Московскийгуманитарный университет экономики и права
Дипломная работа
Тема:
«Анализпроблем информационной безопасности в компьютерной сети, организацииподключенной к сети Интернтет»
«Допущена к защите»
Декан финансово-учетногофакультета
В.А. Дьеченко
Студент: Федин М.Ф.
Москва
2009
Содержание
Введение
1. Анализ проблеминформационной безопасности в компьютерной сети организации подключенной к сетиИнтрентет. Современные подходы к их решению
1.1 Проблемыинформационной безопасности современных компьютерных сетей организации
1.2 Вопросыинформационных безопасности интернет – сервисов
1.3 Методы защитыкомпьютерной сети организации от НСД из сети Интернет. Применение межсетевыхэкранов
2. Теоретические вопросыпостроения межсетевых экранов
2.1 Архитектуры межсетевыхэкранов
2.2 Классификациямежсетевых экранов
2.3 Различные типыокружений межсетевых экранов
2.4 Уровень защищенностимежсетевых экранов
2.5 Виртуальные частныесети (VPN)
3. Предложение посовершенствованию защиты компьютерной сети организации за счет внедрениемежсетевого экрана
3.1 Правильный выбормежсетевых экранов для защиты информации КСО
3.2 Intrusion DetectionSystems (IDS)
3.3 IPv6 как сильноевлияние на конструкцию межсетевого экрана
Заключения
Список сокращений иобозначений
Список использованныхисточников литературы
Введение
Компьютеры,сети, Интернет стали неотъемлемой частью нашей повседневной жизни. Нашбыстроразвивающийся, насыщенный технологиями мир с каждым днем все большестановится зависимым от компьютерных технологий и сетей. Однако эта зависимостьвозникла не внезапно. С каждым годом финансирование компьютерных технологийзначительно возрастало, и неудивительно, что эти технологии прониклипрактически во все сферы деятельности человека.
На зареразвития компьютерных технологий большинство людей не могли представить,насколько широко эти технологии будут использоваться в самом недалеком будущем.Поэтому, наверное, многие не решались уделять много времени и усилий дляосвоения того, что, в конце концов, могло оказаться обыкновенной забавой. Посравнению с требованиями современного рынка труда количество людей, работавшихв то время в области компьютерных технологий, было ничтожно мало. Люди,работавшие в этом тесном сообществе, были хорошо знакомы и доверяли друг другу.Кроме того, в это сообщество допускались только избранные, которые заслуживалидоверия. Таким образом, в те времена проблемы безопасности в областикомпьютерных технологий практически отсутствовали. И достаточно долгое времяспециалисты в области компьютерных технологий не уделяли внимания безопасностикомпьютерных сетей.
Внастоящее время огромное количество сетей объединено посредством Интернет.Поэтому очевидно, что для безопасной работы такой огромной системы необходимопринимать определенные меры безопасности, поскольку практически с любогокомпьютера можно получить доступ к любой сети любой организации, причемопасность значительно возрастает по той причине, что для взлома компьютера кнему вовсе не требуется физического доступа.
Согласноданным, полученным Институтом компьютерной безопасности (Computer SecurityInstitute) в результате недавно проведенного исследования, у 70% организацийбыли взломаны системы сетевой защиты, кроме того, 60% выявленных попытоквзломов исходили из внутренних сетей организаций.
Учитываяэти факты, можно с уверенностью сказать, что проблема безопасности сетейостается неразрешенной и на сегодняшний день, поскольку у подавляющегобольшинства компаний не решены вопросы обеспечения безопасности, в результатечего они несут финансовые убытки.
Помимокражи информации, опасность могут представлять атаки типа «отказ вобслуживании» и кража услуг.
Небольшиеорганизации, до подключения к сети Интернет не сталкивавшиеся с вопросамизащиты информации, часто оказываются полностью неподготовленными к изменившейсяситуации. Во многих случаях пользователи корпоративных сетей даже неподозревают о том, что их данные неожиданно оказались доступны любомупользователю Интернет
Однимиз решений проблем безопасности подключения к сети Интернет является применениемежсетевых экранов. Межсетевой экран — это программно-аппаратная система,находящаяся в точке соединения внутренней сети организации и Интернет иосуществляющая контроль передачи данных между сетями.
1. Анализ проблем информационной безопасности в компьютерной сетиорганизации подключенной к сети Интрентет. Современные подходы к их решению1.1 Проблемы информационной безопасности современных компьютерныхсетей организации
Новыеинформационные технологии активно внедряются во все сферы народного хозяйства.Появление локальных и глобальных сетей передачи данных предоставилопользователям компьютеров новые возможности оперативного обмена информацией.Если до недавнего времени подобные сети создавались только в специфических иузконаправленных целях (академические сети, сети военных ведомств и т.д.), торазвитие Интернета и аналогичных систем привело к использованию глобальныхсетей передачи данных в повседневной жизни практически каждого человека.
По мереразвития и усложнения средств, методов и форм автоматизации процессов обработкиинформации повышается зависимость общества от степени безопасности используемыхим информационных технологий.
Актуальностьи важность проблемы обеспечения информационной
Безопасностиобусловлены следующими факторами:
• Современные уровни и темпы развитиясредств информационной безопасности значительно отстают от уровней и темповразвития информационных технологий.
• Высокие темпы роста парка персональныхкомпьютеров, применяемых в разнообразных сферах человеческой деятельности.Согласно данным исследований компании Gartner Dataquest в настоящее время вмире более миллиарда персональных компьютеров. А следующий миллиард будетдостигнут уже в 2009 году.
• Резкое расширение круга пользователей,имеющих непосредственный доступ к вычислительным ресурсам и массивам данных;
Доступностьсредств вычислительной техники, и, прежде всего персональных ЭВМ, привела краспространению компьютерной грамотности в широких слоях населения. Это, в своюочередь, вызвало многочисленные попытки вмешательства в работу государственныхи коммерческих систем, как со злым умыслом, так и из чисто «спортивногоинтереса». Многие из этих попыток имели успех и нанесли значительный уронвладельцам информации и вычислительных систем. По неофициальным данным до 70%всех противо нарушений, совершаемых так называемыми хакерами, приходится надолю script-kiddies, в дословном переводе – дети, играющиеся со скриптами.Детьми их называют, потому что они не являются специалистами в компьютерных технологиях,но умеют пользоваться готовыми программными средствами, которые достают нахакерских сайтах в Интернете, для осуществления деструктивных действий.
• Значительное увеличение объемовинформации, накапливаемой, хранимой и обрабатываемой с помощью компьютеров идругих средства автоматизации;
Пооценкам специалистов в настоящее время около 70-90% интеллектуального капиталакомпании хранится в цифровом виде – текстовых файлах, таблицах, базах данных.
• Многочисленные уязвимости в программныхи сетевых платформах;
Стремительноеразвитие информационных технологий открыло новые возможности для бизнеса,однако привело и к появлению новых угроз. Современные программные продуктыиз-за конкуренции попадают в продажу с ошибками и недоработками. Разработчики,включая в свои изделия всевозможные функции, не успевают выполнить качественнуюотладку создаваемых программных систем. Ошибки и недоработки, оставшиеся в этихсистемах, приводят к случайным и преднамеренным нарушениям информационнойбезопасности. Например, причинами большинства случайных потерь информацииявляются отказы в работе программно-аппаратных средств, а большинство атак накомпьютерные системы основаны на найденных ошибках и недоработках в программномобеспечении. Так, например, за первые полгода после выпуска сервернойоперационной системы компании Microsoft Windows Server 2003 было обнаружено 14уязвимостей, 6 из которых являются критически важными. Несмотря на то, что современем Microsoft разрабатывает пакеты обновления, устраняющие обнаруженныенедоработки, пользователи уже успевают пострадать от нарушений информационнойбезопасности, случившихся по причине оставшихся ошибок. Такая же ситуация имеетместо и с программными продуктами других фирм. Пока не будут решены эти многиедругие проблемы, недостаточный уровень информационной безопасности будетсерьезным тормозом в развитии информационных технологий.
• Бурное развитие глобальной сетиИнтернет, практически не препятствующей нарушениям безопасности системобработки информации во всем мире.
Подобнаяглобализация позволяет злоумышленникам практически из любой точки земного шара,где есть Интернет, за тысячи километров, осуществлять нападение накорпоративную сеть.
• Современные методы накопления,обработки и передачи информации способствовали появлению угроз, связанных свозможностью потери, искажения и раскрытия данных, адресованных илипринадлежащих конечным пользователям.
Например,в настоящее время в банковской сфере свыше 90% всех преступлений связано сиспользованием автоматизированных систем обработки информации.
Подугрозой безопасности понимается возможная опасность (потенциальная или реальносуществующая) совершения какого-либо деяния (действия или бездействия),направленного против объекта защиты (информационных ресурсов), наносящего ущербсобственнику или пользователю, проявляющегося в опасности искажения, раскрытияили потери информации.
Реализациятой или иной угрозы безопасности может преследовать следующие цели:
• нарушение конфиденциальностиинформации. Информация, хранимая и обрабатываемая в компьютерной сетиорганизации (КСО), может иметь большую ценность для ее владельца. Ееиспользование другими лицами наносит значительный ущерб интересам владельца;
• нарушение целостности информации.Потеря целостности информации (полная или частичная, компрометация,дезинформация) — угроза близкая к ее раскрытию. Ценная информация может бытьутрачена или обесценена путем ее несанкционированного удаления или модификации.Ущерб от таких действий может быть много больше, чем при нарушении конфиденциальности;
• нарушение (частичное или полное)работоспособности КСО (нарушение доступности). Вывод из строя или некорректноеизменение режимов работы компонентов КСО, их модификация или подмена могутпривести к получению неверных результатов, отказу КСО от потока информации илиотказам при обслуживании. Отказ от потока информации означает непризнание однойиз взаимодействующих сторон факта передачи или приема сообщений. Имея в виду,что такие сообщения могут содержать важные донесения, заказы, финансовые согласованияи т.п., ущерб в этом случае может быть весьма значительным.
Поэтомуобеспечение информационной безопасности компьютерных систем и сетей являетсяодним из ведущих направлений развития информационных технологий.
Корпоративнаяинформационная система (сеть) — информационная система, участниками которойможет быть ограниченный круг лиц, определенный ее владельцем или соглашениемучастников этой информационной системы (из закона об Электронно-цифровойподписи).
Компьютерныесети организации (КСО) относятся к распределенным компьютерным системам,осуществляющим автоматизированную обработку информации. Проблема обеспеченияинформационной безопасности является центральной для таких компьютерных систем.Обеспечение безопасности КСО предполагает организацию противодействия любомунесанкционированному вторжению в процесс функционирования КСО, а также попыткаммодификации, хищения, вывода из строя или разрушения ее компонентов, то естьзащиту всех компонентов КСО – аппаратных средств, программного обеспечения, данныхи персонала.
Рассмотрим,как в настоящее время обстоит вопрос обеспечения ИБ на предприятии связи.Исследовательская компания Gartner Group выделяет 4 уровня зрелости компании сточки зрения обеспечения информационной безопасности (ИБ):
0уровень:
ИБ вкомпании никто не занимается, руководство компании не осознает важности проблемИБ;
Финансированиеотсутствует;
ИБреализуется штатными средствами операционных систем, СУБД и приложений(парольная защита, разграничение доступа к ресурсам и сервисам).
Наиболеетипичным примером здесь является компания с небольшим штатом сотрудников,занимающаяся, например, куплей/продажей товаров. Все технические вопросынаходятся в сфере ответственности сетевого администратора, которым частоявляется студент. Здесь главное, что бы все работало.
1уровень:
ИБрассматривается руководством как чисто «техническая» проблема,отсутствует единая программа (концепция, политика) развития системы обеспеченияинформационной безопасности (СОИБ) компании;
Финансированиеведется в рамках общего ИТ — бюджета;
ИБреализуется средствами нулевого уровня + средства резервного копирования,антивирусные средства, межсетевые экраны, средства организации VPN(традиционные средства защиты).
2 и3 уровни:
ИБрассматривается руководством как комплекс организационных и техническихмероприятий, существует понимание важности ИБ для производственных процессов,есть утвержденная руководством программа развития СОИБ компании;
Финансированиеведется в рамках отдельного бюджета;
ИБреализуется средствами первого уровня + средства усиленной аутентификации,средства анализа почтовых сообщений и web контента, IDS (системы обнаружениявторжений), средства анализа защищенности, SSO (средства однократнойаутентификации), PKI (инфраструктура открытых ключей) и организационные меры(внутренний и внешний аудит, анализ риска, политика информационнойбезопасности, положения, процедуры, регламенты и руководства).
3уровень отличается от 2-го следующим:
ИБявляется частью корпоративной культуры, назначен CISA (старший офицер повопросам обеспечения ИБ);
Финансированиеведется в рамках отдельного бюджета, который согласно результатам исследованийаналитической компании Datamonitor в большинстве случаев составляет не более 5%ИТ бюджета;
ИБреализуется средствами второго уровня + системы управления ИБ, CSIRT (группареагирования на инциденты нарушения ИБ), SLA (соглашение об уровне сервиса).
Такимобразом, серьезный подход к вопросам обеспечения ИБ появляется только на 2-ми3-м уровнях. А на 1-м и частично 0-м уровне зрелости согласно даннойклассификации имеет место так называемый «фрагментарный» подход к обеспечениюИБ. «Фрагментарный» подход направлен на противодействие четко определеннымугрозам в заданных условиях. В качестве примеров реализации такого подходаможно указать отдельные средства управления доступом, автономные средствашифрования, специализированные антивирусные программы ит.п.
Достоинствоэтого подхода заключается в высокой избирательности к конкретной угрозе.Существенным недостатком подхода является отсутствие единой защищенной средыобработки информации. Фрагментарные меры защиты информации обеспечивают защитуконкретных объектов КС только от конкретной угрозы. Даже небольшое видаизменение угрозы ведет к потере эффективности защиты.
Такихкомпаний по статистике Gartner – 85%.(0 – 30 %, 1 – 55%) по состоянию на 2005.
Болеесерьезные организации, соответствующие 2-му и 3-му уровням зрелостиклассификации Gartner, применяют «комплексный» подход к обеспечению ИБ. Этот жеподход предлагают и крупные компании, профессионально занимающиеся защитойинформации.
Комплексныйподход основывается на решении комплекса частных задач по единой программе.Этот подход в настоящее время является основным для создания защищенной средыобработки информации в корпоративных системах, сводящей воедино разнородныемеры противодействия угрозам. Сюда относятся правовые, морально этические,организационные, программные и технические способы обеспечения информационнойбезопасности. Комплексный подход позволил объединить целый ряд автономныхсистем путем их интеграции в так называемые интегрированные системыбезопасности.
Методырешения задач обеспечения безопасности очень тесно связаны с уровнем развитиянауки и техники и, особенно, с уровнем технологического обеспечения. Ахарактерной тенденцией развития современных технологий является процесстотальной интеграции. Этой тенденцией охвачены микроэлектроника и техникасвязи, сигналы и каналы, системы и сети. В качестве примеров можно привестисверхбольшие интегральные схемы, интегральные сети передачи данных,многофункциональные устройства связи ит. п.
Дальнейшимразвитием комплексного подхода или его максимальной формой являетсяинтегральный подход, основанный на интеграции различных подсистем обеспечениябезопасности, подсистем связи в единую интегральную систему с общимитехническими средствами, каналами связи, программным обеспечением и базамиданных. Интегральный подход направлен на достижение интегральной безопасности.Основной смысл понятия интегральной безопасности состоит в необходимостиобеспечить такое состояние условий функционирования корпорации, при котором онанадежно защищена от всех возможных видов угроз в ходе всего непрерывногопроизводственного процесса. Понятие интегральной безопасности предполагаетобязательную непрерывность процесса обеспечения безопасности, как во времени,так и в пространстве (по всему технологическому циклу деятельности) собязательным учетом всех возможных видов угроз (несанкционированный доступ,съем информации, терроризм, пожар, стихийные бедствия ит. д.).
