Московський гуманітарний університет економіки і права
Дипломна робота
Тема:
«Аналіз проблем інформаційної безпеки в комп'ютерній мережі, організації підключеної до мережі Інтернтет»
«Допущена до захисту»
Декан фінансово-облікового факультету
В.А. Дьеченко
Студент: Федін М.Ф.
Москва
2009
Зміст
Введення
1. Аналіз проблем інформаційної безпеки в комп'ютерній мережі організації підключеної до мережі Інтрентет. Сучасні підходи до їх вирішення
1.1 Проблеми інформаційної безпеки сучасних комп'ютерних мереж організації
1.2 Питання інформаційних безпеки інтернет - сервісів
1.3 Методи захисту комп'ютерної мережі організації від НСД з мережі Інтернет. Застосування міжмережевих екранів
2. Теоретичні питання побудови міжмережевих екранів
2.1 Архітектури міжмережевих екранів
2.2 Класифікація міжмережевих екранів
2.3 Різні типи оточень міжмережевих екранів
2.4 Рівень захищеності міжмережевих екранів
2.5 Віртуальні приватні мережі (VPN)
3. Пропозиція щодо вдосконалення захисту комп'ютерної мережі організації за рахунок впровадження міжмережевого екрану
3.1 Правильний вибір міжмережевих екранів для захисту інформації КСВ
3.2 Intrusion Detection Systems (IDS)
3.3 IPv6 як сильний вплив на конструкцію міжмережевого екрану
Висновки
Список скорочень і позначень
Список використаних джерел літератури
Введення
Комп'ютери, мережі, Інтернет стали невід'ємною частиною нашого повсякденного життя. Наш бистроразвівающийся, насичений технологіями світ з кожним днем все більше стає залежним від комп'ютерних технологій і мереж. Однак ця залежність виникла не раптово. З кожним роком фінансування комп'ютерних технологій значно зростала, і не дивно, що ці технології проникли практично в усі сфери діяльності людини.
На зорі розвитку комп'ютерних технологій більшість людей не могли уявити, наскільки широко ці технології будуть використовуватися в самому недалекому майбутньому. Тому, напевно, багато хто не вирішувалися приділяти багато часу і зусиль для освоєння того, що, врешті-решт, могло виявитися звичайною забавою. У порівнянні з вимогами сучасного ринку праці кількість людей, які працювали в той час в області комп'ютерних технологій, було мізерно мало. Люди, що працювали в цьому тісному співтоваристві, були добре знайомі і довіряли один одному. Крім того, до цієї спільноти допускалися лише обрані, які заслуговували на довіру. Таким чином, в ті часи проблеми безпеки в області комп'ютерних технологій практично були відсутні. І досить довгий час фахівці в області комп'ютерних технологій не приділяли уваги безпеці комп'ютерних мереж.
В даний час величезна кількість мереж об'єднано за допомогою Інтернет. Тому очевидно, що для безпечної роботи такої величезної системи необхідно вживати певних заходів безпеки, оскільки практично з будь-якого комп'ютера можна отримати доступ до будь-якої мережі будь-якої організації, причому небезпека значно зростає з тієї причини, що для злому комп'ютера до нього зовсім не потрібно фізичного доступу.
Згідно з даними, отриманими Інститутом комп'ютерної безпеки (Computer Security Institute) в результаті нещодавно проведеного дослідження, у 70% організацій були зламані системи мережевого захисту, крім того, 60% виявлених спроб зломів виходили з внутрішніх мереж організацій.
Враховуючи ці факти, можна з упевненістю сказати, що проблема безпеки мереж залишається невирішеною і на сьогоднішній день, оскільки у переважної більшості компаній не вирішені питання забезпечення безпеки, в результаті чого вони несуть фінансові збитки.
Крім крадіжки інформації, небезпеку можуть представляти атаки типу "відмова в обслуговуванні" і крадіжка послуг.
Невеликі організації, до підключення до мережі Інтернет не стикалися з питаннями захисту інформації, часто виявляються повністю непідготовленими до ситуації, що змінилася. У багатьох випадках користувачі корпоративних мереж навіть не підозрюють про те, що їхні дані несподівано виявилися доступні будь-якому користувачеві Інтернету
Одним з рішень проблем безпеки підключення до мережі Інтернет є застосування міжмережевих екранів. Міжмережевий екран - це програмно-апаратна система, що знаходиться в точці з'єднання внутрішньої мережі організації та Інтернет і здійснює контроль передачі даних між мережами.
1. Аналіз проблем інформаційної безпеки в комп'ютерній мережі організації підключеної до мережі Інтрентет. Сучасні підходи до їх вирішення
Проблеми інформаційної безпеки сучасних комп'ютерних мереж організації
Нові інформаційні технології активно впроваджуються в усі сфери народного господарства. Поява локальних і глобальних мереж передачі даних надало користувачам комп'ютерів нові можливості оперативного обміну інформацією. Якщо до недавнього часу подібні мережі створювалися тільки в специфічних та вузьконаправлених цілях (академічні мережі, мережі військових відомств і т.д.), то розвиток Інтернету та аналогічних систем призвело до використання глобальних мереж передачі даних у повсякденному житті практично кожної людини.
У міру розвитку й ускладнення засобів, методів і форм автоматизації процесів обробки інформації підвищується залежність суспільства від ступеня безпеки використовуваних ним інформаційних технологій.
Актуальність і важливість проблеми забезпечення інформаційної
Безпеки обумовлені наступними чинниками:
Сучасні рівні і темпи розвитку засобів інформаційної безпеки значно відстають від рівнів та темпів розвитку інформаційних технологій.
Високі темпи зростання парку персональних комп'ютерів, застосовуваних у різноманітних сферах людської діяльності. Згідно з даними досліджень компанії Gartner Dataquest в даний час в світі більше мільярда персональних комп'ютерів. А наступний мільярд буде досягнутий уже у 2009 році.
Різке розширення кола користувачів, що мають безпосередній доступ до обчислювальних ресурсів і масивів даних;
Доступність засобів обчислювальної техніки, і, перш за все персональних ЕОМ, призвела до поширення комп'ютерної грамотності в широких верствах населення. Це, у свою чергу, викликало численні спроби втручання в роботу державних та комерційних систем, як зі злим умислом, так і з суто «спортивного інтересу». Багато хто з цих спроб мали успіх і завдали значної шкоди власникам інформації та обчислювальних систем. За неофіційними даними до 70% всіх противо порушень, скоєних так званими хакерами, припадає на частку script-kiddies, в дослівному перекладі - діти, що граються зі скриптами. Дітьми їх називають, тому що вони не є фахівцями в комп'ютерних технологіях, але вміють користуватися готовими програмними засобами, які дістають на хакерських сайтах в Інтернеті, для здійснення деструктивних дій.
За оцінками фахівців в даний час близько 70-90% інтелектуального капіталу компанії зберігається в цифровому вигляді - текстових файлах, таблицях, базах даних.
Стрімкий розвиток інформаційних технологій відкрило нові можливості для бізнесу, проте призвело і до появи нових загроз. Сучасні програмні продукти з-за конкуренції потрапляють у продаж з помилками і недоробками. Розробники, включаючи в свої вироби всілякі функції, не встигають виконати якісну налагодження створюваних програмних систем. Помилки і недоробки, що залишилися в цих системах, призводять до випадкових і навмисним порушенням інформаційної безпеки. Наприклад, причинами більшості випадкових втрат інформації є відмови в роботі програмно-апаратних засобів, а більшість атак на комп'ютерні системи засновані на знайдені помилки і недоробки в програмному забезпеченні. Так, наприклад, за перші півроку після випуску серверної операційної системи компанії Microsoft Windows Server 2003 було виявлено 14 вразливостей, 6 з яких є критично важливими. Незважаючи на те, що з часом Microsoft розробляє пакети оновлення, що усувають виявлені недоробки, користувачі вже встигають постраждати від порушень інформаційної безпеки, що сталися з причини залишилися помилок. Така ж ситуація має місце і з програмними продуктами інших фірм. Поки не будуть вирішені ці багато інших проблем, недостатній рівень інформаційної безпеки буде серйозним гальмом у розвитку інформаційних технологій.
Подібна глобалізація дозволяє зловмисникам практично з будь-якої точки земної кулі, де є Інтернет, за тисячі кілометрів, здійснювати напад на корпоративну мережу.
Сучасні методи накопичення, обробки та передачі інформації сприяли появі загроз, пов'язаних з можливістю втрати, перекручування та розкриття даних, адресованих або що належать кінцевим користувачам.
Наприклад, в даний час в банківській сфері понад 90% усіх злочинів пов'язано з використанням автоматизованих систем обробки інформації.
Під загрозою безпеки розуміється можлива небезпека (потенційна чи реально існуюча) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об'єкта захисту (інформаційних ресурсів), який завдає шкоди власнику чи користувачу, який проявляється в небезпеці спотворення, розкриття або втрати інформації.
Реалізація тієї чи іншої загрози безпеки може переслідувати наступні цілі:
порушення конфіденційності інформації. Інформація, що зберігається і оброблювана в комп'ютерній мережі організації (КСВ), може мати велику цінність для її власника. Її використання іншими особами завдає значної шкоди інтересам власника;
порушення цілісності інформації. Втрата цілісності інформації (повна або часткова, компрометація, дезінформація) - загроза близька до її розкриття. Цінна інформація може бути втрачена або знецінена шляхом її несанкціонованого видалення або модифікації. Збиток від таких дій може бути набагато більшим, ніж при порушенні конфіденційності;
порушення (часткове або повне) працездатності КСВ (порушення доступності). Висновок з ладу або некоректна зміна режимів роботи компонентів КСВ, їх модифікація або підміна можуть призвести до отримання невірних результатів, відмови КСВ від потоку інформації або відмов при обслуговуванні. Відмова від потоку інформації означає невизнання однієї з взаємодіючих сторін факту передачі або прийому повідомлень. Маючи на увазі, що такі повідомлення можуть містити важливі донесення, замовлення, фінансові узгодження і т.п., збитки в цьому випадку може бути досить значним.
Тому забезпечення інформаційної безпеки комп'ютерних систем і мереж є одним з провідних напрямків розвитку інформаційних технологій.
Корпоративна інформаційна система (мережа) - інформаційна система, учасниками якої може бути обмежене коло осіб, визначений її власником або угодою учасників цієї інформаційної системи (із закону про Електронно-цифрового підпису).
Комп'ютерні мережі організації (КСВ) відносяться до розподілених комп'ютерних систем, що здійснюють автоматизовану обробку інформації. Проблема забезпечення інформаційної безпеки є центральною для таких комп'ютерних систем. Забезпечення безпеки КСВ передбачає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування КСВ, а також спробам модифікації, розкрадання, виведення з ладу або руйнування її компонентів, тобто захист всіх компонентів КСВ - апаратних засобів, програмного забезпечення, даних і персоналу.
Розглянемо, як в даний час йде питання забезпечення ІБ на підприємстві зв'язку. Дослідницька компанія Gartner Group виділяє 4 рівня зрілості компанії з точки зору забезпечення інформаційної безпеки (ІБ):
"0" рівень:
ІБ у компанії ніхто не займається, керівництво компанії не усвідомлює важливості проблем ІБ;
Фінансування відсутня;
ІБ реалізується штатними засобами операційних систем, СУБД і додатків (парольний захист, розмежування доступу до ресурсів і сервісів).
