Межсетевые экраны уровня ядра

При оценке практических реализаций МЭ в качестве одного из главных параметров выступает быстродействие. Сложность про-

верок, осуществляемых МЭ, обычно приводит к снижению его производительности. Для устранения этого существенного недо­статка была разработана технология МЭ, функционирующего на уровне ядра (Kernel Proxy). Рассмотрим подробнее особенности данной технологии на примере МЭ Cisco Centry Firewall, кото­рый впервые использовал данную технологию (основное внима­ние будем уделять использованию элементов уже рассмотренных технологий).

Межсетевой экран Cisco Centri включает в себя основные до­стоинства предыдущих архитектур (скорость обработки в ядре, за­висимость от сессии для каждого уровня протокола и т.д.). Этот МЭ разработан с использованием технологии автономных аген­тов, что позволяет легко добавлять новых агентов для решения новых задач. Схема функционирования МЭ уровня ядра приведена на рис. ЗЛО.

Подсистема безопасности данного МЭ использует многие эле­менты из рассмотренных технологий МЭ. Подсистема МЭ Cisco Centri включает в себя следующие основные модули:

• ядро безопасности;

• модуль управления хостом;

• модуль управления каналами связи МЭ;

• агент регистрации входов;

• агент аутентификации.

Основным модулем является ядро безопасности. Ядро анализи­рует каждый входящий и исходящий пакет, проходящий через сервер МЭ, и применяет к каждому пакету заданную реализацию

v< никжленной политики безопасности. Ядро безопасности опе­рирует внутри ядра Windows NT, что позволяет обеспечить высо­кую производительность МЭ.

Основываясь на политике безопасности (применительно к каж­дой сетевой карте), модуль управления управляет созданием со­единения для соответствующей карты. Каждый сетевой пакет ана­лизируется на принадлежность к существующему соединению. Если такое соединение для пакета есть, то пакет передается в стек proxy существующего соединения. Если нет — проверяется модулем уп­равления на наличие политики соединения. В результате пакет или удаляется, или создается динамический стек для нового соедине­ния, и пакет передается в него.

Ядро безопасности, в свою очередь, содержит четыре компо­нента, составляющих суть данной технологии.

Перехватчик пакетов перехватывает пакеты, поступающие на МЭ, и передает их в модуль верификации. Перехватчик распола­гается между естественным сетевым стеком Windows и драйвера­ми сетевых адаптеров. Для перехватчика стек Windows является внешним стеком, поэтому перехватчик рассматривает все пакеты до их поступления в стек собственно Windows.

Захватив пакет, перехватчик передает его в анализатор, кото­рый по информации заголовка пакета подготавливает пакет и со­ответствующие данные для дальнейшей работы модуля верифи­кации.

Модуль верификации безопасности применяет заданную поли­тику безопасности (загружаемую в ядро административным аген­том), инициализирует и отслеживает сеансы всех разрешенных соединений. Таким образом, модуль верификации на основании пакета и подготовленных анализатором данных для каждого паке­та выполняет одно их трех возможных действий:

• отбрасывает пакет (исключает из дальнейшей обработки);

• устанавливает, что пакет принадлежит существующему со­ единению, и передает пакет соответствующему proxy;

• устанавливает (если пакету разрешено) новое соединение с созданием соответствующего динамического стека proxy.

Механизмы proxy-ядра используют динамические стеки, зави­сящие от соответствующего протокола соединения. В первой вер­сии МЭ были реализованы восемь типов динамических стеков.

Рассмотрим виды proxy в МЭ уровня ядра и выполняемые в их рамках проверки.

Для IP:

• проверка адресов источника и назначения — проверяется, что данному адресу источника разрешено взаимодействовать с соответствующим адресом назначения; •

• защита от атаки Ping of Death — проверяется, что каждый пакет не превышает максимально возможную длину. Если длина

пакета больше максимальной, то пакет уничтожается и генериру­ется запись в журнал;

• защита от атаки IP Spoof — при установлении нового соеди­ нения проверяется источник по статическим таблицам маршру­ тов, связанным с сетевыми картами. Если пришедший пакет не соответствует установленной таблице, то он уничтожается и ге­ нерируется запись в журнале.

Для ICMP:

• проверяется соответствие типа пришедшего пакета ICMP за­ данным правилам. Если данный тип не разрешен, то пакет унич­ тожается и генерируется запись в журнале.

