Yazov_ITKS

ных правил фильтрации, на основе которых принимается одно из следующих решений:

не пропустить данные;

обработать данные от имени получателя и возвратить результат отправителю;

передать данные на следующий фильтр для продолжения анализа;

пропустить данные, игнорируя следующие фильтры.

То есть в межсетевом экране осуществляется разрешение или запрещение дальнейшей передачи данных и выполнение дополнительных защитных функций. В качестве характеристик, анализируемых при фильтрации, могут быть:

служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и др.;

непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;

внешние характеристики потока информации, например, временные, частотные характеристи-

ки, объем данных и т.п.

Функции посредничества межсетевой экран выпол-

няет с помощью специальных программ, называемых экранирующими агентами или просто программами – посредниками (рис. 5.9).

Они являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью. При необходимости доступа из внутренней сети во внешнюю или наоборот вначале должно быть установлено логическое соединение с программой

– посредником, функционирующей в компьютере экрана.

441

Программа – посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Дальнейший обмен осуществляется через программу – посредника.

При этом может осуществляться фильтрация потока сообщений и выполняться другие защитные функции:

идентификация и аутентификация пользователей;

проверка подлинности передаваемых данных;

разграничение доступа к ресурсам внутренней сети;

разграничение доступа к ресурсам внешней сети;

преобразование потока сообщений, например, динамический поиск вирусов и шифрование информации;

регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов;

кэширование данных, запрашиваемых из внешней сети и др.

Взависимости от того, на каком уровне модели OSI поддерживается безопасность межсетевого взаимодействия, различают следующие виды (классы) экранов: экранирующие маршрутизаторы; шлюзы сеансового уровня; прикладные шлюзы.

Экранирующий маршрутизатор, который называют еще пакетным фильтром, предназначен для фильтрации пакетов сообщений и обеспечивает прозрачное взаимодействие между внутренней и внешней сетями. Он функционирует на сетевом уровне модели OSI, но для выполнения своих отдельных функций может охватывать и транспортный уровень. Решение о том, пропустить и отбраковать данные, принимается для каждого пакета независимо на

443

основе заданных правил фильтрации. Для принятия решения анализируются заголовки пакетов сетевого и транспортного уровня. В качестве анализируемых полей IP- и TCP-заголовков каждого пакета выступают: адрес отправителя; адрес получателя; тип пакета; флаг фрагментации пакета; номер порта источника; номер порта получателя. Первые 4 параметра относятся к IP, а остальные к TCPзаголовку.

При обработке пакета экранирующий маршрутизатор последовательно просматривает заданную таблицу правил, пока не найдет правило, с которым согласуется вся совокупность параметров пакета. Если таковых нет, то пакет отбраковывается.

Шлюз сеансового уровня, называемый еще экранирующим транспортом, предназначен для контроля виртуальных соединений и трансляции IP-адресов при взаимодействии с внешней сетью. Защитные функции относятся к функциям посредничества. Контроль виртуальных соединений заключается в контроле квитирования связи, а также контроле передачи информации по установленным виртуальным каналам. При контроле квитирования шлюз определяет, является запрашиваемый сеанс связи допустимым. Эта процедура состоит из обмена ТСР-пакетами, которые помечаются флагами SYN (синхронизировать) и ACK (подтвердить). Сеанс считается допустимым только в том случае, когда флаги SYN и ACK, а также числа, содержащиеся в заголовках ТСР-пакетов, оказываются логически связанными друг с другом. После того как шлюз определил, что рабочая станция внутренней сети и компьютер внешней сети являются авторизованными участниками сеанса, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента, шлюз копирует и перенаправляет пакеты туда и обратно, контро-

444

лируя передачу информации по установленному виртуальному соединению. Он поддерживает таблицу установленных соединений. Когда сеанс завершается, из таблицы удаляется соответствующая запись. Шлюз сеансового уровня обеспечивает трансляцию (NetworkAddressTranslation – NAT) внутренних IP-адресов сетевого уровня при взаимодействии с внешней сетью. При этом IP-адреса пакетов, следующих из внутренней сети во внешнюю, автоматически преобразуются в один IPадрес, ассоциируемый с экранирующим транспортом. Это исключает прямой контакт между внутренней и внешней сетью. Недостатки у шлюза сеансового уровня такие же, как и у экранирующего маршрутизатора: не обеспечивается контроль и защита содержимого пакетов, не поддерживается аутентификация пользователей и конечных узлов.

На практике большинство шлюзов сеансового уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня.

Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне эталонной модели и обеспечивает наиболее надежную защиту межсетевых взаимодействий. Защитные функции относятся к функциям посредничества, но при этом выполняется значительно большее количество функций, а именно:

идентификация и аутентификация пользователей при попытке установления соединения через МЭ;

проверка подлинности информации, передаваемой через шлюз;

разграничение доступа к ресурсам внутренней и внешней сети;

фильтрация потоков сообщений на прикладном уровне, а также преобразование потоков сообщений, например, динамический поиск вирусов и

445

прозрачное шифрование информации;

регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерация отчетов;

кэширование данных, запрашиваемых из внешней сети.

Важнейшее отличие прикладного шлюза в том, что посреднические программы шлюза связаны с конкретными приложениями (программными серверами конкретных служб TCP/ IP, то есть серверы HTTP, FTP, SMTP, NNTP и

др.), которые функционируют в резидентном режиме и реализуют функции экранирования.