В какойбы форме ни применялся комплексный или интегральный подход, он всегда направленна решение ряда частных задач в их тесной взаимосвязи с использованием общихтехнических средств, каналов связи, программного обеспечения. Например,применительно к информационной безопасности наиболее очевидными из них являютсязадачи ограничения доступа к информации, технического и криптографическогозакрытия информации, ограничения уровней паразитных излучений техническихсредств, охраны и тревожной сигнализации. Однако необходимо решение и других,не менее важных задач. Так, например, выведение из строя руководителейпредприятия, членов их семей или ключевых работников должно поставить подсомнение само существование данного предприятия. Этому же могут способствоватьстихийные бедствия, аварии, терроризм и т. п. Поэтому объективно обеспечитьполную безопасность информации могут лишь интегральные системы безопасности,индифферентные к виду угроз безопасности и обеспечивающие требуемую защитунепрерывно, как во времени, так и в пространстве, в ходе всего процессаподготовки, обработки, передачи и хранения информации.1.2 Вопросы информационных безопасности интернет – сервисов
Всемирнаяпаутина World Wide Web
WWWстала одной из основных причин взрывного расширения Интернет в последние годы.Причиной ее популярности стала возможность интерактивного доступа к даннымразных типов, в том числе гипертексту, графике, аудио, видео и т.д. World wideweb представляет собой множество HTTP-серверов в Интернет.
Проблемыбезопасности HTTP-клиентов связаны с их расширяемостью. Поскольку web-серверыпредоставляют данные во многих форматах (обычный текст, HTML, графические файлыgif и jpeg, аудио файлы и др.), для воспроизведения различных форматов браузерывызывают внешние приложения. Например, для просмотра файла формата MicrosoftWord, браузер вызовет Microsoft Word. Как правило, браузеры предупреждаютпользователя о том, что для открытия файла будет вызвана внешняя программа итребуют подтверждения, и, также как правило, пользователи не обращают вниманияна эти предупреждения. При том что многие форматы данных могут включатьисполняемый код, как, например, макросы в документах Microsoft Word и MicrosoftExcel, простой просмотр с виду безобидных материалов может привести кисполнению произвольного кода на машине пользователя от его имени.
Следуеттакже принимать во внимание существование “активных компонент” (activecontent), таких как Java-апплеты, Javascript, ActiveX и т.п., которые такжесодержат код, выполняемый от имени пользователя. Вопросы безопасности “активныхкомпонент” выходят, далеко за рамки данной работы и за их рассмотрением следуетобратиться к работе.
Простогорешения проблем безопасности, связанных с активными компонентами и другимисполняемым кодом, загружаемым, из www не существует. Методы борьбы спроблемами включают в себя обучение пользователей и объяснение им проблембезопасности, связанных с загружаемым из сети исполняемым кодом, отключение вклиентском программном обеспечении возможности исполнения загружаемых активныхкомпонент, своевременное обновление клиентского ПО для исправления замеченных внем ошибок и т.п.
Электроннаяпочта
Электроннаяпочта является широко распространенной и интенсивно используемой службой. Самапо себе она представляет сравнительно небольшой риск, но, тем не менее, егоследует учитывать.
Основныепроблемы, связанные с электронной почтой:
• подделка электронной почты. ПротоколSMTP, используемый для передачи электронной почты в Интернет не предоставляетсредств аутентификации отправителя. Адрес отправителя письма может быть легкоподделан. Подделка электронной почты может использоваться для атак типа«social engineering». Например, пользователь получает письмо якобы отсистемного администратора с просьбой сменить пароль на указанный в письме.
• передача исполняемого кода в почтовыхсообщениях. Электронная почта позволяет передавать данные разных типов, в томчисле программы, а также документы, содержащие макросы. Вместе с подделкойадреса отправителя это может использоваться для всевозможных атак. Приведу двапримера. Пользователь получает письмо от Santa.Claus@northpole.org, в которомсодержится поздравление с Новым Годом и «подарок» — программа,которую предлагается запустить. Запущенная программа рисует на экране,например, новогоднюю елку с мигающей гирляндой. Пользователь пересылает этопоздравление всем своим друзьям и знакомым. Программа, рисующая елку, помимоэтого инсталлирует программу удаленного управления, и сообщает о результате своемусоздателю. Второй пример. Системный администратор получает письмо от фирмы — производителя используемого в компании программного обеспечения, с сообщением,что в этом программном обеспечении найдена опасная ошибка и с исправлением,которое следует срочно установить. Результат аналогичен первому примеру.
• перехват почтовых сообщений.Электронная почта передается через Интернет в незашифрованном виде и может бытьперехвачена и прочитана.
• Спам. Спамом называется массоваярассылка сообщений рекламного характера. В отличие от обычной рекламы нателевидении или радио, за которую платит рекламодатель, оплата передачи спамаложится на получателя. Обычно спаммеры используют следующую схему: сподключения по коммутируемой линии устанавливается SMTP-соединение с хостом, накотором разрешена пересылка почты на любые хосты (open mail relay — открытыйрелей). На него посылается письмо со множеством адресатов и, как правило, споддельным адресом отправителя. Хост, оказавшийся жертвой, пересылаетполученное сообщение всем адресатам. В результате, затраты на рассылку спамаложатся на получателей и хост, пересылающий почту. Интернет сервис провайдерыотрицательно относятся к спаму, поскольку он создает весьма существеннуюнагрузку на их системы и неудобства их пользователям. Поэтому многие провайдерывключают в договор о предоставлении услуг пользователям пункт о недопустимостиспама и отключают пользователей, замеченных в рассылке спама. Кроме того,многие провайдеры отключают прием почты с открытых релеев, замеченных впередаче спама. Системному администратору почтового сервера следует убедиться,что его система пересылает исключительно почту, адресованную ее пользователямили исходящую от ее пользователей, чтобы система не могла быть использованаспаммерами.
• ошибки в программном обеспечениипочтовых серверов. Серверы электронной почты (SMTP, POP3, IMAP) печальноизвестны множеством ошибок, приводившим к взлому систем. Sendmail, один изсамых распространенных SMTP-серверов заслужил репутацию самой«дырявой» программы, из когда-либо использовавшихся. За последние двагода были также найдены ошибки в распространенном POP3-сервере QUALCOMM qpopperи IMAP-сервере университета Вашингтона, которые позволяют удаленному взломщикуполучить привилегированный доступ (root) к системе. По сведениям CERT тысячи систембыли взломаны благодаря этим ошибкам. Системному администратору следуетвнимательно следить за сообщениями о найденных ошибках в почтовых серверах исвоевременно устанавливать исправленные версии.
FTP- протокол передачи файлов
ПротоколFTP используется для передачи файлов. Большинство web-броузеров прозрачноподдерживают FTP. Можно также использовать специальные FTP-клиенты.
Основнойпроблемой как и в случае www являются программы, выкачиваемые и устанавливаемыепользователями, которые могут носить вредоносный характер.
DNS- доменная система имен
DNS — доменнаясистема имен — производит преобразование имен в адреса и наоборот. Всепрограммы, которые используют для обращения к удаленным хостам имена, являютсяDNS-клиентами. В этом смысле, практически любая программа, использующаяIP-сети, включая web-броузеры, клиентские почтовые программы, FTP-клиенты, и т.п.используют DNS. Таким образом, DNS является основополагающей службой, которуюиспользуют другие службы для своей работы.
DNSработает следующим образом: клиент посылает запрос локальному серверу(например, запрашивает IP-адрес www.microsoft.com). Сервер проверяет, есть ли унего эта информация в кэше, и если нет, DNS-сервер запрашивает другиеDNS-сервера по очереди, чтобы получить ответ на запрос клиента. Когда DNS-серверполучает ответ, или решает, что ответ получить нельзя, он кэширует полученнуюинформацию и передает ответ клиенту.
ПосколькуDNS критична для работы других сервисов, система наделена избыточностью. Закаждый участок дерева имен отвечает один первичный (primary) и один и болеевторичных (secondary) серверов. Первичный сервер содержит основную копию информацииоб обслуживаемом участке (зоне). Все изменения в информацию о зоне вносятся напервичном сервере. Вторичные сервера периодически запрашивают «зоннуюпересылку» (zone transfer) и копируют себе зонную информацию первичногосервера. Таким образом, существует два типа обращений к DNS-серверу — клиентские запросы (lookups) и зонные пересылки (zone transfers).
DNS-сервериспользует порт 53. Клиентские запросы используют UDP в качестве транспорта.Если при пересылке клиентского запроса по UDP данные теряются, клиент повторяетзапрос по TCP. Для зонных пересылок всегда используется TCP.
Проблемыбезопасности DNS:
• Раскрытие информации. DNS можетсообщить потенциальному взломщику больше информации, чем следует, напримеримена и адреса внутренних серверов и рабочих станций.
• DNS spoofing. DNS подвержена атаке,подробно описанной в работе. Вкратце, суть ее в следующем: атакуемый хостразрешает доступ к некоторой своей службе доверяемому хосту с известным именем.Взломщик желает обмануть хост, предоставляющий сервис, представившись емудоверяемым хостом. Для этого взломщику необходимо контролировать обратную зону(преобразующую IP-адреса в имена) к которой относится хост, с которогопроводится атака. Прописав в ней соответствие своему IP-адресу имени доверяемогохоста, взломщик получает доступ к сервису, предоставляемому доверяемому хосту.Реализуется следующий сценарий: взломщик устанавливает соединение на атакуемыйхост. Атакуемый хост, чтобы убедиться, что запрос исходит от доверяемого хоста,запрашивает у DNS имя по IP-адресу. Поскольку авторитетным сервером для зоны, ккоторой относится IP-адрес взломщика, является сервер взломщика, запросадресуется к нему. Он в ответ сообщает имя доверяемого хоста.
• Cache Poisoning. Атака базируется наследующем свойстве: когда один DNS-сервер обращается к другому с запросом,отвечающий сервер, помимо запрашиваемой информации может сообщать дополнительнуюинформацию. Например, если запрашивается MX (mail exchanger) для некоторогодомена, отвечающий сервер помимо собственно MX записи передает также A-записидля всех mail exchanger'ов домена. Теперь рассмотрим такую ситуацию: взломщикимеет административный доступ к некоторому DNS-серверу, авторитетному поотношению к какому-нибудь домену. Взломщик модифицирует свой сервер такимобразом, что при ответе на запрос об определенной записи, сервер возвращаетнекоторую дополнительную запись. Взломщик обращается к атакуемому DNS-серверу сзапросом о своей особой записи. Сервер обращается с запросом к серверувзломщика, получает дополнительную запись и кэширует ее.
• Ошибки в программном коде DNS-сервера.В 1998 году в широко используемом DNS-сервере BIND было найдено несколькоошибок, одна из которых позволяла получить удаленному взломщикупривилегированный (root) доступ к системе. Эти ошибки были исправлены в следующихверсиях.
ПрочиеИнтернет — сервисы.
Помимоописанных выше достаточно стандартных служб, существует множество других, болееили менее распространенных или используемых. Отмечу основные проблемы,характерные для очень многих из них.
Аутентификация.Большинство электронных информационных сервисов (например, ICQ, IRC) не даетвозможности убедиться, что их участники действительно те, за кого себя выдают.Следует очень осторожно относиться к информации, полученной из не аутентифицированногоисточника.
Передачаисполняемого кода. Некоторые информационные службы (ICQ) позволяют пересылатьпроизвольные файлы, в том числе файлы с исполняемым кодом. Исполняемый код,полученный из непроверенного источника может содержать что угодно — вирусы,троянских коней и т.п.
Программныеошибки. Ошибки в программном обеспечении могут приводить к различным проблемам- от отказа в обслуживании до исполнения на машине пользователя злонамеренногопрограммного кода без его согласия и ведома.1.3 Методы защиты компьютерной сети организации от НСД из сетиИнтернет. Применение межсетевых экранов
Существуетнесколько подходов к решению проблемы защиты КСО подключенной к сети Интернетот НСД. Первый подход состоит в усилении защиты всех имеющихся систем, открытыхк доступу из Интернет. Этот подход называется «безопасность на уровнехоста». Он может включать в себя обучение пользователей и администраторовсистем работе в более недружелюбной среде, ужесточение политики парольнойзащиты (введение или ужесточение ограничений на минимальную длину, символьныйсостав и срок действия пароля) или введение не парольных методоваутентификации, ужесточение правил доступа к системам, ужесточение требований киспользуемому программному обеспечению, в том числе операционным системам, ирегулярная проверка выполнения всех введенных требований.
У этогоподхода есть несколько недостатков:
• для пользователей усложняются процедурыработы в системе, и возможно, некоторые действия к которым они привыкли, вообщезапрещены. Это может привести к снижению производительности пользователей, атакже к их недовольству.
• на администраторов системы ложитсяочень существенная дополнительная нагрузка по поддержке системы. Даже длясравнительно небольших систем, содержащих несколько десятков машин, задачаподдержания заданного уровня безопасности может потребовать непропорциональнобольших усилий.
• требования защиты могут, противоречитьтребованиям использования системы и одним из них придется отдать предпочтение вущерб другим. Как правило, требованиям к функциональности системы отдаетсяпредпочтение в ущерб требования защиты.
Достоинствомэтого подхода является то, что помимо проблемы защиты от «внешнеговрага» он также решает проблему внутренней безопасности системы. Посколькузначительная часть инцидентов (по некоторым данным до 80%), связанных сбезопасностью, исходит от сотрудников или бывших сотрудников компаний, этотподход может весьма эффективно повысить общую безопасность системы.
Второйподход является наиболее радикальным. В нем рабочая сеть компании физически несоединена с Интернет. Для взаимодействия с Интернет используется одна илинесколько специально выделенных машин, не содержащих никакой конфиденциальнойинформации. Достоинства этого подхода очевидны: поскольку рабочая сеть несоединена с Интернет, угроза НСД из сети Интернет для нее отсутствует впринципе. В то же время, этот подход имеет определенные ограничения инедостатки. Ограничением, во определенных случаях приемлемым, являетсяотсутствие доступа к Интернет с рабочих мест сотрудников. Недостатки этогоподхода проистекают из наличия незащищенных систем, подключенных к Интернет,которые могут подвергаться атакам типа «отказ в обслуживании», икраже услуг (в том числе могут быть использованы для взлома других систем).Вариацией этого подхода является разграничение по протоколам. Например, длядоступа к информационным ресурсам компании используется стек протоколовIPX/SPX, а для доступа в Интернет — TCP/IP. При этом, например, серверы NovellNetware, будут невидимы для взломщика и не могут быть атакованы напрямую изИнтернет. Этот подход также имеет определенные ограничения. Например, оннеприемлем для сети, в которой необходимо использование TCP/IP для доступа квнутренним ресурсам. Вторым его недостатком является то, что пользовательскиесистемы видимы и доступны из Интернет и могут быть использованы как плацдармдля последующей атаки на серверы.
Третийподход, называемый «безопасность на уровне сети» состоит в введениисредств ограничения доступа в точке соединения сетей. Этот подход позволяет сконцентрироватьсредства защиты и контроля в точках соединения двух и более сетей, например в точкесоединения КСО с Интернет. В этой точке находится специально выделенная система- межсетевой экран — которая и осуществляет контроль за информационным обменоммежду двумя сетями и фильтрует информацию в соответствии с заданными правилами,определяемыми политикой безопасности компании. Весь обмен данными, происходящиймежду сети Интернет и внутренней сетью, проходит через межсетевой экран.Организация может получить значительный выигрыш от такой модели безопасности.Единственная система, выполняющая роль межсетевого экрана, может защитить отнесанкционированного доступа десятки и сотни систем, скрытых за ней, безналожения на них дополнительных требований к безопасности. Достоинствами этогоподхода является концентрация средств защиты и контроля в одной точке,минимальное изменение внутренних процедур работы пользователей с информационнойсистемой, сравнительно большая простота администрирования и возможно большийуровень защиты. Ограничением этого подхода является то, что он предназначенисключительно для защиты от внешних угроз, исходящих от удаленных взломщиков.
Рассмотримтеперь типичную КСО с точки зрения применимости к ней вышеописанных методовзащиты. Как правило, она состоит из клиентских компьютеров под управлениемMicrosoft Windows XP или реже Windows NT Workstation, серверов MicrosoftWindows NT Server, Novell Netware и/или различных Unix-систем, и, возможно,другого сетевого оборудования, такого как сетевые принтеры, концентраторы,коммутаторы и маршрутизаторы с возможностью удаленного управления и т.п.
