Московський гуманітарний університет економіки і права
Дипломна робота
Тема:
«Аналіз проблем інформаційної безпеки в комп'ютерній мережі, організації підключеної до мережі Інтернтет»
«Допущена до захисту»
Декан фінансово-облікового факультету
В.А. Дьеченко
Студент: Федін М.Ф.
Москва
2009
Зміст
Введення
1. Аналіз проблем інформаційної безпеки в комп'ютерній мережі організації підключеної до мережі Інтрентет. Сучасні підходи до їх вирішення
1.1 Проблеми інформаційної безпеки сучасних комп'ютерних мереж організації
1.2 Питання інформаційних безпеки інтернет - сервісів
1.3 Методи захисту комп'ютерної мережі організації від НСД з мережі Інтернет. Застосування міжмережевих екранів
2. Теоретичні питання побудови міжмережевих екранів
2.1 Архітектури міжмережевих екранів
2.2 Класифікація міжмережевих екранів
2.3 Різні типи оточень міжмережевих екранів
2.4 Рівень захищеності міжмережевих екранів
2.5 Віртуальні приватні мережі (VPN)
3. Пропозиція щодо вдосконалення захисту комп'ютерної мережі організації за рахунок впровадження міжмережевого екрану
3.1 Правильний вибір міжмережевих екранів для захисту інформації КСВ
3.2 Intrusion Detection Systems (IDS)
3.3 IPv6 як сильний вплив на конструкцію міжмережевого екрану
Висновки
Список скорочень і позначень
Список використаних джерел літератури
Введення
Комп'ютери, мережі, Інтернет стали невід'ємною частиною нашого повсякденного життя. Наш бистроразвівающийся, насичений технологіями світ з кожним днем все більше стає залежним від комп'ютерних технологій і мереж. Однак ця залежність виникла не раптово. З кожним роком фінансування комп'ютерних технологій значно зростала, і не дивно, що ці технології проникли практично в усі сфери діяльності людини.
На зорі розвитку комп'ютерних технологій більшість людей не могли уявити, наскільки широко ці технології будуть використовуватися в самому недалекому майбутньому. Тому, напевно, багато хто не вирішувалися приділяти багато часу і зусиль для освоєння того, що, врешті-решт, могло виявитися звичайною забавою. У порівнянні з вимогами сучасного ринку праці кількість людей, які працювали в той час в області комп'ютерних технологій, було мізерно мало. Люди, що працювали в цьому тісному співтоваристві, були добре знайомі і довіряли один одному. Крім того, до цієї спільноти допускалися лише обрані, які заслуговували на довіру. Таким чином, в ті часи проблеми безпеки в області комп'ютерних технологій практично були відсутні. І досить довгий час фахівці в області комп'ютерних технологій не приділяли уваги безпеці комп'ютерних мереж.
В даний час величезна кількість мереж об'єднано за допомогою Інтернет. Тому очевидно, що для безпечної роботи такої величезної системи необхідно вживати певних заходів безпеки, оскільки практично з будь-якого комп'ютера можна отримати доступ до будь-якої мережі будь-якої організації, причому небезпека значно зростає з тієї причини, що для злому комп'ютера до нього зовсім не потрібно фізичного доступу.
Згідно з даними, отриманими Інститутом комп'ютерної безпеки (Computer Security Institute) в результаті нещодавно проведеного дослідження, у 70% організацій були зламані системи мережевого захисту, крім того, 60% виявлених спроб зломів виходили з внутрішніх мереж організацій.
Враховуючи ці факти, можна з упевненістю сказати, що проблема безпеки мереж залишається невирішеною і на сьогоднішній день, оскільки у переважної більшості компаній не вирішені питання забезпечення безпеки, в результаті чого вони несуть фінансові збитки.
Крім крадіжки інформації, небезпеку можуть представляти атаки типу "відмова в обслуговуванні" і крадіжка послуг.
Невеликі організації, до підключення до мережі Інтернет не стикалися з питаннями захисту інформації, часто виявляються повністю непідготовленими до ситуації, що змінилася. У багатьох випадках користувачі корпоративних мереж навіть не підозрюють про те, що їхні дані несподівано виявилися доступні будь-якому користувачеві Інтернету
Одним з рішень проблем безпеки підключення до мережі Інтернет є застосування міжмережевих екранів. Міжмережевий екран - це програмно-апаратна система, що знаходиться в точці з'єднання внутрішньої мережі організації та Інтернет і здійснює контроль передачі даних між мережами.
1. Аналіз проблем інформаційної безпеки в комп'ютерній мережі організації підключеної до мережі Інтрентет. Сучасні підходи до їх вирішення
Проблеми інформаційної безпеки сучасних комп'ютерних мереж організації
Нові інформаційні технології активно впроваджуються в усі сфери народного господарства. Поява локальних і глобальних мереж передачі даних надало користувачам комп'ютерів нові можливості оперативного обміну інформацією. Якщо до недавнього часу подібні мережі створювалися тільки в специфічних та вузьконаправлених цілях (академічні мережі, мережі військових відомств і т.д.), то розвиток Інтернету та аналогічних систем призвело до використання глобальних мереж передачі даних у повсякденному житті практично кожної людини.
У міру розвитку й ускладнення засобів, методів і форм автоматизації процесів обробки інформації підвищується залежність суспільства від ступеня безпеки використовуваних ним інформаційних технологій.
Актуальність і важливість проблеми забезпечення інформаційної
Безпеки обумовлені наступними чинниками:
Сучасні рівні і темпи розвитку засобів інформаційної безпеки значно відстають від рівнів та темпів розвитку інформаційних технологій.
Високі темпи зростання парку персональних комп'ютерів, застосовуваних у різноманітних сферах людської діяльності. Згідно з даними досліджень компанії Gartner Dataquest в даний час в світі більше мільярда персональних комп'ютерів. А наступний мільярд буде досягнутий уже у 2009 році.
Різке розширення кола користувачів, що мають безпосередній доступ до обчислювальних ресурсів і масивів даних;
Доступність засобів обчислювальної техніки, і, перш за все персональних ЕОМ, призвела до поширення комп'ютерної грамотності в широких верствах населення. Це, у свою чергу, викликало численні спроби втручання в роботу державних та комерційних систем, як зі злим умислом, так і з суто «спортивного інтересу». Багато хто з цих спроб мали успіх і завдали значної шкоди власникам інформації та обчислювальних систем. За неофіційними даними до 70% всіх противо порушень, скоєних так званими хакерами, припадає на частку script-kiddies, в дослівному перекладі - діти, що граються зі скриптами. Дітьми їх називають, тому що вони не є фахівцями в комп'ютерних технологіях, але вміють користуватися готовими програмними засобами, які дістають на хакерських сайтах в Інтернеті, для здійснення деструктивних дій.
Значне збільшення обсягів інформації, що накопичується, зберігається та обробляється за допомогою комп'ютерів та інших засоби автоматизації;
За оцінками фахівців в даний час близько 70-90% інтелектуального капіталу компанії зберігається в цифровому вигляді - текстових файлах, таблицях, базах даних.
Численні уразливості в програмних і мережевих платформах;
Стрімкий розвиток інформаційних технологій відкрило нові можливості для бізнесу, проте призвело і до появи нових загроз. Сучасні програмні продукти з-за конкуренції потрапляють у продаж з помилками і недоробками. Розробники, включаючи в свої вироби всілякі функції, не встигають виконати якісну налагодження створюваних програмних систем. Помилки і недоробки, що залишилися в цих системах, призводять до випадкових і навмисним порушенням інформаційної безпеки. Наприклад, причинами більшості випадкових втрат інформації є відмови в роботі програмно-апаратних засобів, а більшість атак на комп'ютерні системи засновані на знайдені помилки і недоробки в програмному забезпеченні. Так, наприклад, за перші півроку після випуску серверної операційної системи компанії Microsoft Windows Server 2003 було виявлено 14 вразливостей, 6 з яких є критично важливими. Незважаючи на те, що з часом Microsoft розробляє пакети оновлення, що усувають виявлені недоробки, користувачі вже встигають постраждати від порушень інформаційної безпеки, що сталися з причини залишилися помилок. Така ж ситуація має місце і з програмними продуктами інших фірм. Поки не будуть вирішені ці багато інших проблем, недостатній рівень інформаційної безпеки буде серйозним гальмом у розвитку інформаційних технологій.
Бурхливий розвиток глобальної мережі Інтернет, практично не перешкоджає порушень безпеки систем обробки інформації в усьому світі.
Подібна глобалізація дозволяє зловмисникам практично з будь-якої точки земної кулі, де є Інтернет, за тисячі кілометрів, здійснювати напад на корпоративну мережу.
Сучасні методи накопичення, обробки та передачі інформації сприяли появі загроз, пов'язаних з можливістю втрати, перекручування та розкриття даних, адресованих або що належать кінцевим користувачам.
Наприклад, в даний час в банківській сфері понад 90% усіх злочинів пов'язано з використанням автоматизованих систем обробки інформації.
Під загрозою безпеки розуміється можлива небезпека (потенційна чи реально існуюча) вчинення будь-якого діяння (дії або бездіяльності), спрямованого проти об'єкта захисту (інформаційних ресурсів), який завдає шкоди власнику чи користувачу, який проявляється в небезпеці спотворення, розкриття або втрати інформації.
Реалізація тієї чи іншої загрози безпеки може переслідувати наступні цілі:
порушення конфіденційності інформації. Інформація, що зберігається і оброблювана в комп'ютерній мережі організації (КСВ), може мати велику цінність для її власника. Її використання іншими особами завдає значної шкоди інтересам власника;
порушення цілісності інформації. Втрата цілісності інформації (повна або часткова, компрометація, дезінформація) - загроза близька до її розкриття. Цінна інформація може бути втрачена або знецінена шляхом її несанкціонованого видалення або модифікації. Збиток від таких дій може бути набагато більшим, ніж при порушенні конфіденційності;
порушення (часткове або повне) працездатності КСВ (порушення доступності). Висновок з ладу або некоректна зміна режимів роботи компонентів КСВ, їх модифікація або підміна можуть призвести до отримання невірних результатів, відмови КСВ від потоку інформації або відмов при обслуговуванні. Відмова від потоку інформації означає невизнання однієї з взаємодіючих сторін факту передачі або прийому повідомлень. Маючи на увазі, що такі повідомлення можуть містити важливі донесення, замовлення, фінансові узгодження і т.п., збитки в цьому випадку може бути досить значним.
Тому забезпечення інформаційної безпеки комп'ютерних систем і мереж є одним з провідних напрямків розвитку інформаційних технологій.
Корпоративна інформаційна система (мережа) - інформаційна система, учасниками якої може бути обмежене коло осіб, визначений її власником або угодою учасників цієї інформаційної системи (із закону про Електронно-цифрового підпису).
Комп'ютерні мережі організації (КСВ) відносяться до розподілених комп'ютерних систем, що здійснюють автоматизовану обробку інформації. Проблема забезпечення інформаційної безпеки є центральною для таких комп'ютерних систем. Забезпечення безпеки КСВ передбачає організацію протидії будь-якому несанкціонованому вторгненню в процес функціонування КСВ, а також спробам модифікації, розкрадання, виведення з ладу або руйнування її компонентів, тобто захист всіх компонентів КСВ - апаратних засобів, програмного забезпечення, даних і персоналу.
Розглянемо, як в даний час йде питання забезпечення ІБ на підприємстві зв'язку. Дослідницька компанія Gartner Group виділяє 4 рівня зрілості компанії з точки зору забезпечення інформаційної безпеки (ІБ):
"0" рівень:
ІБ у компанії ніхто не займається, керівництво компанії не усвідомлює важливості проблем ІБ;
Фінансування відсутня;
ІБ реалізується штатними засобами операційних систем, СУБД і додатків (парольний захист, розмежування доступу до ресурсів і сервісів).
Найбільш типовим прикладом тут є компанія з невеликим штатом співробітників, що займається, наприклад, купівлею / продажем товарів. Всі технічні питання знаходяться у сфері відповідальності мережевого адміністратора, яким часто є студент. Тут головне, що б все працювало.
1 рівень:
ІБ розглядається керівництвом як суто "технічна" проблема, відсутня єдина програма (концепція, політика) розвитку системи забезпечення інформаційної безпеки (СОІБ) компанії;
Фінансування ведеться в рамках спільного ІТ - бюджету;
ІБ реалізується засобами нульового рівня + кошти резервного копіювання, антивірусні засоби, міжмережеві екрани, засоби організації VPN (традиційні засоби захисту).
2 і 3 рівні:
ІБ розглядається керівництвом як комплекс організаційних і технічних заходів, існує розуміння важливості ІБ для виробничих процесів, є затверджена керівництвом програма розвитку СОІБ компанії;
Фінансування ведеться в рамках окремого бюджету;
ІБ реалізується засобами першого рівня + кошти посиленою аутентифікації, засоби аналізу поштових повідомлень і web контенту, IDS (системи виявлення вторгнень), засоби аналізу захищеності, SSO (кошти одноразової аутентифікації), PKI (інфраструктура відкритих ключів) і організаційні заходи (внутрішній і зовнішній аудит , аналіз ризику, політика інформаційної безпеки, положення, процедури, регламенти і керівництва).
3 рівень відрізняється від 2-го наступним:
ІБ є частиною корпоративної культури, призначений CISA (старший офіцер з питань забезпечення ІБ);
Фінансування ведеться в рамках окремого бюджету, який згідно з результатами досліджень аналітичної компанії Datamonitor в більшості випадків становить не більше 5% ІТ бюджету;
ІБ реалізується засобами другого рівня + системи управління ІБ, CSIRT (група реагування на інциденти порушення ІБ), SLA (угода про рівень сервісу).
Таким чином, серйозний підхід до питань забезпечення ІБ з'являється тільки на 2-ми 3-му рівнях. А на 1-му і частково 0-му рівні зрілості відповідно до даної класифікації має місце так званий «фрагментарний» підхід до забезпечення ІБ. «Частковий» підхід спрямований на протидію чітко визначеним загрозам у заданих умовах. В якості прикладів реалізації такого підходу можна вказати окремі засоби управління доступом, автономні засоби шифрування, спеціалізовані антивірусні програми ит.п.
Перевага цього підходу полягає у високій вибірковості до конкретної загрози. Істотним недоліком підходу є відсутність єдиної захищеної середовища обробки інформації. Фрагментарні заходи захисту інформації забезпечують захист конкретних об'єктів КС тільки від конкретної загрози. Навіть невелике виду зміна загрози веде до втрати ефективності захисту.
Таких компаній за статистикою Gartner - 85%. (0 - 30%, 1 - 55%) станом на 2005.
Більш серйозні організації, відповідні 2-му та 3-му рівням зрілості класифікації Gartner, застосовують «комплексний» підхід до забезпечення ІБ. Цей же підхід пропонують і великі компанії, що професійно займаються захистом інформації.
Комплексний підхід грунтується на рішенні комплексу приватних завдань за єдиною програмою. Цей підхід у даний час є основним для створення захищеної середовища обробки інформації у корпоративних системах, що зводить воєдино різнорідні заходи протидії загрозам. Сюди відносяться правові, морально етичні, організаційні, програмні та технічні засоби забезпечення інформаційної безпеки. Комплексний підхід дозволив об'єднати цілий ряд автономних систем шляхом їх інтеграції в так звані інтегровані системи безпеки.
Методи рішення задач забезпечення безпеки дуже тісно пов'язані з рівнем розвитку науки і техніки і, особливо, з рівнем технологічного забезпечення. А характерною тенденцією розвитку сучасних технологій є процес тотальної інтеграції. Цією тенденцією охоплені мікроелектроніка і техніка зв'язку, сигнали і канали, системи та мережі. В якості прикладів можна навести надвеликі інтегральні схеми, інтегральні мережі передачі даних, багатофункціональні пристрої зв'язку ит. п.
Подальшим розвитком комплексного підходу або його максимальної формою є інтегральний підхід, заснований на інтеграції різних підсистем забезпечення безпеки, підсистем зв'язку в єдину інтегральну систему з загальними технічними засобами, каналами зв'язку, програмним забезпеченням і базами даних. Інтегральний підхід направлений на досягнення інтегральної безпеки. Основний зміст поняття інтегральної безпеки полягає в необхідності забезпечити такий стан умов функціонування корпорації, при якому вона надійно захищена від усіх можливих видів загроз в ході всього безперервного виробничого процесу. Поняття інтегральної безпеки передбачає обов'язкову безперервність процесу забезпечення безпеки, як у часі, так і в просторі (по всьому технологічному циклу діяльності) з обов'язковим урахуванням всіх можливих видів погроз (несанкціонований доступ, знімання інформації, тероризм, пожежа, стихійні лиха ит. Д.) .
