защиты информации. Криптография положена в основу работы средств защиты от реализации преднамеренных угроз информации. Поэтому широко используемым способом нападения на постоянные компоненты системы защиты является криптоанализ (рис. 2.6), предназначенный для обхода защиты криптографический защищенной информации. Помимо классического криптоанализа для атак на криптосистемы могут использоваться недостатки в реализации криптоалгоритмов. Поиск слабостей криптосистем, а также других постоянных компонентов систем защиты основан на их исследовании специальными техническими способами.
Криптоанализ используется для решения следующих задач:
● восстановления исходной информации по ее криптограмме;
● вычисления закрытого ключа по известному открытому ключу;
● формирования цифровой подписи некоторого сообщения без знания закрытого ключа;
● создания фальшивого электронного документа, соответствующего известной подписи.
В современном криптоанализа рассматриваются следующие виды нападений:
● криптоанализ на основе шифротекста;
● криптоанализ на основе известного открытого текста и соответствующего ему шифротекста;
● криптоанализ на основе выбранного открытого текста;
● криптоанализ на основе выбранного шифротекста;
● криптоанализ на основе адаптированного открытого текста;
● криптоанализ на основе адаптированного шифротекста.
Данные методы криптоанализа предназначены прежде всего для выполню атак на криптосистемы, ориентированные на шифрование данных целью их защиты от несанкционированного чтения. Для других видов крип то систем используются специфические виды криптоанализа, которые цели сообразно рассматривать по отношению к конкретным криптоалгоритмам. В случае криптоанализа на основе шифр текста считается, что противни знает механизм шифрования и ему доступен только шифр текст. Это соответствует модели внешнего нарушителя, который имеет физический доступ к линии связи, но не имеет доступ к средствам шифрования.
При криптоанализе на основе открытого текста предполагается, что криптоаналитику известен шифр текст и та или иная доля исходной информации, а в устных случаях и соответствие между шифр текстом и исходным текстом. Возможность проведения такой атаки складывается при зашифровывании документов, подготавливаемых по стандартным формам, когда определенные блоки данных повторяются и известны. В ряде современных средств защиты информации, циркулирующей в компьютерных системах, используется режим глобального шифрования, в котором вся информация на строенном магнитном носителе записывается в виде шифр текста, включая записи, системные программы и др. При хищении этого носителя (или компьютера) легко установить, какая часть криптограммы соответствует стандартной системной информации и получить большой объем известного исходного текста для выполнения криптоанализа.
В нападениях на основе выбранного открытого текста предполагается, что криптоаналитик противника может ввести специально подобранный текст в шифрующее устройство и получить криптограмму, образованную под управлением секретного ключа. Это соответствует модели внутреннего нарушителя. На практике такая ситуация может возникнуть, когда в атаку на шифр вовлекаются лица, которые не знают секретного ключа, но в соответствии со своими служебными полномочиями имеют возможность использовать шифратор для защиты передаваемых сообщений. Для осуществления такой атаки могут быть использованы также технические работники, готовящие формы документов, электронные бланки и др.
Криптоанализ на основе выбранного шифр текста предполагает, что противник (оппонент) имеет возможность подставлять для расшифровывания фиктивные шифр тексты, которые выбираются специальным образом, чтобы по полученным на выходе дешифратора текстам он мог с минимальной трудоемкостью вычислить ключ шифрования.
Атака на основе адаптированных текстов соответствует случаю, когда атакующий многократно подставляет тексты для шифрования, причем каждую, новую порцию данных выбирает в зависимости от полученного результат преобразования предыдущей порции. Этот вид атаки является наиболее благоприятным для нападающего.
К другим методам криптоанализа относятся нападения на хэш-функции, которые применяются для получения и проверки эталонных характеристик информационных объектов. Процесс же формирования характеристики сообщения на основе какой-либо хэш-функции называется хэшированием.
Хэш-функция представляет собой криптографическую функцию от сообщения произвольной длины, значение которой зависит сложным образом каждого бита сообщения. Хэш-функция реализуется, как правило, в виду некоторой итеративной процедуры, которая позволяет вычислить для сообщения М произвольной длины так называемый хэш-код Н(М) фиксированного размера т (128 или 160 бит). Этот код и является эталонной характеристикой сообщения М Типовая хэш-функция вычисляется путем последовательного шифрования двоичных блоков М (индекс i =1, 2, 3...) сообщения М в соответствии со следующим итеративным выражением, Н; = Е(Н, М), где Е — базовая функция шифрования, а Hp — специфицированное начальное значение хэш-функции.
В некоторых практических случаях может оказаться возможным проведена атак на хэш-функцию путем модифицирования ее специфицированного начального значения Нд для достижения следующих целей:
● для данных Н и М найти Н~ и М'0 М удовлетворяющие условии H(H;, М) = нн,, м);
● найти Но, М и МЪМ для которых выполняется равенство Н(Нд, М) =Н( М);
● найти Но, Н Но, М и Мw М для которых выполняется равенство
H(Hp, М) =Н(Нд, М).
Условия для проведения таких атак встречаются редко. Например, в случаях, когда пользователям предоставляется произвольный выбор величины Hp и нарушитель имеет возможность подмены или навязывания ложного значения Но. Эти атаки рассматриваются разработчиками алгоритмов хэширования для более полного анализа свойств хэш-функций и их испытания в условиях более благоприятных для нападения на хэш-функцию по сравнению с реальным положением нападающего. Если алгоритм вычисления хзш- функции является стойким к перечисленным атакам, то он удовлетворяет также и перечисленным выше основным требованиям. Обычно трудоемкость процедуры криптоанализа является очень высокой. Поэтому вначале для атак злоумышленники пытаются извлечь недостатки из реализации криптоалгоритмов и использования криптографических программ. Наиболее часто встречающимися такими недостатками являются следующие:
● уменьшение криптостойкости при генерации ключа, когда криптосистема либо обрезает используемый для генерации пароль пользователя, либо генерирует из него ключ, имеющий длину меньше минимально допустимого значения;
● отсутствие проверки на короткие и тривиальные пароли, которые злоумышленник может подобрать (достаточно распространены случаи, когда пользователи недостаточно серьезно относятся к выбору пароля);
● отсутствие проверки на слабые ключи, при которых криптоалгоритм не
обеспечивает должный уровень стойкости (это особенно относится к асимметричным криптосистемам);
● недостаточная защищенность от программных закладок, например, отсутствие контроля на соответствие эталонным характеристикам рабочей среды;
● преднамеренная реализация потайной функции обхода криптозащиты, которая может быть инициирована нарушителем;
генерация ключей шифрования на основе параметров, не имеющих случайный характер;
ошибки в программной реализации, когда алгоритм реализуется с ошибками технического программирования.
Исследование алгоритмов программных средств защиты с целью поиска их недостатков осуществляют с помощью дизассемблеров и отладчиков. Дизассси6леры дают возможность преобразовать машинный код исполняемой программы в исходный текст на языке ассемблера, а анализ исходного текста позволяет найти алгоритм работы программы. Определить алгоритм программы с помощью отладчика можно путем ее покомандного выполнения или выполнения по точкам останова, а также анализа в процессе выполнения программы содержимого регистров процессора и других областей памяти компьютера.
2.1.4. Нападения на сменные элементы системы защиты
К сменным элементам системы защиты относятся следующие элементы данных:
● информация о пользователях (идентификаторы, привилегии, полномочия, ограничения и др.);
● ключевая информация и пароли;
● параметры настройки системы защиты.
Каждый из перечисленных сменных элементов может использоваться
нападений (рис. 2.7).
Нападения на ключевую информацию реализуются с целью получения закрытых ключей, которые позволяют осуществить беспрепятственное нарушение конфиденциальности и подлинности защищенных сообщений. Поэтому этот вид атак является одним из самых приоритетных.
Закрытые ключи можно получить различными способами — перехватом, подбором, а также прогнозированием значений этих ключей при их генерации криптосистемой. Кроме того, можно подменить открытые ключи пользователей открытыми ключами атакующего при их распределении. В результате, имея соответствующие закрытые ключи, появляется возможность расшифровывать сообщения, зашифрованные фальшивыми открытыми ключами, а также посылать ложные сообщения с фиктивными цифровыми подписями.
Подбор или вычисление закрытого ключа особенно эффективны для коротких и тривиальных ключей. Наименьшей допустимой длиной ключей симметричного шифрования до последнего времени считалась длина, равная 56 битам. Однако в связи с ростом производительности вычислительной техники в настоящее время минимальной безопасной длиной таких ключей считается 80 или даже 128 бит. Ключи асимметричного шифрования относительно легко вычисляются при их размере не более 512 бит. Например, стойкость криптосистемы RSA основана на разложении на множители большого модуля и, являющегося произведением двух больших простых чисел. При правильном выборе факторизация числа и является вычислительно неосуществимой задачей на сегодняшний день. Тот, кто найдет способ разложения на множители числа будет иметь возможность вычислить функцию Эйлера от модуля, а затем по известному открытому ключу вычислить закрытый ключ. При малом значении модуля (малом размере ключей) секретные параметры могут быть вычислены методом перебора на основе следующих соотношений: n=p q; ed mod [(р — 1)(q — 1)] = 1
Асимметричные и симметричные ключи шифрования при использовании криптографической системы комплексной защиты генерируются самой криптосистемой на основе некоторых случайных параметров, вводимых пользователем. Поэтому возможно прогнозирование значений генерируемых ключей при наличии алгоритма генерации, а также параметров, по которым они генерируются.
Подмена открытых ключей реализуется на основе недостатков процедур их аутентификации. Аутентификация открытых ключей обычно выполняется по справочникам, подписанным доверительным центром, при очной встрече пользователей или путем подписывания открытых ключей новых пользователей доверительными лицами. Сверка открытых ключей чаще всего выполняется по их эталонным характеристикам.
При контроле подлинности открытых ключей по справочнику, подписанному доверительным центром, следует иметь в виду, что с течением времени справочник открытых ключей может обновляться путем включения в него открытых ключей новых пользователей или заменой старых открытых ключей на новые. Эта особенность может использоваться и для нападений. Рассмотрим способы подбора паролей для Windows NT 4.0.
Информация обо всех пользователях Windows NT и их паролях хранится в
служебной базе данных системы (registry), называемой реестром. Физически такая информация расположена в файле реестра SAM, расположенном в каталоге SystemRoot (SYSTEM32(CONFIG(. Данный файл является по умолчанию читаемым, так как используется прочими компонентами системы, но закрытым для обычных пользовательских программ. Копия файла, SAM, содержащаяся в каталоге SystemRoot (REPAIR(, формируется после создания администратором восстановительного (repair) диска и легко может быть оттуда скопирована. Однако сами пароли в открытом виде в данном файле не содержатся. Для каждого пароля с помощью различных хэш-функций формируется два 16-байтовых значения, которые и находятся в файле SAM. Первое 16-байтовое значение, предназначенное для Windows NT, вычисляется с помощью хэш-алгоритма MD4. Второе 16-байтовое значение, предназначенное для совместимости с операционной системой Lan Manager, вычисляется с помощью алгоритма DES, используемого в качестве функции хэширования. Кэшированное представление пароля в стандарте системы Lan Manager менее устойчиво к взлому, чем хэш-значение пароля в стандарте системы: Windows NT. Это связано с тем, что для формирования хэш-значения пароля в стандарте Lan Manager символы исходной строки пароля приводятся к верхнему регистру и, соответственно, не учитывается разница между символами, набранными на нижнем и верхнем регистре. Кроме того, учитываются только 14 символов пароля. Если пароль меньше 14 символов, он дополняется нулями. Каждая из половин 14-символьного пароля oбpaбатывается независимо для формирования 8-байтового значения, что также снижает стойкость. Полученные 8-байтовые значения объединяются в 16-байтовое.
Для того чтобы получить пароль в Windows NT, злоумышленнику необходимо выделить из базы данных безопасности (файла SAM) имя пользователя и соответствующее ему 16-байтовое хэш-значение в стандарте Lan Manager. Данная процедура может быть выполнена с использованием программы PWDUMP, свободно распространяемой в Internet. Использование данной программы требует привилегий Administrator, чтобы иметь доступ по чтению к соответствующим значениям реестра. Но данная программа может использоваться и в том случае, если с атакуемой системы удалось получить копию файла SAM.
Такая копия может быть получена с помощью драйвера NTFSDOS, позволяющего читать разделы файловой системы NTFS из DOS. Права доступа при этом игнорируются. Имеется также вариант этого драйвера с возможностью записи данных в разделы файловой системы NTFS — NTFSDOS Professional. Для подключения драйвера достаточно загрузить MS-DOS с системной дискеты.
После выделения паролей и соответствующих им хэш-значений может быть использована одна из многих программ взлома пароля методом перебора— скорость перебора составляет примерно 2500 паролей/с на компьютере класса Pentium. При этом, в отличие от UNIX, в Windows NT для хэширования паролей не используются случайные числа, вследствие чего словарь может быть предварительно с хэширован и скорость тем самым может быть поднята на несколько порядков. Кроме того, в Windows NT одинаковые пароли в хэшированном виде не отличаются друг от друга, что также способствует снижению их стойкости.
Случайное число, применяемое в UNIX для хэширования пароля пользователя, сохраняется в файле учетных записей вместе с хэш-значением этого пароля. Поэтому затруднено предварительное хэширование и хэш-значения. Одинаковых паролей разных пользователей в учетном файле etc/passwd системы UNIX отличаются друг от друга. В ранних версиях UNIX для хэширования паролей использовались 6-битовые случайные числа. Сейчас чаще всего применяются 24-битовые случайные числа.
При установке для Windows NT Service Pack 3 хэш-значения шифруются алгоритмом DES. Ключом шифрования хэш-значений каждого пароля является относительная часть идентификатора безопасности (Relative Identifier — RID) соответствующего пользователя. RID представляет собой порядковый номер учетной записи пользователя в базе данных безопасности (файле SAM). Соответственно при шифровании хэш-значений паролей по алгоритму DES стойкость не увеличивается, так как ключи шифрования являются открытыми.
Безопасное функционирование любой криптосистемы требует использования защищенного программно-аппаратного окружения, в котором предусматривается контроль рабочей среды на соответствие эталонным характеристикам. При отсутствии такого контроля возможны не только перехват ключей и паролей, но и назначение дополнительных полномочий, а также ослабление безопасности путем изменения параметров системы защиты.
2.1.5. Нападения на протоколы информационного взаимодействия
Одними из наиболее распространенных типов атак на компьютерные сети являются атаки на протоколы информационного взаимодействия (рис. 2.8). Вообще случае под протоколом понимают совокупность функциональных и эксплуатационных требований к какому-либо компоненту сетевого программно-аппаратного обеспечения, которых придерживаются производители этого компонента. Протокол является стандартом в области сетевого информационного обмена. Здесь важно уяснить следующий момент. Эталонная семиуровневая модель сетевого взаимодействия отражает стандартный требования к сетевому программно-аппаратному обеспечению, разработанные международной организацией по стандартизации (International Standards Organization — ISO). Протокол же — это требования к конкретной компоненту сетевого программно-аппаратного обеспечения, которых придерживаются производители этого компонента. Требования протокола могут отличаться от требований эталонной модели OSI.
Протокол задает совокупность действий (инструкций, команд, вычислений, алгоритмов), выполняемых в заданной последовательности двумя или более компонентами вычислительной сети с целью достижения определенного результата. Корректность выполнения протокола зависит от действий каждого программного или аппаратного компонента. Задействованные в протоколах компоненты действуют по предписанным алгоритмам, т. е. алгоритм выступает как внутренний элемент протокола. Для того чтобы протокол приводил к желаемой цели, он должен обладать следующими свойствами:
● корректностью — совокупность действий, предусмотренных протоколом, должна обеспечивать получение требуемого результата;
● полнотой — протокол должен специфицировать действия каждого участника протокола для всех возможных ситуаций;
● непротиворечивостью и однозначностью — результаты, получаемые различными участниками протокола, и выполняемые ими действия не должны быть противоречивыми.
К сожалению, используемые протоколы информационного взаимодействия очень редко удовлетворяют всем перечисленным требованиям. Любой недостаток протокола может использоваться для несанкционированного доступа к информации в компьютерной сети.
Все возможные атаки на протоколы информационного взаимодействия можно разделить на две группы:
● использование слабостей обычных протоколов информационного обмена;
● использование слабостей сетевых криптографических протоколов.
Нападения на обычные протоколы информационного обмена
Способы атак, основанные на слабостях обычных протоколов информационного обмена, в свою очередь могут быть разграничены по уровням модели эталонного взаимодействия (модели OSI). Здесь различают:
● атаки на основе слабостей протоколов низкого уровня (Ethernet, Тоkеn Ring, FDDI, АТМ и др.);
● атаки на основе слабостей протоколов среднего уровня (ТСР/IP, SPX/IPX, NetBIOS и NetBEUI);
● атаки на основе слабостей высокоуровневых протоколов (SMB, NCP, SNMP, NFS, RPC, FTP, HTTP, SMTP и др.).
Отдельную емкую группу атак составляют атаки на основе слабостей протоколов маршрутизации.
В общем случае атакующий может реализовать следующие угрозы:
● перехват передаваемых данных с целью их хищения, модификации или переадресации;
● несанкционированное отправление данных от имени другого пользователя;
● отрицание пользователями подлинности данных, а также фактов отправления или получения информации.
Перехват передаваемых по сети сообщений может быть выполнен различными путями:
● непосредственное подключение к линии связи;
● доступ к компьютеру сети, принимающему сообщения или выполняющему функции маршрутизации;
● внедрение в сеть несанкционированного маршрутизатора с перенаправлением через него потока сообщений.
Выделение из перехватываемых пакетов сообщений необходимой информации выполняется с помощью специализированных программ-анализаторов, Подобные программы могут использоваться и для модификации перехваченных пакетов. Для переадресации пакетов сообщений выполняется модификация адресной информации в их заголовках.
С целью замены исходных пакетов сообщений модифицированными необходим режим перехвата, обеспечивающий динамическое преобразования потока передаваемых сообщений. В больших сетях такой режим наиболее удачно реализуется путем несанкционированного доступа к компьютеру ceти, выполняющему функции маршрутизации, или путем внедрения несанкционированного маршрутизатора с перенаправлением через него потока сообщений. В локальных сетях способ реализации режима динамического преобразования потока сообщений зависит от используемого низкоуровневого протокола передачи данных.
Несанкционированное отправление данных от имени другого пользователь выполняется с помощью соответствующих программных средств после подключения к компьютерной сети. Реализация угрозы данного вида позволяет осуществить маскировку под санкционированного пользователя и тем самым получить доступ к связанной с ним секретной информации или обмануть получателя данных с целью нанесения ему ущерба.
Отрицание пользователями подлинности данных, а также фактов получении или отправления сообщений позволяет, в частности, одной из сторон расторгать техническим путем заключенные соглашения (финансовые, торговые и др.), формально от них не отказываясь, с целью нечестного получения прибыли или нанесения второй стороне ущерба.
Атаки на протоколы информационного обмена часто кажутся технически сложными в реализации, однако для хорошего программиста не составляет труда реализовать соответствующий инструментарий. Подобные программы доступны широким массам пользователей в Internet.
В случае атак на низкоуровневые протоколы (Ethernet, Token Ring и др.) злоумышленник может наблюдать за трафиком, подменять содержимое пакетов сообщений, а также выполнять подмену МАС-адресов. При отсутствии возможности физического доступа к сетевым компьютерам атакующий может подключить к локального сети собственный компьютер. В локальных сетях пакеты передаются с использованием кадров, в заголовках которых основной информацией являются МАС-адреса станций получателя и отправителя. Адрес отправителя после посылки никем не проверяется, так как это непростая задача. Даже в том случае, если адрес отправителя кем-либо анализируется (например, коммутатором), подставить чужой МАС-адрес не составит труда.
Большинство сетевых адаптеров позволяют программировать и/или изменять свой МАС-адрес динамически. Например, в Netware ODI-драйвер ODIPKT позволяет самостоятельно сформировать весь пакет и послать его как есть. Соответственно несложно написать программу, посылающую пакеты с различными МАС-адресами отправителя, выполняя подстановку МАС-адресов. Цель такой атаки — обмануть сетевую операционную систему и другое связанное с канальным уровнем программное обеспечение, чтобы заставить их делать то, что они обычно не делают. Примером может тужить программа НАСК.ЕХЕ, выполняющая подстановку МАС-адресов, чтобы получить привилегии супервизора на любом сервере NetWare 3.11. Подстановка адресов может быть использована и для реализации угрозы типа отказа в обслуживании. От подобных атак позволяет защититься Фильтрация МАС-адресов, реализуемая специализированными концентраторами.
Основными недостатками протоколов среднего уровня (ТСР/IP, SPX/IPX, NetBIOS и NetBEUI) также является отсутствие встроенных функций защиты. Не предусматривается криптографическое закрытие содержимого пакетов сообщений, контроль их подлинности, а также аутентификация участников обмена. Соответственно пакеты сообщений доступны для анализа и их возможно подделать.
Протоколы семейства ТСР/IP, изначально разработанные для глобальной сети Internet, в настоящее время становятся основой построения и локальных сетей. Данные протоколы всегда были базовыми протоколами для UNIX-систем. Сейчас эти протоколы поддерживаются всеми современными операционными системами. Несмотря на то, что разработка ТСР/IP финансировалась Министерством обороны США, эти протоколы не имеют функций защиты и допускают множество как пассивных, так и активных атак.
В случае пассивных атак на протоколы ТСР/IP, как и при нападениях на другие протоколы информационного обмена, злоумышленники никаким образом не обнаруживают себя и все несанкционированные действия сводятся к наблюдению за циркулирующими пакетами сообщений. При активных атаках на ТСР/IP злоумышленник модифицирует и/или фильтрует содержимое пакетов сообщений с целью обмана получателя или нарушения работоспособности принимающей компьютерной системы. Обладая достаточными привилегиями или попросту используя DOS или Windows, е обеспечивающие разграничение доступа к компьютерным ресурсам, атакующий может вручную формировать IP-пакеты и передавать их по сети. Естественно, поля заголовка каждого пакета могут быть сформированы произвольным образом. Получив такой пакет, невозможно выяснить, откуда реально он был получен, поскольку пакеты не содержат пути их прохождения. Конечно, при установке обратного адреса, не совпадающего с текущим IP-адресом, атакующий никогда не получит ответ на отосланный пакет. Однако часто это и не требуется. Возможность формирования произвольных IP-пакетов является ключевым пунктом для осуществления активных атак.
