Брандмауэры

как основное средство защиты лвс

Содержание

ВВЕДЕНИЕ.. 2

1. Основные понятия и термины... 3

2. КОМПОНЕНТЫ, ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ, КЛАССИФИКАЦИЯ БРАНДМАУЭРОВ.. 3

2.1. Сетевая политика безопасности.. 4

2.2. Усиленная аунтификация.. 5

2.3. Категории брандмауэров.. 5

2.3.1. Брандмауэры с фильтрацией пакетов. 6

2.3.2. Шлюзы сеансового уровня. 7

2.3.3. Шлюзы прикладного уровня. 9

2.3.4. Брандмауэры экспертного уровня. 10

3. ДОСТОИНСТВА БРАНДМАУЭРОВ.. 11

4. НЕДОСТАТКИ БРАНДМАУЭРОВ.. 12

5. Брандмауэр Check Point FireWall-1 / VPN-1. 13

5.1. Общие положения.. 13

5.2. Технология Stateful Inspection.. 13

5.3. INSPECT – язык FireWall–1. 14

5.4. Обеспечение информационной безопасности.. 14

5.4.1. Контроль и разграничение доступа. 14

5.4.2. Идентификация и аутентификация. 15

5.4.3. Трансляция сетевых адресов. 15

5.4.4. Content Security - механизм проверки информационных потоков. 16

6. Выводы... 18

7. ЛИТЕРАТУРА.. 18

Брандмауэры

как основное средство защиты лвс

введение

Информационная безопасность - это защищенность информации и поддерживающей инфраструктуры от случайных или преднамеренных воздействий естественного или искусственного характера, чреватых нанесением ущерба владельцам или пользователям информации и поддерживающей инфраструктуры.

Подобные воздействия, например, из глобальной сети Internet, возможны (более того, достаточно легко осуществимы) вследствие того, что Internet создавалась как открытая система, предназначенная для свободного обмена информацией. Поэтому совсем не удивительно, что TCP/IP - набор протоколов, который обеспечивает коммуникации в Internet и в получающих все большую популярность интрасетях, - имеет "врожденные" недостатки защиты. То же самое можно сказать и о службах на базе TCP/IP, таких как FTP и Domain Naming System (DNS).

Проблема обеспечения безопасности носит комплексный характер, для ее решения необходимо сочетание законодательных, организационных и программно-технических мер.

Мы рассмотрим относительно новую и перспективную технологию защиты информационных ресурсов в глобальных сетях - технологию брандмауэров.

Рассматриваемая технология заключается в экранировании (экранировать - делать недоступными) части ресурсов данной сети от внешних сетей, подключенных к данной, оставляя при этом доступ к ресурсам внешних сетей из данной полностью свободным. Экранирование достигается путем установки специальных программно-аппаратных устройств - брандмауэров (межсетевой экран, Firewall) - в местах подключения данной сети к другим сетям.

Этот подход к обеспечению безопасности является очень гибким, достаточно эффективным и надежным, относительно недорогим и простым с точки зрения использования. Действительно, гибкость достигается путем возможности применения большого числа вариантов правил разграничения доступа, наиболее адекватно отражающих требования организации-владельца данной сети к ее потребностям в сфере информационной безопасности, относительные простота применения и дешевизна получаются из-за концентрации всех механизмов информационной безопасности в одном месте - месте подключения к сети Интернет. Уровень надежности определяется возможностью несанкционированного доступа к самому брандмауэру, а поскольку конструктивно брандмауэр представляет собой автономный модуль и, в некоторых случаях, не имеет сетевого адреса (т. е. невидимый в сетевом окружении), то теоретически надежность брандмауэра может быть достаточно высокой. Эффективность защиты с использованием брандмауэра следует из предположения, что источником большинства угроз несанкционированного доступа является злоумышленник, находящийся в Интернет, т. е. в сети, являющейся внешней по отношению к защищаемой. Следовательно, уровень защиты всей локальной сети (Intranet) будет определяться (в основном) возможностями конкретного брандмауэра по фильтрации информации, проходящей через него.

1. Основные понятия и термины

Вне компьютерной отрасли брандмауэром (firewall) называется стена, сделанная из негорючих материалов и препятствующая распространению пожара. В сфере компьютерных сетей брандмауэр представляет собой барьер, защищающий от фигурального пожара - попыток злоумышленников вторгнуться в сеть, для того чтобы скопировать, изменить или стереть информацию либо чтобы воспользоваться полосой пропускания, памятью или вычислительной мощностью работающих в этой сети компьютеров.