Найбільш типовим прикладом тут є компанія з невеликим штатом співробітників, що займається, наприклад, купівлею / продажем товарів. Всі технічні питання знаходяться у сфері відповідальності мережевого адміністратора, яким часто є студент. Тут головне, що б все працювало.
1 рівень:
ІБ розглядається керівництвом як суто "технічна" проблема, відсутня єдина програма (концепція, політика) розвитку системи забезпечення інформаційної безпеки (СОІБ) компанії;
Фінансування ведеться в рамках спільного ІТ - бюджету;
ІБ реалізується засобами нульового рівня + кошти резервного копіювання, антивірусні засоби, міжмережеві екрани, засоби організації VPN (традиційні засоби захисту).
2 і 3 рівні:
ІБ розглядається керівництвом як комплекс організаційних і технічних заходів, існує розуміння важливості ІБ для виробничих процесів, є затверджена керівництвом програма розвитку СОІБ компанії;
Фінансування ведеться в рамках окремого бюджету;
ІБ реалізується засобами першого рівня + кошти посиленою аутентифікації, засоби аналізу поштових повідомлень і web контенту, IDS (системи виявлення вторгнень), засоби аналізу захищеності, SSO (кошти одноразової аутентифікації), PKI (інфраструктура відкритих ключів) і організаційні заходи (внутрішній і зовнішній аудит , аналіз ризику, політика інформаційної безпеки, положення, процедури, регламенти і керівництва).
3 рівень відрізняється від 2-го наступним:
ІБ є частиною корпоративної культури, призначений CISA (старший офіцер з питань забезпечення ІБ);
Фінансування ведеться в рамках окремого бюджету, який згідно з результатами досліджень аналітичної компанії Datamonitor в більшості випадків становить не більше 5% ІТ бюджету;
ІБ реалізується засобами другого рівня + системи управління ІБ, CSIRT (група реагування на інциденти порушення ІБ), SLA (угода про рівень сервісу).
Таким чином, серйозний підхід до питань забезпечення ІБ з'являється тільки на 2-ми 3-му рівнях. А на 1-му і частково 0-му рівні зрілості відповідно до даної класифікації має місце так званий «фрагментарний» підхід до забезпечення ІБ. «Частковий» підхід спрямований на протидію чітко визначеним загрозам у заданих умовах. В якості прикладів реалізації такого підходу можна вказати окремі засоби управління доступом, автономні засоби шифрування, спеціалізовані антивірусні програми ит.п.
Перевага цього підходу полягає у високій вибірковості до конкретної загрози. Істотним недоліком підходу є відсутність єдиної захищеної середовища обробки інформації. Фрагментарні заходи захисту інформації забезпечують захист конкретних об'єктів КС тільки від конкретної загрози. Навіть невелике виду зміна загрози веде до втрати ефективності захисту.
Таких компаній за статистикою Gartner - 85%. (0 - 30%, 1 - 55%) станом на 2005.
Більш серйозні організації, відповідні 2-му та 3-му рівням зрілості класифікації Gartner, застосовують «комплексний» підхід до забезпечення ІБ. Цей же підхід пропонують і великі компанії, що професійно займаються захистом інформації.
Комплексний підхід грунтується на рішенні комплексу приватних завдань за єдиною програмою. Цей підхід у даний час є основним для створення захищеної середовища обробки інформації у корпоративних системах, що зводить воєдино різнорідні заходи протидії загрозам. Сюди відносяться правові, морально етичні, організаційні, програмні та технічні засоби забезпечення інформаційної безпеки. Комплексний підхід дозволив об'єднати цілий ряд автономних систем шляхом їх інтеграції в так звані інтегровані системи безпеки.
Методи рішення задач забезпечення безпеки дуже тісно пов'язані з рівнем розвитку науки і техніки і, особливо, з рівнем технологічного забезпечення. А характерною тенденцією розвитку сучасних технологій є процес тотальної інтеграції. Цією тенденцією охоплені мікроелектроніка і техніка зв'язку, сигнали і канали, системи та мережі. В якості прикладів можна навести надвеликі інтегральні схеми, інтегральні мережі передачі даних, багатофункціональні пристрої зв'язку ит. п.
Подальшим розвитком комплексного підходу або його максимальної формою є інтегральний підхід, заснований на інтеграції різних підсистем забезпечення безпеки, підсистем зв'язку в єдину інтегральну систему з загальними технічними засобами, каналами зв'язку, програмним забезпеченням і базами даних. Інтегральний підхід направлений на досягнення інтегральної безпеки. Основний зміст поняття інтегральної безпеки полягає в необхідності забезпечити такий стан умов функціонування корпорації, при якому вона надійно захищена від усіх можливих видів загроз в ході всього безперервного виробничого процесу. Поняття інтегральної безпеки передбачає обов'язкову безперервність процесу забезпечення безпеки, як у часі, так і в просторі (по всьому технологічному циклу діяльності) з обов'язковим урахуванням всіх можливих видів погроз (несанкціонований доступ, знімання інформації, тероризм, пожежа, стихійні лиха ит. Д.) .
В якій би формі не застосовувався комплексний або інтегральний підхід, він завжди направлений на вирішення низки приватних завдань у їх тісному взаємозв'язку з використанням загальних технічних засобів, каналів зв'язку, програмного забезпечення. Наприклад, стосовно інформаційної безпеки найбільш очевидними з них є завдання обмеження доступу до інформації, технічного та криптографічного закриття інформації, обмеження рівнів паразитних випромінювань технічних засобів, охорони і тривожної сигналізації. Однак необхідно рішення і інших, не менш важливих завдань. Так, наприклад, виведення з ладу керівників підприємства, членів їх сімей або ключових працівників має поставити під сумнів саме існування цього підприємства. Цьому ж можуть сприяти стихійні лиха, аварії, тероризм і т.п. Тому об'єктивно забезпечити повну безпеку інформації можуть лише інтегральні системи безпеки, індиферентні до виду загроз безпеки і забезпечують необхідний захист безперервно, як у часі, так і в просторі, в ході всього процесу підготовки, обробки, передачі та зберігання інформації.
Питання інформаційних безпеки інтернет - сервісів
Всесвітня павутина World Wide Web
WWW стала однією з основних причин вибухового розширення Інтернет в останні роки. Причиною її популярності стала можливість інтерактивного доступу до даних різних типів, у тому числі гіпертексту, графіку, аудіо, відео і т.д. World wide web представляє собою безліч HTTP-серверів в Інтернет.
Проблеми безпеки HTTP-клієнтів пов'язані з їх розширюваністю. Оскільки web-сервери надають дані в багатьох форматах (звичайний текст, HTML, графічні файли gif і jpeg, аудіо файли та ін), для відтворення різних форматів браузери викликають зовнішні програми. Наприклад, для перегляду файлів формату Microsoft Word, браузер викличе Microsoft Word. Як правило, браузери попереджають користувача про те, що для відкриття файлу буде викликана зовнішня програма і вимагають підтвердження, і, також як правило, користувачі не звертають уваги на ці попередження. При тому що багато форматів даних можуть включати виконуваний код, як, наприклад, макроси в документах Microsoft Word і Microsoft Excel, простий перегляд з вигляду нешкідливих матеріалів може призвести до виконання довільного коду на машині користувача від його імені.
Слід також брати до уваги існування "активних компонент" (active content), таких як Java-аплети, Javascript, ActiveX і т.п., які також містять код, що виконується від імені користувача. Питання безпеки "активних компонент" виходять, далеко за рамки даної роботи і за їх розглядом слід звернутися до роботи.
Простого рішення проблем безпеки, пов'язаних з активними компонентами та іншим виконуваним кодом, завантажується, з www не існує. Методи боротьби з проблемами включають в себе навчання користувачів і пояснення їм проблем безпеки, пов'язаних з завантаженим з мережі виконуваним кодом, відключення в клієнтському програмному забезпеченні можливості виконання завантажуються активних компонент, своєчасне оновлення клієнтського ПЗ для виправлення помічених у ньому помилок і т.п.
Електронна пошта
Електронна пошта є широко поширеною і інтенсивно використовуваної службою. Сама по собі вона представляє порівняно невеликий ризик, але, тим не менш, його слід враховувати.
Основні проблеми, пов'язані з електронною поштою:
підробка електронної пошти. Протокол SMTP, використовуваний для передачі електронної пошти в Інтернет не надає засобів аутентифікації відправника. Адреса відправника листа може бути легко підроблений. Підробка електронної пошти може використовуватися для атак типу "social engineering". Наприклад, користувач отримує лист нібито від системного адміністратора з проханням змінити пароль на вказаний у листі.
передача виконуваного коду в поштових повідомленнях. Електронна пошта дозволяє передавати дані різних типів, у тому числі програми, а також документи, що містять макроси. Разом з підробкою адреси відправника це може використовуватися для всіляких атак. Наведу два приклади. Користувач отримує лист від Santa.Claus @ northpole.org, в якому міститься поздоровлення з Новим Роком та "подарунок" - програма, яку пропонується запустити. Запущена програма малює на екрані, наприклад, новорічну ялинку з миготливою гірляндою. Користувач пересилає це поздоровлення всім своїм друзям і знайомим. Програма, що змальовує ялинку, крім цього інсталює програму віддаленого управління, і повідомляє про результат своєму творцю. Другий приклад. Системний адміністратор отримує лист від фірми - виробника використовується в компанії програмного забезпечення, з повідомленням, що в цьому програмному забезпеченні знайдена небезпечна помилка і з виправленням, яке слід терміново встановити. Результат аналогічний першому прикладу.
перехоплення поштових повідомлень. Електронна пошта передається через Інтернет в незашифрованому вигляді і може бути перехоплена і прочитана.
Спам. Спамом називається масова розсилка повідомлень рекламного характеру. На відміну від звичайної реклами на телебаченні чи радіо, за яку платить рекламодавець, оплата передачі спаму лягає на одержувача. Зазвичай спамери використовують наступну схему: з підключення по комутованій лінії встановлюється SMTP-з'єднання з хостом, на якому дозволено пересилання пошти на будь-які хости (open mail relay - відкритий релей). На нього посилається лист з безліччю адресатів і, як правило, з підробленим адресою відправника. Хост, що виявився жертвою, пересилає отримане повідомлення всім адресатам. У результаті, витрати на розсилку спаму лягають на отримувачів і хост, що пересилає пошту. Інтернет сервіс провайдери негативно ставляться до спаму, оскільки він створює дуже суттєве навантаження на їх системи і незручності їх користувачам. Тому багато провайдери включають у договір про надання послуг користувачам пункт про неприпустимість спаму і відключають користувачів, помічених у розсилці спаму. Крім того, багато провайдерів відключають прийому пошти з відкритих реле, помічених у передачі спаму. Системному адміністратору поштового сервера слід переконатися, що його система пересилає виключно пошту, адресовану її користувачам або виходить від її користувачів, щоб система не могла бути використана спамерами.
помилки в програмному забезпеченні поштових серверів. Сервери електронної пошти (SMTP, POP3, IMAP) сумно відомі безліччю помилок, призводить до злому систем. Sendmail, один з найпоширеніших SMTP-серверів заслужив репутацію найбільш "дірявим" програми, з коли-небудь використовувалися. За останні два роки були також знайдені помилки в поширеному POP3-сервері QUALCOMM qpopper і IMAP-сервері університету Вашингтона, які дозволяють віддаленому зломщикові отримати привілейований доступ (root) до системи. За відомостями CERT тисячі систем були зламані завдяки цим помилок. Системному адміністратору слід уважно стежити за повідомленнями про знайдені помилки в поштових серверах і вчасно встановлювати виправлені версії.
FTP - протокол передачі файлів
Протокол FTP використовується для передачі файлів. Більшість web-броузерів прозоро підтримують FTP. Можна також використовувати спеціальні FTP-клієнти.
Основною проблемою як і у випадку www є програми, викачуємо і встановлювані користувачами, які можуть носити шкідливий характер.
DNS - доменна система імен
DNS - доменна система імен - виробляє перетворення імен в адреси і навпаки. Усі програми, які використовують для звернення до віддалених хостів імена, є DNS-клієнтами. У цьому сенсі, практично будь-яка програма, що використовує IP-мережі, включаючи web-броузери, клієнтські поштові програми, FTP-клієнти, і т.п. використовують DNS. Таким чином, DNS є основоположною службою, яку використовують інші служби для своєї роботи.
DNS працює наступним чином: клієнт посилає запит локального сервера (наприклад, запитує IP-адреса www.microsoft.com). Сервер перевіряє, чи є у нього ця інформація в кеші, і якщо ні, DNS-сервер запитує інші DNS-сервера по черзі, щоб отримати відповідь на запит клієнта. Коли DNS-сервер отримує відповідь, або вирішує, що відповідь отримати не можна, він кешує отриману інформацію і передає відповідь клієнту.
Оскільки DNS критична для роботи інших сервісів, система наділена надмірністю. За кожну ділянку дерева імен відповідає один первинний (primary) і один і більше вторинних (secondary) серверів. Первинний сервер містить основну копію інформації про дільниці, яку обслуговує (зоні). Всі зміни в інформацію про зону вносяться на первинному сервері. Вторинні сервера періодично запитують "зонну пересилання" (zone transfer) і копіюють собі зонну інформацію первинного сервера. Таким чином, існує два типи звернень до DNS-сервера - клієнтські запити (lookups) і зонні пересилання (zone transfers).
DNS-сервер використовує порт 53. Клієнтські запити використовують UDP в якості транспорту. Якщо при пересиланні клієнтського запиту по UDP дані губляться, клієнт повторює запит по TCP. Для зонних пересилань завжди використовується TCP.
Проблеми безпеки DNS:
Розкриття інформації. DNS може повідомити потенційному зломщикові більше інформації, ніж слід, наприклад імена та адреси внутрішніх серверів і робочих станцій.
DNS spoofing. DNS схильна атаці, докладно описаної в роботі. Коротенько, суть її в наступному: атакується хост дає право на доступ до деякої своїй службі доверяемой хосту з відомим ім'ям. Зломщик бажає обдурити хост, що надає сервіс, представившись йому довіряємо хостом. Для цього зломщикові необхідно контролювати зворотну зону (перетворюючу IP-адреси в імена) до якої належить хост, з якого проводиться атака. Прописавши в ній відповідність своєму IP-адресою імені доверяемой хоста, зломщик отримує доступ до сервісу, що надається доверяемой хосту. Реалізується наступний сценарій: зломщик встановлює з'єднання на атакується хост. Атакований хост, щоб переконатися, що запит виходить від доверяемой хоста, запитує в DNS ім'я по IP-адресою. Оскільки авторитетним сервером для зони, до якої належить IP-адреса зломщика, є сервер зломщика, запит адресується до нього. Він у відповідь повідомляє ім'я доверяемой хоста.
Cache Poisoning. Атака базується на наступному властивості: коли один DNS-сервер звертається до іншого з запитом, що відповідає сервер, крім запитуваної інформації може повідомляти додаткову інформацію. Наприклад, якщо запитується MX (mail exchanger) для деякого домену, що відповідає сервер крім власне MX запису передає також A-записи для всіх mail exchanger'ов домену. Тепер розглянемо таку ситуацію: зломщик має адміністративний доступ до деякого DNS-сервера, авторитетному по відношенню до якого-небудь домену. Зломщик модифікує свій сервер таким чином, що при відповіді на запит про певну запису, сервер повертає деяку додаткову запис. Зломщик звертається до атакованого DNS-сервера з запитом про свою особливу запису. Сервер звертається із запитом до сервера зломщика, отримує додаткову запис і кешує її.
Помилки в програмному коді DNS-сервера. У 1998 році в широко використовуваному DNS-сервер BIND було знайдено декілька помилок, одна з яких дозволяла отримати віддаленого зломщикові привілейований (root) доступ до системи. Ці помилки були виправлені в наступних версіях.
Інші Інтернет - сервіси.
Крім описаних вище досить стандартних служб, існує безліч інших, більш-менш розповсюджених чи використовуваних. Відзначу основні проблеми, характерні для дуже багатьох з них.
Аутентифікація. Більшість електронних інформаційних сервісів (наприклад, ICQ, IRC) не дає можливості переконатися, що їх учасники дійсно ті, за кого себе видають. Варто дуже обережно ставитися до інформації, отриманої з не аутентифікованим джерела.
Передача виконуваного коду. Деякі інформаційні служби (ICQ) дозволяють пересилати довільні файли, в тому числі файли з виконуваним кодом. Виконуваний код, отриманий з неперевіреного джерела може містити що завгодно - віруси, троянських коней і т.п.
Програмні помилки. Помилки в програмному забезпеченні може призводити до різних проблем - від відмови в обслуговуванні до виконання на машині користувача зловмисного програмного коду без його згоди та відома.
Методи захисту комп'ютерної мережі організації від НСД з мережі Інтернет. Застосування міжмережевих екранів
Існує кілька підходів до вирішення проблеми захисту КСВ підключеною до мережі Інтернет від НСД. Перший підхід полягає в посиленні захисту всіх наявних систем, відкритих до доступу з Інтернет. Цей підхід називається "безпека на рівні хоста". Він може включати в себе навчання користувачів і адміністраторів систем роботі в більш недружньої середовищі, посилення політики парольного захисту (введення або посилення обмежень на мінімальну довжину, символьний склад і строк дії пароля) або введення не парольних методів аутентифікації, жорсткість правил доступу до систем, посилення вимог до використовуваного програмного забезпечення, у тому числі операційним системам, і регулярна перевірка виконання всіх введених вимог.
У цього підходу є кілька недоліків:
для користувачів ускладнюються процедури роботи в системі, і можливо, деякі дії до яких вони звикли, взагалі заборонені. Це може призвести до зниження продуктивності користувачів, а також до їх невдоволення.
на адміністраторів системи лягає дуже істотна додаткове навантаження щодо підтримки системи. Навіть для порівняно невеликих систем, що містять декілька десятків машин, завдання підтримки заданого рівня безпеки може вимагати непропорційно великих зусиль.
вимоги захисту можуть, суперечити вимогам використання системи і одним з них доведеться віддати перевагу на шкоду іншим. Як правило, вимогам до функціональності системи віддається перевагу на шкоду вимоги захисту.
Перевагою цього підходу є те, що крім проблеми захисту від "зовнішнього ворога" він також вирішує проблему внутрішньої безпеки системи. Оскільки значна частина інцидентів (за деякими даними до 80%), пов'язаних з безпекою, виходить від співробітників або колишніх співробітників компаній, цей підхід може дуже ефективно підвищити загальну безпеку системи.
Другий підхід є найбільш радикальним. У ньому робоча мережа компанії фізично не з'єднана з Інтернет. Для взаємодії з Інтернет використовується одна або декілька спеціально виділених машин, що не містять жодної конфіденційної інформації. Переваги цього підходу очевидні: оскільки робоча мережа не з'єднана з Інтернет, загроза НСД з мережі Інтернет для неї відсутній у принципі. У той же час, цей підхід має певні обмеження та недоліки. Обмеженням, у певних випадках прийнятним, є відсутність доступу до Інтернет з робочих місць співробітників. Недоліки цього підходу є наслідком наявності незахищених систем, підключених до Інтернет, які можуть піддаватися атакам типу "відмова в обслуговуванні", і крадіжці послуг (у тому числі можуть бути використані для злому інших систем). Варіацією цього підходу є розмежування по протоколах. Наприклад, для доступу до інформаційних ресурсів компанії використовується стек протоколів IPX / SPX, а для доступу в Інтернет - TCP / IP. При цьому, наприклад, сервери Novell Netware, будуть невидимі для зломщика і не можуть бути атаковані безпосередньо з Інтернет. Цей підхід також має певні обмеження. Наприклад, він неприйнятний для мережі, в якій необхідно використання TCP / IP для доступу до внутрішніх ресурсів. Другим його недоліком є те, що користувацькі системи видимі і доступні в Інтернеті і можуть бути використані як плацдарм для подальшої атаки на сервери.
Третій підхід, званий "безпека на рівні мережі" полягає в запровадженні засобів обмеження доступу в точці з'єднання мереж. Цей підхід дозволяє сконцентрувати кошти захисту і контролю в точках з'єднання двох і більш мереж, наприклад в точці з'єднання КСВ з Інтернет. У цій точці знаходиться спеціально виділена система - міжмережевий екран - яка і здійснює контроль за інформаційним обміном між двома мережами і фільтрує інформацію відповідно до заданих правил, які визначаються політикою безпеки компанії. Весь обмін даними, який відбувається між мережі Інтернет і внутрішньою мережею, проходить через міжмережевий екран. Організація може отримати значний виграш від такої моделі безпеки. Єдина система, що виконує роль міжмережевого екрану, може захистити від несанкціонованого доступу десятки і сотні систем, прихованих за нею, без накладання на них додаткових вимог до безпеки. Достоїнствами цього підходу є концентрація засобів захисту і контролю в одній точці, мінімальна зміна внутрішніх процедур роботи користувачів з інформаційною системою, порівняно велика простота адміністрування і можливо більший рівень захисту. Обмеженням цього підходу є те, що він призначений виключно для захисту від зовнішніх погроз, витікаючих від віддалених зломщиків.
Розглянемо тепер типову КСВ з точки зору застосування до неї вищеописаних методів захисту. Як правило, вона складається з клієнтських комп'ютерів під управлінням Microsoft Windows XP або рідше Windows NT Workstation, серверів Microsoft Windows NT Server, Novell Netware і / або різних Unix-систем, і, можливо, іншого мережного обладнання, такого як мережеві принтери, концентратори, комутатори та маршрутизатори з можливістю віддаленого управління і т.п.
Використання виключно моделі безпеки на рівні хоста в цьому випадку може бути неприйнятним, з причини великої складності (а можливо і нездійсненності) доведення рівня захисту використовуваних систем до необхідного рівня. Проблеми безпеки в мережах на базі систем Microsoft були показані вище. У випадку, якщо використання для доступу до Інтернет фізично відокремленої від основної мережі системи неприйнятно, найбільш ефективним рішенням є використання технології міжмережевих екранів.
Відповідно до визначення Державної Технічної Комісії при Президентові Російської Федерації "Міжмережевий екран є локальне (однокомпонентні) або функціонально-розподілене засіб (комплекс), що реалізує контроль за інформацією, що надходить в автоматизовану систему та / або виходить з автоматизованої системи, і забезпечує захист автоматизованої системи за допомогою фільтрації інформації, тобто її аналізу за сукупністю критеріїв та прийняття рішення про її поширення в (з) автоматизовану систему ". Міжмережеві екрани, при правильному їх використанні, є досить ефективним засобом захисту від загроз корпоративних мереж, що виходить з мережі Інтернет.
2. Теоретичні питання побудови міжмережевих екранів
2.1 Архітектури міжмережевих екранів
Міжмережна екрани можуть бути сконфігуровані у вигляді однієї з декількох архітектур, що забезпечує різні рівні безпеки при різних витратах на встановлення і підтримання працездатності. Організації повинні проаналізувати свій профіль ризику і вибрати відповідну архітектуру. Нижче описуються типові архітектури міжмережевого екрану і наводять приклади політик безпеки для них.
Хост, підключений до двох сегментів мережі
Це такий хост, який має більше одного інтерфейсу з мережею, причому кожен інтерфейс з мережею підключений фізично до окремого сегменту мережі. Найпоширенішим прикладом є хост, підключений до двох сегментах.
Міжмережевий екран на основі хоста, підключеного до двох сегментів мережі - це міжмережевий екран з двома мережевими платами, кожна з яких підключена до окремої мережі. Наприклад, одна мережна плата з'єднана із зовнішньою або небезпечною мережею, а інша - з внутрішньої або безпечної мережею. У цій конфігурації ключовим принципом забезпечення безпеки є заборона прямої маршрутизації трафіку з не довіреної мережі в довірену - міжмережевий екран завжди повинен бути при цьому проміжною ланкою.
Маршрутизація повинна бути відключена на межсетевом екрані такого типу, щоб IP-пакети з однієї мережі не могли пройти в іншу мережу.
Така конфігурація, напевно, є однією з найдешевших і розповсюджених при комутованому підключенні ЛОМ організації до мережі Інтернет. Береться машина, на яку встановлюється FreeBSD, і на ній забороняється маршрутизація, крім того відповідним чином конфігурується вбудований в ядро пакетний фільтр (ipfw).
Екранований хост
При архітектурі типу екранований хост використовується хост (званий хостом-бастіоном), з яким може встановити з'єднання будь-який зовнішній хост, але заборонений доступ до всіх інших внутрішніх, менш безпечним хостів. Для цього фільтруючий маршрутизатор конфігурується так, що всі з'єднання з внутрішньою мережею із зовнішніх мереж направляються до хосту-бастіону.
Якщо шлюз з пакетною фільтрацією встановлено, що хост-бастіон повинен бути налаштований так, щоб всі з'єднання з зовнішніх мереж проходили через нього, щоб запобігти пряме з'єднання між комп'ютерною мережею організації та мережі Інтернет.
Екранована підмережа
Архітектура екранованої мережі по суті збігається з архітектурою екранованого хоста, але додає ще одну лінію захисту, за допомогою створення мережі, в якій знаходиться хост-бастіон, відокремленою від внутрішньої мережі.
Екранована підмережа повинна впроваджуватися за допомогою додавання мережі-периметра для того, щоб відокремити внутрішню мережу від зовнішньої. Це гарантує, що навіть при успішному здійсненні атаки на хост-бастіон, атакуючий не зможе пройти далі мережі-периметра через те, що між внутрішньою мережею і мережею-периметром знаходиться ще один екрануючий маршрутизатор.
2.2 Класифікація міжмережевих екранів
Міжмережеві екрани є пристроями або системами, які управляють потоком мережевого трафіку між мережами з різними вимогами до безпеки. У більшості сучасних додатків міжмережеві екрани і їх оточення обговорюються в контексті сполук в Інтернеті і, отже, використання стека протоколів TCP / IP. Однак міжмережеві екрани застосовуються і в мережевих середовищах, які не вимагають обов'язкового підключення до Інтернету. Наприклад, багато корпоративних мережі підприємства ставлять міжмережеві екрани для обмеження з'єднань з і у внутрішні мережі, обробні інформацію різного рівня чутливості, таку як бухгалтерська інформація або інформація про замовників. Ставлячи міжмережеві екрани для контролю з'єднань з цими областями, організація може запобігти неавторизований доступ до відповідних систем і ресурсів усередині чутливих областей. Тим самим, використання міжмережевого екрану забезпечує додатковий рівень безпеки, який інакше не може бути досягнутий.
В даний час існує декілька типів міжмережевих екранів. Одним із способів порівняння їх можливостей є перерахування рівнів моделі OSI, які даний тип міжмережевого екрану може аналізувати-Модель OSI є абстракцією мережевої взаємодії між комп'ютерними системами і мережевими пристроями. Розглянемо тільки рівні моделі OSI відносяться до міжмережевих екранів. На рис. 2.1 показана стек протоколів моделі OSI.
Рис.2.1. Стек протоколів моделі OSI
Рівень 1 представляє собою реальну апаратуру фізичного з'єднання і середу, таку як Ethernet.
Рівень 2 - рівень, на якому мережевий трафік передається по локальній мережі (LAN). Він також є першим рівнем, що володіє можливістю адресації, за допомогою якої можна ідентифікувати окрему машину. Адреси призначаються на мережеві інтерфейси і називаються MAC (Media Access Control) адресами. Ethernet - адреса, що належить Ethernet-карті, є прикладом МАС - адреси рівня 2.
Рівень 3 є рівнем, що відповідає за доставку мережевого трафіку по WAN. В Інтернеті адреси рівня 3 називаються IP-адресами; адреси зазвичай є унікальними, але за певних обставин, наприклад, при трансляції мережевих адрес (NAT) можливі ситуації, коли різні фізичні системи мають один і той же IP-адресу рівня 3.
Рівень 4 ідентифікує конкретний мережевий додаток і комунікаційну сесію на додаток до мережевих адрес; система може мати велике число сесій рівня 4 з іншими ОС. Термінологія, пов'язана з сімейством протоколів TCP / IP, включає поняття портів, які можуть розглядатися як кінцеві точки сесій: номер порту джерела визначає комунікаційну сесію на вихідній системі; номер порту призначення визначає комунікаційну сесію системи призначення. Більш високі рівні (5, 6 і 7) представляють програми та системи кінцевого користувача.
Мостіковие міжмережеві екрани
Даний клас міжмережевого екрану, що функціонує на 2-му рівні моделі OSI, відомий також як прозорий (stealth), схований, тіньовий міжмережевий екран.
Мостіковие міжмережеві екрани з'явилися порівняно недавно і представляють перспективний напрямок розвитку технологій міжмережевого екранування. Фільтрація трафіку ними здійснюється на канальному рівні, тобто міжмережеві екрани працюють з фреймами (frame, кадр).
До переваг подібних міжмережевих екранів можна віднести:
• Немає необхідності в зміні налаштувань корпоративної мережі, не потрібно додаткової конфігурації мережевих інтерфейсів міжмережевого екрану.
• Висока продуктивність. Оскільки це прості пристрої, вони не вимагають великих витрат ресурсів. Ресурси потрібні або для підвищення можливостей машин, або для більш глибокого аналізу даних.
• Прозорість. Ключовим для цього пристрою є його функціонування на 2 рівні моделі OSI. Це означає, що мережевий інтерфейс не має IP-адреси. Ця особливість є важливою, ніж легкість в налаштуванні. Без IP-адреси цей пристрій не є в мережі і є невидимим для навколишнього світу. Якщо такий міжмережевий екран недоступний, то як його атакувати? Атакуючі навіть не будуть знати, що існує міжмережевий екран, перевіряючий кожен їхній пакет.
Фільтруючі маршрутизатори
Міжмережевий екран з фільтрацією пакетів (Packet - filtering firewall) - міжмережевий екран, який є маршрутизатором або комп'ютером, на якому працює програмне забезпечення, сконфигурированное таким чином, щоб фільтрувати певні види вхідних і вихідних пакетів. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-IP-заголовках пакетів (адреси відправника та одержувача, їх номери портів і ін)
Працюють на 3 рівні
Також відомі, як міжмережевий екран на основі порту
Кожен пакет порівнюється зі списками правил (адреса джерела / одержувача, порт джерела / одержувача)
Недорогий, швидкий (продуктивний з простоти), але найменш безпечний
Технологія 20-річної давності
Приклад: список контролю доступу (ACL, access control lists) маршрутизатора
Шлюз сеансового рівня
Шлюз сеансового рівня (Circuit-level gateway) - міжмережевий екран, який виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хостом. Спочатку він приймає запит довіреної клієнта на певні послуги і, після перевірки допустимості запитаного сеансу, встановлює з'єднання із зовнішнім хостом. На рис. 2.2 показано схема функціонування шлюзу сеансового рівня.
Рис. 2.2. Схема функціонування шлюзу сеансового рівня
Після цього шлюз просто копіює пакети в обох напрямках, не здійснюючи їх фільтрації. На цьому рівні з'являється можливість використання функції мережевої трансляції адрес (NAT, network address translation). Трансляція внутрішніх адрес виконується по відношенню до всіх пакетів, що випливають з внутрішньої мережі в зовнішню. Для цих пакетів IP-адреси комп'ютерів - відправників внутрішньої мережі автоматичний перетворюються в один IP-адресу, асоційований з екрануючим міжмережевим екраном. У результаті всі пакети, що виходять з внутрішньої мережі, виявляються відправленими міжмережевим екраном, що виключає прямий контакт між внутрішньою і зовнішньою мережею. IP-адреса шлюзу сеансового рівня стає єдиним активним IP-адресою, який потрапляє в зовнішню мережу.
Працює на 4 рівні
Передає TCP підключення, грунтуючись на порту
Недорогий, але більш безпечний, ніж фільтр пакетів
Взагалі потребує роботи користувача або програми конфігурації для повноцінної роботи
Приклад: SOCKS міжмережевий екран
Шлюз прикладного рівня
Шлюз прикладного рівня (Application-level gateways) - міжмережевий екран, який виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хостом, фільтруючи всі вхідні і вихідні пакети на прикладному рівні моделі OSI. На рис. 2.3 показано функціонування шлюзу прикладного рівня.
Рис.2.3. Схема функціонування шлюзу прикладного рівня
Пов'язані з додатком програми-посередники перенаправляють через шлюз інформацію, що генерується конкретними сервісами TCP / IP.
Можливості:
• Ідентифікація та автентифікація користувачів при спробі встановлення з'єднання через міжмережевий екран;
• Фільтрація потоку повідомлень, наприклад, динамічний пошук вірусів і прозоре шифрування інформації;
• Реєстрація подій та реагування на події;
• Кешування даних, запитуваних із зовнішньої мережі.
На цьому рівні з'являється можливість використання функцій посередництва (Proxy).
