"Человек - самое уязвимое место в системе безопасности.."

Функции и безопасность межсетевого экрана

Общее

Межсетевой экран (МЭ) — это специализированный аппаратный или программный комплекс межсетевой зашиты, названый также брандмауэром или системой firewall. МЭ разрешает поделить в принципе сеть на части (две или более) и создать список правил, определяющих пункты прохода пакетов с информацией через черту из одной части большой сети в другую. В принцип, эта черта проводится между локальной (корпоративной) сетью и глобальной сетью Internet. Такое разделение есть первым шагом к решению проблем защиты информации в сетях.

Функции МЭ

Для сопротивления несанкционированному межсетевому доступу МЭ должен находится между защищаемой сетью предприятия, являющейся внутренней, и потенциально опасной внешней сетью (рис. 1). При этом все действия между этими сетями должны проходить только через МЭ. Физически МЭ входит в состав защищаемой сети. А также использовать допустимые методы защиты информации.

МЭ, который защищает множество узлов локальной сети, должен реализовать:

  • целью разграничения доступа сотрудников защищаемой сети к внешним ресурсным фондам;
  • цель ограничения доступа внешних (по отношению к защищаемой сети) особей к внутренним ресурсным фондам корпоративной сети.

принцип мэ

Рисунок 1

На сегодня принцип не существует единой классификации МЭ. Но есть параметры по которым классифицируют МЭ по следующим основным признакам.

По используемой МЭ технологии:

  • на ядре модулей посредников (proxy).
  • контроль статуса протокола (stateful inspection);

По принципу роботы на уровнях модели OSI:

  • шлюз на сеансовом уровне (экранирующий транспорт);
  • пакетный фильтр (экранирующий маршрутизатор — screening router);
  • шлюз на экспертном уровне {stateful inspection firewall);
  • прикладной шлюз (application gateway).

По исполнению:

  • программный;
  • аппаратно-программный.

Фильтрация информационных каналов реализуется в выборочном пропускании пакетов через экран, возможно, с исполнением некоторых модификаций. Фильтрация реализуется на основе списка заранее загруженных в МЭ правил, которые утверждены политикою безопасности предприятия. Поэтому МЭ удобно использовать как последовательность фильтров, обрабатывающих информационные каналы (рис. 2).

По схеме подключения:

  • цепь с разграниченной защитой закрытого и открытого сегментов сети;
  • цепь с защищаемым закрытым и не защищаемым открытым сегментами сети;
  • цепь единой защиты сети.

фильтры

Рисунок 2

Каждый из фильтров создан для толкования отдельных правил фильтрации путем:

1) разбора информации по конкретным правилам параметров, к примеру по имени пакету от отправителя;
INPUT -p TCP -o eth1 -ip xxx.xxx.xxx.xxx -j DROP

2) принятия на источнике пунктов одного из последующих действий:

    • не пропустить данные;

INPUT -j DROP

    • передать сообщения на следующий фильтр что бы продолжить осмотр;

см.руководство

    • отделка пакетов от имени параметров получателя и вернуть результат приема отправителю;

см.руководство

    • пропустить пакеты, для дальнейшего игнорирования следующих фильтров.

если пакет прошел хоть одно правило, он больше не проходит фильтры по дефолту

Пункты фильтрации могут указывать и дополнительные сферы производительности, которые относятся к задачам посредничества, к примеру регистрация событий, преобразование данных и др. Конечно пункты фильтрации создают список параметров, по которым реализуется:

  • реализация дополнительных защитных функций;
  • запрещение или разрешение последующей транспортировки данных.

В качестве параметров рассмотрена информационного потока данных могут использоваться следующие критерии:

  • внешние параметры канала информации, к примеру, частотные параметры, временные, объем данных;
  • прямое содержимое пакетов данных, например проверяемое на содержание вирусов;
  • служебные или специальные поля пакетов данных, имеющие идентификаторы, сетевые адреса, адреса интерфейсов, номера портов и другие значимые данные.

Используемые параметры осмотра зависят от уровня OSI, на которых используется фильтрация. Чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и уровень защиты корпоративной сети.

Выполнение функций посредничества

Программы-посредники, блокируя передачу потока пакетов, могут исполнять следующие задачи:

  • фильтрацию и модификация каналов данных;
  • проверку подлинности транспортируемых пакетов;
  • разграничение доступа к ресурсным фондам внутренней корпоративной сети;
  • кэширование пакетов, прошущих из внешней сети Интернет;
  • разграничение доступа к ресурсным фондам внешней корпоративной сети;
  • аутентификацию и идентификацию сотрудников;
  • учитывавшие задаваемые ситуации, регистрация событий, генерацию отчетов и осмотр зарегистрированных пакетов;
  • передача сетевых адресов которые расположены внутри для исходящих пакетов.