Незащищены и протоколы SPX/IPX, используемые в сетевой операционной системе Netware. Злоумышленник может сформировать IPX-пакет, совершенно идентичный IPX-пакету администратора. Следовательно, нарушить безопасность системы может практически любой пользователь сети. Если некто самостоятельно заполнит IPX-пакет, то он может указать чужой адрес отправителя, например, администратора сети. Такой пакет обязательно дойдет до адресата (сервера) и будет им обработан тем же образом, что и все остальные санкционированные пакеты.
Сложность атак на незащищенные высокоуровневые протоколы, а также протоколы маршрутизации определяется лишь сложностью самих протоколов, но никак не надежными функциями защиты.
Использование слабостей сетевых криптографических протоколов
Криптографическая защита передаваемых сообщений еще не гарантирует их безопасности. К атакам, основанным на использовании слабостей сетевых, криптографических протоколов, относятся такие действия злоумышленника, как повтор ранее переданных сообщений, задерживание или удаления передаваемых сообщений, а также отказы от фактов получения или отправления сообщений. Здесь атакующему следует учитывать возможные способы противодействия.
Для защиты от повтора, удаления и задержек сообщений в состав каждого сообщения перед его криптографической защитой добавляется дополни тельная информация. В качестве такой дополнительной информации мо использоваться номера, случайные числа, а также отметки времени. Вставка в исходные сообщения их номеров обеспечивает защиту этих сообщений повтора и удаления. Для реализации такой защиты номера сообщений должны быть связаны со счетчиками, состояние которых должно отслеживаться как системой защиты отправителя, так и системой защиты получать. ля. Каждый объект сети должен иметь отдельный счетчик для каждого и взаимодействующих с ним объектов. При контроле номеров сообщений заданного отправителя факт удаления какого-либо сообщения обнаруживается сразу же при приходе сообщения с номером, значение которого отличается от номера предыдущего сообщения более чем на единицу. Факт повтора выявляется повторением номера сообщения.
Номера пакетов сообщений, формируемые на канальном уровне, не могут быть использованы для обнаружения повторов и удаления сообщений, так как эти номера обнуляются для каждого сообщения в случае дейтаграммного протокола или для каждого соединения в случае сеансового протокола.
Вставка в исходные сообщения случайных чисел также обеспечивает защиту этих сообщений от повтора и удаления. Но при использовании случайных чисел предполагаемый получатель должен предварить передачу намечаемого сообщения посылкой отправителю зашифрованного и подписанного случайного числа. Отправитель же должен поместить это случайное число в исходное сообщение перед его криптографической защитой. При получении этого сообщения получатель сможет проверить посланное им случайное число. Если предполагаемому получателю известно максимальное время следования ожидаемого сообщения, то таким способом могут быть легко обнаружены не только повторные сообщения, но и удаленные, а также задержанные.
Вставка в исходные сообщения отметок времени их отправления обеспечивает защиту этих сообщений от повтора и задержек. Точность этих отметок, а также эталонный интервал времени для выявления задержанных сообщений должны быть выбраны так, чтобы можно было, с одной стороны, выделить повторные сообщения, а с другой — учесть естественные запаздывания, свойственные каналам передачи данных.
С целью защиты от отказа получения сообщения протокол обмена сообщениями должен предусматривать при приеме каждого сообщения передачу отправителю уведомления о получении сообщения. Такое уведомление должно подписываться получателем сообщения.
Защита от отказа отправления сообщения, т. е. защита от непризнания цифровой подписи обеспечивается только правовыми и организационными мерами по приданию цифровой подписи юридической силы. Чтобы предотвратить отказы от открытых ключей, а соответственно и отказы от цифрового подписи, обмен открытыми ключами должен подкрепляться юридической процедурой.
2.1.6. Нападения на функциональные элементы компьютерных сетей
К нападениям на функциональные элементы компьютерных сетей относятся два типа атак:
● атаки для нарушения работоспособности (отказа в обслуживании) элементов компьютерной системы;
● внедрение программных закладок.
Первый тип атак позволяет нарушить работоспособность компонентов системы защиты с целью выполнения несанкционированного доступа, а второй — внедрить программные закладки, реализующие несанкционированные действия автоматически.
При нарушении работоспособности функциональных элементов сети прекращается или существенно замедляется выполнение предусмотренный функций по обслуживанию запросов, поступающих на обработку. Компонент, работоспособность которого нарушается, часто называют серверов Здесь под сервером понимается любая программа или сетевая операционное система, обрабатывающая запросы на доступ к какому-либо сервису или ресурсу.
Нарушение работоспособности или отказ в обслуживании компонентов системы защиты может быть вызвано следующими путями (рис. 2.9):
● перегрузкой функциональных элементов компьютерной сети;
● уничтожением критических данных;
● нарушением протоколов информационного взаимодействия и выполнением некорректных операций.
Любой сервер может отвечать лишь на ограниченное число запросов, находящихся в обработке. Эти ограничения зависят от различных параметров компьютерной системы — быстродействия, объема оперативной памяти, пропускной способности канала связи и др. Если не предусмотрена аутентификация отправителей запросов и сервер разрешает взять на обработку любое недопустимое число анонимных запросов, то при их поступлении будет успешно реализована угроза отказа в обслуживании. Для выполнения атаки путем уничтожения критических данных следует определить информационные элементы, хранящиеся в компьютерной памяти любого вида, разрушение которых нарушит работоспособность системы защиты. Например, искажение данных в микросхеме Flash-BIOS компьютера- сервера, ответственного за выполнение функций защиты, приведет к его полному отказу. В настоящее время широкое распространение получили атаки на компьютеры сети, основанные на умышленном нарушении протоколов информационного взаимодействия. Если атакуемая компьютерная система не предусматривает всех возможных нарушений в протоколах информационного обмена, то умышленно вызываемые нарушения могут вызвать неадекватную реакцию вплоть до полного отказа в обслуживании. Нарушение работоспособности может быть вызвано и выполнением некорректных операций. Например, существуют исполняемые команды, на которые процессор реагируют неадекватно.
Большие возможности для нанесения атак открываются при внедрении программных закладок. Программной закладкой называют программу, специально разработанную для самостоятельного выполнения несанкционированных действий. При этом под программой понимается любая последовательность, команд, подлежащих выполнению процессором или другой программой.
Например, макросы, включаемые в файлы документов редактора Word, также, по сути, являются программами, так как представляют собой последовательности команд, выполняемых редактором для автоматизации действий пользователя. Отсюда становится понятно, что для разработки программных закладок может использоваться все множество способов, накопленное в области компьютерной вирусологии.
Первым и одним из наиболее важных этапов жизненного цикла программной закладки после ее разработки является этап внедрения в компьютерную систему, называемый еще инфицированием. Инфицирование компьютера возможно только при запуске на выполнение зараженной или вирусоподобной программы. После активизации закладки могут заражаться выполняемые программы, а также программы, хранящиеся на внешних запоминающих устройствах. Как правило, копия закладки может вставляться в инфицируемую программу таким образом, чтобы при запуске на выполнение зараженной программы закладка получала управление первой. Признаком инфицирования компьютерной системы является заражение любой ее программы. Закладка может и не обладать свойством саморазмножения.
Внедрение закладки в компьютерную систему может выполняться с помощью зараженных программ любых типов (рис. 2.9) по вирусной технологии, а также с помощью аппаратных средств. При внедрении закладки по вирусной технологии закладка обязательно должна обладать свойством саморазмножения, присущим обычному вирусу.
Внедрение закладки с помощью аппаратных средств предполагает заражение программ, содержащихся в аппаратных устройствах, например, программ микросхемы BIOS.
Широкие возможности для внедрения программных закладок предоставляет получающая все большую популярность Web-технология, основанная на мобильных вычислениях. Ведь программа навигации, выполняемая на рабочей станции, может не только визуализировать Web-страницы и выполнять переходы к другим ресурсам, но и активизировать программы на сервере, а также интерпретировать и запускать на выполнение программы, относящиеся к Web-документу, которые передаются вместе с этим документом с сервера. Такой вид распределенной обработки позволил сконцентрировать всю прикладную систему на сервере. Однако возможность выполнения на рабочих станциях программ с сервера порождает эффективные способы внедрения программных закладок. Внедрение может быть реализовано как подменой передаваемой с сервера программы, так изначальным размещением на сервере мобильной программы-закладки.
Чтобы программная закладка начала выполнять свои функции, она должна получить управление на себя, т. е. процессор или интерпретатор должен начать выполнять команды, относящиеся к закладке.
Закладка активизируется при наступлении запрограммированных в ней внешних условий. Анализ внешних условий достигается путем обработки закладкой общих относительно нее операций, в качестве которых чаще всего выступают прерывания или определенные события. Такими прерываниями являются следующие прерывания: от таймера; от внешних устройств; от клавиатуры; при работе с диском; операционной среды, в том числе прерывания при работе с файлами и запуске исполняемых модулей. Интерпретируемая закладка должна быть разработана как макрос, автоматически выполняемый при определенных событиях — открытии, закрытии документов, запуске, завершении работы программы обол
очки и т. д.
Для высокой эффективности атак программные закладки могут скрывать признаки своего присутствия в компьютерной системе. С целью защиты программы от исследования защищают от этого файл с ее исполняемым кодом, хранящийся на внешнем информационном носителе, а также ее исполняемый код, загружаемый в оперативную память для выполнения этой программы.
В первом случае защита от исследования основана на шифровании секретной части программы, а во втором — на блокировании доступа к исполняемому коду программы в оперативной памяти со стороны отладчиков. Кроме того, перед окончанием защищаемой программы должен обнуляться весь ее код в оперативной памяти. Это предотвратит возможность несанкционированного копирования из оперативной памяти расшифрованного исполняемого кода после выполнения защищаемой программы.
Защищаемая от исследования программа должна включать следующие компоненты:
● инициализатор;
● зашифрованную секретную часть;
● деструктор (деинициализатор).
Инициализатор должен обеспечивать выполнение следующих функций:
● сохранение параметров операционной среды функционирования (векторов прерываний, содержимого регистров процессора и т. д.);
● запрет всех внутренних и внешних прерываний, обработка которых не может быть проконтролирована в защищаемой программе;
● загрузку в оперативную память и расшифровывание кода секретной части программы;
● передачу управления секретной части программы.
Требование к инициализатору на запрет всех прерываний, обработка которых не может быть проконтролирована, не является чрезмерным, так как вместо стандартного обработчика любого прерывания может использоваться обработчик, служащий для выполнения трассировки. Секретная часть ориентирована на выполнение всех целевых функций защищаемой от исследования программы.
Деструктор после отработки секретной части программы должен произвести следующие действия:
● обнуление секретного кода программы в оперативной памяти;
● восстановление параметров операционной среды функционирования (векторов прерываний, содержимого регистров процессора и т. д.), которые были установлены до запрета неконтролируемых прерываний;
● выполнение операций, которые невозможно было выполнить при запрете неконтролируемых прерываний;
● освобождение всех задействованных ресурсов компьютера и завершение работы программы.
Для большей надежности инициализатор может быть частично зашифрован и расшифрован по мере выполнения. Кроме того, возможна зашифровка и деструктора. Расшифровываться по мере выполнения может и секретна часть программы.
Расшифровывание любой части программы по мере выполнения называется динамическим расшифровыванием исполняемого кода. В этом случае очередную участки программы расшифровываются непосредственно перед использованием, а после должны сразу уничтожаться. Текущий расшифровываемым участок программы для выполнения может копироваться в другое место оперативной памяти, например, в место расположения уже отработавшей участка программы.
Для повышения эффективности защиты программы от исследования перечисленных мер необходимо внесение в секретную часть программы дополнительных функций безопасности, ориентированных на защиту от трассировки. К таким функциям можно отнести следующие:
● периодический подсчет контрольной суммы области оперативной памяти, занимаемой защищаемым исходным кодом; сравнение текущей контрольной суммы с предварительно сформированной эталонной и принятие необходимых мер в случае несовпадения;
● проверка количества занимаемой защищаемой программой оперативной памяти; сравнение с объемом, к которому программа адаптирована, и принятие необходимых мер в случае несоответствия;
● контроль времени выполнения отдельных частей программы;
● блокировка клавиатуры на время отработки особо секретных алгоритмов. Для защиты программ от исследования с помощью дизассемблеров применяется и такой способ, как усложнение структуры самой программы с целью запутывания злоумышленника, который дизассемблирует эту программу. Например, можно использовать разные сегментные адреса для обращения к одной и той же области памяти. В этом случае злоумышленнику будет трудно догадаться, что на самом деле программа работает с одной и той же областью памяти.
При реализации функций саморазмножения программные закладки могут иметь структуру по аналогии с вирусами-мутантами. Вирус-мутант состоит из двух основных частей:
● расшифровщика, предназначенного для расшифровки основного кода вируса перед его исполнением;
● зашифрованного основного кода вируса.
Основной код вируса, кроме компонентов, присущих обычному вирусу, содержит также шифратор, предназначенный для зашифровывания основного кода вируса при саморазмножении. После активизации вируса первым получает управление расшифровщик, который расшифровывает основную часть вируса и передает ей управление. В процессе саморазмножения в каждую внедряемую копию вируса помещается расшифровщик, а также зашифрованный основной код. Важной особенностью является то, что для каждой новой копии основной код вируса зашифровывается по новому ключу. Ключ может зависеть от характеристик заражаемого файла. Именно за счет использования разных ключей шифрования и обеспечивается отличие между разными копиями вируса.
Для того чтобы в различных копиях вируса-мутанта были и разные расшифровщики, в основной код вируса включают генератор расшифровщиков. Основной и единственной функцией генератора расшифровщиков является создание для каждой новой копии вируса другого по виду, но такого же по функциям расшифровщика. Вирусы-мутанты, включающие генератор расшифровщиков, называют полиморфными.
2.2. Противодействие несанкционированному межсетевому доступу
При подключении любой закрытой компьютерной сети к открытым сетям, например, к сети Internet, высокую актуальность приобретают угрозы несанкционированного вторжения в закрытую сеть из открытой, а также угрозы несанкционированного доступа из закрытой сети к ресурсам открытой. Подобный вид угроз характерен также для случая, когда объединяются от- Дельные сети, ориентированные на обработку конфиденциальной информации совершенно разного уровня секретности или разных категорий. При ограничении доступа этих сетей друг к другу возникают угрозы нарушения установленных ограничений.
Таким образом, если в качестве внешней сети используется открытая либо любая другая потенциально враждебная сеть, то появляются угрозы нарушения установленных правил межсетевого взаимодействия, а именно:
● угрозы неправомерного вторжения во внутреннюю сеть из внешней;
● угрозы несанкционированного доступа во внешнюю сеть из внутренней. Неправомерное вторжение во внутреннюю сеть из внешней может выполняться как с целью несанкционированного использования ресурсов внутренней сети, например хищения информации, так и с целью нарушения ее работоспособности. Без соответствующих средств защиты вероятность успешной реализации данных угроз является достаточно высокой. Это связано с "врожденными" недостатками наиболее широко используемого для межсетевого взаимодействия набора протоколов ТСР/IP. Ведь данный стек протоколов изначально был разработан для глобальной сети Internet, которая создавалась как открытая система для свободного обмена информацией.
В более ранних версиях, а также в текущей версии протокола IP (вереи IPv4) не предусматривались какие-либо функции защиты от несанкционированных действий.
Угрозы несанкционированного доступа во внешнюю сеть из внутренней сети актуальны в случае ограничения разрешенного доступа во внешнюю сеть правилами, установленными в организации. Такое ограничение, что особенно характерно для взаимодействия с открытыми сетями, может понадобиться в следующих случаях:
● для предотвращения утечки конфиденциальных данных;
● при запрете доступа, например, в учебных заведениях, к информации нецензурной и нежелательной направленности;
● в случае запрета служебного доступа к развлекательным компьютерным ресурсам в рабочее время.
Бороться с рассмотренными угрозами безопасности межсетевого взаимодействия средствами универсальных операционных систем (ОС) не представляется возможным. Универсальная операционная система — это слишком большой и сложный комплекс программ, который, с одной стороны, может содержать внутренние ошибки и недоработки, а с другой — не всегда обеспечивает защиту от ошибок администраторов и пользователей.
Современная технология программирования не позволяет сделать столь большие программы безопасными. Для операционных систем характерны как явные ошибки разработки, так и существенные недостатки, связанные с недоработкой концептуальных и ряда детальных требований к системе безопасности. Кроме того, администратор, имеющий дело со сложной системой, далеко не всегда в состоянии эффективно ее настроить и сконфигурировать. Наконец, в универсальной многопользовательской системе бреши в безопасности постоянно создаются самими пользователями, например, тривиальные и редко изменяемые пароли.
Следует учитывать также неоднородность современных компьютерных сетей. Сеть любой организации в общем случае представляет собой неоднородный набор из различных компьютеров, управляемых различными операционными системами и связанных между собой с помощью сетевого оборудования. Компьютеры одного типа и с одной ОС могут, в соответствии с их назначением, иметь совершенно разные конфигурации. В таких условиях проблематично осуществить надежную защиту от внешне сетевого враждебного окружения каждого компьютера в отдельности.
Поэтому проблема защиты от несанкционированных действий при взаимодействии с внешними сетями успешно может быть решена только с помощью специализированных программно-аппаратных комплексов, обеспечивающих целостную защиту компьютерной сети от враждебной внешней среды. Такие комплексы называют межсетевыми экранами, брандмауэрами или системами FireWall. Межсетевой экран устанавливается на стыке между внутренней и внешней сетями и функции противодействия несанкционированному межсетевому доступу берет на себя.
2.2.2. Функции межсетевого экранирования
Для противодействия несанкционированному межсетевому доступу брандмауэр должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 2.10). При этом все взаимодействия между этими сетями должны осуществляться только через межсетевой экран. Организационно экран входит в состав защищаемой сети.
Межсетевой экран должен учитывать протоколы информационного обмена, положенные в основу функционирования внутренней и внешней сетей. Если эти протоколы отличаются, то брандмауэр должен поддерживать многопротокольный режим работы, обеспечивая протокольное преобразование отличающихся по реализации уровней модели OSI для объединяемых сетей. Чаще всего возникает необходимость в совместной поддержке стеков протоколов SPX/IPX и ТСР/IP.
Брандмауэр не является симметричным. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внешнюю сеть и наоборот. В общем случае работа межсетевого экрана основана на динамическом выполнении двух групп функций:
● фильтрации проходящих через него информационных потоков;
● посредничества при реализации межсетевых взаимодействий.
В зависимости от типа экрана эти функции могут выполняться с различной' полнотой. Простые межсетевые экраны ориентированы на выполнение только одной из данных функций. Комплексные экраны обеспечивают совместное выполнение указанных функций защиты. Собственная защищенность брандмауэра достигается с помощью тех же средств, что и защищенность универсальных систем.
Чтобы эффективно обеспечивать безопасность сети, комплексный брандмауэр обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Для принятия управляющих решений по используемым сервисам межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений. Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений, — главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений). Полнота и правильность управления требуют, чтобы комплексный брандмауэр имел возможность анализа и использования следующих элементов:
● Информации о соединениях — информации от всех семи уровней в пакете.
● Истории соединений — информации, полученной от предыдущих соединений. Например, исходящая команда PORT ceccии FTP должна быть сохранена для того, чтобы в дальнейшем можно было проверить входящее соединение FTP data.
● Состояния уровня приложения — информации о состоянии, полученной из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через брандмауэр только для авторизованных видов сервиса.
● Агрегирующих элементов — вычислений разнообразных выражений, основанных на всех вышеперечисленных факторах.
Устройство, подобное межсетевому экрану, может использоваться и для защиты отдельного компьютера. В этом случае экран, уже не являющийся межсетевым, устанавливается на защищаемый компьютер. Такой экран, называемый персональным брандмауэром или системой персонального экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих, системных защитных средств. При экранировании отдельного компьютера, поддерживается доступность сетевых сервисов, но уменьшается или вообще ликвидируется нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства с конфигурированы особенно тщательно и жестко.
Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований и извещением отправителя о том, что его данным в пропуске отказано
Фильтрация осуществляется на основе набора правил, предварительно загруженных в экран и являющихся выражением сетевых аспектов принятой политики безопасности. Поэтому межсетевой экран удобно представлять как последовательность фильтров (рис. 2,11), обрабатывающих информационный поток. Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем выполнения следующих стадий:
1. Анализа информации по заданным в интерпретируемых правилах критериям, например, по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена.
2. Принятия на основе интерпретируемых правил одного из следующих' решений:
• не пропустить данные;
• обработать данные от имени получателя и возвратить результат отправителю;
• передать данные на следующий фильтр для продолжения анализа;
• пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например, преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым с использованием указанных критериев анализа осуществляются:
● разрешение или запрещение дальнейшей передачи данных;
● выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут использоваться следующие параметры:
● служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;
● непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
● внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
2.2.4. Выполнение функций посредничества
Функции посредничества межсетевой экран выполняет с помощью специальных программ, называемых экранирующими агентами или просто программами-посредниками. Данные программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере экрана. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также осуществлять другие защитные функции.
Следует уяснить, что функции фильтрации межсетевой экран может выполнять без применения программ-посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней сетью. Вместе с тем программные посредники могут и не осуществлять фильтрацию потока сообщений.
В общем случае экранирующие агенты, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции:
● идентификацию и аутентификацию пользователей;
● проверку подлинности передаваемых данных;
● разграничение доступа к ресурсам внутренней сети;
● разграничение доступа к ресурсам внешней сети;
● фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
● трансляцию внутренних сетевых адресов для исходящих пакетов сообщений;
● регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов;
● кэширование данных, запрашиваемых из внешней сети. Для высокой степени безопасности необходима идентификация и аутентификация пользователей не только при их доступе из внешней сети во внутреннюю, но и наоборот. Пароль не должен передаваться в открытом виде
через общедоступные коммуникации. Это предотвратит получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа Telnet. Оптимальным способом аутентификации является использование одноразовых паролей. Удобно и надежно также применение цифровых сертификатов, выдаваемых доверительными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифицировался только в начале сеанса работы с межсетевым экраном. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.
Программы-посредники могут осуществлять проверку подлинности получаемых и передаваемых данных. Это актуально не только для аутентификации электронных сообщений, но и мигрирующих программ (Java, ActiveX Controls), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей. Для этого также могут применяться цифровые сертификаты.
