Технологии нижнего уровня защиты информации в локальных сетях: межсетевые экраны

Межсетевой экран (брандмауэр, Firewall) — программно-аппаратная система межсетевой защиты, которая отделяет одну часть сети от другой и реализует набор правил для прохождения данных из одной части в другую. Границей является раздел между корпоративной локальной сетью и внешними интернет-сетями или различными частями локальной распределенной сети. Экран фильтрует текущий трафик, пропуская одни пакеты информации и отсеивая другие. Межсетевой экран является одним из основных компонентов защиты сетей. Наряду с internet-протоколом межсетевого обмена (Internet Security Protocol — IPSec) МЭ является одним из важнейших средств защиты, осуществляя надежную аутентификацию пользователей и защиту от несанкционированного доступа. Отметим, что большая часть проблем с информационной безопасностью сетей связана с «прародительской» зависимостью коммуникационных решений от ОС UNIX — особенности открытой платформы и среды программирования UNIX сказались на реализации протоколов обмена данными и политики информационной безопасности. Вследствие этого ряд интернет-служб и совокупность сетевых протоколов (Transmission Control Protocol/ Internet Protocol — TCP/IP) имеет «бреши» в защите [4, 6]. К числу таких служб и протоколов относятся:

¦ служба сетевых имен (Domain Name Server — DNS);

¦ доступ к всемирной паутине WWW;

¦ программа электронной почты E-mail;

¦ служба эмуляции удаленного терминала Telnet;

¦ простой протокол передачи электронной почты (Simple Mail Transfer Protocol — SMTP);

¦ протокол передачи файлов (File Transfer Protocol);

¦ графическая оконная система X Windows.

Настройки МЭ, т. е. решение пропускать или отсеивать пакеты информации, зависят от топологии распределенной сети и принятой политики информационной безопасности. В связи с этим политика реализации МЭ определяет правила доступа к ресурсам внутренней сети. Эти правила базируются на двух общих принципах: запрещать все, что не разрешено в явной форме, и разрешать все, что не запрещено в явной форме. Использование первого принципа дает меньше возможностей пользователям и охватывает жестко очерченную область сетевого взаимодействия. Политика, основанная на втором принципе, является более мягкой, но во многих случаях она менее желательна, так как она предоставляет пользователям больше возможностей «обойти» МЭ и использовать запрещенные сервисы через нестандартные порты (User Data Protocol — UDP), которые не запрещены политикой безопасности.

Функциональные возможности МЭ охватывают следующие разделы реализации информационной безопасности:

¦ настройка правил фильтрации;

¦ администрирование доступа во внутренние сети;

¦ фильтрация на сетевом уровне;

¦ фильтрация на прикладном уровне;

¦ средства сетевой аутентификации;

¦ ведение журналов и учет.

Программно-аппаратные компоненты МЭ можно отнести к одной из трех категорий: фильтрующие маршрутизаторы, шлюзы сеансового уровня и шлюзы уровня приложений. Эти компоненты МЭ — каждый отдельно и в различных комбинациях — отражают базовые возможности МЭ и отличают их один от другого.

Фильтрующий маршрутизатор (Filter Router — FR) фильтрует IP-пакеты по параметрам полей заголовка пакета: IP-адрес отправителя, IP-адрес адресата, TCP/UDP-??? отправителя и TCP/UDP-??? адресата. Фильтрация направлена на безусловное блокирование соединений с определенными хостами и (или) портами — в этом случае реализуется политика первого типа. Формирование правил фильтрации является достаточно сложным делом, к тому же обычно отсутствуют стандартизированные средства тестирования правил и корректности их исполнения. Возможности FR по реализации эффективной защиты ограничены, так как на сетевом уровне эталонной модели OSI обычно он проверяет только IP-заголовки пакетов. К достоинствам применения FR можно отнести невысокую стоимость, гибкость формирования правил, незначительную задержку при передаче пакетов. Недостатки FR являются достаточно серьезными:

¦ отсутствует аутентификация конкретного пользователя;

¦ указанную выше аутентификацию по IP-адресу можно «обойти» путем замещения информации пользователя информацией злоумышленника, использующего нужный 1Р-адрес;

¦ внутренняя сеть «видна» из внешней;

¦ правила фильтрации сложны в описании и верификации, они требуют высокой квалификации администратора и хорошего знания протоколов TCP/UDP;

¦ нарушение работы FR приводит к полной незащищенности всех компьютеров, которые находятся за этим МЭ.

