Практическая реализация защиты информации с использованием межсетевых экранов

 

 

 

 

 

                                2.Функции и политики межсетевых экранов.

Функциональные требования к межсетевым экранам регламентированы Руководящим документом Государственной  технической комиссии при Президенте Российской Федерации "Межсетевые экраны. Защита от несанкционированного доступа к информации. Классификация межсетевых экранов и требования по защите информации"[5].

Политика сетевой безопасности каждой организации должна включать две составляющие:

• политику доступа к сетевым сервисам;
• политику реализации межсетевых экранов.

 Политика доступа к  сетевым сервисам обычно основывается  на одном из следующих принципов:

• запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;
• разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.

 В соответствии с  политикой реализации межсетевых  экранов определяются правила доступа к ресурсам внутренней сети[14].

 Прежде всего, необходимо установить, насколько “доверительной” или “подозрительной” должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:

Default=discard: Запрещать все,  что не разрешено в явной  форме; 

Default=forward: Разрешать всё,  что не запрещено в явной  форме.

Перед разработчиками как  прикладных МЭ, так и прошивок к  физическим устройствам стоят следующие задачи:

• весь поток данных, направляемых из внутренней сети во внешний мир и в обратном направлении, должен проходить через брандмауэр без возможности его «обойти»;
• из всего потока поступающих к брандмауэру данных пройти брандмауэр должно быть позволено только данным, подвергшимся аутентификации в соответствии с локальной политикой защиты;
• брандмауэр сам по себе должен быть недоступен для вторжения извне.

 Основные средства, с помощью которых брандмауэры осуществляют контроль:

• Управление сервисами. Определяет типы служб Internet, к которым можно получать доступ из внутренней сети наружу и из внешнего окружения вовнутрь. Брандмауэр может фильтровать поток данных на основе IP-адресов и номеров портов TCP, может предлагать такой компонент, как прокси-сервер, через который может проходить каждый запрос сервиса и который принимает решение о том, пропустить данный запрос или нет, и наконец, может содержать и серверные компоненты, такие как Web-сервер или почтовая служба.
• Управление направлением движения. Определение направления, в котором могут инициироваться и проходить через брандмауэр запросы к тем или иным службам.
• Управление пользователями. Предоставление доступа к службам в зависимости от прав доступа пользователей, обращающихся к этим службам.
• Управление поведением. Контроль за использованием отдельных служб.

         Брэндмауэр может предоставлять следующие возможности:

• Брэндмауэр представляет собой единственную точку входа.
• Брэндмауэр является местом, где осуществляется мониторинг событий, имеющих отношение к защите сети.
• Брэндмауэр является удобной платформой для ряда функций Internet, не имеющих непосредственного отношения к безопасности. К таким функциям можно отнести NAT, DHCP и функции шифрования.
• Возможности туннельного режима брандмауэра для построения VPN.

Функциональные  требования к межсетевым экранам  включают:

• требования к фильтрации на сетевом уровне;
• требования к фильтрации на прикладном уровне;
• требования по настройке правил фильтрации и администрированию
• требования к средствам сетевой аутентификации;
• требования по внедрению журналов и учету.

Ограничения брандмауэров:

• Брэндмауэр не может защитить от атак, идущих в обход брандмауэра.
• Брандмауэр не может защитить от внутренних угроз безопасности, которых на сегодняшний день подавляющее большинство.
• Брандмауэр не может защитить от угрозы передачи инфицированных вирусами программ или файлов.
• Не может фильтровать трафик из внешней сети с адресом источника, указывающим, что пакет получен из сети, расположенной позади firewall’а.
• Входящий или исходящий трафик от системы, использующей адрес источника из множества диапазонов адресов, которые в соответствии с RFC 1918 зарезервированы для частных сетей.
• Входящий или исходящий сетевой трафик, содержащий адрес источника или назначения 127.0.0.1 (localhost).
• Входящий или исходящий сетевой трафик, содержащий адрес источника или назначения 0.0.0.0.
• Входящий или исходящий сетевой трафик, содержащий directed broadcast адреса.

Некоторые типы firewall’ов  имеют возможность интегрировать  аутентификацию пользователя в существующий набор правил. Например, firewall’ы могут блокировать доступ к некоторым системам до тех пор, пока пользователь не аутентифицирован firewall’ом. Данная аутентификация может быть внутренней или внешней по отношению к firewall’у.

 Большинство firewall’ов  поддерживают несколько опций  для создания логов. Эти опции  имеют широкий диапазон, от создания  простых записей логов до оповещения администратора о наступлении некоторого события. В зависимости от способа оповещения данное действие может реализовываться различными способами: от посылки уведомления по e-mail до телефонного сообщения соответствующему персоналу.

DMZ

 На практике чаще  всего в пределах локальной  сети находится сервер, к которому  должен быть открыт свободный  доступ. В этом случае, если сеть  построена на простых концентраторах (хабах), а не на коммутаторах (свитчах), то взломав рабочую станцию с отрытым доступом, непосредственно связанную с локальной сетью, злоумышленник может получить доступ ко всем компьютерам в локальной сети. В том числе использовать рабочие станции локальной сети для организации DoS-атак. Поэтому подход к построению систем, включающих в себя публичные серверы, предполагает иной подход. Решение заключается в разделении локальной сети и публичных серверов на отдельные части. Та, в которой будут размещены публичные сервисы, называется «демилитаризованной зоной» (DMZ — Demilitarized Zone) или зоной особого внимания.

