Практическая реализация защиты информации с использованием межсетевых экранов

Как средство для проведения атак мобильный код может быть реализован в виде:

     - вируса, который  вторгается в информационную  систему и уничтожает данные  на локальных дисках, постоянно  модифицируя свой код, затрудняя  тем самым свое обнаружение  и удаление;

     - агента, перехватывающего  пароли, номера кредитных карт  и т.п.;

     - программы,  копирующей конфиденциальные файлы,  содержащие деловую и финансовую информацию;

     - и прочее.

 Маскироваться такие  программы могут под анимационные  баннеры, интерактивные игры, звуковые  файлы и т.п. Российские пользователи  не так часто используют компьютер  для совершения финансовых сделок  и других действий, которые могли  бы нарушить конфиденциальность  данных. Поэтому рассмотрим примеры враждебного мобильного кода, который нарушает функционирование узла, на котором он запускается. Это наиболее простая в реализации и, как следствие, часто применяемая угроза, которой может подвергнуться любой пользователь сети Internet. Такая угроза может осуществляться путем:

     - создания  высокоприоритетных процессов, выполняющих  несанкционированные действия;

     - генерации  большого числа окон;

     - "захвата"  большого объема памяти и важных  системных классов; 

     - загрузки  процессора бесконечным циклом;

     - и т.п. 

 Обычный подход, используемый при обнаружении мобильного кода, заключается в том, чтобы сканировать весь входящий трафик на 80-м или 443-м портах, используемых протоколами HHTP и HTTPS, с целью выявить такие элементы, как соответствующие теги. Но этого недостаточно, чтобы остановить мобильный код, потому что можно получить управляющие элементы ActiveX и апплеты Java и другими способами. Для примера представим, что Java-апплет (обычно имеющий расширение .class) выдает себя за изображение (то есть имеет расширение gif или jpg). Если межсетевой экран считает, что это изображение, то оно пропускается в сеть и загружается в кэш браузера, после чего браузер выходит из строя, так как загруженный файл не является изображением. Однако это неважно - мобильный код уже находится на компьютере. И если позже его можно будет активизировать, то могут возникнуть серьезные проблемы с защищенностью системы. Другой способ проникновения - использование нестандартного порта для работы Web-сервера.

Одним из вариантов защиты, например для Java-апплетов, можно считать сканирование всего трафика, проходящего в защищаемом сегменте, чтобы выявить наличие конкретных участков кода. Такое выявление осуществляется путем поиска числа идентифицирующего байт-код, которое в шестнадцатеричной форме выглядит как "CA FE BA BE". Однако данный подход производителями средств защиты практически не применяется, так как трафик обычно слишком интенсивен, чтобы фильтровать его поток через каждый порт для выявления конкретных текстовых фрагментов.

Вирусы и атаки 

 Практически ни один  межсетевой экран не имеет  встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты Trend Micro для МСЭ Check Point Firewall-1 или система обнаружения атак RealSecure для него же). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет".

В случае, если вирусы проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов,  лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.

Снижение производительности

 Очень часто межсетевые  экраны являются самым узким  местом сети, снижая ее пропускную  способность. В тех случаях,  когда приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), существенно снижается производительность межсетевого экрана. Для сетей с напряженным трафиком использование обычных межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, BlackICE Gigabit Sentry) могут функционировать и на гигабитных скоростях.

 Компромисс между типами  межсетевых экранов - более высокая  гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня или инспекторах состояния. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом. Это связано с тем, что как уже говорилось, маршрутизаторы являются не специализированными устройствами и функции фильтрации для них не являются приоритетными.

                    3.1. Способы защиты.

Администрирование

Легкость администрирования  является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать «дыру», через которую может быть взломана система. Поэтому в большинстве брандмауэров реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все, что относится к конкретному пользователю или сервису.

Системы сбора  статистики и предупреждения об атаке

Еще одним важным компонентом  брандмауэра является система сбора  статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко определять подлежащие протоколированию события, описать действия брандмауэра при атаках или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.[12]

Аутентификация

Аутентификация является одним из самых важных компонентов  брандмауэров (Рис.3).

Рис.3 Аутентификация.

Межсетевые экраны помимо разрешения или запрещения допуска  различных приложений в сеть, также могут выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым межсетевым экраном. При этом проверка подлинности (аутентификация) пользователя может осуществляться как при предъявлении обычного идентификатора (имени) и пароля, так и с помощью более надежных методов, например, с помощью SecureID или цифровых сертификатов.

Одной из схем аутентификации является использование стандартных UNIX паролей. Эта схема является наиболее уязвимой с точки зрения безопасности - пароль может быть перехвачен и использован другим лицом.