В якій би формі не застосовувався комплексний або інтегральний підхід, він завжди направлений на вирішення низки приватних завдань у їх тісному взаємозв'язку з використанням загальних технічних засобів, каналів зв'язку, програмного забезпечення. Наприклад, стосовно інформаційної безпеки найбільш очевидними з них є завдання обмеження доступу до інформації, технічного та криптографічного закриття інформації, обмеження рівнів паразитних випромінювань технічних засобів, охорони і тривожної сигналізації. Однак необхідно рішення і інших, не менш важливих завдань. Так, наприклад, виведення з ладу керівників підприємства, членів їх сімей або ключових працівників має поставити під сумнів саме існування цього підприємства. Цьому ж можуть сприяти стихійні лиха, аварії, тероризм і т.п. Тому об'єктивно забезпечити повну безпеку інформації можуть лише інтегральні системи безпеки, індиферентні до виду загроз безпеки і забезпечують необхідний захист безперервно, як у часі, так і в просторі, в ході всього процесу підготовки, обробки, передачі та зберігання інформації.
Питання інформаційних безпеки інтернет - сервісів
Всесвітня павутина World Wide Web
WWW стала однією з основних причин вибухового розширення Інтернет в останні роки. Причиною її популярності стала можливість інтерактивного доступу до даних різних типів, у тому числі гіпертексту, графіку, аудіо, відео і т.д. World wide web представляє собою безліч HTTP-серверів в Інтернет.
Проблеми безпеки HTTP-клієнтів пов'язані з їх розширюваністю. Оскільки web-сервери надають дані в багатьох форматах (звичайний текст, HTML, графічні файли gif і jpeg, аудіо файли та ін), для відтворення різних форматів браузери викликають зовнішні програми. Наприклад, для перегляду файлів формату Microsoft Word, браузер викличе Microsoft Word. Як правило, браузери попереджають користувача про те, що для відкриття файлу буде викликана зовнішня програма і вимагають підтвердження, і, також як правило, користувачі не звертають уваги на ці попередження. При тому що багато форматів даних можуть включати виконуваний код, як, наприклад, макроси в документах Microsoft Word і Microsoft Excel, простий перегляд з вигляду нешкідливих матеріалів може призвести до виконання довільного коду на машині користувача від його імені.
Слід також брати до уваги існування "активних компонент" (active content), таких як Java-аплети, Javascript, ActiveX і т.п., які також містять код, що виконується від імені користувача. Питання безпеки "активних компонент" виходять, далеко за рамки даної роботи і за їх розглядом слід звернутися до роботи.
Простого рішення проблем безпеки, пов'язаних з активними компонентами та іншим виконуваним кодом, завантажується, з www не існує. Методи боротьби з проблемами включають в себе навчання користувачів і пояснення їм проблем безпеки, пов'язаних з завантаженим з мережі виконуваним кодом, відключення в клієнтському програмному забезпеченні можливості виконання завантажуються активних компонент, своєчасне оновлення клієнтського ПЗ для виправлення помічених у ньому помилок і т.п.
Електронна пошта
Електронна пошта є широко поширеною і інтенсивно використовуваної службою. Сама по собі вона представляє порівняно невеликий ризик, але, тим не менш, його слід враховувати.
Основні проблеми, пов'язані з електронною поштою:
підробка електронної пошти. Протокол SMTP, використовуваний для передачі електронної пошти в Інтернет не надає засобів аутентифікації відправника. Адреса відправника листа може бути легко підроблений. Підробка електронної пошти може використовуватися для атак типу "social engineering". Наприклад, користувач отримує лист нібито від системного адміністратора з проханням змінити пароль на вказаний у листі.
передача виконуваного коду в поштових повідомленнях. Електронна пошта дозволяє передавати дані різних типів, у тому числі програми, а також документи, що містять макроси. Разом з підробкою адреси відправника це може використовуватися для всіляких атак. Наведу два приклади. Користувач отримує лист від Santa.Claus @ northpole.org, в якому міститься поздоровлення з Новим Роком та "подарунок" - програма, яку пропонується запустити. Запущена програма малює на екрані, наприклад, новорічну ялинку з миготливою гірляндою. Користувач пересилає це поздоровлення всім своїм друзям і знайомим. Програма, що змальовує ялинку, крім цього інсталює програму віддаленого управління, і повідомляє про результат своєму творцю. Другий приклад. Системний адміністратор отримує лист від фірми - виробника використовується в компанії програмного забезпечення, з повідомленням, що в цьому програмному забезпеченні знайдена небезпечна помилка і з виправленням, яке слід терміново встановити. Результат аналогічний першому прикладу.
перехоплення поштових повідомлень. Електронна пошта передається через Інтернет в незашифрованому вигляді і може бути перехоплена і прочитана.
Спам. Спамом називається масова розсилка повідомлень рекламного характеру. На відміну від звичайної реклами на телебаченні чи радіо, за яку платить рекламодавець, оплата передачі спаму лягає на одержувача. Зазвичай спамери використовують наступну схему: з підключення по комутованій лінії встановлюється SMTP-з'єднання з хостом, на якому дозволено пересилання пошти на будь-які хости (open mail relay - відкритий релей). На нього посилається лист з безліччю адресатів і, як правило, з підробленим адресою відправника. Хост, що виявився жертвою, пересилає отримане повідомлення всім адресатам. У результаті, витрати на розсилку спаму лягають на отримувачів і хост, що пересилає пошту. Інтернет сервіс провайдери негативно ставляться до спаму, оскільки він створює дуже суттєве навантаження на їх системи і незручності їх користувачам. Тому багато провайдери включають у договір про надання послуг користувачам пункт про неприпустимість спаму і відключають користувачів, помічених у розсилці спаму. Крім того, багато провайдерів відключають прийому пошти з відкритих реле, помічених у передачі спаму. Системному адміністратору поштового сервера слід переконатися, що його система пересилає виключно пошту, адресовану її користувачам або виходить від її користувачів, щоб система не могла бути використана спамерами.
помилки в програмному забезпеченні поштових серверів. Сервери електронної пошти (SMTP, POP3, IMAP) сумно відомі безліччю помилок, призводить до злому систем. Sendmail, один з найпоширеніших SMTP-серверів заслужив репутацію найбільш "дірявим" програми, з коли-небудь використовувалися. За останні два роки були також знайдені помилки в поширеному POP3-сервері QUALCOMM qpopper і IMAP-сервері університету Вашингтона, які дозволяють віддаленому зломщикові отримати привілейований доступ (root) до системи. За відомостями CERT тисячі систем були зламані завдяки цим помилок. Системному адміністратору слід уважно стежити за повідомленнями про знайдені помилки в поштових серверах і вчасно встановлювати виправлені версії.
FTP - протокол передачі файлів
Протокол FTP використовується для передачі файлів. Більшість web-броузерів прозоро підтримують FTP. Можна також використовувати спеціальні FTP-клієнти.
Основною проблемою як і у випадку www є програми, викачуємо і встановлювані користувачами, які можуть носити шкідливий характер.
DNS - доменна система імен
DNS - доменна система імен - виробляє перетворення імен в адреси і навпаки. Усі програми, які використовують для звернення до віддалених хостів імена, є DNS-клієнтами. У цьому сенсі, практично будь-яка програма, що використовує IP-мережі, включаючи web-броузери, клієнтські поштові програми, FTP-клієнти, і т.п. використовують DNS. Таким чином, DNS є основоположною службою, яку використовують інші служби для своєї роботи.
DNS працює наступним чином: клієнт посилає запит локального сервера (наприклад, запитує IP-адреса www.microsoft.com). Сервер перевіряє, чи є у нього ця інформація в кеші, і якщо ні, DNS-сервер запитує інші DNS-сервера по черзі, щоб отримати відповідь на запит клієнта. Коли DNS-сервер отримує відповідь, або вирішує, що відповідь отримати не можна, він кешує отриману інформацію і передає відповідь клієнту.
Оскільки DNS критична для роботи інших сервісів, система наділена надмірністю. За кожну ділянку дерева імен відповідає один первинний (primary) і один і більше вторинних (secondary) серверів. Первинний сервер містить основну копію інформації про дільниці, яку обслуговує (зоні). Всі зміни в інформацію про зону вносяться на первинному сервері. Вторинні сервера періодично запитують "зонну пересилання" (zone transfer) і копіюють собі зонну інформацію первинного сервера. Таким чином, існує два типи звернень до DNS-сервера - клієнтські запити (lookups) і зонні пересилання (zone transfers).
DNS-сервер використовує порт 53. Клієнтські запити використовують UDP в якості транспорту. Якщо при пересиланні клієнтського запиту по UDP дані губляться, клієнт повторює запит по TCP. Для зонних пересилань завжди використовується TCP.
Проблеми безпеки DNS:
Розкриття інформації. DNS може повідомити потенційному зломщикові більше інформації, ніж слід, наприклад імена та адреси внутрішніх серверів і робочих станцій.
DNS spoofing. DNS схильна атаці, докладно описаної в роботі. Коротенько, суть її в наступному: атакується хост дає право на доступ до деякої своїй службі доверяемой хосту з відомим ім'ям. Зломщик бажає обдурити хост, що надає сервіс, представившись йому довіряємо хостом. Для цього зломщикові необхідно контролювати зворотну зону (перетворюючу IP-адреси в імена) до якої належить хост, з якого проводиться атака. Прописавши в ній відповідність своєму IP-адресою імені доверяемой хоста, зломщик отримує доступ до сервісу, що надається доверяемой хосту. Реалізується наступний сценарій: зломщик встановлює з'єднання на атакується хост. Атакований хост, щоб переконатися, що запит виходить від доверяемой хоста, запитує в DNS ім'я по IP-адресою. Оскільки авторитетним сервером для зони, до якої належить IP-адреса зломщика, є сервер зломщика, запит адресується до нього. Він у відповідь повідомляє ім'я доверяемой хоста.
Cache Poisoning. Атака базується на наступному властивості: коли один DNS-сервер звертається до іншого з запитом, що відповідає сервер, крім запитуваної інформації може повідомляти додаткову інформацію. Наприклад, якщо запитується MX (mail exchanger) для деякого домену, що відповідає сервер крім власне MX запису передає також A-записи для всіх mail exchanger'ов домену. Тепер розглянемо таку ситуацію: зломщик має адміністративний доступ до деякого DNS-сервера, авторитетному по відношенню до якого-небудь домену. Зломщик модифікує свій сервер таким чином, що при відповіді на запит про певну запису, сервер повертає деяку додаткову запис. Зломщик звертається до атакованого DNS-сервера з запитом про свою особливу запису. Сервер звертається із запитом до сервера зломщика, отримує додаткову запис і кешує її.
Помилки в програмному коді DNS-сервера. У 1998 році в широко використовуваному DNS-сервер BIND було знайдено декілька помилок, одна з яких дозволяла отримати віддаленого зломщикові привілейований (root) доступ до системи. Ці помилки були виправлені в наступних версіях.
Інші Інтернет - сервіси.
Крім описаних вище досить стандартних служб, існує безліч інших, більш-менш розповсюджених чи використовуваних. Відзначу основні проблеми, характерні для дуже багатьох з них.
Аутентифікація. Більшість електронних інформаційних сервісів (наприклад, ICQ, IRC) не дає можливості переконатися, що їх учасники дійсно ті, за кого себе видають. Варто дуже обережно ставитися до інформації, отриманої з не аутентифікованим джерела.
Передача виконуваного коду. Деякі інформаційні служби (ICQ) дозволяють пересилати довільні файли, в тому числі файли з виконуваним кодом. Виконуваний код, отриманий з неперевіреного джерела може містити що завгодно - віруси, троянських коней і т.п.
Програмні помилки. Помилки в програмному забезпеченні може призводити до різних проблем - від відмови в обслуговуванні до виконання на машині користувача зловмисного програмного коду без його згоди та відома.
Методи захисту комп'ютерної мережі організації від НСД з мережі Інтернет. Застосування міжмережевих екранів
Існує кілька підходів до вирішення проблеми захисту КСВ підключеною до мережі Інтернет від НСД. Перший підхід полягає в посиленні захисту всіх наявних систем, відкритих до доступу з Інтернет. Цей підхід називається "безпека на рівні хоста". Він може включати в себе навчання користувачів і адміністраторів систем роботі в більш недружньої середовищі, посилення політики парольного захисту (введення або посилення обмежень на мінімальну довжину, символьний склад і строк дії пароля) або введення не парольних методів аутентифікації, жорсткість правил доступу до систем, посилення вимог до використовуваного програмного забезпечення, у тому числі операційним системам, і регулярна перевірка виконання всіх введених вимог.
У цього підходу є кілька недоліків:
для користувачів ускладнюються процедури роботи в системі, і можливо, деякі дії до яких вони звикли, взагалі заборонені. Це може призвести до зниження продуктивності користувачів, а також до їх невдоволення.
на адміністраторів системи лягає дуже істотна додаткове навантаження щодо підтримки системи. Навіть для порівняно невеликих систем, що містять декілька десятків машин, завдання підтримки заданого рівня безпеки може вимагати непропорційно великих зусиль.
вимоги захисту можуть, суперечити вимогам використання системи і одним з них доведеться віддати перевагу на шкоду іншим. Як правило, вимогам до функціональності системи віддається перевагу на шкоду вимоги захисту.
Перевагою цього підходу є те, що крім проблеми захисту від "зовнішнього ворога" він також вирішує проблему внутрішньої безпеки системи. Оскільки значна частина інцидентів (за деякими даними до 80%), пов'язаних з безпекою, виходить від співробітників або колишніх співробітників компаній, цей підхід може дуже ефективно підвищити загальну безпеку системи.
Другий підхід є найбільш радикальним. У ньому робоча мережа компанії фізично не з'єднана з Інтернет. Для взаємодії з Інтернет використовується одна або декілька спеціально виділених машин, що не містять жодної конфіденційної інформації. Переваги цього підходу очевидні: оскільки робоча мережа не з'єднана з Інтернет, загроза НСД з мережі Інтернет для неї відсутній у принципі. У той же час, цей підхід має певні обмеження та недоліки. Обмеженням, у певних випадках прийнятним, є відсутність доступу до Інтернет з робочих місць співробітників. Недоліки цього підходу є наслідком наявності незахищених систем, підключених до Інтернет, які можуть піддаватися атакам типу "відмова в обслуговуванні", і крадіжці послуг (у тому числі можуть бути використані для злому інших систем). Варіацією цього підходу є розмежування по протоколах. Наприклад, для доступу до інформаційних ресурсів компанії використовується стек протоколів IPX / SPX, а для доступу в Інтернет - TCP / IP. При цьому, наприклад, сервери Novell Netware, будуть невидимі для зломщика і не можуть бути атаковані безпосередньо з Інтернет. Цей підхід також має певні обмеження. Наприклад, він неприйнятний для мережі, в якій необхідно використання TCP / IP для доступу до внутрішніх ресурсів. Другим його недоліком є те, що користувацькі системи видимі і доступні в Інтернеті і можуть бути використані як плацдарм для подальшої атаки на сервери.
Третій підхід, званий "безпека на рівні мережі" полягає в запровадженні засобів обмеження доступу в точці з'єднання мереж. Цей підхід дозволяє сконцентрувати кошти захисту і контролю в точках з'єднання двох і більш мереж, наприклад в точці з'єднання КСВ з Інтернет. У цій точці знаходиться спеціально виділена система - міжмережевий екран - яка і здійснює контроль за інформаційним обміном між двома мережами і фільтрує інформацію відповідно до заданих правил, які визначаються політикою безпеки компанії. Весь обмін даними, який відбувається між мережі Інтернет і внутрішньою мережею, проходить через міжмережевий екран. Організація може отримати значний виграш від такої моделі безпеки. Єдина система, що виконує роль міжмережевого екрану, може захистити від несанкціонованого доступу десятки і сотні систем, прихованих за нею, без накладання на них додаткових вимог до безпеки. Достоїнствами цього підходу є концентрація засобів захисту і контролю в одній точці, мінімальна зміна внутрішніх процедур роботи користувачів з інформаційною системою, порівняно велика простота адміністрування і можливо більший рівень захисту. Обмеженням цього підходу є те, що він призначений виключно для захисту від зовнішніх погроз, витікаючих від віддалених зломщиків.
Розглянемо тепер типову КСВ з точки зору застосування до неї вищеописаних методів захисту. Як правило, вона складається з клієнтських комп'ютерів під управлінням Microsoft Windows XP або рідше Windows NT Workstation, серверів Microsoft Windows NT Server, Novell Netware і / або різних Unix-систем, і, можливо, іншого мережного обладнання, такого як мережеві принтери, концентратори, комутатори та маршрутизатори з можливістю віддаленого управління і т.п.
Використання виключно моделі безпеки на рівні хоста в цьому випадку може бути неприйнятним, з причини великої складності (а можливо і нездійсненності) доведення рівня захисту використовуваних систем до необхідного рівня. Проблеми безпеки в мережах на базі систем Microsoft були показані вище. У випадку, якщо використання для доступу до Інтернет фізично відокремленої від основної мережі системи неприйнятно, найбільш ефективним рішенням є використання технології міжмережевих екранів.
