Навигация
7. Целостность
Требования к пятому классу:
Межсетевой экран должен содержать средства контроля над целостностью своей программной и информационной части.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования пятого класса.
Дополнительно должен обеспечиваться контроль целостности программной и информационной части межсетевого экрана по контрольным суммам.
8. Восстановление
Требования к пятому классу:
Межсетевой экран должен предусматривать процедуру восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств межсетевого экрана.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
9. Тестирование
Требования к пятому классу:
В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
· реализации правил фильтрации;
· процесса идентификации и аутентификации администратора;
· процесса регистрации действий администратора межсетевого экрана;
· процесса контроля за целостностью программной и информационной части межсетевого экрана;
· процедуры восстановления.
Требования к четвертому классу:
В межсетевом экране должна обеспечиваться возможность регламентного тестирования:
· реализации правил фильтрации;
· процесса регистрации;
· процесса идентификации и аутентификации администратора межсетевого экрана;
· процесса регистрации действий администратора межсетевого экрана;
· процесса контроля за целостностью программной и информационной части межсетевого экрана;
· процедуры восстановления.
Требования к третьему классу:
В межсетевом экранированием должна обеспечиваться возможность регламентного тестирования
· реализации правил фильтрации;
· процесса регистрации;
· процесса идентификации и аутентификации запросов;
· процесса идентификации и аутентификации администратора межсетевого экрана;
· процесса регистрации действий администратора межсетевого экрана;
· процесса контроля за целостностью программной и информационной части межсетевого экрана;
· процедуры восстановления.
10. Руководство администратора защиты
Требования к пятому классу:
Документ содержит:
· описание контролируемых функций межсетевого экрана;
· руководство по настройке и конфигурированию межсетевого экрана;
· описание старта межсетевого экрана и процедур проверки правильности старта;
· руководство по процедуре восстановления.
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
Требования к третьему классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса.
11. Тестовая документация
Требования к пятому классу:
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Требования к четвертому классу:
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
Требования к третьему классу:
Должна содержать описание тестов и испытаний, которым подвергался межсетевой экран, и результаты тестирования.
12. Конструкторская документация
Требования к пятому классу:
Должна содержать:
· общую схему межсетевого экрана;
· общее описание принципов работы межсетевого экрана;
· описание правил фильтрации;
· описание средств и процесса идентификации и аутентификации;
· описание средств и процесса регистрации;
· описание средств и процесса контроля над целостностью программной и информационной части межсетевого экрана;
Требования к четвертому классу:
Данные требования полностью совпадают с аналогичными требованиями пятого класса по составу документации.
Требования к третьему классу:
Данные требования полностью включают аналогичные требования пятого класса по составу документации.
Дополнительно документация должна содержать:
· описание средств и процесса централизованного управления компонентами межсетевого экрана.
2.5 Виртуальные частные сети (VPN)
В связи с широким распространением Интернет, интранет, экстранет при разработке и применении распределенных информационных сетей и систем одной из самых актуальных задач является решение проблем информационной безопасности.
В последнее десятилетие в связи с бурным развитием Интернет и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные каналы связи. Стремясь к экономии средств, предприятия используют такие каналы для передачи критичной коммерческой информации. Однако принципы построения Интернет открывают злоумышленникам возможности кражи или преднамеренного искажения информации. Не обеспечена достаточно надежная защита от проникновения нарушителей в корпоративные и ведомственные сети.
Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN. (Virtual Private Networks).
Концепция построения защищенных виртуальных частных сетей VPN
В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.
Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств.
Функции и компоненты сети VPN
Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.
При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:
• несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;
• несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате не санкционированного входа в эту сеть.
Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:
• аутентификации взаимодействующих сторон;
• криптографическом закрытии (шифровании) передаваемых данных;
• проверке подлинности и целостности доставленной информации.
Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.
Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным.
Туннелирование
Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крипто защищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографический защищенные пакеты сообщений.
Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции – он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.
Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность – путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию.
Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.
VPN на основе межсетевых экранов
Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.
В качестве примера решения на базе межсетевых экранов можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в межсетевой экран, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.
К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. На рис. 2.9 показано пример совмещения межсетевого экрана и VPN.
При использовании межсетевых экранов на базе ПК надо помнить, что подобный вариант подходит только для небольших сетей с ограниченным объемом передаваемой информации.
Рис. 2.9. Пример совмещения межсетевого экрана и VPN
3. Предложение по совершенствованию защиты компьютерной сети организации за счет внедрение межсетевого экрана 3.1 Правильный выбор межсетевых экранов для защиты информации КСО
Оптимальные межсетевые экраны для малых и средних организаций с невысокими требованиями к безопасности
В данном разделе, рассматриваются широко распространенные аппаратные межсетевые экраны и приводятся рекомендации по их применению в зависимости от размера организации, требуемого уровня безопасности и стоимости решения. В первой части статьи рассмотрены решения, оптимальные для малых и средних организаций с невысокими требованиями к безопасности, а во второй — решения для малых и средних компаний и офисов филиалов, нуждающихся в надежной защите.
Выбор варианта
В настоящее время выбор межсетевых экранов очень широк, начиная от простого (и бесплатного) Windows Firewall, размещаемого на защищаемой машине, до высокопроизводительных межсетевых экранов с проверкой состояния пакетов стоимостью в десятки тысяч долларов. Как выбрать оптимальный вариант для конкретного организация? При выборе межсетевого экрана следует учитывать два основных фактора: требования безопасности и стоимость.
Требования безопасности.
Требования к безопасности постоянно меняются. Администратор должен сочетать надежную защиту с удобством пользовательского доступа к данным, а также учитывать принципиальные ограничения программ, авторы которых обращали мало внимания на безопасность хост-машины и сети.
Ограничения по стоимости. Цена — барьер между желаниями и действительностью. Главное препятствие на пути к высокой безопасности — затраты, которые готов или может нести пользователь. Уровень защиты, обеспечиваемый простым широкополосным маршрутизатором для малого/домашнего офиса с проверкой пакетов, значительно ниже, чем при применении промышленного межсетевого экрана с проверкой пакетов и контролем на прикладном уровне. В целом чем выше стоимость межсетевого экрана, тем надежнее защита. Уровень безопасности соответствует затратам, которые несет организация (на разовое приобретение аппаратных средств и программного обеспечения или на оплату консультантов по управлению недорогими решениями).
Решения, представленные в разделе
Рынок межсетевых экранов чрезвычайно велик и разнообразен, поэтому невозможно оценить каждого поставщика. Чтобы несколько упорядочить картину, было выбрано несколько поставщиков устройств, охватывающих весь спектр надежности и стоимости, от традиционных межсетевых экранов с проверкой пакетов до смешанных устройств с проверкой пакетов и приложений для устранения универсальных угроз (universal threat management, UTM). В данной статье представлены такие поставщики, как Cisco Systems, Network Engines, Rimapp, SonicWall и Symantec.