Для кожного обслуговуючого протоколу прикладного рівня можна вводити програмних посередників - HTTP-посередник, FTP-посередник і т.д. Посередник кожної служби TCP / IP орієнтований на обробку повідомлень та виконання функцій захисту, що відносяться саме до цієї служби. Також, як і шлюз сеансового рівня, прикладної шлюз перехоплює за допомогою відповідних екрануючих агентів вхідні та Вихідні пакети, копіює і перенаправляє інформацію через шлюз, і функціонує як сервер-посередника, виключаючи прямі з'єднання між внутрішньою і зовнішньою мережею. Однак, посередники, використовувані прикладним шлюзом, мають важливі відмінності від канальних посередників шлюзів сеансового рівня. По-перше, посередники прикладного шлюзу пов'язані з конкретними додатками програмними серверами), а по-друге, вони можуть фільтрувати потік повідомлень на прикладному рівні моделі МВОС.
Особливості:
Працює на 7 рівні;
Специфічний для додатків;
Помірно дорогий і повільний, але більш безпечний і допускає реєстрацію діяльності користувачів;
Вимагає роботи користувача або програми конфігурації для повноцінної роботи;
Приклад: Web (http) proxy;
Стек протоколів TCP / IP співвідноситься з рівнями моделі OSI наступним чином:
Рис. 2.4. Взаємозв'язок рівнів стека протоколів ТСР / IР і OSI
Сучасні міжмережеві екрани функціонують на будь-якому з перерахованих рівнів. На рис. 2.4 показано взаємозв'язок рівнів стека протоколів TCP / IP і OSI. Спочатку міжмережеві екрани аналізували менше число рівнів; тепер більш потужні з них охоплюють більшу кількість рівнів. З точки зору функціональності, міжмережевий екран, що має можливість аналізувати більше рівнів, є більш досконалим і ефективним. За рахунок охоплення додаткового рівня також збільшується можливість тонкої настройки конфігурації брандмауера. Можливість аналізувати більш високі рівні дозволяє міжмережевого екрану надавати сервіси, які орієнтовані на користувача, наприклад, аутентифікація користувача. Міжмережевий екран, який функціонує на рівнях 2, 3 та 4, не має справу з подібною аутентифікацією.
Незалежно від архітектури міжмережевий екран може мати додаткові сервіси. Ці сервіси включають трансляцію мережевих адрес (NAT), підтримку протоколу динамічної конфігурації хоста (DHCP) і функції шифрування, тим самим будучи кінцевою точкою VPN-шлюзу, і фільтрацію на рівні вмісту програми.
Багато сучасних міжмережеві екрани можуть функціонувати як VPN-шлюзи. Таким чином, організація може посилати незашифрований мережевий трафік від системи, розташованої за міжмережевого екрану, до віддаленої системи, розташованої за корпоративного VPN-шлюзу; міжмережевий екран зашифрує трафік і перенаправляє його на віддалений VPN-шлюз, який розшифрує його і передасть цільовій системі. Більшість найбільш популярних міжмережевих екранів сьогодні поєднують ці функціональності.
Багато міжмережеві екрани також включають різні технології фільтрації активного вмісту. Даний механізм відрізняється від звичайної функції міжмережевого екрану тим, що міжмережевий екран тепер також має можливість фільтрувати реальні прикладні дані на рівні 7, які проходять через нього. Наприклад, даний механізм може бути використаний для сканування на предмет наявності вірусів у файлах, приєднаних до поштового повідомлення. Він також може застосовуватися для фільтрації найбільш небезпечних технологій активного вмісту в web, таких як Java, JavaScript і ActiveX. Або він може бути використаний для фільтрації вмісту або ключових слів з метою обмеження доступу до невідповідним сайтів або доменам. Тим не менш, компонент фільтрації, вбудований в міжмережевий екран, не повинен розглядатися як єдино можливий механізм фільтрації вмісту; можливе застосування аналогічних фільтрів при використанні стиснення, шифрування або інших технологій.
2.3 Різні типи оточень міжмережевих екранів
Оточення міжмережевого екрану є терміном, який застосовується для опису безлічі систем і компонент, що використовується для підтримки функціонування міжмережевого екрану в конкретній мережі. Просте оточення міжмережевого екрану може складатися тільки з пакетного фільтру. У більш складному і безпечному оточенні воно складається з декількох міжмережевих екранів і проксі зі спеціальною топологією. Розглянемо можливі мережеві топології, використовувані як оточень міжмережевого екрану.
Принципи побудови оточення міжмережевих екранів
Існує чотири принципи, яких необхідно дотримуватися:
Простота (Keep It Simple)
Даний принцип говорить про перше і основному, про що треба пам'ятати при розробки топології мережі, в якій функціонує міжмережевий екран. Важливо приймати найбільш прості рішення - більш безпечним є те, чим легше управляти. Важко розуміються функціональності часто призводять до помилок в конфігурації.
Використання пристроїв за призначенням
Використання мережевих пристроїв для того, для чого вони спочатку призначалися, в даному контексті означає, що не слід робити міжмережеві екрани з устаткування, яке не призначене для використання в якості міжмережевого екрану. Наприклад, роутери призначені для рейтингу; можливості фільтрування пакетів не є їх вихідної метою, і це завжди треба враховувати при розробці оточення міжмережевого екрану. Залежність виключно від можливості роутера забезпечувати функціональність міжмережевого екрану небезпечна: він може бути легко переконфігурувати. Іншим прикладом є мережні комунікатори (switch): коли вони використовуються для забезпечення функціональності міжмережевого екрану поза оточення міжмережевого екрану, вони чутливі до атак, які можуть порушити функціонування комунікатора. У багатьох випадках гібридні міжмережеві екрани і пристрої міжмережевих екранів є кращим вибором, тому що вони оптимізовані в першу чергу для функціонування в якості міжмережевих екранів.
3. Створення оборони вглиб
Оборона вглиб означає створення декількох рівнів захисту на противагу наявності єдиного рівня. Не слід весь захист забезпечувати винятково міжмережевим екраном. Там, де може використовуватися кілька міжмережевих екранів, вони повинні використовуватися. Там, де роутери можуть бути сконфігуровані для надання деякого управління доступом або фільтрації, це слід зробити. Якщо ОС сервера може надати деякі можливості міжмережевого екрану, це слід застосувати.
4. Увага до внутрішніх загроз
Нарешті, якщо приділяти увагу тільки зовнішнім загрозам, то це призводить до того, що мережа стає відкритою для атак, зсередини. Хоча це і малоймовірно, але слід розглядати можливість того, що порушник може якось обійти міжмережевий екран і отримати свободу дій для атак внутрішніх або зовнішніх систем. Отже, важливі системи, такі як внутрішні web або e-mail сервери або фінансові системи, повинні бути розміщені позаду внутрішніх міжмережевих екранів або DMZ-зон.
Як підсумок зазначимо, що вираз «весь захист можна зламати» особливо застосовно до побудови оточень міжмережевого екрану. При розгортанні міжмережевих екранів слід пам'ятати про перераховані вище правила для визначення оточень, але в кожному випадку можуть мати місце свої власні вимоги, можливо, які вимагають унікальних рішень.
DMZ - мережі
У більшості випадків оточення міжмережевого екрану утворює так звану DMZ-мережу або мережу демілітаризованої зони. DMZ-мережа є мережею, розташованої між двома міжмережевими екранами.
Конфігурація з одного DMZ-мережею
DMZ-мережі призначені для розташування систем і ресурсів, яким необхідний доступ або тільки ззовні, або тільки зсередини, або і ззовні, і зсередини, але які не повинні бути розміщені у внутрішніх захищених мережах. Причина в тому, що ніколи не можна гарантувати, що ці системи і ресурси не можуть бути зламані. Але злом цих систем не повинен автоматично означати доступ до всіх внутрішніх систем. Приклад оточення міжмережевого екрану з одного DMZ показано на рис. 2.5.
Рис. 2.5. Приклад оточення міжмережевого екрану з одного DMZ
DMZ-мережі зазвичай будуються з використанням мережевих комутаторів і розташовуються між двома міжмережевими екранами або між міжмережевим екраном і прикордонним роутером. Доброю практикою є розміщення серверів віддаленого доступу і кінцевих точок VPN в DMZ-мережах. Розміщення цих систем в DMZ-мережах зменшує ймовірність того, що віддалені атакуючі будуть мати можливість використовувати ці сервери в якості точки входу в локальні мережі. Крім того, розміщення цих серверів в DMZ-мережах дає змогу міжмережевих екранів служити додатковими засобами для контролю прав доступу користувачів, які отримують доступ з використанням цих систем до локальної мережі.
Service Leg конфігурація
Однією з конфігурацій DMZ-мережі є так звана «Service Leg» конфігурація міжмережевого екрану на рис. 2.6. У цій конфігурації міжмережевий екран створюється з трьома мережевими інтерфейсами. Один мережевий інтерфейс з'єднується з Інтернетом, інший мережний інтерфейс з'єднується з внутрішньою мережею, і третій мережевий інтерфейс формує DMZ-мережу. Така конфігурація може призвести до зростання ризику для міжмережевого екрану при деградації сервісу протягом DoS-атаки, яка буде націлена на сервіси, які працюють у DMZ-мережі. У стандартній конфігурації DMZ-мережі DoS-атака для приєднаного до DMZ-ресурсу, такого як web-сервер, буде відповідним чином впливати тільки на цей цільовий ресурс. У Service Leg конфігурації DMZ-мережі міжмережевий екран бере на себе основний удар від DoS-атаки, тому що він має перевіряти весь мережевий трафік перед тим, як трафік досягне приєднаного до DMZ - ресурсу. Це може впливати на весь трафік організації, якщо на її web-сервер виконана DoS-атака.
Рис. 2.6. Конфігурація Service Leg DMZ
Конфігурація з двома DMZ-мережами
При наявності великого числа серверів з різними вимогами доступу можна мати міжмережевий екран прикордонного роутера і два внутрішніх міжмережевого екрану розмістити все зовні доступні сервери у зовнішній DMZ між роутером і першим міжмережевим екраном. Прикордонний роутер буде фільтрувати пакети і забезпечувати захист серверів, перший міжмережевий екран буде забезпечувати управління доступом і захист від серверів внутрішньої DMZ у разі, якщо вони атаковані. Організація розміщує внутрішньо доступні сервери у внутрішній DMZ, розташованої між основним і внутрішнім міжмережевими екранами; міжмережеві екрани будуть забезпечувати захист і управління доступом для внутрішніх серверів, захищених як від зовнішніх, так і від внутрішніх атак.
Оточення міжмережевого екрану для даної мережі показано на рис.2.7.
Зовнішня DMZ-мережа з'єднана з Інтернетом через пакетний фільтр, службовець прикордонним роутером, - вище були вказані причин, по яких використання пакетного фільтра є кращим.
Основний міжмережевий екран є VPN-шлюзом для віддалених користувачів; такі користувачі повинні мати ПО VPN-клієнта для з'єднання з міжмережевим екраном.
Вхідний SMTP-трафік повинен пропускатися основним міжмережевим екраном.
Вихідний HTTP-трафік повинен проходити через внутрішній міжмережевий екран, який передає даний HTTP-трафік прикладного НТТР-проксі, розміщеному у внутрішній DMZ.
Основні та внутрішні міжмережеві екрани повинні підтримувати технологію stateful inspection і можуть також включати можливості прикладного проксі. Основний міжмережевий екран повинен виконувати наступні дії:
дозволяти зовнішнім користувачам з'єднуватися з VPN-сервером, де вони повинні аутентифицироваться;
пропускати внутрішні SMTP-з'єднання і дані до проксі-сервера, де дані можуть бути відфільтровані і передані системам призначення;
виконувати роутинг вихідного HTTP-трафіку від HTTP-проксі і вихідного SMTP-трафіку від SMTP-сервера;
після цього заборонити весь інший вихідний HTTP і SMTP-трафік;
після цього дозволити весь інший вихідний трафік;
Внутрішній міжмережевий екран повинен приймати вхідний трафік тільки від основного міжмережевого екрану, прикладного HTTP-проксі і SMTP-сервера. Крім того, він повинен приймати SMTP-і HTTP-трафік тільки від проксі, але не від основного міжмережевого екрану. Нарешті, він повинен вирішувати всі вихідні з'єднання від внутрішніх систем.
Щоб зробити даний приклад застосовним до оточенням з більш високими вимогами до безпеки, можна додати такі сервіси:
можуть бути додані внутрішній і зовнішній DNS-сервери, щоб заховати внутрішні системи;
може покористуватися NAT для подальшого приховування внутрішніх систем;
вихідний трафік від внутрішніх систем може фільтруватися, що може включати фільтрування трафіку до певних сайтів або сервісів у відповідності з політикою управління;
може бути використано кілька міжмережевих екранів для збільшення продуктивності;
Рис.2.7. Приклад оточення міжмережевого екрану з двома DMZ-мережами
Інтранет
Інтранет є мережею, яка виконує ті ж самі сервіси, програми та протоколи, які присутні в Інтернеті, але без наявності зовнішнього з'єднання з Інтернетом. Наприклад, мережа підприємстві, що підтримує сімейство протоколів TCP / IP, можна розглядати як Інтранет.
Більшість організацій в даний час має певний тип Інтранету. У внутрішній мережі (інтранет) можуть бути створені ще менші Інтранет, використовуючи внутрішні міжмережеві екрани. Наприклад, можна захистити свою власну персональну мережу внутрішнім міжмережевим екраном, і вийшла, захищена мережа може розглядатися як персональна інтранет.
Так як Інтранет використовує ті ж самі протоколи та прикладні сервіси, що й Інтернет, багато проблем безпеки, успадковані з Інтернету, також присутні в Інтранет.
Екстранет
Термін «Екстранет» застосовується до мережі, логічно складається з трьох частин: дві інтранет з'єднані між собою через Інтернет з використанням VPN. Екстранет може бути визначена як business-to-business Інтранет. Ця мережа дозволяє забезпечити обмежений, керований доступ віддалених користувачів за допомогою тієї ж форми аутентифікації і шифрування, які є у VPN.
Екстранет має ті ж самі характеристики, що й інтранет, за винятком того, що екстранет використовує VPN для створення захищених з'єднань через публічний Інтернет. Метою інтранет є надання доступу до потенційно чутливої інформації віддаленим користувачам або організаціям, але при цьому забороняючи доступ всім іншим зовнішнім користувачам і системам. Екстранет використовує протоколи TCP / IP і ті ж самі стандартні програми та сервіси, які використовуються в Інтернеті. На рис. 2.8 показаний приклад топології мережі екстранет.
Рис.2.8. VPN і екстранет, що з'єднують дві мережі Інтранету
Компоненти інфраструктури: концентратори і комутатори
Додатково до роутера і міжмережевих екранів, зв'язок між системами забезпечують такі інфраструктурні пристрої, як концентратори (hubs) і комутатори (switches). Найбільш простим з них є мережевий концентратор. Концентратори - це пристрої, які функціонують на рівні 1 моделі OSI. Іншими словами, вони призначені тільки для надання фізичного під'єднання мережевих систем або ресурсів.
У мережевих концентраторів існує багато слабких місць. Перше і основне полягає в тому, що концентратори дозволяють будь-якого пристрою, приєднаному до них, переглядати весь мережевий трафік. З цієї причини вони не повинні використовуватися для побудови DMZ-мереж або оточень міжмережевого екрану.
Більш розвиненими інфраструктурними пристроями є мережеві комутатори. Це пристрої рівня 2, тобто вони мають певну інформацію при створенні приєднання мережевих систем або компонент.
Основна властивість комутаторів полягає в тому, що системи, приєднані до комутатора, не можуть «підглядати» трафік один одного, тому вони краще підходять для реалізації DMZ-мереж і оточень міжмережевих екранів.
Важливо зауважити, що комутатори не повинні використовуватися для надання будь-яких можливостей міжмережевого екрану або забезпечення ізолювання трафіку поза оточення міжмережевого екрану, тому що при цьому можливі DoS-атаки, які можуть призвести до того, що комутатори переповнять приєднані мережі пакетами.
2.4 Рівень захищеності міжмережевих екранів
Відповідно до рівень захищеності міжмережевих екранів оцінюється за такими показниками:
Управління доступом (фільтрація даних і трансляція адрес)
Ідентифікація і аутентифікація
Реєстрація
Адміністрування: ідентифікація та аутентифікація
Адміністрування: реєстрація
Адміністрування: простота використання
Цілісність
Відновлення
Тестування
Керівництво адміністратора захисту
Тестова документація
Конструкторська (проектна) документація
Для кожного класу захищеності визначаються вимоги до вказаними показниками.
Далі слідують вимоги до міжмережевого екрану у відповідності з документом Державної Технічної Комісії з міжмережевих екранів для п'ятого і четвертого класу захищеності та опис рівня відповідності цим вимогам.
Управління доступом.
Вимоги до п'ятого класу:
Міжмережевий екран повинен забезпечувати фільтрацію на мережному рівні. Рішення по фільтрації може прийматися для кожного мережевого пакету незалежно на основі, принаймні, мережевих адрес відправника і одержувача або на основі інших еквівалентних атрибутів.
Вимоги до четвертого класу:
Дані вимоги повністю включають аналогічні вимоги п'ятого класу. Додатково міжмережевий екран повинен забезпечувати:
фільтрацію пакетів службових протоколів, службовців для діагностики та управління роботою мережевих пристроїв;
фільтрацію з урахуванням вхідного і вихідного мережевого інтерфейсу як засіб перевірки справжності мережевих адрес;
фільтрацію з урахуванням будь-яких значимих полів мережевих пакетів.
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги четвертого класу.
Додатково міжмережевий екран повинен забезпечувати:
фільтрацію на транспортному рівні запитів на встановлення віртуальних з'єднань. При цьому, принаймні, враховуються транспортні адреси відправника і одержувача;
фільтрацію на прикладному рівні запитів до прикладних сервісів. При цьому, принаймні, враховуються прикладні адреси відправника і одержувача;
фільтрацію з урахуванням дати / часу.
Ідентифікація і аутентифікація
Немає вимог до четвертого і п'ятого класу. Вимоги до третього класу:
Міжмережевий екран повинен забезпечувати можливість аутентифікації вхідних і вихідних запитів методами, стійкими до пасивного та / або активного прослуховування мережі.
Реєстрація
Немає вимог до п'ятого класу. Вимоги до четвертого класу:
Міжмережевий екран повинен забезпечувати можливість реєстрації та обліку фільтруються пакетів. У параметри реєстрації включаються адресу, час і результат фільтрації.
Вимоги до третього класу:
Дані вимоги включають аналогічні вимоги четвертого класу.
Додатково міжмережевий екран повинен забезпечувати:
Адміністрування: ідентифікація та аутентифікація
Вимоги до п'ятого класу:
Міжмережевий екран повинен забезпечувати ідентифікацію та аутентифікацію адміністратора міжмережевого екрану при його локальних запити на доступ. Міжмережевий екран повинен надавати можливість для ідентифікації і аутентифікації по ідентифікатору (коду) і паролю умовно-постійної дії.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги включають аналогічні вимоги п'ятого класу. Додатково міжмережевий екран повинен перешкоджати доступу неідентифікованого суб'єкта або суб'єкта, справжність ідентифікації якого при аутентифікації не підтвердилася. При віддалених запитах адміністратора міжмережевого екрану на доступ ідентифікація та аутентифікація повинні забезпечуватися методами, стійкими до пасивного й активного перехоплення інформації.
Адміністрування: реєстрація
Вимоги до п'ятого класу:
Міжмережевий екран повинен забезпечувати реєстрацію входу (виходу) адміністратора міжмережевого екрану в систему (з системи) або завантаження і ініціалізація системи та її програмний останов. Реєстрація виходу з системи не проводиться в моменти апаратурного відключення міжмережевого екрану;
У параметрах реєстрації зазначаються:
дата, час і код реєструється події;
результат спроби здійснення реєструється події - успішна або неуспішна;
ідентифікатор адміністратора міжмережевого екрану, пред'явлений при спробі здійснення реєструється події.
Вимоги до четвертого класу:
Дані вимоги включають аналогічні вимоги п'ятого класу.
Додатково міжмережевий екран повинен забезпечувати реєстрацію запуску програм і процесів (завдань, задач).
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги четвертого класу.
Додатково міжмережевий екран повинен забезпечувати реєстрацію дії адміністратора міжмережевого екрану по зміні правил фільтрації.
Адміністрування: простота використання
Немає вимог до четвертого і п'ятого класу. Вимоги до третього класу:
Багатокомпонентний міжмережевий екран повинен забезпечувати можливість дистанційного управління своїми компонентами, в тому числі, можливість конфігурації фільтрів, перевірки взаємної узгодженості всіх фільтрів, аналізу реєстраційної інформації.
Цілісність
Вимоги до п'ятого класу:
Міжмережевий екран повинен містити засоби контролю над цілісністю своєї програмної та інформаційної частини.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги п'ятого класу.
Додатково повинен забезпечуватися контроль цілісності програмної та інформаційної частини міжмережевого екрану по контрольних сумах.
Відновлення
Вимоги до п'ятого класу:
Міжмережевий екран повинен передбачати процедуру відновлення після збоїв і відмов обладнання, які повинні забезпечувати відновлення властивостей міжмережевого екрану.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Тестування
Вимоги до п'ятого класу:
У межсетевом екрані повинна забезпечуватися можливість регламентного тестування:
реалізації правил фільтрації;
процесу ідентифікації і аутентифікації адміністратора;
процесу реєстрації дій адміністратора міжмережевого екрану;
процесу контролю за цілісністю програмної та інформаційної частини міжмережевого екрану;
процедури відновлення.
Вимоги до четвертого класу:
У межсетевом екрані повинна забезпечуватися можливість регламентного тестування:
реалізації правил фільтрації;
процесу реєстрації;
процесу ідентифікації і аутентифікації адміністратора міжмережевого екрану;
процесу реєстрації дій адміністратора міжмережевого екрану;
процесу контролю за цілісністю програмної та інформаційної частини міжмережевого екрану;
процедури відновлення.
Вимоги до третього класу:
У межсетевом екрануванням повинна забезпечуватися можливість регламентного тестування
реалізації правил фільтрації;
процесу реєстрації;
процесу ідентифікації і аутентифікації запитів;
процесу ідентифікації і аутентифікації адміністратора міжмережевого екрану;
процесу реєстрації дій адміністратора міжмережевого екрану;
процесу контролю за цілісністю програмної та інформаційної частини міжмережевого екрану;
процедури відновлення.
