Практическая реализация защиты информации с использованием межсетевых экранов

Следующим механизмом, которым  должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

 В некоторые персональные  МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы,  которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей.

Т.к. распределенные экраны управляются централизованно, то они  должны обладать эффективным механизмом настройки, администрирования и  контроля, позволяющим администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказательства для обращения в правоохранительные органы. И здесь будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах[13].

Немаловажной является возможность  удаленного обновления программного обеспечения персонального межсетевого экрана (например, в VPN-1 SecureClient). В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и вирусов) снимает эту проблему и облегчает нелегкий труд администратора безопасности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.

Использование систем обнаружения атак

В качестве решения, компенсирующего  перечисленные недостатки персональных межсетевых экранов, можно задействовать  сетевые системы обнаружения  атак (системы обнаружения атак на базе сегмента, NIDS). Большинство популярных продуктов данного направления  имеют возможность разрывать TCP-сессию, по тем или иным параметрам не соответствующую политике безопасности локальной сети (Рис.4).

Для того чтобы разорвать  любое TCP-соединение, достаточно знать IP-адреса и номера TCP-портов отправителя  и получателя, а также текущие  значения номеров последовательности (sequence number) сессии TCP. Всей этой информацией NIDS располагает, поскольку прослушивает весь трафик сегмента и вполне может разорвать TCP-соединения, проходящие через контролируемый сегмент.

 

Рис.4 Использование систем обнаружения атак.

К сожалению, приходится отметить, что немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов  семейства BlackICE содержит два основных модуля, осуществляющих обнаружение  и блокирование несанкционированной деятельности - BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS. При этом блокирование трафика может осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall, и использует запатентованный алгоритм семиуровневого анализа протокола.

Основные подходы  к использованию различных межсетевых экранов

Внутренние серверы компании, как правило, представляют собой  приложения под управлением операционной системы Windows NT/2000, NetWare или, реже, семейства UNIX. По этой причине они становятся потенциально уязвимыми к различного рода атакам.

Простейший способ защиты серверов — установка между серверами  и Интернетом межсетевого экрана, например Firewall-1 компании Checkpoint. При  правильной конфигурации большинство  межсетевых экранов может защитить внутренние серверы от внешних злоумышленников, а некоторые выявляют и предотвращают атаки типа «отказ в обслуживании». Тем не менее, этот подход не лишен некоторых недостатков. Когда корпоративные серверы защищены одним-единственным межсетевым экраном, все правила контроля доступа и данные оказываются сосредоточенными в одном месте. Таким образом, межсетевой экран становится узким местом и по мере нарастания нагрузки значительно теряет в производительности[13].

Альтернатива предыдущей схеме — приобретение дополнительных серверов и установка межсетевого  экрана Firewall-1 компании Checkpoint или Cisco PIX компании Cisco перед каждым сервером. В результате того, что межсетевой экран становится выделенным ресурсом сервера, решается проблема узкого места и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети. Однако и данный подход нельзя назвать идеальным, поскольку резко увеличиваются затраты компании на приобретение оборудования. К тому же возрастают трудозатраты на администрирование и обслуживание сети.

Наиболее удачным решением проблемы защиты серверов представляется размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта задача выполняется путем использования распределенных или персональных межсетевых экранов, например CyberwallPLUS компании Network-1 Security Solution. Данные решения существенно дополняют функциональные возможности традиционных (периметровых) межсетевых экранов и могут использоваться для защиты как внутренних, так и Интернет-серверов[13].

 

 

 

 

 

 

 

Заключение

 На сегодняшний день, защита локальной сети постепенно приобретает все большее значение по мере осознания необходимости защиты ресурсов как от внутренних пользователей, так и от внешних. При подключении к Internet локальной сети необходимо позаботиться об обеспечении информационной безопасности этой сети. Наиболее актуальный подход к решению задачи фильтрации трафика в локальной сети заключается в установке межсетевых экранов и соответствующей настройке.

