Практическая реализация защиты информации с использованием межсетевых экранов

 

Содержание

Введение……………………………………………………………………3

1. Понятие межсетевого экрана………………………………..4
2. Функции и политики межсетевых экранов………………...11
3. Практическая реализация защиты информации с использованием межсетевых экранов ……………………………………….…....18

         3.1 Способы защиты ……………………………………………...22

         3.2 Использование персональных межсетевых экранов…….…26

Заключение…………………………………………………………….….31

Список используемой литературы……………………………………..33

  

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Введение

Современный мир предъявляет к защите   локальных  сетей все более жесткие требования. Зачастую стабильная работа компании, ее успешная деятельность и доходы во многом зависят от этого фактора. Если крупная корпорация имеет средства и возможность содержать целые отделы, занимающиеся безопасностью корпоративной  сети, то небольшие компании не могут позволить себе включить в штат сетевого администратора. В этих условиях остро возникает необходимость в удобном и надежном инструменте защиты  сети, каким является  межсетевой экран. На данный момент существует огромное количество реализаций таких устройств.

На сегодняшний день лучшей защитой от компьютерных преступников является межсетевой экран, правильно установленный и подобранный для каждой сети. И хотя он не гарантирует стопроцентную защиту от профессиональных взломщиков, но зато усложняет им доступ к сетевой информации, что касается любителей то для них доступ теперь считается закрытым.

Межсетевой экран, его  также называют фаервол (от англ. Firewall) или брандмауэр на шлюзе позволяет  обеспечить безопасный доступ пользователей в сеть Интернет, при этом защищая удаленное подключение к внутренним ресурсам.

Целью данной работы является рассмотрение использования межсетевых экранов в качестве средства защиты информации в локальных сетях.

В соответствии с поставленной целью необходимо решение следующих  задач:

- изучение понятия межсетевого  экрана;

- рассмотрение функций  и политики МЭ;

- рассмотрение проблем  и способов практической реализации  защиты информации с использованием межсетевых экранов;

 

 

 

1. Понятие межсетевого экрана.

Брандмауэры, или межсетевые экраны, являются базовым средством  обеспечения сетевой безопасности. За годы эксплуатации они претерпели ряд существенных изменений, касающихся как набора реализуемых функций, так и методов реализации механизмов защиты. От простых пакетных фильтров до устройств с функциями фильтрации в контексте соединения (stateful) и  анализа содержимого (content filtering).

Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС[5].

Под сетями ЭВМ, распределенными  автоматизированными системами (АС) понимаются соединенные каналами связи  системы обработки данных, ориентированные  на конкретного пользователя.

Все брандмауэры можно  разделить на три типа:

• пакетные фильтры (packet filter);
• сервера прикладного уровня (application gateways);
• сервера уровня соединения (circuit gateways).

Все типы могут одновременно встретиться в одном брандмауэре.

Пакетные фильтры

Пакетные фильтры (packet filter) - это одни из первых и самые распространенные межсетевые экраны, которые функционируют на третьем, сетевом уровне и принимают решение о разрешении прохождения трафика в сеть на основании информации, находящейся в заголовке пакета (Рис.1). Многие фильтры также могут оперировать заголовками пакетов и более высоких уровней (например, TCP или UDP). Распространенность этих межсетевых экранов связана с тем, что именно эта технология используется в абсолютном большинстве маршрутизаторов (т.н. экранирующий маршрутизатор, screening router) и даже коммутаторах (например, в решениях компании Cisco). В качестве параметров, используемых при анализе заголовков сетевых пакетов, могут использоваться:

     - адреса отправителей  и получателей; 

              - тип протокола (TCP, UDP, ICMP и т.д.);

     - номера портов отправителей и получателей (для TCP и UDP трафика);

     - другие параметры заголовка пакета (например, флаги TCP-заголовка).

Рис.1 Пакетный фильтр.

 С помощью данных  параметров, описанных в специальном  наборе правил, можно задавать  достаточно гибкую схему разграничения  доступа. При поступлении пакета  на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению (т.е. может ли осуществить процесс маршрутизации). И только потом маршрутизатор сверяется с набором правил (т.н. список контроля доступа, access control list), проверяя, должен ли он маршрутизировать этот пакет. При создании правил для пакетных фильтров можно использовать два источника информации: внутренний и внешний. Первый источник включает в себя уже названные поля заголовка сетевого пакета. Второй, реже используемый источник оперирует информацией внешней по отношению к сетевым пакетам. Например, дата и время прохождения сетевого пакета.

 Сетевые фильтры, обладая  рядом достоинств, не лишены и  ряда серьезных недостатков. Во-первых, исходя из того, что они анализируют только заголовок (такие фильтры получили название stateless packet filtering), за пределами рассмотрения остается поле данных, которое может содержать информацию, противоречащую политике безопасности[11].

