Технологии FIREWALL

47.1

Технологии FIREWALL

Содержание

3.Классификация межсетевых экранов по классам защищенности (РД

47.2

Технологии FIREWALL

Введение

То, что в Internet не предусмотрены эффективные средства защиты, побуждает к их поиску. Все проблемы, как было отмечено на предыдущем занятии, вызваны изначально заложенными принципами открытости Unix систем.

В связи с этим целесообразно рассмотреть особенности построения и применения эффективного средства защиты — межсетевых экранов (МЭ; международный термин: firewall или же брандмауэр) и познакомиться с обзором российского рынка данных сертифицированных устройств. ООО “Конфидент” по данному вопросу также предлагает выверенные и апробированные решения.

1. Принципы построения и функционирования межсетевых экранов

Firewall – это компьютер, маршрутизатор или другое коммуникационное устройство, ограничивающее доступ к защищаемой сети (изначально firewall это огнеупорная стенка, отделяющая водителя в гоночном авто мобиле от двигателя; если при аварии двигатель загорается, водитель остается жив).

Firewall позволяет защитить сеть компании от несанкционированного проникновения из Internet, в то же самое время, позволяя пользователям внутри компании иметь доступ к Internet. Многие системы firewall в наше вре мя также имеют средства для контроля, аутентификации и обеспечения конфиденциальности информации.

Без защиты firewall не стоит и думать о постоянном подключении к Internet. Даже если вы считаете, что у вас нет секретов от других, всегда в Internet найдутся люди, желающие «зайти» на ваш сервер либо из за желания воспользоваться бесплатными ресурсами, либо просто из любопытства (и в этом нет ничего противоестествен ного). Скоро вы заметите, что дискового пространства становится маловато, да и канал в Internet перегружен. Нередко firewall совмещает свои первичные функции с Web и FTP сервисом, исполняя роль «визитной кар точки» компании в Internet.

Межсетевой экран (МЭ) определяется как “локальное (однокомпонентное) или функционально распределен ное программное (программно аппаратное) средство (комплекс), реализующее контроль за информацией, по ступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе за данных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объек тами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из друтой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола”.

Обычно МЭ защищают внутреннюю сеть компании от “вторжений” из Internet. Однако они могут использо ваться и для защиты от “нападений”, например, из корпоративной интрасети, к которой подключена и ваша сеть. Как и в случае реализации любого другого механизма сетевой защиты, организация, вырабатывающая конкретную политику безопасности, кроме всего прочего, должна определить тип трафика TCP/IP, который будет восприниматься брандмауэром как “авторизованный”. Например, необходимо решить, будет ли огра ничен доступ пользователей к определенным службам на базе TCP/IP, и если будет, то до какой степени. Вы работка политики безопасности позволит выяснить, какие компоненты брандмауэра вам необходимы и как их сконфигурировать, чтобы обеспечить ограничения доступа, заданные вами.

Операционная система и аппаратная платформа

Межсетевые экраны реализуются на базе подобных Unix систем, таких, как Solaris, BSDI, Linux и т.д., а также Window NT. При этом настоятельно рекомендуется использовать для установки firewall отдельную станцию с со ответствующими аппаратными требованиями (500 Мб дискового пространства, 32 Мб оперативной памяти).

Как правило, в операционную систему, под управлением которой работает межсетевой экран, вносятся из менения, цель которых повышение защиты самого межсетевого экрана. Эти изменения затрагивают как ядро ОС, так и соответствующие файлы конфигурации. На самом межсетевом экране не разрешается иметь счетов пользователей (а значит и потенциальных дыр), только счет администратора. Некоторые межсетевые экраны работают только в однопользовательском режиме. Многие межсетевые экраны имеют систему проверки це лостности программных кодов. При этом контрольные суммы программных кодов хранятся в защищенном месте и сравниваются при старте программы во избежание подмены программного обеспечения.

В качестве аппаратных платформ наиболее мощных МЭ применяются INTEL, Sun SPARC, RS6000, Alpha , HP PA RISC, семейство RISC процессоров R4400 R5000.

Помимо этого, многие межсетевые экраны поддерживают сетевые архитектуры: Ethernet, FDDI, Token Ring, 100Base T, 100VG AnyLan.

Установка Firewall

Наиболее простым решением является установка экрана на границе локальной и глобальной сети. Общедоступ ные WWW и FTP сервера можно установить как в защищенной зоне (но надо помнить, что это отрицательно скажет ся на прозрачности работы системы), так и вынести за пределы защищаемой зоны. Возможен также вариант с ус тановкой двух экранов, один из которых будет защищать докалъвуто сеть, а другой — доступные сервера.

47.3

Технологии FIREWALL

Принцип работы Firewall

В принципе, firewall можно рассматривать как два механизма: один блокирует трафик, другой пропускает трафик. Платформа firewall должна иметь два или более сетевых интерфейса. Подключившись одним ин терфейсом к одной сети (например, Internet), а другим к другой (например, к Intranet внутренней сети предприятия), firewall определяет, какие пакеты пропускать в одну сторону, а какие в другую.