Межсетевой экран, защищающий сразу множество узлов, призван  решить две задачи, каждая из которых по-своему важна и в зависимости от организации, использующей межсетевой экран, имеет более высокий приоритет по сравнению с другой:

     -  ограничение доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам локальной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающие получить доступ к серверам баз данных, защищаемых межсетевым экраном.

     - разграничение доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требуемым для выполнения служебных обязанностей.

В зависимости от масштабов  организации и принятой на предприятии  политики безопасности могут применяться  различные межсетевые экраны. Для  небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим  интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.

В современных условиях более 50% различных атак и попыток доступа  к информации осуществляется изнутри  локальных сетей. Локальную сеть можно считать защищенной от несанкционированного доступа только при наличии в ней как средств защиты точек входа со стороны Интернета, так и решений, обеспечивающих безопасность отдельных компьютеров, серверов и фрагментов локальной сети предприятия. Что наилучшим образом обеспечивают решения на основе распределенных или персональных межсетевых экранов.

Как любое другое средство, межсетевой экран не может защитить от некомпетентности администраторов и пользователей. Несанкционированные проникновения в защищенные сети могут произойти, например, по причине выбора легко угадываемого пароля. Экранирующая система не защищает также от нападения по не контролируемым ею каналам связи. Если между потенциально враждебной внешней сетью и защищаемой внутренней сетью имеется неконтролируемый канал, то брандмауэр не сможет защитить от атаки через него. Это же относится и к телефонным каналам передачи данных. Если модем позволяет подключиться внутрь защищаемой сети в обход межсетевого экрана, то защита будет разрушена. Таким образом, система безопасна настолько, насколько безопасно ее самое незащищенное звено. Поэтому необходимо, чтобы экранирующая система контролировала все каналы передачи информации между внутренней и внешней сетью.

Таким образом, политика безопасности в локальной сети должна иметь  комплексный подход к организации  защиты информации, одним из важных звеном которой является применение межсетевых экранов.

 

 

 

 

 

 

 

 

Список используемой литературы

1. Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 г.) // Российская газета. 1993. 25 декабря.
2. Гражданский кодекс Российской Федерации СЗ РФ. 1998. № 32.
3. Федеральный закон «Об информации, информационных технологиях и защите информации» от 27.07.2006 № 149-ФЗ // СЗ РФ. 2006. № 31 (ч.1). Ст. 3448.
4. Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 N 28375)
5. Руководящий документ Государственной Технической Комиссии «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» от 25 июля 1997 г.;
6. Приказ МПР РФ от 21.06.2005 N 172 "Об утверждении Регламента использования ресурсов глобальной сети Интернет в МПР России"
7. "Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные требования безопасности. ГОСТ Р ИСО/МЭК 15408-2-2008" (утв. Приказом Ростехрегулирования от 18.12.2008 N 520-ст)
8. "Информационная технология. Практические правила управления информационной безопасностью. ГОСТ Р ИСО/МЭК 17799-2005" (утв. Приказом Ростехрегулирования от 29.12.2005 N 447-ст)
9. "Защита информации. Обеспечение безопасности сетей электросвязи. Общие положения. ГОСТ Р 52448-2005" (утв. Приказом Ростехрегулирования от 29.12.2005 N 449-ст)
10. Биячуев Т.А. Безопасность корпоративных сетей. Спб., 2008;
11. Лапонина О.Р.. Межсетевое экранирование. «ИНТУИТ», М., 2009;
12. Максимов В. «Межсетевые экраны. Способы организации защиты»; М.: Журнал "КомпьютерПресс" №3, 2003;
13. Оглтри Т.В.. Firewalls. Практические применение межсетевых экранов. «ДМК», М., 2008;
14. Сергей Гордейчик  БРАНДМАУЭРЫ для локальной сети. «Windows IT Pro», № 03, 2004
15. Щеглов А.Ю. Защита компьютерной сети от несанкционированного доступа. «НиТ», Спб., 2009;