Идентификация и аутентификация пользователей при обращении к межсетевому экрану позволяет разграничить их доступ к ресурсам внутренней или внешней сети. Способы разграничения к ресурсам внутренней сети ничем не отличаются от способов разграничения, поддерживаемых на уровне операционной системы. При разграничении доступа к ресурсам внешней сети чаще всего используется один из следующих подходов:
● разрешение доступа только по заданным адресам во внешней сети;
● фильтрация запросов на основе обновляемых списков недопустимых адресов и блокировка поиска информационных ресурсов по нежелательным ключевым словам;
● накопление и обновление администратором санкционированных информационных ресурсов внешней сети в дисковой памяти брандмауэра и полный запрет доступа во внешнюю сеть.
Фильтрация и преобразование потока сообщений выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ посредников:
● экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например, FTP, HTTP, Telnet;
● универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например, агенты, ориентированные на поиск и обезвреживание компьютерных вирусов или прозрачное шифрование данных.
Программный посредник анализирует поступающие к нему пакеты данных, и если какой-либо объект не соответствует заданным критериям, то посредник либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например, обезвреживание обнаруженных компьютерных вирусов. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.
Брандмауэры с посредниками позволяют также организовывать защищенные виртуальные сети (Virtual Private Network — VPN), например, безопасно объединить несколько локальных сетей, подключенных к Internet, в одну виртуальную сеть. VPN обеспечивают прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации путем ее динамического шифрования. При передаче по Internet возможно шифрование не только данных пользователей, но и служебной информации — конечных сетевых адресов, номеров портов и т. д. Программы-посредники могут выполнять и такую важную функцию, как трансляцию внутренних сетевых адресов. Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю, Для этих пакетов посредник выполняет автоматическое преобразование IP-адресов компьютеров-отправителей в один "надежный" IP-адрес, ассоциируемый с брандмауэром, из которого передаются все исходящие пакеты. В результате все исходящие из внутренней сети пакеты оказываются отправленными межсетевым экраном, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью. IP-адрес брандмауэра становится единственным активным IP-адресом, который попадает во внешнюю сеть.
При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например, в сети Internet. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети.
Важными функциями программ-посредников являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрирован-
ной информации и составление отчетов. В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление администратора, т. е. выдача предупредительных сигналов. Любой брандмауэр, который не способен посылать, предупредительные сигналы при обнаружении нападения, не является эффективным средством межсетевой защиты.
Многие межсетевые экраны содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют произвести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов посредники могут выполнить удаленное оповещение об определенных событиях в режиме реального времени.
С помощью специальных посредников поддерживается также кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внутренней сети к информационным ресурсам внешней сети вся информация накапливается на пространстве жесткого диска брандмауэра, называемого в этом случае рrоху- сервером. Поэтому если при очередном запросе нужная информация окажется на proxy-сервере, то посредник предоставляет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периодическом обновлении содержимого рrоху- сервера.
Функция кэширования успешно может использоваться для ограничения доступа к информационным ресурсам внешней сети. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются и обновляются администратором на proxy-сервере. Пользователям внутренней сети разрешается доступ только к информационным ресурсам proxy- сервера, а непосредственный доступ к ресурсам внешней сети запрещается.
Экранирующие агенты намного надежнее обычных фильтров и обеспечивают большую степень защиты. Однако они снижают производительность обмена данными между внутренней и внешней сетями и не обладают той степенью прозрачности для приложений и конечных пользователей, которая характерна для простых фильтров.
2.3. Особенности межсетевого экранирования на различных уровнях модели OSI
Брандмауэры поддерживают безопасность межсетевого взаимодействия на различных уровнях модели OSI. При этом функции защиты, выполняемые на разных уровнях эталонной модели, существенно отличаются друг от друга. Поэтому комплексный межсетевой экран удобно представить в виде совокупности неделимых экранов, каждый из которых ориентирован на отдельный уровень модели OSI. Чаще всего комплексный экран функционирует на
сетевом, сеансовом и прикладном уровнях эталонной модели. Соответственно различают такие неделимые брандмауэры (рис. 2.12), как экранирующий маршрутизатор, экранирующий транспорт (шлюз сеансового уровня), а также экранирующий шлюз (шлюз прикладного уровня).
Учитывая, что используемые в сетях протоколы (ТСР/IP, SPX/IPX) не однозначно соответствуют модели OSI, то экраны перечисленных типов при выполнении своих функций могут охватывать и соседние уровни эталонной модели. Например, прикладной экран может осуществлять автоматическое зашифровывание сообщений при их передаче во внешнюю сеть, а также автоматическое расшифровывание криптографический закрытых принимаемых данных. В этом случае такой экран функционирует не только на прикладном уровне модели OSI, но и на уровне представления. Шлюз сеансового уровня при своем функционировании охватывает транспортный и сетевой уровни модели OSI. Экранирующий маршрутизатор при анализе пакетов сообщений проверяет их заголовки не только сетевого, но и транспортного уровня.
Межсетевые экраны каждого из типов имеют свои достоинства и недостатки. Многие из используемых брандмауэров являются либо прикладными шлюзами, либо экранирующими маршрутизаторами, не поддерживая полную безопасность межсетевого взаимодействия. Надежную же защиту обеспечивают только комплексные межсетевые экраны, каждый из которых объединяет экранирующий маршрутизатор, шлюз сеансового уровня, а также прикладной шлюз.
2.3.1. Экранирующий маршрутизатор
Экранирующий маршрутизатор, называемый еще пакетным фильтром, предназначен для фильтрации пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения своих отдельных функций может охватывать и транспортный уровень эталонной модели. Решение о том, пропустить или отбраковать данные, принимается для каждого пакета независимо на основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного Уровней (рис. 2.13). В качестве анализируемых полей IP- и TCP (UDP)- заголовков каждого пакета выступают:
● адрес отправителя;
● адрес получателя;
● тип пакета;
● флаг фрагментации пакета;
● номер порта источника;
● номер порта получателя.
Первые четыре параметра относятся к IP-заголовку пакета, а следующие- к TCP- или UDP заголовку.
Адреса отправителя и получателя являются IP-адресами. Эти адреса заполняются при формировании пакета и остаются неизменными при передаче его по сети.
Поле типа пакета содержит код протокола ICMP, соответствующего сетевому уровню, либо код протокола транспортного уровня (TCP или UDP), к которому относится анализируемый IP-пакет.
Флаг фрагментации пакета определяет наличие или отсутствие фрагментации IP-пакетов. Если флаг фрагментации для анализируемого пакета установлен, то данный пакет является под пакетом фрагментированного IP-пакета.
Номера портов источника и получателя добавляются драйвером TCP или UDP к каждому отправляемому пакету сообщения и однозначно идентифицируют приложение-отправитель, а также приложение, для которого предназначен этот пакет. Например, при использовании протокола передачи файлов FTP реализация данного протокола на сервере по умолчанию получает номер TCP-порта 21. Каждый Telnet-сервер по умолчанию имеет TCP-порт 23. Для возможности фильтрации пакетов по номерам портов необходимо знание принятых в сети соглашений относительно выделения номеров портов протоколам высокого уровня.
При обработке каждого пакета экранирующий маршрутизатор последовательно просматривает заданную таблицу правил, пока не найдет правила, с которым согласуется полная ассоциация пакета. Здесь под ассоциацией понимается совокупность параметров, указанных в заголовках данного пакета Если экранирующий маршрутизатор получил пакет, не соответствующий ни одному из табличных правил, он применяет правило, заданное по умолчанию. Из соображений безопасности это правило обычно указывает на необходимость отбраковки всех пакетов, не удовлетворяющих ни одному из других правил.
В качестве пакетного фильтра может использоваться как обычный маршрутизатор, так и работающая на сервере программа, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты. Современные маршрутизаторы, например, маршрутизирующие устройства компаний Вау Networks и Cisco, позволяют связывать с каждым портом несколько десятков правил и фильтровать пакеты как на входе, так и на выходе. К достоинствам экранирующих маршрутизаторов относятся:
● простота самого экрана, а также процедур его конфигурирования и установки;
● прозрачность для программных приложений и минимальное влияние производительность сети;
● низкая стоимость, обусловленная тем, что любой маршрутизатор в той или иной степени представляет возможность фильтрации пакетов.
Однако экранирующие маршрутизаторы не обеспечивают высокой степени безопасности, так как проверяют только заголовки пакетов и не поддерживают многие необходимые функции защиты, например, аутентификацию, конечных узлов, криптографическое закрытие пакетов сообщений, а также проверку их целостности и подлинности. Экранирующие маршрутизаторы уязвимы для таких распространенных сетевых атак, как подделка исходных адресов и несанкционированное изменение содержимого пакетов сообщений. "Обмануть" межсетевые экраны данного типа не составляет труда— достаточно сформировать заголовки пакетов, которые удовлетворяют разрешающим правилам фильтрации.
Шлюз сеансового уровня, называемый еще экранирующим транспортом предназначен для контроля виртуальных соединений и трансляции, IP-адресов при взаимодействии с внешней сетью. Он функционирует ни сеансовом уровне модели OSI, охватывая в процессе своей работы также транспортный и сетевой уровни эталонной модели. Защитные функции экранирующего транспорта относятся к функциям посредничества.
Контроль виртуальных соединений заключается в контроле квитирования связи, а также контроле передачи информации по установленным виртуальным каналам.
При контроле квитирования связи шлюз сеансового уровня следит за установлением виртуального соединения между рабочей станцией внутренней сети и компьютером внешней сети, определяя, является ли запрашиваемый сеанс связи допустимым. Такой контроль основывается на информации, содержащейся в заголовках пакетов сеансового уровня протокола TCP. Однако если пакетный фильтр при анализе TCP-заголовков проверяет только номера портов источника и получателя, то экранирующий транспорт анализирует другие поля, относящиеся к процессу квотирования связи.
Чтобы определить, является ли запрос на сеанс связи допустимым, шлюз сеансового уровня выполняет следующие действия. Когда рабочая станция (клиент) запрашивает связь с внешней сетью, шлюз принимает этот запрос, проверяя, удовлетворяет ли он базовым критериям фильтрации, например, может ли DNS-сервер определить IP-адрес клиента и ассоциированное с ним имя. Затем, действуя от имени клиента, шлюз устанавливает соединение с компьютером внешней сети и следит за выполнением процедуры квотирования связи по протоколу TCP.
Эта процедура состоит из обмена TCP-пакетами, которые помечаются флагами SYN (синхронизировать) и АСК (подтвердить) (рис. 2.14).
Первый пакет сеанса TCP, помеченный флагом SYN и содержащий произвольное число, например 100, является запросом клиента на открытие сеанса. Компьютер внешней сети, получивший этот пакет, посылает в ответ пакет, помеченный флагом АСК и содержащий число, на единицу большее, чем в принятом пакете (в нашем случае 101), подтверждая, таким образом, прием пакета SYN от клиента. Кроме того, осуществляя обратную процедуру, компьютер внешней сети посылает также клиенту пакет SYN, но уже с порядковым номером первого байта передаваемых данных (например, 200), и клиент подтверждает его получение передачей пакета АСК, содержащего число 201. На этом процесс квитирования связи завершается.
Для шлюза сеансового уровня (рис. 2.15) запрошенный сеанс считается допустимым только в том случае, если при выполнении процедуры квотирования связи флаги SYN и АСК, а также числа, содержащиеся в заголовка TCP-пакетов, оказываются логически связанными между собой. После того как шлюз определил, что рабочая станция внутренней сети и компьютер внешней сети являются авторизованными участниками сеанса TCP, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента шлюз копирует и пере направляет пакеты туда и обратно, контролируя передачу информации по установленному виртуальному каналу. Он поддерживает таблицу установленных соединений, пропуская данные, относящиеся к одному из сеансов связи, которые зафиксированы в этой таблице. Когда сеанс завершается, шлюз удаляет соответствующий элемент из таблицы и разрывает цепь, использовавшуюся в данном сеансе.
В процессе контроля передачи информации по виртуальным каналам фильтрация пакетов экранирующим транспортом не осуществляется. Однако шлюз сеансового уровня способен отслеживать количество передаваемой информации и разрывать соединения после превышения определенного предела, препятствуя тем самым несанкционированному экспорту информации. Возможно также накопление регистрационной информации о виртуальных соединениях.
Для контроля виртуальных соединений в шлюзах сеансового уровня используются специальные программы, которые называют канальными Посредниками (pipe proxies). Эти посредники устанавливают между внутренней и внешней сетями виртуальные каналы, а затем контролируют передачу по этим каналам пакетов, генерируемых приложениями ТСР/IP.
Канальные посредники ориентированы на конкретные службы ТСР/IP. Поэтому шлюзы сеансового уровня могут использоваться для расширения возможностей шлюзов прикладного уровня, работа которых основывается на программах-посредниках конкретных приложений.
На практике большинство шлюзов сеансового уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня. Примерами таких шлюзов являются CyberGuard Firewall компании CyberGuard и Gauntlet Firewall компании Network Associates. CyberGuard Firewall использует канальные посредники с посредниками прикладного уровня для каждой из шести служб ТСР/IP, к которым относятся, например, FTP, HTTP (HyperText Transport Protocol) и Telnet.
Шлюз сеансового уровня обеспечивает также трансляцию внутренних адресов сетевого уровня (IP-адресов) при взаимодействии с внешней сетью. Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP- адреса компьютеров-отправителей внутренней сети автоматически преобразуются в один IP-адрес, ассоциируемый с экранирующим транспортом. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными межсетевым экраном, что исключает прямой контакт между внутренней и внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть.
Трансляция адресов, с одной стороны, вызвана необходимостью усиления защиты путем скрытия от внешних пользователей структуры защищаемой внутренней сети. При трансляции внутренних IP-адресов шлюз сеансового уровня экранирует, то есть заслоняет внутреннюю сеть от внешнего мира. В то же время субъектам внутренней сети кажется, что они напрямую общаются с компьютерами внешней сети. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например, в сети Internet. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней.
С другой стороны, трансляция адресов вызвана тем, что канальные посредники создают новое соединение каждый раз, когда они активизируются. Посредник принимает запрос от рабочей станции внутренней сети и затем инициирует новый запрос к компьютеру внешней сети. Поэтому компьютер внешней сети воспринимает запрос как исходящий от посредника, а не от действительного клиента.
С точки зрения реализации шлюз сеансового уровня представляет собой довольно простую, а значит, надежную программу. Он дополняет экранирующий маршрутизатор функциями контроля виртуальных соединений и трансляции внутренних IP-адресов. Недостатки у шлюза сеансового уровня те же, что и у экранирующего маршрутизатора — не обеспечивается контроль и защита содержимого пакетов сообщений, не поддерживаются аутентификация пользователей и конечных узлов, а также другие функции защиты локальной сети. Поэтому шлюз сеансового уровня применяют как дополнение к прикладному шлюзу.
Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне модели OSI, охватывая также уровень представления, и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Защитные функции прикладного шлюза, как и экранирующего транспорта, относятся к функциям посредничества. Однако прикладной шлюз, в отличие от шлюза сеансового уровня, может выполнять существенно большее количество функций защиты, к которым относятся следующие:
● идентификация и аутентификация пользователей при попытке установления соединений через брандмауэр;
● проверка подлинности информации, передаваемой через шлюз;
● разграничение доступа к ресурсам внутренней и внешней сетей;
● фильтрация и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
● регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерация отчетов;
● кэширование данных, запрашиваемых из внешней сети. Учитывая, что функции прикладного шлюза относятся к функциям посредничества, он представляет собой универсальный компьютер, на которой функционируют программные посредники (экранирующие агенты) — по одному для каждого обслуживаемого прикладного протокола (HTTP, FTP, SMTP, NNTP и др.).
Посредник каждой службы ТСР/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Так же, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и исходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями (программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели OSI (рис. 2.16).
Прикладные шлюзы используют в качестве посредников специально разработанные для этой цели программные серверы конкретных служб ТСР/IP— серверы HTTP, FTP, SMTP, NNTP и др. Эти программные серверы функционируют на брандмауэре в резидентном режиме и реализуют функции защиты, относящиеся к соответствующим службам ТСР/IP. Трафик UDP обслуживается специальным транслятором содержимого UDP-пакетов.
Как и в случае шлюза сеансового уровня, для связи между рабочей станции внутренней сети и компьютером внешней сети соответствующий посредник прикладного шлюза образует два соединения: от рабочей станции до брандмауэра и от брандмауэра до места назначения. Но, в отличие от канальных посредников, посредники прикладного шлюза пропускают только пакеты, сгенерированные теми приложениями, которые им поручено обслуживать. Например, программа-посредник службы HTTP может обрабатывать лишь трафик, генерируемый этой службой. Если в сети работает прикладной шлюз, то входящие и исходящие пакеты могут передаваться лишь для тех служб, для которых имеются соответствующие посредники. Так, если прикладной шлюз использует только программы-посредники HTTP, FTP и Telnet, то он будет обрабатывать лишь пакеты, относящиеся к этим службам, блокируя при этом пакеты всех остальных служб. Фильтрация потоков сообщений реализуется прикладными шлюзами на прикладном уровне модели OSI. Соответственно посредники прикладного шлюза, в отличие от канальных посредников, обеспечивают проверку содержимого обрабатываемых пакетов. Они могут фильтровать отдельные виды команд или информации в сообщениях протоколов прикладного уровня, которые им поручено обслуживать. Например, для службы FTP возможно динамическое обезвреживание компьютерных вирусов в копируемых из внешней сети файлах. Кроме того, посредник данной службы может быть сконфигурирован таким образом, чтобы предотвращать использование клиентами команды PUT, предназначенной для записи файлов на FTP-сервер. Такое ограничение уменьшает риск случайного повреждения хранящейся на FTP-сервере информации и снижает вероятность заполнения его гигабайтами ненужных данных. При настройке прикладного шлюза и описании правил фильтрации сообщений используются такие параметры, как название сервиса, допустимый временной диапазон его использования, ограничения на содержимое сообщений, связанных с данным сервисом, компьютеры, с которых можно пользоваться сервисом, идентификаторы пользователей, схемы аутентификации и др.
Шлюз прикладного уровня обладает следующими важными достоинствами:
● за счет возможности выполнения подавляющего большинства функций
посредничества обеспечивает наиболее высокий уровень защиты локальной сети;
● защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, уменьшая тем самым вероятность проведения успешных атак, основанных на недостатках программного обеспечения;
● при нарушении работоспособности прикладного шлюза блокируется сквозное прохождение пакетов между разделяемыми сетями, что не снижает безопасность защищаемой сети в случае возникновения отказов.
Не считая высокой стоимости, к недостаткам прикладного шлюза относятся:
● довольно большая сложность самого брандмауэра, а также процедур его
установки и конфигурирования;
● высокие требования к производительности и ресурсоемкости компьютерной платформы;
● отсутствие "прозрачности" для пользователей и снижение пропускной способности при реализации межсетевых взаимодействий.
Последний недостаток рассмотрим более подробно. Технология функционирования прикладного шлюза основана на использовании посредников, проверяющих подлинность обращающихся к ним клиентов, а также устанавливающих необходимые соединения и выполняющих другие функции защиты межсетевого взаимодействия. Посредники выступают в качестве промежуточного звена передачи пакетов между сервером и клиентом. Вначале устанавливается соединение с посредником, а уже затем посредник принимает решение о том, создавать соединение с адресатом или нет. Соответственно прикладной шлюз в процессе своего функционирования дублирует любое разрешенное соединение. Следствием этого является отсутствие прозрачности для пользователей и дополнительные накладными расходы на обслуживание соединений.
Для устранения этого недостатка фирмы Check Point и ON Technology при работали новую технологию фильтрации пакетов, которую иногда называют фильтрацией экспертного уровня или фильтрацией с контролем состоянии соединения (statefull inspection). Фильтрация осуществляется на основе специальных методов многоуровневого анализа состояния пакетов (Stateful Multi-Layer Technique — SMLT). Эта гибридная технология позволяет отслеживать состояние сетевого соединения, перехватывая пакеты на сетевом уровне и извлекая из них информацию прикладного уровня, которая используется для контроля за соединением. Быстрое сравнение проходящих пакетов с известным состоянием (state) "дружественных" пакетов позволяет значительно сократить время обработки по сравнению с брандмауэрами уровня приложений.
Межсетевые экраны, в основу функционирования которых положена описанная технология фильтрации, называют экранами экспертного уровня. Такие брандмауэры сочетают в себе элементы экранирующих маршрутизаторов и прикладных шлюзов. Как и экранирующие маршрутизаторы, они обеспечивают фильтрацию пакетов по содержимому их заголовков сетевого и транспортного уровней модели OSI. Брандмауэры экспертного уровня также выполняют все функции прикладного шлюза, касающиеся фильтрации пакетов на прикладном уровне модели OSI. Они оценивают содержимое каждого пакета в соответствии с заданной политикой безопасности.
Помимо "прозрачности" для пользователей и более высокой скорости обработки информационных потоков к достоинству межсетевых экранов экспертного уровня относится также то, что эти брандмауэры не изменяют IP- адресов проходящих через них пакетов. Это означает, что любой протокол прикладного уровня, использующий IP-адреса, будет корректно работать с этими брандмауэрами без каких-либо изменений или специального программирования. Однако, поскольку данные межсетевые экраны допускают прямое соединение между авторизованным клиентом и компьютером внешней сети, они обеспечивают менее высокий уровень защиты. Поэтому на практике технология фильтрации экспертного уровня используется для повышения эффективности функционирования комплексных межсетевых экранов. Примерами комплексных межсетевых экранов, реализующих техно- логию фильтрации экспертного уровня, являются брандмауэры FireWall:1 компании Check Point и CyberGuard Firewall компании CyberGuard.
В настоящее время фильтрация экспертного уровня становится одной из функций новых маршрутизаторов. Например, компании Вау Networks и Check Point заключили партнерское соглашение с целью переноса разработанной Check Point архитектуры брандмауэра экспертного уровня на маршрутизаторы Вау. Компания Cisco Systems разработала собственную технологию брандмауэра экспертного уровня и реализовала ее в продукте Cisco PIX FireWall.
2.4. Установка и конфигурирование систем Firewall
Для эффективной защиты межсетевого взаимодействия система Firewall должна быть правильно установлена и сконфигурирована. Данный процесс осуществляется путем последовательного выполнения следующих этапов:
● разработки политики межсетевого взаимодействия;
● определения схемы подключения, а также непосредственного подключения межсетевого экрана;
● настройки параметров функционирования брандмауэра.
Перечисленные этапы отражают системный подход к установке любого программно-аппаратного средства, предполагающий, начиная с анализа, последовательную детализацию решения стоящей задачи.
2.4.1. Разработка политики межсетевого взаимодействия
Политика межсетевого взаимодействия является той частью политики безопасности в организации, которая определяет требования к безопасности информационного обмена с внешним миром. Данные требования обязательно должны отражать два аспекта:
● политику доступа к сетевым сервисам;
● политику работы межсетевого экрана.