Разные схемы настройки firewall позволяют сделать акцент либо на разрешении доступа, либо на запреще нии. Например, firewall можно настроить так, чтобы он разрешил FTP доступ из сети А к серверу S, находяще муся в сети В, а любой другой трафик блокировал. Или наоборот, можно разрешить доступ снаружи ко всем ресурсам сети А, кроме порта на сервере S, на котором сидит сервер базы данных, таким образом защитив базу данных от несанкционированного доступа. Обе схемы имеют свои преимущества, однако, по понятным причинам коммерческие организации чаще выбирают первую схему.

Базовым протоколом для передачи данных по Internet является набор протоколов TCP/IP. Передаваемые по сети данные представляют собой набор пакетов. Каждый пакет имеет исходящий и входящий IP адрес, а так же указание на службу TCP/IP, которая будет обрабатывать данный пакет.

Межсетевые экраны позволяют устанавливать гибкие правила для доставки пакетов в любой из сегментов. Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (таб лица 1). В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Таблица 1.

Межсетевые экраны и модель OSI

Политика доступа

Политика доступа специфична для конкретного межсетевого экрана и определяет правила, используемые для реализации политики доступа к сервисам. Реализуется одна из двух базовых политик:

•разрешить доступ для сервиса, если он явно не запрещен

•запретить доступ для сервиса, если он явно не разрешен

Межсетевой экран, который реализует первую политику, пропускает все сервисы в сеть по умолчанию, если только этот сервис не был явно указан в политике управления доступом как запрещенный.

Межсетевой экран, который реализует вторую политику, по умолчанию запрещает все сервисы, но пропуска ет те, которые указаны в списке разрешенных сервисов. Вторая политика следует классической модели дос тупа, используемой во всех областях информационной безопасности.

Первая политика менее желательна, так как она предоставляет больше способов обойти межсетевой экран, на пример, пользователи могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указан ных в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. Определенные сервисы, такие как X Windows , FTP, ARCHIE и RPC, сложно фильтровать, и для них лучше подходит межсетевой экран, реализующий первую политику.

Вторая политика строже и безопаснее, но ее тяжелее реализовать и она может повлиять на работу пользова телей в том отношении, что ряд сервисов, такие, как описанные выше, могут оказаться блокированными или использование их будет ограничено.

47.4

Технологии FIREWALL

Основные категории и типы Firewall

Концептуально системы firewall делятся на две категории:

•firewall сетевого уровня;

•firewall уровня приложений.

На практике системы обоих типов не так сильно отличаются друг от друга. К тому же современные техноло гии firewall еще больше стирают различия между ними. Выбор типа системы зависит от решаемой задачи. Firewall сетевого уровня принимает решение, опираясь на такие основные параметры, как адрес источника, адрес назначения и номера портов для каждого отдельного IP пакета. Примером традиционного firewall се тевого уровня может служить простой маршрутизатор, поскольку он не способен распознать, что данный па кет действительно означает в данном контексте или откуда на самом деле пакет пришел. Однако современ ные системы firewall сетевого уровня (например, маршрутизаторы фирмы Cisco) обладают все большей и боль шей степенью интеллекта, понимают протоколы более высокого уровня и способны отслеживать контекст соединений, проходящих через них. Самая важная черта firewall сетевого уровня это то, что они маршрути зируют трафик. Firewall сетевого уровня обычно очень быстрые и прозрачные для пользователей.

Firewall уровня приложений это обычно сервер с программой proxy (например, Socks proxy), запрещающий пря мой трафик между сетями. Нередко термин proxy употребляюг для обозначения именно firewall уровня прило жений. Поскольку proxy является программным компонентом, это позволяег вести самый тщательный контроль доступа и протоколирование сессий пользователей. Firewall уровня приложений также очень часто содержат возможности для трансляции адресов из формата Intranet в официальные адреса Internet. При этом несколь ким адресам Intranet может соответствовать всего один адрес Internet, таким образом решая проблему регис трации больших блоков IP адресов. Также многие продукты proxy позволяют кэшировать FTP и HTTP обраще ния наружу, снижая исходящий трафик и значительно ускоряя обращения (нередко в несколько раз в случае больших организаций). Как правило, firewall уровня приложений менее прозрачен для пользователей, чем firewall сетевого уровня и требует дополнительных настроек клиентской части.

Безусловно, будущее firewall за системами, которые будут представлять собой комбинацию обеих техноло гий. Однако, не следует делать ставку на гибридные (комплексные) firewall системы, реализующие обе кон цепции защиты параллельно, а не последовательно. В этом случае надежность firewall определяется надеж ностью наименее стойкого компонента, что обычно приводит к неудовлетворительным результатам.