Сегментация

Такой подход используется, когда уже назрела необходимость  разделения серверного и пользовательского сегментов. В этом случае межсетевой экран будет фильтровать трафик, проходящий между клиентскими компьютерами и серверами. Кроме очевидных проблем, связанных с необходимостью перестройки топологии сети и изменения IP-адресации, недостатком данного решения является невозможность контролировать внутрисегментный трафик. Т. е. компрометация одного из серверов в серверном сегменте позволяет, действуя в обход межсетевого экрана, получать доступ к другим серверам. То же касается и пользовательского сегмента[12].

Фильтрация трафика  на коммутаторах

Поскольку коммутаторы являются базой для построения современных  локальных сетей, возможность фильтрации трафика самими устройствами послужила  бы неплохим подспорьем для администратора. Но в большинстве моделей фильтрация ограничивается канальным уровнем, к примеру, возможностью привязки MAC-адресов к определенным интерфейсам.

Некоторые коммутаторы поддерживают функции фильтрации трафика на различных  уровнях модели OSI. Например, коммутаторы Cisco Catalyst, начиная с модели 3550, имеют  возможность привязывать к коммутируемым  портам входящие списки контроля доступа, проверяющие пакеты на третьем и  четвертом уровне модели OSI (протоколы IP/TCP/UDP).

Более мощные устройства, например модуль Firewall Services Module (FWSM), для устройств Cisco Catalyst 6500 Series позволяют задавать правила фильтрации трафика на всех уровнях модели OSI, включая прикладной. Основным недостатком фильтрации трафика на коммутаторах на данный момент является его стоимость. Однако со временем функции фильтрации трафика будут встраиваться и в недорогие устройства уровня рабочих групп.

Кроме того, довольно сложно управлять распределенной системой, когда на порты на разных коммутаторах назначаются различные правила фильтрации. Смягчающим фактором является отсутствие необходимости использовать сложные правила фильтрации на коммутаторах нижнего уровня. На них достаточно разрешить прохождение пакетов за пределы локальной сети (в серверный сегмент, в другие сегменты корпоративной сети и т. д.) и запретить весь остальной трафик. Более детальная фильтрация трафика будет происходить уже на устройствах, осуществляющих фильтрацию трафика на границах сетевых сегментов.

Фильтрация трафика  на сетевых мостах

В последнее время большой  популярностью пользуются сетевые  мосты, реализующие функции межсетевого экрана (bridge firewall). Фильтрующий сетевой мост принимает пакеты на один из сетевых интерфейсов, но кроме стандартной функции ретрансляции проверяет их при помощи пакетного фильтра. Самым популярным решением является фильтрующий сетевой мост на основе межсетевого экрана IPtables .

Эти устройства мало чем  отличаются от традиционных межсетевых экранов, но позволяют не фрагментировать  сеть, т. е. фильтровать трафик без  изменения структуры IP-адресации  сети. Однако проблема незащищенности внутрисегментного взаимодействия остается.

Учитывая, что публичные  сервисы могут быть взломаны, на них должна находиться наименее важная информация, а любая ценная информация должна размещаться исключительно в локальной сети, которая не будет доступна с публичных серверов. Для той информации, которая будет доступна на публичных серверах, необходимо предусмотреть проведение резервного архивирования с возможно меньшей периодичностью. Кроме этого рекомендуется для почтовых серверов применять как минимум двухсерверную модель обслуживания, а для веб-серверов вести постоянный мониторинг состояния информации для своевременного обнаружения и устранения последствий взлома.

 Использование межсетевых  экранов является обязательным  при создании DMZ, иначе теряется сам смысл организации зон особого внимания.

2.  Использование персональных межсетевых экранов.

Наиболее эффективный  подход к решению задачи фильтрации трафика в локальной сети заключается  в установке на компьютеры сети персональных межсетевых экранов и соответствующей  настройке этих программ.

Персональный межсетевой экран фильтрует трафик конкретного  компьютера в соответствии с установленными правилами и разрешает взаимодействие только с теми службами, серверами и клиентами, которые необходимы компьютеру для выполнения задач в рамках его роли в сети предприятия. Данный подход позволяет довольно жестко разграничить доступ пользователей к сетевым службам и значительно повысить защищенность сети. Однако с использованием этого подхода связаны некоторые проблемы. Персональный межсетевой экран может быть удален пользователем, отключен вирусом, он может отказать в результате ошибки программного обеспечения и таким образом снизить защищенность сети[15]. Кроме того, использование персональных межсетевых экранов не защищает от подрывной деятельности со стороны пользователей, имеющих «гостевой» доступ в сеть или «случайно» подключивших к сегменту свой ноутбук.

Довольно серьезной является и проблема реконфигурации «распределенного» межсетевого экрана. Например, если фильтрация трафика на клиентских рабочих местах осуществляется политиками IPSec и управляется через групповые политики, любое изменение в правилах фильтрации будет вступать в действие только по мере применения клиентскими рабочими местами изменений в групповой политике, что может растянуться на довольно долгий срок. Администратор может допускать ошибки в настройке персональных межсетевых экранов, например заблокировать возможность сетевого взаимодействия с системой централизованного управления и контроллерами домена, что приведет к катастрофическим последствиям.