Главный акцент в обзоре сетевых межсетевых экранов для организаций различных размеров и требований к безопасности сделан на уровне защиты, а не характеристиках маршрутизации или дополнительных функциях устройства. Многие поставщики межсетевых экранов взимают дополнительную плату за передовые функции маршрутизации, которые никак не влияют на уровень безопасности. Например, не рассматривались маршрутизация на базе политик, качество обслуживания, прозрачность уровня управления передачей данных и другие сетевые усовершенствования, которые мало влияют на общую безопасность.
С другой стороны, продукты некоторых поставщиков располагают функциями Web-кэширования, значительно повышающими общую ценность приобретения для организации, которой не приходится покупать отдельное решение для кэширования. В результате повышается производительность при работе в Web и снижаются общие затраты на эксплуатацию канала Internet. Наличие Web-proxy также повышает безопасность.
Характеристики оценки межсетевых экранов
Ниже приводится краткий обзор характеристик, которые принимались во внимание при оценке аппаратных межсетевых экранов. Этот список поможет понять информацию, приведенную в таблице 3.2 и 3.3.
Цена. Стоимость конкретных межсетевых экранов у разных продавцов может сильно различаться. Приведенная в данном обзоре цена отражает стандартный набор функций без дополнительных модулей, которые приходится покупать отдельно. Модули расширения могут значительно повысить указанную цену.
Контроль на прикладном уровне с учетом состояния. Контроль на прикладном уровне с учетом состояния заключается в проверке как заголовков протокола, так и прикладных данных с использованием механизма контроля на прикладном уровне. Примеры — углубленная проверка на прикладном уровне данных и заголовков HTTP, данных и заголовков SMTP, данных и заголовков протокола Instant Messaging (IM).
Контроль прикладного протокола. Контроль прикладного протокола (иначе, углубленная проверка пакетов — deep packet inspection) позволяет анализировать протокол прикладного уровня и подтвердить его соответствие стандартам IETF (Internet Engineering Task Force) для наборов команд протоколов. Примеры — контроль протоколов DNS, FTP, POP3 и SMTP. В процессе контроля прикладного протокола проверка соответствия заданным условиям всех данных на прикладном уровне не выполняется.
Проверка пакетов на соответствие заданным условиям. Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана. Проверка пакетов на соответствие заданным условиям применяется практически во всех современных межсетевых экранов и одно время была стандартным методом защиты.
Прозрачная аутентификация Windows. Благодаря прозрачной аутентификации межсетевой экран получает учетные данные пользователя из клиентской операционной системы без постороннего вмешательства. Строгий контроль внешнего доступа пользователей и групп осуществляется без запроса учетных данных пользователя.
Протоколирование всех имен пользователей и приложений Web и Winsock. Протоколирование — обязательное условие для подготовки исчерпывающих отчетов о соответствии законодательству и эффективного сотрудничества с правоохранительными органами. Через протоколирование имен пользователей и приложений Winsock межсетевой экран получает информацию о приложениях и ресурсах, доступных пользователю при подключении через межсетевой экран.
Контроль на прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку на соответствие заданным условиям и проанализировать протокол соединения в шифрованном туннеле SSL. Межсетевые экраны, которые обеспечивают только проверку пакетов на соответствие заданным условиям, не могут контролировать заголовки и данные прикладного уровня в шифрованных туннелях SSL.
Поддержка Microsoft Exchange Server. Межсетевые экраны со встроенной поддержкой Exchange повышают безопасность удаленных соединений через Internet со службами Exchange, в том числе Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC и RPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторной аутентификации, например RSA SecurID компании RSA Security.
Контроль шлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN межсетевой экран проверяет как пакеты на соответствие заданным условиям, так и туннельные соединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec на прикладном уровне. Контроль на прикладном уровне соединений через канал VPN предотвращает распространение таких «червей», как Blaster и Sasser. Например, межсетевой экран ISA Server 2004 компании Microsoft обеспечивает соответствие стандарту вызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster и аналогичные угрозы.
Обнаружение и предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированного доступа ориентированы на аномалии сетевого и транспортного уровня, угрожающие набору протоколов TCP/IP межсетевого экрана. Большинство межсетевых экранов систем обнаружения и предупреждения вторжений Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) можно настроить на пересылку предупреждений администраторам без активных действий или предупреждение с принятием мер для предотвращения нападения. На практике большинство межсетевых экранов IDS/IPS запрещают попытки несанкционированного доступа в момент обнаружения.
Сервер удаленного доступа VPN и шлюз VPN. Сервер удаленного доступа VPN принимает клиентские соединения VPN от систем и подключает эту систему в корпоративную сеть. Шлюз VPN связывает целые сети через межсайтовое VPN-соединение.
VPN-клиент. Для всех традиционных удаленных клиентских соединений VPN необходима клиентская программа (в бесклиентских SSL VPN в качестве клиента используется браузер). Большинство межсетевых экранов обеспечивают соединения PPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Для некоторых межсетевых экранов требуются дополнительная (расширенная) клиентская программа VPN, которая обеспечивает проверку соответствия требованиям безопасности клиента VPN, и специальные протоколы IPsec для прохождения трансляции сетевых адресов NAT (Network Address Translation). Эти программы могут предоставляться бесплатно, но иногда их приходится покупать отдельно.
10/100-Мбит/с порты локальной сети. Межсетевой экран с несколькими портами Ethernet, выделенными для локальных соединений, обеспечивает более глубокую физическую сегментацию зон безопасности. В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet.
Порты WAN. В некоторых межсетевых экранов ограничено число портов для прямого подключения к Internet. В других для этой цели можно использовать сколь угодно много портов.
Балансировка нагрузки. Несколько межсетевых экранов можно подключить параллельно и балансировать входящие и исходящие соединения через межсетевой экран. В идеальном случае соединения равномерно распределяются между межсетевыми экранами, и результаты работы каждого устройства меняются в лучшую сторону благодаря предотвращению перегрузки отдельных межсетевых экранов.
Число пользователей. В некоторых межсетевых экранов ограничено число пользователей или IP-адресов, которые могут устанавливать соединения через межсетевой экран. Эти межсетевые экраны лицензированы для работы с определенным числом пользователей и, если превышен лицензионный порог, генерируют соответствующее предупреждение.
Передача функций отказавшего межсетевого экрана исправному устройству. Данная функция позволяет подключить два или несколько межсетевых экранов таким образом, чтобы они могли обслуживать соединения вместо отказавших устройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (под нагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключения автоматические, а в других случаях требуется вмешательство администратора.