В рамках рассмотренных категорий выделяют следующие типы межсетевых экранов:

•пакетный фильтр (packet filter)

•сервер уровня соединения (circuit gateways)

•экранирующий шлюз (screen gateways)

•сервер прикладного уровня (application gateways)

•межсетевой экран экспертного уровня (stateful inspection firewall)

Пакетный фильтр (системы пакетной фильтрации, ФП)

Системы пакетной фильтрации просматривают все IP пакеты, поступающие в защищаемую сеть, и либо пропус кают их, либо отбрасывают. Правила, по которым МЭ принимает соответствующее решение, предварительно оп ределяются в явном виде администратором. Принадлежность пакетов к той или иной категории устанавливает ся из соответствующих значений полей “адрес” и “порт” в заголовке IP пакета Поскольку номер TCP порта свя зан с конкретным сервисом в Unix, можно сказать, что пакетная фильтрация осуществляется на транспортном, сетевом и прикладном уровне. Администратор может блокировать обращения к определенному порту и блоки ровать пакеты от определенного адреса или определенной сети. Так, например, можно разрешить работать со всеми сервисами сети внутренним пользователем и отбрасывать все пакеты, поступающие извне, кроме обра щений к порту 80 (HTTP), что, впрочем, не убережет сеть от атаки со стороны аплетов Java и объектов ActiveX. В числе достоинств ФП — прозрачность для пользователей и гибкость в настройке правил фильтрации. В ка честве примера ФП приведем ipfirewall, бесплатно распространяющийся для систем BSD (Unix). Версию это го пакета можно получить на ftp.bsdi.com /соп trib/networking/security/ или ftp.nebu lus.net /pub/bsdi/ security/).

Настройки правил фильтрации можно устанавливать как при вызове в командной строке, так и в файлах crontab. К примеру, команда:

ipfirewall addb reject all from 194.85.21.161 to 194.85.21.129

позволяет “отбрасывать” все пакеты, поступающие с адреса 194.85.21.161 на адрес 194.85.21.129.

Но при этом настройка правил должна производиться очень тщательно и осторожно, что требует некоторого знания технологии TCP и UDP. В общем случае правила фильтрации задаются в качестве таблицы условий и действий, которые должны быть применены в определенной последовательности, перед тем как система при мет решение пропустить пакет или сбросить его.

Представим себе следующий сценарий. Администратор сети класса В 194.85 желает запретить доступ из Internet к своей сети (194.85.0.0/16) (данная запись говорит о том, что значащими считаются старшие шестнадцать раз рядов и включает все адреса сети 194.85). В рамках сети существует подсеть 194.85.21.0/24, машины в кото рой осуществляют взаимодействие с организацией вне данной сети. Администратору необходимо разрешить доступ к подсети 194.85.2W24 дз сета \94.226.0.0/\6. Кроме того, администратор считает, что некоторая угро за может исходить из конкретной подсети 194.226.55.0/24 сети 194.226, и он желает запретить доступ из нее к своим машинам.

47.5

Технологии FIREWALL

В описанной ситуации таблица правил может выглядеть следующим образом (табл. 2).

Правило С есть “правило по умолчанию”, оно будет задействовано, если пакет не подходит к требованиям, указанным в первых двух правилах.

В соответствии с требованиями стандартов системы пакетной фильтрации должны принимать решение на ос нове как минимум двух атрибутов (адрес отправителя/адрес получателя и т.д.)

Главное преимущество использования ФП — невысокая стоимость их реализации и минимальное влияние на производительность сети. Если в ней уже установлен аппаратный или программный IP маршрутизатор, обеспе чивающий возможность фильтрации пакетов (например, производства Cisco Systems, Bay Networks или Novell), настройка экрана обойдется и вовсе бесплатно, не считая времени, затраченного на создание правил фильтра ции пакетов.

Если же говорить о недостатках ФП, то основный из них — меньшая надежность, чем у других типов экранов. Еще один негативный момент — отсутствие аутентификации пользователей. Одним словом, такая защита не может считаться совершенной.

Обычно в конкретных реализациях firewall пакетная фильтрация комбинируется с другими архитектурами, чаще всего с инспекцией состояний. В таком случае мы получаем экран экспертного уровня, который так же, как и пакетный фильтр, проверяет заголовки IP пакетов, но, кроме того, запоминает номера всех соединений и сбра сывает эти соединения после завершения обслуживания. Механизм инспекции состояний (Stateful Inspection) реализован в системе Checkpoint Firewall v 1.2. и будет рассмотрен далее.

Таблица 2.