Политика доступа к сетевым сервисам определяет правила предоставления,
а также использования всех возможных сервисов защищаемой компьютерной сети. Соответственно в рамках данной политики должны быть заданы все сервисы, предоставляемые через сетевой экран, и допустимые адреса клиентов для каждого сервиса. Кроме того, должны быть указаны правили для пользователей, описывающие, когда и какие пользователи каким сервисом и на каком компьютере могут воспользоваться. Отдельно определяются правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети организации.
Политика работы межсетевого экрана задает базовый принцип управления межсетевым взаимодействием, положенный в основу функционирования брандмауэра. Может быть выбран один из двух таких принципов:
● запрещено все, что явно не разрешено;
● разрешено все, что явно не запрещено.
В зависимости от выбора, решение может быть принято как в пользу безопасности в ущерб удобству использования сетевых сервисов, так и наоборот. В первом случае межсетевой экран должен быть сконфигурирован таким образом, чтобы блокировать любые явно не разрешенные межсетевыми взаимодействия. Учитывая, что такой подход позволяет адекватно реализовать принцип минимизации привилегий, он, с точки зрения безопасности, является лучшим. Здесь администратор не сможет по забывчивости оставить, разрешенными какие-либо полномочия, так как по умолчанию они будут', запрещены. Доступные лишние сервисы могут быть использованы безопасности, что особенно характерно для закрытого и сложного программного обеспечения, в котором могут быть различные ошибки и некорректности. Принцип "запрещено все, что явно не разрешено", в сущности, является признанием факта, что незнание может причинить вред.
При выборе принципа "разрешено все, что явно не запрещено" межсетевой экран настраивается таким образом, чтобы блокировать только явно запрещенные межсетевые взаимодействия. В этом случае повышается удобство использования сетевых сервисов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Администратор может учесть не все действия, которые запрещены пользователям. Ему приходится работать в режиме реагирования, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети.
2.4.2. Определение схемы подключения межсетевого экрана
Для подключения межсетевых экранов могут использоваться различные
схемы, которые зависят от условий функционирования, а также количества сетевых интерфейсов брандмауэра. Брандмауэры с одним сетевым интерфейсом (рис. 2.17) не достаточно эффективны как с точки зрения безопасности, так и с позиций удобства конфигурирования. Они физически не разграничивают внутреннюю и внешнюю сети, а соответственно не могут обеспечивать надежную защиту межсетевых взаимодействий. Настройка таких межсетевых экранов, а также связанных с ними маршрутизаторов представляет собой довольно сложную задачу, цена решения которой превышает стоимость замены брандмауэра с одним сетевым интерфейсом на брандмауэр с двумя или тремя сетевыми интерфейсами. Поэтому рассмотрим лишь схемы подключения межсетевых - экранов с двумя и тремя сетевыми интерфейсами. При этом защищаемую локальную сеть будем рассматривать как совокупность закрытой и открытой подсетей. Здесь под открытой подсетью понимается подсеть, доступ к которой со стороны потенциально враждебной внешней сети может быть полностью или частично открыт. В открытую подсеть могут, например, входить общедоступные WWW-, FTP- и SMTP-серверы, а также терминальный cepвер с модемным пулом.
Среди всего множества возможных схем подключения брандмауэров типовыми являются следующие:
● схема единой защиты локальной сети;
● схема с защищаемой закрытой и не защищаемой открытой подсетями;
● схема с раздельной защитой закрытой и открытой подсетей.
Схема единой защиты локальной сети является наиболее простым решением
(рис. 2.18), при котором брандмауэр целиком экранирует локальную сеть потенциально враждебной внешней сети. Между маршрутизатором и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно маршрутизатор настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Открытые серверы, входящие в локальную сеть, также будут защищены межсетевым экраном. Однако объединение серверов, доступных из внешней сети, вместе с другими ресурсами защищаемой локальной сети существенно снижает безопасность межсетевых взаимодействий. Поэтому данную схему подключения брандмауэра можно использовать лишь при отсутствии в локальной сети открытых серверов или когда имеющиеся открытые серверы делаются доступными из внешней сети только для ограниченного числа пользователей, которым можно доверять.
При наличии в составе локальной сети общедоступных открытых серверов их целесообразно вынести как открытую подсеть до межсетевого экран (рис. 2.19). Данный способ обладает более высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до межсетевого экрана. Некоторые брандмауэры позволяют разместить эти серверы на себе. Но такое решение не является лучшим с точки зрения загрузки компьютера и безопасности самого брандмауэра. Учитывая вышесказанное, можно сделать вывод, что схему подключения брандмауэра с защищаемой закрытой подсетью и не защищаемой открытой подсетью целесообразно использовать лишь при невысоких требованиях по безопасности к открытой подсети.
В случае же, когда к безопасности открытых серверов предъявляются повышенные требования, то необходимо использовать схему с раздельной зашитой закрытой и открытой подсетей. Такая схема может быть построена на основе одного брандмауэра с тремя сетевыми интерфейсами (рис. 2.20) или на основе двух брандмауэров с двумя сетевыми интерфейсами
(рис. 2.21). В обоих случаях доступ к открытой и закрытой подсетям локальной сети возможен только через межсетевой экран. При этом доступ к открытой подсети не позволяет осуществить доступ к закрытой подсети.
Из последних двух схем большую степень безопасности межсетевых взаимодействий обеспечивает схема с двумя брандмауэрами, каждый из которых образует отдельный эшелон защиты закрытой подсети. Защищаемая открытая подсеть здесь выступает в качестве экранирующей подсети. Обычно экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из потенциально враждебной внешней сети, так и из закрытой подсети локальной сети. Однако прямой обмен информационными пакетами между внешней сетью и закрытой подсетью невозможен, При атаке системы с экранирующей подсетью необходимо преодолеть, по крайней мере, две независимые линии защиты, что является весьма сложной задачей. Средства мониторинга состояния межсетевых экранов практически неизбежно обнаружат подобную попытку, и администратор системы своевременно предпримет необходимые действия по предотвращению несанкционированного доступа.
Следует обратить внимание, что работа удаленных пользователей, подключаемых через коммутируемые линии связи, также должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Типовое решение этой задачи — установка сервера удаленного доступа (терминального сервера), который обладает необходимыми функциональными возможностями, например, терминального сервера Аппех компании Вау Networks. Терминальный сервер является системой с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью осуществляется только после соответствующей аутентификации внешнего пользователя.
Подключение терминального сервера должно осуществляться таким образом, чтобы его работа выполнялась исключительно через межсетевой экран. Это позволит достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации. Такое подключение возможно, если терминальный сервер включить в состав открытой подсети при использовании схем подключения брандмауэра с раздельной защитой открытой и закрытой подсетей (рис. 2.20 и 2.21).
Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы. Модули управления современных терминальных серверов имеют достаточно продвинутые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов, выполняя следующие функции:
● использование локального пароля на доступ к последовательному порту, на удаленный доступ по протоколу РРР, а также для доступа к административной консоли;
● использование запроса на аутентификацию с какой-либо машины локальной сети;
● использование внешних средств аутентификации;
● установку списка контроля доступа на порты терминального сервера;
●протоколирование сеансов связи через терминальный сервер.
2.4.3. Настройка параметров функционирования брандмауэра
Межсетевой экран представляет собой программно-аппаратный комплекс щиты, состоящий из компьютера, а также функционирующих на нем операционной системы (ОС) и специального программного обеспечения. Следует отметить, что это специальное программное обеспечение часто также бывают брандмауэром компьютер брандмауэра должен быть достаточно мощным и физически, например, находиться в специально отведенном и охраняемом решении. Кроме того, он должен иметь средства защиты от загрузки ОС несанкционированного носителя операционная система брандмауэра также должна удовлетворять ряду трепаний:
иметь средства разграничения доступа к ресурсам системы;
блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
запрещать привилегированный доступ к своим ресурсам из локальной сети;
содержать средства мониторинга/аудита любых административных действий. введенным требованиям удовлетворяют различные разновидности ОС IX, а также Microsoft Windows NT/2000.
После установки на компьютер брандмауэра выбранной операционной ее конфигурирования, а также инсталляции специального программа обеспечения можно приступать к настройке параметров функционирования всего межсетевого экрана. Этот процесс включает следующие этапы:
выработку правил работы межсетевого экрана в соответствии с разработанной политикой межсетевого взаимодействия и описание правил в интерфейсе брандмауэра;
проверку заданных правил на непротиворечивость;
проверку соответствия параметров настройки брандмауэра разработанной политике межсетевого взаимодействия.
милуемая на первом этапе база правил работы межсетевого экрана собой формализованное отражение разработанной политики сетевого взаимодействия. Компонентами правил являются защищаемые, пользователи и сервисы число защищаемых объектов могут входить обычные компьютеры с одним интерфейсом, шлюзы (компьютеры с несколькими сетевыми интерфейсами), маршрутизаторы, сети, области управления. Защищаемые объекты могут объединяться в группы. Каждый объект имеет набор атрибутов, таких как сетевой адрес, маска подсети и т. п. Часть этих атрибутов следует задать вручную, остальные извлекаются автоматически из информационных баз, например NIS/NIS+, SNMP MIB, DNS. Следует обратить внимание необходимость полного описания объектов, так как убедиться в корректности заданных правил экранирования можно только тогда, когда определены все сетевые интерфейсы шлюзов и маршрутизаторов. Подобную информацию можно получить автоматически от SNMP-агентов.
При описании правил работы межсетевого экрана пользователи наделяются входными именами и объединяются в группы. Для пользователей указываются допустимые исходные и целевые сетевые адреса, диапазон дат и времени работы, а также схемы и порядок аутентификации.
Определение набора используемых сервисов выполняется на основе встроенной в дистрибутив брандмауэра базы данных, имеющей значительный набор ТСР/IP-сервисов. Нестандартные сервисы могут задаваться вручную с помощью специальных атрибутов. Прежде чем указывать сервис при задании правил, необходимо определить его свойства. Современные брандмауэры содержат предварительно подготовленные определения всех стандартно ТСР/Ip-сервисов, разбитых на четыре категории, — TCP, UDP, RPC, ICMP.
Сервисы TCP являются полностью контролируемыми сервисами, так как предоставляются и используются на основе легко диагностируемых виртуальных соединений.
Сервисы UDP традиционно трудны для фильтрации, поскольку фаза виртуального соединения отсутствует, равно как и контекст лога между клиентом и сервером. Брандмауэр может сам вычислять контекст, отслеживая все UDP-пакеты, пересекающие межсетевой экран обоих направлениях, и ассоциируя запросы с ответами на них. В результат получается аналог виртуального соединения для дейтаграммного протокол, а все попытки нелегального установления подобного соединения, равно как и дейтаграммы, следующие вне установленных соединений, обрабатываются в соответствии с установленной политикой межсетевого взаимодействия. RPC-сервисы сложны для фильтрации из-за переменных номеров используемых портов. Брандмауэры отслеживают RPC-трафик, выявляя запросы
функции PORTMAPPER и извлекая из ответов выделенные номер
а портов.
Протокол ICMP используется самим IP-протоколом для отправки контрольных сообщений, информации об ошибках, а также для тестирования целостности сети. Для ICMP протокола не используется концепция портов. В используются числа от 0 до 255 для указания типа сервиса, которые вместе адресами и учитываются при контроле межсетевого взаимодействия.
После того как база правил сформирована, она проверяется на непротиворечивость. Это очень важный момент, особенно для развитых, сетевых конфигураций со сложной политикой межсетевого взаимодействия. Без подобной возможности администрирование межсетевого экрана с неизбежностью привело бы к многочисленным ошибкам и созданию слабостей. Проверка сформированных правил на непротиворечивость выполняется автоматически. Обнаруженные неоднозначности должны быть устранены путем редактирования противоречивых правил. После окончательного определения правил и устранения ошибок от администратора могут потребоваться дополнительные действия по компиляции и установке фильтров и посредников. Большинство брандмауэров после формирования базы правил выполняют процесс окончательной настройки автоматически.
Проверка соответствия параметров настройки брандмауэра разработанной политике межсетевого взаимодействия может выполняться на основе анализа протоколов работы межсетевого экрана. Однако наибольшая результативность такой проверки будет достигнута при использовании специализирован систем анализа защищенности сети. Наиболее ярким представителем систем является пакет программ Internet Scanner SAFEsuite компании Internet Security Systems.
Входящая в состав данного пакета подсистема FireWall Scanner обеспечивает поиск слабых мест в конфигурации межсетевых экранов и предоставляет рекомендации по их коррекции. Поиск слабых мест осуществляется на основе проверки реакции межсетевых экранов на различные типы попыток, нарушения безопасности. При этом выполняется сканирование всех сетевых, сервисов, доступ к которым осуществляется через межсетевой экран. Для ,постоянного поддержания высокой степени безопасности сети Fire Scanner рекомендуется сделать частью установки межсетевого экрана.
При настройке межсетевого экрана следует помнить, что и как любое средство, он не может защитить от некомпетентности администраторов пользователей. Несанкционированные проникновения в защищенные могут произойти, например, по причине выбора легко угадываемого. Экранирующая система не защищает также от нападения по не контролируемым ею каналам связи. Если между потенциально враждебной сетью и защищаемой внутренней сетью имеется неконтролируем канал, то брандмауэр не сможет защитить от атаки через него. Это же носится и к телефонным каналам передачи данных. Если модем позволяя подключиться внутрь защищаемой сети в обход межсетевого экрана, то будет разрушена. Здесь следует вспомнить основной принцип — система безопасна настолько, насколько безопасно ее самое звено. Поэтому необходимо, чтобы экранирующая система все каналы передачи информации между внутренней и внешней сетью.
2.5. Критерии оценки межсетевых экранов
Предъявляемые требования к любому средству защиты информации в компьютерной сети можно разбить на следующие категории:
• функциональные — решение требуемой совокупности задач защиты;
• требования по надежности — способности своевременно, правильно и. корректно выполнять все предусмотренные функции защиты;
• требования по адаптируемости — способности к целенаправленной адаптации при изменении структуры, технологических схем и условий функционирования компьютерной сети;
• эргономические — требования по удобству администрирования, эксплуатации и минимизации помех пользователям;
• экономические — минимизация финансовых и ресурсных затрат. Межсетевые экраны должны удовлетворять следующим группам более остальных требований.
По левым качествам — обеспечивать безопасность защищаемой внутренней сети и полный контроль над внешними подключениями и сеансами связи. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, кого часть персонала организации должна выезжать, например, в командировки, и в процессе работы им требуется доступ к некоторым ресурсам внутренней компьютерной сети организации. Брандмауэр должен надежно распознавать таких пользователей и предоставлять им необходимые виды доступа.
По управляемости и гибкости — обладать мощными и гибкими средствами
управления для полного воплощения в жизнь политики безопасности opгaнизации. Брандмауэр должен обеспечивать простую реконфигурацию системы при изменении структуры сети. Если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, систем управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой политики межсетевых взаимодействий.
По производительности и прозрачности — работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик при максимальной нагрузке. Это необходимо для того, чтобы брандмауэр нельзя было перегрузить большим количеством вызовов, которые привели бы к нарушению его работы. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий. В противном случае пользователи будут пытаться любыми способами обойти установленные уровни защиты.
По само защищенности — обладать свойством самозащиты от любых несанкционированных воздействий. Поскольку межсетевой экран является и ключом и дверью к конфиденциальной информации в организации, он должен блокировать любые попытки несанкционированного изменения его параметров настройки, а также включать развитые средства самоконтроля своего состояния и сигнализации. Средства сигнализации должны обеспечивать своевременное уведомление службы безопасности при обнаружении любых несанкционированных действий, а также нарушении работоспособности межсетевого экрана.
В настоящее время общеупотребительным подходом к построению критерием оценки средств информационно-компьютерной безопасности является использование совокупности определенным образом упорядоченных качественных требований к подсистемам защиты, их эффективности и эффективности реализации. Подобный подход выдержан и в руководящем документе Гостехкомиссии России [4], где устанавливается классификация межсетевых экранов по уровню защищенности от несанкционированного доступа к информации. Данная классификация построена на базе перечня показателей и совокупности их требований.
Показатели защищенности применяются к брандмауэрам для определения ровня защищенности, который они обеспечивают при межсетевом взаимодействии. Конкретные перечни показателей определяют классы межсетевых кранов по обеспечиваемой защищенности компьютерных сетей. Деление брандмауэров на соответствующие классы по уровням контроля межсетевых информационных потоков необходимо в целях разработки и принятия обоснованных и экономически оправданных мер по достижению требуемой степени защиты информации при межсетевых взаимодействиях.
Устанавливается пять классов межсетевых экранов по показателям защищенности. Самый низкий класс защищенности — пятый, применяемый для безопасного взаимодействия автоматизированных систем класса 1Д с внешней средой, четвертый — для 1Г, третий — 1В, второй — 1Б, самый высокий — первый, применяемый для безопасного взаимодействия автоматизированных систем класса 1А с внешней средой. При включении брандмауэра 3 автоматизированную систему (АС) определенного класса защищенности, Масс защищенности совокупной системы, полученной из исходной путем добавления в нее межсетевого экрана, не должен понижаться. Для АС класса 3Б, 2Б должны применяться брандмауэры не ниже 5-го класса. Для АС класса 3А, 2А в зависимости от важности обрабатываемой информации .должны применяться брандмауэры следующих классов:
• при обработке информации с грифом "секретно" — не ниже 3-гo класса;
• при обработке информации с грифом "совершенно секретно" — не ниже
2-го класса;
• при обработке информации с грифом "особой важности" — не ниже 1- го класса.
Вспомним, что в соответствии с руководящим документом Гостехкомиссии России [3], устанавливается девять классов защищенности АС от несанкционированного доступа к информации. Каждый класс характеризуется определенной минимальной совокупностью требований по защите. Классы подразделяются на три группы, отличающиеся особенностями обработки информации в АС. В пределах каждой группы соблюдается иерархия требований по защите в зависимости от ценности (конфиденциальности) информации и, следовательно, иерархия классов защищенности АС. Класс, соответствующий высшей степени защищенности для данной группы, обозначается индексом NA, где N — номер группы от 1 до 3. Следующий класс обозначается NS и т. д.
Третья группа включает АС, в которых работает один пользователь, допущенный ко всей информации АС, размещенной на носителях одного уровня конфиденциальности. Данная группа содержит два класса ЗБ и 3А. Вторая группа включает АС, в которых пользователи имеют одинаковые правь доступа (полномочия) ко всей информации АС, обрабатываемой и/или хранимой на носителях различного уровня конфиденциальности. Эта гpynna содержит два класса 2Б и 2А. Первая группа включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности и не все пользователи имеют право доступа ко всей информации АС. Данная группа содержит пять классов 1Д, 1Г, 1В, 1Б и 1А. Требования к подсистемам зашиты для каждого класса АС приведены в табл. 2.1.
2.5.2. Требования по классам защищенности
Требования к межсетевым экранам пятого класса защищенности
Управление доступом. Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.
Администрирование: идентификация и аутентификация. Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора при его локальных запросах на доступ. Брандмауэр должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.
Администрирование: регистрация. Межсетевой экран должен обеспечивать регистрацию входа/выхода администратора в систему (из системы), а также события загрузки и инициализации системы и ее программного останова. Регистрация выхода из системы не проводится в моменты аппаратурного отключения брандмауэра. В параметрах регистрации должны указываться:
• дата, время и код регистрируемого события;
• результат попытки осуществления регистрируемого события — успешная или неуспешная;
• идентификатор администратора МЭ, предъявленный при попытка осуществления регистрируемого события.
Целостность. Межсетевой экран должен содержать средства контроля целостностью своей программной и информационной части.
Восстановление. Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.
Тестирование. В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
• реализации правил фильтрации;
• процесса идентификации и аутентификации администратора;
• процесса регистрации действий администратора;
• процесса контроля за целостностью программной и информационной
части межсетевого экрана;
• процедуры восстановления.
Руководство администратора межсетевого экрана. Документ должен содержать:
• описание контролируемых функций брандмауэра;
• руководство по настройке и конфигурированию межсетевого экрана;
• описание старта брандмауэра и процедур проверки правильности старта;
• руководство по процедуре восстановления.
Тестовая документация. Должна содержать описание тестов и испытаний,
которым подвергался межсетевой экран, и результаты тестирования.
Конструкторская (проектная) документация. Должна содержать:
• общую схему межсетевого экрана;
• общее описание принципов работы брандмауэра;
• описание правил фильтрации;
• описание средств и процесса идентификации и аутентификации;
• описание средств и процесса регистрации;
• описание средств и процесса контроля за целостностью программной и информационной части межсетевого экрана;
• описание процедуры восстановления свойств брандмауэра.
Дополнительные требования к межсетевым экранам четвертого класса защищенности
Управление доступом. Межсетевой экран дополнительно должен обеспечивать:
• фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
• фильтрацию с учетом входного и выходного сетевого интерфейса средство проверки подлинности сетевых адресов;
• фильтрацию с учетом любых значимых полей сетевых пакетов.
Регистрация. Межсетевой экран дополнительно должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации должны включаться адрес, время и результат фильтрации.
Администрирование: регистрация. Дополнительно межсетевой экран должен обеспечивать регистрацию запуска программ и процессов (заданий, задач). В межсетевом экране дополнительно должна обеспечиваться возможность регламентного тестирования процесса регистрации.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Дополнительные требования к межсетевым экранам третьего класса защищенности
Управление доступном. Межсетевой экран дополнительно должен обеспечивать:
• фильтрацию на транспортном уровне запросов на установление виртуальных соединений; при этом, по крайней мере, должны учитываться транспортные адреса отправителя и получателя;
• фильтрацию на прикладном уровне запросов к прикладным сервисам;
при этом, по крайней мере, должны учитываться прикладные адреса отправителя и получателя;
• фильтрацию с учетом даты/времени.
Идентификация и аутентификация. Межсетевой экран должен обеспечивать возможность аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети регистрация. Дополнительно межсетевой экран должен обеспечивать:
• регистрацию и учет запросов на установление виртуальных соединений;
● локальную сигнализацию попыток нарушения правил фильтрации.
Администрирование: идентификация и аутентификация. Межсетевой экран Должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах администратора на доступ идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Администрирование: регистрация. Дополнительно межсетевой экран должен обеспечивать регистрацию действия администратора по изменению правил фильтрации.
Администрирование: npocmoma использования. Многокомпонентный межсетевой экран должен обеспечивать возможность дистанционного управления своими компонентами, в том числе возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
Целостность. Должен обеспечиваться контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
Тестирование. Дополнительно в межсетевом экране должна обеспечиваться возможность регламентного тестирования процесса идентификации и аутентификации запросов.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Конструкторская (проектная) документация. Дополнительно документация должна содержать описание средств и процесса централизованного управления компонентами межсетевого экрана.