Переключение Internet-провайдера и объединение полосы пропускания. Возможность работы с несколькими Internet-провайдерами — важнейшее требование любой организации, деятельность которой зависит от связи с Internet. Межсетевые экраны со сменой Internet-провайдеров могут переключаться на работоспособную линию, если связь с одним или несколькими провайдерами прерывается. Объединение полосы пропускания заключается в соединении нескольких линий связи в скоростной канал доступа к ресурсам Internet.
Настройка. Большинство межсетевых экранов обеспечивают Web-соединения SSL в некоторых или во всех конфигурациях. Некоторые межсетевые экраны поддерживают интерфейс командной строки в сеансе терминала, а межсетевые экраны на базе ISA Server обеспечивают шифрованные соединения RDP, совместимые со стандартом обработки информации FIPS (Federal Information Processing Standard).
Процессор. Данная характеристика в пояснениях не нуждается. Она указывает тип и быстродействие основного процессора межсетевого экрана.
Web-кэширование и proxy-сервер. Некоторые межсетевые экраны располагают встроенным сервером Web-кэширования. Web-кэширование ускоряет доступ в Internet для конечных пользователей и может существенно понизить нагрузку на канал связи с Internet и соответствующие расходы. Компонент Web-proxy значительно повышает безопасность, полностью разлагая на составные части, а затем проверяя и восстанавливая проходящие через него сообщения HTTP.
Низкий уровень безопасности
Как отмечалось в начале статьи, межсетевые экраны рассматриваются в соответствии с необходимым предприятию уровнем безопасности. Межсетевые экраны первого типа предназначены для малых и средних предприятий с низким уровнем безопасности. В слабо защищенной среде важные данные не хранятся в сети или владелец конфиденциальной информации не может либо не хочет платить за сетевой межсетевой экран с мощными функциями проверки входящего и исходящего доступа, пакетов и прикладного уровня, исчерпывающее протоколирование действий пользователей и приложений.
Как правило, слабо защищенные сети принадлежат небольшим компаниям с ограниченным бюджетом. Локальная сеть может подключаться к Internet через широкополосный кабельный модем или DSL-соединение с помощью так называемого «широкополосного маршрутизатора» вместо выделенных линий уровней T и выше, более распространенных в крупных организациях. Технически широкополосные маршрутизаторы не относятся к маршрутизаторам, а представляют собой простые устройства NAT. Большинство таких устройств позволяет установить немногочисленные VPN-соединения с использованием фирменных клиентских программ VPN.
Верхняя граница ценового диапазона межсетевых экранов для среды с невысоким уровнем защиты — около 500 долл. Если на сеть с низким уровнем безопасности не распространяются строгие требования правоохранительного надзора, а компания имеет очень ограниченный бюджет, то следует обратить внимание на продукты Cisco, SonicWall и Symantec, сравнительные характеристики которых приведены в таблице 3.1.
Три межсетевого экрана располагают сходной функциональностью, возможностями и уровнями защиты от внешних угроз. Каждый обеспечивает проверку пакетов на соответствие заданным условиям во входящих соединениях с Internet. Этим маломощным устройствам свойственны существенные ограничения по числу пользователей. Число соединений определяется схемой лицензирования каждого поставщика и возможностями аппаратных средств.
Еще важнее, что эти межсетевые экраны не располагают средствами контроля входящего и исходящего доступа по пользователям и группам. Функции протоколирования всех устройств примитивны. Отсутствует проверка на соответствие заданным условиям на прикладном уровне. Эти ограничения типичны для недорогих аппаратных межсетевых экранов.
Из этой тройки рекомендуется использовать простое в настройке устройство SonicWall 170, которое работает почти автоматически. SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи. Кроме того, в SonicWall 170 на один локальный порт больше, чем в двух других устройствах.
Сетевая безопасность — решающий компонент общей стратегии эшелонированной обороны предприятия. Сетевые межсетевые экраны — ключевые элементы защиты систем и данных на различных сетевых периметрах. Предприятия с низкими требованиями к безопасности могут выбрать один из межсетевых экранов из таблицы или другие продукты такого уровня, но для надежной защиты требуются устройства, которые будут рассмотрены чуть ниже.
Таблица 3.1. Аппаратные межсетевые экраны для сетевой среды с невысокой надежностью
| SonicWall 170 | Cisco PIX 501 | Symantec Firewall/VPN | |
| Цена в долларах | 410 | 495 | 499 |
| Контроль на прикладном уровне с учетом состояния | Нет | Нет | Нет |
| Контроль прикладного протокола | Да (ограничено) | Да (ограничено) | Да (ограничено) |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Нет |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Нет |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Нет |
| Поддержка Exchange | Нет | Нет | Нет |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Нет |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Нет |
| VPN-клиент | Нет | Нет | Нет |
| 10/100-Мбит/с порты ЛВС | 5 | 4 | 4 |
| Порты WAN | 1 | 1 | 1 |
| Балансировка нагрузки | Нет | Нет | Нет |
| Число пользователей | 10 | 10 | 15-25 |
| Передача функций отказавшего межсетевого экрана исправному устройству | Аналоговый коммутируемый доступ через внешний модем | Нет | Аналоговый коммутируемый доступ через внешний модем |
| Переключение Internet-провайдера и объединение полосы пропускания | Нет | Нет | Нет |
| Настройка | Web-интерфейс | Командная строка и Web-интерфейс | Web-интерфейс |
| Процессор | SonicWall Security Processor | AMD SC520 | ARM7 |
| Web-кэширование и proxy-сервер | Нет | Нет | Нет |
Варианты для малых и средних предприятий с высокими требованиями к безопасности
В тех организациях, где защите приходится уделять много внимания, к межсетевым экранам предъявляются гораздо более высокие требования. Повышенная безопасность может быть вызвана условиями закона, характером бизнеса (например, в отраслях с острой конкуренцией необходимо охранять коммерческие секреты) или желанием владельца получить достойную защиту по разумной цене. В малых и средних компаниях с высокими требованиями к безопасности к межсетевому экрану относятся, как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобы предотвратить потенциальную катастрофу.
Проблемы обеспечения высокого уровня безопасности
При выборе межсетевого экрана с повышенным уровнем защиты необходимо учитывать ряд дополнительных требований.
· Следует протоколировать обращения из корпоративной сети в Internet. Как минимум, требуется записывать имя пользователя и приложение, задействованное при попытках получить доступ к ресурсам через межсетевой экран. Рекомендуется также указывать имена сайтов и тип контента.
· Необходим механизм настройки межсетевого экрана на блокирование запуска приложений, которые представляют опасность для сети и целостности данных - например, одноранговых (P2P) сетей и программ мгновенного обмена сообщениями (Instant Messaging - IM).