Брандмауэр устанавливается на границе защищаемой сети и фильтрует все входящие и исходящие данные, пропуская только авторизованные пакеты. Брандмауэр - это не просто маршрутизатор, хост или группа систем, которые обеспечивают безопасность в сети. Скорее, брандмауэр - это подход к безопасности; он помогает реализовать определенную политику контроля внешнего доступа к вашей сети, которая определяет разрешенные службы и типы доступа к ним. Основная цель системы брандмауэра - управление доступом К или ИЗ защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы по совокупности критериев и разрешены либо отвергнуты. Обычно брандмауэры защищают внутреннюю сеть компании от "вторжений" из Интернета, однако они могут использоваться и для защиты от "нападений", например, из корпоративной интрасети, к которой подключена и ваша сеть (брандмауэры могут также размещаться между разными сегментами внутри локальной сети для защиты меньшей совокупности компьютеров).

Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом (шлюз, на котором работает программное обеспечение брандмауэра), или группой хостов, созданной специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети. Брандмауэр может строиться с помощью посредников уровня соединения или прикладного уровня (экранирующих агентов), которые обеспечивают установление соединения между субъектом и объектом, а затем пересылают информацию, осуществляя контроль и/или регистрацию. Использование посредников позволяет предоставить дополнительную защитную функцию - сокрытие от субъекта истинного объекта. В то же время, субъекту кажется, что он непосредственно взаимодействует с объектом. Обычно межсетевой экран не является симметричным, для него определены понятия "внутри" и "снаружи". При этом задача экранирования формулируется как защита внутренней области от неконтролируемой и потенциально враждебной внешней.

2. КОМПОНЕНТЫ,
ПРИНЦИПЫ ФУНКЦИОНИРОВАНИЯ, КЛАССИФИКАЦИЯ БРАНДМАУЭРОВ

Основными компонентами технологии МЭ являются:

Сетевая политика безопасности

Механизмы усиленной аутентификации

Простой фильтр пакетов, прикладные шлюзы (в зависимости от категории брандмауэра)

2.1. Сетевая политика безопасности

Существует два вида политики сетевого доступа, которые влияют на проектирование, установку и использование брандмауэра. Политика более высокого уровня (политика проекта брандмауэра) определяет, доступ к каким службам будет разрешен или явно запрещен из защищаемой сети, как эти службы будут использоваться, и при каких условиях будет делаться исключение и политика не будет соблюдаться. Политика нижнего уровня (режим доступа к сервисам) описывает, как брандмауэр должен на самом деле ограничивать доступ и фильтровать службы, которые указаны в политике верхнего уровня.

Политика доступа к сервисам состоит из описания порядка доступа к службам сети Интернет, а также касается ограничения внешнего доступа к сети (с помощью РРР, SLIP, dial-in доступ). Эта политика должна быть уточнением общей политики в отношении защиты информационных ресурсов в организации. Для успешной работы брандмауэра, политика доступа к сервисам должна быть реалистичной и согласовываться с заинтересованными лицами перед установкой брандмауэра. Реалистическая политика - это такая политика, в которой найден баланс между защитой сети от известных рисков, но в то же время обеспечен доступ пользователей к сетевым ресурсам. Если система брандмауэра запрещает или ограничивает использование некоторых сервисов, то в политике должна быть явно описана строгость, с которой это делается, чтобы предотвратить изменение параметров средств управления доступом сиюминутным образом. Только поддерживаемая руководством реалистическая политика может обеспечить это.

Политика проекта брандмауэра специфична для конкретного брандмауэра. Она определяет наличие или отсутствие доступа к службам. Ее нельзя разрабатывать без учета возможностей и ограничений, присущих конкретному брандмауэру, а также угроз, связанных с TCP/IP. Как правило, реализуется одна из двух базовых политик проекта: разрешить доступ для сервиса, если он явно не запрещен или запретить доступ для сервиса, если он явно не разрешен.

Брандмауэр, реализующий первую политику, пропускает все сервисы в сеть по умолчанию, если только этот сервис не был явно указан в политике управления доступом как запрещенный. Брандмауэр, реализующий вторую политику, по умолчанию запрещает все сервисы, но пропускает те, которые указаны в списке разрешенных сервисов. Эта политика реализует классическую модель доступа, используемую во всех областях информационной безопасности.

Первая политика менее желательна, так как она предоставляет больше способов обойти брандмауэр, например, пользователи могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. Определенные сервисы, такие как X Windows, FTP, ARCHIE и RPC, сложно фильтровать, и для них лучше подходит брандмауэр, реализующий первую политику. Вторая политика строже и безопаснее, но ее тяжелее реализовать и она может повлиять на работу пользователей в том отношении, что ряд сервисов, такие, как описанные выше, могут оказаться блокированными или использование их будет ограничено.

Взаимосвязь между политиками верхнего и нижнего уровней существует из-за того, что реализация политики доступа к сервисам сильно зависит от возможностей и ограничений системы брандмауэра, а также уязвимых мест, имеющихся в разрешенных интернетовских сервисах.