Как правило, на практике используют комплексные

МЭ.

Из изложенного видно, что разные МЭ обладают разными возможностями по экранированию трафика. Для их применения в ИТКС разных классов защищенности в [53] установлены требования, в которых определены пять классов защищенности, обеспечиваемых МЭ. Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации. Самый низкий класс защищенностипятый, применяемый для безопасного взаимодействия информационных систем класса 1Д с внешней средой, четвертый - для 1Г, третий - 1В, второй - 1Б, самый высокий - первый, применяемый для безопасного взаимодействия информационных систем класса 1А с внешней средой.

При включении МЭ в ИТКС определенного класса защищенности класс защищенности совокупной ИТКС, полученной из исходной путем добавления в нее МЭ, не должен понижаться.

Для ИТКС, соединенных с сетями общего пользования, где не должна обрабатываться информация, содер-

446

жащая сведения, составляющие государственную тайну, необходимо применять МЭ 5 и 4 класса соответственно для информационных систем класса 1Д и1Г.

Требования к пятому классу защищенности МЭ-

заключаются в следующем.

1.МЭ должен обеспечивать управление доступом путем фильтрации пакетов на сетевом уровне. Решение по фильтрации принимается для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.

2.МЭ должен обеспечивать идентификацию и аутентификацию администратора МЭ при его локальных запросах на доступ. МЭ должен предоставлять возможность для идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия.

3.МЭ должен обеспечивать регистрацию входа (выхода) администратора МЭ в систему (из системы) либо загрузку и инициализацию системы и ее программный останов. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ. В параметрах регистрации указываются:

дата, время и код регистрируемого события;

результат попытки осуществления регистрируемого события - успешная или неуспешная;

идентификатор администратора МЭ, предъявленный при попытке осуществления регистри-

руемого события.

4.МЭ должен содержать средства контроля целостности своей программной и информационной части.

5.В МЭ должна быть предусмотрена процедура восстановления после сбоев и отказов оборудования, которые должны обеспечивать восстановление свойств МЭ.

447

6.В МЭ должна обеспечиваться возможность регламентного тестирования:

реализации правил фильтрации (см. п. 1);

процесса идентификации и аутентификации администратора МЭ (см. п. 2);

процесса регистрации действий администратора МЭ (см. п. 3.);

процесса контроля целостности программной и информационной части МЭ (см. п. 4);

процедуры восстановления (см. п. 5).

7.Руководство администратора МЭ должно содер-

жать:

описание контролируемых функций МЭ,

руководство по настройке и конфигурированию МЭ,

описание старта МЭ и процедур проверки правильности старта;

руководство по процедуре восстановления.

8.Тестовая документация должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п.6), и результаты тестирования.

9. Конструкторская (проектная) документация должна содержать:

общую схему МЭ,

общее описание принципов работы МЭ;

описание правил фильтрации;

описание средств и процесса идентификации и аутентификации;

описание средств и процесса регистрации;

описание средств и процесса контроля целостностью программной и информационной части МЭ;

описание процедуры восстановления свойств МЭ.

448

Требования к четвертому классу защищенности МЭ заключаются в следующем.

1. В части управления доступом требования полностью включают аналогичные требования пятого класса (п. 1). Дополнительно МЭ должен обеспечивать:

фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

фильтрацию с учетом любых значимых полей сетевых пакетов.

2.МЭ должен обеспечивать возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации.

3.В части идентификации и аутентификации при администрировании требования полностью совпадают с аналогичными требованиями пятого класса (п.2).

4.В части регистрации при администрировании требования включают аналогичные требования пятого класса (п.3). Дополнительно МЭ должен обеспечивать регистрацию запуска программ и процессов (заданий, задач).

5.В части обеспечения целостности требования полностью совпадают с аналогичными требованиями пятого класса (п.4).

6.В части обеспечения восстановления требования полностью совпадают с аналогичными требованиями пятого класса (п.5).

7.В МЭ должна обеспечиваться возможность регламентного тестирования:

реализации правил фильтрации (см. п.1),

процесса регистрации (см. п.2);

449

процесса идентификации и аутентификации администратора МЭ (см. п.3);

процесса регистрации действий администратора МЭ (см. п.4),

процесса контроля целостности программной и информационной части МЭ (см. п.5);

процедуры восстановления (см. п.6).

8.Требования, касающиеся Руководства администратора МЭ, полностью совпадают с аналогичными требованиями пятого класса (п.7).

9.Тестовая документация должна содержать описание тестов и испытаний, которым подвергался МЭ (в соответствии с п.7), и результаты тестирования.

10.Требования, касающиеся конструкторской (проектной) документации, полностью совпадают с аналогичными требованиями пятого класса (п.9) по составу документации.

Некоторые варианты применения межсетевых экранов приведены на рис. 5.10 [54, 55].

В варианте а) МЭ полностью экранирует локальную сеть от сети общего пользования. Открытые серверы, входящие в локальную сеть, также защищаются межсетевым экраном, однако предоставление сервисов внешним пользователям в ходе взаимодействия с внешними сетями создает опасность для других ресурсов защищаемой сети, что обусловливает необходимость усиления возможностей по аутентификации абонентов, ограничения их списка, протоколирования доступа и т.д. Такой вариант применения может оказаться неприемлемым для некоторых сетей.

450