Шлюз сеансового уровня (Session Level Gateway — SLG) — это активный транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на предоставление услуг, проверяет допустимость запрошенного сеанса (Handshaking), устанавливает нужное соединение с адресом назначения внешней сети и формирует статистику по данному сеансу связи. После установления факта, что доверенный клиент и внешний хост являются «законными» (авторизованными) участниками сеанса, шлюз транслирует пакеты в обоих направлениях без фильтрации. При этом часто пункт назначения оговаривается заранее, а источников информации может быть много (соединение «один-ко-многим») — это, например, типичный случай использования внешнего Web-pecypca. Используя различные порты, можно создавать разные конфигурации соединений, обслуживая одновременно всех пользователей, имеющих право на доступ к ресурсам сети. Существенным недостатком SLG является то, что после установления связи пакеты фильтруются только на сеансовом уровне модели OSI без проверки их содержимого на уровне прикладных программ. Авторизованный злоумышленник может спокойно транслировать вредоносные программы через такой шлюз. Таким образом, реализация защиты осуществляется в основном на уровне квитирования (Handshaking).

Для компенсации недостатков FRи SLG-шлюзов в МЭ встраивают прикладные программы для фильтрации пакетов при соединениях с такими сервисами, как Telnet, FTP и пр. Эти приложения называются Proxy-службами, а устройство (хост), на котором работает служба, называется шлюзом уровня приложений (Application Layer Gateway — ALG). Шлюз исключает прямое взаимодействие между авторизованным пользователем и внешним хостом. Зафиксировав сетевой сеанс, шлюз останавливает его и вызывает уполномоченное приложение для реализации запрашиваемой услуги — Telnet, FTP, WWW или E-mail. Внешний пользователь, который хочет получить услугу соединения в сети, соединяется вначале с ALG, а затем, пройдя предусмотренные политикой безопасности процедуры, получает доступ к нужному внутреннему узлу (хосту). Отметим явные преимущества такой технологии:

¦ уполномоченные приложения вызывают только те службы, которые прописаны в сфере их действия, исключая все остальные, которые не отвечают требованиям информационной безопасности в контексте запрашиваемой услуги;

¦ уполномоченные приложения обеспечивают фильтрацию протокола, например, некоторые ALG могут быть настроены на фильтрацию FTP-соединения и запрещают при этом выполнение команды FTP put, что однозначно не позволяет передавать информацию на анонимный FTP-сервер;

¦ шлюзы прикладного уровня, как правило, фиксируют в специальном журнале выполняемые сервером действия и в случае необходимости сообщают сетевому администратору о возможных коллизиях и попытках проникновения;

¦ структура внутренней сети не видна из интернет-сети, шлюз осуществляет надежную аутентификацию и регистрацию, правила фильтрации просты, так как экран пропускает прикладной трафик, предназначенный только для шлюза прикладного уровня, блокируя весь остальной.

Как показывает практика, защита на уровне приложений позволяет дополнительно осуществлять другие проверки в системе защиты информации, а это снижает опасность «взлома» системы, имеющей «прорехи» в системе безопасности.

Межсетевые экраны можно разделить по четырем основным признакам:

• 1) по исполнению — программный и программно-аппаратный;
• 2) используемой технологии — контроль состояния протокола (Stateful Inspection Protocol) или с использованием модулей-посредников (Proxy Server);
• 3) функционированию на уровнях эталонной модели Open System Interconnection — шлюзы экспертного, прикладного, сеансового уровней, пакетный фильтр;
• 4) схеме подключения — схема единой защиты сети, схема с закрытым и незащищаемым открытым сегментами сети, схема с раздельной защитой закрытого и открытого сегментов сети.

На рис. 30.9 показан вариант защиты локальной сети на базе программно-аппаратного решения — межсетевого экрана Cisko 2610 & PIX Firewall 520 компании «Cisco Systems» [6, 8].

Отличительной особенностью этой модели является специальная операционная система реального времени, а высокая производительность реализуется на базе алгоритма адаптивной безопасности (Adaptive Security Algorithm — ASA). Приведенное решение имеет несомненные достоинства: высокая производительность и пропускная способность до 4 Гб/с; возможность поддержки до 256 тыс. одновременных сессий; объединение преимуществ пакетного и прикладного шлюзов, простота и надежность в установке и эксплуатации, возможность сертификации в государственных сертифицирующих органах.

В заключение отметим, что МЭ не решают всех вопросов информационной безопасности распределенных КИС и локальных сетей. Существуют ограничения на их применение и ряд угроз, от которых МЭ не могут защитить. Отсюда следует, что технологии МЭ надо применять комплексно — с другими технологиями и средствами защиты [6].

Рис. 30.9. Использование комплекса «маршрутизатор-файервол» в системах защиты информации при подключении к сети Интернет.