 Суть DMZ заключается в  том, что она не входит непосредственно  ни во внутреннюю, ни во внешнюю  сеть, и доступ к ней может  осуществляться только по заранее  заданным правилам межсетевого  экрана. В DMZ нет пользователей – там располагаются только серверы. Демилитаризованная зона как правило служит для предотвращения доступа из внешней сети к хостам внутренней сети за счет выноса из локальной сети в особую зону всех сервисов, требующих доступа извне. Фактически получается, что эта зона будет являться отдельной подсетью с публичными адресами, защищенной как от публичных, так и корпоративных сетей межсетевыми экранами[14].

 Учитывая, что публичные  сервисы могут быть взломаны, на них должна находиться наименее  важная информация, а любая ценная  информация должна размещаться исключительно в локальной сети, которая не будет доступна с публичных серверов. Для той информации, которая будет доступна на публичных серверах, необходимо предусмотреть проведение резервного архивирования с возможно меньшей периодичностью. Кроме этого рекомендуется для почтовых серверов применять как минимум двухсерверную модель обслуживания, а для веб-серверов вести постоянный мониторинг состояния информации для своевременного обнаружения и устранения последствий взлома.

 Использование межсетевых  экранов является обязательным  при создании DMZ, иначе теряется сам смысл организации зон особого внимания.

Классификация по поддерживаемым уровням модели OSI

 Одной из классификаций  МЭ является классификация по  уровням эталонной модели OSI. Стоит отметить, что классификация носит довольно условный характер, как и сама модель OSI.

Различают следующие типы межсетевых экранов:

• управляемые коммутаторы (канальный уровень);
• сетевые фильтры (сетевой уровень);
• шлюзы сеансового уровня (circuit-level proxy);
• посредники прикладного уровня;
• инспекторы состояния (stateful inspection), представляющие собой межсетевые экраны сеансового уровня с расширенными возможностями.

 Межсетевые экраны  могут выполнять над поступающими  пакетами данных одну из двух  операций: пропустить пакет далее  (allow) или отбросить пакет (deny). Некоторые МЭ имеют еще одну  операцию – reject, при которой  пакет отбрасывается, но отправителю  сообщается по о недоступности  сервиса на компьютере-получателе информации.

 Межсетевой экран позволяет  разделить общую сеть на две  части или более и реализовать  набор правил, определяющих условия  прохождения пакетов с данными через границу из одной части общей сети в другую.

Однако и на сегодня  основным защитным механизмом, реализуемым  межсетевым экраном, является фильтрация трафика. Фильтрация трафика предполагает анализ пакетов, проходящих с одного интерфейса межсетевого экрана на другой с целью проверки на соответствие политике безопасности. Если пакет  соответствует разрешающему правилу, он ретранслируется межсетевым экраном, в противном случае — отбрасывается. В зависимости от глубины проверки передаваемых данных, а также критериев фильтрации различают несколько типов межсетевых экранов. Так, например, простой пакетный фильтр рассматривает каждый пакет отдельно от других и в качестве критериев фильтрации использует заголовки сетевого и транспортного уровня. Система анализа содержимого электронной почты в свою очередь может собирать из отдельных пакетов все почтовое сообщение и проверять на соответствие политике безопасности не только заголовки протокола прикладного уровня (SMTP), но и данные, передаваемые в самом сообщении[11].

Межсетевые экраны располагаются  по периметру сети, т. е. в точках соединения сети с другими сетями, взаимодействие с которыми необходимо для решения задач бизнеса. Набор  точек соединения и образует периметр, поскольку внешние сети не являются доверенными и в них действует  другая политика безопасности, они  управляются другими людьми. Стандартно к таким точкам относят подключение к Internet.

Однако в последнее  время, в связи с развитием  в области информационной безопасности концепции defense in depth (иногда называемой глубоко эшелонированной защитой), понятие периметра становится несколько размытым. Сейчас в него включают и точки соединения с другими сегментами корпоративной сети, шлюзы виртуальных локальных сетей (VLAN), беспроводные сегменты и даже начальную точку сетевого взаимодействия — сетевую карту, подключающую компьютеры к локальной сети[10].

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

3.Практическая реализация защиты информации

с использованием межсетевых экранов.

Защита локальной сети постепенно приобретает все большее  значение по мере осознания необходимости  защиты ресурсов, как от внутренних пользователей, так и от внешних, подключающихся через внутренние рабочие станции.

Межсетевой экран, защищающий сразу множество (не менее двух) узлов, призван решить две задачи, каждая из которых по-своему важна и в зависимости от организации, использующей межсетевой экран, имеет более высокий приоритет по сравнению с другой:

     -  ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам локальной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающие получить доступ к серверам баз данных, защищаемых межсетевым экраном.

     - разграничение доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей[15].

Новые возможности, которые  появились недавно, и которые  облегчают жизнь пользователям Internet, разрабатывались практически без  учета требований безопасности. Например, JavaScript, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Специфика мобильного кода такова, что он может быть использован и как средство для проведения атак, и как объект атаки. В первом варианте опасность заключается в том, что мобильный код загружается на компьютер пользователя и выполняется на нем как обычная программа, получая доступ к системным ресурсам. Второй вариант, как правило, используется для модификации мобильного кода - как предварительный этап перед проведением атак на локальный компьютер пользователя. Атаки на мобильный код, как на средство выполнения каких-либо функций, пока не получили широкого распространения. Связано это с тем, что мобильный код пока не применяется для выполнения каких-либо серьезных операций, например, проведения финансовых транзакций. Хотя уже известны примеры банковских систем, в том числе и российских, использующих технологию Java для работы с клиентом.