Принципы функционирования межсетевых экранов
Межсетевой экран (firewall) – это компьютер, маршрутизатор или другое коммуникационное устройство, ограничивающее доступ к защищаемой сети (изначально firewall - это огнеупорная стенка, отделяющая водителя в гоночном автомобиле от двигателя; если при аварии двигатель загорается, водитель остается жив). Чаще всего, МЭ - это приложения (программы), которые должны быть развернуты в сети; им, как и любому другому приложению, требуется управление, мониторинг и сопровождение. МЭ позволяет защитить сеть компании от несанкционированного проникновения из Internet, в то же самое время, позволяя пользователям внутри компании иметь доступ к Internet. Многие системы firewall в наше время также имеют средства для контроля, аутентификации и обеспечения конфиденциальности информации. Без защиты МЭ не стоит и думать о постоянном подключении к Internet. Даже если вы считаете, что у вас нет секретов от других, всегда в Internet найдутся люди, желающие «зайти» на ваш сервер либо из-за желания воспользоваться бесплатными ресурсами, либо просто из любопытства (и в этом нет ничего противоестественного). Скоро вы заметите, что дискового пространства становится маловато, да и канал в Internet перегружен. Учитывая насущность проблемы защиты сетей, использующих протоколы TCP/IP, Государственная Техническая Комиссия при Президенте Российской Федерации 25 июня 1997 г. издала руководящий документ (РД) «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» (далее РД к МЭ) как дополнение к руководящим документам «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» и «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требований по защите информации», 1992 г. (РД к АС).
В РД к МЭ межсетевые экраны определяются как «локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из друтой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола». Обычно МЭ защищают внутреннюю сеть компании от «вторжений» из Internet. Однако они могут использоваться и для защиты от «нападений», например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься МЭ как «авторизованный». Например, необходимо решить, будет ли ограничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Выработка политики безопасности позволит выяснить, какие компоненты МЭ вам необходимы и как их сконфигурировать, чтобы обеспечить ограничения доступа, заданные вами.
В принципе, МЭ можно рассматривать как два механизма: один блокирует трафик, другой пропускает трафик. Платформе МЭ целесообразно должна иметь два или более сетевых интерфейса. Подключившись одним интерфейсом к одной сети (например, Internet), а другим - к другой (например, к Intranet - внутренней сети предприятия), МЭ определяет, какие пакеты пропускать в одну сторону, а какие - в другую. Разные схемы настройки МЭ позволяют сделать акцент либо на разрешении доступа, либо на запрещении. Например, МЭ можно настроить так, чтобы он разрешил FTP-доступ (один из распространенных сервисов в Internet) из сети А к серверу S, находящемуся в сети В, а любой другой трафик блокировал. Или наоборот, можно разрешить доступ снаружи ко всем ресурсам сети А, кроме порта на сервере S, на котором сидит сервер базы данных, таким образом, защитив базу данных от несанкционированного доступа. Обе схемы имеют свои преимущества, однако, по понятным причинам коммерческие организации чаще выбирают первую схему. Базовым протоколом для передачи данных по Internet, как указывалось выше, является набор протоколов TCP/IP. Передаваемые по сети данные представляют собой набор пакетов. Каждый пакет имеет исходящий и входящий IP адрес, а также указание на службу TCP/IP, которая будет обрабатывать данный пакет. Межсетевые экраны позволяют устанавливать гибкие правила для доставки пакетов в любой из сегментов. Политика доступа специфична для конкретного межсетевого экрана и определяет правила, используемые для реализации политики доступа к сервисам. Реализуется одна из двух базовых политик: разрешить доступ для сервиса, если он явно не запрещен; запретить доступ для сервиса, если он явно не разрешен. Межсетевой экран, который реализует первую политику, пропускает все сервисы в сеть по умолчанию, если только этот сервис не был явно указан в политике управления доступом как запрещенный. Межсетевой экран, который реализует вторую политику, по умолчанию запрещает все сервисы, но пропускает те, которые указаны в списке разрешенных сервисов. Вторая политика следует классической модели доступа, используемой во всех областях информационной безопасности.