· Межсетевой экран должен останавливать как входящий, так и исходящий несанкционированный трафик, с проверкой пакетов на соответствие заданным условиям и контролем на прикладном уровне по всем интерфейсам, в том числе VPN.
· Межсетевой экран должен обеспечивать проверку пакетов на соответствие заданным условиям и контроль на прикладном уровне для входящего трафика, проходящего через межсетевой экран в корпоративную сеть, чтобы удаленные пользователи могли обращаться к данным предприятия извне. Проверка на соответствие заданным условиям должна производиться над данными, зашифрованными для передачи по линиям связи.
· Блокировать или смягчать действие червей, вирусов, шпионских программ и других угроз для целостности данных на периметре сети; контроль на прикладном уровне необходим на всех этапах.
· Если требуется доступ к важной бизнес - информации, следует предусмотреть механизмы обеспечения отказоустойчивости.
Несмотря на высокие требования к безопасности, предъявляемые некоторыми малыми предприятиями, эти компании все же остаются малыми и не располагают бюджетом крупных корпораций. В среднем малая организация готова потратить до 3000 долл. на решение для обеспечения безопасности, срок эксплуатации которого составит 3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день) невелика по сравнению с потенциальными финансовыми потерями, которые могут стать следствием выбора ненадежного решения.
Выбор устройств
В таблице 3.2 приведены аппаратные межсетевые экраны, которые обеспечивают приемлемую сетевую безопасность для нуждающихся в серьезной защите малых и средних предприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems — традиционные аппаратные межсетевые экраны. NS6200 компании Network Engines на базе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собой продукты, которые обычно называют «программными» межсетевыми экранами — они работают на базе универсальной операционной системы или имеют жесткие диски (иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» межсетевых экранов, в котором стабильность и надежность аппаратного межсетевого экрана сочетаются с гибкостью, удобством обновления и готовностью отразить новейшие угрозы программного продукта. Характеристики SGS 5420 — промежуточные: он не работает с универсальной операционной системой, но располагает жестким диском.
Для безопасности сети рекомендуется устройства Network Engines и Symantec, которые превосходят традиционные аппаратные модели с проверкой пакетов на соответствие заданным условиям. Главное различие заключается в глубине контроля на прикладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с межсетевыми экранами SonicWALL и Cisco.
Для контроля на прикладном уровне в межсетевых экранов этого класса можно использовать встраиваемые и внешние модули расширения (например, для борьбы с вирусами, фильтрации загружаемых файлов, фильтрации почты, блокирования всплывающей рекламы, анализа Web-контента). При этом из-за высокой цены устройства могут оказаться недосягаемыми для малых и средних предприятий.
В конечном итоге было отдано межсетевому экрану Network Engines предпочтение перед устройством Symantec благодаря достоинствам, решающим для создания сетевой среды с высоким уровнем безопасности.
· Прозрачная аутентификация всех исходящих соединений через межсетевой экран. В среде с высоким уровнем безопасности для регистрации в домене требуется двухфакторная аутентификация. Благодаря прозрачной аутентификации, пользователи не могут обмениваться учетными данными для доступа к Internet, так как система никогда не выводит на экран окно регистрации. В результате повышаются достоверность данных в журнале и эффективность дальнейшего расследования на основе этой информации.
· Полное протоколирование всех входящих и исходящих соединений через межсетевой экран. Эти сведения, в том числе об именах пользователей и приложениях, задействованных для доступа к любым ресурсам через межсетевой экран, незаменимы при выполнении аудита на соответствие законодательству и в ходе административных, уголовных и гражданских расследований.
· Контроль на прикладном уровне туннелей SSL (Secure Sockets Layer - уровень защищенных гнезд). Устройство NS6200 на базе ISA Server 2004 выполняет контроль на прикладном уровне входящих соединений SSL через межсетевой экран. Такие соединения могут использоваться для обращений к частным данным на сервере Microsoft Outlook Web Access (OWA) или Microsoft SharePoint Portal Server. В отличие от других межсетевых экранов в таблице 3.2, NS6200 может дешифровать SSL-соединение в межсетевом экране, передать заголовки и данные в механизм прикладного управления межсетевого экрана, а затем заново зашифровать данные для сквозной пересылки по безопасному шифрованному соединению.
· Проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам. Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения между сайтами. Каналы VPN нередко оказываются слабым звеном во многих межсетевых экранов, так как подключенные к VPN машины, как правило, рассматриваются как "доверенные" и не подвергаются контролю на прикладном уровне. Такой подход был главной причиной атаки червя Blaster на сети, в остальном защищенные от внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединения по-прежнему могут служить средой их распространения. NS6200 открывает каналы VPN для контроля на прикладном уровне и блокирует нападения на межсетевом экране.
Даже вместе с дорогостоящими модулями расширения для контроля на прикладном уровне ни один из остальных межсетевых экранов в табл. 3.2 не располагает функциями безопасности, реализованными в NS6200.
Более масштабные сети с высоким уровнем защиты
Средним и крупным предприятиям, а также их филиалам свойственны похожие требования к безопасности. Как и небольшим компаниям с надежной защитой, им требуются исчерпывающая проверка пакетов на соответствие заданным условиям и контроль на прикладном уровне, полное протоколирование и функции управления доступом пользователей/групп через межсетевой экран. Основное различие между надежно защищенной крупной компанией и малым предприятием заключается в гораздо больших финансовых возможностях корпорации, которые соответствуют требованиям информационной безопасности.
Таким фирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью 35 тыс. долл., им скорее требуется надежная информационная защита. Единственная атака на прикладном уровне может привести к потерям, исчисляемым миллионами долларов.
Выяснить, сколько денег организации этого типа готовы потратить на защиту межсетевым экраном, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный межсетевой экран с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший межсетевой экран.
В таблице 3.3 показан выбор межсетевых экранов, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевого экрана и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям — основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.
В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через межсетевой экран.
Оптимальный выбор
Высокоуровневые сетевые межсетевые экраны, представленные в данном разделе, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального межсетевого экрана следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного межсетевого экрана важно помнить об отказоустойчивости.