Таким образом, пакетный фильтр может фильтровать IP пакеты на основе группы полей из следующих полей пакета:

•IP адрес отправителя

•IP адрес получателя

•TCP/UDP порт отправителя

•TCP/UDP порт получателя Преимущества пакетных фильтров:

•невысокая стоимость

•гибкость в определении правил фильтрации

•высокая пропускная способность Недостатки пакетных фильтров:

•локальная сеть видна (маршрутизируется) из Internet

•правила фильтрации пакетов трудны в описании, требуются очень хорошие знания технологий TCP и UDP

•при нарушении работоспособности Межсетевой экран и все компьютеры за ним становятся полностью незащищенными либо недоступными

•аутентификацию с использованием IP адреса можно обмануть использованием IP спуфинга (атакую щая система выдает себя за другую, используя ее IP адрес)

•отсутствует аутентификация на пользовательском уровне

Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соеди нение с определенным портом на Межсетевой экран, после чего последний производит соединение с адре сом назначения. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как про вод.

Как правило, пункт назначения задается заранее, в то время как источников может быть много (соединение типа один много). Используя различные порты, можно создавать различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем сервиса, бази рующегося на TCP, осуществлять контроль доступа к этому сервису, сбор статистики по его использованию.

Экранирующие шлюзы

Межсетевой экран может строиться с помощью экранирующих агентов, которые обеспечивают установку связи между субъектом и объектом, а затем пересылают информацию, осуществляя контроль и/или регистрацию. Использование экранирующих агентов добавляет еще одну защитную функцию — сокрытие от субъекта ис тинного объекта, в то время как субъекту кажется, что он непосредственно с ним взаимодействует. Обычно экран не является симметричным, для него определены понятия “внутри” и “снаружи”. При этом задача экра нирования формулируется как защита внутренней области от неконтролируемой и потенциально враждеб ной внешней.

Высокоуровневые сервисы типа UDP при приеме пакета предполагают, что адрес отправителя, указанный в пакете, является истинным. Друтими словами, адрес IР является основой для принятия решений экраном: счи

47.6

Технологии FIREWALL

тается, что пакет послан от существующего хоста, и именно от того, чей адрес указан в пакете. IP имеет опцию, называемую “опция маршрутизации источника”, которая может быть использована для указания точ ного прямого и обратного пути между отправителем и получателем. Эта опция позволяет задействовать при передаче пакетов хосты, обычно не использующиеся при передаче пакетов от машины к машине. Для неко торых служб пакет, пришедший с такой опцией, кажется отправленным последним хостом в цепочке маршру та, а не истинным отправителем. Эта особенность IP может формулироваться как защита внутренней области от неконтролируемой и потенциально враждебной внешней.

Сервера прикладного уровня (шлюз уровня приложений)

Сервер посредник уровня приложений при получении запроса запускает соответствующий сервис на шлюзе, который и контролирует передачу данных. Существуют сервисы для всех стандартных служб, таких, как telnet, ftp, http, и т.д. При этом также используется сервер аутентификации, определяющий, доступен ли тот или иной сервис данному пользователю. Все это, конечно, увеличивает защищенность систем, но плохо сказывается на быстродействии и прозрачности работы системы.

Другими словами, межсетевой экран с серверами прикладного уровня используют сервера конкретных сер висов TELNET, FTP и т.д. (proxy server), запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Таким образом, между клиентом и сервером образуются два соеди нения: клиент firewall и firewall Internet.

Полный набор поддерживаемых серверов различается для каждого конкретного межсетевого экрана, Чтобы защититься от ряда уязвимых мест, связанных с маршрутизаторами с фильтрацией пакетов, в межсете вых экранах нужно использовать прикладные программы для перенаправления и фильтрации соединений с та кими службами, как TELNET и FTP. Такое приложение называется прокси службой, а хост, на котором работает прокси служба прикладным шлюзом. Прикладные шлюзы и маршрутизаторы с фильтрацией пакетов могут быть объединены для достижения более высокой безопасности и гибкости, чем была бы достигнута, если бы они ис пользовались отдельно.

Например, рассмотрим сеть, в которой блокируются входящие соединения TELNET и FTP с помощью маршру тизатора с фильтрацией пакетов. Этот маршрутизатор позволяет пропускать пакеты TELNET или FTP только к одной машине, прикладному шлюзу TELNET/FTP. Пользователь, который хочет соединиться снаружи с систе мой в сети, должен сначала соединиться с прикладным шлюзом, а затем уж с нужным хостом:

•сначала пользователь устанавливает telnet соединение с прикладным шлюзом и вводит имя внутренне го хоста

•шлюз проверяет IP адрес пользователя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа

•может понадобиться аутентификация пользователя (возможно с помощью одноразовых паролей)

•прокси сервер создает telnet соединение между шлюзом и внутренним хостом

•прокси сервер передает данные между этими двумя соединениями

•прикладной шлюз протоколирует соединение

Преимущества использования прокси служб.

1.прокси службы разрешают только те службы, для которых есть прокси. Другими словами, если приклад ной шлюз содержит прокси для FTP и TELNET, то в защищаемой подсети будут разрешены только FTP и TELNET, а другие службы будут полностью блокированы. Для некоторых организаций такой вид безопасности важен, так как гарантирует, что только те службы, которые считаются безопасными, будут пропускаться через меж сетевой экран. Этот подход также предохраняет от возможности разработки новых небезопасных служб без уведомления администраторов межсетевого экрана.