2.2. Усиленная аунтификация

Аутентификация является одним из самых важных компонентов брандмауэра. Прежде чем пользователю из внешней сети будет предоставлено право получить тот или иной сервис, не являющийся общедоступным, необходимо убедиться, что он действительно тот, за кого себя выдает (предполагается, что этот сервис для данного пользователя разрешен).

Разработан ряд мер усиленной аутентификации, таких как смарт-карты, биометрические механизмы и программные механизмы, для защиты от уязвимости обычных паролей. Хотя они и отличаются друг от друга, все они одинаковы в том отношении, что пароли, генерируемые устройством усиленной аутентификации, не могут быть повторно использованы атакующим, который перехватывает трафик соединения.

Ряд наиболее популярных устройств усиленной аутентификации, используемых сегодня, называются системами с одноразовыми паролями. Смарт-карта, например, генерирует ответ, который хост использует вместо традиционного пароля. Так как смарт-карта работает совместно с программой или оборудованием на хосте, генерируемые ответы уникальны для каждого установления сеанса. Результатом является одноразовый пароль, который, если перехватывается, не может быть использован злоумышленником для установления сеанса с хостом под видом пользователя. Кроме смарт-карт, для генерации одноразовых паролей используются как программные, так и аппаратные генераторы - устройства, вставляемые в слот компьютера. Знание секретного слова-пароля необходимо пользователю для приведения этого устройства в действие.

Так как брандмауэры могут централизовать управление доступом в сети, они являются логичным местом для установки программ или устройств усиленной аутентификации. Хотя меры усиленной аутентификации могут использоваться на каждом хосте, более практичным является их размещение на брандмауэре.

2.3. Категории брандмауэров

Работа всех брандмауэров основана на использовании информации разных уровней модели OSI. Модель OSI, разработанная Международной организацией по стандартизации (International Standards Organization - ISO), определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, - начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Существующие брандмауэры сильно отличаются друг от друга, как по уровню защиты, так и по используемым в них способах защиты. Однако большинство брандмауэров, поставляемых как коммерческие продукты, можно (впрочем, достаточно условно) отнести к одной из четырех категорий:

брандмауэры с фильтрацией пакетов

шлюзы сеансового уровня

шлюзы прикладного уровня

брандмауэры экспертного уровня

Хотя и немногие брандмауэры относятся только к одной из перечисленных категорий, дадим определение каждой из них.

2.3.1. Брандмауэры с фильтрацией пакетов

Брандмауэр с фильтрацией пакетов представляет собой маршрутизатор или работающую на сервере программу, сконфигурированные таким образом, чтобы фильтровать входящие и исходящие пакеты на основе данных, содержащихся в заголовках пакетов и текущих параметров окружающей среды..

Конструктивной особенностью простых фильтров пакетов является отсутствие памяти состояния соединения. Простая фильтрация пакетов действует только на сетевом уровне. В качестве данных из заголовков IP-пакетов для фильтрации могут использоваться (в порядке убывания значимости):

адреса отправителя

адреса получателя

информации о приложении или протоколе

номера порта источника

номера порта получателя

дополнительные параметры TCP/UDP

длина IP-пакета

дополнительные параметры IP-пакета

Все маршрутизаторы (даже те, которые не сконфигурированы для фильтрации пакетов), обычно проверяют полную ассоциацию пакета, чтобы определить, куда его нужно направить. Брандмауэр с фильтрацией пакетов, кроме того, перед отправкой пакета получателю сравнивает его полную ассоциацию с таблицей правил, в соответствии с которыми он должен пропустить или отбраковать данный пакет. Брандмауэр продолжает проверку до тех пор, пока не найдет правила, с которым согласуется полная ассоциация пакета. Если брандмауэр получил пакет, не соответствующий ни одному из табличных правил, он применяет правило, заданное по умолчанию, которое также должно быть четко определено в таблице брандмауэра. Из соображений безопасности это правило обычно указывает на необходимость отбраковки всех пакетов, не удовлетворяющих ни одному из других правил.

Главное преимущество использования брандмауэров с фильтрацией пакетов состоит в невысокой стоимости их реализации и минимальном влиянии на производительность сети. Если в вашей сети уже установлен аппаратный или программный IP-маршрутизатор, обеспечивающий возможность фильтрации пакетов (например, производства Cisco Systems, Bay Networks или Novell), настройка брандмауэра обходится даром (не считая времени, которое придется потратить на создание правил фильтрации пакетов).

Несмотря на привлекательность таких брандмауэров с точки зрения минимизации затрат, они, как правило, не могут обеспечить адекватную защиту. Злоумышленник может подменить свой адрес (из внешней сети) адресом внутренней сети, таким образом, делая невозможной надежную фильтрацию на основе только цифровых адресов, если необходимо запретить доступ к отдельным компьютерам извне, разрешив к ним доступ для внутренних пользователей. Также может быть использован адрес доверенного (авторизованного) клиента.