Таблица 3.2. Аппаратные межсетевые экраны для малых предприятий с высокими требованиями к безопасности
| Характеристика | SonicWALL Pro 3060 | Cisco PIX-515E-R-DMZ | Network Engines NS6200 | Symantec SGS 5420 |
| Цена в долларах | 2319 | 2699 | 2499 | 2999 |
| Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да (умеренно) | Да (ограничено) |
| Контроль прикладного протокола | Да | Да | Да | Да |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Да | Нет |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да | Нет |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да | Нет |
| Поддержка Exchange | Нет | Нет | Да | Нет |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да | Нет |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да | Да |
| VPN-клиент | Нет | Да | Да | Нет |
| 10/100-Мбит/с порты ЛВС | 5 | 2 | 3 | 5 |
| Порты WAN | 1 | 1 | 1 | 1 |
| Балансировка нагрузки | Нет | Нет | Да | Нет |
| Число пользователей | Неогр. | Неогр. | Неогр. | 50 |
| Передача функций отказавшего межсетевого экрана исправному устройству | Нет | Нет | Нет | Нет |
| Переключение Internet-провайдера и полосы пропускания | Нет | Нет | Нет | |
| Настройка | Web-интерфейс | Командная строка и Web-интерфейс | Ограниченный Web и FIPS-совместимый RDP | Web-интерфейс |
| Процессор | 2-ГГц Intel | 1-ГГц Intel | 2-ГГц Intel | Intel |
| Web-кэширование и proxy | Нет | Нет | Да | Нет |
Таблица 3.3. Аппаратные межсетевые экраны для крупных предприятий с высокими требованиями к безопасности
| Характеристика | SonicWALL Pro 4060 | Cisco PIX-515E UR-FE-BUN | RimApp RoadBLOCK F302PLUS |
| Цена в долларах | 4995 | 5145 | 5580 |
| Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да |
| Контроль прикладного протокола | Да | Да | Да |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Да |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да |
| Поддержка Exchange | Нет | Нет | Да |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да |
| VPN-клиент | Нет | Да | Да |
| 10/100-Мбит/с порты ЛВС | 5 | 6 | 2-5 |
| Порты WAN | 1 | 1-4 | 1-5 |
| Балансировка нагрузки | Нет | Нет | Да |
| Число пользователей | Неограниченно | Неограниченно | Неограниченно |
| Передача функций отказавшего межсетевого экрана исправному устройству | Да | Да | Да |
| Переключение Internet-провайдера и объединение полосы пропускания | Да | Нет | Да |
| Конфигурирование Web-интерфейс | Командная строка и Web-интерфейс | Исчерпывающий Web и FIPS-совместимый RDP | |
| Процессор | 2-ГГц Intel | 433-МГц Celeron | 2,8-ГГц Intel |
| Web - кэширование и proxy | Нет | Нет | Да |
3.2 Intrusion Detection Systems (IDS)
Система обнаружение вторжение
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
Почему следует использовать IDS
Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.
Почему следует использовать IDS, особенно если уже имеются межсетевые экраны, антивирусные инструментальные средства и другие средства защиты?
Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.
Межсетевые экраны являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики межсетевого экрана. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли межсетевой экран, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.
IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей:
1. Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника. Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.
2. Возможность блокирования означает возможность распознать некоторую активность или событие как атаку и затем выполнить действие по блокированию источника. Данная цель определяется следующим образом: "Я не забочусь о том, кто атакует мою систему, потому что я могу распознать, что атака имеет место, и блокировать ее". Заметим, что требования реакции на атаку полностью отличаются от возможности блокирования.
Атакующие, используя свободно доступные технологии, могут получить неавторизованный доступ к системам, если найденные в системах уязвимости не исправлены, а сами системы подсоединены к публичным сетям.
Объявления о появлении новых уязвимостей являются общедоступными, например, через публичные сервисы, такие как ICAT или CERT, которые созданы для того, чтобы эти уязвимости нельзя было использовать для выполнения атак. Тем не менее, существует много ситуаций, в которых использование этих уязвимостей все же возможно:
· Во многих наследуемых системах не могут быть выполнены все необходимые обновления и модификации.
· Даже в системах, в которых обновления могут быть выполнены, администраторы иногда не имеют достаточно времени или ресурсов для отслеживания и инсталлирования всех необходимых обновлений. Это является общей проблемой, особенно в окружениях, включающих большое количество хостов или широкий спектр аппаратуры и ПО.
· Пользователям могут требоваться функциональности сетевых сервисов и протоколов, которые имеют известные уязвимости.
· Как пользователи, так и администраторы делают ошибки при конфигурировании и использовании систем.
· При конфигурировании системных механизмов управления доступом для реализации конкретной политики всегда могут существовать определенные несоответствия. Такие несоответствия позволяют законным пользователям выполнять действия, которые могут нанести вред или которые превышают их полномочия.
В идеальном случае производители ПО должны минимизировать уязвимости в своих продуктах, и администраторы должны быстро и правильно корректировать все найденные уязвимости. Однако в реальной жизни это происходит редко, к тому же новые ошибки и уязвимости обнаруживаются ежедневно.
Поэтому обнаружение проникновения может являться отличным выходом из существующего положения, при котором обеспечивается дополнительный уровень защиты системы. IDS может определить, когда атакующий осуществил проникновение в систему, используя нескорректированную или некорректируемую ошибку. Более того, IDS может служить важным звеном в защите системы, указывая администратору, что система была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Это гораздо удобнее и действеннее простого игнорирования угроз сетевой безопасности, которое позволяет атакующему иметь продолжительный доступ к системе и хранящейся в ней информации.
3. Возможно определение преамбул атак, обычно имеющих вид сетевого зондирования или некоторого другого тестирования для обнаружения уязвимостей, и предотвращения их дальнейшего развития.
Когда нарушитель атакует систему, он обычно выполняет некоторые предварительные действия. Первой стадией атаки обычно является зондирование или проверка системы или сети на возможные точки входа. В системах без IDS атакующий свободно может тщательно анализировать систему с минимальным риском обнаружения и наказания. Имея такой неограниченный доступ, атакующий в конечном счете может найти уязвимость и использовать ее для получения необходимой информации.
Та же самая сеть с IDS, просматривающей выполняемые операции, представляет для атакующего более трудную проблему. Хотя атакующий и может сканировать сеть на уязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное, может выполнить блокирование доступа атакующего к целевой системе и оповестит персонал, который в свою очередь может выполнить соответствующие действия для блокирования доступа атакующего. Даже наличие простой реакции на зондирование сети будет означать повышенный уровень риска для атакующего и может препятствовать его дальнейшим попыткам проникновения в сеть.
4. Выполнение документирования существующих угроз для сети и систем.
При составлении отчета о бюджете на сетевую безопасность бывает полезно иметь документированную информацию об атаках. Более того, понимание частоты и характера атак позволяет принять адекватные меры безопасности.
5. Обеспечение контроля качества разработки и администрирования безопасности, особенно в больших и сложных сетях и системах.
Когда IDS функционирует в течении некоторого периода времени, становятся очевидными типичные способы использования системы. Это может выявить изъяны в том, как осуществляется управление безопасностью, и скорректировать это управление до того, как недостатки управления приведут к инцидентам.
6. Получение полезной информации о проникновениях, которые имели место, с предоставлением улучшенной диагностики для восстановления и корректирования вызвавших проникновение факторов.