Дополнительные требования к межсетевым экранам второго класса защищенности
Управление доступом. Межсетевой экран дополнительно должен обеспечивать:
• возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;
• возможность трансляции сетевых адресов.
Регистрация. Дополнительно межсетевой экран должен обеспечивать:
• дистанционную сигнализацию попыток нарушения правил фильтрации;
• регистрацию и учет запрашиваемых сервисов прикладного уровня;
• программируемую реакцию на события в межсетевом экране.
Администрирование: идентификация и аутентификация. Межсетевой экран должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю временного действия. Брандмауэр должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассив- ному и активному перехвату информации.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам как в процессе загрузки, так и динамически.
Восстановление. Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать оперативное восстановление свойств брандмауэра.
Тестирование. В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
• реализации правил фильтрации;
• процесса регистрации;
• процесса идентификации и аутентификации запросов;
• процесса идентификации и аутентификации администратора;
• процесса регистрации действий администратора;
• процесса контроля за целостностью программной и информационной части межсетевого экрана;
• процедуры восстановления.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Дополнительные требования к межсетевым экранам первого класса защищенности
Идентификация и аутентификация. Дополнительно межсетевой экран должен обеспечивать идентификацию и аутентификацию всех субъектов прикладного уровня.
Администрирование: идентификация и аутентификация. Межсетевой экран должен обеспечивать идентификацию и аутентификацию администратора при его запросах на доступ. Межсетевой экран обязан предоставлять возможность для идентификации и аутентификации по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия. Межсетевой экран должен препятствовать доступу неидентифицированного субъекта или субъекта, подлинность идентификации которого при аутентификации не подтвердилась. При удаленных запросах на доступ администратора идентификация и аутентификация должны обеспечиваться методами, устойчивыми к пассивному и активному перехвату информации.
Администрирование: простота использования. Многокомпонентный межсетевой экран должен обеспечивать возможность централизованного управления своими компонентами, в том числе, конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации. Должен быть предусмотрен графический интерфейс для управления межсетевым экраном.
Целостность. Межсетевой экран должен содержать средства контроля за целостностью своей программной и информационной части по контрольным суммам аттестованного алгоритма как в процессе загрузки, так и динамически.
Тестирование. В межсетевом экране дополнительно должна обеспечиваться возможность регламентного тестирования процесса централизованного управления компонентами брандмауэра и графического интерфейса для управления межсетевым экраном.
Тестовая документация. Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Конструкторская (проектная) документация. Дополнительно документация должна содержать описание графического интерфейса для управления межсетевым экраном.
2.6. Обзор современных систем Firewall
Каждый из популярных в настоящее время брандмауэров нельзя отнести к какому-то конкретному типу. Современные межсетевые экраны являются либо комплексными, либо сочетают в себе функции систем Firewall нескольких типов — экранирующего маршрутизатора, шлюза сеансового уровня, прикладного шлюза, а также шлюза экспертного уровня. Любой из них разработан на основе определенной концепции и уникального подхода.
Жесткая конкуренция привела к расширению функциональности межсетевых экранов, упрощению их использования, а также снижению стоимости. Сейчас на рынке практически невозможно найти межсетевой экран, который бы не обеспечивал поддержку защищенной виртуальной сети на основе шифрования трафика. Кроме того, большинство экранов обеспечивает усиленную аутентификацию пользователей, фильтрацию пакетов с контролем состояния соединения (Stateful Inspection) и высокую готовность. Графические интерфейсы, "мастера" настройки и предварительно сконфигурированные устройства — все это способствует превращению брандмауэров в технологию для массового рынка. В настоящий момент многофункциональный корпоративный межсетевой экран можно приобрести примерно за 3 тыс. долларов. Но в то же время следует заметить, что стоимость наиболее развитых Firewall начинается от 10 тыс. долларов.
Рассмотрим особенности современных межсетевых экранов по различным направлениям.
Потребности типовых решений послужили стимулом к созданию аппаратных межсетевых экранов. Такие устройства, как правило, представляют собой специализированные компьютеры с предварительно установленной и сконфигурированной на них операционной системой, а также программным обеспечением межсетевого экрана. Хотя большинство из них работает под управлением той или иной версии UNIX или Linux, из которой удалены все лишние программы и утилиты, производители предлагают также средства администрирования с графическим пользовательским интерфейсом (GUI). Достоинством аппаратных межсетевых экранов является простота ввода в эксплуатацию, так как при этом не требуется установка операционной системы и программного обеспечения межсетевого экрана. Упрощена также настройка параметров функционирования аппаратного брандмауэра за счет наличия типовых шаблонов для правил работы межсетевого экрана.
Примерами аппаратных межсетевых экранов являются Secure PIX Firewall 520/525 компании Cisco Systems, NetScreen-100/500 компании NetScreen Technologies, а также Firebox 1000 компании WatchGuard.
Устройства Secure PIX Firewall 520 и Secure PIX Firewall 525 работают с собственной защищенной операционной системой PIX OS. Пропускная способность моделей 520 и 525 составляет 370 Мбит/с. Secure PIX Firewall 520 может одновременно обслуживать до 250 тыс. сеансов, а Secure PIX Firewall 525 — до 280 тыс. сеансов. В качестве метода защиты Cisco использует Adaptive Security Algorithm (ASA) — разновидность алгоритма контекстной проверки. ASA запоминает адреса отправителей и получателей, порядковые номера TCP и другие данные, необходимые для определения соответствующих соединений. Оба устройства предоставляют функции виртуальных частных сетей (VPN), такие как туннелирование и шифрование DES/TripleDES. В 2001 г. Cisco анонсировала очередной вариант ОС межсетевого экрана — PIX OS 6.0. Новое в ней — использование графического пользовательского интерфейса PIX Device Manager (PDM) в качестве альтернативы интерфейсу командной строки. Кроме того, в версии 6.0 улучшена поддержка функций межсетевого экрана для протоколов Voice over IP (VoIP).
Компания NetScreen Technologies выпускает эффективные модели аппаратных межсетевых экранов NetScreen-100 и NetScreen-500. В NetScreen-100 предусмотрено три порта Ethernet на 10/100 Мбит/с с одновременной поддержкой 128 тыс. сеансов TCP и 1000 туннелей VPN. Два устройства NetScreen-100 можно объединить в конфигурацию "главный-подчиненный", что обеспечивает надежное оперативное резервирование. NetScreen-500 имеет пропускную способность 700 Мбит/с и может одновременно обслуживать 250 тыс. соединений. VPN работает на скорости 250 Мбит/с при использовании шифрования Triple DES и поддерживает до 10 тыс. туннелей. Покупатели могут выбирать различные комбинации устройств с количеством портов Ethernet на 10/100 Мбит/с до трех или Gigabit Ethernet. Администраторы получили возможность реализовать защиту нескольких сетевых сегментов с помощью одного NetScreen-500 за счет создания т. н. виртуальной системы (Virtual System). Virtual System представляет собой отдельный Домен внутри устройства со своими собственными правилами реализации защиты и функциями управления. NetScreen-500 поддерживает до 25 Virtual System. Все межсетевые экраны NetScreen работают под управлением специализированной операционной системы ScreenOS.
Firebox 1000 представляет собой устройство размерами немногим больше портативного компьютера, имеет три сетевых интерфейса 10/100 Мбит, работает на защищенном ядре Linux и способен обслуживать одновременно до 1000 пользователей. Это гибридный межсетевой экран с контекстной проверкой и посредниками для протоколов HTTP, SMTP и FTP. Специалисты WatchGuard оценивают производительность Firebox 1000 в 95 Мбит/с в режиме контекстной проверки и в 25 Мбит/с — в режиме посредника. Firebox 1000 позволяет создавать виртуальную частную сеть со 150 туннелями и выполнять шифрование TripleDES со скоростью 5,2 Мбит/с.
К недостаткам аппаратных брандмауэров можно отнести меньшую по сравнению с программными аналогами масштабируемость и трудность обеспечения взаимодействия с программными продуктами третьих фирм (антивирусными программами, URL-фильтрами, а также программами фильтрации содержимого электронных сообщений и документов).
Программные межсетевые экраны, как правило, используют стандартные ОС (Windows или UNIX), которые выполняются на обычных компьютерах. Примерами таких брандмауэров являются FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, CyberGuard Firewall компании CyberGuard. Имеются и программные реализации Firewall, которые ориентированы на адаптированные операционные системы, из которых удалены потенциально опасные и ненужные для работы межсетевого экрана функции. Например, программные брандмауэры компаний Global Technology Associates и Secure Computing используют собственные операционные системы.
Межсетевой экран FireWall-1 компании Check Point заслуженно считается одним из лидеров на рынке средств защиты межсетевого взаимодействия. Он позволяет будто из кирпичиков строить систему безопасности как для небольших фирм, так и для больших предприятий, чьи офисы разбросаны по всей стране или всему миру. Управление политикой безопасности в такой системе производится из одной точки — центра сетевой безопасности предприятия. FireWall-1 позволяет эффективно управлять межсетевым доступом, поддерживает многочисленные алгоритмы аутентификации пользователей, обеспечивает управление безопасностью на маршрутизаторах, выполняет трансляцию сетевых адресов, осуществляет аудит, ведет статистику и имеет удобный графический интерфейс. Межсетевой экран FireWall-1 поддерживает виртуальные частные сети (распространяется под торговой маркой VPN-1). Это дает возможность организовывать защищенные каналы передачи данных между филиалами предприятия и гарантирует защищенный доступ удаленных пользователей к сетевым ресурсам организации, используя клиентское программное обеспечение Secure Remote.
Одним из недостатков программных брандмауэров считается уязвимость самих операционных систем. Поэтому многие разработчики программные Firewall включают в средства инсталляции межсетевых экранов специализированные процедуры, обеспечивающие формирование защищенной конфигурации используемой ОС.
Поддержка различных операционных платформ
Пользователи должны иметь возможность выбора операционной платформы, наилучшим образом подходящей для их сети. При выборе ОС необходимо учитывать множество факторов, среди которых: защищенность, реальный опыт эксплуатации, требуемая производительность, аппаратная база.
Большинство программных межсетевых экранов могут работать под управлением различных операционных систем.
Например, FireWall-1 фирмы Check Point имеет версии под операционные
системы Windows NT/2000, AIX, HP-UX, Solaris, SunOS и Linux. Symantec Enterprise Firewall компании Symantec работает под управлением ОС Windows NT/2000 и Solaris.
Статистика показывает, что системы, работающие под Windows NT/2000, существенно отличаются от систем на базе UNIX. Некоторые поставщики брандмауэров помимо программного обеспечения включают в комплект поставки и оборудование, так как настройка операционной платформы UNIX для работы таких продуктов на стандартном оборудовании Intel является весьма непростой задачей. В противоположность этому установка программного обеспечения брандмауэра на компьютер с Windows NT/2000— задача более простая. По мере того как брандмауэры превращаются из специально сконструированных "крепостей" на базе UNIX в продукты общего спроса, Windows NT/2000 становится для них подходящей платформой. Возможность работы под Windows NT/2000, кроме уже упомянутых продуктов FireWall-1 компании Check Point и Symantec Enterprise Firewall компании Symantec, обеспечивают и такие межсетевые экраны, как ViPNet Firewall компании "Инфотекс", CyberGuard Firewall компании CyberGuarg (только под Windows NT 4.0), Firewall/Plus компании Network-1 (только под Windows NT 4.0).
Для современных аппаратных межсетевых экранов вопрос выбора ОС не является таким актуальным, как для программных. Это связано с несколькими причинами:
• каждый аппаратный брандмауэр поставляется с предустановленной и настроенной ОС, соответственно, при его вводе в эксплуатацию администратору не нужно устанавливать и конфигурировать операционную систему;
• администратору нет необходимости работы в среде ОС межсетевого экрана, так как для управления брандмауэром поставляются средства администрирования с графическим пользовательским интерфейсом (GUI). Так, для управления межсетевыми экранами Secure PIX Firewall компании Cisco Systems предназначено средство Cisco Secure Policy Manager;
• в качестве ОС аппаратного межсетевого экрана производитель использует защищенную, надежную и проверенную операционную систему, из которой удалены все лишние программы и утилиты. Так, Firebox 1000 компании WatchGuard работает под управлением защищенного ядра Linux, а ССПТ-1 НПО PTK и "Континент-К" НИП "ИНФОРМЗАЩИТА" — под управлением сокращенной версии FreeBSD.
Количество сетевых интерфейсов
Чтобы разобраться в разных брандмауэрах, необходимо понять, как через них проходит трафик. Любой из межсетевых экранов позволяет разделить компьютерную сеть на два типа: внутреннюю, в которой работают доверенные пользователи, и потенциально враждебную внешнюю сеть. Это оправдывает себя, так как для Internet-ориентированных брандмауэров часто вполне достаточно наличия всего двух сетевых интерфейсов. Внешний сетевой интерфейс межсетевого экрана через WAN-порт маршрутизатора подключается к провайдеру Internet, а внутренний — к защищаемой локальной сети. Однако многим организациям необходимы три сетевых интерфейса: один — для Internet, другой — для публичных серверов (Web-сервера, сервера новостей и FTP-сервера) и третий — для внутренней сети. Если же брандмауэры используются для разграничения внутренних подсетей организации, то для реализации корпоративной политики безопасности может по- требоваться более трех ЛВС-соединений. Большинство современных межсетевых экранов поддерживают, по меньшей мере, три сетевых интерфейса В качестве примеров можно привести FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, CyberGuard Firewall компании CyberGuard, Secure PIX Firewall 520 компании Cisco Systems, NetScreen- 100 компании NetScreen Technologies, "Континент-К" НИП "ИНФОРМЗАЩИТА".
В случае, если межсетевой экран поддерживает только два сетевых интерфейса, например, как Firewall/Plus компании Network-l, AltaVista Firewall компании Digital (Compaq) или ССПТ-1 НПО PTK, то для защиты закрытой и открытой подсетей любой организации целесообразно установить два, таких межсетевых экрана — внешний и внутренний, между которыми и будет находиться открытая подсеть (так называемая демилитаризованная зона, объединяющая общедоступные WWW, FTP- и SMTP-серверы, а также терминальный сервер с модемным пулом).
Для эффективной защиты межсетевого взаимодействия брандмауэры должны использовать все возможные методы — пакетную фильтрацию, технологию посредничества (proxy), а также фильтрацию экспертного уровня, называемую также контекстной проверкой и
ли фильтрацией с контролем состояния (Statefull Inspection). Использование каждой из перечислены, технологий по отдельности не обеспечивает высокой эффективности в защите.
Пакетная фильтрация, основанная на анализе служебных полей IP-, ICMP-, UDP- и TCP-пакетов уязвима из-за возможности подмены IP-адресов.
Программы-посредники без использования пакетных фильтров подвержены атакам "отказ в обслуживании". Применение программ-посредников без фильтрации экспертного уровня снижает производительность межсетевого экрана, так как анализ информационного взаимодействия на прикладном уровне требует отдельного посредника для каждого защищаемого сетевого сервиса и поэтому характеризуется более высокими затратами компьютерных ресурсов.
Фильтрация экспертного уровня, включающая также пакетную фильтрацию, основана на многоуровневом анализе сетевых пакетов. Однако без использования программ-посредников она не обеспечивает аутентификацию взаимодействующих сторон, трансляцию сетевых адресов и ряд других важных функций защиты, например криптографическое преобразование трафика и антивирусную защиту.
Поэтому межсетевые экраны, поддерживающие все ранее перечисленные методы защиты, обеспечивают наиболее высокую безопасность корпоративной сети при ее подключении к Internet.
Примерами комплексных межсетевых экранов, обеспечивающих как фильтрацию экспертного уровня, включая пакетную фильтрацию, так и технологию посредничества, являются FireWall-1 компании Check Point, CyberGuard Firewall компании CyberGuard, NetScreen-100/500 компании NetScreen Technologies, а также Firebox 1000 компании WatchGuard.
Брандмауэр Symantec Enterprise Firewall компании Symantec, известный ранее как Raptor Firewall компании AXENT Technologies, обеспечивает высокий уровень защиты на основе комплексной реализации пакетной фильтрации и технологии Proxy межсетевых экранов, в частности, отечественного производства, являются, по сути, развитыми пакетными фильтрами, например сетевой процессор ССПТ-1 НПО PTK, программный межсетевой экран ViPNet Firewall компании "Инфотекс", а также аппаратно-программный комплекс "Континент-К" НИП "ИНФОРМЗАЩИТА".
Межсетевой экран ССПТ-1 обеспечивает наиболее прозрачный доступ из внутренней сети во внешний мир, так как даже не имеет собственного IP- пресса, что позволяет скрыть брандмауэр от целенаправленных атак извне. Предусмотренная в ССПТ-1 система правил фильтрации обеспечивает выполнение анализа и фильтрации сетевых пакетов с учетом в
ременных параметров на основе МАС- и IP-адресов, а также служебных полей на уровне протоколов ARP, RARP, IP, ICMP, UDP и TCP.
В межсетевом экране ViPNet Office Firewall и аппаратно-программном комплексе "Континент-К" фильтрация IP-пакетов осуществляется в соответствии
Пакетная фильтрация, основанная на анализе служебных полей IP-, ICMP-, UDP- и TCP-пакетов уязвима из-за возможности подмены IP-адресов.
Программы-посредники без использования пакетных фильтров подвержены атакам "отказ в обслуживании". Применение программ-посредников без фильтрации экспертного уровня снижает производительность межсетевого экрана, так как анализ информационного взаимодействия на прикладном уровне требует отдельного посредника для каждого защищаемого сетевого сервиса и поэтому характеризуется более высокими затратами компьютерных ресурсов.
Фильтрация экспертного уровня, включающая также пакетную фильтрацию, основана на многоуровневом анализе сетевых пакетов. Однако без использования программ-посредников она не обеспечивает аутентификацию взаимодействующих сторон, трансляцию сетевых адресов и ряд других важных функций защиты, например криптографическое преобразование трафика и антивирусную защиту.
Поэтому межсетевые экраны, поддерживающие все ранее перечисленные методы защиты, обеспечивают наиболее высокую безопасность корпоративной сети при ее подключении к Internet.
Примерами комплексных межсетевых экранов, обеспечивающих как фильтрацию экспертного уровня, включая пакетную фильтрацию, так и технологию посредничества, являются FireWall-1 компании Check Point, CyberGuard Firewall компании CyberGuard, NetScreen-100/500 компании NetScreen Technologies, а также Firebox 1000 компании WatchGuard.
Брандмауэр Symantec Enterprise Firewall компании Symantec, известный ранее как Raptor Firewall компании AXENT Technologies, обеспечивает высокий уровень защиты на основе комплексной реализации пакетной фильтрации и технологии Proxy.
Ряд межсетевых экранов, в частности, отечественного производства, являются, по сути, развитыми пакетными фильтрами, например сетевой процессор ССПТ-1 НПО PTK, программный межсетевой экран ViPNet Firewall компании "Инфотекс", а также аппаратно-программный комплекс "Континент-К" НИП "ИНФОРМЗАЩИТА".
Межсетевой экран ССПТ-1 обеспечивает наиболее прозрачный доступ из внутренней сети во внешний мир, так как даже не имеет собственного IP- преса, что позволяет скрыть брандмауэр от целенаправленных атак извне. Предусмотренная в ССПТ-1 система правил фильтрации обеспечивает выполнение анализа и фильтрации сетевых пакетов с учетом временных параметров на основе МАС- и IP-адресов, а также служебных полей на уровне протоколов ARP, RARP, IP, ICMP, UDP и TCP.
В межсетевом экране ViPNet Office Firewall и аппаратно-программном комплексе "Континент-К" фильтрация IP-пакетов осуществляется в соответствии с правилами, сформированными на основе IP-адресов отправителя и получателя, а также любых допустимых значений полей заголовка, используемых портов UDP/ТСР и флагов для ТСР/IP-пакета. ViPNet Office Firewall обладает более гибкими возможностями по настройке режимов и правил фильтрации, однако требует установки на тот компьютер, где функционирует, любого программного шлюза для перенаправления трафика между сетевыми интерфейсами. Аппаратно-программный комплекс "Континент-К", помимо выполнения функций фильтрации, обеспечивает криптографическую защиту и маршрутизацию проходящего через него IP-трафика.
Важными характеристиками межсетевых экранов являются наличие интуитивно понятного графического пользовательского интерфейса (GUI), удобство конфигурирования и возможность централизованного управления всеми системами Firewall, установленными в компьютерной сети организации. При организации централизованного управления все соединения между модулем управления и модулями межсетевых экранов должны аутентифицироваться, а управляющий трафик — шифроваться. Многие межсетевые экраны имеют прекрасные графические интерфейсы и предоставляют возможность администраторам безопасности легко ими управлять, даже если брандмауэры установлены за сотни километров от центрального офиса предприятия.
Однако следует иметь в виду, что наличие красивого графического интерфейса еще не гарантирует простоты конфигурирования. Например, Firewall/Plus компании Network-1 имеет графический интерфейс, с помощью которого могут выполняться все операции настройки, но не существует простого способа, позволяющего задать диапазон портов, для которых разрешен доступ в обоих направлениях.
Высоким удобством конфигурирования обладают такие брандмауэры, как FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, а также Firebox 1000 компании WatchGuard. Даже неловкий сетевой администратор вряд ли допустит такую ошибку, которая приведет к нарушению защитных функций этих брандмауэров. Все три перечисленные компании хорошо поработали над упрощением среды настройки своих, брандмауэров — администраторы могут легко реализовывать установленную, в организации политику безопасности.
Важным моментом при конфигурировании межсетевого экрана является
возможность автоматической проверки на непротиворечивость базы правил,
сформированной администратором. Роль такой проверки повышается для развитых, многокомпонентных сетевых конфигураций со сложной политикой межсетевого взаимодействия. Без подобной возможности администрирование межсетевого экрана с неизбежностью приводит к многочисленным, ошибкам и созданию слабостей.