Использованиеисключительно модели безопасности на уровне хоста в этом случае может бытьнеприемлемым, по причине большой сложности (а возможно и невыполнимости)доведения уровня защиты используемых систем до необходимого уровня. Проблемыбезопасности в сетях на базе систем Microsoft были показаны выше. В случае,если использование для доступа к Интернет физически отделенной от основной сетисистемы неприемлемо, наиболее эффективным решением является использованиетехнологии межсетевых экранов.
Согласноопределению Государственной Технической Комиссии при Президенте РоссийскойФедерации “Межсетевой экран представляет собой локальное (однокомпонентное) илифункционально-распределенное средство (комплекс), реализующее контроль заинформацией, поступающей в автоматизированную систему и/или выходящей изавтоматизированной системы, и обеспечивает защиту автоматизированной системыпосредством фильтрации информации, т.е. ее анализа по совокупности критериев ипринятия решения о ее распространении в (из) автоматизированную систему”.Межсетевые экраны, при правильном их использовании, являются весьма эффективнымсредством защиты от угроз корпоративным сетям, исходящим из сети Интернет.
2. Теоретические вопросы построения межсетевых экранов 2.1 Архитектуры межсетевых экранов
Межсетевоеэкраны могут быть сконфигурированы в виде одной из нескольких архитектур, чтообеспечивает различные уровни безопасности при различных затратах на установкуи поддержание работоспособности. Организации должны проанализировать свойпрофиль риска и выбрать соответствующую архитектуру. Ниже описываются типичныеархитектуры межсетевого экрана и приводят примеры политик безопасности для них.
Хост,подключенный к двум сегментам сети
Этотакой хост, который имеет более одного интерфейса с сетью, причем каждыйинтерфейс с сетью подключен физически к отдельному сегменту сети. Самымраспространенным примером является хост, подключенный к двум сегментам.
Межсетевойэкран на основе хоста, подключенного к двум сегментам сети — это межсетевойэкран с двумя сетевыми платами, каждая из которых подключена к отдельной сети.Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая- с внутренней или безопасной сетью. В этой конфигурации ключевым принципомобеспечения безопасности является запрет прямой маршрутизации трафика из не довереннойсети в доверенную – межсетевой экран всегда должен быть при этом промежуточнымзвеном.
Маршрутизациядолжна быть отключена на межсетевом экране такого типа, чтобы IP-пакеты изодной сети не могли пройти в другую сеть.
Такаяконфигурация, наверное, является одной из самых дешевых и распространенных прикоммутируемом подключении ЛВС организации к сети Интернет. Берется машина, накоторую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме тогосоответствующим образом конфигурируется встроенный в ядро пакетный фильтр(ipfw).
Экранированныйхост
Приархитектуре типа экранированный хост используется хост (называемыйхостом-бастионом), с которым может установить соединение любой внешний хост, нозапрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этогофильтрующий маршрутизатор конфигурируется так, что все соединения с внутреннейсетью из внешних сетей направляются к хосту-бастиону.
Еслишлюз с пакетной фильтрацией установлен, то хост-бастион должен бытьсконфигурирован так, чтобы все соединения из внешних сетей проходили черезнего, чтобы предотвратить прямое соединение между компьютерной сетьюорганизации и сети Интернет.
Экранированнаяподсеть
Архитектураэкранированной сети по существу совпадает с архитектурой экранированного хоста,но добавляет еще одну линию защиты, с помощью создания сети, в которойнаходится хост-бастион, отделенной от внутренней сети.
Экранированнаяподсеть должна внедряться с помощью добавления сети-периметра для того, чтобыотделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атакина хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того,что между внутренней сетью и сетью-периметром находится еще один экранирующиймаршрутизатор.2.2 Классификация межсетевыхэкранов
Межсетевыеэкраны являются устройствами или системами, которые управляют потоком сетевоготрафика между сетями с различными требованиями к безопасности. В большинствесовременных приложений межсетевые экраны и их окружения обсуждаются в контекстесоединений в Интернете и, следовательно, использования стека протоколов TCP/IP.Однако межсетевые экраны применяются и в сетевых окружениях, которые не требуютобязательного подключения к Интернету. Например, многие корпоративные сетипредприятия ставят межсетевые экраны для ограничения соединений из и вовнутренние сети, обрабатывающие информацию разного уровня чувствительности,такую как бухгалтерская информация или информация о заказчиках. Ставямежсетевые экраны для контроля соединений с этими областями, организация можетпредотвратить неавторизованный доступ к соответствующим системам и ресурсамвнутри чувствительных областей. Тем самым, использование межсетевого экранаобеспечивает дополнительный уровень безопасности, который иначе не может бытьдостигнут.
Внастоящее время существует несколько типов межсетевых экранов. Одним изспособов сравнения их возможностей является перечисление уровней модели OSI,которые данный тип межсетевого экрана может анализировать- Модель OSI являетсяабстракцией сетевого взаимодействия между компьютерными системами и сетевымиустройствами. Рассмотрим только уровни модели OSI относящиеся к межсетевымэкранам. На рис. 2.1 показана стек протоколов модели OSI.
/> />
Рис.2.1.Стек протоколов модели OSI
Уровень1 представляет собой реальную аппаратуру физического соединения и среду, такуюкак Ethernet.
Уровень2 — уровень, на котором сетевой трафик передается по локальной сети (LAN). Онтакже является первым уровнем, обладающим возможностью адресации, с помощьюкоторой можно идентифицировать отдельную машину. Адреса назначаются на сетевыеинтерфейсы и называются MAC (Media Access Control) адресами. Ethernet — адрес,принадлежащий Ethernet-карте, является примером МАС — адреса уровня 2.
Уровень3 является уровнем, отвечающим за доставку сетевого трафика по WAN. В Интернетеадреса уровня 3 называются IP-адресами; адреса обычно являются уникальными, нопри определенных обстоятельствах, например, при трансляции сетевых адресов(NAT) возможны ситуации, когда различные физические системы имеют один и тот жеIP-адрес уровня 3.
Уровень4 идентифицирует конкретное сетевое приложение и коммуникационную сессию вдополнение к сетевым адресам; система может иметь большое число сессий уровня 4с другими ОС. Терминология, связанная с семейством протоколов TCP/IP, включаетпонятие портов, которые могут рассматриваться как конечные точки сессий: номерпорта источника определяет коммуникационную сессию на исходной системе; номерпорта назначения определяет коммуникационную сессию системы назначения. Болеевысокие уровни (5, 6 и 7) представляют приложения и системы конечногопользователя.
Мостиковыемежсетевые экраны
Данный классмежсетевого экрана, функционирующий на 2-м уровне модели OSI, известен также какпрозрачный (stealth), скрытый, теневой межсетевой экран.
Мостиковыемежсетевые экраны появились сравнительно недавно и представляют перспективное направлениеразвития технологий межсетевого экранирования. Фильтрация трафика имиосуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами(frame, кадр).
Кдостоинствам подобных межсетевых экранов можно отнести:
• Нетнеобходимости в изменении настроек корпоративной сети, не требуетсядополнительного конфигурирования сетевых интерфейсов межсетевого экрана.
• Высокаяпроизводительность. Поскольку это простые устройства, они не требуют больших затратресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для болееглубокого анализа данных.
• Прозрачность.Ключевым для этого устройства является его функционирование на 2 уровне моделиOSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность болееважна, чем легкость в настройке. Без IP-адреса это устройство не доступно всети и является невидимым для окружающего мира. Если такой межсетевой экраннедоступен, то как его атаковать? Атакующие даже не будут знать, что существуетмежсетевой экран, проверяющий каждый их пакет.
Фильтрующиемаршрутизаторы
Межсетевойэкран с фильтрацией пакетов (Packet — filtering firewall) — межсетевой экран, которыйявляется маршрутизатором или компьютером, на котором работает программное обеспечение,сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящихи исходящих пакетов. Фильтрация пакетов осуществляется на основе информации,содержащейся в TCP- IP-заголовках пакетов (адреса отправителя и получателя, их номерапортов и др.)
• Работают на 3 уровне
• Также известны, как межсетевой экран наоснове порта
• Каждый пакет сравнивается со спискамиправил (адрес источника/получателя, порт источника/получателя)
• Недорогой, быстрый (производительный всилу простоты), но наименее безопасный
• Технология 20-летней давности
• Пример: список контроля доступа (ACL,access control lists) маршрутизатора
Шлюзсеансового уровня
Шлюзсеансового уровня (Circuit-level gateway) — межсетевой экран, который исключаетпрямое взаимодействие между авторизированным клиентом и внешним хостом. Сначалаон принимает запрос доверенного клиента на определенные услуги и, после проверкидопустимости запрошенного сеанса, устанавливает соединение с внешним хостом. Нарис. 2.2 показано схема функционирование шлюза сеансового уровня.
/>
Рис. 2.2.Схема функционирование шлюза сеансового уровня
После этогошлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации.На этом уровне появляется возможность использования функции сетевой трансляции адресов(NAT, network address translation). Трансляция внутренних адресов выполняется поотношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетовIP-адреса компьютеров — отправителей внутренней сети автоматический преобразуютсяв один IP-адрес, ассоциируемый с экранирующим межсетевым экраном. В результате всепакеты, исходящие из внутренней сети, оказываются отправленными межсетевымэкраном, что исключает прямой контакт между внутренней и внешней сетью.IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом,который попадает во внешнюю сеть.
• Работает на 4 уровне
• Передает TCP подключения, основываясьна порте
• Недорогой, но более безопасный, чемфильтр пакетов
• Вообще требует работы пользователя илипрограммы конфигурации для полноценной работы
• Пример: SOCKS межсетевой экран
Шлюзприкладного уровня
Шлюзприкладного уровня (Application-level gateways) — межсетевой экран, который исключаетпрямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруявсе входящие и исходящие пакеты на прикладном уровне модели OSI. На рис. 2.3показано функционирование шлюза прикладного уровня.
/>
Рис.2.3.Схема функционирование шлюза прикладного уровня
Связанныес приложением программы-посредники перенаправляют через шлюз информацию, генерируемуюконкретными сервисами TCP/IP.
Возможности:
• Идентификацияи аутентификация пользователей при попытке установления соединения черезмежсетевой экран;
• Фильтрацияпотока сообщений, например, динамический поиск вирусов и прозрачное шифрованиеинформации;
• Регистрациясобытий и реагирование на события;
• Кэшированиеданных, запрашиваемых из внешней сети.
На этомуровне появляется возможность использования функций посредничества (Proxy).
Для каждогообсуживаемого протокола прикладного уровня можно вводить программныхпосредников – HTTP-посредник, FTP-посредник и т.д. Посредник каждой службыTCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихсяименно к этой службе. Также, как и шлюз сеансового уровня, прикладной шлюз перехватываетс помощью соответствующих экранирующих агентов входящие и сходящие пакеты, копируети перенаправляет информацию через шлюз, и функционирует в качествесервера-посредника, исключая прямые соединения между внутренней и внешней сетью.Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальныхпосредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюзасвязаны с конкретными приложениями программными серверами), а во-вторых, онимогут фильтровать поток сообщений на прикладном уровне модели МВОС.
Особенности:
• Работает на 7 уровне;
• Специфический для приложений;
• Умеренно дорогой и медленный, но болеебезопасный и допускает регистрацию деятельности пользователей;
• Требует работы пользователя илипрограммы конфигурации для полноценной работы;
• Пример: Web (http) proxy;/> />
Стек протоколов TCP/IP соотносится с уровнями моделиOSI следующим образом:
Рис. 2.4.Взаимосвязь уровней стека протоколов ТСР/IР и OSI
Современныемежсетевые экраны функционируют на любом из перечисленных уровней. На рис. 2.4показано взаимосвязь уровней стека протоколов TCP/IP и OSI. Первоначальномежсетевые экраны анализировали меньшее число уровней; теперь более мощные изних охватывают большее число уровней. С точки зрения функциональности,межсетевой экран, имеющий возможность анализировать большее число уровней,является более совершенным и эффективным. За счет охвата дополнительного уровнятакже увеличивается возможность более тонкой настройки конфигурации межсетевогоэкрана. Возможность анализировать более высокие уровни позволяет межсетевогоэкрана предоставлять сервисы, которые ориентированы на пользователя, например,аутентификация пользователя. Межсетевой экран, который функционирует на уровнях2, 3 и 4, не имеет дело с подобной аутентификацией.
Независимоот архитектуры межсетевой экран может иметь дополнительные сервисы. Эти сервисывключают трансляцию сетевых адресов (NAT), поддержку протокола динамическойконфигурации хоста (DHCP) и функции шифрования, тем самым являясь конечнойточкой VPN-шлюза, и фильтрацию на уровне содержимого приложения.
Многиесовременные межсетевые экраны могут функционировать как VPN-шлюзы. Такимобразом, организация может посылать незашифрованный сетевой трафик от системы,расположенной позади межсетевого экрана, к удаленной системе, расположеннойпозади корпоративного VPN-шлюза; межсетевой экран зашифрует трафик иперенаправит его на удаленный VPN-шлюз, который расшифрует его и передастцелевой системе. Большинство наиболее популярных межсетевых экранов сегоднясовмещают эти функциональности.
Многиемежсетевые экраны также включают различные технологии фильтрации активногосодержимого. Данный механизм отличается от обычной функции межсетевого экранатем, что межсетевой экран теперь также имеет возможность фильтровать реальныеприкладные данные на уровне 7, которые проходят через него. Например, данныймеханизм может быть использован для сканирования на предмет наличия вирусов вфайлах, присоединенных к почтовому сообщению. Он также может применяться дляфильтрации наиболее опасных технологий активного содержимого в web, таких какJava, JavaScript и ActiveX. Или он может быть использован для фильтрациисодержимого или ключевых слов с целью ограничения доступа к неподходящим сайтамили доменам. Тем не менее, компонент фильтрации, встроенный в межсетевой экран,не должен рассматриваться как единственно возможный механизм фильтрации содержимого;возможно применение аналогичных фильтров при использовании сжатия, шифрованияили других технологий.2.3 Различные типы окружениймежсетевых экранов
Окружениемежсетевого экрана является термином, который применяется для описаниямножества систем и компонент, используемых для поддержки функционированиямежсетевого экрана в конкретной сети. Простое окружение межсетевого экранаможет состоять только из пакетного фильтра. В более сложном и безопасномокружении оно состоит из нескольких межсетевых экранов и прокси со специальнойтопологией. Рассмотрим возможные сетевые топологии, используемые в качествеокружений межсетевого экрана.
Принципыпостроения окружения межсетевых экранов
Существуетчетыре принципа, которым необходимо следовать:
1. Простота (Keep It Simple)
Данныйпринцип говорит о первом и основном, о чем надо помнить при разработкитопологии сети, в которой функционирует межсетевой экран. Важно приниматьнаиболее простые решения — более безопасным является то, чем легче управлять.Трудно понимаемые функциональности часто приводят к ошибкам в конфигурации.
2. Использование устройств по назначению
Использованиесетевых устройств для того, для чего они первоначально предназначались, вданном контексте означает, что не следует делать межсетевые экраны изоборудования, которое не предназначено для использования в качестве межсетевогоэкрана. Например, роутеры предназначены для рейтинга; возможности фильтрованияпакетов не являются их исходной целью, и это всегда надо учитывать приразработке окружения межсетевого экрана. Зависимость исключительно отвозможности роутера обеспечивать функциональность межсетевого экрана опасна: онможет быть легко переконфигурирован. Другим примером являются сетевыекоммуникаторы (switch): когда они используются для обеспечения функциональностимежсетевого экрана вне окружения межсетевого экрана, они чувствительны катакам, которые могут нарушить функционирование коммуникатора. Во многихслучаях гибридные межсетевые экраны и устройства межсетевых экранов являютсялучшим выбором, потому что они оптимизированы в первую очередь дляфункционирования в качестве межсетевых экранов.