Программы-посредники могут реализовывать проверку подлинности передаваемых и получаемых пакетов. Это актуально для программ (Java, Controls или ActiveX). Проверка подлинности программ и пакетов реализуется в контроле цифровых подписей.

Дополнительные возможности МЭ

Аутентификация и идентификация сотрудников иногда реализуется при вводе обычного параметра пароля и имени. Но эта схема уязвима потому, что с точки принципа безопасности — данные могут быть захвачены и воспользоватся злоумышленником. Данные нужно отправлять через общедоступные схемы соединений в зашифрованном виде(поточные шифры или блочное шифрование или shema_Rabina). Это показано на рис. 3. Это разрешит проблему от несанкционированного доступа путем захвата сетевых пакетов.

сетевой экран1

Рисунок 3

Надежно и удобно применять цифровые сертификаты, которые выдаются доверенными органами(центр распределения ключей). Большинство программ-посредников создаются таким образом, чтобы сотрудник прошел аутентификацию только в начале сеанса работы с МЭ.

Трансляция сетевых адресов. Для создания многих атак злодею необходимо знать адрес жертвы. Для скрытия адреса и топологию всей сети, МЭ реализуют важную функцию — передача внутренних сетевых адресов (network address translation) (рис. 4).

сетевой экран адреса

Рисунок 4

Передача внутренних сетевых адресов осуществляется двумя способами — статически и динамически. В первом варианте адрес агрегата всегда привязывается к одному адресу МЭ, из которого передаются все исходящие пакеты. Во втором варианте IP-адрес МЭ есть одним единственным активным IP-адресом, который будет попадает во внешнюю опасную сеть. В результате все исходящие из локальной сети данные оказываются отправленными МЭ, что исключает прямую связь между авторизованной локальной сетью и являющейся потенциально опасной внешней сетью.

Важными функциями МЭ являются реагирование на задаваемые события, регистрация событий, а также составление отчетов и осмотр зарегистрированной информации. МЭ, есть критическим составляющим в системы защиты корпоративной сети(системы обнаружения атак). МЭ имеет функцию регистрации всех шагов, им фиксируемых.

Обязательной реакцией на обнаружение попыток исполнения несанкционированных деяний должно быть уведомление администратора, т. е. выдача предупредительных сигналов. Нельзя считать эффективным элементом межсетевой защиты, который не может посылать предупредительные сигналы при выявлении нападения.

Типы сетевого экрана

Пакетные фильтры. Такие брандмауэры принимают решения о том что делать с пакетом, отбросить или пропустить. Он просматривает флаги, IP-адреса, номера TCP портов для анализа. Существует алгоритм анализа пакета:

Действие тип пакета адрес источника порт источника адрес назначения порт назначения флаги

Действие — может принимать значение отбросить или пропустить. Тип пакета — UDP, TCP, ICMP. Флаги — флаги заголовка IP-пакета. Поля порт источника и порт назначения имеют смысл только для UDP и TCP пакетов. Плюсы пакетного фильтра:

  • малая стоимость
  • гибкость в использовании правил фильтрации
  • маленькая задержка для пакетов

Недостатки:

  • Локальная сеть маршрутизируется из INTERNET
  • Нужны хорошие знания для написания правил фильтрации
  • аутентификации с реализацией IP-адреса можно обмануть спуфингом
  • При нарушении работы брандмауэра, все устройства за ним становятся незащищенными или недоступными
  • нету аутентификации на пользовательском уровне

Сервера прикладного уровня. Такие брандмауэры используют сервера конкретных сервисом (proxy) — FTP, TELNET и др которые запускаются и пропускают через себя весь трафик, который относится к определенному сервису. Таким образом получается два соединения между клиентом и сервером — клиент брандмауэр и брандмауэр место назначение. Стандартный список поддерживаемых сервисом для брандмауэра:

    • FTP

Telnet, Rlogin

  • POP3, SMTP
  • Gopher
  • HTTP
  • Wais
  • LP
  • X11
  • Finger
  • Rsh
  • Whois
  • RealAudio

Реализация таких сервисов прикладного уровня разрешает решить важную проблему — скрытие информацию о заголовках пакетов от внешних пользователей. Также существует возможность аутентификации на пользовательском уровне. Сервера прикладного уровня разрешают обеспечить наиболее высокий уровень безопасности, так как связь с внешним миром контролируется через прикладные программы, и они контролируют весь исходящих и входящий трафик. При описании правил доступа используют:

  • Название сервиса
  • Название пользователя
  • Допустимый временной отрезок использования сервиса
  • Компьютеры с которых можно использовать сервис
  • Схемы аутентификации

Сервера уровня соединения. Такие сервера являют собой транслятора ТСР соединения. Пользователь создает соединения с конкретным портом на сетевом экране, после чего экран соединяет уже с местом назначения. Транслятор копирует байты в обоих направлениях, работая как провод. Такой вид сервера разрешает использовать транслятор для любого определенного пользователем сервиса, основывающегося на TCP, создавая контроль доступа к этому сервису, сбор статистики по его реализации.