В этом случае брандмауэр не сумеет отличить поддельный пакет от настоящего и пропустит его, "предполагая", что остальная информация в полной ассоциации пакета также соответствует разрешающему правилу. Практика показывает, что подобный вид нападений, называемый "address-spoofing" (подмена адреса), довольно широко распространен в Internet и, к сожалению, очень часто оказывается эффективным.

Поскольку брандмауэр с фильтрацией пакетов работает только на сетевом уровне OSI и проверяет только информацию, содержащуюся в IP-заголовках пакетов, то "обмануть" его не составляет труда: злоумышленник просто создает заголовок, который удовлетворяет разрешающим правилам брандмауэра. Кроме заголовка пакета, никакая другая содержащаяся в нем информация брандмауэрами данной категории не проверяется.

2.3.2. Шлюзы сеансового уровня

Шлюз сеансового уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом - связь происходит через систему-посредника и реально состоит из двух TCP-соединений. Он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации.

Весь процесс связи состоит из следующих шагов:

компьютер-инициатор начинает процесс установки TCP-соединения с посредником

посредник проверяет допустимость установления связи компьютером-инициатором

посредник протоколирует попытку установки связи и/или уведомляет о ней администратора безопасности

если связь недопустима, то посредник завершает процесс связи, иначе процесс продолжается

посредник устанавливает TCP-соединение с компьютером-адресатом

посредник завершает установление связи с компьютером-инициатором

посредник копирует (пересылает) данные из одного соединения в другое в обоих направлениях и, возможно, протоколирует пересылаемые данные

посредник завершает процесс связи по требованию одной из сторон или по собственной инициативе

посредник протоколирует причину завершения связи, а также записывает статистическую информацию о состоявшемся сеансе связи

Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые посредником при проверке допустимости связи. Проверка допустимости связи выполняется посредником непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться (в порядке убывания значимости): IР-адрес компьютера-инициатора, начальный номер (SYN) пакета TCP-соединения и дополнительные параметры ТСР-соединения.

После того, как шлюз определил, что доверенный клиент и внешний шлюз являются авторизованными участниками сеанса TCP, и проверил допустимость данного сеанса, он устанавливает соединение. Начиная с этого момента шлюз просто копирует и перенаправляет пакеты туда и обратно, не проводя никакой фильтрации. Для копирования и перенаправления пакетов в шлюзах сеансового уровня используются специальные приложения, которые иногда называют канальными посредниками, поскольку они устанавливают между двумя сетями виртуальную цепь, или канал, а затем разрешают пакетам (которые генерируются приложениями TCP/IP) проходить по этому каналу.

Канальные посредники поддерживают несколько служб TCP/IP, поэтому шлюзы сеансового уровня могут использоваться для расширения возможностей шлюзов прикладного уровня, работа которых основывается на программах-посредниках конкретных приложений. В действительности большинство шлюзов сеансового уровня не являются самостоятельными продуктами, а поставляются в комплекте со шлюзами прикладного уровня. Примерами таких шлюзов являются Gauntlet Internet Firewall компании Trusted Information Systems, AltaVista Firewall компании DEC и ANS Interlock компании ANS.

Шлюз сеансового уровня выполняет еще одну важную функцию защиты: он используется в качестве сервера-посредника. И хотя этот термин предполагает наличие сервера, на котором работают программы-посредники (что справедливо для шлюза сеансового уровня), в данном случае он означает несколько другое. Сервером-посредником может быть брандмауэр, использующий процедуру трансляции адресов, при которой происходит преобразование внутренних IP-адресов в один "надежный" IP-адрес. Этот адрес ассоциируется с брандмауэром, из которого передаются все исходящие пакеты. В результате в сети со шлюзом сеансового уровня все исходящие пакеты оказываются отправленными из этого шлюза, что исключает прямой контакт между внутренней (авторизованной) сетью и являющейся потенциально опасной внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть. Шлюзы сеансового уровня не имеют "врожденных" уязвимых мест, однако после установления связи такие шлюзы фильтруют пакеты только на сеансовом уровне модели OSI, т. е. не могут проверять содержимое пакетов, передаваемых между внутренней и внешней сетью на уровне прикладных программ.

Иными словами, если процедура квитирования связи успешно завершена, шлюз сеансового уровня установит соединение и будет "тупо" копировать и перенаправлять все последующие пакеты независимо от их содержимого. Поэтому злоумышленник, находящийся во внешней сети, может "протащить" свои "зловредные" пакеты через шлюз. Чтобы фильтровать пакеты, генерируемые определенными сетевыми службами в соответствии с их содержимым, необходим шлюз прикладного уровня.