3. Созданиеобороны вглубь
Оборонавглубь означает создание нескольких уровней защиты в противоположность наличиюединственного уровня. Не следует всю защиту обеспечивать исключительномежсетевым экраном. Там, где может использоваться несколько межсетевых экранов,они должны использоваться. Там, где роутеры могут быть сконфигурированы дляпредоставления некоторого управления доступом или фильтрации, это следуетсделать. Если ОС сервера может предоставить некоторые возможности межсетевогоэкрана, это следует применить.
4. Вниманиек внутренним угрозам
Наконец,если уделять внимание только внешним угрозам, то это приводит в тому, что сетьстановится открытой для атак, изнутри. Хотя это и маловероятно, но следуетрассматривать возможность того, что нарушитель может как-то обойти межсетевойэкран и получить свободу действий для атак внутренних или внешних систем.Следовательно, важные системы, такие как внутренние web или e-mail серверы илифинансовые системы, должны быть размещены позади внутренних межсетевых экрановили DMZ-зон.
Вкачестве итога заметим, что выражение «всю защиту можно взломать» особенноприменимо к построению окружений межсетевого экрана. При развертываниимежсетевых экранов следует помнить о перечисленных выше правилах дляопределения окружений, но в каждом случае могут иметь место свои собственныетребования, возможно, требующие уникальных решений.
DMZ– сети
В большинствеслучаев окружение межсетевого экрана образует так называемую DMZ-сеть или сетьдемилитаризованной зоны. DMZ-сеть является сетью, расположенной между двумямежсетевыми экранами.
Конфигурацияс одной DMZ-сетью
DMZ-сетипредназначены для расположения систем и ресурсов, которым необходим доступ либотолько извне, либо только изнутри, либо и извне, и изнутри, но которые недолжны быть размещены во внутренних защищенных сетях. Причина в том, чтоникогда нельзя гарантировать, что эти системы и ресурсы не могут быть взломаны.Но взлом этих систем не должен автоматически означать доступ ко всем внутреннимсистемам. Пример окружения межсетевого экрана с одной DMZ показано на рис. 2.5.
/>
Рис. 2.5.Пример окружения межсетевого экрана с одной DMZ
DMZ-сетиобычно строятся с использованием сетевых коммутаторов и располагаются междудвумя межсетевыми экранами или между межсетевым экраном и пограничным роутером.Хорошей практикой является размещение серверов удаленного доступа и конечныхточек VPN в DMZ-сетях. Размещение этих систем в DMZ-сетях уменьшает вероятностьтого, что удаленные атакующие будут иметь возможность использовать эти серверыв качестве точки входа в локальные сети. Кроме того, размещение этих серверов вDMZ-сетях позволяет межсетевым экранам служить дополнительными средствами дляконтроля прав доступа пользователей, которые получают доступ с использованиемэтих систем к локальной сети.
ServiceLeg конфигурация
Однойиз конфигураций DMZ-сети является так называемая «Service Leg» конфигурациямежсетевого экрана на рис. 2.6. В этой конфигурации межсетевой экран создаетсяс тремя сетевыми интерфейсами. Один сетевой интерфейс соединяется с Интернетом,другой сетевой интерфейс соединяется с внутренней сетью, и третий сетевойинтерфейс формирует DMZ-сеть. Такая конфигурация может привести к возрастаниюриска для межсетевого экрана при деградации сервиса в течение DoS-атаки,которая будет нацелена на сервисы, расположенные в DMZ-сети. В стандартнойконфигурации DMZ-сети DoS-атака для присоединенного к DMZ-ресурса, такого какweb-сервер, будет соответствующим образом воздействовать только на этот целевойресурс. В Service Leg конфигурации DMZ-сети межсетевой экран берет на себяосновной удар от DoS-атаки, потому что он должен проверять весь сетевой трафикперед тем, как трафик достигнет присоединенного к DMZ — ресурса. Это можетвлиять на весь трафик организации, если на ее web-сервер выполнена DoS-атака.
/>
Рис. 2.6. Конфигурация Service Leg DMZ
Конфигурацияс двумя DMZ-сетями
Приналичии большого числа серверов с разными требованиями доступа можно иметьмежсетевой экран пограничного роутера и два внутренних межсетевого экранаразместить все внешне доступные серверы во внешней DMZ между роутером и первыммежсетевым экраном. Пограничный роутер будет фильтровать пакеты и обеспечиватьзащиту серверов, первый межсетевой экран будет обеспечивать управление доступоми защиту от серверов внутренней DMZ в случае, если они атакованы. Организацияразмещает внутренне доступные серверы во внутренней DMZ, расположенной междуосновным и внутренним межсетевыми экранами; межсетевые экраны будутобеспечивать защиту и управление доступом для внутренних серверов, защищенныхкак от внешних, так и от внутренних атак.
Окружениемежсетевого экрана для данной сети показано на рис.2.7.
• Внешняя DMZ-сеть соединена с Интернетомчерез пакетный фильтр, служащий пограничным роутером, — выше были указаныпричин, по которым использование пакетного фильтра является предпочтительным.
• Основной межсетевой экран являетсяVPN-шлюзом для удаленных пользователей; такие пользователи должны иметь ПОVPN-клиента для соединения с межсетевым экраном.
• Входящий SMTP-трафик долженпропускаться основным межсетевым экраном.
• Исходящий HTTP-трафик должен проходитьчерез внутренний межсетевой экран, который передает данный HTTP-трафикприкладному НТТР-прокси, размещенному во внутренней DMZ.
Основныеи внутренние межсетевые экраны должны поддерживать технологию statefulinspection и могут также включать возможности прикладного прокси. Основноймежсетевой экран должен выполнять следующие действия:
• разрешать внешним пользователямсоединяться с VPN-сервером, где они должны аутентифицироваться;
• пропускать внутренние SMTP-соединения иданные к прокси-серверу, где данные могут быть отфильтрованы и переданысистемам назначения;
• выполнять роутинг исходящегоHTTP-трафика от HTTP-прокси и исходящего SMTP-трафика от SMTP-сервера;
• после этого запретить весь другойисходящий HTTP- и SMTP-трафик;
• после этого разрешить весь другойисходящий трафик;
Внутренниймежсетевой экран должен принимать входящий трафик только от основногомежсетевого экрана, прикладного HTTP-прокси и SMTP-сервера. Кроме того, ондолжен принимать SMTP- и HTTP-трафик только от прокси, но не от основногомежсетевого экрана. Наконец, он должен разрешать все исходящие соединения отвнутренних систем.
Чтобысделать данный пример применимым к окружениям с более высокими требованиями кбезопасности, можно добавить следующие сервисы:
• могут быть добавлены внутренний ивнешний DNS-серверы, чтобы спрятать внутренние системы;
• может попользоваться NAT длядальнейшего сокрытия внутренних систем;
• исходящий трафик от внутренних системможет фильтроваться, что может включать фильтрование трафика к определеннымсайтам или сервисам в соответствии с политикой управления;
• может быть использовано несколькомежсетевых экранов для увеличения производительности;
/>/>/>/> Рис.2.7. Пример окружения межсетевогоэкрана с двумя DMZ-сетями
Интранет
Интранетявляется сетью, которая выполняет те же самые сервисы, приложения и протоколы,которые присутствуют в Интернете, но без наличия внешнего соединения сИнтернетом. Например, сеть предприятии, поддерживающая семейство протоколовTCP/IP, можно рассматривать как Интранет.
Большинствоорганизаций в настоящее время имеет некоторый тип Интранета. Во внутренней сети(интранет) могут быть созданы еще меньшие Интранеты, используя внутренниемежсетевые экраны. Например, можно защитить свою собственную персональную сетьвнутренним межсетевым экраном, и получившаяся защищенная сеть можетрассматриваться как персональная интранет.
Так какИнтранет использует те же самые протоколы и прикладные сервисы, что и Интернет,многие проблемы безопасности, унаследованные из Интернета, также присутствуют вИнтранете.
Экстранет
Термин«Экстранет» применяется к сети, логически состоящей из трех частей: двеинтранет соединены между собой через Интернет с использованием VPN. Экстранетможет быть определена как business-to-business Интранет. Эта сеть позволяетобеспечить ограниченный, управляемый доступ удаленных пользователей посредствомтой же формы аутентификации и шифрования, которые имеются в VPN.
Экстранетимеет те же самые характеристики, что и интранет, за исключением того, чтоэкстранет использует VPN для создания защищенных соединений через публичныйИнтернет. Целью интранет является предоставление доступа к потенциальночувствительной информации удаленным пользователям или организациям, но при этомзапрещая доступ всем остальным внешним пользователям и системам. Экстранетиспользует протоколы TCP/IP и те же самые стандартные приложения и сервисы,которые используются в Интернете. На рис. 2.8 показан пример топологии сетиэкстранет.
/>
Рис.2.8.VPN и экстранет, соединяющие две сети Интранета
Компонентыинфраструктуры: концентраторы и коммутаторы
Дополнительнок роутерам и межсетевым экранам, связь между системами обеспечивают такиеинфраструктурные устройства, как концентраторы (hubs) и коммутаторы (switches).Наиболее простым из них является сетевой концентратор. Концентраторы — этоустройства, которые функционируют на уровне 1 модели OSI. Другими словами, онипредназначены только для предоставления физического подсоединения сетевыхсистем или ресурсов.
Усетевых концентраторов существует много слабых мест. Первое и основное состоитв том, что концентраторы позволяют любому устройству, присоединенному к ним,просматривать весь сетевой трафик. По этой причине они не должны использоватьсядля построения DMZ-сетей или окружений межсетевого экрана.
Болееразвитыми инфраструктурными устройствами являются сетевые коммутаторы. Этоустройства уровня 2, то есть они обладают определенной информацией при созданииприсоединения сетевых систем или компонент.
Основноесвойство коммутаторов состоит в том, что системы, присоединенные к коммутатору,не могут «подсматривать» трафик друг друга; поэтому они лучше подходят дляреализации DMZ-сетей и окружений межсетевых экранов.
Важнозаметить, что коммутаторы не должны использоваться для предоставлениякаких-либо возможностей межсетевого экрана или обеспечения изолирования трафикавне окружения межсетевого экрана, так как при этом возможны DoS-атаки, которыемогут привести к тому, что коммутаторы переполнят присоединенные сети пакетами.2.4 Уровень защищенностимежсетевых экранов
Всоответствии с уровень защищенности межсетевых экранов оценивается по следующимпоказателям:
1. Управление доступом (фильтрация данныхи трансляция адресов)
2. Идентификация и аутентификация
3. Регистрация
4. Администрирование: идентификация иаутентификация
5. Администрирование: регистрация
6. Администрирование: простотаиспользования
7. Целостность
8. Восстановление
9. Тестирование
10. Руководство администратора защиты
11. Тестовая документация
12. Конструкторская (проектная)документация
Длякаждого класса защищенности определяются требования к указанным показателям.
Далееследуют требования к межсетевому экрану в соответствии с документомГосударственной Технической Комиссии по межсетевым экранам для пятого ичетвертого класса защищенности и описание уровня соответствия этим требованиям.
1. Управление доступом.
Требованияк пятому классу:
Межсетевойэкран должен обеспечивать фильтрацию на сетевом уровне. Решение по фильтрацииможет приниматься для каждого сетевого пакета независимо на основе, по крайнеймере, сетевых адресов отправителя и получателя или на основе другихэквивалентных атрибутов.
Требованияк четвертому классу:
Данныетребования полностью включают аналогичные требования пятого класса. Дополнительномежсетевой экран должен обеспечивать:
· фильтрацию пакетов служебныхпротоколов, служащих для диагностики и управления работой сетевых устройств;
· фильтрацию с учетом входного ивыходного сетевого интерфейса как средство проверки подлинности сетевыхадресов;
· фильтрацию с учетом любых значимыхполей сетевых пакетов.
Требованияк третьему классу:
Данныетребования полностью включают аналогичные требования четвертого класса.
Дополнительномежсетевой экран должен обеспечивать:
· фильтрацию на транспортном уровнезапросов на установление виртуальных соединений. При этом, по крайней мере,учитываются транспортные адреса отправителя и получателя;
· фильтрацию на прикладном уровнезапросов к прикладным сервисам. При этом, по крайней мере, учитываютсяприкладные адреса отправителя и получателя;
· фильтрацию с учетом даты/времени.
2. Идентификация и аутентификация
Неттребований к четвертому и пятому классу. Требования к третьему классу:
Межсетевойэкран должен обеспечивать возможность аутентификации входящих и исходящихзапросов методами, устойчивыми к пассивному и/или активному прослушиванию сети.
3. Регистрация
Неттребований к пятому классу. Требования к четвертому классу:
Межсетевойэкран должен обеспечивать возможность регистрации и учета фильтруемых пакетов.В параметры регистрации включаются адрес, время и результат фильтрации.
Требованияк третьему классу:
Данныетребования включают аналогичные требования четвертого класса.
Дополнительномежсетевой экран должен обеспечивать:
· регистрацию и учет запросов наустановление виртуальных соединений;
· локальную сигнализацию попытокнарушения правил фильтрации.
4. Администрирование: идентификация иаутентификация
Требованияк пятому классу:
Межсетевойэкран должен обеспечивать идентификацию и аутентификацию администраторамежсетевого экрана при его локальных запросах на доступ. Межсетевой экрандолжен предоставлять возможность для идентификации и аутентификации поидентификатору (коду) и паролю условно-постоянного действия.
Требованияк четвертому классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса.
Требованияк третьему классу:
Данныетребования включают аналогичные требования пятого класса. Дополнительномежсетевой экран должен препятствовать доступу неидентифицированного субъектаили субъекта, подлинность идентификации которого при аутентификации неподтвердилась. При удаленных запросах администратора межсетевого экрана надоступ идентификация и аутентификация должны обеспечиваться методами,устойчивыми к пассивному и активному перехвату информации.
5. Администрирование: регистрация
Требованияк пятому классу:
Межсетевойэкран должен обеспечивать регистрацию входа (выхода) администратора межсетевогоэкрана в систему (из системы) либо загрузка и инициализация системы и еепрограммный останов. Регистрация выхода из системы не проводится в моментыаппаратурного отключения межсетевого экрана;
Впараметрах регистрации указываются:
· дата, время и код регистрируемогособытия;
· результат попытки осуществлениярегистрируемого события — успешная или неуспешная;
· идентификатор администраторамежсетевого экрана, предъявленный при попытке осуществления регистрируемого события.
Требованияк четвертому классу:
Данныетребования включают аналогичные требования пятого класса.
Дополнительномежсетевой экран должен обеспечивать регистрацию запуска программ и процессов(заданий, задач).
Требованияк третьему классу:
Данныетребования полностью включают аналогичные требования четвертого класса.
Дополнительномежсетевой экран должен обеспечивать регистрацию действия администраторамежсетевого экрана по изменению правил фильтрации.
6. Администрирование: простотаиспользования
Нет требованийк четвертому и пятому классу. Требования к третьему классу:
Многокомпонентныймежсетевой экран должен обеспечивать возможность дистанционного управлениясвоими компонентами, в том числе, возможность конфигурирования фильтров,проверки взаимной согласованности всех фильтров, анализа регистрационнойинформации.
7. Целостность
Требованияк пятому классу:
Межсетевойэкран должен содержать средства контроля над целостностью своей программной иинформационной части.
Требованияк четвертому классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса.
Требованияк третьему классу:
Данныетребования полностью включают аналогичные требования пятого класса.
Дополнительнодолжен обеспечиваться контроль целостности программной и информационной частимежсетевого экрана по контрольным суммам.
8. Восстановление
Требованияк пятому классу:
Межсетевойэкран должен предусматривать процедуру восстановления после сбоев и отказовоборудования, которые должны обеспечивать восстановление свойств межсетевогоэкрана.
Требованияк четвертому классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса.
Требованияк третьему классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса.
9. Тестирование
Требованияк пятому классу:
Вмежсетевом экране должна обеспечиваться возможность регламентного тестирования:
· реализации правил фильтрации;
· процесса идентификации иаутентификации администратора;
· процесса регистрации действийадминистратора межсетевого экрана;
· процесса контроля за целостностьюпрограммной и информационной части межсетевого экрана;
· процедуры восстановления.