2.Другим преимуществом использования прокси служб является то, что может быть осуществлена фильтра ция протоколов. Например, некоторые межсетевые экраны могут фильтровать ftp соединения и запрещать использование команды FTP put, что было бы полезно для получения гарантий того, что пользователи не мо гут, например, писать на анонимный FTP сервер.

Прикладные шлюзы имеют ряд серьезных преимуществ по сравнению с обычным режимом, при котором при кладной траффик пропускается напрямую к внутренним хостам. Они включают в себя:

•скрытие информации, при которой имена внутренних систем необязательно будут известны внешним системам с помощью DNS, так как прикладной шлюз может быть единственным хостом, чье имя должно быть известно внешним системам.

•надежная аутентификация и протоколирование, при которых прикладной траффик может быть предва рительно аутентифицирован до того, как он достигнет внутренних хостов, и может быть запротоколиро ван более эффективно, чем стандартные средства протоколирования хоста.

•оптимальное соотношение между ценой и эффективностью из за того, что дополнительные программы или оборудование для аутентификации или протоколирования нужно устанавливать только на прикладном шлю зе.

•простые правила фильтрации, так как правила на маршрутизаторе с фильтрацией пакетов будут менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной траффик и отправлял его большому числу внутренних систем. Маршрутизатор должен только пропускать прикладной траффик к прикладному шлюзу и блокировать весь остальной траффик.

47.7

Технологии FIREWALL

Недостаток прикладного шлюза заключается в том, что при использовании клиент серверных протоколов, таких, как TELNET, требуется двухшаговая процедура для вхождения внутрь или выхода наружу. Некоторые прикладные шлюзы требуют модифицированных клиентов, что может рассматриваться либо как недостаток, либо как преимущество, в зависимости от того, делают ли модифицированные клиенты более легким исполь зование межсетевого экрана. Прикладной шлюз TELNET необязательно требует модифицированного клиента TELNET, тем не менее, он требует другой логики действий от пользователя: пользователь должен установить соединение (но не сеанс) с межсетевым экраном, а не напрямую установить сеанс с хостом. Но модифициро ванный клиент TELNET делает межсетевой экран прозрачным, позволяя пользователю указать конечную сис тему (а не межсетевой экран) в команде TELNET. Межсетевой экран является как бы дорогой к конечной си стеме и поэтому перехватывает соединение, а затем выполняет дополнительные шаги, такие, как запрос од норазового пароля. Пользователю не нужно в этом случае ничего делать, но на каждой системе должен быть установлен модифицированный клиент.

Помимо TELNET, обычно прикладные шлюзы используются для FTP и электронной почты, а также X Windows и ряда других служб. Некоторые прикладные шлюзы FTP имеют возможности блокирования команд get и put для некоторых хостов. Например, внешний пользователь, установивший FTP сеанс (через прикладной шлюз FTP) с внутренней системой, такой, как анонимный FTP сервер, может попытаться скопировать файлы на сер вер. Прикладной шлюз может фильтровать FTP протокол и блокировать все команды put для анонимного FTP сервера; это позволит гарантировать, что никто не сможет загрузить на сервер чего либо, и даст большие гарантии, чем простая уверенность в том, что права доступа к файлам на анонимном FTP сервере установле ны корректно (некоторые организации ввели политики, в которых запрещаются команды get и put для опре деленных директорий); наличие межсетевого экрана, фильтрующего FTP команды, было бы особенно полез но в этой ситуации. Некоторые места запретили команды get для внешних хостов, чтобы пользователи не могли считать информацию или программы с внешних хостов. В других же сетях запрещена команда put для вне шних хостов, чтобы пользователи не могли сохранить локальную информацию на внешних FTP серверах. Но типовым является вариант, когда запрещаются входящие команды put, чтобы внешние пользователи не мог ли писать на FTP сервера в сети

Прикладной шлюз для электронной почты служит для централизованного сбора электронной почты и распро странения ее по внутренним хостам и пользователям. Для внешних пользователей все внутренние пользова тели будут иметь адрес вида пользователь@почтовый_хост, где почтовый хост имя шлюза для почты. Шлюз должен принимать почту от внешних пользователей, а затем переправлять ее на другие внутренние системы. Пользователи, посылающие электронные письма с внутренних систем, могут посылать их напрямую с внут ренних систем, или, если внутренние имена систем не известны снаружи сети, письмо должно быть послано на прикладной шлюз, который затем переправит его к хосту назначения. Некоторые почтовые шлюзы исполь зуют более безопасную версию программы sendmail для приема почты.

Межсетевые экраны экспертного уровня

В FireWall 1 реализована архитектура Stateful Inspection технология проверки с учетом состояния протоко ла, которая реализует все необходимые возможности межсетевого экран на сетевом уровне.