Для TCP:

. • проверка портов — проверяется, что запрос на инициализа­цию соединения направлен на разрешенный порт;

• защита от атаки SYN Flood — данная проверка оперирует с заранее заданным счетчиком числа полуоткрытых соединений. Значение счетчика может устанавливаться автоматически в зави­ симости от реальной физической памяти стека. При превышении значения этого счетчика проводится анализ процентного запол­ нения стека (для полуоткрытых соединений) и адресов их исто­ чников. Для тех адресов, которые были получены ранее, полуот­ крытые соединения закрываются;

• функция NAT — выполнение функций трансляции адресов. Для UDP:

• проверяется, что запросы на инициализацию служб направ­ лены на разрешенные порты.

Для HTTP:

• аутентификация пользователя — инициируется передачей со­ ответствующих данных запроса на соединение агенту аутентифи­ кации;

• фильтрация HTTP — проверка осуществляется в соответствии со списком файлов и сайтов, которые разрешено использовать в службе HTTP. В этом списке могут быть указаны адреса, имена до­ менов или типы файлов (по расширению, например, .class, .ocx, .alx);

• контроль разрешенных действий — проверяются все действия, ассоциированные с HTTP, на наличие соответствующего разре­ шения для пользователя (например, поместить объект на HTTP сервер, получить объект с НТГР-сервера);

• фильтрация HTML — проверяется содержимое пакетов при­ кладного уровня. В ходе этой проверки модифицируются, если необходимо, данные HTML-документов, передающихся во вре­ мя HTTP сеанса: фильтрация ActiveX (удаляются теги <OBJECT>), фильтрация Java апплетов (удаляются теги <APPLET>), фильтрация JavaScript и VBScript (удаляются теги <SCRIPT>).

Для FTP:

• аутентификация пользователя — инициируется передачей со­ ответствующих данных запроса на соединение агенту аутентифи­ кации;

• поддержка режима «непрозрачного» proxy — данный режим выполняется в случае, когда адрес в пакете является адресом само­ го МЭ. Пользователи могут соединиться с сервером МЭ и, исполь­ зуя команды FTP, с другими серверами. Этот режим предназначен для работы внешних пользователей с серверами компании;

• контроль разрешенных действий — осуществляется проверка всех возможных действий, ассоциированных с FTP, наличие раз­ решений пользователя на использование соответствующей служ­ бы, предоставляемой протоколом: чтение объекта с FTP-сервера, запись объекта на FTP-сервер, удаление объекта с FTP-сервера, перемещение по директориям.

Для Telnet:

• аутентификация пользователя — инициируется передачей соответствующих данных запроса на соединение агенту аутенти­ фикации;

• поддержка режима «непрозрачного» proxy — выполняется в случае, когда адрес в пакете является адресом самого МЭ. Пользо­ ватели могут соединиться с сервером МЭ и затем, используя коман­ ды Telnet, с другими серверами. Этот режим предназначен для работы внешних пользователей с серверами компании;

• контроль портов — проверяется, что запросы на инициализа­ цию служб направлены на разрешенные Telnet-порты.

Для SMTP:

• противодействие атаке SMTP Flood — позволяет удалять всю почту от определенного адреса или сети, направленную на защи­ щаемую сеть;

• разрешение знаков маршрутизации — показывает, разреше­ но ли пользовательской части заголовка сообщения содержать знаки маршрутизации: !, [, ], : и %;

• ограничение числа знаков At (@) — показывает, сколько зна­ ков @ может содержать путь, указанный пользователем;

• разрешение команды Verify — проверяется, разрешено ли использование команды VRFY при прохождении МЭ на пути к серверу SMTP;

• разрешение команды Expand — проверяется, разрешено ли использование команды EXPN при прохождении МЭ на пути к серверу SMTP;

• ограничение числа получателей — позволяет установить ко­ личество абонентов, которым адресуется одно сообщение;

ограничение длины сообщения — позволяет устанавливать максимальную разрешенную для передачи длину сообщения

В данном МЭ применяются правила фильтрации. Существуют статические и динамические правила фильтрации для соедине­ний, организован контроль на прикладном уровне и т.д. Кроме того, весь внутренний трафик между базой знаний МЭ и агента­ми шифруется с помощью Microsoft Crypto API.

Хотя сам Cisco Centri снят с производства, его идеи нашли широкое применение в разработках разных производителей. Боль­шинство современных МЭ оперируют на уровне ядра операцион­ной системы, в качестве которой выступают не операционные системы общего пользования, а специально разрабатываемые опе­рационные системы.