Відповідно до визначення Державної Технічної Комісії при Президентові Російської Федерації "Міжмережевий екран є локальне (однокомпонентні) або функціонально-розподілене засіб (комплекс), що реалізує контроль за інформацією, що надходить в автоматизовану систему та / або виходить з автоматизованої системи, і забезпечує захист автоматизованої системи за допомогою фільтрації інформації, тобто її аналізу за сукупністю критеріїв та прийняття рішення про її поширення в (з) автоматизовану систему ". Міжмережеві екрани, при правильному їх використанні, є досить ефективним засобом захисту від загроз корпоративних мереж, що виходить з мережі Інтернет.
2. Теоретичні питання побудови міжмережевих екранів
2.1 Архітектури міжмережевих екранів
Міжмережна екрани можуть бути сконфігуровані у вигляді однієї з декількох архітектур, що забезпечує різні рівні безпеки при різних витратах на встановлення і підтримання працездатності. Організації повинні проаналізувати свій профіль ризику і вибрати відповідну архітектуру. Нижче описуються типові архітектури міжмережевого екрану і наводять приклади політик безпеки для них.
Хост, підключений до двох сегментів мережі
Це такий хост, який має більше одного інтерфейсу з мережею, причому кожен інтерфейс з мережею підключений фізично до окремого сегменту мережі. Найпоширенішим прикладом є хост, підключений до двох сегментах.
Міжмережевий екран на основі хоста, підключеного до двох сегментів мережі - це міжмережевий екран з двома мережевими платами, кожна з яких підключена до окремої мережі. Наприклад, одна мережна плата з'єднана із зовнішньою або небезпечною мережею, а інша - з внутрішньої або безпечної мережею. У цій конфігурації ключовим принципом забезпечення безпеки є заборона прямої маршрутизації трафіку з не довіреної мережі в довірену - міжмережевий екран завжди повинен бути при цьому проміжною ланкою.
Маршрутизація повинна бути відключена на межсетевом екрані такого типу, щоб IP-пакети з однієї мережі не могли пройти в іншу мережу.
Така конфігурація, напевно, є однією з найдешевших і розповсюджених при комутованому підключенні ЛОМ організації до мережі Інтернет. Береться машина, на яку встановлюється FreeBSD, і на ній забороняється маршрутизація, крім того відповідним чином конфігурується вбудований в ядро пакетний фільтр (ipfw).
Екранований хост
При архітектурі типу екранований хост використовується хост (званий хостом-бастіоном), з яким може встановити з'єднання будь-який зовнішній хост, але заборонений доступ до всіх інших внутрішніх, менш безпечним хостів. Для цього фільтруючий маршрутизатор конфігурується так, що всі з'єднання з внутрішньою мережею із зовнішніх мереж направляються до хосту-бастіону.
Якщо шлюз з пакетною фільтрацією встановлено, що хост-бастіон повинен бути налаштований так, щоб всі з'єднання з зовнішніх мереж проходили через нього, щоб запобігти пряме з'єднання між комп'ютерною мережею організації та мережі Інтернет.
Екранована підмережа
Архітектура екранованої мережі по суті збігається з архітектурою екранованого хоста, але додає ще одну лінію захисту, за допомогою створення мережі, в якій знаходиться хост-бастіон, відокремленою від внутрішньої мережі.
Екранована підмережа повинна впроваджуватися за допомогою додавання мережі-периметра для того, щоб відокремити внутрішню мережу від зовнішньої. Це гарантує, що навіть при успішному здійсненні атаки на хост-бастіон, атакуючий не зможе пройти далі мережі-периметра через те, що між внутрішньою мережею і мережею-периметром знаходиться ще один екрануючий маршрутизатор.
2.2 Класифікація міжмережевих екранів
Міжмережеві екрани є пристроями або системами, які управляють потоком мережевого трафіку між мережами з різними вимогами до безпеки. У більшості сучасних додатків міжмережеві екрани і їх оточення обговорюються в контексті сполук в Інтернеті і, отже, використання стека протоколів TCP / IP. Однак міжмережеві екрани застосовуються і в мережевих середовищах, які не вимагають обов'язкового підключення до Інтернету. Наприклад, багато корпоративних мережі підприємства ставлять міжмережеві екрани для обмеження з'єднань з і у внутрішні мережі, обробні інформацію різного рівня чутливості, таку як бухгалтерська інформація або інформація про замовників. Ставлячи міжмережеві екрани для контролю з'єднань з цими областями, організація може запобігти неавторизований доступ до відповідних систем і ресурсів усередині чутливих областей. Тим самим, використання міжмережевого екрану забезпечує додатковий рівень безпеки, який інакше не може бути досягнутий.
В даний час існує декілька типів міжмережевих екранів. Одним із способів порівняння їх можливостей є перерахування рівнів моделі OSI, які даний тип міжмережевого екрану може аналізувати-Модель OSI є абстракцією мережевої взаємодії між комп'ютерними системами і мережевими пристроями. Розглянемо тільки рівні моделі OSI відносяться до міжмережевих екранів. На рис. 2.1 показана стек протоколів моделі OSI.
Рис.2.1. Стек протоколів моделі OSI
Рівень 1 представляє собою реальну апаратуру фізичного з'єднання і середу, таку як Ethernet.
Рівень 2 - рівень, на якому мережевий трафік передається по локальній мережі (LAN). Він також є першим рівнем, що володіє можливістю адресації, за допомогою якої можна ідентифікувати окрему машину. Адреси призначаються на мережеві інтерфейси і називаються MAC (Media Access Control) адресами. Ethernet - адреса, що належить Ethernet-карті, є прикладом МАС - адреси рівня 2.
Рівень 3 є рівнем, що відповідає за доставку мережевого трафіку по WAN. В Інтернеті адреси рівня 3 називаються IP-адресами; адреси зазвичай є унікальними, але за певних обставин, наприклад, при трансляції мережевих адрес (NAT) можливі ситуації, коли різні фізичні системи мають один і той же IP-адресу рівня 3.
Рівень 4 ідентифікує конкретний мережевий додаток і комунікаційну сесію на додаток до мережевих адрес; система може мати велике число сесій рівня 4 з іншими ОС. Термінологія, пов'язана з сімейством протоколів TCP / IP, включає поняття портів, які можуть розглядатися як кінцеві точки сесій: номер порту джерела визначає комунікаційну сесію на вихідній системі; номер порту призначення визначає комунікаційну сесію системи призначення. Більш високі рівні (5, 6 і 7) представляють програми та системи кінцевого користувача.
Мостіковие міжмережеві екрани
Даний клас міжмережевого екрану, що функціонує на 2-му рівні моделі OSI, відомий також як прозорий (stealth), схований, тіньовий міжмережевий екран.
Мостіковие міжмережеві екрани з'явилися порівняно недавно і представляють перспективний напрямок розвитку технологій міжмережевого екранування. Фільтрація трафіку ними здійснюється на канальному рівні, тобто міжмережеві екрани працюють з фреймами (frame, кадр).
До переваг подібних міжмережевих екранів можна віднести:
• Немає необхідності в зміні налаштувань корпоративної мережі, не потрібно додаткової конфігурації мережевих інтерфейсів міжмережевого екрану.
• Висока продуктивність. Оскільки це прості пристрої, вони не вимагають великих витрат ресурсів. Ресурси потрібні або для підвищення можливостей машин, або для більш глибокого аналізу даних.
• Прозорість. Ключовим для цього пристрою є його функціонування на 2 рівні моделі OSI. Це означає, що мережевий інтерфейс не має IP-адреси. Ця особливість є важливою, ніж легкість в налаштуванні. Без IP-адреси цей пристрій не є в мережі і є невидимим для навколишнього світу. Якщо такий міжмережевий екран недоступний, то як його атакувати? Атакуючі навіть не будуть знати, що існує міжмережевий екран, перевіряючий кожен їхній пакет.
Фільтруючі маршрутизатори
Міжмережевий екран з фільтрацією пакетів (Packet - filtering firewall) - міжмережевий екран, який є маршрутизатором або комп'ютером, на якому працює програмне забезпечення, сконфигурированное таким чином, щоб фільтрувати певні види вхідних і вихідних пакетів. Фільтрація пакетів здійснюється на основі інформації, що міститься в TCP-IP-заголовках пакетів (адреси відправника та одержувача, їх номери портів і ін)
Працюють на 3 рівні
Також відомі, як міжмережевий екран на основі порту
Кожен пакет порівнюється зі списками правил (адреса джерела / одержувача, порт джерела / одержувача)
Недорогий, швидкий (продуктивний з простоти), але найменш безпечний
Технологія 20-річної давності
Приклад: список контролю доступу (ACL, access control lists) маршрутизатора
Шлюз сеансового рівня
Шлюз сеансового рівня (Circuit-level gateway) - міжмережевий екран, який виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хостом. Спочатку він приймає запит довіреної клієнта на певні послуги і, після перевірки допустимості запитаного сеансу, встановлює з'єднання із зовнішнім хостом. На рис. 2.2 показано схема функціонування шлюзу сеансового рівня.
Рис. 2.2. Схема функціонування шлюзу сеансового рівня
Після цього шлюз просто копіює пакети в обох напрямках, не здійснюючи їх фільтрації. На цьому рівні з'являється можливість використання функції мережевої трансляції адрес (NAT, network address translation). Трансляція внутрішніх адрес виконується по відношенню до всіх пакетів, що випливають з внутрішньої мережі в зовнішню. Для цих пакетів IP-адреси комп'ютерів - відправників внутрішньої мережі автоматичний перетворюються в один IP-адресу, асоційований з екрануючим міжмережевим екраном. У результаті всі пакети, що виходять з внутрішньої мережі, виявляються відправленими міжмережевим екраном, що виключає прямий контакт між внутрішньою і зовнішньою мережею. IP-адреса шлюзу сеансового рівня стає єдиним активним IP-адресою, який потрапляє в зовнішню мережу.
Працює на 4 рівні
Передає TCP підключення, грунтуючись на порту
Недорогий, але більш безпечний, ніж фільтр пакетів
Взагалі потребує роботи користувача або програми конфігурації для повноцінної роботи
Приклад: SOCKS міжмережевий екран
Шлюз прикладного рівня
Шлюз прикладного рівня (Application-level gateways) - міжмережевий екран, який виключає пряму взаємодію між авторизованим клієнтом і зовнішнім хостом, фільтруючи всі вхідні і вихідні пакети на прикладному рівні моделі OSI. На рис. 2.3 показано функціонування шлюзу прикладного рівня.
Рис.2.3. Схема функціонування шлюзу прикладного рівня
Пов'язані з додатком програми-посередники перенаправляють через шлюз інформацію, що генерується конкретними сервісами TCP / IP.
Можливості:
• Ідентифікація та автентифікація користувачів при спробі встановлення з'єднання через міжмережевий екран;
• Фільтрація потоку повідомлень, наприклад, динамічний пошук вірусів і прозоре шифрування інформації;
• Реєстрація подій та реагування на події;
• Кешування даних, запитуваних із зовнішньої мережі.
На цьому рівні з'являється можливість використання функцій посередництва (Proxy).
Для кожного обслуговуючого протоколу прикладного рівня можна вводити програмних посередників - HTTP-посередник, FTP-посередник і т.д. Посередник кожної служби TCP / IP орієнтований на обробку повідомлень та виконання функцій захисту, що відносяться саме до цієї служби. Також, як і шлюз сеансового рівня, прикладної шлюз перехоплює за допомогою відповідних екрануючих агентів вхідні та Вихідні пакети, копіює і перенаправляє інформацію через шлюз, і функціонує як сервер-посередника, виключаючи прямі з'єднання між внутрішньою і зовнішньою мережею. Однак, посередники, використовувані прикладним шлюзом, мають важливі відмінності від канальних посередників шлюзів сеансового рівня. По-перше, посередники прикладного шлюзу пов'язані з конкретними додатками програмними серверами), а по-друге, вони можуть фільтрувати потік повідомлень на прикладному рівні моделі МВОС.
Особливості:
Працює на 7 рівні;
Специфічний для додатків;
Помірно дорогий і повільний, але більш безпечний і допускає реєстрацію діяльності користувачів;
Вимагає роботи користувача або програми конфігурації для повноцінної роботи;
Приклад: Web (http) proxy;
Стек протоколів TCP / IP співвідноситься з рівнями моделі OSI наступним чином:
Рис. 2.4. Взаємозв'язок рівнів стека протоколів ТСР / IР і OSI
Сучасні міжмережеві екрани функціонують на будь-якому з перерахованих рівнів. На рис. 2.4 показано взаємозв'язок рівнів стека протоколів TCP / IP і OSI. Спочатку міжмережеві екрани аналізували менше число рівнів; тепер більш потужні з них охоплюють більшу кількість рівнів. З точки зору функціональності, міжмережевий екран, що має можливість аналізувати більше рівнів, є більш досконалим і ефективним. За рахунок охоплення додаткового рівня також збільшується можливість тонкої настройки конфігурації брандмауера. Можливість аналізувати більш високі рівні дозволяє міжмережевого екрану надавати сервіси, які орієнтовані на користувача, наприклад, аутентифікація користувача. Міжмережевий екран, який функціонує на рівнях 2, 3 та 4, не має справу з подібною аутентифікацією.
Незалежно від архітектури міжмережевий екран може мати додаткові сервіси. Ці сервіси включають трансляцію мережевих адрес (NAT), підтримку протоколу динамічної конфігурації хоста (DHCP) і функції шифрування, тим самим будучи кінцевою точкою VPN-шлюзу, і фільтрацію на рівні вмісту програми.
Багато сучасних міжмережеві екрани можуть функціонувати як VPN-шлюзи. Таким чином, організація може посилати незашифрований мережевий трафік від системи, розташованої за міжмережевого екрану, до віддаленої системи, розташованої за корпоративного VPN-шлюзу; міжмережевий екран зашифрує трафік і перенаправляє його на віддалений VPN-шлюз, який розшифрує його і передасть цільовій системі. Більшість найбільш популярних міжмережевих екранів сьогодні поєднують ці функціональності.
Багато міжмережеві екрани також включають різні технології фільтрації активного вмісту. Даний механізм відрізняється від звичайної функції міжмережевого екрану тим, що міжмережевий екран тепер також має можливість фільтрувати реальні прикладні дані на рівні 7, які проходять через нього. Наприклад, даний механізм може бути використаний для сканування на предмет наявності вірусів у файлах, приєднаних до поштового повідомлення. Він також може застосовуватися для фільтрації найбільш небезпечних технологій активного вмісту в web, таких як Java, JavaScript і ActiveX. Або він може бути використаний для фільтрації вмісту або ключових слів з метою обмеження доступу до невідповідним сайтів або доменам. Тим не менш, компонент фільтрації, вбудований в міжмережевий екран, не повинен розглядатися як єдино можливий механізм фільтрації вмісту; можливе застосування аналогічних фільтрів при використанні стиснення, шифрування або інших технологій.
2.3 Різні типи оточень міжмережевих екранів
Оточення міжмережевого екрану є терміном, який застосовується для опису безлічі систем і компонент, що використовується для підтримки функціонування міжмережевого екрану в конкретній мережі. Просте оточення міжмережевого екрану може складатися тільки з пакетного фільтру. У більш складному і безпечному оточенні воно складається з декількох міжмережевих екранів і проксі зі спеціальною топологією. Розглянемо можливі мережеві топології, використовувані як оточень міжмережевого екрану.
Принципи побудови оточення міжмережевих екранів
Існує чотири принципи, яких необхідно дотримуватися:
Простота (Keep It Simple)
Даний принцип говорить про перше і основному, про що треба пам'ятати при розробки топології мережі, в якій функціонує міжмережевий екран. Важливо приймати найбільш прості рішення - більш безпечним є те, чим легше управляти. Важко розуміються функціональності часто призводять до помилок в конфігурації.
Використання пристроїв за призначенням
Використання мережевих пристроїв для того, для чого вони спочатку призначалися, в даному контексті означає, що не слід робити міжмережеві екрани з устаткування, яке не призначене для використання в якості міжмережевого екрану. Наприклад, роутери призначені для рейтингу; можливості фільтрування пакетів не є їх вихідної метою, і це завжди треба враховувати при розробці оточення міжмережевого екрану. Залежність виключно від можливості роутера забезпечувати функціональність міжмережевого екрану небезпечна: він може бути легко переконфігурувати. Іншим прикладом є мережні комунікатори (switch): коли вони використовуються для забезпечення функціональності міжмережевого екрану поза оточення міжмережевого екрану, вони чутливі до атак, які можуть порушити функціонування комунікатора. У багатьох випадках гібридні міжмережеві екрани і пристрої міжмережевих екранів є кращим вибором, тому що вони оптимізовані в першу чергу для функціонування в якості міжмережевих екранів.
3. Створення оборони вглиб
Оборона вглиб означає створення декількох рівнів захисту на противагу наявності єдиного рівня. Не слід весь захист забезпечувати винятково міжмережевим екраном. Там, де може використовуватися кілька міжмережевих екранів, вони повинні використовуватися. Там, де роутери можуть бути сконфігуровані для надання деякого управління доступом або фільтрації, це слід зробити. Якщо ОС сервера може надати деякі можливості міжмережевого екрану, це слід застосувати.
4. Увага до внутрішніх загроз
Нарешті, якщо приділяти увагу тільки зовнішнім загрозам, то це призводить до того, що мережа стає відкритою для атак, зсередини. Хоча це і малоймовірно, але слід розглядати можливість того, що порушник може якось обійти міжмережевий екран і отримати свободу дій для атак внутрішніх або зовнішніх систем. Отже, важливі системи, такі як внутрішні web або e-mail сервери або фінансові системи, повинні бути розміщені позаду внутрішніх міжмережевих екранів або DMZ-зон.
Як підсумок зазначимо, що вираз «весь захист можна зламати» особливо застосовно до побудови оточень міжмережевого екрану. При розгортанні міжмережевих екранів слід пам'ятати про перераховані вище правила для визначення оточень, але в кожному випадку можуть мати місце свої власні вимоги, можливо, які вимагають унікальних рішень.
DMZ - мережі
У більшості випадків оточення міжмережевого екрану утворює так звану DMZ-мережу або мережу демілітаризованої зони. DMZ-мережа є мережею, розташованої між двома міжмережевими екранами.
Конфігурація з одного DMZ-мережею
DMZ-мережі призначені для розташування систем і ресурсів, яким необхідний доступ або тільки ззовні, або тільки зсередини, або і ззовні, і зсередини, але які не повинні бути розміщені у внутрішніх захищених мережах. Причина в тому, що ніколи не можна гарантувати, що ці системи і ресурси не можуть бути зламані. Але злом цих систем не повинен автоматично означати доступ до всіх внутрішніх систем. Приклад оточення міжмережевого екрану з одного DMZ показано на рис. 2.5.
Рис. 2.5. Приклад оточення міжмережевого екрану з одного DMZ
DMZ-мережі зазвичай будуються з використанням мережевих комутаторів і розташовуються між двома міжмережевими екранами або між міжмережевим екраном і прикордонним роутером. Доброю практикою є розміщення серверів віддаленого доступу і кінцевих точок VPN в DMZ-мережах. Розміщення цих систем в DMZ-мережах зменшує ймовірність того, що віддалені атакуючі будуть мати можливість використовувати ці сервери в якості точки входу в локальні мережі. Крім того, розміщення цих серверів в DMZ-мережах дає змогу міжмережевих екранів служити додатковими засобами для контролю прав доступу користувачів, які отримують доступ з використанням цих систем до локальної мережі.
Service Leg конфігурація
Однією з конфігурацій DMZ-мережі є так звана «Service Leg» конфігурація міжмережевого екрану на рис. 2.6. У цій конфігурації міжмережевий екран створюється з трьома мережевими інтерфейсами. Один мережевий інтерфейс з'єднується з Інтернетом, інший мережний інтерфейс з'єднується з внутрішньою мережею, і третій мережевий інтерфейс формує DMZ-мережу. Така конфігурація може призвести до зростання ризику для міжмережевого екрану при деградації сервісу протягом DoS-атаки, яка буде націлена на сервіси, які працюють у DMZ-мережі. У стандартній конфігурації DMZ-мережі DoS-атака для приєднаного до DMZ-ресурсу, такого як web-сервер, буде відповідним чином впливати тільки на цей цільовий ресурс. У Service Leg конфігурації DMZ-мережі міжмережевий екран бере на себе основний удар від DoS-атаки, тому що він має перевіряти весь мережевий трафік перед тим, як трафік досягне приєднаного до DMZ - ресурсу. Це може впливати на весь трафік організації, якщо на її web-сервер виконана DoS-атака.
Рис. 2.6. Конфігурація Service Leg DMZ
Конфігурація з двома DMZ-мережами
При наявності великого числа серверів з різними вимогами доступу можна мати міжмережевий екран прикордонного роутера і два внутрішніх міжмережевого екрану розмістити все зовні доступні сервери у зовнішній DMZ між роутером і першим міжмережевим екраном. Прикордонний роутер буде фільтрувати пакети і забезпечувати захист серверів, перший міжмережевий екран буде забезпечувати управління доступом і захист від серверів внутрішньої DMZ у разі, якщо вони атаковані. Організація розміщує внутрішньо доступні сервери у внутрішній DMZ, розташованої між основним і внутрішнім міжмережевими екранами; міжмережеві екрани будуть забезпечувати захист і управління доступом для внутрішніх серверів, захищених як від зовнішніх, так і від внутрішніх атак.
Оточення міжмережевого екрану для даної мережі показано на рис.2.7.
Зовнішня DMZ-мережа з'єднана з Інтернетом через пакетний фільтр, службовець прикордонним роутером, - вище були вказані причин, по яких використання пакетного фільтра є кращим.
Основний міжмережевий екран є VPN-шлюзом для віддалених користувачів; такі користувачі повинні мати ПО VPN-клієнта для з'єднання з міжмережевим екраном.
Вхідний SMTP-трафік повинен пропускатися основним міжмережевим екраном.
Вихідний HTTP-трафік повинен проходити через внутрішній міжмережевий екран, який передає даний HTTP-трафік прикладного НТТР-проксі, розміщеному у внутрішній DMZ.
Основні та внутрішні міжмережеві екрани повинні підтримувати технологію stateful inspection і можуть також включати можливості прикладного проксі. Основний міжмережевий екран повинен виконувати наступні дії:
дозволяти зовнішнім користувачам з'єднуватися з VPN-сервером, де вони повинні аутентифицироваться;
пропускати внутрішні SMTP-з'єднання і дані до проксі-сервера, де дані можуть бути відфільтровані і передані системам призначення;
виконувати роутинг вихідного HTTP-трафіку від HTTP-проксі і вихідного SMTP-трафіку від SMTP-сервера;
після цього заборонити весь інший вихідний HTTP і SMTP-трафік;
після цього дозволити весь інший вихідний трафік;
Внутрішній міжмережевий екран повинен приймати вхідний трафік тільки від основного міжмережевого екрану, прикладного HTTP-проксі і SMTP-сервера. Крім того, він повинен приймати SMTP-і HTTP-трафік тільки від проксі, але не від основного міжмережевого екрану. Нарешті, він повинен вирішувати всі вихідні з'єднання від внутрішніх систем.
Щоб зробити даний приклад застосовним до оточенням з більш високими вимогами до безпеки, можна додати такі сервіси:
можуть бути додані внутрішній і зовнішній DNS-сервери, щоб заховати внутрішні системи;
може покористуватися NAT для подальшого приховування внутрішніх систем;
вихідний трафік від внутрішніх систем може фільтруватися, що може включати фільтрування трафіку до певних сайтів або сервісів у відповідності з політикою управління;
може бути використано кілька міжмережевих екранів для збільшення продуктивності;
Рис.2.7. Приклад оточення міжмережевого екрану з двома DMZ-мережами
Інтранет
Інтранет є мережею, яка виконує ті ж самі сервіси, програми та протоколи, які присутні в Інтернеті, але без наявності зовнішнього з'єднання з Інтернетом. Наприклад, мережа підприємстві, що підтримує сімейство протоколів TCP / IP, можна розглядати як Інтранет.
Більшість організацій в даний час має певний тип Інтранету. У внутрішній мережі (інтранет) можуть бути створені ще менші Інтранет, використовуючи внутрішні міжмережеві екрани. Наприклад, можна захистити свою власну персональну мережу внутрішнім міжмережевим екраном, і вийшла, захищена мережа може розглядатися як персональна інтранет.
Так як Інтранет використовує ті ж самі протоколи та прикладні сервіси, що й Інтернет, багато проблем безпеки, успадковані з Інтернету, також присутні в Інтранет.
Екстранет
Термін «Екстранет» застосовується до мережі, логічно складається з трьох частин: дві інтранет з'єднані між собою через Інтернет з використанням VPN. Екстранет може бути визначена як business-to-business Інтранет. Ця мережа дозволяє забезпечити обмежений, керований доступ віддалених користувачів за допомогою тієї ж форми аутентифікації і шифрування, які є у VPN.
Екстранет має ті ж самі характеристики, що й інтранет, за винятком того, що екстранет використовує VPN для створення захищених з'єднань через публічний Інтернет. Метою інтранет є надання доступу до потенційно чутливої інформації віддаленим користувачам або організаціям, але при цьому забороняючи доступ всім іншим зовнішнім користувачам і системам. Екстранет використовує протоколи TCP / IP і ті ж самі стандартні програми та сервіси, які використовуються в Інтернеті. На рис. 2.8 показаний приклад топології мережі екстранет.
Рис.2.8. VPN і екстранет, що з'єднують дві мережі Інтранету
Компоненти інфраструктури: концентратори і комутатори
Додатково до роутера і міжмережевих екранів, зв'язок між системами забезпечують такі інфраструктурні пристрої, як концентратори (hubs) і комутатори (switches). Найбільш простим з них є мережевий концентратор. Концентратори - це пристрої, які функціонують на рівні 1 моделі OSI. Іншими словами, вони призначені тільки для надання фізичного під'єднання мережевих систем або ресурсів.
У мережевих концентраторів існує багато слабких місць. Перше і основне полягає в тому, що концентратори дозволяють будь-якого пристрою, приєднаному до них, переглядати весь мережевий трафік. З цієї причини вони не повинні використовуватися для побудови DMZ-мереж або оточень міжмережевого екрану.
Більш розвиненими інфраструктурними пристроями є мережеві комутатори. Це пристрої рівня 2, тобто вони мають певну інформацію при створенні приєднання мережевих систем або компонент.
Основна властивість комутаторів полягає в тому, що системи, приєднані до комутатора, не можуть «підглядати» трафік один одного, тому вони краще підходять для реалізації DMZ-мереж і оточень міжмережевих екранів.
Важливо зауважити, що комутатори не повинні використовуватися для надання будь-яких можливостей міжмережевого екрану або забезпечення ізолювання трафіку поза оточення міжмережевого екрану, тому що при цьому можливі DoS-атаки, які можуть призвести до того, що комутатори переповнять приєднані мережі пакетами.
2.4 Рівень захищеності міжмережевих екранів
Відповідно до рівень захищеності міжмережевих екранів оцінюється за такими показниками:
Управління доступом (фільтрація даних і трансляція адрес)
Ідентифікація і аутентифікація
Реєстрація
Адміністрування: ідентифікація та аутентифікація
Адміністрування: реєстрація
Адміністрування: простота використання
Цілісність
Відновлення
Тестування
Керівництво адміністратора захисту
Тестова документація
Конструкторська (проектна) документація
Для кожного класу захищеності визначаються вимоги до вказаними показниками.
Далі слідують вимоги до міжмережевого екрану у відповідності з документом Державної Технічної Комісії з міжмережевих екранів для п'ятого і четвертого класу захищеності та опис рівня відповідності цим вимогам.
Управління доступом.
Вимоги до п'ятого класу:
Міжмережевий екран повинен забезпечувати фільтрацію на мережному рівні. Рішення по фільтрації може прийматися для кожного мережевого пакету незалежно на основі, принаймні, мережевих адрес відправника і одержувача або на основі інших еквівалентних атрибутів.
Вимоги до четвертого класу:
Дані вимоги повністю включають аналогічні вимоги п'ятого класу. Додатково міжмережевий екран повинен забезпечувати:
фільтрацію пакетів службових протоколів, службовців для діагностики та управління роботою мережевих пристроїв;
фільтрацію з урахуванням вхідного і вихідного мережевого інтерфейсу як засіб перевірки справжності мережевих адрес;
фільтрацію з урахуванням будь-яких значимих полів мережевих пакетів.
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги четвертого класу.
Додатково міжмережевий екран повинен забезпечувати:
фільтрацію на транспортному рівні запитів на встановлення віртуальних з'єднань. При цьому, принаймні, враховуються транспортні адреси відправника і одержувача;
фільтрацію на прикладному рівні запитів до прикладних сервісів. При цьому, принаймні, враховуються прикладні адреси відправника і одержувача;
фільтрацію з урахуванням дати / часу.
Ідентифікація і аутентифікація
Немає вимог до четвертого і п'ятого класу. Вимоги до третього класу:
Міжмережевий екран повинен забезпечувати можливість аутентифікації вхідних і вихідних запитів методами, стійкими до пасивного та / або активного прослуховування мережі.
Реєстрація
Немає вимог до п'ятого класу. Вимоги до четвертого класу:
Міжмережевий екран повинен забезпечувати можливість реєстрації та обліку фільтруються пакетів. У параметри реєстрації включаються адресу, час і результат фільтрації.
Вимоги до третього класу:
Дані вимоги включають аналогічні вимоги четвертого класу.
Додатково міжмережевий екран повинен забезпечувати:
реєстрацію і облік запитів на встановлення віртуальних з'єднань;
локальну сигналізацію спроб порушення правил фільтрації.
Адміністрування: ідентифікація та аутентифікація
Вимоги до п'ятого класу:
Міжмережевий екран повинен забезпечувати ідентифікацію та аутентифікацію адміністратора міжмережевого екрану при його локальних запити на доступ. Міжмережевий екран повинен надавати можливість для ідентифікації і аутентифікації по ідентифікатору (коду) і паролю умовно-постійної дії.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги включають аналогічні вимоги п'ятого класу. Додатково міжмережевий екран повинен перешкоджати доступу неідентифікованого суб'єкта або суб'єкта, справжність ідентифікації якого при аутентифікації не підтвердилася. При віддалених запитах адміністратора міжмережевого екрану на доступ ідентифікація та аутентифікація повинні забезпечуватися методами, стійкими до пасивного й активного перехоплення інформації.
Адміністрування: реєстрація
Вимоги до п'ятого класу:
Міжмережевий екран повинен забезпечувати реєстрацію входу (виходу) адміністратора міжмережевого екрану в систему (з системи) або завантаження і ініціалізація системи та її програмний останов. Реєстрація виходу з системи не проводиться в моменти апаратурного відключення міжмережевого екрану;
У параметрах реєстрації зазначаються:
дата, час і код реєструється події;
результат спроби здійснення реєструється події - успішна або неуспішна;
ідентифікатор адміністратора міжмережевого екрану, пред'явлений при спробі здійснення реєструється події.
Вимоги до четвертого класу:
Дані вимоги включають аналогічні вимоги п'ятого класу.
Додатково міжмережевий екран повинен забезпечувати реєстрацію запуску програм і процесів (завдань, задач).
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги четвертого класу.
Додатково міжмережевий екран повинен забезпечувати реєстрацію дії адміністратора міжмережевого екрану по зміні правил фільтрації.
Адміністрування: простота використання
Немає вимог до четвертого і п'ятого класу. Вимоги до третього класу:
Багатокомпонентний міжмережевий екран повинен забезпечувати можливість дистанційного управління своїми компонентами, в тому числі, можливість конфігурації фільтрів, перевірки взаємної узгодженості всіх фільтрів, аналізу реєстраційної інформації.
Цілісність
Вимоги до п'ятого класу:
Міжмережевий екран повинен містити засоби контролю над цілісністю своєї програмної та інформаційної частини.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги п'ятого класу.
Додатково повинен забезпечуватися контроль цілісності програмної та інформаційної частини міжмережевого екрану по контрольних сумах.
Відновлення
Вимоги до п'ятого класу:
Міжмережевий екран повинен передбачати процедуру відновлення після збоїв і відмов обладнання, які повинні забезпечувати відновлення властивостей міжмережевого екрану.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Тестування
Вимоги до п'ятого класу:
У межсетевом екрані повинна забезпечуватися можливість регламентного тестування:
реалізації правил фільтрації;
процесу ідентифікації і аутентифікації адміністратора;
процесу реєстрації дій адміністратора міжмережевого екрану;
процесу контролю за цілісністю програмної та інформаційної частини міжмережевого екрану;
процедури відновлення.
Вимоги до четвертого класу:
У межсетевом екрані повинна забезпечуватися можливість регламентного тестування:
реалізації правил фільтрації;
процесу реєстрації;
процесу ідентифікації і аутентифікації адміністратора міжмережевого екрану;
процесу реєстрації дій адміністратора міжмережевого екрану;
процесу контролю за цілісністю програмної та інформаційної частини міжмережевого екрану;
процедури відновлення.
Вимоги до третього класу:
У межсетевом екрануванням повинна забезпечуватися можливість регламентного тестування
реалізації правил фільтрації;
процесу реєстрації;
процесу ідентифікації і аутентифікації запитів;
процесу ідентифікації і аутентифікації адміністратора міжмережевого екрану;
процесу реєстрації дій адміністратора міжмережевого екрану;
процесу контролю за цілісністю програмної та інформаційної частини міжмережевого екрану;
процедури відновлення.
Керівництво адміністратора захисту
Вимоги до п'ятого класу:
Документ містить:
опис контрольованих функцій міжмережевого екрану;
посібник з настроювання та конфігурування міжмережевого екрану;
опис старту міжмережевого екрану і процедур перевірки правильності старту;
керівництво за процедурою відновлення.
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Вимоги до третього класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу.
Тестова документація
Вимоги до п'ятого класу:
Повинна містити опис тестів і випробувань, яких зазнав міжмережевий екран, і результати тестування.
Вимоги до четвертого класу:
Повинна містити опис тестів і випробувань, яких зазнав міжмережевий екран, і результати тестування.
Вимоги до третього класу:
Повинна містити опис тестів і випробувань, яких зазнав міжмережевий екран, і результати тестування.
Конструкторська документація
Вимоги до п'ятого класу:
Повинна містити:
загальну схему міжмережевого екрану;
загальний опис принципів роботи міжмережевого екрану;
опис правил фільтрації;
опис засобів і процесу ідентифікації і аутентифікації;
опис засобів і процесу реєстрації;
опис засобів і процесу контролю над цілісністю програмної та інформаційної частини міжмережевого екрану;
Вимоги до четвертого класу:
Дані вимоги повністю збігаються з аналогічними вимогами п'ятого класу по складу документації.
Вимоги до третього класу:
Дані вимоги повністю включають аналогічні вимоги п'ятого класу по складу документації.
Додатково документація повинна містити:
опис засобів і процесу централізованого управління компонентами міжмережевого екрану.
2.5 Віртуальні приватні мережі (VPN)
У зв'язку з широким розповсюдженням Інтернет, інтранет, екстранет при розробці та застосуванні розподілених інформаційних мереж і систем однієї з найактуальніших завдань є вирішення проблем інформаційної безпеки.
В останнє десятиліття в зв'язку з бурхливим розвитком Інтернет і мереж колективного доступу в світі відбувся якісний стрибок у поширенні і доступності інформації. Користувачі отримали дешеві й доступні канали зв'язку. Прагнучи до економії коштів, підприємства використовують такі канали для передачі критичною комерційної інформації. Однак принципи побудови Інтернет відкривають зловмисникам можливості крадіжки або навмисного викривлення інформації. Не забезпечена досить надійний захист від проникнення порушників у корпоративні і відомчі мережі.
Для ефективної протидії мережевим атакам та забезпечення можливості активного і безпечного використання в бізнесі відкритих мереж на початку 90-х років народилася і активно розвивається концепція побудови захищених віртуальних приватних мереж - VPN. (Virtual Private Networks).
Концепція побудови захищених віртуальних приватних мереж VPN
В основі концепції побудови захищених віртуальних приватних мереж VPN лежить досить проста ідея: якщо в глобальній мережі є два вузли, які хочуть обмінятися інформацією, то для забезпечення конфіденційності та цілісності інформації, що передається по відкритих мережах інформації між ними необхідно побудувати віртуальний тунель, доступ до якого має бути надзвичайно утруднений всім можливим активним і пасивним зовнішнім спостерігачам. Термін «віртуальний» вказує на те, що з'єднання між двома вузлами мережі не є постійним (жорстким) і існує тільки під час проходження трафіку по мережі.
Переваги, одержувані компанією при формуванні таких віртуальних тунелів, полягають, перш за все, в значній економії фінансових коштів.
Функції та компоненти мережі VPN
Захищеної віртуальної мережею VPN називають об'єднання локальних мереж та окремих комп'ютерів через відкриту зовнішню середу передачі інформації в єдину віртуальну корпоративну мережу, що забезпечує безпеку циркулюючих даних.
При підключенні корпоративної локальної мережі до відкритої мережі виникають загрози безпеки двох основних типів:
несанкціонований доступ до корпоративних даних у процесі їх передачі по відкритій мережі;
несанкціонований доступ до внутрішніх ресурсів корпоративної локальної мережі, одержуваний зловмисником в результаті не санкціонованого входу в цю мережу.
Захист інформації в процесі передачі по відкритих каналах зв'язку заснована на виконанні таких основних функцій:
аутентифікації взаємодіючих сторін;
криптографическом закритті (шифруванні) переданих даних;
перевірці автентичності та цілісності доставленої інформації.
Для цих функцій характерна взаємозв'язок один з одним. Їх реалізація заснована на використанні криптографічних методів захисту інформації.
Для захисту локальних мереж та окремих комп'ютерів від несанкціонованих дій з боку зовнішнього середовища зазвичай використовують міжмережеві екрани, що підтримують безпеку інформаційної взаємодії шляхом фільтрації двостороннього потоку повідомлень, а також виконання функцій посередництва при обміні інформацією. Міжмережевий екран розташовують на стику між локальною і відкритою мережею. Для захисту окремого віддаленого комп'ютера, підключеного до відкритої мережі, програмне забезпечення брандмауера встановлюють на цьому ж комп'ютері, і такий міжмережевий екран називається персональним.
Тунелювання
Захист інформації в процесі її передачі по відкритих каналах заснована на побудові захищених віртуальних каналів зв'язку, званих крипто захищеними тунелями. Кожен такий тунель є з'єднання, проведене через відкриту мережу, по якому передаються криптографічний захищені пакети повідомлень.
Створення захищеного тунелю виконують компоненти віртуальної мережі, що функціонують на вузлах, між якими формується тунель. Ці компоненти прийнято називати ініціатором і термінатором тунелю. Ініціатор тунелю інкапсулює (вбудовує) пакети в новий пакет, у якому поруч з вихідними даними новий заголовок з інформацією про відправника і одержувача. Хоча всі передані по тунелю пакети є пакетами IP, інкапсуліруемие пакети можуть належати до протоколу будь-якого типу, включаючи пакети не маршрутизуються протоколів, таких, як NetBEUI. Маршрут між ініціатором і термінатором тунелю визначає звичайна маршрутизуються мережу IP, яка може бути і мережею відмінною від Інтернет. Термінатор тунелю виконує процес зворотний інкапсуляції - він видаляє нові заголовки і направляє кожен вихідний пакет у локальний стек протоколів чи адресата в локальній мережі.
Сама по собі інкапсуляція ніяк не впливає на захищеність пакетів повідомлень, переданих по тунелю. Але завдяки інкапсуляції з'являється можливість повної криптографічного захисту інкапсуліруемих пакетів. Конфіденційність інкапсуліруемих пакетів забезпечується шляхом їх криптографічного закриття, тобто зашифровування, а цілісність і справжність - шляхом формування цифрового підпису. Оскільки існує велика безліч методів криптозахисту даних, дуже важливо, щоб ініціатор і термінатор тунелю використовували одні й ті ж методи і могли погоджувати один з одним цю інформацію.
Крім того, для можливості розшифровки даних і перевірки цифрового підпису при прийомі ініціатор і термінатор тунелю повинні підтримувати функції безпечного обміну ключами. Ну і нарешті, щоб тунелі створювалися тільки між уповноваженими користувачами, кінцеві сторони взаємодії потрібно автентифікувати.
VPN на основі міжмережевих екранів
Міжмережеві екрани більшості виробників містять функції тунелювання і шифрування даних. До програмного забезпечення власне міжмережевого екрану додається модуль шифрування.
Як приклад рішення на базі міжмережевих екранів можна назвати FireWall-1 компанії Check Point Software Technologies. FairWall-1 використовує для побудови VPN стандартний підхід на базі IPSec. Трафік, що приходить в міжмережевий екран, дешифрується, після чого до нього застосовуються стандартні правила управління доступом. FireWall-1 працює під управлінням операційних систем Solaris і Windows NT 4.0.
До недоліків цього методу відносяться висока вартість рішення в перерахунку на одне робоче місце і залежність продуктивності від апаратного забезпечення, на якому працює міжмережевий екран. На рис. 2.9 показано приклад поєднання міжмережевого екрану і VPN.
При використанні міжмережевих екранів на базі ПК треба пам'ятати, що подібний варіант підходить тільки для невеликих мереж з обмеженим обсягом переданої інформації.
Рис. 2.9. Приклад поєднання міжмережевого екрану і VPN
3. Пропозиція щодо вдосконалення захисту комп'ютерної мережі організації за рахунок впровадження міжмережевого екрану
3.1 Правильний вибір міжмережевих екранів для захисту інформації КСВ
Оптимальні міжмережеві екрани для малих і середніх організацій з невисокими вимогами до безпеки
У даному розділі, розглядаються широко поширені апаратні міжмережеві екрани і наводяться рекомендації щодо їх застосування в залежності від розміру організації, необхідного рівня безпеки та вартості рішення. У першій частині статті розглянуті рішення, оптимальні для малих і середніх організацій з невисокими вимогами до безпеки, а в другій - рішення для малих і середніх компаній і офісів філій, які потребують надійного захисту.
Вибір варіанту
В даний час вибір міжмережевих екранів дуже широкий, починаючи від простого (і безкоштовного) Windows Firewall, що розміщується на захищається машині, до високопродуктивних міжмережевих екранів з перевіркою стану пакетів вартістю в десятки тисяч доларів. Як вибрати оптимальний варіант для конкретного організація? При виборі міжмережевого екрану слід враховувати два основні фактори: вимоги безпеки і вартість.
Вимоги безпеки.
Вимоги до безпеки постійно змінюються. Адміністратор повинен поєднувати надійний захист з зручністю для користувача доступу до даних, а також враховувати принципові обмеження програм, автори яких звертали мало уваги на безпеку хост-машини та мережі.
Обмеження за вартістю. Ціна - бар'єр між бажаннями і дійсністю. Головна перешкода на шляху до високої безпеки - витрати, які готовий або може нести користувач. Рівень захисту, який забезпечується простим широкосмуговим маршрутизатором для малого / домашнього офісу з перевіркою пакетів, значно нижче, ніж при застосуванні промислового міжмережевого екрану з перевіркою пакетів і контролем на прикладному рівні. У цілому, чим вище вартість міжмережевого екрану, тим надійніше захист. Рівень безпеки відповідає витратам, які несе організація (на разове придбання апаратних засобів та програмного забезпечення або на оплату консультантів з управління недорогими рішеннями).
Рішення, представлені в розділі
Ринок міжмережевих екранів надзвичайно великий і різноманітний, тому неможливо оцінити кожного постачальника. Щоб дещо впорядкувати картину, було обрано декілька постачальників пристроїв, що охоплюють весь спектр надійності і вартості, від традиційних міжмережевих екранів з перевіркою пакетів до змішаних пристроїв з перевіркою пакетів та програм для усунення універсальних загроз (universal threat management, UTM). У даній статті представлені такі постачальники, як Cisco Systems, Network Engines, Rimapp, SonicWall і Symantec.
Головний акцент в огляді мережевих міжмережевих екранів для організацій різних розмірів і вимог до безпеки зроблений на рівні захисту, а не характеристиках маршрутизації або додаткові функції пристрою. Багато постачальників міжмережевих екранів стягують додаткову плату за передові функції маршрутизації, які ніяк не впливають на рівень безпеки. Наприклад, не розглядалися маршрутизація на базі політик, якість обслуговування, прозорість рівня управління передачею даних та інші мережеві удосконалення, які мало впливають на загальну безпеку.
З іншого боку, продукти деяких постачальників розташовують функціями Web-кешування, значно підвищують загальну цінність придбання для організації, якій не доводиться купувати окреме рішення для кешування. У результаті підвищується продуктивність при роботі в Web і знижуються загальні витрати на експлуатацію каналу Internet. Наявність Web-proxy також підвищує безпеку.
Характеристики оцінки міжмережевих екранів
Нижче наводиться короткий огляд характеристик, які приймалися до уваги при оцінці апаратних міжмережевих екранів. Цей список допоможе зрозуміти інформацію, наведену в таблиці 3.2 та 3.3.
Ціна. Вартість конкретних міжмережевих екранів у різних продавців може сильно відрізнятися. Наведена в даному огляді ціна відображає стандартний набір функцій без додаткових модулів, які доводиться купувати окремо. Модулі розширення можуть значно підвищити вказану ціну.
Контроль на прикладному рівні з урахуванням стану. Контроль на прикладному рівні з урахуванням стану полягає в перевірці як заголовків протоколу, так і прикладних даних з використанням механізму контролю на прикладному рівні. Приклади - поглиблена перевірка на прикладному рівні даних і заголовків HTTP, даних і заголовків SMTP, даних і заголовків протоколу Instant Messaging (IM).
Контроль прикладного протоколу. Контроль прикладного протоколу (інакше, поглиблена перевірка пакетів - deep packet inspection) дозволяє аналізувати протокол прикладного рівня і підтвердити його відповідність стандартам IETF (Internet Engineering Task Force) для наборів команд протоколів. Приклади - контроль протоколів DNS, FTP, POP3 і SMTP. У процесі контролю прикладного протоколу перевірка відповідності заданим умовам всіх даних на прикладному рівні не виконується.
Перевірка пакетів на відповідність заданим умовам. Даний метод забезпечує перевірку заголовків мережевого і транспортного рівня в механізмі фільтрації пакетів мережевого доступу. Перевірка пакетів на відповідність заданим умовам застосовується практично у всіх сучасних міжмережевих екранів і у свій час була стандартним методом захисту.
Прозора аутентифікація Windows. Завдяки прозорій аутентифікації міжмережевий екран отримує облікові дані користувача з клієнтської операційної системи без стороннього втручання. Суворий контроль зовнішнього доступу користувачів і груп здійснюється без запиту облікових даних користувача.
Протоколювання всіх імен користувачів і додатків Web і Winsock. Протоколювання - обов'язкова умова для підготовки вичерпних звітів про відповідність законодавству та ефективного співробітництва з правоохоронними органами. Через протоколювання імен користувачів і додатків Winsock міжмережевий екран отримує інформацію про додатки та ресурси, доступних користувачеві при підключенні через міжмережевий екран.
Контроль на прикладному рівні через тунелі SSL (Secure Sockets Layer). Такий контроль дозволяє виконати перевірку на відповідність заданим умовам і проаналізувати протокол з'єднання в зашифрованому тунелі SSL. Міжмережеві екрани, які забезпечують лише перевірку пакетів на відповідність заданим умовам, не можуть контролювати заголовки і дані прикладного рівня в шифрованих тунелях SSL.
Підтримка Microsoft Exchange Server. Міжмережеві екрани з вбудованою підтримкою Exchange підвищують безпеку віддалених з'єднань через Internet зі службами Exchange, у тому числі Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC і RPC over HTTP. Ця характеристика охоплює вбудовані функції двофакторної аутентифікації, наприклад RSA SecurID компанії RSA Security.
Контроль шлюзового і клієнтського трафіку VPN на прикладному рівні. Завдяки контролю шлюзових і клієнтських з'єднань VPN міжмережевий екран перевіряє як пакети на відповідність заданим умовам, так і тунельні з'єднання через PPTP, Layer Two Tunneling Protocol (L2TP) / IPsec або IPsec на прикладному рівні. Контроль на прикладному рівні з'єднань через канал VPN запобігає поширення таких «черв'яків», як Blaster і Sasser. Наприклад, міжмережевий екран ISA Server 2004 компанії Microsoft забезпечує відповідність стандарту викликів віддалених процедур RPC (remote procedure call) і блокує Blaster і аналогічні загрози.
Виявлення та запобігання несанкціонованого доступу. Методи виявлення й запобігання несанкціонованого доступу орієнтовані на аномалії мережевого і транспортного рівня, що загрожують набору протоколів TCP / IP міжмережевого екрану. Більшість міжмережевих екранів систем виявлення та попередження вторгнень Intrusion Detection System (IDS) / Intrusion Prevention System (IPS) можна налаштувати на пересилання попереджень адміністраторам без активних дій чи попередження з прийняттям заходів для запобігання нападу. На практиці більшість міжмережевих екранів IDS / IPS забороняють спроби несанкціонованого доступу в момент виявлення.
Сервер віддаленого доступу VPN і шлюз VPN. Сервер віддаленого доступу VPN приймає клієнтські з'єднання VPN від систем і підключає цю систему в корпоративну мережу. Шлюз VPN пов'язує цілі мережі через міжсайтового VPN-з'єднання.
VPN-клієнт. Для всіх традиційних віддалених клієнтських з'єднань VPN необхідна клієнтська програма (в бескліентскіх SSL VPN в якості клієнта використовується браузер). Більшість міжмережевих екранів забезпечують з'єднання PPTP і L2TP/IPsec з вбудованим в Windows VPN-клієнтом від Microsoft. Для деяких міжмережевих екранів потрібні додаткова (розширена) Клієнтська програма VPN, яка забезпечує перевірку відповідності вимогам безпеки клієнта VPN, і спеціальні протоколи IPsec для проходження трансляції мережевих адрес NAT (Network Address Translation). Ці програми можуть надаватися безкоштовно, але іноді їх доводиться купувати окремо.
10/100-Мбіт/с порти локальної мережі. Міжмережевий екран з кількома портами Ethernet, виділеними для локальних з'єднань, забезпечує більш глибоку фізичну сегментацію зон безпеки. У деяких міжмережевих екранів є кілька портів Ethernet, але обмежена кількість портів, які можуть використовуватися для підключення до Internet.
Порти WAN. У деяких міжмережевих екранів обмежена кількість портів для прямого підключення до Internet. В інших для цієї мети можна використовувати як завгодно багато портів.
Балансування навантаження. Кілька міжмережевих екранів можна підключити паралельно і балансувати вхідні і витікаючі з'єднання через міжмережевий екран. В ідеальному випадку з'єднання рівномірно розподіляються між міжмережевими екранами, і результати роботи кожного пристрою міняються в кращу сторону завдяки запобігання перевантаження окремих міжмережевих екранів.
Число користувачів. У деяких міжмережевих екранів обмежена кількість користувачів або IP-адрес, які можуть встановлювати з'єднання через міжмережевий екран. Ці міжмережеві екрани ліцензовані для роботи з певним числом користувачів і, якщо перевищено ліцензійний поріг, генерують відповідне попередження.
Передача функцій відмовив міжмережевого екрану справного пристрою. Дана функція дозволяє підключити два або декілька міжмережевих екранів таким чином, щоб вони могли обслуговувати з'єднання замість відмовили пристроїв. Резервування може бути «холодним» (без навантаження), «гарячою» (під навантаженням) або з балансуванням навантаження. Деякі процедури перемикання автоматичні, а в інших випадках потрібне втручання адміністратора.
Переключення Internet-провайдера та об'єднання смуги пропускання. Можливість роботи з кількома Internet-провайдерами - найважливіша вимога будь-якої організації, діяльність якої залежить від зв'язку з Internet. Міжмережеві екрани зі зміною Internet-провайдерів можуть переключатися на працездатну лінію, якщо зв'язок з одним або декількома провайдерами переривається. Об'єднання смуги пропускання полягає в поєднанні кількох ліній зв'язку в швидкісний канал доступу до ресурсів Internet.
Настройка. Більшість міжмережевих екранів забезпечують Web-з'єднання SSL в деяких або у всіх конфігураціях. Деякі міжмережеві екрани підтримують інтерфейс командного рядка в сеансі терміналу, а міжмережеві екрани на базі ISA Server забезпечують шифровані з'єднання RDP, сумісні зі стандартом обробки інформації FIPS (Federal Information Processing Standard).
Процесор. Дана характеристика пояснень не потребує. Вона вказує тип і швидкодію основного процесора міжмережевого екрану.
Web-кешування і proxy-сервер. Деякі міжмережеві екрани розташовують вбудованим сервером Web-кешування. Web-кешування прискорює доступ до Internet для кінцевих користувачів і може істотно знизити навантаження на канал зв'язку з Internet і відповідні витрати. Компонент Web-proxy значно підвищує безпеку, повністю розкладаючи на складові частини, а потім перевіряючи і відновлюючи проходять через нього повідомлення HTTP.
Низький рівень безпеки
Як зазначалося на початку статті, міжмережеві екрани розглядаються у відповідності з необхідним підприємству рівнем безпеки. Міжмережеві екрани першого типу призначені для малих і середніх підприємств з низьким рівнем безпеки. У слабко захищеної середовищі важливі дані не зберігаються в мережі або власник конфіденційної інформації не може або не хоче платити за мережний міжмережевий екран з потужними функціями перевірки вхідного і вихідного доступу, пакетів і прикладного рівня, вичерпне протоколювання дій користувачів і додатків.
Як правило, слабо захищені мережі належать невеликим компаніям з обмеженим бюджетом. Локальна мережа може підключатися до Internet через широкосмуговий кабельний модем або DSL-з'єднання за допомогою так званого «широкосмугового маршрутизатора» замість виділених ліній рівнів T і вище, більш поширених у великих організаціях. Технічно широкосмугові маршрутизатори не відносяться до маршрутизаторів, а являють собою прості пристрої NAT. Більшість таких пристроїв дозволяє встановити нечисленні VPN-з'єднання з використанням фірмових клієнтських програм VPN.
Верхня межа цінового діапазону міжмережевих екранів для середовища з невисоким рівнем захисту - близько 500 дол Якщо на мережу з низьким рівнем безпеки не поширюються суворі вимоги правоохоронного нагляду, а компанія має дуже обмежений бюджет, то слід звернути увагу на продукти Cisco, SonicWall і Symantec, порівняльні характеристики яких наведені в таблиці 3.1.
Три міжмережевого екрану мають схожою функціональністю, можливостями і рівнями захисту від зовнішніх загроз. Кожен забезпечує перевірку пакетів на відповідність заданим умовам у вхідних з'єднаннях з Internet. Цим малопотужним пристроїв властиві суттєві обмеження по числу користувачів. Число сполук визначається схемою ліцензування кожного постачальника і можливостями апаратних засобів.
Ще важливіше, що ці міжмережеві екрани не мають у своєму розпорядженні засобами контролю вхідного і вихідного доступу по користувачам і групам. Функції протоколювання всіх пристроїв примітивні. Відсутня перевірка на відповідність заданим умовам на прикладному рівні. Ці обмеження типові для недорогих апаратних міжмережевих екранів.
З цієї трійки рекомендується використовувати просте в налаштуванні пристрій SonicWall 170, яке працює майже автоматично. SonicWall 170 розпорядженні модемним інтерфейсом, завдяки якому можливо переключення на аналогове модемне з'єднання у разі відмови основного широкосмугового каналу зв'язку. Крім того, в SonicWall 170 на один локальний порт більше, ніж у двох інших пристроях.
Мережева безпека - вирішальний компонент загальної стратегії ешелонованої оборони підприємства. Мережеві міжмережеві екрани - ключові елементи захисту систем і даних на різних мережевих периметрах. Підприємства з низькими вимогами до безпеки можуть вибрати один з міжмережевих екранів з таблиці або інші продукти такого рівня, але для надійного захисту потрібні пристрої, які будуть розглянуті трохи нижче.
Таблиця 3.1. Апаратні міжмережеві екрани для мережного середовища з невисокою надійністю
SonicWall 170 | Cisco PIX 501 | Symantec Firewall / VPN | |
Ціна в доларах | 410 | 495 | 499 |
Контроль на прикладному рівні з урахуванням стану | Ні | Ні | Ні |
Контроль прикладного протоколу | Так (обмежена) | Так (обмежена) | Так (обмежена) |
Перевірка пакетів на відповідність заданим умовам | Так | Так | Так |
Прозора аутентифікація Windows | Ні | Ні | Ні |
Протоколювання всіх імен користувачів і додатків Web і Winsock | Ні | Ні | Ні |
Контроль на прикладному рівні через тунелі SSL | Ні | Ні |
Ні | |||
Підтримка Exchange | Ні | Ні | Ні |
Контроль шлюзового і клієнтського трафіку VPN на прикладному рівні | Ні | Ні | Ні |
Виявлення та запобігання несанкціонованого доступу | Так | Так | Так |
Сервер віддаленого доступу VPN і шлюз VPN | Так | Так | Ні |
VPN-клієнт | Ні | Ні | Ні |
10/100-Мбіт/с порти ЛВС | 5 | 4 | 4 |
Порти WAN | 1 | 1 | 1 |
Балансування навантаження | Ні | Ні | Ні |
Число користувачів | 10 | 10 | 15-25 |
Передача функцій відмовив міжмережевого екрану справного пристрою | Аналоговий комутований доступ через зовнішній модем | Ні | Аналоговий комутований доступ через зовнішній модем |
Переключення Internet-провайдера та об'єднання смуги пропускання | Ні | Ні | Ні |
Налаштування | Web-інтерфейс | Командний рядок і Web-інтерфейс | Web-інтерфейс |
Процесор | SonicWall Security Processor | AMD SC520 | ARM7 |
Web-кешування і proxy-сервер | Ні | Ні | Ні |
Варіанти для малих і середніх підприємств з високими вимогами до безпеки
У тих організаціях, де захисту доводиться приділяти багато уваги, до міжмережевих екранів пред'являються набагато більш високі вимоги. Підвищена безпека може бути викликана умов закону, характером бізнесу (наприклад, у галузях з гострою конкуренцією необхідно охороняти комерційні секрети) чи бажанням власника отримати гідний захист за розумною ціною. У малих і середніх компаніях з високими вимогами до безпеки до міжмережевого екрану ставляться, як до страхування автомобіля. Такі організації готові заплатити наперед, щоб запобігти потенційну катастрофу.
Проблеми забезпечення високого рівня безпеки
При виборі міжмережевого екрану з підвищеним рівнем захисту необхідно враховувати ряд додаткових вимог.
Слід протоколювати звернення з корпоративної мережі в Internet. Як мінімум, потрібно записувати ім'я користувача та додаток, задіяне при спробах отримати доступ до ресурсів через міжмережевий екран. Рекомендується також вказувати імена сайтів і тип контенту.
Необхідний механізм настройки міжмережевого екрану на блокування запуску додатків, які становлять небезпеку для мережі і цілісності даних - наприклад, однорангових (P2P) мереж і програм миттєвого обміну повідомленнями (Instant Messaging - IM).
Міжмережевий екран повинен зупиняти як вхідний, так і вихідний трафік несанкціонований, з перевіркою пакетів на відповідність заданим умовам і контролем на прикладному рівні по всіх інтерфейсах, в тому числі VPN.
Міжмережевий екран повинен забезпечувати перевірку пакетів на відповідність заданим умовам і контроль на прикладному рівні для вхідного трафіку, що проходить через міжмережевий екран в корпоративну мережу, щоб віддалені користувачі могли звертатися до даних підприємства ззовні. Перевірка на відповідність заданим умовам повинна проводитися над даними, зашифрованими для передачі по лініях зв'язку.
Блокувати або пом'якшувати дію хробаків, вірусів, шпигунських програм та інших загроз для цілісності даних на периметрі мережі; контроль на прикладному рівні необхідний на всіх етапах.
Якщо потрібен доступ до важливої бізнес - інформації, слід передбачити механізми забезпечення відмовостійкості.
Незважаючи на високі вимоги до безпеки, які пред'являються деякими малими підприємствами, ці компанії все-таки залишаються малими і не мають у своєму розпорядженні бюджетом великих корпорацій. У середньому мала організація готова витратити до 3000 дол на рішення для забезпечення безпеки, термін експлуатації якого складе 3-4 роки. Щоденна ціна рішення з урахуванням амортизації (близько 2 дол в день) невелика в порівнянні з потенційними фінансовими втратами, які можуть стати наслідком вибору ненадійного рішення.
Вибір пристроїв
У таблиці 3.2 наведені апаратні міжмережеві екрани, які забезпечують прийнятну мережеву безпеку для потребують серйозного захисту малих і середніх підприємств. SonicWALL Pro 3060 і Cisco PIX-515E-RDMZ компанії Cisco Systems - традиційні апаратні міжмережеві екрани. NS6200 компанії Network Engines на базі Microsoft ISA Server 2004 і SGS 5420 компанії Symantec представляють собою продукти, які зазвичай називають «програмними» міжмережевими екранами - вони працюють на базі універсальної операційної системи або мають жорсткі диски (іноді присутні обидва компоненти). NS6200 відноситься до «третього покоління» міжмережевих екранів, в якому стабільність і надійність апаратного міжмережевого екрану поєднуються з гнучкістю, зручністю оновлення та готовністю відобразити новітні погрози програмного продукту. Характеристики SGS 5420 - проміжні: він не працює з універсальною операційною системою, але має в своєму розпорядженні жорстким диском.
Для безпеки мережі рекомендується пристрою Network Engines і Symantec, які перевершують традиційні апаратні моделі з перевіркою пакетів на відповідність заданим умовам. Головна відмінність полягає в глибині контролю на прикладному рівні, яке забезпечується цими двома пристроями, в порівнянні з міжмережевими екранами SonicWALL і Cisco.
Для контролю на прикладному рівні в міжмережевих екранів цього класу можна використовувати вбудовані і зовнішні модулі розширення (наприклад, для боротьби з вірусами, фільтрації файлів, що завантажуються, фільтрації пошти, блокування спливаючої реклами, аналізу Web-контенту). При цьому з-за високої ціни пристрої можуть виявитися недосяжними для малих і середніх підприємств.
У кінцевому підсумку було віддано межсетевому екрану Network Engines перевагу перед пристроєм Symantec завдяки достоїнств, вирішальним для створення мережевої середовища з високим рівнем безпеки.
Прозора аутентифікація всіх вихідних з'єднань через міжмережевий екран. У середовищі з високим рівнем безпеки для реєстрації в домені потрібно двофакторна автентифікація. Завдяки прозорій аутентифікації, користувачі не можуть обмінюватися обліковими даними для доступу до Internet, тому що система ніколи не виводить на екран вікно реєстрації. У результаті підвищуються достовірність даних у журналі і ефективність подальшого розслідування на основі цієї інформації.
Повне протоколювання всіх вхідних і вихідних з'єднань через міжмережевий екран. Ці відомості, в тому числі про імена користувачів і додатках, задіяних для доступу до будь-яких ресурсів через міжмережевий екран, незамінні при виконанні аудиту на відповідність законодавству і в ході адміністративних, кримінальних та цивільних розслідувань.
Контроль на прикладному рівні тунелів SSL (Secure Sockets Layer - рівень захищених гнізд). Пристрій NS6200 на базі ISA Server 2004 виконує контроль на прикладному рівні вхідних з'єднань SSL через міжмережевий екран. Такі з'єднання можуть використовуватися для звернень до приватних даних на сервері Microsoft Outlook Web Access (OWA) або Microsoft SharePoint Portal Server. На відміну від інших міжмережевих екранів у таблиці 3.2, NS6200 може дешифрувати SSL-з'єднання в межсетевом екрані, передати заголовки і дані в механізм прикладного управління міжмережевого екрану, а потім заново зашифрувати дані для наскрізного пересилання з безпечного шифрованому з'єднанню.
Перевірка пакетів на відповідність заданим умовам і контроль на прикладному рівні по всіх VPN-інтерфейсам. Ця перевірка охоплює VPN віддаленого доступу і шлюзові з'єднання між сайтами. Канали VPN нерідко виявляються слабкою ланкою у багатьох міжмережевих екранів, так як підключені до VPN машини, як правило, розглядаються як "довірені" і не підлягають контролю на прикладному рівні. Такий підхід був головною причиною атаки хробака Blaster на мережі, в іншому захищені від зовнішньої загрози. Небезпеки, аналогічні Blaster, все ще існують, і VPN-з'єднання, як і раніше можуть служити середовищем їх розповсюдження. NS6200 відкриває канали VPN для контролю на прикладному рівні і блокує нападу на межсетевом екрані.
Навіть разом з дорогими модулями розширення для контролю на прикладному рівні ні один з інших міжмережевих екранів у табл. 3.2 не має функціями безпеки, реалізованими в NS6200.
Більш масштабні мережі з високим рівнем захисту
Середнім і великим підприємствам, а також їх філіям властиві схожі вимоги до безпеки. Як і невеликим компаніям з надійним захистом, їм потрібні вичерпна перевірка пакетів на відповідність заданим умовам і контроль на прикладному рівні, повне протоколювання і функції управління доступом користувачів / груп через міжмережевий екран. Основна відмінність між надійно захищеної великою компанією і малим підприємством полягає в набагато більших фінансових можливостях корпорації, які відповідають вимогам інформаційної безпеки.
Таким фірмам не потрібні самі технологічні та продуктивні міжмережеві екрани вартістю 35 тис. дол, їм скоріше потрібна надійна інформаційна безпека. Єдина атака на прикладному рівні може призвести до втрат, що обчислюються мільйонами доларів.
З'ясувати, скільки грошей організації цього типу готові витратити на захист міжмережевим екраном, нелегко. Деякі компанії надають безпеки надзвичайно велике значення і готові заплатити більше 10 тис. дол за відмінний міжмережевий екран з перевіркою пакетів і контролем на прикладному рівні. З іншого боку, багато середні і великі підприємства, які потребують надійного захисту, неохоче платять більше 2500 дол за цей вирішальний компонент інфраструктури мережевої безпеки. У цілому більшість організацій такого розміру охоче витрачає від 5000 до 6000 дол за хороший міжмережевий екран.
У таблиці 3.3 показаний вибір міжмережевих екранів, зазвичай розгорнутих в більш великих підприємствах з високим рівнем безпеки. SonicWALL PRO 4060 і Cisco PIX 515E-UR-FE-BUN виконані на основі традиційного апаратного міжмережевого екрану та забезпечують відповідний рівень мережевої безпеки. Перевірка пакетів на відповідність заданим умовам - основа цих продуктів забезпечення безпеки, для її реалізації не потрібно дорогих модулів розширення. Обидві моделі відрізняються високою продуктивністю, але їм не вистачає можливостей балансування навантаження і передачі функцій відмовив пристрої справного, якщо вони вкрай необхідні для безперебійного доступу до найважливіших даними.