2.3.3. Шлюзы прикладного уровня

Шлюз прикладного уровня исключает прямое взаимодействие между авторизованным клиентом и внешним хостом, связь состоит из двух соединений прикладного уровня. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне модели OSI. Связанные с приложениями программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

Однако посредники, используемые шлюзом прикладного уровня, имеют важные отличия от канальных посредников шлюзов сеансового уровня: во-первых, они связаны с приложениями, а во-вторых, могут фильтровать пакеты на прикладном уровне модели OSI. В отличие от канальных посредников, посредники прикладного уровня пропускают только пакеты, сгенерированные теми приложениями, которые им поручено обслуживать. Например, программа-посредник службы Telnet может копировать, перенаправлять и фильтровать лишь трафик, генерируемый этой службой.

В отличие от шлюзов сеансового уровня, которые копируют и "слепо" перенаправляют все поступающие пакеты, посредники прикладного уровня (самого высокого в модели OSI) проверяют содержимое каждого проходящего через шлюз пакета. Эти посредники могут фильтровать отдельные виды команд или информации в протоколах прикладного уровня, которые им поручено обслуживать.

Такие продукты, как Eagle компании Raptor Systems, ANS InterLock компании ANS и Sidewinder Security Server компании Secure Computing Corporation, включают в себя программы-посредники прикладного уровня для служб FTP, HTTP и Telnet. Утилиты этих шлюзов позволяют фильтровать определенные команды, используемые этими службами. Например, можно сконфигурировать шлюз таким образом, чтобы он предотвращал использование клиентами команды FTP Put, которая дает возможность пользователю, подключенному к FTP-серверу, записывать на него информацию.

В дополнение к фильтрации пакетов многие шлюзы прикладного уровня регистрируют все выполняемые сервером действия и, что наиболее важно, предупреждают сетевого администратора о возможных нарушениях защиты. Например, при попытках проникновения в систему извне BorderWare Firewall Server компании Secure Computing позволяет фиксировать адреса отправителя и получателя пакетов, время, в которое эти попытки были предприняты, и используемый протокол. Продукт Black Hole компании Milkyway Networks также регистрирует все действия сервера и предупреждает администратора о возможных нарушениях, посылая ему сообщение по электронной почте или на пейджер. Аналогичные функции обеспечивают и продукты Eagle и Sidewinder Security Server.

Шлюзы прикладного уровня обеспечивают один из самых высоких на сегодняшний день уровней защиты, однако существует мнение, что такая высокая степень защиты имеет и оборотную сторону, а именно - отсутствие "прозрачности" работы шлюза для пользователей. В идеале все брандмауэры должны быть "прозрачными", т. е. их работа должна оставаться незаметной для пользователей, обращающихся из своей внутренней сети в Internet. Однако в реальной жизни брандмауэры вносят задержки в процесс передачи данных или требуют от пользователей выполнения нескольких процедур регистрации при подключении к Internet или корпоративной интрасети.

Также к недостаткам шлюзов прикладного уровня относятся необходимость в существовании посредников для разных сервисов, трудность фильтрации при отсутствии у сервиса фиксированного номера порта, уязвимость посредника из внешней сети, высокая стоимость.

2.3.4. Брандмауэры экспертного уровня

Брандмауэры экспертного уровня обладают функцией по блокированию (уничтожению) и изменению пакетов, проходящих через межсетевой экран, по заданному критерию на основе данных, содержащихся в этих пакетах, данных контекстов соединений транспортного, сеансового и прикладного уровней, текущих параметров окружающей среды и статистических данных.

Эти брандмауэры сочетают в себе элементы всех трех описанных выше категорий. Как и простая фильтрация пакетов, фильтрация экспертного типа работает на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов и т. п. Брандмауэры экспертного уровня также выполняют функции шлюза сеансового уровня, определяя, относятся ли пакеты к соответствующему сеансу связи. И, наконец, брандмауэры экспертного уровня берут на себя функции многих шлюзов прикладного уровня (одновременно), оценивая и модифицируя содержимое каждого пакета в соответствии с политикой безопасности, выработанных в конкретной организации.

В противоположность шлюзу прикладного уровня этому брандмауэры экспертного уровня допускают прямые соединения между клиентами и внешними хостами. Для обеспечения защиты такие брандмауэры перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, брандмауэры экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровне приложений. С помощью этих алгоритмов пакеты сравниваются с известными шаблонами данных, что, теоретически, должно обеспечить более эффективную фильтрацию пакетов.

Обладая всеми преимуществами трех вышерассмотренных типов фильтров и минимальным количеством недостатков, брандмауэры экспертного уровня обеспечивают один из самых высоких на сегодняшний день уровней защиты локальных сетей.

3. ДОСТОИНСТВА БРАНДМАУЭРОВ

Основной причиной использования брандмауэров является тот факт, что без брандмауэра системы подсети подвергаются опасности использования таких уязвимых служб, как NFS и NIS, или сканирования и атак со стороны хостов в Интернете.

Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных по своей природе служб. В результате подсеть будет подвергаться гораздо меньшему числу опасностей, так как через брандмауэр смогут пройти только безопасные протоколы.