Плюсы серверов прикладного уровня:

  • локальная сеть невидима из Internet
  • При нарушении работы брандмауэра, пакеты не проходят через него, тем самым не создает угрозы для внутринаходящихся машин
  • есть аутентификация на пользовательском уровне
  • защита на уровне приложения разрешает создавать большое количество проверок, тем самым снижая вероятность взлома сетевого экрана

Недостатки:

  • Высокая стоимость
  • Нельзя использовать протоколы UDP и RPC
  • Задержка пакетов больше, чем в пакетных фильтрах

Виртуальные сети

Множество брандмауэров разрешают организовать виртуальные корпоративные сети VPN (Virtual Private Network). VPN разрешает организовать прозрачное для пользователей соединение, сохраняя целостность и секретность передаваемых данных с помощью шифрования. При транспортировки по Internet шифруются не только данные пользователя, но и данные пакетов (адреса, порта и др).

Администрирование

Простота администрирования является одним из основных параметров в реализации надежной и эффективной системы защиты. Одна ошибка при написании правил может превратить защиту в решето. В большинстве брандмауэров внедрены утилиты, которые облегчают набор правил. Они проверяют и синтаксические и логические ошибки. Также брандмауэр может собирать статистику о атаках, о трафике и др.

Классы защищенности брандмауэров

Существуют три группы на которых делят АС по обработке конфиденциальной информации:

  • Многопользовательские АС, они обрабатывают данные различных уровней конфиденциальности
  • Многопользовательские АС, где пользователи имеют одинаковый доступ к обрабатываемой информации, которые находятся на носителях разного уровня доступа
  • Однопользовательские АС, пользователь имеет полный доступ ко всем обрабатываемой информации, которая находится на носителях разного уровня конфиденциальности

В первой группе держат 5 классов защищенности АС: 1А, 1Б, 1В, 1Г, 1Д, во второй и третьей группах — 2А, 2Б и 3А, 3Б. Класс А соответствует максимальной, класс Д — минимальной защищенности АС. Брандмауэры разрешают реализовывать безопасность объектов внутренней части, игнорируя несанкционированные запросы из внешней части сети — реализуют экранирование. По уровню Показатели защищенности показаны в таблице, где : нет требований к данному классу, +: дополнительные требования, =: требования совпадают с требованиями к предыдущему классу.

Показатели защищенности54321

Управление доступом + + + + =
Идентификация и аутентификация + = +
Регистрация + + + =
Администрирование: идентификация и аутентификация + = + + +
Администрирование: регистрация + + + = =
Администрирование: простота использования + = +
Целостность + = + + +
Восстановление + = = + =
Тестирование + + + + +
Руководство администратора защиты + = = = =
Тестовая документация + = + = +
Конструкторская документация + = + = +

Проблемы безопасности МЭ

МЭ не может решать все проблемы и погрешности в корпоративной сети. Кроме описанных выше достоинств, есть ущемление в их эксплуатации и угрозы безопасности, от которых МЭ не могут защитить. Наиболее существенные описаны ниже:

    • отсутствие защиты от вирусов. Обычные МЭ не могут защитить от особей, которые загружают зараженные вирусами программы для ПК из интернета или при передаче таких программ в приложенных в письме, поскольку эти программы могут быть зашифрованы или сжаты большим числом способов;
    • возможное ограничение пропускной скорости. Обычные МЭ являются потенциально узким узлом в сети, так как все пакеты передаваемые из внешней сети во внутреннюю должны проходить через МЭ;

есть смысл ставить несколько МЭ в разных местах, что позволит уменьшить количество правил на каждом из них и увеличит пропускную скорость передачи.

  • отсутствие эффективной защиты от опасного содержимого (управляющие элементы ActiveX, апплеты Java, сценарии JavaScript и т.п.).
  • Эффективным было бы не только запрещение, но и упреждение атак, т.е. предотвращение предпосылок совершения вторжений. Для организации предотвращение атак необходимо реализовывать средства поиска уязвимостей и обнаружения атак, которые будут вовремя раскрывать и рекомендовать меры по изъятию «слабых мест» в системе защиты.
  • Общепринятые МЭ являются по существу средствами, только блокирующими атаки. Впринципи они защищают от атак, которые уже находятся в процессе осуществления.
  • МЭ к сожалению не может защитить от некомпетентности и погрешности пользователей и администраторов;

Для защиты информационных ресурсных фондов поделенных корпоративных систем нужно применить комплексный подход защиты информационной безопасности, которая разрешит эффективно применить достоинства МЭ и компенсировать недостатки с помощью других средств безопасности.

Смотрите также: