- •Возможные подходы к решению проблемы обеспечения информационной безопасности процесса передачи данных в гспд
- •Средства защиты иб гспд и их возможности
- •Технология межсетевого экранирования
- •Мсэ на базе пакетных фильтров и прокси-серверов
- •Методы использования межсетевых экранов
- •Технология построения виртуальных частных сетей
- •Криптошлюзы и методы их построения
- •Криптопротокол ipSec
- •Отечественные и зарубежные vpn
- •Задачи иб, реализуемые vpn
- •Функции криптошлюзов в маршрутизаторах и магистральных каналах
- •Технология анализа защищенности
- •Методы выявления технологических уязвимостей по
- •Методы выявления эксплуатационных уязвимостей по
- •Системы обнаружения воздействий нарушителя и их функции
- •Сенсоры и их функции
- •Методы анализа выявления воздействий нарушителя
- •Сетевая реализация систем обнаружения вн
- •Технология защиты информации от нсд
- •Журнал аудита
- •Средства защиты информации от нсд
- •Технология антивирусной защиты
- •Методы оценки информационной безопасности гспд
- •Реальные методы оценки информационной безопасности гспд
- •Практические методы оценки информационной безопасности гспд
Методы использования межсетевых экранов
В настоящее время большинство разработанных МЭ (табл. 18.2) совмещают в себе возможности МЭ, функционирующих на базе пакетных фильтров и прокси-серверов. МЭ могут быть реализованы двумя основными способами:
-
при помощи специализированных программных или программно-аппаратных комплексов;
-
при помощи маршрутизаторов с интегрированными функциями МЭ. Примерами таких МЭ могут служить МЭ Checkpoint FW-1, встроенные в коммутаторы компании Nortel Networks, и МЭ, интегрированные в маршрутизаторы Cisco.
В качестве общего недостатка технологии межсетевого экранирования можно отметить невозможность обнаружения и предотвращения ВН, источник которых находится в рамках сегмента ЛВС, защищаемого МЭ (рис. 18.4).
Рисунок 18.4 - Схема ВН, не обнаруживаемых МЭ
Рассмотрим возможность применения МЭ для решения задач обеспечения ИБ ГСПД. В настоящее время все МЭ, представленные на отечественном рынке ИБ, предназначены для использования только в IP-сетях, что не позволяет их применять в ГСПД, построенных на базе технологий Х.25, Frame Relay и ATM. В IP-сетях МЭ могут быть использованы для выполнения двух задач обеспечения ИБ ГСПД:
-
защиты информационных ресурсов и инфраструктур ЦУС и маршрутизаторов от ВН, направленных на получение НСД по каналам связи ГСПД;
-
защиты ЦУС и маршрутизаторов от ВН, направленных на нарушение работоспособности и реализуемых по каналам связи ГСПД.
Выполнение данных задач может осуществляться МЭ путём отфильтровывания тех поступающих в ЦУС или маршрутизаторы IP-сети пакетов данных, которые могут быть использованы нарушителем для реализации воздействия. Рассмотрим более подробно различные способы использования МЭ в целях защиты ЦУС и маршрутизаторов IP-сети.
Для защиты ЦУС от ВН, направленных на получение НСД к ЦУС по каналам связи и от ВН, направленных на нарушение работоспособности ЦУС, могут быть использованы два метода применения МЭ:
-
установка МЭ, выполненных в виде специализированных программно-аппаратных комплексов, в сегменте ЛВС, посредством которого осуществляется подключение ЦУС к IP-сети (рис. 18.5);
-
использование МЭ, интегрированных в маршрутизаторы IP-сети. Такой тип МЭ может встраиваться в маршрутизатор, при помощи которого ЦУС подключается к IP-сети.
Защита информационных ресурсов и инфраструктур ЦУС может осуществляться МЭ посредством удаления проходящих через МЭ пакетов данных, не удовлетворяющих параметрам фильтрования уровня межсетевого взаимодействия, транспортного уровня, а также уровня приложения стека протоколов TCP/IP. Если параметры заголовка пакета данных, проходящего через МЭ и предназначенного для ЦУС, не удовлетворяют параметрам фильтрации МЭ, то пакет удаляется. В противном случае пакет данных передаётся в ЦУС.
Рассмотрим более подробно параметры фильтрования каждого из уровней стека протоколов TCP/IP.
Параметры фильтрования уровня межсетевого взаимодействия позволяют определить перечень IP-адресов маршрутизаторов, с которых разрешается доступ к информационным ресурсам и инфраструктурам ЦУС. Таким образом, МЭ сможет отфильтровывать поступающие в ЦУС пакеты данных, в заголовках которых содержатся IP-адреса, не входящие в перечень адресов, хранящихся в МЭ. Тем самым МЭ сможет блокировать попытку нарушителя получить НСД к ЦУС по каналам связи при помощи терминального оборудования или маршрутизатора, IP-адрес которого не записан в МЭ.
Параметры фильтрования транспортного уровня задают номера ТСР- и UDP-портов, идентифицирующие протоколы прикладного уровня, при помощи которых маршрутизаторы IP-сети могут взаимодействовать с ЦУС. МЭ могут отфильтровывать IP-пакеты, содержащие блоки данных, сформированные при помощи тех протоколов прикладного уровня, которые могут быть использованы нарушителем для реализации воздействий, направленных на получение НСД к ресурсам и инфраструктурам ЦУС или на нарушение его работоспособности. Так, например, при помощи параметров фильтрования транспортного уровня можно запретить использование протокола TelNet путём отфильтровывания всех пакетов данных, заголовок TCP-сегментов которых содержит 23-й ТСР-порт.
На прикладном уровне стека протоколов TCP/IP параметры фильтрования МЭ могут определять конкретные параметры протоколов системы управления IP-сети, которые потенциально могут быть использованы нарушителем для реализации воздействия, направленного на получение НСД к ЦУС или на нарушение его работоспособности.
Рисунок 18.5 – Возможные схемы использования МЭ, предназначенных для защиты информационных ресурсов и инфраструктур ЦУС
Например, при помощи МЭ можно запретить выполнение определённых команд, содержащихся в блоках данных SNMP, или запретить запуск определённых программ на стороне ЦУС при помощи протокола TelNet и т.д.
Необходимо, однако, отметить, что МЭ не может обеспечить защиту ЦУС от ВН, реализуемых путём формирования пакетов данных, удовлетворяющих параметрам фильтрации МЭ. Так, нарушитель может сформировать пакет данных и отправить его от имени маршрутизатора, имеющего права доступа к информационным ресурсам и инфраструктурам ЦУС. В этом случае пакет данных, сформированный нарушителем, успешно пройдёт через МЭ и будет передан в ЦУС.
Для защиты информационных ресурсов и инфраструктур маршрутизаторов IP-сети от ВН, направленных на получение НСД или на нарушение работоспособности маршрутизатора, МЭ должен выполнять функцию перехвата и отфильтровывания тех поступающих в маршрутизатор пакетов данных, посредством которых нарушитель может реализовывать эти воздействия. Данная функция защиты может быть реализована двумя способами:
-
путём оснащения защищаемого маршрутизатора функциями МЭ. Процедура оснащения может быть выполнена при помощи установки в маршрутизатор дополнительного программно-аппаратного обеспечения, выполняющего функции межсетевого экранирования. Возможность такой модернизации предусмотрена, например, в маршрутизаторах, производимых компаниями Cisco и Nortel networks;
-
путём установки МЭ, выполненного в виде специализированного программно-аппаратного комплекса, в каналы связи портов защищаемого маршрутизатора, по которым в маршрутизатор могут поступать пакеты данных. Для реализации такого варианта установки для каждого канала связи порта маршрутизатора в МЭ необходимо использовать два сетевых адаптера, один из которых служит для приёма пакетов данных, а другой для их передачи в маршрутизатор (рис. 18.6). Такой вариант использования МЭ является более дорогостоящим, однако он может быть применен в том случае, если защищаемый маршрутизатор не может быть оснащён функциями МЭ.
Параметры фильтрования МЭ, предназначенных для защиты маршрутизаторов IP-сети от ВН, во многом аналогичны рассмотренным выше параметрам МЭ, применяемых для защиты ЦУС. Так, к параметрам фильтрования уровня межсетевого взаимодействия относятся:
-
перечень IP-адресов объектов IP-сети, с которыми может взаимодействовать защищаемый маршрутизатор. Данный перечень может включать в себя IP-адрес ЦУС, а также IP-адреса смежных маршрутизаторов, с которыми защищаемый маршрутизатор может обмениваться информацией о топологии IP-сети. В случае если в МЭ поступит пакет данных, предназначенный для защищаемого маршрутизатора, и при этом IP-адрес отправителя этого пакета не будет содержаться в параметрах фильтрования МЭ, то этот пакет данных будет удалён;
-
перечень протоколов маршрутизации, функции которых реализует защищаемый маршрутизатор. Если в МЭ поступит пакет данных, направленный в защищаемый маршрутизатор и сформированный при помощи протокола, не указанного в параметрах фильтрования МЭ, то такой пакет также будет удалён.
Рисунок 18.6 - Схема использования МЭ, выполненного в виде специализированного программно-аппаратного комплекса, предназначенного для защиты маршрутизатора IP-сети