Сущность этой технологии заключается в следующем: модуль инспекции анализирует данные, полученные от всех уровней коммуникаций. Эти данные о “состоянии” и “контексте” запоминаются и обновляются динами чески, обеспечивая виртуальную информацию о сессии для отслеживания протоколов без установки соедине ний (таких, как RPC и приложений, основанных на UDP). Данные, полученные из состояний соединений и при ложений, конфигурации сети и правил безопасности, используются для генерации соответствующего действия и либо принятия, либо отвержения, либо шифрации канала связи. Любой трафик, который явным образом не разрешен правилами безопасности, блокируется по умолчанию и одновременно в реальном времени генериру ются сигналы оповещения, предоставляя системному администратору полную информацию о состоянии сети. Наибольшее распространение получили два последних типа МЭ. Поэтому в теме «Конфигурирование Firewall» будут более подробно рассмотренывопросы выбора того или иного решения.

Архитектуры Firewall

Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает раз личные уровни безопасности при различных затратах на установку и поддержание работоспособности. Орга низации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Следую щие разделы описывают типичные архитектуры брандмауэра и приводят примеры политик безопасности для них.

Хост, подключенный к двум сегментам сети

Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подклю чен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключен ный к двум сегментам.

Брандмауэр на основе хоста, подключенного к двум сегментам сети – это брандмауэр с двумя сетевыми пла тами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая – с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную – брандмауэр всегда должен быть при этом промежуточным звеном.

47.8

Технологии FIREWALL

Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP пакеты из одной сети не мог ли пройти в другую сеть.

Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к Интернету. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того, соответствующим образом конфигурируется встроенный в ядро пакетный фильтр( ipfw).

Экранированный хост

При архитектуре типа экранированный хост используется хост (называемый хостом бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внут ренней сетью из внешних сетей направляются к хосту бастиону.

Если шлюз с пакетной фильтрацией установлен, то хост бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между се тью организации и Интернетом.

Экранированная подсеть

Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добав ляет еще одну линию защиты, с помощью создания сети, в которой находится хост бастион, отделенной от внутренней сети.

Экранированная подсеть должна внедряться с помощью добавления сети периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост бастион атакующий не смо жет пройти дальше сети периметра из за того, что между внутренней сетью и сетью периметром находится еще один экранирующий маршрутизатор.

Дополнительные аспекты технологии защиты Firewall

Виртуальные сети

Ряд межсетевых экранов позволяет также организовывать виртуальные корпоративные сети (Virtual Private Network), т.е. объединить несколько локальных сетей, включенных в Internet в одну виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью шифрования. При этом при передаче по Internet шиф руются не только данные пользователя, но и сетевая информация сетевые адреса, номера портов и т.д. Для пользователей эти преобразования происходят совершенно прозрачно: работа с компьютерами в удаленных сетях ничем не отличается от работы в локальной сети.

При этом следует отметить, что VPN также можно реализовать с использованием свободного программного обеспечения

Администрирование

Легкость администрирования является одним из ключевых аспектов в создании эффективной и надежной си стемы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую может быть взломана система. Поэтому в большинстве межсетевых экранов реализованы сервисные утилиты, облегчаю щие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, эти утилиты позволяют просматривать информацию, сгруппированную по каким либо критериям например, все, что от носится к конкретному пользователю или сервису.

Системы сбора статистики и предупреждения об атаке

Важным компонентом межсетевого экран является система сбора статистики и предупреждения об атаке. Информация обо всех событиях отказах, входящих, выходящих соединениях, числе переданных байт, ис пользовавшихся сервисах, времени соединения и т.д. накапливается в файлах статистики. Многие меж сетевые экраны позволяют гибко определять подлежащие протоколированию события, описать действия межсетевого экрана при атаках или попытках несанкционированного доступа это может быть сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакую щий уже проник в систему. В состав многих межсетевых экранов входят генераторы отчетов, служащие для обработки статистики. Они позволяют собрать статистику по использованию ресурсов конкретными пользо вателями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкцио нированного доступа и т.д.

Аутентификация

Аутентификация является одним из самых важных компонентов межсетевого экрана. Прежде чем пользова телю будет предоставлено право воспользоваться тем или иным сервисом, необходимо убедиться, что он дей ствительно тот, за кого он себя выдает.

47.9

Технологии FIREWALL

Авторизация обычно рассматривается в контексте аутентификации как только пользователь аутенти фицирован, для него определяются разрешенные ему сервисы. При получении запроса на использование сервиса от имени какого либо пользователя, межсетевой экран проверяет, какой способ аутентификации определен для данного пользователя и передает управление серверу аутентификации. После получения положительного ответа от сервера аутентификации межсетевой экран образует запрашиваемое пользо вателем соединение.

Как правило, используется принцип, получивший название “что он знает” т.е. пользователь знает некото рое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос.