Требованияк четвертому классу:
Вмежсетевом экране должна обеспечиваться возможность регламентного тестирования:
· реализации правил фильтрации;
· процесса регистрации;
· процесса идентификации иаутентификации администратора межсетевого экрана;
· процесса регистрации действийадминистратора межсетевого экрана;
· процесса контроля за целостностьюпрограммной и информационной части межсетевого экрана;
· процедуры восстановления.
Требованияк третьему классу:
Вмежсетевом экранированием должна обеспечиваться возможность регламентноготестирования
· реализации правил фильтрации;
· процесса регистрации;
· процесса идентификации и аутентификациизапросов;
· процесса идентификации иаутентификации администратора межсетевого экрана;
· процесса регистрации действийадминистратора межсетевого экрана;
· процесса контроля за целостностьюпрограммной и информационной части межсетевого экрана;
· процедуры восстановления.
10. Руководство администратора защиты
Требованияк пятому классу:
Документсодержит:
· описание контролируемых функциймежсетевого экрана;
· руководство по настройке иконфигурированию межсетевого экрана;
· описание старта межсетевого экрана ипроцедур проверки правильности старта;
· руководство по процедуревосстановления.
Требованияк четвертому классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса.
Требованияк третьему классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса.
11. Тестовая документация
Требованияк пятому классу:
Должнасодержать описание тестов и испытаний, которым подвергался межсетевой экран, ирезультаты тестирования.
Требованияк четвертому классу:
Должнасодержать описание тестов и испытаний, которым подвергался межсетевой экран, ирезультаты тестирования.
Требованияк третьему классу:
Должнасодержать описание тестов и испытаний, которым подвергался межсетевой экран, ирезультаты тестирования.
12. Конструкторская документация
Требованияк пятому классу:
Должнасодержать:
· общую схему межсетевого экрана;
· общее описание принципов работымежсетевого экрана;
· описание правил фильтрации;
· описание средств и процессаидентификации и аутентификации;
· описание средств и процессарегистрации;
· описание средств и процесса контролянад целостностью программной и информационной части межсетевого экрана;
Требованияк четвертому классу:
Данныетребования полностью совпадают с аналогичными требованиями пятого класса посоставу документации.
Требованияк третьему классу:
Данныетребования полностью включают аналогичные требования пятого класса по составудокументации.
Дополнительнодокументация должна содержать:
· описание средств и процесса централизованногоуправления компонентами межсетевого экрана.
2.5 Виртуальные частные сети(VPN)
В связис широким распространением Интернет, интранет, экстранет при разработке иприменении распределенных информационных сетей и систем одной из самыхактуальных задач является решение проблем информационной безопасности.
Впоследнее десятилетие в связи с бурным развитием Интернет и сетей коллективногодоступа в мире произошел качественный скачок в распространении и доступностиинформации. Пользователи получили дешевые и доступные каналы связи. Стремясь кэкономии средств, предприятия используют такие каналы для передачи критичнойкоммерческой информации. Однако принципы построения Интернет открываютзлоумышленникам возможности кражи или преднамеренного искажения информации. Необеспечена достаточно надежная защита от проникновения нарушителей вкорпоративные и ведомственные сети.
Дляэффективного противодействия сетевым атакам и обеспечения возможности активногои безопасного использования в бизнесе открытых сетей в начале 90-х годовродилась и активно развивается концепция построения защищенных виртуальныхчастных сетей — VPN. (Virtual Private Networks).
Концепцияпостроения защищенных виртуальных частных сетей VPN
Воснове концепции построения защищенных виртуальных частных сетей VPN лежитдостаточно простая идея: если в глобальной сети есть два узла, которые хотятобменяться информацией, то для обеспечения конфиденциальности и целостностипередаваемой по открытым сетям информации между ними необходимо построитьвиртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всемвозможным активным и пассивным внешним наблюдателям. Термин «виртуальный»указывает на то, что соединение между двумя узлами сети не является постоянным (жестким)и существует только во время прохождения трафика по сети.
Преимущества,получаемые компанией при формировании таких виртуальных туннелей, заключаются,прежде всего, в значительной экономии финансовых средств.
Функциии компоненты сети VPN
Защищеннойвиртуальной сетью VPN называют объединение локальных сетей и отдельныхкомпьютеров через открытую внешнюю среду передачи информации в единуювиртуальную корпоративную сеть, обеспечивающую безопасность циркулирующихданных.
Приподключении корпоративной локальной сети к открытой сети возникают угрозыбезопасности двух основных типов:
• несанкционированный доступ ккорпоративным данным в процессе их передачи по открытой сети;
• несанкционированный доступ к внутреннимресурсам корпоративной локальной сети, получаемый злоумышленником в результатене санкционированного входа в эту сеть.
Защитаинформации в процессе передачи по открытым каналам связи основана на выполненииследующих основных функций:
• аутентификации взаимодействующихсторон;
• криптографическом закрытии (шифровании)передаваемых данных;
• проверке подлинности и целостностидоставленной информации.
Дляэтих функций характерна взаимосвязь друг с другом. Их реализация основана наиспользовании криптографических методов защиты информации.
Длязащиты локальных сетей и отдельных компьютеров от несанкционированных действийсо стороны внешней среды обычно используют межсетевые экраны, поддерживающиебезопасность информационного взаимодействия путем фильтрации двустороннегопотока сообщений, а также выполнения функций посредничества при обменеинформацией. Межсетевой экран располагают на стыке между локальной и открытойсетью. Для защиты отдельного удаленного компьютера, подключенного к открытойсети, программное обеспечение межсетевого экрана устанавливают на этом жекомпьютере, и такой межсетевой экран называется персональным.
Туннелирование
Защитаинформации в процессе ее передачи по открытым каналам основана на построениизащищенных виртуальных каналов связи, называемых крипто защищенными туннелями.Каждый такой туннель представляет собой соединение, проведенное через открытуюсеть, по которому передаются криптографический защищенные пакеты сообщений.
Созданиезащищенного туннеля выполняют компоненты виртуальной сети, функционирующие наузлах, между которыми формируется туннель. Эти компоненты принято называтьинициатором и терминатором туннеля. Инициатор туннеля инкапсулирует(встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новыйзаголовок с информацией об отправителе и получателе. Хотя все передаваемые потуннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежатьк протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких,как NetBEUI. Маршрут между инициатором и терминатором туннеля определяетобычная маршрутизируемая сеть IP, которая может быть и сетью отличной отИнтернет. Терминатор туннеля выполняет процесс обратный инкапсуляции – онудаляет новые заголовки и направляет каждый исходный пакет в локальный стекпротоколов или адресату в локальной сети.
Сама посебе инкапсуляция никак не влияет на защищенность пакетов сообщений,передаваемых по туннелю. Но благодаря инкапсуляции появляется возможностьполной криптографической защиты инкапсулируемых пакетов. Конфиденциальностьинкапсулируемых пакетов обеспечивается путем их криптографического закрытия, тоесть зашифровывания, а целостность и подлинность – путем формирования цифровойподписи. Поскольку существует большое множество методов криптозащиты данных,очень важно, чтобы инициатор и терминатор туннеля использовали одни и те жеметоды и могли согласовывать друг с другом эту информацию.
Крометого, для возможности расшифровывания данных и проверки цифровой подписи приприеме инициатор и терминатор туннеля должны поддерживать функции безопасногообмена ключами. Ну и наконец, чтобы туннели создавались только междууполномоченными пользователями, конечные стороны взаимодействия требуетсяаутентифицировать.
VPNна основе межсетевых экранов
Межсетевыеэкраны большинства производителей содержат функции туннелирования и шифрованияданных. К программному обеспечению собственно межсетевого экрана добавляетсямодуль шифрования.
Вкачестве примера решения на базе межсетевых экранов можно назвать FireWall-1компании Check Point Software Technologies. FairWall-1 использует дляпостроения VPN стандартный подход на базе IPSec. Трафик, приходящий вмежсетевой экран, дешифруется, после чего к нему применяются стандартныеправила управления доступом. FireWall-1 работает под управлением операционныхсистем Solaris и Windows NT 4.0.
Кнедостаткам этого метода относятся высокая стоимость решения в пересчете наодно рабочее место и зависимость производительности от аппаратного обеспечения,на котором работает межсетевой экран. На рис. 2.9 показано пример совмещениямежсетевого экрана и VPN.
Прииспользовании межсетевых экранов на базе ПК надо помнить, что подобный вариантподходит только для небольших сетей с ограниченным объемом передаваемойинформации.
/>
Рис. 2.9.Пример совмещения межсетевого экрана и VPN
3. Предложение по совершенствованию защиты компьютерной сетиорганизации за счет внедрение межсетевого экрана 3.1 Правильный выбор межсетевых экранов для защиты информации КСО
Оптимальныемежсетевые экраны для малых и средних организаций с невысокими требованиями кбезопасности
В данномразделе, рассматриваются широко распространенные аппаратные межсетевые экраны иприводятся рекомендации по их применению в зависимости от размера организации,требуемого уровня безопасности и стоимости решения. В первой части статьирассмотрены решения, оптимальные для малых и средних организаций с невысокимитребованиями к безопасности, а во второй — решения для малых и средних компанийи офисов филиалов, нуждающихся в надежной защите.
Выборварианта
Внастоящее время выбор межсетевых экранов очень широк, начиная от простого (ибесплатного) Windows Firewall, размещаемого на защищаемой машине, довысокопроизводительных межсетевых экранов с проверкой состояния пакетовстоимостью в десятки тысяч долларов. Как выбрать оптимальный вариант дляконкретного организация? При выборе межсетевого экрана следует учитывать дваосновных фактора: требования безопасности и стоимость.
Требованиябезопасности.
Требованияк безопасности постоянно меняются. Администратор должен сочетать надежнуюзащиту с удобством пользовательского доступа к данным, а также учитыватьпринципиальные ограничения программ, авторы которых обращали мало внимания набезопасность хост-машины и сети.
Ограниченияпо стоимости. Цена — барьер между желаниями и действительностью. Главноепрепятствие на пути к высокой безопасности — затраты, которые готов или можетнести пользователь. Уровень защиты, обеспечиваемый простым широкополосныммаршрутизатором для малого/домашнего офиса с проверкой пакетов, значительнониже, чем при применении промышленного межсетевого экрана с проверкой пакетов иконтролем на прикладном уровне. В целом чем выше стоимость межсетевого экрана,тем надежнее защита. Уровень безопасности соответствует затратам, которые несеторганизация (на разовое приобретение аппаратных средств и программногообеспечения или на оплату консультантов по управлению недорогими решениями).
Решения,представленные в разделе
Рынок межсетевыхэкранов чрезвычайно велик и разнообразен, поэтому невозможно оценить каждогопоставщика. Чтобы несколько упорядочить картину, было выбрано несколькопоставщиков устройств, охватывающих весь спектр надежности и стоимости, оттрадиционных межсетевых экранов с проверкой пакетов до смешанных устройств спроверкой пакетов и приложений для устранения универсальных угроз (universalthreat management, UTM). В данной статье представлены такие поставщики, какCisco Systems, Network Engines, Rimapp, SonicWall и Symantec.
Главныйакцент в обзоре сетевых межсетевых экранов для организаций различных размеров итребований к безопасности сделан на уровне защиты, а не характеристикахмаршрутизации или дополнительных функциях устройства. Многие поставщики межсетевыхэкранов взимают дополнительную плату за передовые функции маршрутизации,которые никак не влияют на уровень безопасности. Например, не рассматривалисьмаршрутизация на базе политик, качество обслуживания, прозрачность уровняуправления передачей данных и другие сетевые усовершенствования, которые маловлияют на общую безопасность.
С другойстороны, продукты некоторых поставщиков располагают функциями Web-кэширования,значительно повышающими общую ценность приобретения для организации, которой неприходится покупать отдельное решение для кэширования. В результате повышаетсяпроизводительность при работе в Web и снижаются общие затраты на эксплуатациюканала Internet. Наличие Web-proxy также повышает безопасность.
Характеристикиоценки межсетевых экранов
Нижеприводится краткий обзор характеристик, которые принимались во внимание приоценке аппаратных межсетевых экранов. Этот список поможет понять информацию,приведенную в таблице 3.2 и 3.3.
Цена. Стоимость конкретных межсетевых экранов у разных продавцовможет сильно различаться. Приведенная в данном обзоре цена отражает стандартныйнабор функций без дополнительных модулей, которые приходится покупать отдельно.Модули расширения могут значительно повысить указанную цену.
Контрольна прикладном уровне с учетом состояния.Контроль на прикладном уровне с учетом состояния заключается в проверке какзаголовков протокола, так и прикладных данных с использованием механизмаконтроля на прикладном уровне. Примеры — углубленная проверка на прикладномуровне данных и заголовков HTTP, данных и заголовков SMTP, данных и заголовковпротокола Instant Messaging (IM).
Контрольприкладного протокола. Контрольприкладного протокола (иначе, углубленная проверка пакетов — deep packetinspection) позволяет анализировать протокол прикладного уровня и подтвердитьего соответствие стандартам IETF (Internet Engineering Task Force) для наборовкоманд протоколов. Примеры — контроль протоколов DNS, FTP, POP3 и SMTP. Впроцессе контроля прикладного протокола проверка соответствия заданным условиямвсех данных на прикладном уровне не выполняется.
Проверкапакетов на соответствие заданным условиям.Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня вмеханизме фильтрации пакетов межсетевого экрана. Проверка пакетов насоответствие заданным условиям применяется практически во всех современных межсетевыхэкранов и одно время была стандартным методом защиты.
Прозрачнаяаутентификация Windows. Благодаряпрозрачной аутентификации межсетевой экран получает учетные данные пользователяиз клиентской операционной системы без постороннего вмешательства. Строгийконтроль внешнего доступа пользователей и групп осуществляется без запросаучетных данных пользователя.
Протоколированиевсех имен пользователей и приложений Web и Winsock. Протоколирование — обязательное условие для подготовкиисчерпывающих отчетов о соответствии законодательству и эффективногосотрудничества с правоохранительными органами. Через протоколирование именпользователей и приложений Winsock межсетевой экран получает информацию оприложениях и ресурсах, доступных пользователю при подключении через межсетевойэкран.
Контрольна прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку насоответствие заданным условиям и проанализировать протокол соединения вшифрованном туннеле SSL. Межсетевые экраны, которые обеспечивают толькопроверку пакетов на соответствие заданным условиям, не могут контролироватьзаголовки и данные прикладного уровня в шифрованных туннелях SSL.
ПоддержкаMicrosoft Exchange Server. Межсетевыеэкраны со встроенной поддержкой Exchange повышают безопасность удаленныхсоединений через Internet со службами Exchange, в том числе Outlook Web Access(OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC иRPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторнойаутентификации, например RSA SecurID компании RSA Security.
Контрольшлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN межсетевойэкран проверяет как пакеты на соответствие заданным условиям, так и туннельныесоединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec наприкладном уровне. Контроль на прикладном уровне соединений через канал VPNпредотвращает распространение таких «червей», как Blaster и Sasser. Например, межсетевойэкран ISA Server 2004 компании Microsoft обеспечивает соответствие стандартувызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster ианалогичные угрозы.
Обнаружениеи предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированногодоступа ориентированы на аномалии сетевого и транспортного уровня, угрожающиенабору протоколов TCP/IP межсетевого экрана. Большинство межсетевых экранов системобнаружения и предупреждения вторжений Intrusion Detection System(IDS)/Intrusion Prevention System (IPS) можно настроить на пересылкупредупреждений администраторам без активных действий или предупреждение спринятием мер для предотвращения нападения. На практике большинство межсетевыхэкранов IDS/IPS запрещают попытки несанкционированного доступа в моментобнаружения.
Серверудаленного доступа VPN и шлюз VPN. Серверудаленного доступа VPN принимает клиентские соединения VPN от систем и подключаетэту систему в корпоративную сеть. Шлюз VPN связывает целые сети черезмежсайтовое VPN-соединение.