Керівництво адміністратора захисту
Вимоги до п'ятого класу:
Документ містить:
опис контрольованих функцій міжмережевого екрану;
посібник з настроювання та конфігурування міжмережевого екрану;
опис старту міжмережевого екрану і процедур перевірки правильності старту;
керівництво за процедурою відновлення.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Тестова документація
Вимоги до п'ятого класу:
Повинна містити опис тестів і випробувань, яких зазнав міжмережевий екран, і результати тестування.
Вимоги до четвертого класу:
Повинна містити опис тестів і випробувань, яких зазнав міжмережевий екран, і результати тестування.
Вимоги до третього класу:
Повинна містити опис тестів і випробувань, яких зазнав міжмережевий екран, і результати тестування.
Конструкторська документація
Вимоги до п'ятого класу:
Повинна містити:
загальну схему міжмережевого екрану;
загальний опис принципів роботи міжмережевого екрану;
опис правил фільтрації;
опис засобів і процесу ідентифікації і аутентифікації;
опис засобів і процесу реєстрації;
опис засобів і процесу контролю над цілісністю програмної та інформаційної частини міжмережевого екрану;
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу по складу документації.
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги п'ятого класу по складу документації.
Додатково документація повинна містити:
2.5 Віртуальні приватні мережі (VPN)
У зв'язку з широким розповсюдженням Інтернет, інтранет, екстранет при розробці та застосуванні розподілених інформаційних мереж і систем однієї з найактуальніших завдань є вирішення проблем інформаційної безпеки.
В останнє десятиліття в зв'язку з бурхливим розвитком Інтернет і мереж колективного доступу в світі відбувся якісний стрибок у поширенні і доступності інформації. Користувачі отримали дешеві й доступні канали зв'язку. Прагнучи до економії коштів, підприємства використовують такі канали для передачі критичною комерційної інформації. Однак принципи побудови Інтернет відкривають зловмисникам можливості крадіжки або навмисного викривлення інформації. Не забезпечена досить надійний захист від проникнення порушників у корпоративні і відомчі мережі.
Для ефективної протидії мережевим атакам та забезпечення можливості активного і безпечного використання в бізнесі відкритих мереж на початку 90-х років народилася і активно розвивається концепція побудови захищених віртуальних приватних мереж - VPN. (Virtual Private Networks).
Концепція побудови захищених віртуальних приватних мереж VPN
В основі концепції побудови захищених віртуальних приватних мереж VPN лежить досить проста ідея: якщо в глобальній мережі є два вузли, які хочуть обмінятися інформацією, то для забезпечення конфіденційності та цілісності інформації, що передається по відкритих мережах інформації між ними необхідно побудувати віртуальний тунель, доступ до якого має бути надзвичайно утруднений всім можливим активним і пасивним зовнішнім спостерігачам. Термін «віртуальний» вказує на те, що з'єднання між двома вузлами мережі не є постійним (жорстким) і існує тільки під час проходження трафіку по мережі.
Переваги, одержувані компанією при формуванні таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів.
Функції та компоненти мережі VPN
Захищеної віртуальної мережею VPN називають об'єднання локальних мереж та окремих комп'ютерів через відкриту зовнішню середу передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.
При підключенні корпоративної локальної мережі до відкритої мережі виникають загрози безпеки двох основних типів:
несанкціонований доступ до корпоративних даних у процесі їх передачі по відкритій мережі;
несанкціонований доступ до внутрішніх ресурсів корпоративної локальної мережі, одержуваний зловмисником в результаті не санкціонованого входу в цю мережу.
Захист інформації в процесі передачі по відкритих каналах зв'язку заснована на виконанні таких основних функцій:
аутентифікації взаємодіючих сторін;
криптографическом закритті (шифруванні) переданих даних;
перевірці автентичності та цілісності доставленої інформації.
Для цих функцій характерна взаємозв'язок один з одним. Їх реалізація заснована на використанні криптографічних методів захисту інформації.
Для захисту локальних мереж та окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища зазвичай використовують міжмережеві екрани, що підтримують безпеку інформаційної взаємодії шляхом фільтрації двостороннього потоку повідомлень, а також виконання функцій посередництва при обміні інформацією. Міжмережевий екран розташовують на стику між локальною і відкритою мережею. Для захисту окремого віддаленого комп'ютера, підключеного до відкритої мережі, програмне забезпечення брандмауера встановлюють на цьому ж комп'ютері, і такий міжмережевий екран називається персональним.
Тунелювання
Захист інформації в процесі її передачі по відкритих каналах заснована на побудові захищених віртуальних каналів зв'язку, званих крипто захищеними тунелями. Кожен такий тунель є з'єднання, проведене через відкриту мережу, по якому передаються криптографічний захищені пакети повідомлень.
Створення захищеного тунелю виконують компоненти віртуальної мережі, що функціонують на вузлах, між якими формується тунель. Ці компоненти прийнято називати ініціатором і термінатором тунелю. Ініціатор тунелю інкапсулює (вбудовує) пакети в новий пакет, у якому поруч з вихідними даними новий заголовок з інформацією про відправника і одержувача. Хоча всі передані по тунелю пакети є пакетами IP, інкапсуліруемие пакети можуть належати до протоколу будь-якого типу, включаючи пакети не маршрутизуються протоколів, таких, як NetBEUI. Маршрут між ініціатором і термінатором тунелю визначає звичайна маршрутизуються мережу IP, яка може бути і мережею відмінною від Інтернет. Термінатор тунелю виконує процес зворотний інкапсуляції - він видаляє нові заголовки і направляє кожен вихідний пакет у локальний стек протоколів чи адресата в локальній мережі.
Сама по собі інкапсуляція ніяк не впливає на захищеність пакетів повідомлень, переданих по тунелю. Але завдяки інкапсуляції з'являється можливість повної криптографічного захисту інкапсуліруемих пакетів. Конфіденційність інкапсуліруемих пакетів забезпечується шляхом їх криптографічного закриття, тобто зашифровування, а цілісність і справжність - шляхом формування цифрового підпису. Оскільки існує велика безліч методів криптозахисту даних, дуже важливо, щоб ініціатор і термінатор тунелю використовували одні й ті ж методи і могли погоджувати один з одним цю інформацію.
Крім того, для можливості розшифровки даних і перевірки цифрового підпису при прийомі ініціатор і термінатор тунелю повинні підтримувати функції безпечного обміну ключами. Ну і нарешті, щоб тунелі створювалися тільки між уповноваженими користувачами, кінцеві сторони взаємодії потрібно автентифікувати.
VPN на основі міжмережевих екранів
Міжмережеві екрани більшості виробників містять функції тунелювання і шифрування даних. До програмного забезпечення власне міжмережевого екрану додається модуль шифрування.
Як приклад рішення на базі міжмережевих екранів можна назвати FireWall-1 компанії Check Point Software Technologies. FairWall-1 використовує для побудови VPN стандартний підхід на базі IPSec. Трафік, що приходить в міжмережевий екран, дешифрується, після чого до нього застосовуються стандартні правила управління доступом. FireWall-1 працює під управлінням операційних систем Solaris і Windows NT 4.0.
До недоліків цього методу відносяться висока вартість рішення в перерахунку на одне робоче місце і залежність продуктивності від апаратного забезпечення, на якому працює міжмережевий екран. На рис. 2.9 показано приклад поєднання міжмережевого екрану і VPN.
При використанні міжмережевих екранів на базі ПК треба пам'ятати, що подібний варіант підходить тільки для невеликих мереж з обмеженим обсягом переданої інформації.
Рис. 2.9. Приклад поєднання міжмережевого екрану і VPN
3. Пропозиція щодо вдосконалення захисту комп'ютерної мережі організації за рахунок впровадження міжмережевого екрану
3.1 Правильний вибір міжмережевих екранів для захисту інформації КСВ
Оптимальні міжмережеві екрани для малих і середніх організацій з невисокими вимогами до безпеки
У даному розділі, розглядаються широко поширені апаратні міжмережеві екрани і наводяться рекомендації щодо їх застосування в залежності від розміру організації, необхідного рівня безпеки та вартості рішення. У першій частині статті розглянуті рішення, оптимальні для малих і середніх організацій з невисокими вимогами до безпеки, а в другій - рішення для малих і середніх компаній і офісів філій, які потребують надійного захисту.
Вибір варіанту
В даний час вибір міжмережевих екранів дуже широкий, починаючи від простого (і безкоштовного) Windows Firewall, що розміщується на захищається машині, до високопродуктивних міжмережевих екранів з перевіркою стану пакетів вартістю в десятки тисяч доларів. Як вибрати оптимальний варіант для конкретного організація? При виборі міжмережевого екрану слід враховувати два основні фактори: вимоги безпеки і вартість.
Вимоги безпеки.
Вимоги до безпеки постійно змінюються. Адміністратор повинен поєднувати надійний захист з зручністю для користувача доступу до даних, а також враховувати принципові обмеження програм, автори яких звертали мало уваги на безпеку хост-машини та мережі.
Обмеження за вартістю. Ціна - бар'єр між бажаннями і дійсністю. Головна перешкода на шляху до високої безпеки - витрати, які готовий або може нести користувач. Рівень захисту, який забезпечується простим широкосмуговим маршрутизатором для малого / домашнього офісу з перевіркою пакетів, значно нижче, ніж при застосуванні промислового міжмережевого екрану з перевіркою пакетів і контролем на прикладному рівні. У цілому, чим вище вартість міжмережевого екрану, тим надійніше захист. Рівень безпеки відповідає витратам, які несе організація (на разове придбання апаратних засобів та програмного забезпечення або на оплату консультантів з управління недорогими рішеннями).
Рішення, представлені в розділі
Ринок міжмережевих екранів надзвичайно великий і різноманітний, тому неможливо оцінити кожного постачальника. Щоб дещо впорядкувати картину, було обрано декілька постачальників пристроїв, що охоплюють весь спектр надійності і вартості, від традиційних міжмережевих екранів з перевіркою пакетів до змішаних пристроїв з перевіркою пакетів та програм для усунення універсальних загроз (universal threat management, UTM). У даній статті представлені такі постачальники, як Cisco Systems, Network Engines, Rimapp, SonicWall і Symantec.
Головний акцент в огляді мережевих міжмережевих екранів для організацій різних розмірів і вимог до безпеки зроблений на рівні захисту, а не характеристиках маршрутизації або додаткові функції пристрою. Багато постачальників міжмережевих екранів стягують додаткову плату за передові функції маршрутизації, які ніяк не впливають на рівень безпеки. Наприклад, не розглядалися маршрутизація на базі політик, якість обслуговування, прозорість рівня управління передачею даних та інші мережеві удосконалення, які мало впливають на загальну безпеку.
З іншого боку, продукти деяких постачальників розташовують функціями Web-кешування, значно підвищують загальну цінність придбання для організації, якій не доводиться купувати окреме рішення для кешування. У результаті підвищується продуктивність при роботі в Web і знижуються загальні витрати на експлуатацію каналу Internet. Наявність Web-proxy також підвищує безпеку.
Характеристики оцінки міжмережевих екранів
Нижче наводиться короткий огляд характеристик, які приймалися до уваги при оцінці апаратних міжмережевих екранів. Цей список допоможе зрозуміти інформацію, наведену в таблиці 3.2 та 3.3.