Межсетевой экран FireWall-1 компании Check Point предоставляет редко ' встречающиеся возможности конфигурирования группы брандмауэров как единой системы и автоматической проверки сформированных правил на непротиворечивость. С помощью графического интерфейса можно задавать правила и устанавливать их на нескольких брандмауэрах и маршрутизаторах с фильтрацией пакетов по всей корпоративной сети. Это облегчает поддержание корпоративных доменов безопасности в согласованном состоянии, что делает FireWall-1 прекрасным решением для тех организаций, которые нуждаются в нескольких внутренних брандмауэрах. Брандмауэр Gauntlet компании TIS характеризуется сложностью конфигурирования. Чтобы корректно изменить его конфигурацию, зачастую необходимо воспользоваться текстовым редактором. Кроме того, нужно точно знать, в какой из многочисленных конфигурационных файлов следует вносить изменения. Компания TIS обеспечила для Gauntlet экранный графический интерфейс, с помощью которого можно управлять отдельными файлами, однако даже для выполнения простой настройки необходимо копаться в дополнительных конфигурационных файлах, использующих сложный синтаксис и специфические для продукта семантические выражения.
С развитием сетевых технологий количество поддерживаемых брандмауэрами функций постоянно возрастает. Например, FireWall-1 компании Check Point вначале включал только функции динамической фильтрации пакетов. Сегодня же этот брандмауэр является, кроме того, преобразователем (транслятором) сетевых адресов, шифрующим шлюзом для виртуальной частной сети (Virtual Private Network, VPN), а также сервером-посредником прикладного уровня для каждого из распространенных сетевых сервисов. Широким набором функций обладает также Symantec Enterprise Firewall компании Symantec. Благодаря уникальной гибридной архитектуре Symantec Enterprise Firewall обеспечивает всестороннюю защиту корпоративной сети, объединяя функции посредников (proxies) прикладного уровня с тщательной проверкой и фильтрацией пакетов. Охраняя предприятие на всех уровнях стека протоколов, Symantec Enterprise Firewall включает также интуитивно понятные межплатформенные средства администрирования, поддержку многопроцессорной/многопоточной работы, гибкие методы аутентификации, встроенную защиту против атак, вызывающих отказ в обслуживании (Denial of Service), и средства укрепления безопасности операционной системы.
Межсетевые экраны достаточно сильно отличаются друг от друга по эффективности поддержки SMTP-трансляции, VPN и других функций. Ни в одном брандмауэре поддержка SMTP- трансляции не является достаточно интеллектуальной. По этой причине необходимо использовать защищенный почтовый сервер и направлять электронную почту через брандмауэр с помощью сервера-посредника, а не SMTP-транслятора.
Поддержка виртуальных частных сетей (VPN) также находится в списке важнейших функций брандмауэров. С помощью VPN можно организовать защищенное соединение либо в пределах внутренней сети, либо через общедоступную сеть, такую как Internet. Встроенную поддержку VPN обеспечивают практически все современные межсетевые экраны. Сети VPN чаще всего устанавливаются между двумя брандмауэрами для организации шифрованной связи. Однако сейчас настоятельно требуется новая функция— персональное туннелирование, которое дает конкретному пользователю, работающему в незащищенной сети (такой как Internet), возможность устанавливать защищенное соединение с корпоративной сетью через брандмауэр. Персональное туннелирование обеспечивают брандмауэры FireWall-1 компании Check Point, Aker компании Aker Security Solutions, Firebox 1000 компании WatchGuard, а также "Континент-К" НИП "ИНФОРМЗАЩИТА". Межсетевой экран Symantec Enterprise Firewall сам по себе не обеспечивает создание защищенной виртуальной сети, так как для этой цели компания Symantec распространяет продукт Symantec Enterprise VPN, который позволяет расширить границы корпоративной сети, подключая к ней дистанционных пользователей и деловых партнеров в защищенном режиме.
Брандмауэры также различаются широтой своих функций аутентификации.
Для повышения степени защиты многие сетевые администраторы предпочитают использовать для доступа к сети одноразовые пароли. К популярным средствам аутентификации относятся система S/Кеу компании Bellcore, а также SecurID компании Security Dynamics Technologies. Очень важной функцией здесь является также интеграция системы аутентификации межсетевого экрана с системой аутентификации пользователей всей корпоративной сети. Межсетевые экраны Symantec Enterprise Firewall компании Symantec, а также FireWall-1 компании Check Point дают возможность аутентифицировать пользователя на основании его полномочий в домене Windows NT/2000. В межсетевом экране Aker компании Aker Security Solutions подлинность пользователей проверяется на серверах локальных сетей, работающих не только под управлением ОС Windows NT, но и пои управлением UNIX.
В сферу брандмауэров начинают проникать и некоторые новые возможности. Одной из них является HTTP-фильтрация на основе анализа URL и содержимого передаваемой информации. В настоящее время фильтрацию содержимого можно использовать, в частности, для защиты от проникновения в локальную сеть Java-аплетов и управляющих элементов ActiveX. Эту; функцию поддерживают, например, брандмауэры FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, а так же Firebox 1000 компании WatchGuard.
Одними из важнейших функций брандмауэров являются функции сигнализации, а также аудита, включая регистрацию контролируемых действий и генерацию отчетов. Если функции регистрации событий реализованы в каждом современном межсетевом экране, то функции оповещения администратора при возникновении заданных событий и генерации отчетов в ряде случаев отсутствуют или реализованы недостаточно эффективно. Любой брандмауэр, который не способен посылать предупредительные сигналы при обнаружении нападения, является незащищенным. При отсутствии функций генерации отчетов затрудняется анализ журналов регистрации с целью выявления несанкционированных потоков трафика и недостатков в конфигурировании межсетевого экрана.
Наиболее развитыми по функциям сигнализации и аудита являются межсетевые экраны FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, Aker компании Aker Security Solutions, а также Firebox 1000 компании WatchGuard.
В базе правил фильтрации брандмауэра FireWall-1 компании Check Point администратор может определять правила регистрации и оповещения администратора для любой попытки соединения, независимо от того, разрешено ценное соединение или нет. Форматы данных для регистрации и предупреждения, а также действия, связанные с ними, открыты и могут быть настроены администратором. Стандартные форматы содержат информацию об источнике и адресате, сервисе, используемом протоколе, времени и дате, исходном порте, предпринимаемом действии (установлено соединение, пропущено, блокировано, состоялся обмен ключами шифрования, произошла трансляция адресов), файле регистрации и типе предупреждения номере правила, пользователе, а также модуле Firewall, который инициировал зарегистрированное событие. Любая информация о попытке связи может регистрироваться или использоваться для оповещения администратора или другого реагирования (например, отобразить окно с предупреждением на консоль, послать почтовое сообщение, запустить любую заданную пользователем программу или отослать SNMP-прерывание). Дополнительно компания Check Point поставляет модуль генерации отчетов Reporting Module, предназначенный для сбора данных от распределенных по сети средств защиты данной компании (FireWall-l, VPN-1 и FloodGate-l), их объединения и генерации отчетов на основе имеющихся правил. 3ymantec Enterprise Firewall компании Symantec обеспечивает ряд возможностей предупреждения, основанных на частоте событий. Например, можно задать следующее правило: "Если кто-либо запрашивает сеанс Telnet более 100 раз в течение 5 минут, это означает, что возникла угроза безопасности сети". Когда включена функция предупреждения, Symantec Enterprise Firewall выдает звуковой сигнал, посылает электронное сообщение или предупреждает администратора иным способом. Журналы Symantec Enterprise Firewall содержат такие данные, как продолжительность сеанса, счетчики байтов, полные URL, имена пользователей и названия методов аутентификации. По этим данным можно сгенерировать детальные статистические и сеансовые (session-trend) отчеты. Журнальный ASCII-файл динамически представлен на консоли управления, давая администраторам картину в реальном масштабе времени. Журналы заменяются каждые 24 часа и могут быть импортированы в различные программы генерации отчетов типа Telemate.Net для графического представления загрузки сети.
Межсетевой экран Aker компании Aker Security Solutions содержит в своем составе подсистему реагирования на события. При настройке брандмауэра администратор может описать порядок реагирования межсетевого экрана в случае возникновения заданного события (несанкционированного доступа, подмены адресов и т. д.). В качестве видов реакции могут быть определены запись в файл статистики, посылка SNMP-прерывания, посылка почты администратору, вывод окна предупреждения (при активном удаленном сеансе администрирования), а также запуск программы, которой можно передать ряд параметров, в том числе номер сообщения, его текст и т. д.
Для аудита Aker содержит в своем составе модуль для анализа собранной cтaтистики, позволяющий делать выборки по наиболее важным для администратора событиям и системным сообщениям. При определении параметров выборки можно задавать тип пакетов (прошедшие через фильтр, отброшенные и т. д.), тип протокола, модуль, сообщения которого интересны администратору, адреса источника и назначения, диапазон дат. Сообщения можно сортировать по IP-адресам или по объектам, а выбранную информацию — сохранять в файле. Созданные фильтры можно сохранять для дальнейшего использования. Модуль позволяет также производить действия с файлом статистики — удалять старые записи, уплотнять базу статистики и др.
В состав межсетевого экрана Firebox 1000 компании WatchGuard входят развитые модули сигнализации и аудита Logging/Notification и Historical Керой, Подсистема ведения журналов и уведомления Logging/Notification интегрируется с распространенными средствами обнаружения атак ((Intrusion Detection System, IDS), например, с IDS Snort. Модуль Istorical Reports обеспечивает составление удобных и красивых отчетов в формате НТМЬ, анализ журналов ра- боты FireBox, а также создание и экспорт данных из журнала в другие системы.
Сертификация межсетевого экрана
При использовании средств разграничения межсетевого доступа в нашей
стране важным аспектом является наличие сертификата Гостехкомиссии России на соответствие требованиям, изложенным в Руководящем документе этой организации "Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации".
Хорошей визитной карточкой межсетевого экрана является также наличие сертификата авторитетной международной ассоциации ICSA (International Computer Security Association). Программа сертификации ICSA предполагает проверку на наличие и выполнение определенного перечня функций в соответствии с требованиями, которым должны отвечать межсетевые экраны. К межсетевым экранам, представленным на сертификацию, предъявляются следующие группы требований:
● к перечню сервисов, контроль которых должен осуществлять межсетевой экран (в обязательный набор входят FTP, Telnet, HTTP, SMTP, DHS, SSL/SHTTP);
• к уровню защищенности канала удаленного управления межсетевым экраном (доступ к управлению брандмауэром должен быть получен только после прохождения процедуры аутентификации, а управляющий трафик должен шифроваться);
• к перечню атак, отражаемых межсетевым экраном, например, IP- spoofing (подмена IP-адреса), Denial of Service (отказ в обслуживании).
Межсетевые экраны FireWall-1 компании Check Point, Symantec Enterprise Firewall компании Symantec, Firebox 1000 компании WatchGuard, а также PIX Firewall компании Cisco прошли ICSA-сертификацию.
Полный перечень брандмауэров, на которые выданы сертификаты ICSA, можно получить по адресу www.icsa.net.
Основные характеристики межсетевых экранов, получивших сертификаты Гостехкомиссии России или планируемых для сертификации в этом ведомстве, представлены в табл. 2.3. Символом в ней отмечены те характеристики, которыми обладают соответствующие брандмауэры.
2.6.2. Межсетевой экран FireWall- Общие сведения
Одним из наиболее эффективных средств разграничения межсетевого доступа, представленных сегодня на российском рынке и имеющих сертификат Гостехкомиссии России, является программный комплекс FireWall-l, разработанный компанией Check Point Software Technologies.
Набор продуктов, называемых компанией Check Point "Открытой платформой безопасного взаимодействия предприятий" (Open Platform for Secure I Enterprise Connectivity, OPSEC), основывается на концепции объединения 1 технологий защиты информации вокруг единого средства представления информационной безопасности предприятия в виде комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе FireWall-1. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.
FireWall-1 позволяет организации создать единую, интегрированную политику безопасности, которая может распространяться на множество межсетевых экранов и управляться из любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также построение систем повышенной надежности, которые также полностью интегрируются в глобальную политику безопасности. Работа FireWall-1 прозрачна для пользователей и обеспечивает рекордную производительность, практически для любого IP-протокола и высокоскоростной технологии передачи данных.
Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наиболее высокий уровень безопасности. Данный метод позволяет осуществлять сбор информации из пакетов данных как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных динамически обновляющихся контекстных таблицах. Та- кой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса. Тем самым пользователь выигрывает в производительности и получает возможность гибко наращивать систему, быстро и надежно защищать новые приложения и протоколы, не прибегая при этом к разработке приложений-посредников.
FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сер- висов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT. Виртуальная машина INSPECT составляет основу техно- логии Check Point FireWall-l.
FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом. Поддержка компонентами продукта платформ Windows 9х, Windows NT/2000, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC-партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает высокую гибкость и удобство при развертывании систем.
Положение компании Check Point как мирового лидера в области продуктов сетевой безопасности позволяет комплексно решить задачу совершенствования системы защиты на основе продуктов Check Point, а также продуктов третьих фирм, поддерживающих открытые стандарты платформы OPSEC. В настоящее время компания Check Point выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:
• FireWall-1 — комплекс модулей, составляющих ядро любой системы безопасности на продуктах Check Point. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-l, но и продуктов VPN-1, FloodGate-1.
• VPN-1 — набор продуктов для организации защищенных виртуальных сетей, как между ЛВС, так и при подключении к ЛВС удаленных пользователей. В состав продукта VPN-1 входит межсетевой экран FireWall-l.
• Account Management Module — модуль, интегрируемый в инфраструктуру LDAP (Lightweight Directory Access Protocol). Позволяет осуществлять контроль и управление профилями безопасности пользователей.
• MetaIP — система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP- адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.
• FloodGate — средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами Fire Wall-1/VPN-1.
• ConnectControl — система управления сетевой нагрузкой на серверы.
• High Availability Module — подсистема создания кластеров из двух и более межсетевых экранов, подменяющих друг друга в случае выхода из строя одного из них.
• Reporting Module — мощная система формирования отчетов, обработки статистики и тарификации для VPN-1/FireWall- l.
Базовая технология фильтрации пакетов
Технология функционирования любого прикладного шлюза в составе межсетевого экрана основана на использовании посредников, проверяющих подлинность обращающихся к ним клиентов, а также устанавливающих необходимые соединения и выполняющих другие функции защиты межсетевого взаимодействия. Посредники выступают в качестве промежуточного звена передачи пакетов между сервером и клиентом. Вначале устанавливается соединение с посредником, а уже затем посредник принимает решение о том, создавать соединение с адресатом или нет. Соответственно, приклад- ной шлюз в процессе своего функционирования дублирует любое разрешенное соединение. Следствием этого является отсутствие прозрачности для пользователей и дополнительные накладные расходы на обслуживание соединений.
Для устранения этого недостатка фирма Check Point разработала новую технологию фильтрации пакетов, которую иногда называют фильтрацией экспертного уровня или фильтрацией с контролем состояния соединения (Stateful Inspection). Фильтрация осуществляется на основе специальных методов многоуровневого анализа состояния пакетов (Stateful Multi-Layer Technique, SMLT). Эта гибридная технология позволяет отслеживать состояние сетевого соединения, перехватывая пакеты на сетевом уровне и извлекая из них информацию прикладного уровня, которая используется для контроля за соединением. Быстрое сравнение проходящих пакетов с известным состоянием (state) "дружественных" пакетов значительно сокращает время обработки по сравнению с брандмауэрами уровня приложений.
Запатентованная реализация Stateful Inspection в продукте Check Point FireWall-1 обеспечивает максимально возможный уровень контроля и безопасности. FireWall-1 контролирует соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy-посредники могут контролировать только с 5-гo по 7-й уровень. Тем самым Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контексте приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия. Дополнительная защита обеспечивается и самому компьютеру с FireWall-l, так как данное программное обеспечение перехватывает, анализирует, предпринимает необходимые действия в отношении всех соединений и лишь затем пропускает эти информационные пакеты в операционную систему компьютера-шлюза, что избавляет операционную систему от несанкционированного доступа.
В реализации технологии Stateful Inspection компании Check Point используются динамические таблицы для хранения информации о контексте сочинений как активных, так и существовавших ранее. Содержимое этих таблиц проверяется при обработке попытки соединения. Такой подход обеспечивает прекрасную производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны, как, например, файл на диске. В случае же перезагрузки система FireWall-1 начинает формировать новые таблицы, что предотвращает возможность оперировать поврежденными данными. Очистка таблиц эквивалентна полному запрещению соединений, что гарантирует безопасность сети в таких случаях.
Архитектура Stateful Inspection Check Point FireWall-1 использует уникальный, запатентованный механизм INSPECT, который выполняет политику безопасности на шлюзе, где он работает. INSPECT просматривает пакеты и извлекает нужную информацию всех семи уровней сетевой модели. Именно такой подход позволяет достичь высокой производительности и эффективности работы, реализовать поддержку огромного числа протоколов и приложений, дает возможность легкого расширения для поддержки новых приложений и служб.
Виртуальная машина INSPECT программируется с помощью внутреннего достаточно гибкого языка. Это обеспечивает такое важное качество как расширяемость, позволяя встраивать в систему новые приложения, службы и протоколы без установки нового программного обеспечения. Поддержка сетевой модели новых приложений, включая большинство собственных приложений пользователей, может быть включена в INSPECT простой модификацией одного из встроенных шаблонов FireWall-1 через графический интерфейс пользователя.
Чтобы эффективно обеспечивать безопасность сети, FireWall-1 управляет всем проходящим через него потоком и отслеживает свое состояние. Для принятия управляющих решений по используемым сервисам он получает, запоминает, выбирает и обрабатывает информацию, поступившую от всех коммуникационных уровней, других приложений, а также зарегистрированную историю соединений.
FireWall-1 версии 4.0, помимо фильтрации пакетов с контролем состояния (Statefull Inspection), также обеспечивает следующие возможности.
• Аутентификация пользователей и сессий. Пользователям не нужно открывать отдельный сеанс аутентификации с брандмауэром для того чтобы аутентифицироваться. Вместо этого FireWall-1 перехватывает сессии 3 FTP, HTTP, Telnet и Rlogin, проходящие через него, и пропускает их через соответствующих посредников. Аутентификация сессий может быть использована для аутентификации любого сервиса с точностью до сеанса.
• Проверка содержимого информационного потока. Эта возможность дает
администратору прекрасные инструменты для Web-, Mail-, FTP- соединений, включая антивирусную проверку передаваемых файлов, управление доступом к определенным сетевым ресурсам (например тем или иным адресам, файлам и т. д.) и командам протокола SMTP.
• Трансляция адресов. Пользователи Windows и Х/Motif GUI теперь могут назначать правила трансляции адресов с использованием знакомого представления базы правил. Правила трансляции адресов могут быть сгенерированы автоматически на любой платформе.
• Криптографическая защита потока сообщений. FireWall-1/VРN-1 обеспечивает безопасную двунаправленную связь через Internet на основе криптографического закрытия и подписи пакетов сообщений. При этом поддерживается безопасность обмена данными как между локальными сетями, так и при удаленном доступе к локальной сети.
• Активное сетевое управление. Полностью интегрированное с сетевой безопасностью это свойство дает управление конфигурацией сети в реальном масштабе времени, включая учет и мониторинг текущих соединений, балансировку нагрузки и экспорт записей журнала в базу данных.
• Синхронизация и балансировка загрузки. Разные модули Firewall, работающие на разных машинах, могут разделять информацию о состоянии сетевых соединений и обновлять ее друг у друга. В дополнение, синхронизированные модули Firewall могут заменять друг друга в случае, когда один из них прекращает работать. Балансировка загрузки позволяет распределять вычислительную нагрузку по любому числу серверов.
Межсетевой экран Check Point Fire%all-1 использует трехуровневую архитектуру и состоит из следующих компонентов (рис. 2.22):
• Firewall Module (модуль Firewall), который реализует все функции по разграничению доступа, регистрации событий, генерации сигналов тревоги и т. д.
• Management Server (модуль управления), который управляет всеми подключенными к нему модулями. При этом Management Server может управлять не только Firewall Module, но и другими компонентами, входящими в семейство решений компании CheckPoint (например, VPN Module, FloodGate Module и т. д.).
• Консоль управления (GUI), которая реализует графический интерфейс, облегчающий управление всеми модулями, подключенными к Management Server.
Все перечисленные компоненты могут быть установлены на одном компьютере.
Модуль Firewall включает инспекционный модуль, посредников для прикладных сервисов, а также средства взаимодействия с модулем управления. Модуль Firewall непосредственно осуществляет стратегию защиты, ведение журнала событий и общается с компонентом управления посредством т. н. демонов взаимодействия (рис. 2.23).
Стратегия защиты Check Point FireWall-1 определена в терминах сетевых объектов, услуг, пользователей и правил, задающих взаимодействие этих объектов. Как только они определены, модулем управления генерируется инспекционный код, который автоматически устанавливается на Firewall, реализующий стратегию защиты.
Управляющий модуль также может быть установлен в конфигурации клиент-сервер.
Графический интерфейс на клиенте может работать под управлением Windows 9х, Windows NT/2000 или Х/Motif GUI для UNIX и управлять сервером на одной из поддерживаемых платформ (Windows NT/2000, SunOS, Solaris, HP-UX и Linux). Клиентская часть взаимодействует с пользователей' посредством графического интерфейса. Все данные (базы правил, файлы конфигураций) хранятся и обрабатываются на сервере, который занимает: промежуточное положение между клиентской частью и модулем управления. Например, пользователь запрашивает установку Security Policy, в результате сервер обращается к модулю управления, который транслирует запрос далее и сообщает результаты серверу. Сервер, в свою очередь, передает их клиенту. Также доступен графический интерфейс пользователя на основе OpenLook GUI, который содержит как клиента, так и сервер, и может использоваться на любой из платформ, поддерживающих OpenLook (Sun03, Solaris, HP-UX, Linux).
В зависимости от технологии обработки информации, принятой в организации, могут использоваться две схемы применения межсетевого экрана Check Point FireWall-1/ VPN-1 — локальная и распределенная.
Первая схема предназначена для тех случаев, когда организация (как правило, небольшого размера) имеет только одну точку выхода в сети открытого доступа, которая и защищается при помощи межсетевого экрана. В этом случае целесообразно применять Firewall Internet Gateway (или VPN-1 Internet Gateway), который включает в себя Firewall (или VPN) Module и Management Server и устанавливается на выделенном компьютере. Консоль управления (GUI) при этом устанавливается в удобном для администратора. месте. В данном случае Management Server управляет только одним Firewall (или VPN) Module.
Вторая схема используется в крупных, территориально-распределенных организациях и предполагает распределенную установку Firewall (или VPN) Module и Management Server. Модули, отвечающие за разграничение доступа к корпоративным ресурсам и построение VPN, устанавливаются в заранее определенных местах и управляются с одного сервера управления. Как и в предыдущем случае, консоль (или несколько консолей) управления может быть установлена в любом месте. Данный вариант описывается схемой и х Firewall (VPN) Module + Enterprise Console (где n — число мест установки компонентов, входящих в семейство решений CheckPoint).