VPN-клиент. Для всех традиционных удаленных клиентских соединений VPNнеобходима клиентская программа (в бесклиентских SSL VPN в качестве клиентаиспользуется браузер). Большинство межсетевых экранов обеспечивают соединенияPPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Длянекоторых межсетевых экранов требуются дополнительная (расширенная) клиентскаяпрограмма VPN, которая обеспечивает проверку соответствия требованиямбезопасности клиента VPN, и специальные протоколы IPsec для прохождениятрансляции сетевых адресов NAT (Network Address Translation). Эти программымогут предоставляться бесплатно, но иногда их приходится покупать отдельно.
10/100-Мбит/спорты локальной сети. Межсетевой экран снесколькими портами Ethernet, выделенными для локальных соединений,обеспечивает более глубокую физическую сегментацию зон безопасности. Внекоторых межсетевых экранов имеется несколько портов Ethernet, но ограниченочисло портов, которые могут использоваться для подключения к Internet.
ПортыWAN. В некоторых межсетевых экранов ограниченочисло портов для прямого подключения к Internet. В других для этой цели можноиспользовать сколь угодно много портов.
Балансировканагрузки. Несколько межсетевых экранов можноподключить параллельно и балансировать входящие и исходящие соединения через межсетевойэкран. В идеальном случае соединения равномерно распределяются между межсетевымиэкранами, и результаты работы каждого устройства меняются в лучшую сторонублагодаря предотвращению перегрузки отдельных межсетевых экранов.
Числопользователей. В некоторых межсетевыхэкранов ограничено число пользователей или IP-адресов, которые могутустанавливать соединения через межсетевой экран. Эти межсетевые экраны лицензированыдля работы с определенным числом пользователей и, если превышен лицензионныйпорог, генерируют соответствующее предупреждение.
Передачафункций отказавшего межсетевого экрана исправному устройству. Данная функция позволяет подключить два или несколько межсетевыхэкранов таким образом, чтобы они могли обслуживать соединения вместо отказавшихустройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (поднагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключенияавтоматические, а в других случаях требуется вмешательство администратора.
ПереключениеInternet-провайдера и объединение полосы пропускания.Возможность работы снесколькими Internet-провайдерами — важнейшее требование любой организации,деятельность которой зависит от связи с Internet. Межсетевые экраны со сменойInternet-провайдеров могут переключаться на работоспособную линию, если связь содним или несколькими провайдерами прерывается. Объединение полосы пропусканиязаключается в соединении нескольких линий связи в скоростной канал доступа кресурсам Internet.
Настройка. Большинство межсетевых экранов обеспечивают Web-соединенияSSL в некоторых или во всех конфигурациях. Некоторые межсетевые экраны поддерживаютинтерфейс командной строки в сеансе терминала, а межсетевые экраны на базе ISAServer обеспечивают шифрованные соединения RDP, совместимые со стандартомобработки информации FIPS (Federal Information Processing Standard).
Процессор. Данная характеристика в пояснениях не нуждается. Онауказывает тип и быстродействие основного процессора межсетевого экрана.
Web-кэшированиеи proxy-сервер. Некоторые межсетевыеэкраны располагают встроенным сервером Web-кэширования. Web-кэшированиеускоряет доступ в Internet для конечных пользователей и может существеннопонизить нагрузку на канал связи с Internet и соответствующие расходы.Компонент Web-proxy значительно повышает безопасность, полностью разлагая насоставные части, а затем проверяя и восстанавливая проходящие через негосообщения HTTP.
Низкийуровень безопасности
Какотмечалось в начале статьи, межсетевые экраны рассматриваются в соответствии снеобходимым предприятию уровнем безопасности. Межсетевые экраны первого типапредназначены для малых и средних предприятий с низким уровнем безопасности. Вслабо защищенной среде важные данные не хранятся в сети или владелецконфиденциальной информации не может либо не хочет платить за сетевой межсетевойэкран с мощными функциями проверки входящего и исходящего доступа, пакетов иприкладного уровня, исчерпывающее протоколирование действий пользователей иприложений.
Какправило, слабо защищенные сети принадлежат небольшим компаниям с ограниченнымбюджетом. Локальная сеть может подключаться к Internet через широкополосныйкабельный модем или DSL-соединение с помощью так называемого «широкополосногомаршрутизатора» вместо выделенных линий уровней T и выше, болеераспространенных в крупных организациях. Технически широкополосныемаршрутизаторы не относятся к маршрутизаторам, а представляют собой простыеустройства NAT. Большинство таких устройств позволяет установитьнемногочисленные VPN-соединения с использованием фирменных клиентских программVPN.
Верхняяграница ценового диапазона межсетевых экранов для среды с невысоким уровнемзащиты — около 500 долл. Если на сеть с низким уровнем безопасности нераспространяются строгие требования правоохранительного надзора, а компанияимеет очень ограниченный бюджет, то следует обратить внимание на продуктыCisco, SonicWall и Symantec, сравнительные характеристики которых приведены втаблице 3.1.
Три межсетевогоэкрана располагают сходной функциональностью, возможностями и уровнями защитыот внешних угроз. Каждый обеспечивает проверку пакетов на соответствие заданнымусловиям во входящих соединениях с Internet. Этим маломощным устройствамсвойственны существенные ограничения по числу пользователей. Число соединенийопределяется схемой лицензирования каждого поставщика и возможностямиаппаратных средств.
Ещеважнее, что эти межсетевые экраны не располагают средствами контроля входящегои исходящего доступа по пользователям и группам. Функции протоколирования всехустройств примитивны. Отсутствует проверка на соответствие заданным условиям наприкладном уровне. Эти ограничения типичны для недорогих аппаратных межсетевыхэкранов.
Из этойтройки рекомендуется использовать простое в настройке устройство SonicWall 170,которое работает почти автоматически. SonicWall 170 располагает модемныминтерфейсом, благодаря которому возможно переключение на аналоговое модемноесоединение в случае отказа основного широкополосного канала связи. Кроме того,в SonicWall 170 на один локальный порт больше, чем в двух других устройствах.
Сетеваябезопасность — решающий компонент общей стратегии эшелонированной обороныпредприятия. Сетевые межсетевые экраны — ключевые элементы защиты систем иданных на различных сетевых периметрах. Предприятия с низкими требованиями кбезопасности могут выбрать один из межсетевых экранов из таблицы или другиепродукты такого уровня, но для надежной защиты требуются устройства, которыебудут рассмотрены чуть ниже.
Таблица3.1. Аппаратные межсетевые экраны для сетевой среды с невысокой надежностью SonicWall 170 Cisco PIX 501 Symantec Firewall/VPN Цена в долларах 410 495 499 Контроль на прикладном уровне с учетом состояния Нет Нет Нет Контроль прикладного протокола Да (ограничено) Да (ограничено) Да (ограничено) Проверка пакетов на соответствие заданным условиям Да Да Да Прозрачная аутентификация Windows Нет Нет Нет Протоколирование всех имен пользователей и приложений Web и Winsock Нет Нет Нет Контроль на прикладном уровне через туннели SSL Нет Нет Нет Поддержка Exchange Нет Нет Нет Контроль шлюзового и клиентского трафика VPN на прикладном уровне Нет Нет Нет Обнаружение и предотвращение несанкционированного доступа Да Да Да Сервер удаленного доступа VPN и шлюз VPN Да Да Нет VPN-клиент Нет Нет Нет 10/100-Мбит/с порты ЛВС 5 4 4 Порты WAN 1 1 1 Балансировка нагрузки Нет Нет Нет Число пользователей 10 10 15-25 Передача функций отказавшего межсетевого экрана исправному устройству Аналоговый коммутируемый доступ через внешний модем Нет Аналоговый коммутируемый доступ через внешний модем Переключение Internet-провайдера и объединение полосы пропускания Нет Нет Нет Настройка Web-интерфейс Командная строка и Web-интерфейс Web-интерфейс Процессор SonicWall Security Processor AMD SC520 ARM7 Web-кэширование и proxy-сервер Нет Нет Нет
Вариантыдля малых и средних предприятий с высокими требованиями к безопасности
В техорганизациях, где защите приходится уделять много внимания, к межсетевымэкранам предъявляются гораздо более высокие требования. Повышенная безопасностьможет быть вызвана условиями закона, характером бизнеса (например, в отраслях сострой конкуренцией необходимо охранять коммерческие секреты) или желаниемвладельца получить достойную защиту по разумной цене. В малых и среднихкомпаниях с высокими требованиями к безопасности к межсетевому экрану относятся,как к страхованию автомобиля. Такие организации готовы заплатить вперед, чтобыпредотвратить потенциальную катастрофу.
Проблемыобеспечения высокого уровня безопасности
Привыборе межсетевого экрана с повышенным уровнем защиты необходимо учитывать ряддополнительных требований.
· Следует протоколировать обращения изкорпоративной сети в Internet. Как минимум, требуется записывать имяпользователя и приложение, задействованное при попытках получить доступ кресурсам через межсетевой экран. Рекомендуется также указывать имена сайтов итип контента.
· Необходим механизм настройки межсетевогоэкрана на блокирование запуска приложений, которые представляют опасность длясети и целостности данных — например, одноранговых (P2P) сетей и программмгновенного обмена сообщениями (Instant Messaging — IM).
· Межсетевой экран должен останавливатькак входящий, так и исходящий несанкционированный трафик, с проверкой пакетовна соответствие заданным условиям и контролем на прикладном уровне по всеминтерфейсам, в том числе VPN.
· Межсетевой экран должен обеспечиватьпроверку пакетов на соответствие заданным условиям и контроль на прикладномуровне для входящего трафика, проходящего через межсетевой экран вкорпоративную сеть, чтобы удаленные пользователи могли обращаться к даннымпредприятия извне. Проверка на соответствие заданным условиям должнапроизводиться над данными, зашифрованными для передачи по линиям связи.
· Блокировать или смягчать действиечервей, вирусов, шпионских программ и других угроз для целостности данных напериметре сети; контроль на прикладном уровне необходим на всех этапах.
· Если требуется доступ к важной бизнес — информации, следует предусмотреть механизмы обеспечения отказоустойчивости.
Несмотряна высокие требования к безопасности, предъявляемые некоторыми малымипредприятиями, эти компании все же остаются малыми и не располагают бюджетомкрупных корпораций. В среднем малая организация готова потратить до 3000 долл.на решение для обеспечения безопасности, срок эксплуатации которого составит3-4 года. Ежедневная цена решения с учетом амортизации (около 2 долл. в день)невелика по сравнению с потенциальными финансовыми потерями, которые могутстать следствием выбора ненадежного решения.
Выборустройств
В таблице3.2 приведены аппаратные межсетевые экраны, которые обеспечивают приемлемуюсетевую безопасность для нуждающихся в серьезной защите малых и среднихпредприятий. SonicWALL Pro 3060 и Cisco PIX-515E-RDMZ компании Cisco Systems —традиционные аппаратные межсетевые экраны. NS6200 компании Network Engines набазе Microsoft ISA Server 2004 и SGS 5420 компании Symantec представляют собойпродукты, которые обычно называют «программными» межсетевыми экранами — ониработают на базе универсальной операционной системы или имеют жесткие диски(иногда присутствуют оба компонента). NS6200 относится к «третьему поколению» межсетевыхэкранов, в котором стабильность и надежность аппаратного межсетевого экранасочетаются с гибкостью, удобством обновления и готовностью отразить новейшиеугрозы программного продукта. Характеристики SGS 5420 — промежуточные: он неработает с универсальной операционной системой, но располагает жестким диском.
Длябезопасности сети рекомендуется устройства Network Engines и Symantec, которыепревосходят традиционные аппаратные модели с проверкой пакетов на соответствиезаданным условиям. Главное различие заключается в глубине контроля наприкладном уровне, обеспечиваемом этими двумя устройствами, по сравнению с межсетевымиэкранами SonicWALL и Cisco.
Дляконтроля на прикладном уровне в межсетевых экранов этого класса можноиспользовать встраиваемые и внешние модули расширения (например, для борьбы свирусами, фильтрации загружаемых файлов, фильтрации почты, блокированиявсплывающей рекламы, анализа Web-контента). При этом из-за высокой ценыустройства могут оказаться недосягаемыми для малых и средних предприятий.
Вконечном итоге было отдано межсетевому экрану Network Engines предпочтениеперед устройством Symantec благодаря достоинствам, решающим для созданиясетевой среды с высоким уровнем безопасности.
· Прозрачная аутентификация всех исходящихсоединений через межсетевой экран. В среде с высоким уровнем безопасности длярегистрации в домене требуется двухфакторная аутентификация. Благодаряпрозрачной аутентификации, пользователи не могут обмениваться учетными даннымидля доступа к Internet, так как система никогда не выводит на экран окнорегистрации. В результате повышаются достоверность данных в журнале иэффективность дальнейшего расследования на основе этой информации.
· Полное протоколирование всех входящих иисходящих соединений через межсетевой экран. Эти сведения, в том числе обименах пользователей и приложениях, задействованных для доступа к любымресурсам через межсетевой экран, незаменимы при выполнении аудита насоответствие законодательству и в ходе административных, уголовных и гражданскихрасследований.
· Контроль на прикладном уровне туннелейSSL (Secure Sockets Layer — уровень защищенных гнезд). Устройство NS6200 набазе ISA Server 2004 выполняет контроль на прикладном уровне входящихсоединений SSL через межсетевой экран. Такие соединения могут использоватьсядля обращений к частным данным на сервере Microsoft Outlook Web Access (OWA)или Microsoft SharePoint Portal Server. В отличие от других межсетевых экрановв таблице 3.2, NS6200 может дешифровать SSL-соединение в межсетевом экране,передать заголовки и данные в механизм прикладного управления межсетевогоэкрана, а затем заново зашифровать данные для сквозной пересылки по безопасномушифрованному соединению.
· Проверка пакетов на соответствиезаданным условиям и контроль на прикладном уровне по всем VPN-интерфейсам.Данная проверка охватывает VPN удаленного доступа и шлюзовые соединения междусайтами. Каналы VPN нередко оказываются слабым звеном во многих межсетевыхэкранов, так как подключенные к VPN машины, как правило, рассматриваются как«доверенные» и не подвергаются контролю на прикладном уровне. Такойподход был главной причиной атаки червя Blaster на сети, в остальном защищенныеот внешней угрозы. Опасности, аналогичные Blaster, все еще существуют, и VPN-соединенияпо-прежнему могут служить средой их распространения. NS6200 открывает каналыVPN для контроля на прикладном уровне и блокирует нападения на межсетевомэкране.
Дажевместе с дорогостоящими модулями расширения для контроля на прикладном уровнени один из остальных межсетевых экранов в табл. 3.2 не располагает функциямибезопасности, реализованными в NS6200.
Болеемасштабные сети с высоким уровнем защиты
Средними крупным предприятиям, а также их филиалам свойственны похожие требования кбезопасности. Как и небольшим компаниям с надежной защитой, им требуютсяисчерпывающая проверка пакетов на соответствие заданным условиям и контроль наприкладном уровне, полное протоколирование и функции управления доступомпользователей/групп через межсетевой экран. Основное различие между надежнозащищенной крупной компанией и малым предприятием заключается в гораздо большихфинансовых возможностях корпорации, которые соответствуют требованияминформационной безопасности.
Такимфирмам не нужны самые технологичные и производительные межсетевые экраны стоимостью35 тыс. долл., им скорее требуется надежная информационная защита. Единственнаяатака на прикладном уровне может привести к потерям, исчисляемым миллионамидолларов.
Выяснить,сколько денег организации этого типа готовы потратить на защиту межсетевымэкраном, нелегко. Некоторые компании придают безопасности чрезвычайно большоезначение и готовы заплатить более 10 тыс. долл. за превосходный межсетевойэкран с проверкой пакетов и контролем на прикладном уровне. С другой стороны,многие средние и крупные предприятия, которые нуждаются в надежной защите,неохотно платят более 2500 долл. за этот решающий компонент инфраструктурысетевой безопасности. В целом большинство организаций такого размера охотнотратит от 5000 до 6000 долл. за хороший межсетевой экран.
Втаблице 3.3 показан выбор межсетевых экранов, обычно развертываемых в болеекрупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и CiscoPIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевогоэкрана и обеспечивают соответствующий уровень сетевой безопасности. Проверкапакетов на соответствие заданным условиям — основа этих продуктов обеспечениябезопасности, для ее реализации не требуется дорогостоящих модулей расширения.Обе модели отличаются высокой производительностью, но им не хватаетвозможностей балансировки нагрузки и передачи функций отказавшего устройстваисправному, если они крайне необходимы для бесперебойного доступа к важнейшимданным.
Вотличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компанииRimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемойцене. В стандартной конфигурации реализованы фильтры Web-узлов, проверказагружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощьюмодулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCKобеспечивает балансировку нагрузки и передачу функций отказавшего устройстваисправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналовсвязи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутыевыше высокоуровневые функции подготовки отчетов и протоколирования ирасполагает мощными функциями управления пользовательским и групповым доступомиз входящих и исходящих соединений через межсетевой экран.
Оптимальныйвыбор
Высокоуровневыесетевые межсетевые экраны, представленные в данном разделе, обеспечиваютпревосходный уровень безопасности и высокую производительность для средних икрупных предприятий. При выборе оптимального межсетевого экрана следует впервую очередь обратить внимание на контроль на прикладном уровне иисчерпывающие возможности протоколирования и подготовки отчетов о доступепользователей и приложений. Кроме того, при выборе аппаратного межсетевогоэкрана важно помнить об отказоустойчивости.
Таблица 3.2.Аппаратные межсетевые экраны для малых предприятий с высокими требованиями кбезопасностиХарактеристика SonicWALL Pro 3060 Cisco PIX-515E-R-DMZ Network Engines NS6200 Symantec SGS 5420 Цена в долларах 2319 2699 2499 2999 Контроль на прикладном уровне с учетом состояния Нет Да (ограничено) Да (умеренно) Да (ограничено) Контроль прикладного протокола Да Да Да Да Проверка пакетов на соответствие заданным условиям Да Да Да Да Прозрачная аутентификация Windows Нет Нет Да Нет Протоколирование всех имен пользователей и приложений Web и Winsock Нет Нет Да Нет Контроль на прикладном уровне через туннели SSL Нет Нет Да Нет Поддержка Exchange Нет Нет Да Нет Контроль шлюзового и клиентского трафика VPN на прикладном уровне Нет Нет Да Нет Обнаружение и предотвращение несанкционированного доступа Да Да Да Да Сервер удаленного доступа VPN и шлюз VPN Да Да Да Да VPN-клиент Нет Да Да Нет 10/100-Мбит/с порты ЛВС 5 2 3 5 Порты WAN 1 1 1 1 Балансировка нагрузки Нет Нет Да Нет Число пользователей Неогр. Неогр. Неогр. 50 Передача функций отказавшего межсетевого экрана исправному устройству Нет Нет Нет Нет Переключение Internet-провайдера и полосы пропускания Нет Нет Нет /> Настройка Web-интерфейс Командная строка и Web-интерфейс Ограниченный Web и FIPS-совместимый RDP Web-интерфейс Процессор 2-ГГц Intel 1-ГГц Intel 2-ГГц Intel Intel Web-кэширование и proxy Нет Нет Да Нет
Таблица 3.3.Аппаратные межсетевые экраны для крупных предприятий с высокими требованиями кбезопасностиХарактеристика SonicWALL Pro 4060 Cisco PIX-515E UR-FE-BUN RimApp RoadBLOCK F302PLUS Цена в долларах 4995 5145 5580 Контроль на прикладном уровне с учетом состояния Нет Да (ограничено) Да Контроль прикладного протокола Да Да Да Проверка пакетов на соответствие заданным условиям Да Да Да Прозрачная аутентификация Windows Нет Нет Да Протоколирование всех имен пользователей и приложений Web и Winsock Нет Нет Да Контроль на прикладном уровне через туннели SSL Нет Нет Да Поддержка Exchange Нет Нет Да Контроль шлюзового и клиентского трафика VPN на прикладном уровне Нет Нет Да Обнаружение и предотвращение несанкционированного доступа Да Да Да Сервер удаленного доступа VPN и шлюз VPN Да Да Да VPN-клиент Нет Да Да 10/100-Мбит/с порты ЛВС 5 6 2-5 Порты WAN 1 1-4 1-5 Балансировка нагрузки Нет Нет Да Число пользователей Неограниченно Неограниченно Неограниченно Передача функций отказавшего межсетевого экрана исправному устройству Да Да Да Переключение Internet-провайдера и объединение полосы пропускания Да Нет Да Конфигурирование Web-интерфейс Командная строка и Web-интерфейс Исчерпывающий Web и FIPS-совместимый RDP /> Процессор 2-ГГц Intel 433-МГц Celeron 2,8-ГГц Intel Web — кэширование и proxy Нет Нет Да
3.2 Intrusion DetectionSystems (IDS)
Системаобнаружение вторжение
IDSявляются программными или аппаратными системами, которые автоматизируют процесспросмотра событий, возникающих в компьютерной системе или сети, и анализируютих с точки зрения безопасности. Так как количество сетевых атак возрастает, IDSстановятся необходимым дополнением инфраструктуры безопасности.
Обнаружениепроникновения является процессом мониторинга событий, происходящих вкомпьютерной системе или сети, и анализа их. Проникновения определяются какпопытки компрометации конфиденциальности, целостности, доступности или обходамеханизмов безопасности компьютера или сети. Проникновения могут осуществлятьсякак атакующими, получающими доступ к системам из Интернета, так и авторизованнымипользователями систем, пытающимися получить дополнительные привилегии, которыху них нет. IDS являются программными или аппаратными устройствами, которыеавтоматизируют процесс мониторинга и анализа событий, происходящих в сети илисистеме, с целью обнаружения проникновений.
IDSсостоят из трех функциональных компонентов: информационных источников, анализаи ответа. Система получает информацию о событии из одного или более источниковинформации, выполняет определяемый конфигурацией анализ данных события и затемсоздает специальные ответы – от простейших отчетов до активного вмешательствапри определении проникновений.
Почемуследует использовать IDS
Обнаружениепроникновения позволяет организациям защищать свои системы от угроз, которыесвязаны с возрастанием сетевой активности и важностью информационных систем.При понимании уровня и природы современных угроз сетевой безопасности, вопросне в том, следует ли использовать системы обнаружения проникновений, а в том,какие возможности и особенности систем обнаружения проникновений следуетиспользовать.
Почемуследует использовать IDS, особенно если уже имеются межсетевые экраны,антивирусные инструментальные средства и другие средства защиты?
Каждоесредство защиты адресовано конкретной угрозе безопасности в системе. Болеетого, каждое средство защиты имеет слабые и сильные стороны. Только комбинируяих (данная комбинация иногда называет безопасностью в глубину), можнозащититься от максимально большого спектра атак.
Межсетевыеэкраны являются механизмами создания барьера, преграждая вход некоторым типамсетевого трафика и разрешая другие типы трафика. Создание такого барьерапроисходит на основе политики межсетевого экрана. IDS служат механизмамимониторинга, наблюдения активности и принятия решений о том, являются линаблюдаемые события подозрительными. Они могут обнаружить атакующих, которыеобошли межсетевой экран, и выдать отчет об этом администратору, который, в своюочередь, предпримет шаги по предотвращению атаки.
IDSстановятся необходимым дополнением инфраструктуры безопасности в каждойорганизации. Технологии обнаружения проникновений не делают систему абсолютнобезопасной. Тем не менее практическая польза от IDS существует, и не маленькая.Использование IDS помогает достичь нескольких целей:
1. Возможность иметь реакцию на атакупозволяет заставить атакующего нести ответственность за собственнуюдеятельность. Это определяется следующим образом: «Я могу прореагироватьна атаку, которая произведена на мою систему, так как я знаю, кто это сделал илигде его найти». Это трудно реализовать в сетях TCP/IP, где протоколыпозволяют атакующим подделать идентификацию адресов источника или другиеидентификаторы источника. Также очень трудно осуществить подотчетность в любойсистеме, которая имеет слабые механизмы идентификации и аутентификации.
2. Возможность блокирования означаетвозможность распознать некоторую активность или событие как атаку и затемвыполнить действие по блокированию источника. Данная цель определяетсяследующим образом: «Я не забочусь о том, кто атакует мою систему, потомучто я могу распознать, что атака имеет место, и блокировать ее». Заметим,что требования реакции на атаку полностью отличаются от возможностиблокирования.
Атакующие,используя свободно доступные технологии, могут получить неавторизованный доступк системам, если найденные в системах уязвимости не исправлены, а сами системыподсоединены к публичным сетям.
Объявленияо появлении новых уязвимостей являются общедоступными, например, черезпубличные сервисы, такие как ICAT или CERT, которые созданы для того, чтобы этиуязвимости нельзя было использовать для выполнения атак. Тем не менее,существует много ситуаций, в которых использование этих уязвимостей все жевозможно:
· Во многих наследуемых системах не могутбыть выполнены все необходимые обновления и модификации.
· Даже в системах, в которых обновлениямогут быть выполнены, администраторы иногда не имеют достаточно времени илиресурсов для отслеживания и инсталлирования всех необходимых обновлений. Этоявляется общей проблемой, особенно в окружениях, включающих большое количествохостов или широкий спектр аппаратуры и ПО.
· Пользователям могут требоватьсяфункциональности сетевых сервисов и протоколов, которые имеют известныеуязвимости.
· Как пользователи, так и администраторыделают ошибки при конфигурировании и использовании систем.
· При конфигурировании системныхмеханизмов управления доступом для реализации конкретной политики всегда могутсуществовать определенные несоответствия. Такие несоответствия позволяютзаконным пользователям выполнять действия, которые могут нанести вред иликоторые превышают их полномочия.
Видеальном случае производители ПО должны минимизировать уязвимости в своихпродуктах, и администраторы должны быстро и правильно корректировать всенайденные уязвимости. Однако в реальной жизни это происходит редко, к тому женовые ошибки и уязвимости обнаруживаются ежедневно.
Поэтомуобнаружение проникновения может являться отличным выходом из существующегоположения, при котором обеспечивается дополнительный уровень защиты системы.IDS может определить, когда атакующий осуществил проникновение в систему,используя нескорректированную или некорректируемую ошибку. Более того, IDSможет служить важным звеном в защите системы, указывая администратору, чтосистема была атакована, чтобы тот мог ликвидировать нанесенный ущерб. Этогораздо удобнее и действеннее простого игнорирования угроз сетевойбезопасности, которое позволяет атакующему иметь продолжительный доступ ксистеме и хранящейся в ней информации.
3. Возможно определение преамбул атак,обычно имеющих вид сетевого зондирования или некоторого другого тестированиядля обнаружения уязвимостей, и предотвращения их дальнейшего развития.
Когданарушитель атакует систему, он обычно выполняет некоторые предварительныедействия. Первой стадией атаки обычно является зондирование или проверкасистемы или сети на возможные точки входа. В системах без IDS атакующийсвободно может тщательно анализировать систему с минимальным риском обнаруженияи наказания. Имея такой неограниченный доступ, атакующий в конечном счете можетнайти уязвимость и использовать ее для получения необходимой информации.
Та жесамая сеть с IDS, просматривающей выполняемые операции, представляет дляатакующего более трудную проблему. Хотя атакующий и может сканировать сеть науязвимости, IDS обнаружит сканирование, идентифицирует его как подозрительное,может выполнить блокирование доступа атакующего к целевой системе и оповеститперсонал, который в свою очередь может выполнить соответствующие действия дляблокирования доступа атакующего. Даже наличие простой реакции на зондированиесети будет означать повышенный уровень риска для атакующего и можетпрепятствовать его дальнейшим попыткам проникновения в сеть.
4. Выполнение документированиясуществующих угроз для сети и систем.
Присоставлении отчета о бюджете на сетевую безопасность бывает полезно иметьдокументированную информацию об атаках. Более того, понимание частоты ихарактера атак позволяет принять адекватные меры безопасности.
5. Обеспечение контроля качестваразработки и администрирования безопасности, особенно в больших и сложных сетяхи системах.
КогдаIDS функционирует в течении некоторого периода времени, становятся очевиднымитипичные способы использования системы. Это может выявить изъяны в том, какосуществляется управление безопасностью, и скорректировать это управление дотого, как недостатки управления приведут к инцидентам.
6. Получение полезной информации опроникновениях, которые имели место, с предоставлением улучшенной диагностикидля восстановления и корректирования вызвавших проникновение факторов.
Дажекогда IDS не имеет возможности блокировать атаку, она может собрать детальную,достоверную информацию об атаке. Данная информация может лежать в основесоответствующих законодательных мер. В конечном счете, такая информация можетопределить проблемы, касающиеся конфигурации или политики безопасности.
7. IDS помогает определить расположениеисточника атак по отношению к локальной сети (внешние или внутренние атаки),что важно при принятии решений о расположении ресурсов в сети.
ТипыIDS
Существуетнесколько способов классификации IDS, каждый из которых основан на различныххарактеристиках IDS. Тип IDS следует определять, исходя из следующиххарактеристик:
Способмониторинга системы. По способаммониторинга системы делятся на network-based, host-based и application-based.
Способанализа. Это часть системы определенияпроникновения, которая анализирует события, полученные из источника информации,и принимает решения, что происходит проникновение. Способами анализа являютсяобнаружение злоупотреблений (misuse detection) и обнаружение аномалий (anomalydetection).
Задержкаво времени между получением информации изисточника и ее анализом и принятием решения. В зависимости от задержки во времени,IDS делятся на interval-based (или пакетный режим) и real-time.
Большинствокоммерческих IDS являются real-time network-based системами.
Кхарактеристикам IDS также относятся:
Источникинформации. IDS может использоватьразличные источники информации о событии для определения того, чтопроникновение произошло. Эти источники могут быть получены из различных уровнейсистемы, из сети, хоста и приложения.
Ответ: Набор действий, которые выполняет система послеопределения проникновений. Они обычно разделяются на активные и пассивные меры,при этом под активными мерами понимается автоматическое вмешательство внекоторую другую систему, под пассивными мерами — отчет IDS, сделанный длялюдей, которые затем выполнят некоторое действие на основе данного отчета.
РазвертываниеIDS
Технологияобнаружения проникновений является необходимым дополнением для инфраструктурысетевой безопасности в каждой большой организации. Эффективное развертываниеIDS требует тщательного планирования, подготовки, прототипирования, тестированияи специального обучения.
Следуеттщательно выбирать стратегию обнаружения проникновения, совместимую с сетевойинфраструктурой, политикой безопасности и имеющимися ресурсами.
Стратегияразвертывания IDS
Следуетопределить несколько стадий развертывания IDS, чтобы персонал мог получить опыти создать необходимый мониторинг и необходимое количество ресурсов дляфункционирования IDS. Требуемые ресурсы для каждого типа IDS могут сильноразличаться, в частности, и в зависимости от системного окружения. Необходимоиметь соответствующую политику безопасности, планы и процедуры, чтобы персоналзнал, как обрабатывать различные многочисленные сигналы тревоги, выдаваемыеIDS.
Длязащиты сети предприятия рекомендуется рассмотреть комбинацию network-based IDSи host-based IDS. Далее следует определить стадии развертывания, начиная сnetwork-based IDS, так как они обычно являются более простыми дляинсталлирования и сопровождения. После этого следует защитить критичные серверыс помощью host-based IDS. Используя инструментальные средства анализауязвимостей, следует протестировать IDS и другие механизмы безопасностиотносительно правильного конфигурирования и функционирования.
Такиетехнологии, как Honey Pot и аналогичные, должны использоваться только в томслучае, если имеется достаточная техническая квалификация администратора. Болеетого, эти технологии должны использоваться только после анализа существующегозаконодательства.
Развертываниеnetwork-based IDS
Единственныйвопрос, который следует тщательно продумать при развертывании network-basedIDS, — это расположение системных сенсоров. Существует много вариантоврасположения network-based IDS, каждый из которых имеет свои преимущества:
1. Основная подсеть
2. Подсеть с критичными ресурсами идополнительными точками доступа
3. DMZ-сеть
/>
Рис. 3.1.Возможные варианты расположения сенсоров network-based IDS
Позадивнешнего межсетевого экрана в DMZ-сети (расположение 1)
Преимущества:
· Видит атаки, исходящие из внешнегомира, которым удалось преодолеть первую линию обороны сетевого периметра.