Даже когда IDS не имеет возможности блокировать атаку, она может собрать детальную, достоверную информацию об атаке. Данная информация может лежать в основе соответствующих законодательных мер. В конечном счете, такая информация может определить проблемы, касающиеся конфигурации или политики безопасности.
7. IDS помогает определить расположение источника атак по отношению к локальной сети (внешние или внутренние атаки), что важно при принятии решений о расположении ресурсов в сети.
Типы IDS
Существует несколько способов классификации IDS, каждый из которых основан на различных характеристиках IDS. Тип IDS следует определять, исходя из следующих характеристик:
Способ мониторинга системы. По способам мониторинга системы делятся на network-based, host-based и application-based.
Способ анализа. Это часть системы определения проникновения, которая анализирует события, полученные из источника информации, и принимает решения, что происходит проникновение. Способами анализа являются обнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomaly detection).
Задержка во времени между получением информации из источника и ее анализом и принятием решения. В зависимости от задержки во времени, IDS делятся на interval-based (или пакетный режим) и real-time.
Большинство коммерческих IDS являются real-time network-based системами.
К характеристикам IDS также относятся:
Источник информации. IDS может использовать различные источники информации о событии для определения того, что проникновение произошло. Эти источники могут быть получены из различных уровней системы, из сети, хоста и приложения.
Ответ: Набор действий, которые выполняет система после определения проникновений. Они обычно разделяются на активные и пассивные меры, при этом под активными мерами понимается автоматическое вмешательство в некоторую другую систему, под пассивными мерами — отчет IDS, сделанный для людей, которые затем выполнят некоторое действие на основе данного отчета.
Развертывание IDS
Технология обнаружения проникновений является необходимым дополнением для инфраструктуры сетевой безопасности в каждой большой организации. Эффективное развертывание IDS требует тщательного планирования, подготовки, прототипирования, тестирования и специального обучения.
Следует тщательно выбирать стратегию обнаружения проникновения, совместимую с сетевой инфраструктурой, политикой безопасности и имеющимися ресурсами.
Стратегия развертывания IDS
Следует определить несколько стадий развертывания IDS, чтобы персонал мог получить опыт и создать необходимый мониторинг и необходимое количество ресурсов для функционирования IDS. Требуемые ресурсы для каждого типа IDS могут сильно различаться, в частности, и в зависимости от системного окружения. Необходимо иметь соответствующую политику безопасности, планы и процедуры, чтобы персонал знал, как обрабатывать различные многочисленные сигналы тревоги, выдаваемые IDS.
Для защиты сети предприятия рекомендуется рассмотреть комбинацию network-based IDS и host-based IDS. Далее следует определить стадии развертывания, начиная с network-based IDS, так как они обычно являются более простыми для инсталлирования и сопровождения. После этого следует защитить критичные серверы с помощью host-based IDS. Используя инструментальные средства анализа уязвимостей, следует протестировать IDS и другие механизмы безопасности относительно правильного конфигурирования и функционирования.
Такие технологии, как Honey Pot и аналогичные, должны использоваться только в том случае, если имеется достаточная техническая квалификация администратора. Более того, эти технологии должны использоваться только после анализа существующего законодательства.
Развертывание network-based IDS
Единственный вопрос, который следует тщательно продумать при развертывании network-based IDS, — это расположение системных сенсоров. Существует много вариантов расположения network-based IDS, каждый из которых имеет свои преимущества:
1. Основная подсеть
2. Подсеть с критичными ресурсами и дополнительными точками доступа
3. DMZ-сеть
Рис. 3.1. Возможные варианты расположения сенсоров network-based IDS
Позади внешнего межсетевого экрана в DMZ-сети (расположение 1)
Преимущества:
· Видит атаки, исходящие из внешнего мира, которым удалось преодолеть первую линию обороны сетевого периметра.
· Может анализировать проблемы, которые связаны с политикой или производительностью межсетевого экрана, обеспечивающего первую линию обороны.
· Видит атаки, целями которых являются прикладные серверы (такие как web или ftp), обычно расположенные в DMZ.
· Даже если входящая атака не распознана, IDS иногда может распознать исходящий трафик, который возникает в результате компрометации сервера.
Перед внешним межсетевым экраном (расположение 2)
Преимущества:
· Документирует количество атак, исходящих из Интернета, целью которых является сеть.
· Документирует типы атак, исходящих из Интернета, целью которых является сеть.
На основной магистральной сети (расположение 3)
Преимущества:
· Просматривает основной сетевой трафик; тем самым увеличивается вероятность распознания атак.
· Определяет неавторизованную деятельность авторизованных пользователей внутри периметра безопасности организации.
В критичных подсетях (расположение 4)
Преимущества:
· Определяет атаки, целью которых являются критичные системы и ресурсы.
· Позволяет фокусироваться на ограниченных ресурсах наиболее значимых информационных ценностей, расположенных в сети.
Развертывание host-based IDS
После того как network-based IDS размещены и функционируют, для увеличения уровня защиты системы дополнительно может быть рассмотрено использование host-based IDS. Однако инсталлирование host-based IDS на каждый хост может потребовать существенных временных затрат. Поэтому рекомендуется, чтобы в первую очередь host-based IDS были инсталлированы на критичных серверах. Это может уменьшить общую стоимость развертывания и позволит основное внимание уделить реагированию на тревоги, касающиеся наиболее важных хостов. После того как host-based IDS начали функционировать в обычном режиме, организации с повышенными требованиями к безопасности могут обсудить возможность инсталлирования host-based IDS на другие хосты. В этом случае следует приобретать host-based системы, которые имеют централизованное управление и функции создания отчетов. Такие возможности могут существенно понизить сложность управления сообщениями о тревогах от большого числа хостов.
Далее следует рассмотреть возможность повышения квалификации администраторов. В большинстве случаев эффективность конкретной host-based IDS зависит от возможности администратора различать ложные и верные тревоги.
Также важно (так как часто администратор не сопровождает постоянно host-based IDS) установить график проверки результатов IDS. Если это не сделано, риск, что противник изменит что-либо в IDS в течение осуществления атаки, возрастает.
Стратегии оповещения о тревогах
Наконец, при развертывании IDS важной проблемой является определение того, какие именно возможности оповещения IDS о тревогах использовать в каждом конкретном случае. Большинство IDS поставляются с уже сконфигурированными возможностями оповещения о тревогах, которые допускают широкий диапазон опций, включая посылку сообщений на e-mail, пейджер, использование протоколов сетевого управления и даже автоматическое блокирование источника атаки.
Важно быть консервативным в использовании этих возможностей до тех пор, пока не будет стабильной инсталляции IDS и некоторого понимания поведения IDS в данном окружении. Иногда рекомендуется не активизировать оповещения о тревогах IDS в течение нескольких месяцев после инсталляции.