Ціна. Вартість конкретних міжмережевих екранів у різних продавців може сильно відрізнятися. Наведена в даному огляді ціна відображає стандартний набір функцій без додаткових модулів, які доводиться купувати окремо. Модулі розширення можуть значно підвищити вказану ціну.
Контроль на прикладному рівні з урахуванням стану. Контроль на прикладному рівні з урахуванням стану полягає в перевірці як заголовків протоколу, так і прикладних даних з використанням механізму контролю на прикладному рівні. Приклади - поглиблена перевірка на прикладному рівні даних і заголовків HTTP, даних і заголовків SMTP, даних і заголовків протоколу Instant Messaging (IM).
Контроль прикладного протоколу. Контроль прикладного протоколу (інакше, поглиблена перевірка пакетів - deep packet inspection) дозволяє аналізувати протокол прикладного рівня і підтвердити його відповідність стандартам IETF (Internet Engineering Task Force) для наборів команд протоколів. Приклади - контроль протоколів DNS, FTP, POP3 і SMTP. У процесі контролю прикладного протоколу перевірка відповідності заданим умовам всіх даних на прикладному рівні не виконується.
Перевірка пакетів на відповідність заданим умовам. Даний метод забезпечує перевірку заголовків мережевого і транспортного рівня в механізмі фільтрації пакетів мережевого доступу. Перевірка пакетів на відповідність заданим умовам застосовується практично у всіх сучасних міжмережевих екранів і у свій час була стандартним методом захисту.
Прозора аутентифікація Windows. Завдяки прозорій аутентифікації міжмережевий екран отримує облікові дані користувача з клієнтської операційної системи без стороннього втручання. Суворий контроль зовнішнього доступу користувачів і груп здійснюється без запиту облікових даних користувача.
Протоколювання всіх імен користувачів і додатків Web і Winsock. Протоколювання - обов'язкова умова для підготовки вичерпних звітів про відповідність законодавству та ефективного співробітництва з правоохоронними органами. Через протоколювання імен користувачів і додатків Winsock міжмережевий екран отримує інформацію про додатки та ресурси, доступних користувачеві при підключенні через міжмережевий екран.
Контроль на прикладному рівні через тунелі SSL (Secure Sockets Layer). Такий контроль дозволяє виконати перевірку на відповідність заданим умовам і проаналізувати протокол з'єднання в зашифрованому тунелі SSL. Міжмережеві екрани, які забезпечують лише перевірку пакетів на відповідність заданим умовам, не можуть контролювати заголовки і дані прикладного рівня в шифрованих тунелях SSL.
Підтримка Microsoft Exchange Server. Міжмережеві екрани з вбудованою підтримкою Exchange підвищують безпеку віддалених з'єднань через Internet зі службами Exchange, у тому числі Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC і RPC over HTTP. Ця характеристика охоплює вбудовані функції двофакторної аутентифікації, наприклад RSA SecurID компанії RSA Security.
Контроль шлюзового і клієнтського трафіку VPN на прикладному рівні. Завдяки контролю шлюзових і клієнтських з'єднань VPN міжмережевий екран перевіряє як пакети на відповідність заданим умовам, так і тунельні з'єднання через PPTP, Layer Two Tunneling Protocol (L2TP) / IPsec або IPsec на прикладному рівні. Контроль на прикладному рівні з'єднань через канал VPN запобігає поширення таких «черв'яків», як Blaster і Sasser. Наприклад, міжмережевий екран ISA Server 2004 компанії Microsoft забезпечує відповідність стандарту викликів віддалених процедур RPC (remote procedure call) і блокує Blaster і аналогічні загрози.
Виявлення та запобігання несанкціонованого доступу. Методи виявлення й запобігання несанкціонованого доступу орієнтовані на аномалії мережевого і транспортного рівня, що загрожують набору протоколів TCP / IP міжмережевого екрану. Більшість міжмережевих екранів систем виявлення та попередження вторгнень Intrusion Detection System (IDS) / Intrusion Prevention System (IPS) можна налаштувати на пересилання попереджень адміністраторам без активних дій чи попередження з прийняттям заходів для запобігання нападу. На практиці більшість міжмережевих екранів IDS / IPS забороняють спроби несанкціонованого доступу в момент виявлення.
Сервер віддаленого доступу VPN і шлюз VPN. Сервер віддаленого доступу VPN приймає клієнтські з'єднання VPN від систем і підключає цю систему в корпоративну мережу. Шлюз VPN пов'язує цілі мережі через міжсайтового VPN-з'єднання.
VPN-клієнт. Для всіх традиційних віддалених клієнтських з'єднань VPN необхідна клієнтська програма (в бескліентскіх SSL VPN в якості клієнта використовується браузер). Більшість міжмережевих екранів забезпечують з'єднання PPTP і L2TP/IPsec з вбудованим в Windows VPN-клієнтом від Microsoft. Для деяких міжмережевих екранів потрібні додаткова (розширена) Клієнтська програма VPN, яка забезпечує перевірку відповідності вимогам безпеки клієнта VPN, і спеціальні протоколи IPsec для проходження трансляції мережевих адрес NAT (Network Address Translation). Ці програми можуть надаватися безкоштовно, але іноді їх доводиться купувати окремо.
10/100-Мбіт/с порти локальної мережі. Міжмережевий екран з кількома портами Ethernet, виділеними для локальних з'єднань, забезпечує більш глибоку фізичну сегментацію зон безпеки. У деяких міжмережевих екранів є кілька портів Ethernet, але обмежена кількість портів, які можуть використовуватися для підключення до Internet.
Порти WAN. У деяких міжмережевих екранів обмежена кількість портів для прямого підключення до Internet. В інших для цієї мети можна використовувати як завгодно багато портів.
Балансування навантаження. Кілька міжмережевих екранів можна підключити паралельно і балансувати вхідні і витікаючі з'єднання через міжмережевий екран. В ідеальному випадку з'єднання рівномірно розподіляються між міжмережевими екранами, і результати роботи кожного пристрою міняються в кращу сторону завдяки запобігання перевантаження окремих міжмережевих екранів.
Число користувачів. У деяких міжмережевих екранів обмежена кількість користувачів або IP-адрес, які можуть встановлювати з'єднання через міжмережевий екран. Ці міжмережеві екрани ліцензовані для роботи з певним числом користувачів і, якщо перевищено ліцензійний поріг, генерують відповідне попередження.
Передача функцій відмовив міжмережевого екрану справного пристрою. Дана функція дозволяє підключити два або декілька міжмережевих екранів таким чином, щоб вони могли обслуговувати з'єднання замість відмовили пристроїв. Резервування може бути «холодним» (без навантаження), «гарячою» (під навантаженням) або з балансуванням навантаження. Деякі процедури перемикання автоматичні, а в інших випадках потрібне втручання адміністратора.
Переключення Internet-провайдера та об'єднання смуги пропускання. Можливість роботи з кількома Internet-провайдерами - найважливіша вимога будь-якої організації, діяльність якої залежить від зв'язку з Internet. Міжмережеві екрани зі зміною Internet-провайдерів можуть переключатися на працездатну лінію, якщо зв'язок з одним або декількома провайдерами переривається. Об'єднання смуги пропускання полягає в поєднанні кількох ліній зв'язку в швидкісний канал доступу до ресурсів Internet.
Настройка. Більшість міжмережевих екранів забезпечують Web-з'єднання SSL в деяких або у всіх конфігураціях. Деякі міжмережеві екрани підтримують інтерфейс командного рядка в сеансі терміналу, а міжмережеві екрани на базі ISA Server забезпечують шифровані з'єднання RDP, сумісні зі стандартом обробки інформації FIPS (Federal Information Processing Standard).
Процесор. Дана характеристика пояснень не потребує. Вона вказує тип і швидкодію основного процесора міжмережевого екрану.
Web-кешування і proxy-сервер. Деякі міжмережеві екрани розташовують вбудованим сервером Web-кешування. Web-кешування прискорює доступ до Internet для кінцевих користувачів і може істотно знизити навантаження на канал зв'язку з Internet і відповідні витрати. Компонент Web-proxy значно підвищує безпеку, повністю розкладаючи на складові частини, а потім перевіряючи і відновлюючи проходять через нього повідомлення HTTP.
Низький рівень безпеки
Як зазначалося на початку статті, міжмережеві екрани розглядаються у відповідності з необхідним підприємству рівнем безпеки. Міжмережеві екрани першого типу призначені для малих і середніх підприємств з низьким рівнем безпеки. У слабко захищеної середовищі важливі дані не зберігаються в мережі або власник конфіденційної інформації не може або не хоче платити за мережний міжмережевий екран з потужними функціями перевірки вхідного і вихідного доступу, пакетів і прикладного рівня, вичерпне протоколювання дій користувачів і додатків.
Як правило, слабо захищені мережі належать невеликим компаніям з обмеженим бюджетом. Локальна мережа може підключатися до Internet через широкосмуговий кабельний модем або DSL-з'єднання за допомогою так званого «широкосмугового маршрутизатора» замість виділених ліній рівнів T і вище, більш поширених у великих організаціях. Технічно широкосмугові маршрутизатори не відносяться до маршрутизаторів, а являють собою прості пристрої NAT. Більшість таких пристроїв дозволяє встановити нечисленні VPN-з'єднання з використанням фірмових клієнтських програм VPN.
Верхня межа цінового діапазону міжмережевих екранів для середовища з невисоким рівнем захисту - близько 500 дол Якщо на мережу з низьким рівнем безпеки не поширюються суворі вимоги правоохоронного нагляду, а компанія має дуже обмежений бюджет, то слід звернути увагу на продукти Cisco, SonicWall і Symantec, порівняльні характеристики яких наведені в таблиці 3.1.
Три міжмережевого екрану мають схожою функціональністю, можливостями і рівнями захисту від зовнішніх загроз. Кожен забезпечує перевірку пакетів на відповідність заданим умовам у вхідних з'єднаннях з Internet. Цим малопотужним пристроїв властиві суттєві обмеження по числу користувачів. Число сполук визначається схемою ліцензування кожного постачальника і можливостями апаратних засобів.
Ще важливіше, що ці міжмережеві екрани не мають у своєму розпорядженні засобами контролю вхідного і вихідного доступу по користувачам і групам. Функції протоколювання всіх пристроїв примітивні. Відсутня перевірка на відповідність заданим умовам на прикладному рівні. Ці обмеження типові для недорогих апаратних міжмережевих екранів.
З цієї трійки рекомендується використовувати просте в налаштуванні пристрій SonicWall 170, яке працює майже автоматично. SonicWall 170 розпорядженні модемним інтерфейсом, завдяки якому можливо переключення на аналогове модемне з'єднання у разі відмови основного широкосмугового каналу зв'язку. Крім того, в SonicWall 170 на один локальний порт більше, ніж у двох інших пристроях.
Мережева безпека - вирішальний компонент загальної стратегії ешелонованої оборони підприємства. Мережеві міжмережеві екрани - ключові елементи захисту систем і даних на різних мережевих периметрах. Підприємства з низькими вимогами до безпеки можуть вибрати один з міжмережевих екранів з таблиці або інші продукти такого рівня, але для надійного захисту потрібні пристрої, які будуть розглянуті трохи нижче.
Таблиця 3.1. Апаратні міжмережеві екрани для мережного середовища з невисокою надійністю