· Может анализировать проблемы, которыесвязаны с политикой или производительностью межсетевого экрана, обеспечивающегопервую линию обороны.
· Видит атаки, целями которых являютсяприкладные серверы (такие как web или ftp), обычно расположенные в DMZ.
· Даже если входящая атака не распознана,IDS иногда может распознать исходящий трафик, который возникает в результатекомпрометации сервера.
Передвнешним межсетевым экраном (расположение 2)
Преимущества:
· Документирует количество атак,исходящих из Интернета, целью которых является сеть.
· Документирует типы атак, исходящих изИнтернета, целью которых является сеть.
Наосновной магистральной сети (расположение 3)
Преимущества:
· Просматривает основной сетевой трафик;тем самым увеличивается вероятность распознания атак.
· Определяет неавторизованнуюдеятельность авторизованных пользователей внутри периметра безопасностиорганизации.
Вкритичных подсетях (расположение 4)
Преимущества:
· Определяет атаки, целью которыхявляются критичные системы и ресурсы.
· Позволяет фокусироваться наограниченных ресурсах наиболее значимых информационных ценностей, расположенныхв сети.
Развертываниеhost-based IDS
Послетого как network-based IDS размещены и функционируют, для увеличения уровнязащиты системы дополнительно может быть рассмотрено использование host-basedIDS. Однако инсталлирование host-based IDS на каждый хост может потребоватьсущественных временных затрат. Поэтому рекомендуется, чтобы в первую очередьhost-based IDS были инсталлированы на критичных серверах. Это может уменьшитьобщую стоимость развертывания и позволит основное внимание уделить реагированиюна тревоги, касающиеся наиболее важных хостов. После того как host-based IDSначали функционировать в обычном режиме, организации с повышенными требованиямик безопасности могут обсудить возможность инсталлирования host-based IDS надругие хосты. В этом случае следует приобретать host-based системы, которыеимеют централизованное управление и функции создания отчетов. Такие возможностимогут существенно понизить сложность управления сообщениями о тревогах отбольшого числа хостов.
Далееследует рассмотреть возможность повышения квалификации администраторов. Вбольшинстве случаев эффективность конкретной host-based IDS зависит отвозможности администратора различать ложные и верные тревоги.
Такжеважно (так как часто администратор не сопровождает постоянно host-based IDS)установить график проверки результатов IDS. Если это не сделано, риск, чтопротивник изменит что-либо в IDS в течение осуществления атаки, возрастает.
Стратегииоповещения о тревогах
Наконец,при развертывании IDS важной проблемой является определение того, какие именновозможности оповещения IDS о тревогах использовать в каждом конкретном случае.Большинство IDS поставляются с уже сконфигурированными возможностями оповещенияо тревогах, которые допускают широкий диапазон опций, включая посылку сообщенийна e-mail, пейджер, использование протоколов сетевого управления и дажеавтоматическое блокирование источника атаки.
Важнобыть консервативным в использовании этих возможностей до тех пор, пока не будетстабильной инсталляции IDS и некоторого понимания поведения IDS в данномокружении. Иногда рекомендуется не активизировать оповещения о тревогах IDS втечение нескольких месяцев после инсталляции.3.3 IPv6 как сильное влияниена конструкцию межсетевого экрана
Из всехновшеств, которые появились в ближайшие несколько лет, самое сильное влияние наконструкцию межсетевых экранов окажет одно — новое поколение протокола IP.
Текущей,четвертой версии протокола IP (или IPv4) уже почти 20 лет, и ее возрастначинает сказываться. Адресное пространство IPv4 быстро исчерпывается. Хакерыпостоянно находят новые способы эксплуатации слабостей протокола и основанныхна нем служб. Новые службы могли бы быть более надежными, если бы таким был сампротокол, лежащий в основе Интернет. Очевидно, что по всем этим и другимпричинам в ближайшем будущем произойдет переход на новую, шестую версиюпротокола IP (IPv6). Работа над IPv6 началась в начале 90-х, а первыйпредложенный стандарт был одобрен в ноябре 1994 года в документе RFC 1752 «TheRecommendation for the IP Next Generation Protocol».
IPv6сможет взаимодействовать с IPv4, и скорее всего развертывание IPv6 произойдетпутем плавной замены, в процессе которой оба протокола будут мирнососуществовать.
Совместнаяработа IPv4 и IPv6
Какбудет обеспечиваться возможность совместной работы IPv4 и IPv6 в одной сети? Внастоящий момент для этого предлагается два метода. Первый из них состоит виспользовании в системах с IPv6 двух различных стеков протоколов, одного дляIPv4, а другого для IPv6. Их выбор будет определяться типом протокола, применяемогона узле, с которым устанавливается соединение. Второй метод заключается втуннелировании пакетов IPv6 внутри пакетов IPv4 при обмене данными междукомпьютерами с IPv6 по маршруту, содержащему компьютеры с IPv4.
ЗаголовокIPv6
Длинанового заголовка IP-пакета равна 40 байтам. Благодаря тому, что эта величинафиксирована, сетевые устройства смогут обрабатывать пакеты намного быстрее. Нарис. 3.2 видно, что новый заголовок содержит меньше полей, чем заголовок IPv4.
Кромеуменьшения количества полей, самым заметным отличием заголовка IPv6 являетсябольший размер полей адреса. Поля отправителя и получателя имеют 128 бит, чтопозволит создать достаточное количество адресов для уникальной идентификациикаждой песчинки на планете. Этого должно хватить, по крайней мере, еще нанесколько лет.Версия Класс трафика Метка потока Длина данных Следующий заголовок Счетчик сегментов Адрес отправителя Адрес получателя /> /> /> /> />
Рис. 3.2.Длина заголовка IPv6 фиксирована и равна 40 байтам
Следующиеполя заголовка IPv4 были исключены из заголовка IPv6:
· поля, относящиеся к фрагментации, такиекак Fragment Offset (Смещение фрагмента) и Identification (Идентификатор), атакже флаги Don't Fragment (Запрет фрагментации) и More Fragments (Флагфрагментации);
· поле контрольной суммы;
· поле параметров.
Дляувеличения скорости обработки пакетов в IPv6 было решено отказаться от ихфрагментации. Очередной маршрутизатор, не способный передать дальше слишкомбольшой пакет, не станет разбивать его на фрагменты, которые придется собиратьна принимающем конце. Вместо этого пакет будет отброшен, а маршрутизатор вернетновое сообщение ICMP (Packet Too Big — слишком большой размер пакета)отправителю, который сможет самостоятельно разбить сообщение на более мелкиепакеты.
Дальнейшейпопыткой увеличить скорость обработки пакетов в IPv6 является отказ от поляконтрольной суммы пакета. Каждый маршрутизатор на пути пакета должен зановоопределять значение данного поля, так как счетчик сегментов в поле TTLуменьшается на каждом новом узле. Поскольку контрольная сумма вычисляется влежащем в основе IP канальном уровне, а также в протоколах TCP и UDP, удалениеэтого поля из IP-заголовка не вызовет никаких проблем.
Новыесообщения ICMP
ПротоколIP с помощью сообщений ICMP выполняет множество функций, наиболее известной изкоторых является проверка доступности узла удаленной сети утилитой PING,которая посылает для этого эхо сообщения ICMP. Как и протокол IP, ICMP будетрасширен, чтобы идти в ногу со временем. Кроме изменений, связанных с введениемIPv6, в ICMP будут включены функции протокола Internet Group ManagementProtocol (IGMP, протокола управления группами Internet).
С полемOptions (Параметры) ситуация другая. Это поле переменной длины было убрано изIP-заголовка, чтобы его длина оказалась зафиксированной, но это не означает,что удалены также и параметры. Они могут быть заданы в поле Next Header(Следующий протокол), которое обычно обозначает другой протокол, такой как TCPили UDP. В этом случае параметры помещаются в область данных пакета, а в полеNext Header содержится указатель их положения. Благодаря отсутствию параметровв заголовке пакета (и тем самым сохранению длины заголовка постоянным)IP-пакеты обрабатываются намного быстрее.
В новомзаголовок IPv6 могут содержаться следующие поля:
· Version (Версия) — 4-битное поле,обозначающее, как и в IPv4, версию протокола IP. В IPv6 всегда имеет значение6;
· Traffic Class (Класс трафика) — 8-битное поле, предназначенное для тех же целей, что и поле Type of Service(Тип службы) в заголовке IPv4, хотя его спецификации еще не устоялись;
· Flow Label (Метка потока) — используется для обозначения различных потоков (flows) трафика. Позволяетзадавать приоритеты обработки потоков. Окончательного определения потока ещенет. Это может быть более дорогостоящий трафик, либо трафик с аудио- иливидеоданными;
· Payload Length (Длина данных) — 16-битное поле, указывающее число байт в блоке данных, который идет послезаголовка;
· Next Header (Следующий заголовок) — служит для определения протокола более высокого уровня, которому IP передастпакет для дальнейшей обработки. В данном поле применяются те же номерапротоколов, что и в IPv4;
· Hop Limit (Счетчик сегментов) — максимально допустимое число сегментов. Каждый маршрутизатор, через которыйпроходит пакет, уменьшает значение этого поля на единицу. Когда значениесчетчика становится равным нулю, пакет отбрасывается;
· Source Address (Адрес отправителя) —128-битное поле с адресом отправителя пакета;
· Destination Address (Адрес получателя)- 128-битное поле с адресом получателя пакета.
Расширенныезаголовки
ПолеNext Header в 40-байтном заголовке фиксированной длины служит для обозначениятипа заголовка, который будет расположен в начале области данных IP-пакета.Вспомним, что внутри пакета IP обычно находится пакет протокола более высокогоуровня, такого как TCP или UDP, который имеет собственный заголовок. За счетприменения IP-заголовка фиксированной длины обработка пакетов намаршрутизаторах и других сетевых устройствах намного ускоряется. Но посколькунекоторые поля были исключены из заголовка, для выполнения их функций должныбыть предусмотрены другие методы.
Поэтомубыло разработано несколько типов так называемых расширенных заголовков(extension headers), которые также могут находиться в начале области данныхIP-пакета. При этом поле Next Header указывает на расширенный заголовок. Вкачестве подобных заголовков допускается указывать следующие:
· Hop-by-Hop Options (Параметры,проверяемые на каждом узле);
· Fragmentation (Фрагментация);
· Routing (Маршрутизация);
· Authentication (Аутентификация);
· Security Encapsulation (Защитасодержания);
· Encapsulation Security Payload(Безопасное закрытие содержания);
· Destination Options (Параметрыполучателя).
Первыйтип расширенного заголовка (проверяемые на каждом узле параметры) обозначаетсянулевым значением поля Next Header. В этом заголовке находится информация,которую должна контролировать каждая система на пути пакета. На настоящиймомент определен лишь один подобный параметр — Jumbo Payload (Большой пакет),то есть IP-пакет размером более 65535 байт. Взглянув на формат расширенногозаголовка (рис. 3.3), мы увидим, что он, как и заголовок IPv6, содержит полеNext Header. Это позволяет вводить несколько расширенных заголовков, каждый изкоторых указывает на следующий.
Расширенномузаголовку Fragmentation соответствует значение поля Next Header, равное 44, иэтот заголовок вводится в том случае, если отправитель пакета понимает, что дляпередачи по сети сообщение должно быть фрагментировано. IPv6 пакеты не фрагментируются- эта возможность была удалена для ускорения обработки IP-пакетов. Любаяфрагментация сообщения выполняется отправителем пакета, и данный расширенныйзаголовок предназначен для хранения информации об этом процессе, чтобыпринимающий узел был способен корректно собрать сообщение.
/>
Рис. 3.3.Формат расширенного заголовка
Функциирасширенного заголовка Routing (значение поля Next Header для которого равно43) аналогичны маршрутизации от источника в IPv4. Здесь в заголовке задаетсяодин или несколько узлов, через которые должен пройти пакет на своем пути кместу назначения.
Расширенныйзаголовок Destinations Options (значение поля Next Header для которого равно60) предназначен для записи информации, которую проверяет только получатель.
Значение59 в поле Next Header говорит о том, что больше не осталось расширенныхзаголовков, которые необходимо проверить. Если размер области данных, указанныйв поле Payload Length, превышает это значение, байты, оставшиеся после обнаружениязаголовка с таким значением, будут игнорироваться.
АдресацияIPv6
Припереходе от 32 бит к 128 битам адресное пространство IPv6 астрономическиувеличится по сравнению с IPv4.
В IPv6существует три основных типа адресов:
· unicast (индивидуальный) — уникальныйидентификатор определенного сетевого интерфейса;
· anycast (любой) — обозначает несколькоинтерфейсов. Пакет, направленный на адрес типа anycast, будет передан наближайший интерфейс (определенный используемым протоколом маршрутизации),заданный этим адресом;
· multicast (групповой) — также указываетна несколько интерфейсов. Но в отличие от случая с адресом типа anycast, пакет,отправленный на адрес типа multicast, пересылается всем интерфейсам,обозначенным этим адресом.
Несмотряна то, что адрес типа unicast является уникальным идентификатором сетевогоинтерфейса, один интерфейс может иметь несколько unicast-адресов.Широковещательных (broadcast) адресов больше нет — их функциональностьунаследовал тип адресов multicast.
Заключения
Ознакомившисьс описанными проблемами, можно сделать вывод, что межсетевые экраныобеспечивают защиту компьютерной сети организации от несанкционированноговмешательства. Межсетевые экраны являются необходимым средством обеспеченияинформационной безопасности. Они обеспечивают первую линию обороны. При выбореи приобретении межсетевых экранов необходимо тщательно все продумать ипроанализировать. Выбрать нужную архитектуру и компонентов межсетевого экрана.Правильно настроить программную обеспечению и тестировать конфигурациюмежсетевого экрана.
Список сокращений и обозначенийКСО Компьютерный сеть организации ИБ Информационная безопасность ОС Операционная Система ПО Программное Обеспечение НСД Несанкционированный доступ СОИБ Система обеспечения информационной безопасности СУБД Система управлением база данных ЦП Центральный Процессор CA Certification Authority CGI Common Gateway Interface DHCP Dynamic Host Configuration Protocol DMZ Demilitarized Zone DNS Domain Name System DoS Denial of Service DSA Digital Signature Algorithm FTP File Transport Protocol GUI Graphical User Interface HTML Hyper Text Markup Language HTTP Hyper Text Transfer Protocol IDS Intrusion Detection System IIS Internet Information Services KSK Key Signing Key MAC Media Access Control MAC Message Authentication Code MD5 Message Digest v5 NAT Network Address Translation NTP Network Time Protocol NTP Network Time Protocol OSI Open System Interconnection PKI Public Key Infrastructure RSA Rivest, Shamir, Adleman SEP Secure Entry Point SHA Secure Hash Algorithm SMTP Simple Mail Transfer Protocol SSH Secure Shell SSL Secure Socket Layer TOS Trusted ОС VPN Virtual Private Network URL Uniform Resource Locator REP Robots Exclusion Standard IE Internet Explorer SSI Server Side Includes ASP Active Server Pages ISP Internet Service Provider
Список использованныхисточников литературы
1. О.Р. Лапонина. Межсетевое экранирование. «ИНТУИТ», М., 2009;
2. Т.В. Оглтри. Firewalls. Практические применение межсетевыхэкранов. «ДМК», М., 2008;
3. Девид Чемпен, Энди Фокс. Брандмауэры Cisco Secure PIX.«Вильямс», М., 2009;
4. Т.А. Биячуев. Безопасность корпоративных сетей. Спб., 2008;
5. А.Ю. Щеглов. Защита компьютерной сети отнесанкционированного доступа. «НиТ», Спб., 2009;
6. Р. Зиглер. Брандмауэры в Linux. «Вильямс», М., 2009;
7. Журнал «Chip», июль 2007;
8. Журнал «Проблемы информационной безопасности», апрель 2008;
9. Яковлев. Лекция «Межсетевой экраны» 2009;
Интернетресурсы
1. securitylab.ru
2. cisco.com
3. zonealarm.com
4. hub.ru
5. opennet.ru
6. infosecurity.ru
7. osp.ru
8. www.security-teams.net
9. www.oszone.ru
10. www.secure.com.ru