3.3 IPv6 как сильное влияние на конструкцию межсетевого экранаИз всех новшеств, которые появились в ближайшие несколько лет, самое сильное влияние на конструкцию межсетевых экранов окажет одно - новое поколение протокола IP.
Текущей, четвертой версии протокола IP (или IPv4) уже почти 20 лет, и ее возраст начинает сказываться. Адресное пространство IPv4 быстро исчерпывается. Хакеры постоянно находят новые способы эксплуатации слабостей протокола и основанных на нем служб. Новые службы могли бы быть более надежными, если бы таким был сам протокол, лежащий в основе Интернет. Очевидно, что по всем этим и другим причинам в ближайшем будущем произойдет переход на новую, шестую версию протокола IP (IPv6). Работа над IPv6 началась в начале 90-х, а первый предложенный стандарт был одобрен в ноябре 1994 года в документе RFC 1752 «The Recommendation for the IP Next Generation Protocol».
IPv6 сможет взаимодействовать с IPv4, и скорее всего развертывание IPv6 произойдет путем плавной замены, в процессе которой оба протокола будут мирно сосуществовать.
Совместная работа IPv4 и IPv6
Как будет обеспечиваться возможность совместной работы IPv4 и IPv6 в одной сети? В настоящий момент для этого предлагается два метода. Первый из них состоит в использовании в системах с IPv6 двух различных стеков протоколов, одного для IPv4, а другого для IPv6. Их выбор будет определяться типом протокола, применяемого на узле, с которым устанавливается соединение. Второй метод заключается в туннелировании пакетов IPv6 внутри пакетов IPv4 при обмене данными между компьютерами с IPv6 по маршруту, содержащему компьютеры с IPv4.
Заголовок IPv6
Длина нового заголовка IP-пакета равна 40 байтам. Благодаря тому, что эта величина фиксирована, сетевые устройства смогут обрабатывать пакеты намного быстрее. На рис. 3.2 видно, что новый заголовок содержит меньше полей, чем заголовок IPv4.
Кроме уменьшения количества полей, самым заметным отличием заголовка IPv6 является больший размер полей адреса. Поля отправителя и получателя имеют 128 бит, что позволит создать достаточное количество адресов для уникальной идентификации каждой песчинки на планете. Этого должно хватить, по крайней мере, еще на несколько лет.
| Версия | Класс трафика | Метка потока | ||
| Длина данных | Следующий заголовок | Счетчик сегментов | ||
| Адрес отправителя | ||||
| Адрес получателя | ||||
Рис. 3.2. Длина заголовка IPv6 фиксирована и равна 40 байтам
Следующие поля заголовка IPv4 были исключены из заголовка IPv6:
· поля, относящиеся к фрагментации, такие как Fragment Offset (Смещение фрагмента) и Identification (Идентификатор), а также флаги Don't Fragment (Запрет фрагментации) и More Fragments (Флаг фрагментации);
· поле контрольной суммы;
· поле параметров.
Для увеличения скорости обработки пакетов в IPv6 было решено отказаться от их фрагментации. Очередной маршрутизатор, не способный передать дальше слишком большой пакет, не станет разбивать его на фрагменты, которые придется собирать на принимающем конце. Вместо этого пакет будет отброшен, а маршрутизатор вернет новое сообщение ICMP (Packet Too Big - слишком большой размер пакета) отправителю, который сможет самостоятельно разбить сообщение на более мелкие пакеты.
Дальнейшей попыткой увеличить скорость обработки пакетов в IPv6 является отказ от поля контрольной суммы пакета. Каждый маршрутизатор на пути пакета должен заново определять значение данного поля, так как счетчик сегментов в поле TTL уменьшается на каждом новом узле. Поскольку контрольная сумма вычисляется в лежащем в основе IP канальном уровне, а также в протоколах TCP и UDP, удаление этого поля из IP-заголовка не вызовет никаких проблем.
Новые сообщения ICMP
Протокол IP с помощью сообщений ICMP выполняет множество функций, наиболее известной из которых является проверка доступности узла удаленной сети утилитой PING, которая посылает для этого эхо сообщения ICMP. Как и протокол IP, ICMP будет расширен, чтобы идти в ногу со временем. Кроме изменений, связанных с введением IPv6, в ICMP будут включены функции протокола Internet Group Management Protocol (IGMP, протокола управления группами Internet).
С полем Options (Параметры) ситуация другая. Это поле переменной длины было убрано из IP-заголовка, чтобы его длина оказалась зафиксированной, но это не означает, что удалены также и параметры. Они могут быть заданы в поле Next Header (Следующий протокол), которое обычно обозначает другой протокол, такой как TCP или UDP. В этом случае параметры помещаются в область данных пакета, а в поле Next Header содержится указатель их положения. Благодаря отсутствию параметров в заголовке пакета (и тем самым сохранению длины заголовка постоянным) IP-пакеты обрабатываются намного быстрее.
В новом заголовок IPv6 могут содержаться следующие поля:
· Version (Версия) - 4-битное поле, обозначающее, как и в IPv4, версию протокола IP. В IPv6 всегда имеет значение 6;
· Traffic Class (Класс трафика) - 8-битное поле, предназначенное для тех же целей, что и поле Type of Service (Тип службы) в заголовке IPv4, хотя его спецификации еще не устоялись;
· Flow Label (Метка потока) - используется для обозначения различных потоков (flows) трафика. Позволяет задавать приоритеты обработки потоков. Окончательного определения потока еще нет. Это может быть более дорогостоящий трафик, либо трафик с аудио- или видеоданными;
· Payload Length (Длина данных) - 16-битное поле, указывающее число байт в блоке данных, который идет после заголовка;
· Next Header (Следующий заголовок) - служит для определения протокола более высокого уровня, которому IP передаст пакет для дальнейшей обработки. В данном поле применяются те же номера протоколов, что и в IPv4;
· Hop Limit (Счетчик сегментов) - максимально допустимое число сегментов. Каждый маршрутизатор, через который проходит пакет, уменьшает значение этого поля на единицу. Когда значение счетчика становится равным нулю, пакет отбрасывается;
· Source Address (Адрес отправителя) — 128-битное поле с адресом отправителя пакета;
· Destination Address (Адрес получателя) - 128-битное поле с адресом получателя пакета.
Расширенные заголовки
Поле Next Header в 40-байтном заголовке фиксированной длины служит для обозначения типа заголовка, который будет расположен в начале области данных IP-пакета. Вспомним, что внутри пакета IP обычно находится пакет протокола более высокого уровня, такого как TCP или UDP, который имеет собственный заголовок. За счет применения IP-заголовка фиксированной длины обработка пакетов на маршрутизаторах и других сетевых устройствах намного ускоряется. Но поскольку некоторые поля были исключены из заголовка, для выполнения их функций должны быть предусмотрены другие методы.