На відміну від них, пристрій RoadBLOCK F302PLUS на базі ISA Server 2004 компанії RimApp забезпечує вичерпний контроль на прикладному рівні за прийнятною ціною. У стандартній конфігурації реалізовані фільтри Web-вузлів, перевірка завантаження з Internet файлів на віруси і фільтри спаму. Крім того, за допомогою модулів RainWall і RainConnect компанії Rainfinity пристрій RoadBLOCK забезпечує балансування навантаження і передачу функцій відмовив пристрої справного як для апаратних міжмережевих екранів RoadBLOCK, так і для каналів зв'язку Internet-провайдерів. Пристрій RoadBLOCK підтримує всі згадані вище високорівневі функції підготовки звітів і протоколювання і своєму розпорядженні потужні функціями управління призначеним для користувача і груповим доступом з вхідних і вихідних з'єднань через міжмережевий екран.
Оптимальний вибір
Високорівневі мережеві міжмережеві екрани, представлені в даному розділі, забезпечують чудовий рівень безпеки і високу продуктивність для середніх і великих підприємств. При виборі оптимального міжмережевого екрану слід в першу чергу звернути увагу на контроль на прикладному рівні та вичерпні можливості протоколювання і підготовки звітів про доступ користувачів і додатків. Крім того, при виборі апаратного міжмережевого екрану важливо пам'ятати про відмовостійкості.
Таблиця 3.2. Апаратні міжмережеві екрани для малих підприємств з високими вимогами до безпеки
Характеристика | SonicWALL Pro 3060 | Cisco PIX-515E-R-DMZ | Network Engines NS6200 | Symantec SGS 5420 |
Ціна в доларах | 2319 | 2699 | 2499 | 2999 |
Контроль на прикладному рівні з урахуванням стану | Ні | Так (обмежена) | Так (помірно) | Так (обмежена) |
Контроль прикладного протоколу | Так | Так | Так | Так |
Перевірка пакетів на відповідність заданим умовам | Так | Так | Так | Так |
Прозора аутентифікація Windows | Ні | Ні | Так | Ні |
Протоколювання всіх імен користувачів і додатків Web і Winsock | Ні | Ні | Так | Ні |
Контроль на прикладному рівні через тунелі SSL | Ні | Ні | Так | Ні |
Підтримка Exchange | Ні | Ні | Так | Ні |
Контроль шлюзового і клієнтського трафіку VPN на прикладному рівні | Ні | Ні | Так | Ні |
Виявлення та запобігання несанкціонованого доступу | Так | Так | Так | Так |
Сервер віддаленого доступу VPN і шлюз VPN | Так | Так | Так | Так |
VPN-клієнт | Ні | Так | Так | Ні |
10/100-Мбіт/с порти ЛВС | 5 | 2 | 3 | 5 |
Порти WAN | 1 | 1 | 1 | 1 |
Балансування навантаження | Ні | Ні | Так | Ні |
Число користувачів | Необм. | Необм. | Необм. | 50 |
Передача функцій відмовив міжмережевого екрану справного пристрою | Ні | Ні |
Ні | Ні | |||
Переключення Internet-провайдера та смуги пропускання | Ні | Ні | Ні |
|
Налаштування | Web-інтерфейс | Командний рядок і Web-інтерфейс | Обмежений Web і FIPS-сумісний RDP | Web-інтерфейс |
Процесор | 2-ГГц Intel | 1-ГГц Intel | 2-ГГц Intel | Intel |
Web-кешування і proxy | Ні | Ні | Так | Ні |
Таблиця 3.3. Апаратні міжмережеві екрани для великих підприємств з високими вимогами до безпеки
Характеристика | SonicWALL Pro 4060 | Cisco PIX-515E UR-FE-BUN | RimApp RoadBLOCK F302PLUS |
Ціна в доларах | 4995 | 5145 | 5580 |
Контроль на прикладному рівні з урахуванням стану | Ні | Так (обмежена) | Так |
Контроль прикладного протоколу | Так | Так | Так |
Перевірка пакетів на відповідність заданим умовам | Так | Так | Так |
Прозора аутентифікація Windows | Ні | Ні | Так |
Протоколювання всіх імен користувачів і додатків Web і Winsock | Ні | Ні | Так |
Контроль на прикладному рівні через тунелі SSL | Ні | Ні | Так |
Підтримка Exchange | Ні | Ні | Так |
Контроль шлюзового і клієнтського трафіку VPN на прикладному рівні | Ні | Ні | Так |
Виявлення та запобігання несанкціонованого доступу | Так | Так | Так |
Сервер віддаленого доступу VPN і шлюз VPN | Так | Так | Так |
VPN-клієнт | Ні | Так | Так |
10/100-Мбіт/с порти ЛВС | 5 | 6 | 2-5 |
Порти WAN | 1 | 1-4 | 1-5 |
Балансування навантаження | Ні | Ні | Так |
Число користувачів | Необмежено | Необмежено | Необмежено |
Передача функцій відмовив міжмережевого екрану справного пристрою | Так | Так | Так |
Переключення Internet-провайдера та об'єднання смуги пропускання | Так | Ні | Так |
Конфігурування Web-інтерфейс | Командний рядок і Web-інтерфейс | Вичерпний Web і FIPS-сумісний RDP |
|
Процесор | 2-ГГц Intel | 433-МГц Celeron | 2,8-ГГц Intel |
Web - кешування і proxy | Ні | Ні | Так |
3.2 Intrusion Detection Systems (IDS)
Система виявлення вторгнення
IDS є програмними або апаратними системами, які автоматизують процес перегляду подій, що виникають у комп'ютерній системі або мережі, і аналізують їх з точки зору безпеки. Так як кількість мережевих атак зростає, IDS стають необхідним доповненням інфраструктури безпеки.
Виявлення проникнення є процесом моніторингу подій, що відбуваються в комп'ютерній системі або мережі, та аналізу їх. Проникнення визначаються як спроби компрометації конфіденційності, цілісності, доступності чи обходу механізмів безпеки комп'ютера або мережі. Проникнення можуть здійснюватися як атакуючими, які отримують доступ до систем з Інтернету, так і авторизованими користувачами систем, що намагаються отримати додаткові привілеї, яких у них немає. IDS є програмними або апаратними пристроями, які автоматизують процес моніторингу та аналізу подій, що відбуваються в мережі або системі, з метою виявлення проникнень.
IDS складаються з трьох функціональних компонентів: інформаційних джерел, аналізу та відповіді. Система отримує інформацію про подію з одного або більше джерел інформації, виконує визначається конфігурацією аналіз даних події і потім створює спеціальні відповіді - від найпростіших звітів до активного втручання при визначенні проникнень.
Чому слід використовувати IDS
Виявлення проникнення дозволяє організаціям захищати свої системи від загроз, які пов'язані зі зростанням мережевої активності і важливістю інформаційних систем. При розумінні рівня і природи сучасних загроз мережевої безпеки, питання не в тому, чи варто використовувати системи виявлення проникнень, а в тому, які можливості та особливості систем виявлення проникнень слід використовувати.
Чому слід використовувати IDS, особливо якщо вже є міжмережеві екрани, антивірусні інструментальні засоби та інші засоби захисту?
Кожен засіб захисту адресовано конкретній загрозі безпеки в системі. Більше того, кожен засіб захисту має слабкі і сильні сторони. Тільки комбінуючи їх (дана комбінація іноді називає безпекою в глибину), можна захиститися від максимально великого спектру атак.
Міжмережеві екрани є механізмами створення бар'єру, перегороджуючи вхід деяких типів мережевого трафіку і дозволяючи інші типи трафіку. Створення такого бар'єра відбувається на основі політики міжмережевого екрану. IDS служать механізмами моніторингу, спостереження активності та прийняття рішень про те, чи є спостережувані події підозрілими. Вони можуть виявити атакуючих, які обійшли міжмережевий екран, і видати звіт про це адміністратору, який, у свою чергу, зробить кроки по запобіганню атаки.
IDS стають необхідним доповненням інфраструктури безпеки в кожній організації. Технології виявлення проникнень не роблять систему абсолютно безпечною. Тим не менш практична користь від IDS існує, і не маленька. Використання IDS допомагає досягти кількох цілей:
Можливість мати реакцію на атаку дозволяє змусити атакуючого нести відповідальність за власну діяльність. Це визначається наступним чином: "Я можу прореагувати на атаку, яка вироблена на мою систему, так як я знаю, хто це зробив або де його знайти". Це важко реалізувати в мережах TCP / IP, де протоколи дозволяють атакуючим підробити ідентифікацію адрес джерела або інші ідентифікатори джерела. Також дуже важко здійснити підзвітність у будь-якій системі, яка має слабкі механізми ідентифікації і аутентифікації.
Можливість блокування означає можливість розпізнати деяку активність або подію як атаку і потім виконати дію з блокування джерела. Дана мета визначається наступним чином: "Я не дбаю про те, хто атакує мою систему, тому що я можу розпізнати, що атака має місце, і блокувати її". Зауважимо, що вимоги реакції на атаку повністю відрізняються від можливості блокування.
Атакуючі, використовуючи вільно доступні технології, можуть отримати неавторизований доступ до систем, якщо знайдені в системах уразливості не виправлені, а самі системи приєднані до публічних мереж.
Оголошення про появу нових вразливостей є загальнодоступними, наприклад, через публічні сервіси, такі як ICAT або CERT, які створені для того, щоб ці уразливості не можна було використовувати для виконання атак. Тим не менш, існує багато ситуацій, в яких використання цих вразливостей все ж таки можливо:
У багатьох успадкованих системах не можуть бути виконані всі необхідні оновлення та модифікації.
Навіть у системах, в яких оновлення можуть бути виконані, адміністратори іноді не мають достатньо часу та ресурсів для відстеження та інсталяції всіх необхідних оновлень. Це є спільною проблемою, особливо в середовищах, що включають велику кількість хостів або широкий спектр апаратури і ПО.
Користувачам можуть вимагатися функціональності мережевих сервісів і протоколів, які мають відомі уразливості.
Як користувачі, так і адміністратори роблять помилки при конфігуруванні і використанні систем.
При конфігуруванні системних механізмів управління доступом для реалізації конкретної політики завжди можуть існувати певні невідповідності. Такі невідповідності дозволяють законним користувачам виконувати дії, які можуть завдати шкоди або які перевищують їх повноваження.
В ідеальному випадку виробники ПЗ повинні мінімізувати уразливості в своїх продуктах, і адміністратори повинні швидко і правильно коректувати всі знайдені уразливості. Однак у реальному житті це відбувається рідко, до того ж нові помилки і уразливості виявляються щодня.
Тому виявлення проникнення може бути відмінним виходом з існуючого положення, при якому забезпечується додатковий рівень захисту системи. IDS може визначити, коли атакуючий здійснив проникнення в систему, використовуючи нескоригований або некорректіруемую помилку. Більш того, IDS може служити важливим ланкою в захисті системи, вказуючи адміністратору, що система була атакована, щоб той міг ліквідувати завдані збитки. Це набагато зручніше і дієвіше простого ігнорування загроз мережевої безпеки, яке дозволяє атакуючому мати тривалий доступ до системи і зберігається в ній.
Можливо визначення преамбул атак, що зазвичай мають вигляд мережного зондування або деякого іншого тестування для виявлення вразливостей, і запобігання їх подальшого розвитку.
Коли порушник атакує систему, він звичайно виконує деякі попередні дії. Першою стадією атаки звичайно є зондування або перевірка системи або мережі на можливі точки входу. У системах без IDS атакуючий вільно може ретельно аналізувати систему з мінімальним ризиком виявлення і покарання. Маючи такий необмежений доступ, атакуючий в кінцевому рахунку може знайти вразливість і використовувати її для отримання необхідної інформації.
Та ж сама мережа з IDS, переглядає їх операції, представляє для атакуючого більш важку проблему. Хоча атакуючий і може сканувати мережу на уразливості, IDS виявить сканування, ідентифікує його як підозріле, може виконати блокування доступу атакуючого до цільової системи та сповістить персонал, який у свою чергу може виконати відповідні дії для блокування доступу атакуючого. Навіть наявність простої реакції на зондування мережі буде означати підвищений рівень ризику для атакуючого і може перешкоджати його подальшим спробам проникнення в мережу.
Виконання документування існуючих загроз для мережі і систем.
При складанні звіту про бюджет на мережеву безпеку буває корисно мати документовану інформацію про атаки. Більше того, розуміння частоти і характеру атак дозволяє прийняти адекватні заходи безпеки.
Забезпечення контролю якості розробки та адміністрування безпеки, особливо у великих і складних мережах і системах.
Коли IDS функціонує протягом деякого періоду часу, стають очевидними типові способи використання системи. Це може виявити вади в тому, як здійснюється управління безпекою, і скорегувати це управління до того, як недоліки управління приведуть до інцидентів.
Отримання корисної інформації про проникненнях, які мали місце, з наданням поліпшеної діагностики для відновлення і коригування викликали проникнення факторів.
Навіть коли IDS не має можливості блокувати атаку, вона може зібрати детальну, достовірну інформацію про атаку. Дана інформація може лежати в основі відповідних законодавчих заходів. У кінцевому рахунку, така інформація може визначити проблеми, що стосуються конфігурації або політики безпеки.
IDS допомагає визначити розташування джерела атак по відношенню до локальної мережі (зовнішні чи внутрішні атаки), що важливо при ухваленні рішень про розташування ресурсів в мережі.
Типи IDS
Існує кілька способів класифікації IDS, кожен з яких заснований на різних характеристиках IDS. Тип IDS слід визначати, виходячи з таких характеристик:
Спосіб моніторингу системи. По способам моніторингу системи діляться на network-based, host-based і application-based.
Спосіб аналізу. Це частина системи визначення проникнення, яка аналізує події, отримані з джерела інформації, і приймає рішення, що відбувається проникнення. Способами аналізу є виявлення зловживань (misuse detection) і виявлення аномалій (anomaly detection).
Затримка в часі між отриманням інформації з джерела і її аналізом і прийняттям рішення. У залежності від затримки в часі, IDS діляться на interval-based (або пакетний режим) і real-time.
Більшість комерційних IDS є real-time network-based системами.
До характеристик IDS також відносяться:
Джерело інформації. IDS може використовувати різні джерела інформації про подію для визначення того, що проникнення відбулося. Ці джерела можуть бути отримані з різних рівнів системи, з мережі, хоста і додатки.
Відповідь: Набір дій, які виконує система після визначення проникнень. Вони звичайно поділяються на активні і пасивні заходи, при цьому під активними заходами розуміється автоматичне втручання в деяку іншу систему, під пасивними заходами - звіт IDS, зроблений для людей, які потім виконають деяку дію на основі цього звіту.
Розгортання IDS
Технологія виявлення проникнень є необхідним доповненням для інфраструктури мережевої безпеки в кожній великій організації. Ефективне розгортання IDS вимагає ретельного планування, підготовки, прототипування, тестування та спеціального навчання.
Слід ретельно вибирати стратегію виявлення проникнення, сумісну з мережевою інфраструктурою, політикою безпеки і наявними ресурсами.
Стратегія розгортання IDS
Слід визначити кілька стадій розгортання IDS, щоб персонал міг отримати досвід і створити необхідний моніторинг і необхідну кількість ресурсів для функціонування IDS. Необхідні ресурси для кожного типу IDS можуть сильно відрізнятися, зокрема, і в залежності від системного оточення. Необхідно мати відповідну політику безпеки, плани і процедури, щоб персонал знав, як обробляти різні численні сигнали тривоги, які видаються IDS.
Для захисту мережі підприємства рекомендується розглянути комбінацію network-based IDS і host-based IDS. Далі слід визначити стадії розгортання, починаючи з network-based IDS, так як вони зазвичай є більш простими для інсталяції і супроводу. Після цього слід захистити критичні сервери з допомогою host-based IDS. Використовуючи інструментальні засоби аналізу вразливостей, слід протестувати IDS і інші механізми безпеки щодо правильного конфігурації і функціонування.
Такі технології, як Honey Pot та аналогічні, повинні використовуватися тільки в тому випадку, якщо є достатня технічна кваліфікація адміністратора. Більш того, ці технології повинні використовуватися тільки після аналізу існуючого законодавства.
Розгортання network-based IDS
Єдине питання, який слід ретельно продумати при розгортанні network-based IDS, - це розташування системних сенсорів. Існує багато варіантів розташування network-based IDS, кожен з яких має свої переваги:
Основна підмережа
Підмережа з критичними ресурсами та додатковими точками доступу
DMZ-мережу
Рис. 3.1. Можливі варіанти розташування сенсорів network-based IDS
Позаду зовнішнього міжмережевого екрану в DMZ-мережі (розташування 1)
Переваги:
Бачить атаки, які виходять із зовнішнього світу, яким вдалося подолати першу лінію оборони мережевого периметра.