От чего FIREWALL может защитить и от чего нет

Говоря о безопасности в Интернете, важно отметить, что в наше время вопрос обеспечения безопасности не ограничивается только традиционной защитой секретной информации от неавторизованного доступа; очень важным является способность сервера работать 24 часа в сутки 7 дней в неделю. Атака извне может вызвать отказ сервиса (denial of service), например, за счет переполнения внутренних буферов сетевой операцион ной системы. Защита от таких атак является одной из функций firewall.

Поскольку firewall часто содержит функции для контроля и записи подробных протоколов сеансов связи, это помогает администратору вовремя получить предупреждение об атаке и отследить злоумышленника.

Разработаны продукты firewall, позволяющие проверять электронную «подпись». Такой firewall содержит спи сок тех элекгронных «подписей», которым организация доверяет. В момент загрузки пакета firewall сверяет «подписи», используя криптографические алгоритмы, и, основываясь на результате проверки, принимает ре шение блокировать пакет или пропустить.

Firewall не может защитить от атак, которые исходят изнутри организации: к сожалению, дискета или рас печатка может быть использована с таким же успехом, чтобы похитить засекреченную информацию. Безгра мотный пользователь или злоумышленник может передать информацию наружу по телефону или факсу.

Использование даже самой надежной системы firewall, неподкрепленное соответствующими административ ными мерами это все равно, что ставить дверь из нержавеющей стали на деревянный сарай.

Firewall плохо защищает от вирусов (имеется ввиду активизацция соответствующих фильтров). Чтобы обес печить эффективную защиту от вирусов, необходим целый комплекс мер (как технических, так и админист ративных), включая установку антивирусных программ на рабочие станции и файл серверы, обучение сотруд ников и выработку системы правил безопасности в организации.

2. Политика безопасности межсетевых экранов

Области политики безопасности брандмауэров определяют их функциями. Соответственно, напомним, бран дмауэры обеспечивают несколько типов защиты:

•Они могут блокировать нежелательный трафик

•Они могут направлять входной трафик только к надежным внутренним системам

•Они могут скрыть уязвимые системы, которые нельзя обезопасить от атак из Интернета другим способом.

•Они могут протоколировать трафик в и из внутренней сети

•Они могут скрывать информацию, такую, как имена систем, топологию сети, типы сетевых устройств и внутренние идентификаторы пользователей, от Интернета

•Они могут обеспечить более надежную аутентификацию, чем та, которую представляют стандартные при ложения.

Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопас ностью. Это и является предметом политики в каждой из указанных областей.

Архивные копии брандмауэра

Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и лю бой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также системных файлов конфигурации должен иметься некоторый план создания архивных ко пий.

Ниже в таблице 3 приводятся риски для различных типов брандмауэров с учетом их рейтингов.

Примеры политик

Все организации должны использовать как минимум политику для уровня с низким риском. Для среднего риска надо добавить части с пометкой «Средний риск», а для высокого – части с пометкой «Высокий риск» и «Средний риск».

47.10

Технологии FIREWALL

Taблица 3.

Риски безопасности брандмауэра

Низкий риск

Пользователь

Все пользователи, которым требуется доступ к Интернету, должны делать это, используя одобренное организа цией программное обеспечение и через Интернет шлюзы организации. Между нашими частными сетями и Ин тернетом установлен брандмауэр для защиты наших компьютеров. Сотрудники не должны пытаться обойти его при соединении с Интернетом с помощью модемов или программ для сетевого тунеллирования. Некоторые про токолы были блокированы или их использование ограничено. Если вам требуется для выполнения ваших обя занностей какой то протокол, вы должны обратиться к начальнику вашего отдела и ответственному за безопас ное использование Интернета.

Начальник отдела

Должен быть помещен брандмауэр между сетью компании и Интернетом для того, чтобы предотвратить дос туп к сети компании из ненадежных сетей. Брандмауэр должен быть выбран ответственным за сетевые сер висы, он же отвечает за его сопровождение.

Все остальные формы доступа к Интернету (такие, как модемы) из сети организации, или сетей, подключенных к сети организации, должны быть запрещены.

Все пользователи, которым требуется доступ к Интернету, должны делать это с помощью одобренных организаци ей программ и через шлюзы с Интернетом.

Сотрудник отдела автоматизации

Все брандмауэры при аварийном завершении должны делать невозможным доступ ни к каким сервисам, и требовать прибытия администратора брандмауэра для восстановления доступа к Интернету.

Маршрутизация источника должна быть запрещена на всех брандмауэрах и внешних маршрутизаторах. Бранд мауэр должен отвергать трафик из внешних интерфейсов, который имеет такой вид, будто он прибыл из внут ренней сети. Брандмауэр должен вести детальные системные журналы всех сеансов, чтобы их можно было про смотреть на предмет выявления нештатных ситуаций в работе.

Для хранения журналов должен использоваться такой носитель и место хранения, чтобы доступ к ним ограни чивался только доверенным персоналом.