Поэтому было разработано несколько типов так называемых расширенных заголовков (extension headers), которые также могут находиться в начале области данных IP-пакета. При этом поле Next Header указывает на расширенный заголовок. В качестве подобных заголовков допускается указывать следующие:
· Hop-by-Hop Options (Параметры, проверяемые на каждом узле);
· Fragmentation (Фрагментация);
· Routing (Маршрутизация);
· Authentication (Аутентификация);
· Security Encapsulation (Защита содержания);
· Encapsulation Security Payload (Безопасное закрытие содержания);
· Destination Options (Параметры получателя).
Первый тип расширенного заголовка (проверяемые на каждом узле параметры) обозначается нулевым значением поля Next Header. В этом заголовке находится информация, которую должна контролировать каждая система на пути пакета. На настоящий момент определен лишь один подобный параметр - Jumbo Payload (Большой пакет), то есть IP-пакет размером более 65535 байт. Взглянув на формат расширенного заголовка (рис. 3.3), мы увидим, что он, как и заголовок IPv6, содержит поле Next Header. Это позволяет вводить несколько расширенных заголовков, каждый из которых указывает на следующий.
Расширенному заголовку Fragmentation соответствует значение поля Next Header, равное 44, и этот заголовок вводится в том случае, если отправитель пакета понимает, что для передачи по сети сообщение должно быть фрагментировано. IPv6 пакеты не фрагментируются - эта возможность была удалена для ускорения обработки IP-пакетов. Любая фрагментация сообщения выполняется отправителем пакета, и данный расширенный заголовок предназначен для хранения информации об этом процессе, чтобы принимающий узел был способен корректно собрать сообщение.
Рис. 3.3. Формат расширенного заголовка
Функции расширенного заголовка Routing (значение поля Next Header для которого равно 43) аналогичны маршрутизации от источника в IPv4. Здесь в заголовке задается один или несколько узлов, через которые должен пройти пакет на своем пути к месту назначения.
Расширенный заголовок Destinations Options (значение поля Next Header для которого равно 60) предназначен для записи информации, которую проверяет только получатель.
Значение 59 в поле Next Header говорит о том, что больше не осталось расширенных заголовков, которые необходимо проверить. Если размер области данных, указанный в поле Payload Length, превышает это значение, байты, оставшиеся после обнаружения заголовка с таким значением, будут игнорироваться.
Адресация IPv6
При переходе от 32 бит к 128 битам адресное пространство IPv6 астрономически увеличится по сравнению с IPv4.
В IPv6 существует три основных типа адресов:
· unicast (индивидуальный) - уникальный идентификатор определенного сетевого интерфейса;
· anycast (любой) - обозначает несколько интерфейсов. Пакет, направленный на адрес типа anycast, будет передан на ближайший интерфейс (определенный используемым протоколом маршрутизации), заданный этим адресом;
· multicast (групповой) - также указывает на несколько интерфейсов. Но в отличие от случая с адресом типа anycast, пакет, отправленный на адрес типа multicast, пересылается всем интерфейсам, обозначенным этим адресом.
Несмотря на то, что адрес типа unicast является уникальным идентификатором сетевого интерфейса, один интерфейс может иметь несколько unicast-адресов. Широковещательных (broadcast) адресов больше нет - их функциональность унаследовал тип адресов multicast.
Заключения
Ознакомившись с описанными проблемами, можно сделать вывод, что межсетевые экраны обеспечивают защиту компьютерной сети организации от несанкционированного вмешательства. Межсетевые экраны являются необходимым средством обеспечения информационной безопасности. Они обеспечивают первую линию обороны. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. Выбрать нужную архитектуру и компонентов межсетевого экрана. Правильно настроить программную обеспечению и тестировать конфигурацию межсетевого экрана.
Список сокращений и обозначений
| КСО | Компьютерный сеть организации |
| ИБ | Информационная безопасность |
| ОС | Операционная Система |
| ПО | Программное Обеспечение |
| НСД | Несанкционированный доступ |
| СОИБ | Система обеспечения информационной безопасности |
| СУБД | Система управлением база данных |
| ЦП | Центральный Процессор |
| CA | Certification Authority |
| CGI | Common Gateway Interface |
| DHCP | Dynamic Host Configuration Protocol |
| DMZ | Demilitarized Zone |
| DNS | Domain Name System |
| DoS | Denial of Service |
| DSA | Digital Signature Algorithm |
| FTP | File Transport Protocol |
| GUI | Graphical User Interface |
| HTML | Hyper Text Markup Language |
| HTTP | Hyper Text Transfer Protocol |
| IDS | Intrusion Detection System |
| IIS | Internet Information Services |
| KSK | Key Signing Key |
| MAC | Media Access Control |
| MAC | Message Authentication Code |
| MD5 | Message Digest v5 |
| NAT | Network Address Translation |
| NTP | Network Time Protocol |
| NTP | Network Time Protocol |
| OSI | Open System Interconnection |
| PKI | Public Key Infrastructure |
| RSA | Rivest, Shamir, Adleman |
| SEP | Secure Entry Point |
| SHA | Secure Hash Algorithm |
| SMTP | Simple Mail Transfer Protocol |
| SSH | Secure Shell |
| SSL | Secure Socket Layer |
| TOS | Trusted ОС |
| VPN | Virtual Private Network |
| URL | Uniform Resource Locator |
| REP | Robots Exclusion Standard |
| IE | Internet Explorer |
| SSI | Server Side Includes |
| ASP | Active Server Pages |
| ISP | Internet Service Provider |
Список использованных источников литературы
1. О.Р. Лапонина. Межсетевое экранирование. «ИНТУИТ», М., 2009;
2. Т.В. Оглтри. Firewalls. Практические применение межсетевых экранов. «ДМК», М., 2008;
3. Девид Чемпен, Энди Фокс. Брандмауэры Cisco Secure PIX. «Вильямс», М., 2009;
4. Т.А. Биячуев. Безопасность корпоративных сетей. Спб., 2008;
5. А.Ю. Щеглов. Защита компьютерной сети от несанкционированного доступа. «НиТ», Спб., 2009;
6. Р. Зиглер. Брандмауэры в Linux. «Вильямс», М., 2009;
7. Журнал «Chip», июль 2007;
8. Журнал «Проблемы информационной безопасности», апрель 2008;
9. Яковлев. Лекция «Межсетевой экраны» 2009;
Интернет ресурсы
1. http://securitylab.ru
2. http://cisco.com
3. http://zonealarm.com
4. http://hub.ru
5. http://opennet.ru
6. http://infosecurity.ru
7. http://osp.ru
8. http://www.security-teams.net
9. http://www.oszone.ru
10. http://www.secure.com.ru
0 комментариев