Первая политика менее желательна, так как она предоставляет больше способов обойти межсетевой экран, например пользователи, могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанных в политике), или запустить запрещенные сервисы на нестандартных портах, которые не запрещены политикой. Определенные сервисы, такие как X Windows, FTP, ARCHIE и RPC, сложно фильтровать, и для них лучше подходит межсетевой экран, реализующий первую политику. Вторая политика строже и безопаснее, но ее тяжелее реализовать и она может повлиять на работу пользователей в том отношении, что ряд сервисов, такие, как описанные выше, могут оказаться блокированными или использование их будет ограничено. Концептуально системы МЭ делятся на две категории: сетевого уровня и уровня приложений. На практике системы обоих типов не так сильно отличаются друг от друга. К тому же современные технологии МЭ еще больше стирают различия между ними. Выбор типа системы зависит от решаемой задачи. МЭ сетевого уровня принимает решение, опираясь на такие основные параметры, как адрес источника, адрес назначения и номера портов для каждого отдельного IP пакета. Примером традиционного МЭ сетевого уровня может служить простой маршрутизатор, поскольку он не способен распознать, что данный пакет действительно означает в данном контексте или откуда на самом деле пакет пришел. Однако современные системы МЭ сетевого уровня (например, маршрутизаторы фирмы Cisco) обладают все большей и большей степенью интеллекта, понимают протоколы более высокого уровня и способны отслеживать контекст соединений, проходящих через них. Самая важная черта МЭ сетевого уровня - это то, что они маршрутизируют трафик (поток данных). МЭ сетевого уровня обычно очень быстрые и прозрачные для пользователей. МЭ уровня приложений - это обычно сервер с программой proxy (например, Socks proxy), запрещающий прямой трафик между сетами. Нередко термин proxy употребляюг для обозначения именно МЭ уровня приложений. Поскольку proxy является программным компонентом, это позволяег вести самый тщательный контроль доступа и протоколирование сессий пользователей. МЭ уровня приложений также очень часто содержат возможности для трансляции адресов из формата Intranet в официальные адреса Internet. При этом нескольким адресам Intranet может соответствовать всего один адрес Internet, таким образом, решая проблему регистрации больших блоков IP-адресов. Также многие продукты proxy позволяют кэшировать (сохранять) обращения наружу, снижая исходящий трафик и значительно ускоряя обращения (нередко в несколько раз - в случае больших организаций). Как правило, МЭ уровня приложений менее прозрачен для пользователей, чем МЭ сетевого уровня и требует дополнительных настроек клиентской части.
Безусловно, будущее МЭ за системами, которые будут представлять собой комбинацию обеих технологий. Однако, не следует делать ставку на гибридные (комплексные) МЭ, реализующие обе концепции защиты параллельно, а не последовательно. В этом случае надежность МЭ определяется надежностью наименее стойкого компонента, что обычно приводит к неудовлетворительным результатам. В соответствии с требованием Гостехкомиссии России системы МЭ должны принимать решение на основе как минимум двух атрибутов (адрес отправителя/адрес получателя и т.д.) В описанной ситуации таблица правил может выглядеть следующим образом (табл. 5). Таблица 5
По целевому предназначению существует другая градация МЭ: МЭ с высоким коэффициентом готовности (high-availability) – для защиты периметра сети; МЭ класса SOHO (для малого / домашнего оффиса), разворачиваемые и администрируемые сервис-провайдерами; Арендуемые МЭ (collocated) – для обслуживания многочисленных клиентов сервис-провайдеров (xSP); Персональные МЭ, управляемые централизовано и предназначенные для корпоративных настольных систем. МЭ не может защитить от атак, которые исходят изнутри организации: к сожалению, дискета или распечатка может быть использована с таким же успехом, чтобы похитить засекреченную информацию. Безграмотный пользователь или злоумышленник может передать информацию наружу по телефону или факсу. Использование даже самой надежной системы МЭ, неподкрепленное соответствующими административными мерами - это все равно, что ставить дверь из нержавеющей стали на деревянный сарай. МЭ плохо защищает от вирусов и других вредоносных программ (имеется в виду активизация соответствующих фильтров). Чтобы обеспечить эффективную защиту от вирусов, необходим целый комплекс мер (как технических, так и административных), включая установку антивирусных программ на рабочие станции и файл-серверы, обучение сотрудников и выработку системы правил безопасности в организации.
В связи с тем, что, в соответствии со статистическими экспертными данными, большинство сетевых проблем безопасности связано с вредоносными программами, это направление защиты рассмотрено отдельно.
Воспользуйтесь поиском по сайту: ©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...
|