Модуль инспекции FireWall-1 динамически загружается в ядро операционной системы между канальным и сетевым уровнем модели OSI (рис. 2.24), перехватывая весь пакетный трафик для определения соответствия пакта ряду условий. Когда приходит первый пакет нового соединения, модуль инспекции FireWall-1 проверяет базу правил для определения, должно ли быть разрешено это соединение. Как только соединение установлено, FireWall-1 добавляет его во внутреннюю таблицу соединений. Из соображений эффективности, последующие пакеты установленного соединения проверяются по таблице соединений, а не по базе правил. Пакету разрешается быть переданным только, если соединение имеется в таблице соединений.
Выполняя фильтрацию, модуль инспекции FireWall-1 извлекает и анализирует данные, полученные от всех уровней коммуникаций. Эти данные о состоянии и контексте запоминаются и обновляются динамически, обеспечивая виртуальную информацию о сессии для отслеживания протоколов без установки соединений (таких как RPC и приложений, основанных на
: UDP).
Данные, собранные из состояний соединений и приложений, конфигурации сети и правил безопасности, используются для принятия соответствующего решения. Любой трафик, который намеренно не разрешен правилами безопасности, блокируется по умолчанию и одновременно в режиме реального времени генерируются сигналы оповещения, обеспечивая системного администратора полной информацией о состоянии сети.
Подход Check Point противоположен подходу, принятому в большинстве других брандмауэров. Ввиду того, что модуль инспекции FireWall-1 располагается непосредственно в ядре ОС и перехватывает пакеты на уровень ниже, того, на котором все программное обеспечение функционирует, нет необходимости в блокировании IP-маршрутизации и нет причины для подавления работающих на шлюзе брандмауэра процессов и демонов.
Политика безопасности FireWall-1 выражается в виде базы правил и свойств. База правил — это упорядоченный набор инструкций, с помощью которых проверяется каждое соединение. Если источник соединения, назначение и тип сервиса соответствуют правилу, с соединением будет выполнено действие, описанное в правиле. Если соединение не соответствует ни; одному из правил, оно блокируется, в соответствии с принципом "Что специально не разрешено, всегда запрещено". Как только сетевой администратор определил стратегию защиты — базу правил и параметры объектов (сетей, услуг, адресов компьютеров и пользователей), используемых в правилах, стратегия преобразуется в инспекционный сценарий. Инспекционный код, генерируемый из инспекционного сценария, передается затем по защищенному каналу от станции управления. Check Point FireWall-1, поддерживающей базу данных, на компьютер с демонами Check Point FireWall-1. То есть, на модули Firewall, которые обеспечивают стратегию защиты сети. Демон Check Point FireWall-1 загрузит новый инспекционный код в модуль проверки Check Point FireWall-1. Сетевой объект, на котором модуль проверки Check Point FireWall-1 установлен называется "Firewalled system" (защищенный шлюз).
Система с установленным Firewall будет выполнять те части инспекционного кода, которые относятся к ней, но вся регистрационная информация и предупреждения будут посылаться сетевому объекту, обозначенному как Мастер. Мастер хранит весь инспекционный код для каждой из систем Firewall, которыми он управляет. Если система Firewall теряет инспекционный код по какой-либо из причин, то она может восстановить свою работу, получив текущую копию от Мастера. Практически Мастер и станция управления всегда работают на одном и том же компьютере. Можно так же назначить дополнительного Мастера, который примет управление, если основной Мастер выйдет из строя. Связь между инспекционными модулями и станцией управления осуществляется в защищенном режиме. Инспекционные модули общаются со станцией управления, используя SNMP-агента. Архитектура инспекционного модуля представлена на рис. 2.25.
Как было указано выше, инспекционный модуль динамически загружается в ядро операционной системы между уровнем Data Link и сетевым (уровни 2 и 3). Так как Data Link на самом деле реализуется сетевой картой (NIC), а сетевой уровень — первым уровнем стека протоколов (например ТСР/IP), то инспекционный модуль FireWall-1 располагается на самом нижнем программном уровне.
Поскольку инспекционный модуль имеет доступ к "необработанному сообщению", он может просматривать в сообщении всю информацию, включая относящуюся к более высоким уровням протоколов, а также к данным, содержащимся в пакете. Инспекционный модуль исследует IP-заголовок, адреса, номера портов и другую необходимую информацию, чтобы определить, должны ли пакеты быть пропущены в соответствии с инспекционным Кодом из базы правил.
FireWall-1 понимает внутренние структуры семейства IP-протоколов и приложений, сформированные на их верхних уровнях. Для сложно контролируемых протоколов типа UDP (User Datagram Protocol) и RPC (Remote Procedure Call) FireWall-1 выделяет и сохраняет их контекстные данные. Он способен извлекать данные из пакетов и сохранять их в случае, если приложение не обеспечивает эту возможность. Кроме того, CheckPoint FireWall-1 способен динамически разрешать и запрещать соединения по мере необходимости. Описанные гибкие динамические возможности разработаны для, обеспечения самого высокого уровня защиты для сложных протоколов. Однако, если это необходимо, существует и возможность их отключения.
Способность CheckPoint FireWall-1 работать с данными внутри пакета предоставляет возможность внутри приложения разрешать некоторые команды
и запрещать другие. Например, FireWall-1 разрешит прохождения ping ICMP, в то время как переадресация будет запрещена, или разрешит функцию get SNMP, а put запретит и так далее. FireWall-1 может сохранять и: получать значения в таблицах (динамический контекст) и выполнять логические или арифметические операции над данными в любой части пакета. В дополнение к операциям из стратегии защиты, пользователь может создать свои собственные выражения и таблицы.
Пакеты, которые стратегия защиты явно не разрешает, просто уничтожаются в соответствии с принципом "Что явно не разрешено, то запрещено". В правилах можно указать конкретный компьютер, интерфейс и направление трафика, к которым правило применяется. Пакеты могут проверяться в любом из трех направлений:
• Eitherbound — пакеты инспектируются на интерфейсе: при входе и выходе из системы;
• Inbound — пакеты инспектируются на входе в систему Firewall;
• Outbound — пакеты инспектируются на выходе из системы Firewall. Обычно на шлюзах пакеты просматриваются на входе, хотя возможно проверять пакеты и на выходе.
Разграничение межсетевого доступа
Разграничение доступа защищает организацию от потенциальных угроз благодаря четкому специфицированию и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничный шлюз сети организации. Ключевой особенностью устройств, обеспечивающих контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации и средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения, не могут обрабатывать трафик. UDP и динамических протоколов. Средства защиты сетей второго поколения — основанные на использовании приложений-посредников (proxy)— зачастую требуют очень мощных компьютеров и достаточно медленно адаптируются к появлению новых сетевых служб Internet, которые появляются регулярно. В противовес этому, технология Stateful Inspection, реализованная в Check Point FireWall-l, дает шлюзу полную информацию о коммуникациях, что совместно с объектно-ориентированным подходом в описании сетевых ресурсов и сервисов позволяет быстро и легко адаптировать систему к новым услугам Internet. FireWall-1 предоставляет исчерпывающие возможности по контролю доступа для более чем 160 предопределенных сервисов Internet и имеет средства для удобного специфицирования новых, сервисов пользователя.
В дополнение к перечисленным возможностям FireWall-1 позволяет регулировать доступ к ресурсам сети, учитывая время. Это дает возможность существенно детализировать процессы работы с ресурсами сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться минуты, часы, дни месяца, дни недели, месяцы, годы). К примеру, организация может решить ограничить доступ в Internet для просмотра Web-страниц в рабочее время и разрешить в нерабочие часы. Другой пример — запретить доступ к критическим серверам на время проведения полного сохранения их информации.
Процесс описания правил разграничения доступа в такой хорошо спроектированной системе, как Check Point FireWall-l, прост и очевиден. Все аспекты политики информационной безопасности организации могут быть специфицированы с использованием графического интерфейса FireWall- l, который неоднократно завоевывал различные награды. При определении элементов сети применяется объектно-ориентированный подход. Буду создан, объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов, сетевых сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие узлы безопасности данное правило должно распространяться. По умолчанию правила действуют на всех шлюзах с установленным FireWall-1. Поддерживаются различные платформы, включая UNIX и Windows NT/2000, а также различное межсетевое оборудование OPS EC-партнеров компании Check Point. Уникальное преимущество Check Point FireWall-1 — возможность создать единую политику безопасности для всего предприятия в целом. После создания политики безопасности FireWall-1 проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети.
Административные функции FireWall-1 также ориентированы на много пользовательский доступ и предоставляют организации возможность разграничить функции администраторов системы безопасности. После авторизации администратор системы FireWall-1 наследует те права, которые установил администратор безопасности для этого FireWall-1 и которые специфицируются редактором правил. Это дает возможность администрировать несколько систем FireWall-1 с одного рабочего места одновременно. FireWall-1 поддерживает различные уровни административного доступа:
● Read/Write — полный доступ ко всем функциональным возможностям административных средств;
● User Edit — дает возможность изменять учетные записи пользователей, остальные возможности ограничены правами на чтение;
● Read Only — доступ только на чтение;
● Monitor Only — доступ на чтение к средствам визуализации статистики. Распределенная архитектура системы безопасности FireWall-1/VPN-1 и ее централизованное управление как нельзя лучше подходят для организации контроля доступа и образования защищенных каналов VPN в нескольких точках корпоративной сети.
В точках контроля доступа в центральную сеть предприятия, а также в удаленных сетях его филиалов могут быть установлены модули шлюзов FireWall-1/VPN-1, защищающие все узлы, находящиеся в подсетях предприятия. Шлюзы могут быть установлены в виде программных модулей на стандартные платформы (Windows NT/2000, Solaris, НР-UX, IBM AIX и Linux) либо в виде специализированных аппаратно-программных комплексов. Для защиты удаленных компьютеров предназначены продукты VPN- l SecureClient, которые наряду с возможностью установления защищенного канала с соответствующим шлюзом выполняют такой же полнофункциональный контроль доступа, как и экраны FireWall-1. Эта возможность особенно полезна при постоянных соединениях удаленных пользователей с Internet (например, с помощью xDSL или кабельных модемов), когда клиентский компьютер в течение длительного времени может подвергаться атакам злоумышленников. С помощью продукта VPN-1 SecureServer допустимо, аналогичным образом защитить отдельный сервер приложений, работающий в сети предприятия, что весьма полезно для увеличения гибкости политики доступа либо для дополнительной защиты ответственного сервера. Количество точек, в которых контролируется прохождение трафика, можно, также увеличить, установив на маршрутизаторы и коммутаторы сети Inspection Module, который выполняет базовые функции контроля доступа технологии Stateful Inspection. Сегодня список моделей, для которых выпускается Inspection Module, включает маршрутизаторы Nortel Networks, а так- же коммутаторы Xylan и Nortel Contivity, и в дальнейшем он будет пополняться.
Все модули FireWall-1/VPN-1 предприятия, установленные в центральной сети, в сетях филиалов и на отдельных компьютерах удаленных пользователей, управляются централизованно и координированы. Сервер политики Management Server хранит общий для предприятия набор правил доступа и защиты, который загружается для исполнения во все модули FireWall-1/VPN-1, в какой области корпоративной сети они бы ни находились. Правила политики могут создаваться и редактироваться удаленно несколькими администраторами безопасности с разграничением между ними полномочий.
Все модули FireWall-1/VPN-1 предприятия способны при необходимости синхронизировать свою работу, что позволяет корректно поддерживать сессии при динамических изменениях маршрутов.
Таким образом, система безопасности, построенная на продуктах FireWall-1/ VPN-1, обеспечивает координированную и синхронную работу всего набора межсетевых экранов, шлюзов VPN, а также индивидуальных экранов и VPN-клиентов, необходимых для надежной и гибкой защиты информационных ресурсов предприятия.
Средства безопасности FireWall-1/VPN-1 поддерживают разнообразные схемы аутентификации пользователей, которые могут активизироваться при задании соответствующих правил доступа. Эти схемы на сегодня включают аутентификацию на основе паролей, хранящихся в FireWall-l, цифровых сертификатов Х.509, систем аутентификации ОС, RADIUS, ТАСАС$, SecurID и ряда других. С помощью модуля Account Management, входящего в состав FireWall-1/VPN-1, в правилах доступа можно использовать информацию о пользователях и группах, хранящуюся во внешних базах учетных данных, поддерживающих протокол LDAP (например NDS или Active Directory), что освобождает администратора безопасности от необходимости дублировать пользовательские данные в системе FireWall-1/VPN-1.
Поддержка цифровых сертификатов и инфраструктуры публичных ключей PKI в продуктах Check Point обеспечивает масштабированное решение проблемы аутентификации массовых пользователей. Продукты FireWall-1/VPN-1 работают сегодня с системами PKI компаний Entrust, VeriSign, Netscape, Microsoft, Baltimore Technologies и Data Кеу, это делает возможным аутентификацию пользователей в гетерогенной среде, когда сертификаты изданы и подписаны различными сертифицирующими организациями. Используя систему VPN-1 Certificate Manager компании Check Point, в которую входит сервер сертификатов от Entrust Technologies и LDAP-совместимая служба каталогов от Nescape Communications, предприятие может самостоятельно поддерживать инфраструктуру публичных ключей, администрируя ее с помощью стандартной графической утилиты Account Management. FireWall-1 позволяет администратору определять политику безопасности для каждого пользователя, где не только источник соединения, пункт назначения и сервис проверяются, но и каждый пользователь должен быть аутентифицирован. Более того, соединения могут быть разрешены или запрещены, исходя из их содержания. К примеру почта, связанная с определенными адресами получателя и отправителя, может быть запрещена или перенаправлена. Кроме того, может быть запрещен доступ к заданным URL и включена антивирусная проверка передаваемых файлов. Аутентификация пользователей и конечных узлов, а также проверка содержимого пакетов сообщений, обеспечиваются посредниками FireWall-1 для прикладных сервисов. Данные посредники работают на прикладном уровне модели OSI.
FireWall-1 обеспечивает три вида аутентификации.
• Аутентификация пользователя (User Authentication), которая позволяет администратору давать каждому пользователю свои привилегии доступа. Аутентификация пользователя реализована для протоколов HTTP, FTP, Telnet и Порп.
• Аутентификация клиентов (Client Authentication) предоставляет функции для аутентификации пользователя любого приложения, стандартного или собственной разработки.
• Аутентификация сессий (Transparent Session Authentication) обеспечивает прозрачную аутентификацию каждой сессии, что может быть интегрировано с любым приложением.
Аутентификация пользователя предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности (даже если это многопользовательская ЭВМ) для протоколов FTP, Telnet, HTTP и Корп, независимо от IP-адреса клиентского компьютера. Например, если пользователь вынужден работать с серверами организации удаленно, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера. FireWall-1 выполняет проверку подлинности пользователя при помощи специального сервера безопасности, функционирующего на шлюзовом компьютере. FireWall-1 перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему серверу безопасности. После того, как подлинность пользователя установлена, сервер безопасности FireWall-1 открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWall-1 на шлюзе.
Аутентификация клиентов позволяет администратору предоставлять привилегии доступа определенным IP-адресам, пользователи которых прошли соответствующие процедуры установления подлинности. В против овес User Authentication, Client Authentication не ограничена только определенными службами и может обеспечить аутентификацию любого приложения как стандартного, так и специфичного. Client Authentication системы FireWall-l не является прозрачной для пользователя, но, в тоже время, не требует какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть открыто.
Механизм Transparent Session Authentication можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии. После того как пользователь инициировал соединение непосредственно с сервером, шлюз с установленным FireWall-1 распознает, что требуется установление подлинности клиента, и инициирует соединение с агентом авторизации сессий. Агент производит необходимую авторизацию, после чего FireWall-1 разрешает данное соединение, если подлинность клиента установлена.
Для каждого пользователя FireWall-1 поддерживает следующие схемы аутентификации:
• S/Кеу — пользователю требуется ввести одноразовый пароль для данной итерации по протоколу S/Кеу;
• SecurID — пользователю требуется ввести номер, показанный на SecurID-карте Security Dynamics;
• по паролю — от пользователя требуют ввести пароль операционной системы;
• внутреннюю — пользователь должен ввести внутренний пароль Р1ге%а11-1;
• RADIUS — пользователь должен ввести ответ на запрос сервера RADIUS;
• AssureNet Pathways — пользователь должен ввести ответ на запрос сервера AssureNet Pathway.
Дополнительная подсистема LDAP Account Management Module позволяет сохранять различную информацию о пользователях в LDAP-сервере, что существенно облегчает централизованное управление системой информационной безопасности предприятия. LDAP-сервер является единым источником непротиворечивой информации о параметрах безопасности пользователей (рис. 2.26). К таким параметрам могут быть отнесены:
• идентификационные характеристики, такие как полное имя пользователя, его идентификатор, адрес электронной почты и т. д.;
• аутентификационные характеристики, такие как пароль, схема и сервер аутентификации, группа пользователей;
• параметры контроля доступа, такие как авторизованные адреса источника и назначения;
• временные параметры, такие как время и дни, в которые разрешен доступ пользователю;
• криптографические параметры, такие как схема распределения ключей,
используемые криптографические алгоритмы шифрования/дешифрования и контроля
целостности.
Защищенное управление инфраструктурой IP-адресов
Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по pacпространенным в Internet алгоритмам NAT, скрывая внутренние IP- адpeca в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью графического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например номером ТСР/UDP-порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во многих случаях надежно защищает корпоративную сеть от внешних атак.
Продукты FireWall-1/VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза FireWall-1 VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого па- кета, то такой способ обмена существенно сокращает вероятность атаки на внутренние узлы сети по их IP-адресам.
Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.
Meta IP позволяет создать отказоустойчивую систему управления IP- адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP- и DNS-серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP, и управляемую централизованно.
Система Meta IP включает перечисленные ниже реализации.
• Реализацию DNS-сервера в среде Windows NT/2000, основанную на последней версии BIND 8.1.2 и дополненную интерфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на нФ стоящее время версию стандарта Dynamic DNS для среды Windows NT.
• Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP- сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP.
• Сервис UAM, тесно интегрированный с FireWall-l, и агентов UAT, работающих в службах аутентификации операционных систем.
• Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельный сервис управления (Manager Service), который собирает в LDAP- совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP- совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP, — например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.
Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP, используя графическую консоль, которая имеет две реализации — для среды Win32 и виде Java- апплета, способного работать в любой системе с браузером, поддерживающим Java. С помощью Meta IP можно управлять также стандартными DNS-серверами.
Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.
Проверка информационных потоков
Обширные возможности проверки информационных потоков, предлагаемые FireWall-1, расширяют функции инспекции данных до наиболее высокого уровня обеспечения информационной безопасности. Это, благодаря точной настройке механизма контроля доступа в Internet, позволяет защитить пользователей от различных рисков, включая компьютерные вирусы и вредоносные апплеты Java и ActiveX. Механизм проверки информационных потоков полностью интегрирован с другими возможностями FireWall-l, что обеспечивается единым централизованным управлением при помощи общего графического интерфейса. Помимо встроенных функций проверки информации, FireWall-1 обеспечивает открытый программный интерфейс приложения API для подключения OPSEC-совместимых приложений, проверяющих информационные потоки других производителей. Благодаря инициативе Check Point, называемой OPSEC, организации могут свободно выбирать наиболее полно отвечающие их требованиям приложения для проверки содержимого потоков данных. Check Point проводит сертификацию таких приложений, что гарантирует полную совместимость их с продуктом FireWall-1.
Выявление компьютерных вирусов Своевременное выявление компьютерных вирусов жизненно важно для безопасности предприятия. Борьба с вирусами может не быть успешной, если ограничиться только сканированием на наличие вирусов персональных бранных пользователей на серверах и файловых систем их компьютеров. Наиболее надежная защита от компьютерных вирусов может быть обеспечена только в том случае, если проверка на их наличие производится во всех точках доступа в сеть предприятия. Механизмы проверки содержимого потоков данных, реализованные в FireWall-l, предоставляют интегрированное решение для борьбы с вирусами, предлагая использование специальных антивирусных приложений, производимых партнерами Check Point по инициативе OPSEC. Данные приложения могут быть развернуты как непосредственно на компьютере, где установлен FireWall-l, так и на отдельном компьютере, специально предназначенном для их выполнения. Благодаря такому подходу, администратор информационной безопасности предприятия может легко реализовать оптимальную схему борьбы с компьютерными вирусами, быстро развернуть ее и администрировать весь комплекс из общего центра управления. Вместо настройки двух совершенно независимых программных продуктов, администратор безопасности определяет правила разграничения доступа и правила проверки информационных потоков в общей политике безопасности, посредством ее редактора (FireWall-1 Security Policy Editor).
Например, организации необходимо обеспечить проверку всех вложений электронной почты на наличие компьютерных вирусов. Это легко обеспечить, проводя проверку почты, проходящей через шлюз с FireWall-1. В этом- случае FireWall-1 перехватит все потоки данных, отвечающие соответствующим правилам политики безопасности и, используя протокол перенаправления содержания Content Vectoring Protocol (CVP), перенаправит их на сервер антивирусной проверки. Прежде чем вернуть полученные данные, сервер антивирусной проверки выполнит необходимые действия по сканированию вложений почты на наличие в них вирусов и лечению зараженных данных. Получив данные обратно, FireWall-1 отправляет их получателю. Таким образом, ни одно соединение не будет организовано напрямую без соответствующей проверки.
Сканирование ОВ1
Возможность анализировать URL позволяет компании гибко регулировать используемую пропускную способность каналов и экономить рабочее время, ограничивая посещение сотрудниками организации нежелательных страниц WWW. Это позволяет администратору безопасности создать гибкую политику использования ресурсов Internet, разрешив доступ только к допустимой информации WWW-страниц в соответствующее время. Дополнительно этот механизм может использоваться для накопления статистики обращений к определенным информационным ресурсам, что полезно знать при подготовке различных аналитических отчетов.
В FireWall-1 предусмотрено несколько способов определения механизмов сопоставления запрашиваемых URL:
• путем непосредственного задания URL с помощью символов шаблона;
• на основе шаблонов, содержащихся во внешнем файле;
• путем применения внешних баз данных и средств сопоставления. Каждый из этих механизмов разработан для предоставления администратору исчерпывающего и гибкого механизма настройки политики безопасности. Наиболее развитые возможности управления достигаются применением специальных средств сторонних производителей, использующих внешние базы данных для хранения шаблонов. Обычно такие производители предоставляют возможность подписки на обновленные версии своих баз. Средства сопоставления, наиболее полно отвечающие требованиям организации, можно найти в списке продуктов, сертифицированных OPSEC.