Брандмауэры также могут обеспечить защиту от атак с использованием маршрутизации, таких как маршрутизация источника и попыток изменить маршруты передачи данных с помощью команд перенаправления ICMP. Брандмауэр может заблокировать все пакеты с маршрутизацией источника и перенаправленные ICMP, a затем информировать администраторов об инцидентах.

Брандмауэр также предоставляет возможности по управлению доступом к хостам сети. Например, некоторые хосты могут быть сделаны достижимыми из внешних сетей, в то время как доступ к другим системам извне будет запрещен. Сеть может запретить доступ к своим хостам извне, за исключением особых случаев, таких как почтовые сервера или информационные сервера.

Брандмауэр может на самом деле оказаться недорогим для организации из-за того, что большинство или все изменения в программах и дополнительные программы по безопасности будут установлены на системе брандмауэра, а не распределены по большому числу хостов. В частности, системы одноразовых паролей и другие дополнительные программы усиленной аутентификации могут быть установлены только на брандмауэре, а не на каждой системе, которой нужно обращаться к Интернету.

Для сохранения конфиденциальности некоторые сети с помощью брандмауэра могут заблокировать такие службы, как finger и доменную службу имен, finger дает информацию о пользователях, такую как время последнего сеанса, читалась ли почта, и другие данные. Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети, поэтому имена и IP-адреса хостов в сети не станут известны хостам в Интернете. Некоторые организации уже убедились в том, что блокируя эту информацию, они скрывают ту информацию, которая была бы полезна для атакующего.

Если доступ к Интернету и из Интернета полностью осуществляется через брандмауэр, то брандмауэр может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе сигналов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том, были ли брандмауэр или сеть атакованы или зондированы.

И, наконец, следует отметить, что брандмауэр предоставляет средства регламентирования порядка доступа к сети, тогда как без него этот порядок целиком зависит от совместных действий всех пользователей. Организация может зависеть от своих пользователей, но не должна зависеть от доброй воли всех пользователей Интернета.

4. НЕДОСТАТКИ БРАНДМАУЭРОВ

Кроме того, что брандмауэры не являются панацеей от всех проблем безопасности, имеет место ряд недостатков, связанных с их использованием.

Самым очевидным недостатком брандмауэра является то, что он может блокировать ряд служб, необходимых пользователям, такие как TELNET, FTP, X Windows, NFS и др. Тем не менее, эти недостатки не присущи только брандмауэрам; сетевой доступ также может ограничиваться при защите на уровне хостов в соответствии с политикой безопасности.

Некоторые объекты могут обладать топологией, не предназначенной для использования брандмауэров, или использовать службы (сервисы) таким образом, что его использование потребовало бы полной реорганизации локальной сети.

Далее, брандмауэры не защищают системы локальной сети от проникновения через "люки" (backdoors). Например, если на систему, защищенную брандмауэром, все же разрешается неограниченный модемный доступ, злоумышленник может с успехом обойти МЭ. Связь через протоколы РРР (Point-to-Point) и SLIP (Serial Line IP) в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения.

Брандмауэры обычно не обеспечивают защиты от внутренних угроз. Хотя брандмауэр может защищать от получения посторонними лицами критических данных, он не защищает от копирования своими сотрудниками данных на ленту или дискету и выноса ее за пределы сети.

Брандмауэры не защищают от пользователей, загружающих программы для ПЭВМ, зараженные вирусами, из Интернетовских архивов или передачи таких программ в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты большим числом способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов. Проблема вирусов будет оставаться и должна быть решена с помощью других антивирусных мер защиты.

Кроме того, есть недостаток брандмауэров, связанный с низкой пропускной способностью - брандмауэры представляют собой потенциально узкое место, поскольку все соединения с сетью Интернет должны осуществляться через него и еще подвергаться фильтрации.

Существует также и возможность "общего риска" - в брандмауэре все средства безопасности сосредоточены в одном месте, а не распределены между системами сети. Компрометация брандмауэра ведет к нарушению безопасности для других, менее защищенных систем.

Но, несмотря на то, что даже самые надежные брандмауэры не обеспечивают 100%-ной безопасности, их устанавливать нужно по той же причине, по которой устанавливают замок на свою входную дверь, зная, что ни один замок не может гарантировать полной защиты. Поэтому использование брандмауэров в большинстве случаев более чем оправдано.

5. Брандмауэр Check Point FireWall-1 / VPN-1

5.1. Общие положения

Система Check Point FireWall-1 считается на сегодняшний день одной из самых распространенных в мире систем сетевой защиты. Хотя первые версии продукта представляли в большей степени теоретический интерес: Check Point реализовал совершенно новый по тем временам подход к инспекции IP-пакетов, вскоре этот метод (Statefull Inspection Technology) получил высокую оценку и был запатентован. Сейчас многие производители систем firewall используют принципиально похожие технологии. В России Check Point FireWall-1 начал пользоваться заслуженной популярностью в 1995 году, когда появление крупных проектов потребовало соответствующей технической поддержки и активного взаимодействия с непосредственным производителем.

CheckPoint FireWall-1/VPN-1 осуществляет контроль и защиту сетевых ресурсов от несанкционированного доступа на основе технологии инспекции IP-пакетов с учетом состояния и контекста протоколов на всех уровнях стека протоколов IP (с 3-го по 7-й уровень модели OSI). Он обеспечивает расширенные функции авторизации и установления подлинности пользователей, сбора статистики и генерации предупреждений. Кроме того, FireWall-1 позволяет транслировать сетевые адреса и сканировать потоки данных на наличие недопустимой информации и вирусов.

Правила контроля описываются с помощью языка высокого уровня INSPECT, составляющего основу данной технологии.

Check Point FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом.

Поддержка компонентами продукта платформ Windows 95, Windows NT, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает наилучшую в отрасли гибкость и удобство при развертывании систем

5.2. Технология Stateful Inspection

Stateful inspection или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Он разработан и запатентован компанией Check Point Software Technologies.

Данная технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Предшествующие технологии (см. "Категории брандмауэров") только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали.

Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения. FireWall-1 контролирует соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy посредники могут контролировать только с 5 по 7 уровень.

Тем самым Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контекста приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия.

Реализация технологии stateful inspection компании Check Point ориентирована на работу в высокоскоростных сетях передачи данных, и по результатам различных тестов практически не вносит замедления в работу таких сетей. В реализации этой технологии используются динамические таблицы для хранения информации о контексте соединений как активных, так и существовавших ранее. Содержимое этих таблиц, проверяется при обработке попытки соединения. Такой подход обеспечивает прекрасную производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны.

5.3. INSPECT – язык FireWall–1

В FireWall‑1 Политика Безопасности описывается в инспекционном сценарии на языке INSPECT. Инспекционные сценарии представляют собой легко читаемые ASCII файлы и могут быть созданы с использованием любого текстового редактора. Графический интерфейс пользователя генерирует инспекционные сценарии на том же самом языке. Впоследствии инспекционные сценарии компилируются в инспекционный код, который загружается и выполняется модулями FireWall.

Возможность непосредственного редактирования инспекционного скрипта облегчает отладку и адаптирует его к специальным требованиям заказчика, хотя на практике такая возможность требуется нечасто.

5.4. Обеспечение информационной безопасности

5.4.1. Контроль и разграничение доступа

Все аспекты политики информационной безопасности организации могут быть специфицированы с использованием графического интерфейса FireWall-1. При определении элементов сети применяется объектно-ориентированный подход.

Будучи создан, объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов, сетевых сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие узлы безопасности данное правило должно распространяться. Уникальное преимущество Check Point FireWall-1 - это возможность создать единую политику безопасности для всего предприятия в целом. После создания политики безопасности FireWall-1 проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети.

Архитектура FireWall-1 позволяет беспрепятственно наращивать возможности продукта по мере возрастания потребностей организации и дает возможность администрировать несколько систем FireWall-1 с одного рабочего места одновременно. Система включает также встроенные механизмы защиты от различных видов несанкционированного доступа (IP Spoofing, Denial of Service Attack, Ping of Death).

5.4.2. Идентификация и аутентификация

Средства установления подлинности пользователей полностью интегрированы в средства работы с политикой безопасности масштаба предприятия и, соответственно, могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя программу просмотра статистики, можно отслеживать любые сессии установления подлинности клиента.

FireWall-1 предоставляет три метода установления подлинности пользователя:

User Authentication

Прозрачный метод установления подлинности пользователя системы FireWall-1 предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности (даже если это многопользовательская ЭВМ), проверка подлинности осуществляется с помощью специального Сервера Безопасности.

Client Authentication

Привилегии предоставляются определенным IP-адресам, в отличие от User не ограничена в наборе приложений, не является прозрачной. Администратор указывает вид авторизации каждого пользователя, время доступа и разрешенные службы.

Transparent Session Authentication

Авторизацию производит Агент Авторизации Сессий – для каждой сессии. В случае успешной авторизации FireWall разрешает инициированное соединение. Используется для любых служб.

5.4.3. Трансляция сетевых адресов

Возможность FireWall-1 производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной.

FireWall-1 поддерживает целостность внутреннего адресного пространства, транслирует его на официально зарегистрированные адреса организации в Интернет для обеспечения полноценного доступа к Интернет.

В FireWall-1 имеются два основных способа отображения таких адресов:

Статический

Для обеспечения удаленным пользователям Internet доятупа к ресурсам компании. Обеспечивается путем однозначного назначения адресу ресурса в глобальной сети его реального адреса.

Динамический

Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.

Так как этот IP-адрес, используемый в динамической моде только для выходных соединений, не используется ни для каких реальных ресурсов, не возможна подмена адреса или взлом.

5.4.4. Content Security - механизм проверки информационных потоков

Механизм проверки информационных потоков полностью интегрирован с другими возможностями FireWall-1, что обеспечивается благодаря единому централизованному управлению при помощи общего графического интерфейса. Выявление компьютерных вирусов

Механизмы проверки содержимого потоков данных, реализованные в FireWall-1, предоставляют интегрированное решение для борьбы с вирусами, предлагая использование специальных антивирусных приложений и Сервера Антивирусной Проверки. Данные приложения могут быть развернуты как непосредственно на компьютере, где установлен FireWall-1, так и на отдельном компьютере, специально предназначенным для их выполнения. Вместо настройки двух совершенно независимых программных продуктов, администратор безопасности определяет правила разграничения доступа и правила проверки информационных потоков в общей политике безопасности, посредством ее редактора (FireWall-1 Security Policy Editor).

Возможность анализировать URL позволяет администратору безопасности создать гибкую политику использования ресурсов Интернет, разрешив доступ только к допустимой информации WWW страниц в соответствующее время. Дополнительно, этот механизм может использоваться для накопления статистики обращений к определенным информационным ресурсам, что можно использовать при подготовке различных аналитических отчетов.

Блокирование Java и ActiveX

Возможности FireWall-1 по сканированию и анализу потоков данных позволяют производить следующие действия над обнаруженным кодом Java и ActiveX:

Удаление Java-аплетов, встречающихся в тексте HTML-страницы

Удаление Java-аплетов из всех потоков между сервером и клиентом, даже если информация архивирована или компрессирована

Блокирование Java-атак путем запрещения подозрительных обратных соединений

Удаление ActiveX-аплетов, встречающихся в тексте HTML-страницы

Удаление кода JavaScript, встречающегося в тексте HTML-страницы

FireWall-1 успешно защищает сеть организации, благодаря детальному контролю SMTP-соединений. Хочется отметить следующие возможности FireWall-1:

Скрытие в выходящей почте адреса в поле From_ путем замены его на некоторый общий адрес

Перенаправление почты, посланной какому-либо пользователю, например, пользователю root

Уничтожение почты, посланной некоторым адресатом

Удаление вложений определенного типа, например, выполняемых файлов программ

Удаление почтовых сообщений, превышающих заданный размер

Сканирование на наличие вирусов

Сервер безопасности FTP обеспечивает проверку подлинности пользователя и безопасности информации, обмен которой происходит по этому протоколу. Управление осуществляется как на уровне команд FTP-протокола (PUT/GET) и внесения ограничений на возможные имена файлов, так и путем перенаправления потоков данных на внешние серверы антивирусной проверки.

6. Выводы

В курсовом проекте была рассмотрена самая перспективная на сегодняшний день технология защиты информации – межсетевые экраны. После теоретического рассмотрения модели работы данных систем, их достоинств и недостатков был выбран конкретный программный продукт – брандмауэр Check Point FireWall-1, считающийся одной из самых распространенных в мире систем сетевой защиты. Были подробно рассмотрены использующиеся там методы защиты, особенное внимание уделено перспективному и экономичному методу инспекции IP-пакетов.

Было показано, каким образом CheckPoint FireWall-1/VPN-1 осуществляет контроль и защиту сетевых ресурсов от несанкционированного доступа и обеспечивает расширенные функции авторизации и установления подлинности пользователей, сбора статистики и генерации предупреждений. Детальное изучение документации показало, что FireWall-1 обеспечивает очень высокий уровень защиты локально-вычислительных сетей и персональных ПК.

7. ЛИТЕРАТУРА

"Технология и классификация межсетевых экранов" - МГУ, ВМК, 2002 http://ivmai. *****/student/fwtchnlg/fwtchnlg. htm

, Научно-инженерное предприятие "Информзащита", "Firewall – не панацея", 2002 http://*****/security/internet/fw_pan. shtml

Олег Сыч, "Один в поле не воин: межсетевые экраны и антивирусы – братья навеки", Комиздат, 2004 http://citforum.ru/security/articles/one/

Система защиты информации “CheckPoint FireWall-1/VPN-1” версии 4.1, Service Pack 2, Формуляр № КЮНИ.00200

FireWall-1, http://*****/security/internet/fw1/fw1_04.shtml

Руководство администратора системы Check Point FireWall-1, version 4.1

"Брандмауэры, или запирайте вашу дверь" - Сети, #2, 1997г.

Джон Вэк и Лиза Карнахан "Содержание сети вашей организации в безопасности при работе с Интернетом (Введение в межсетевые экраны (брандмауэры))" - Специальная публикация NIST 800-10

"Информационная безопасность" - Открытые системы - #1, 1996г.