Може аналізувати проблеми, які пов'язані з політикою або продуктивністю міжмережевого екрану, що забезпечує першу лінію оборони.
Бачить атаки, цілями яких є прикладні сервери (такі як web або ftp), зазвичай розташовані в DMZ.
Навіть якщо входить атака не розпізнана, IDS іноді може розпізнати вихідний трафік, який виникає в результаті компрометації сервера.
Перед зовнішнім міжмережевим екраном (розташування 2)
Переваги:
Документує кількість атак, що виходять з Інтернету, метою яких є мережа.
Документує типи атак, що виходять з Інтернету, метою яких є мережа.
На основній магістральній мережі (розташування 3)
Переваги:
Переглядає основний мережевий трафік; тим самим збільшується ймовірність розпізнання атак.
Визначає неавторизовану діяльність авторизованих користувачів всередині периметра безпеки організації.
У критичних підмережах (розташування 4)
Переваги:
Визначає атаки, метою яких є критичні системи і ресурси.
Дозволяє фокусуватися на обмежених ресурсах найбільш значущих інформаційних цінностей, розташованих у мережі.
Розгортання host-based IDS
Після того як network-based IDS розміщені і функціонують, для збільшення рівня захисту системи додатково може бути розглянуто використання host-based IDS. Однак інсталювання host-based IDS на кожен хост може вимагати істотних тимчасових витрат. Тому рекомендується, щоб в першу чергу host-based IDS були інстальовані на критичних серверах. Це може зменшити загальну вартість розгортання і дозволить основну увагу приділити реагування на тривоги, що стосуються найбільш важливих хостів. Після того як host-based IDS почали функціонувати в звичайному режимі, організації з підвищеними вимогами до безпеки можуть обговорити можливість інсталяції host-based IDS на інші хости. У цьому випадку слід купувати host-based системи, які мають централізоване управління і функції створення звітів. Такі можливості можуть істотно знизити складність роботи з повідомленнями про тривоги від великого числа хостів.
Далі слід розглянути можливість підвищення кваліфікації адміністраторів. У більшості випадків ефективність конкретної host-based IDS залежить від можливості адміністратора розрізняти помилкові і вірні тривоги.
Також важливо (так як часто адміністратор не супроводжує постійно host-based IDS) встановити графік перевірки результатів IDS. Якщо це не зроблено, ризик, що противник змінить що-небудь в IDS протягом здійснення атаки, зростає.
Стратегії оповіщення про тривоги
Нарешті, при розгортанні IDS важливою проблемою є визначення того, які саме можливості оповіщення IDS про тривоги використовувати в кожному конкретному випадку. Більшість IDS поставляються з вже налаштована можливостями оповіщення про тривоги, які допускають широкий діапазон опцій, включаючи посилку повідомлень на e-mail, пейджер, використання протоколів мережевого управління і навіть автоматичне блокування джерела атаки.
Важливо бути консервативним у використанні цих можливостей до тих пір, поки не буде стабільною інсталяції IDS і деякого розуміння поведінки IDS в даному оточенні. Іноді рекомендується не активізувати оповіщення про тривоги IDS протягом декількох місяців після інсталяції.
3.3 IPv6 як сильний вплив на конструкцію міжмережевого екрану
З усіх нововведень, які з'явилися в найближчі кілька років, найсильніше вплив на конструкцію міжмережевих екранів надасть одне - нове покоління протоколу IP.
Поточною, четвертої версії протоколу IP (або IPv4) вже майже 20 років, і її вік починає позначатися. Адресний простір IPv4 швидко вичерпується. Хакери постійно знаходять нові способи експлуатації слабкостей протоколу і заснованих на ньому служб. Нові служби могли б бути більш надійними, якби таким був сам протокол, що лежить в основі Інтернет. Очевидно, що по всіх цих та інших причин в найближчому майбутньому відбудеться перехід на нову, шосту версію протоколу IP (IPv6). Робота над IPv6 почалася на початку 90-х, а перший запропонований стандарт був схвалений у листопаді 1994 року в документі RFC 1752 «The Recommendation for the IP Next Generation Protocol».
IPv6 зможе взаємодіяти з IPv4, і швидше за все розгортання IPv6 відбудеться шляхом плавної заміни, в процесі якої обидва протоколи будуть мирно співіснувати.
Спільна робота IPv4 і IPv6
Як буде забезпечуватися можливість спільної роботи IPv4 та IPv6 в одній мережі? На даний момент для цього пропонується два методи. Перший з них полягає у використанні в системах з IPv6 двох різних стеків протоколів, одного для IPv4, а іншого для IPv6. Їх вибір буде визначатися типом протоколу, що застосовується на вузлі, з яким встановлюється з'єднання. Другий метод полягає в тунелюванні пакетів IPv6 усередині пакетів IPv4 при обміні даними між комп'ютерами з IPv6 за маршрутом, який містить комп'ютери з IPv4.
Тема IPv6
Довжина нового заголовка IP-пакета дорівнює 40 байтам. Завдяки тому, що ця величина фіксована, мережеві пристрої зможуть обробляти пакети набагато швидше. На рис. 3.2 видно, що новий заголовок містить менше полів, ніж заголовок IPv4.
Крім зменшення кількості полів, найпомітнішим відзнакою заголовка IPv6 є більший розмір полів адреси. Поля відправника і одержувача мають 128 біт, що дозволить створити достатню кількість адрес для унікальної ідентифікації кожної піщинки на планеті. Цього має вистачити, принаймні, ще на кілька років.
Версія | Клас трафіку | Мітка потоку | ||
Довжина даних | Наступний заголовок | Лічильник сегментів | ||
Адреса відправника | ||||
Адреса одержувача | ||||
Рис. 3.2. Довжина заголовка IPv6 фіксована і дорівнює 40 байтам
Наступні поля заголовка IPv4 були виключені із заголовка IPv6:
поля, пов'язані з фрагментації, такі як Fragment Offset (Зсув фрагмента) і Identification (Ідентифікатор), а також прапори Don't Fragment (Заборона фрагментації) і More Fragments (Прапор фрагментації);
полі контрольної суми;
полі параметрів.
Для збільшення швидкості обробки пакетів у IPv6 було вирішено відмовитися від їх фрагментації. Черговий маршрутизатор, не здатний передати далі занадто великий пакет, не стане розбивати його на фрагменти, які доведеться збирати на приймаючому кінці. Замість цього пакет буде відкинутий, а маршрутизатор поверне нове повідомлення ICMP (Packet Too Big - занадто великий розмір пакета) відправнику, який зможе самостійно розбити повідомлення на більш дрібні пакети.
Подальшої спробою збільшити швидкість обробки пакетів у IPv6 є відмова від поля контрольної суми пакету. Кожен маршрутизатор на шляху пакету повинен заново визначати значення даного поля, так як лічильник сегментів в полі TTL зменшується на кожному новому сайті. Оскільки контрольна сума обчислюється в лежачому в основі IP канальному рівні, а також у протоколах TCP і UDP, видалення цього поля з IP-заголовка не викличе ніяких проблем.
Нові повідомлення ICMP
Протокол IP за допомогою повідомлень ICMP виконує безліч функцій, найбільш відомою з яких є перевірка доступності вузла віддаленої мережі утилітою PING, яка посилає для цього луна повідомлення ICMP. Як і протокол IP, ICMP буде розширено, щоб йти в ногу з часом. Крім змін, пов'язаних з введенням IPv6, в ICMP будуть включені функції протоколу Internet Group Management Protocol (IGMP, протоколу управління групами Internet).
З полем Options (Параметри) ситуація інша. Це поле змінної довжини було прибрано з IP-заголовка, щоб його довжина виявилася зафіксованою, але це не означає, що вилучені також і параметри. Вони можуть бути задані в полі Next Header (Наступний протокол), яке зазвичай позначає інший протокол, такий як TCP або UDP. У цьому випадку параметри поміщаються в область даних пакета, а в полі Next Header міститься покажчик їх положення. Завдяки відсутності параметрів у заголовку пакету (і тим самим збереженню довжини заголовка постійним) IP-пакети обробляються набагато швидше.
У новому заголовок IPv6 можуть міститися такі поля:
Version (Версія) - 4-бітове поле, що означає, як і в IPv4, версію протоколу IP. В IPv6 завжди має значення 6;
Traffic Class (Клас трафіку) - 8-бітове поле, призначене для тих же цілей, що і поле Type of Service (Тип служби) в заголовку IPv4, хоча його специфікації ще не устоялися;
Flow Label (Мітка потоку) - використовується для позначення різних потоків (flows) трафіку. Дозволяє задавати пріоритети обробки потоків. Остаточного визначення потоку ще немає. Це може бути більш дорогий трафік, або трафік з аудіо-або відеоданими;
Payload Length (Довжина даних) - 16-бітове поле, яке вказує число байт в блоці даних, який йде після заголовка;
Next Header (Наступний заголовок) - служить для визначення протоколу більш високого рівня, якому IP передасть пакет для подальшої обробки. У даному полі застосовуються ті ж номери протоколів, що і в IPv4;
Hop Limit (Лічильник сегментів) - максимально допустиму кількість сегментів. Кожен маршрутизатор, через який проходить пакет, зменшує значення цього поля на одиницю. Коли значення лічильника стає рівним нулю, пакет відкидається;
Source Address (Адреса відправника) - 128-бітове поле з адресою відправника пакета;
Destination Address (Адреса одержувача) - 128-бітове поле з адресою одержувача пакета.
Розширені заголовки
Поле Next Header в 40-байтного заголовка фіксованої довжини служить для позначення типу заголовка, який буде розташований на початку області даних IP-пакета. Згадаймо, що всередині пакету IP зазвичай знаходиться пакет протоколу більш високого рівня, такого як TCP або UDP, який має власний заголовок. За рахунок застосування IP-заголовка фіксованої довжини обробка пакетів на маршрутизаторах і інших мережевих пристроях набагато прискорюється. Але оскільки деякі поля були виключені із заголовка, для виконання їх функцій повинні бути передбачені інші методи.
Тому було розроблено декілька типів так званих розширених заголовків (extension headers), які також можуть перебувати на початку області даних IP-пакета. При цьому полі Next Header указує на розширений заголовок. У якості подібних заголовків допускається вказувати наступні:
Hop-by-Hop Options (Параметри, що перевіряються на кожному вузлі);
Fragmentation (Фрагментація);
Routing (Маршрутизація);
Authentication (Аутентифікація);
Security Encapsulation (Захист змісту);
Encapsulation Security Payload (Безпечне закриття змісту);
Destination Options (Параметри одержувача).
Перший тип розширеного заголовка (перевіряються на кожному вузлі параметри) позначається нульовим значенням поля Next Header. У цьому заголовку знаходиться інформація, яку повинна контролювати кожна система на шляху пакета. На справжній момент визначений лише один подібний параметр - Jumbo Payload (Великий пакет), тобто IP-пакет розміром більше 65535 байт. Поглянувши на формат розширеного заголовка (рис. 3.3), ми побачимо, що він, як і заголовок IPv6, містить поле Next Header. Це дозволяє вводити кілька розширених заголовків, кожен з яких вказує на наступний.
Розширеного заголовку Fragmentation відповідає значення поля Next Header, рівне 44, і цей заголовок вводиться в тому випадку, якщо відправник пакета розуміє, що для передачі по мережі повідомлення має бути фрагментоване. IPv6 пакети не фрагментуються - ця можливість була видалена для прискорення обробки IP-пакетів. Будь-яка фрагментація повідомлення виконується відправником пакету, і даний розширений заголовок призначений для зберігання інформації про цей процес, щоб приймає вузол був здатний коректно зібрати повідомлення.
Рис. 3.3. Формат розширеного заголовка
Функції розширеного заголовка Routing (значення поля Next Header для якого дорівнює 43) аналогічні маршрутизації від джерела в IPv4. Тут у заголовку задається одне або декілька вузлів, через які повинен пройти пакет на своєму шляху до місця призначення.
Розширений заголовок Destinations Options (значення поля Next Header для якого дорівнює 60) призначений для запису інформації, яку перевіряє тільки одержувач.
Значення 59 у полі Next Header говорить про те, що більше не залишилося розширених заголовків, які необхідно перевірити. Якщо розмір області даних, вказаний в полі Payload Length, перевищує це значення, байти, що залишилися після виявлення заголовка з таким значенням, будуть ігноруватися.
Адресація IPv6
При переході від 32 біт до 128 бітам адресний простір IPv6 астрономічно збільшиться в порівнянні з IPv4.
В IPv6 існує три основних типи адрес:
unicast (індивідуальний) - унікальний ідентифікатор певного мережевого інтерфейсу;
anycast (будь-який) - позначає кілька інтерфейсів. Пакет, спрямований на адресу типу anycast, буде переданий на найближчий інтерфейс (певний використовуваним протоколом маршрутизації), заданий цим адресою;
multicast (груповий) - також вказує на декілька інтерфейсів. Але на відміну від випадку з адресою типу anycast, пакет, відправлений на адресу типу multicast, пересилається всім інтерфейсам, позначеним цією адресою.
Незважаючи на те, що адреса типу unicast є унікальним ідентифікатором мережевого інтерфейсу, один інтерфейс може мати кілька unicast-адрес. Широкомовних (broadcast) адрес більше немає - їх функціональність успадкував тип адрес multicast.
Висновки
Ознайомившись з описаними проблемами, можна зробити висновок, що міжмережеві екрани забезпечують захист комп'ютерної мережі організації від несанкціонованого втручання. Міжмережеві екрани є необхідним засобом забезпечення інформаційної безпеки. Вони забезпечують першу лінію оборони. При виборі і придбанні міжмережевих екранів необхідно ретельно все продумати і проаналізувати. Вибрати потрібну архітектуру і компонентів міжмережевого екрану. Правильно налаштувати програмну забезпечення і тестувати конфігурацію брандмауера.
Список скорочень і позначень
КСВ | Комп'ютерний мережу організації |
ІБ | Інформаційна безпека |
ОС | Операційна Система |
ПЗ | Програмне Забезпечення |
НСД | Несанкціонований доступ |
СОІБ | Система забезпечення інформаційної безпеки |
СУБД | Система управлінням база даних |
ЦП | Центральний Процесор |
CA | Certification Authority |
CGI | Common Gateway Interface |
DHCP | Dynamic Host Configuration Protocol |
DMZ | Demilitarized Zone |
DNS | Domain Name System |
DoS | Denial of Service |
DSA | Digital Signature Algorithm |
FTP | File Transport Protocol |
GUI | Graphical User Interface |
HTML | Hyper Text Markup Language |
HTTP | Hyper Text Transfer Protocol |
IDS | Intrusion Detection System |
IIS | Internet Information Services |
KSK | Key Signing Key |
MAC | Media Access Control |
MAC | Message Authentication Code |
MD5 | Message Digest v5 |
NAT | Network Address Translation |
NTP | Network Time Protocol |
NTP | Network Time Protocol |
OSI | Open System Interconnection |
PKI | Public Key Infrastructure |
RSA | Rivest, Shamir, Adleman |
SEP | Secure Entry Point |
SHA | Secure Hash Algorithm |
SMTP | Simple Mail Transfer Protocol |
SSH | Secure Shell |
SSL | Secure Socket Layer |
TOS | Trusted ОС |
VPN | Virtual Private Network |
URL | Uniform Resource Locator |
REP | Robots Exclusion Standard |
IE | Internet Explorer |
SSI | Server Side Includes |
ASP | Active Server Pages |
ISP | Internet Service Provider |
Список використаних джерел літератури
О.Р. Лапоніна. Міжмережна екранування. «ІНТУЇТ», М., 2009;
Т.В. Оглтрі. Firewalls. Практичні застосування міжмережевих екранів. «ДМК», М., 2008;
Девід Чемпен, Енді Фокс. Брандмауери Cisco Secure PIX. «Вільямс», М., 2009;
Т.А. Біячуев. Безпека корпоративних мереж. Спб., 2008;
О.Ю. Щеглов. Захист комп'ютерної мережі від несанкціонованого доступу. «Життєпис», Спб., 2009;
Р. Зіглер. Брандмауери в Linux. «Вільямс», М., 2009;
Журнал «Chip», липень 2007;
Журнал «Проблеми інформаційної безпеки», квітень 2008;
Яковлєв. Лекція «Міжмережевий екрани» 2009;
Інтернет ресурси
http://securitylab.ru
http://cisco.com
http://zonealarm.com
http://hub.ru
http://opennet.ru
http://infosecurity.ru
http://osp.ru
http://www.security-teams.net
http://www.oszone.ru
http://www.secure.com.ru