Блокирование Java и ActiveX Возможности FireWall-1 по сканированию и анализу потоков данных позволяют эффективно бороться с различными атаками, связанными с использованием Java и ActiveX. Администратор безопасности может контролировать прохождение кода Java и ActiveX в соответствии с определенными условиями, как, например сетевой адрес компьютера клиента и сервера, запрашиваемый URL или зарегистрированное имя пользователя.
FireWall-1 может производить следующие действия над обнаруженным кодом Java и ActiveX:
• удаление Java- апплетов, встречающихся в тексте HTML-страницы;
• удаление Java- апплетов из всех потоков между сервером и клиентом, даже если информация архивирована или компрессирована;
• блокирование Java-атак путем запрещения подозрительных обратный
соединений;
• удаление ActiveX- апплетов, встречающихся в тексте HTML-страницы;
• удаление кода JavaScript, встречающегося в тексте НТМ- страницы.
Поддержка почтового протокола SMTP
SMTP-протокол был изначально разработан для обеспечения максимально . гибких возможностей взаимодействия пользователей. Тогда предполагалось, что доступ к Internet пользователи получают из различных географических регионов. Затем протокол был расширен возможностями поддержки передачи различного рода информации в виде вложений электронной почты. В результате оказалось, что достаточно сложно обеспечить максимальную прозрачность почтовых соединений и при этом оградить от взломщиков внутреннюю сеть организации.
FireWall-1 успешно защищает сеть организации, благодаря детальному контролю SMTP-соединений. Следует отметить следующие возможности FireWa11-1:
• скрытие в выходящей почте адреса в поле From путем замены его на некоторый общий адрес позволяет полностью спрятать внутреннюю сетевую структуру и реальных внутренних пользователей;
• перенаправление почты, посланной какому-либо пользователю, например, пользователю root;
• уничтожение почты, посланной некоторым адресатом;
• удаление вложений определенного типа, например, выполняемых файлов программ;
• удаление полей Received в выходящей почте, что предотвращает распространение информации о маршрутах почты внутри организации;
• удаление почтовых сообщений, превышающих заданный размер;
• сканирование на наличие вирусов.
В дополнение, FireWall-1 поддерживает только необходимый набор команд протокола SMTP, что не явно способствует поддержанию безопасности, так как нетривиальные команды, которые можно использовать с враждебными целями, не допускаются.
Фильтрация HTTP Ресурсы, адресуемые через URL, определяют метод доступа, например GET, POST и т. д., сервер, где ресурс расположен, путь доступа непосредственно к этому ресурсу на сервере и, возможно, специфический запрос к нему. Все приведенные выше способы обработки потоков информации могут быть применены к таким ресурсам, описания которых созданы с использованием символов шаблона. Возможно также размещение этих описаний во внешнем файле.
Обработка протокола FTP
Сервер безопасности FTP обеспечивает не только проверку подлинности пользователя, но и проверку безопасности информации, обмен которой происходит по этому протоколу. Управление осуществляется как на уровне команд FTP-протокола (PUT/GET) и внесения ограничений на возможные имена файлов, так и путем перенаправления потоков данных на внешние серверы антивирусной проверки.
Управление списками доступа маршрутизаторов, сбор статистики и генерация предупреждений
Маршрутизаторы являются неотъемлемой частью сети предприятия и обычно используются для сегментации сети. При сегментации сети часто требуется, чтобы маршрутизатор находился на границе сети. В этом случае маршрутизаторы могут быть использованы в качестве "предварительных фильтров", для того чтобы преградить путь нежелательному трафику, Фактически, они являются первым рубежом firewall, выполняя элементарную фильтрацию пакетов.
Возможности маршрутизаторов развиваются, но их интерфейсы управления обычно нет, все еще основываясь на Telnet — алфавитно-цифровом терминальном интерфейсе. Создание фильтров маршрутизаторов, таким образом, затрудняется, увеличиваются трудозатраты и вероятность ошибок. Поскольку команды маршрутизатора обычно состоят из комбинации ключевых слов и IP-адресов, требуется высокий уровень подготовки специалиста, создающего конфигурацию и фильтры. Кроме того, каждый маршрутизатор должен управляться отдельно, т. е. не обеспечивается целостное представление о возможностях сети по фильтрации и затрудняется внесение изменений в конфигурации.
Check Point FireWall-1 предлагает хорошее решение для управления безопасностью на маршрутизаторах. Используя пользовательский графический интерфейс FireWall- l, администраторы могут создать фильтры на маршрутизаторах 3Com, Вау Networks и Cisco. FireWall-1 использует объектное ориентированный подход для управления устройствами, позволяя администратору определять маршрутизаторы как сетевые объекты и использовать их в правилах политики безопасности. Однажды определенные, маршрутизирующие объекты могут многократно применяться при определении и управлении списками доступа (АСЬ) на маршрутизаторах. Нет необходимости помнить каждый IP-адрес сетевых интерфейсов. FireWall-1 позволяет администраторам управлять безопасностью маршрутизатора, используя логическое имя или ассоциацию. Поскольку все производимые операции это перемещение и нажатие кнопки мыши, процесс конфигурирования безопасности маршрутизатора прост и не требует знания специализированных команд. Изменять настройки также очень легко, поскольку все изменения производятся на объектах. Если конфигурация касается многочисленных объектов, система сделает изменения во всех затронутых маршрутизаторах, так что нет необходимости делать это вручную. Однажды определенные объекты могут быть модифицированы. Путем простого нажатия кнопки Load ройсу на центральной консоли управления маршрутизаторы будут быстро и легко перестроены.
Центр управления безопасностью маршрутизаторов фирмы Check Point может быть приобретен как отдельный продукт исключительно для управления списками доступа (АСЬ) маршрутизаторов или вместе с полным решением проблемы безопасности предприятия Fire Wall-1 (1.=1%а11-1 Enterprise Security Solution). В каждом случае удобство конфигурирования имеет различную степень оправданности. Более важно использовать возможность Check Point FireWall-1 настраивать и управлять ACL многочисленных маршрутизаторов с одной центральной консоли. Если требуются изменения конфигурации, то они производятся один раз на центральной консоли управления, и затем новые АСL автоматически генерируются системой и автоматически распределяются по нужным маршрутизаторам, расположенным в сети предприятия.
FireWall-1 обладает также широкими возможностями по сбору статистики и генерации предупреждений:
• Connection Accounting — FireWall-1 помимо обычной регистрации факта соединения предоставляет возможность получить интегральные данные о продолжительности, количестве переданных байтов информации и количестве переданных пакетов в данной сессии. Эти данные записываются в регистрационный журнал в тот момент, когда отслеживаемая сессия заканчивается. Дополнительно можно проследить за параметрами активных соединений.
• Active Connections — в FireWall-1 администратор системы безопасности может, используя средство просмотра и анализа статистики, — Log Viewer, отслеживать активные соединения через модули брандмауэров. Эта статистика в реальном времени обрабатывается и предоставляется оператору так же, как и обычные записи. Они заносятся в специальный файл и находятся там до тех пор, пока соединение не будет закрыто. Это позволяет использовать те же механизмы отбора событий» как и при работе с обычным файлом статистики. Заметим, что при использовании опции сбора дополнительной информации о соединениях данные интегральной статистики непрерывно обновляются, так что администратор безопасности может отслеживать не только сам факт соединения, но и интенсивность информационного обмена по нему в реальном времени.
• Различные возможности уведомления — FireWall-1 включает в себя множество опций для уведомления операторов: от уведомления по электронной почте до возможности посылки SNMP-исключений (traps) для интеграции с такими платформами сетевого управления, как HP OpenView, SunNet Manager, IBM s NetView 6000. В дополнение к основным механизмам уведомлений предусмотрена возможность создавать собственные варианты обработки ситуаций, требующих уведомления. Это предоставляет возможность стыковки системы защиты с пейджинговыми службами или системами быстрого реагирования.
Интеграция средств контроля доступа и средств VPN
Подсистема криптографической защиты FireWall-1 обеспечивает создание виртуальных частных сетей путем криптографического закрытия и цифровой подписи пакетов сообщений, циркулирующих по открытым каналам связи. FireWall-1 развивает скорости шифрования более 10 Мбит/с обычных настольных рабочих станциях и поддерживает следующие крипто- графические стандарты:
● FWZ — собственная схема шифрования FireWall-1;
● IPSec — набор общепринятых и открытых стандартов построения VPN на сетевом уровне, разработанных и контролируемых комитетом IETF;
● SKIP (Simple Кеу-Management for Internet Protocols) — схема распределения криптографических ключей, разработанная Sun Microsystems.
Связь между поддерживаемыми криптографическими стандартами, реализованными в FireWall-l, представлена в табл. 2.4.
FireWall-1 обеспечивает полностью прозрачное шифрование для широкого спектра служб. Функции криптографической защиты и управления ключами интегрированы с другими возможностями FireWall-1. Поддерживаются два режима криптографической защиты:
● защита трафика между брандмауэрами FireWall-1 соединяемых через Internet локальных сетей;
● защита трафика при удаленном доступе к локальной сети, защищаемой брандмауэром FireWall-l.
В первом случае все функции защиты реализуются прозрачно системами FireWall-1, между которыми устанавливается связь.
Во втором случае функции криптографической защиты выполняются брандмауэром FireWall-1 локальной сети, к которой осуществляется удаленный доступ, и специальным компонентом FireWall-1 SecuRemote, который должен быть установлен на удаленном компьютере.
Компонент SecuRemote входит в состав подсистемы криптографической защиты FireWall-1. SecuRemote позволяет пользователям мобильных и удаленных систем Windows подсоединяться к серверу FireWall-1 корпоративной сети по телефонным линиям напрямую или через Internet-провайдеров и работать также безопасно, как если бы они находились в самой локальной сети, защищаемой брандмауэром FireWall-1. SecuRemote продлевает защищенную виртуальную сеть прямо до компьютера удаленного пользователя.
Спектр отдельных VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети.
Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.
VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или UNIX. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно- программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.
Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты Х.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, поддерживаемые в FireWall-l. Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, где часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов Check Point.
Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-l SecuRemote поддерживает стандарты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection, j которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление j VPN-соединения разрешается удаленному компьютеру только в том случае, ~ если его конфигурация безопасности соответствует установленной администратором предприятия.
С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.
Все продукты VPN компании Check Point работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать, защиту данных при установлении соединений с предприятиями партнерами.
Средства контроля доступа и средства VPN в продуктах Check Point полностью интегрированы:
● Администратор создает VPN-объекты и правила, определяющие защищаемый трафик, с помощью того же графического интерфейса, который он использует для задания объектов и правил контроля доступа для модулей FireWall-1. Интеграция политики контроля доступа и VPN- защиты существенно повышают безопасность корпоративной сети за счет согласованности и непротиворечивости набора правил.
● Объекты и правила обоих типов хранятся в сервере политики Management Server, который распространяет их по межсетевым экранам и шлюзам предприятия.
● Модули FireWall-1 и VPN-1 согласованно работают в продуктах компании Check Point, корректно обрабатывая защищенный трафик и применяя к нему те же правила доступа, что и к незащищенному. Интегрированное устройство FireWall-1/VPN-1 не требует наличия двух каналов связи с Internet, принимая по одному каналу как защищенный, так и незащищенный трафик.
● Модули контроля доступа и VPN-защиты используют общие средства аутентификации пользователей, что значительно упрощает конфигурирование системы безопасности и уменьшает количество административных ошибок.
● Результаты аудита записываются в общий журнал регистрации в едином стиле, что повышает эффективность анализа событий, связанных с безопасностью.
Высокая степень интеграции присуща не только модулям FireWall-1 и VPN-1, но и всем продуктам компании Check Point, а также ее партнеров. Интегрированность продуктов упрощает создание комплексной системы безопасности предприятия, перекрывающей все возможные направления атак, а также существенно сокращает затраты на конфигурирование и управление такой системой.
Обеспечение высокой производительности средств защиты и поддержка качества обслуживания
Постоянно возрастающие требования приложений к производительности коммуникаций удовлетворяются в системах безопасности на основе продуктов Check Point следующими способами.
● Значительной скоростью выполнения операций контроля доступа VPN-защиты трафика. Эта скорость обеспечивается высокой эффективностью алгоритмов технологии Stateful Inspection, возможностью установки продуктов Check Point на высокопроизводительных, в том числе и мультипроцессорных, аппаратных платформах, а также применением в случае необходимости устройства VPN-1 Accelerator Card, которое устанавливается в любую стандартную платформу и аппаратно реализует наиболее сложные в вычислительном отношении операции VPN- функций.
● Возможностью распределения функций безопасности между несколькими параллельно работающими средствами защиты сети. В сети можно установить несколько межсетевых экранов и шлюзов VPN, координирующих и синхронизирующих свою работу, так что обработка многочисленных сессий будет распределяться между ними. Возможна также opгaнизация пулов серверов контроля доступа по содержанию, повышая тем самым производительность таких трудоемких операций, как сканирование файлов на присутствие вирусов, поиск определенных ключевых слов в тексте, защита от атак Java и ActiveX и т. п. Отдельный модуль ConnectControl, входящий в состав межсетевого экрана FireWall-l, позволяет также распределять нагрузку между пулом однотипных серверов (например, Web-серверов или FTP-серверов), что удобно при организации демилитаризованной зоны.
● Управлением распределением полосы пропускания с помощью отдельного продукта FloodGate-l, выпускаемого компанией Check Point.
Продукт FloodGate-1 тесно интегрирован с базовым средством защиты FireWall-1/УРN-1, но может работать и как самостоятельный продукт поддержки QoS. Основное назначение FloodGate-1 — распределение пропускной способности между трафиком различных приложений на границе корпоративной сети, а именно в каналах, подключенных к интерфейсам межсетевого экрана и VPN-шлюза FireWall-1/VРN-1. Через эти интерфейсы проходит весь внешний трафик приложений защищенной сети предприятия, причем как критически важных, так и менее ответственных. Дифференцированное распределение пропускной способности в интерфейсах межсетевого экрана может существенно улучшить работу ответственных приложений, предоставив им необходимую полосу пропускания и защитив их от интенсивного, но гораздо менее важного трафика, например, трафика пользователей, просматривающих новости в Internet или загружающих из FTP-архива новую версию какой-либо утилиты.
Операционные системы, поверх которых работает FireWall-1/VPN-1 на стандартных платформах, пока не поддерживают функции QoS. Установка FloodGate-1 в узлах, выполняющих роль межсетевого экрана и VPN-шлюза, ликвидирует этот пробел и дополняет систему управления QoS сети, работающую на современных маршрутизаторах и коммутаторах, важным QoS-, элементом.
FloodGate-1 управляет полосой пропускания на основе улучшенного алгоритма взвешенного справедливого обслуживания WFQ, часто применяемого в IP- маршрутизаторах и коммутаторах. Компания Check Point дополнила базовые механизмы WFQ собственными интеллектуальными алгоритмами, благодаря чему FloodGate-1 поддерживает практически не- ограниченное количество виртуальных очередей, гарантируя определенную долю пропускной способности как для агрегированных потоков (например, для потоков всего Web-трафика), так и для потоков отдельных соединений (например, отдельного соединения RealAudio). Для каждого типа. потока кроме гарантированной доли от общей пропускной способности интерфейса можно задать также верхнюю и нижнюю границы пропускной способности. Это позволяет гибко учитывать потребности приложений и обеспечить привилегированное обслуживание ответственных приложений при соблюдении некоторого минимума для остальных, соблюдаемого при всех обстоятельствах. Полоса пропускания распределяется динамически, быстро реагируя на изменения набора существующих потоков в соответствии с заданными правилами.
Классификация потоков выполняется с помощью технологии Statful Inspection, той же, что работает и в межсетевых экранах FireWall-1. Большой опыт компании Check Point в этой области позволил реализовать в продукте FloodGate-1 один из наиболее мощных в сетевой индустрии механизмов классификации трафика для целей управления QoS. Этот механизм позволяет учесть практически все ситуации, складывающиеся при работе корпоративной сети, и сгруппировать трафик наиболее рациональным образом по приложениям и пользователям.
Эффективность использования полосы пропускания при использовании
FloodGate-1 увеличивается за счет фирменного алгоритма RDED (Retransmission Detect Early Drop), который решает известную проблему уменьшения полезной пропускной способности ТСР- соединений из-за многочисленных повторных передач при перегрузках. Механизм RDED предотвращает передачу нескольких копий одного и того же пакета, за счет чего полезная пропускная способность повышается до 95% от полной пропускной способности канала вместо традиционных 50% — 60%.
Система управления трафиком FloodGate-1 полностью интегрирована с продуктом FireWall-1/VPN-1 и повторяет его распределенную архитектуру.
Правила управления трафиком задаются в том же стиле, что и правила контроля доступа и VPN-защиты и могут использовать общие объекты. Для задания правил управления трафиком используется графический редактор, который, в случае использования на предприятии системы FireWall-l, представлен в виде отдельной вкладки редактора Check Point Policy Editor. Правила управления трафиком хранятся централизовано в базе правил Management Server и распределяются по всем модулям FloodGate-1 предприятия.
Система FloofGate-1 позволяет администратору осуществлять мониторинг за распределением полосы пропускания между потоками пакетов в реальном масштабе времени. Это дает возможность оценить эффективность заданных администратором правил и перераспределить весовые коэффициенты и гpaницы пропускной способности таким, чтобы они наилучшим образом отражали реальные потребности приложений и пользователей.
Интеграция FloodGate-1 с FireWall-1 VPN-1 гарантирует корректность совместной работы средств управления трафиком со средствами VPN-защиты.
Весь сетевой трафик, проходящий через различные компоненты, входящие в семейство Check Point FireWall-1 & VPN-1, регистрируется в соответствующих журналах регистрации. Ручной анализ этих данных не представляется возможным ввиду огромного объема собираемой информации. Кроме того, задача ручного анализа так же становится непосильной в случае pacпределенной установки компонентов межсетевого экрана. Ну и, наконец при ручном анализе трудно (а зачастую невозможно) провести объединение нескольких журналов регистрации для более глубокого анализа сетевого трафика (например, для обнаружения распределенных атак). Дополнительная подсистема Reporting Module позволяет решить эту задачу просто и легко (рис. 2.27).
Подсистема Reporting Module состоит из двух компонентов:
● Reporting Server — предназначен для сбора данных от VPN-1, FireWall-1 и GloodGate-l, их объединения и генерации отчетов на основе имеющихся правил.
● Reporting Client — предназначен для задания правил для Reporting Server и отображения отчетов, созданных в собственном формате Reporting Module.
Подсистема Reporting Module обладает 20 предопределенными шаблонами отчетов, которые охватывают наиболее распространенные аспекты применения межсетевых экранов. Помимо этих шаблонов, администратор безопасности может создать неограниченное число своих собственных шаблонов, учитывающих специфику применения межсетевого экрана Check Point FireWall-1 & VPN-1 в своей корпоративной сети.
Все создаваемые отчеты могут быть отображены не только на экране монитора администратора безопасности или выведены на печать, но и размещены на Web-сервере, посланы по электронной почте, экспортированы в файл или переданы заданному прикладному ПО. При этом генерация и доставка отчетов осуществляются в автоматическом режиме в соответствии с единожды заданным сценарием.
Reporting Module поддерживает различные форматы, в которые могут быть экспортированы создаваемые отчеты, в т. ч. НТМЬ и ASCII.
Создаваемые отчеты могут содержать информацию только из необходимых полей журналов регистрации, что позволяет уменьшить размер отчетов и не отвлекать администратора на изучение лишних данных. Сортировка информации в отчетах может производиться по любому из полей журнала регистрации.
Балансировка загрузки и обеспечение высокой доступности
В связи с быстрым развитием Internet, компаниям часто приходится устанавливать мощные серверы для обеспечения постоянного доступа к информации и удовлетворения растущих потребностей в качестве и скорости обслуживания. В случае недопустимо высокой нагрузки на Web-сервер компании время отклика на запросы клиентов может стать неоправданно большим. В худшем случае клиент вообще может не дождаться ответа на свой запрос. Продукт ConnectControl, являющийся отдельным модулем FireWall-1, добавляет гибкие возможности по управлению трафиком, что позволяет сбалансировано распределить входящие соединения по нескольким серверам. Сетевой администратор может заменить один Web-сервер или любой дружбе сервер приложений, логической группой серверов; обеспечив к ним прозрачный доступ извне по одному IP-адресу. Входящие соединения перенаправляются на один из серверов с использованием одного из пяти возможных алгоритмов балансировки нагрузки (рис. 2.28). В результате использования преимуществ параллельной работы серверов, пользователи получат заметное улучшение времени отклика. Присутствие ConnectControl незаметно для пользователей — все свои функции этот модуль выполняет в прозрачном для них режиме. Кроме того, запланированная замена серверов более мощными, дорогими моделями с целью улучшения обслуживания пользователей может быть отложена. С помощью этого продукта, полностью интегрированного с общей политикой безопасности компании, реально без значительных затрат заметно поднять производительность серверов.
Другая проблема связана с тем, что во многих компаниях существуют приложения, для которых основополагающим параметром является высокая доступность. Эти приложения должны быть доступны пользователям круглосуточно, так как их недоступность может привести к очень большому ущербу (как материальному, так и потере репутации). Нарушение доступности может быть достигнуто вследствие атак типа "отказ в обслуживании" на межсетевой экран или другое средство периметровой защиты. Таким образом, одним из механизмов, которым должен обладать межсетевой экран, является обеспечение высокой доступности.
Межсетевой экран компании Check Point Software обладает таким механизмом, реализованным в подсистеме High Availability Module, которая позволяет создавать кластеры из двух и более межсетевых экранов, подменяющих друг друга в случае выхода из строя одного из них (рис. 2.29). Для конечного пользователя, осуществляющего взаимодействие с ресурсами, защищаемыми межсетевым экраном с поддержкой модуля высокой доступности, переход от главного межсетевого экрана к резервному происходит незаметно. При таком переходе все текущие соединения не разрываются и не требуется повторной аутентификации пользователей.
Вce настройки High Availability Module осуществляются с центральной консоли межсетевого экрана Check Point Management Client. В случае нарушения доступности одного из межсетевых экранов, входящих в кластер, данное событие регистрируется в журнале регистрации, а также об этом оповещается администратор безопасности одним из возможных способов уведомления (е-mail, SNMP, пейджер). Кроме того, статус всех межсетевых Экранов, входящих в кластер, в реальном режиме времени отображается на консоли управления. Добавление (и удаление) нового межсетевого экрана в мистер осуществляется без его реконфигурации и рестарта.