Брандмауэры должны тестироваться перед началом работы и проверяться на предмет правильности конфигу рации. Брандмауэр должен быть сконфигурирован так, чтобы он был прозрачен для выходящих соединений. Все входящие соединения должны перехватываться и пропускаться через брандмауэр, если только противное решение явно не принято ответственным за сетевые сервисы.

47.11

Технологии FIREWALL

Должна постоянно вестись подробная документация на брандмауэр и храниться в безопасном месте. Такая документация должна включать как минимум схему сети организации с IP адресами всех сетевых устройств, IP адреса машин у провайдера Интернета, таких, как внешние сервера новостей, маршрутизаторы, DNS серве ра и т.д., и другие параметры конфигурации, такие, как правила фильтрации пакетов и т.д. Такая документа ция должна обновляться при изменении конфигурации брандмауэра.

Средний риск

Пользователь

Для удаленного доступа к внутренним системам организации требуется усиленная аутентификация с помо щью одноразовых паролей и смарт карт.

Начальник отдела

Администраторы брандмауэра и другие руководители, ответственные за компьютерную безопасность, должны ре гулярно пересматривать политику сетевой безопасности( не реже чем раз в три месяца). При изменении требова ний к работе в сети и сетевым сервисам политика безопасности должна быть обновлена и утверждена заново. При необходимости внесения изменений администратор брандмауэра отвечает за реализацию изменений на бран дмауэре и модификацию политики. Структура и параметры внутренней сети организации не должны быть видимы из за брандмауэра.

Сотрудник отдела автоматизации

Брандмауэр должен быть сконфигурирован так, чтобы по умолчанию все сервисы, которые не разрешены, были запрещены. Должен производиться регулярный аудит его журналов на предмет выявления попыток проникно вения или неверного использования Интернета.

Брандмауэр должен практически сразу уведомлять системного администратора при возникновении ситуации, требующей его немедленного вмешательства, такой, как проникновение в сеть, отсутствие места на диске и т.д. Брандмауэр должен работать на специальном компьютере – все программы, не относящиеся к брандмауэру, такие, как компиляторы, редакторы, коммуникационные программы и т.д., должны быть удалены или доступ к ним должен быть заблокирован.

Высокий риск

Пользователь

Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоко лируется. Сотрудники, нарушающие данную политику, будут наказаны. Ваш браузер был сконфигурирован так, что доступ к ряду сайтов запрещен. О всех попытках получить доступ к этим сайтам будет доложено вашему на чальнику.

Начальник отдела

Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету прото колируется. Сотрудники, нарушающие данную политику, будут наказаны.

Сотрудник отдела автоматизации

Весь доступ к Интернету должен протоколироваться.

3. Классификация межсетевых экранов по классам защищенности (РД Гостехкомиссии РФ)

Класс защищенности 5

Межсетевой экран должен обеспечивать фильтрацию на сетевом уровне.

Решение по фильтрации может приниматься для каждого сетевого пакета независимо на основе, по крайней мере, сетевых адресов отправителя и получателя или на основе других эквивалентных атрибутов.

Класс защищенности 4

Дополнительно межсетевой экран должен обеспечивать:

•фильтрацию пакетов служебных протоколов, служащих для диагностики и управления работой сетевых устройств;

•фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;

•фильтрацию с учетом любых значимых полей сетевых пакетов.

Класс защищенности 3

Дополнительно межсетевой экран должен обеспечивать:

•фильтрацию на транспортном уровне запросов на установление виртуальных соединений. При этом по крайней мере, учитываются транспортные адреса отправителя и получателя;

47.12

Технологии FIREWALL

•фильтрацию на прикладном уровне запросов к прикладным сервисам. При этом по крайней мере, учиты ваются прикладные адреса отправителя и получателя;

•фильтрацию с учетом даты/времени.

Класс защищенности 2

Дополнительно межсетевой экран должен обеспечивать:

•возможность сокрытия субъектов (объектов) и/или прикладных функций защищаемой сети;

•возможность трансляции сетевых адресов.

Класс защищенности 1

Данные требования полностью совпадают с аналогичными требованиями второго класса. Обеспечивается ве рификация защиты.

Таблица 4

Приложение. Обзор популярных межсетевых экранов

1.Сравнительные характеристики некоторых межсетевых экранов.

2.Перечень сертифицированных ГТК при президенте РФ межсетевых экранов на 5 августа 2000 г. (www.infotecs.ru).

3.Межсетевые экраны, сертифицированные National Computer Security Association.

Заключение

В заключение можно сказать, что межсетевые экраны представляют собой гибкий и надежный механизм защиты информационных ресурсов корпоративной сети от несанкционированного доступа.

47.13

Технологии FIREWALL

47.14

Технологии FIREWALL

47.15

Технологии FIREWALL

Таблица 7

Межсетевые экраны, сертифицированные National Computer Security Association

47.16