 Другой недостаток пакетных фильтров - сложность настройки и администрирования. Приходится создавать как минимум два правила для каждого типа разрешенного взаимодействия (для входящего и исходящего трафика).

Еще один недостаток пакетных фильтров - слабая аутентификация трафика, которая осуществляется только на основе адреса отправителя. Текущая версия протокола IP (v4) позволяет без труда подменять такой адрес, подставляя вместо него любой из адресов, принадлежащий адресному пространству IP-протокола, реализуя тем самым атаку "подмена адреса" (IP Spoofing).

Сервера прикладного  уровня

Брандмауэры с серверами  прикладного уровня используют сервера  конкретных сервисов (proxy server) - TELNET, FTP и  т.д., запускаемые на брандмауэре  и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соединения: от клиента до брандмауэра и от брандмауэра до места назначения(Рис.2).

Полный набор поддерживаемых серверов различается для каждого  конкретного брандмауэра, однако чаще всего встречаются сервера для  следующих сервисов:

• терминалы (Telnet, Rlogin);
• передача файлов (Ftp);
• электронная почта (SMTP, POP3);
• WWW (HTTP);
• X Window System (X11);
• сетевая печать (LP);
• удаленное выполнение задач (Rsh);
• новости Usenet (NNTP);
• Whois;
• RealAudio.

 

 

Рис.2 Посредник прикладного уровня.

Использование серверов прикладного  уровня позволяет решить важную задачу - скрыть от внешних пользователей структуру локальной сети, включая информацию в заголовках почтовых пакетов или службы доменных имен (DNS). Другим положительным качеством является возможность аутентификации на пользовательском уровне (напоминаю, что аутентификация - процесс подтверждения идентичности чего-либо; в данном случае это процесс подтверждения, действительно ли пользователь является тем, за кого он себя выдает).

При описании правил доступа  используются такие параметры, как 

• название сервиса,
• имя пользователя,
• допустимый временной диапазон использования сервиса,
• компьютеры, с которых можно пользоваться сервисом,
• схемы аутентификации.

Сервера прикладного уровня позволяют обеспечить наиболее высокий  уровень защиты, т.к. взаимодействие с внешним миром реализуется через небольшое число прикладных программ, полностью контролирующих весь входящий и выходящий трафик.

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как  источников может быть много (соединение типа один - много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет  создавать транслятор для любого определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Сравнительные характеристики пакетных фильтров и серверов прикладного уровня

Достоинства пакетных фильтров:

• относительно невысокая стоимость;
• гибкость в определении правил фильтрации;
• небольшая задержка при прохождении пакетов.

Недостатки пакетных фильтров:

• локальная сеть видна (маршрутизируется ) из INTERNET;
• правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP;
• при нарушении работоспособности брандмауэра все компьютеры за ним становятся полностью незащищенными либо недоступными;
• аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга (атакующая система выдает себя за другую, используя ее IP-адрес);
• отсутствует аутентификация на пользовательском уровне.

Достоинства серверов прикладного  уровня:

• локальная сеть невидима из INTERNET;
• при нарушении работоспособности брандмауэра пакеты перестают проходить через брандмауэр, тем самым не возникает угрозы для защищаемых им машин;
• защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность взлома с использованием дыр в программном обеспечении;
• аутентификация на пользовательском уровне может быть реализована система немедленного предупреждения о попытке взлома.

Недостатки серверов прикладного  уровня:

• более высокая, чем для пакетных фильтров стоимость;
• невозможность использования протоколов RPC и UDP;
• производительность ниже, чем для пакетных фильтров.

В 1997 году был принят Руководящий  документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к  информации. Показатели защищенности от НСД к информации". Данный документ устанавливает пять классов защищенности межсетевого экрана, каждый из которых характеризуется определенной минимальной совокупностью требований по защите информации.[5]

В 1998 году был разработан еще один документ: "Временные  требования к устройствам типа межсетевой экран». Согласно данному документу установлено 5 классов защищенности межсетевого экрана, которые применяются для защиты информации в автоматизированных системах, содержащих криптографические средства.

А  с 2011 года вступили в  силу требования законодательства по сертификации межсетевых экранов. Таким образом, если в сети предприятия осуществляется работа с персональными данными, то требуется установить межсетевой экран, сертифицированный Федеральной службой по экспортному контролю (ФСТЭК)[4].

Стоит отметить, что обычной  коммерческой организации сертифицировать свою сеть (и брандмауэр как ее составную часть) на соответствие требованиям ФСТЭК не обязательно. Другое дело, если это вычислительная сеть органа государственной власти или военного завода. Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается ФСТЭК России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации.