Межсетевые экраны уровня ядра

При оценке практических реализаций МЭ в качестве одного из главных параметров выступает быстродействие. Сложность проверок, осуществляемых МЭ, обычно приводит к снижению его производительности. Для устранения этого существенного недостатка была разработана технология МЭ, функционирующего на уровне ядра. Рассмотрим подробнее особенности данной технологии на примере МЭ Cisco Centry Firewall, который впервые использовал данную технологию (основное внимание будем уделять использованию элементов уже рассмотренных технологий).

Межсетевой экран Cisco Centry включает в себя основные достоинства предыдущих архитектур (скорость обработки в ядре, зависимость от сессии для каждого уровня протокола). Этот МЭ разработан с использованием технологии автономных агентов, что позволяет легко добавлять новых агентов для решения новых задач. Схема функционирования МЭ уровня ядра приведена на рис. 3.10.

Подсистема безопасности данного МЭ использует многие элементы из рассмотренных технологий МЭ. Подсистема МЭ Cisco Centryвключает в себя следующие основные модули:

• 1) ядро безопасности;
• 2) модуль управления хостом;
• 3) модуль управления каналами связи МЭ.
• 4) Агент регистрации входов;
• 5) Агент аутерификации.

Основным модулем является ядро безопасности. Ядро анализирует каждый входящий и исходящий пакет, проходящий через сервер МЭ, и применяют к каждому пакету заданную реализацию Установленной политики безопасностию Ядро безопасности оперирует внутри ядра Windows NT, что позволяет обеспечить высокую производительность МЭ.

Основываясь на политики безопасности, модуль управления созданием соединения для соответствующей карты. Каждый совет сетевой пакет анализируется на принадлежность к существующему соединению. Если такое соединение для пакета есть, то пакет передается в стек proxy существующие соединения. Если нет — проверяется модулем управления на наличие полтики соединения. В результате пакет или удаляется, или создается динамический стек для нового соединения, и пакет передается в него.

Ядро безопасности, в свою очередь, содержит четыре компонента, составляющих суть данной технологии.

Перехватчик пакетов перехватывает пакеты, поступающие на МЭ, и передает их в модуль верификации. Перехватчик располагается между естественным сетевым стеком Windows и драйвера сети адаптеров. Для перехватчика стек Windows является внешним стеком, поэтому перехватчик рассматривает все пакеты до их поступления в стек собственно Windows.

Захватив пакет, перехватчик передает его в анализатор, который по информации заголовка пакета подготавливает пакет и соответствующие данные для дальнейшей работы модуля верификации.

Модуль верификации безопасности применяет заданную политику безопасности (загружаемую в ядро административным агентом), инициализирует и отслеживает сеансы всех разрешенных соединений. Таким образом, модуль верификации на основании пакета и подготовленных анализатором данных для каждого пакета выполняет одно из трех возможных действий:

• 1) Отбрасывает пакет (исключает из дальнейшей обработки);
• 2) Устанавливает, что пакет принадлежит существующему соединению, и передает пакет соответствующему proxy;
• 3) Устанавливает новое соединение с созданием соответствующего динамического стека proxy.

Механизмы proxyядра используют динамические стеки, зависящие от соответствующего Протокола соединения. В первой версии МЭ были реализованы восемь типов динамических стеков.

Рассмотрим виды proxy в МЭ уровня ядра и выполняемые в их рамках проверки. Для IP:

• 1)проверка адресов источника и назанчения — проверяется, что данному адресу источника разрешено взаимодействовать с соответствующим адресом назначения;
• 2) защита от атаки Ping of Death — проверяется, что каждый пакет не превышает максимально возможную длину. Если длина пакет больше максимальный, то пает уничтожается и генерирует запись в журнал;
• 3)защита от атаки IP Spoof — при установлении нового соединения проверяется источник по статическим таблицам маршрутизаторов, связанные с сетевыми картами. Если пришедший пакет не соответствует установленной таблице, то он уничтожается и генерирует запись в журнале.

Для ICMP:

1)проверяется соответствие типа пришедшего пакета ICMP заданными правилам. Если заданный тип разрешен, то пакет уничтожается и генерируется запись в журнале.

Для TCP:

• 1) Проверка портовпроверяется, что запрос на инициализацию соединения направлен на разрешенный порт;
• 2) Защита от атаки SYN Flood — данная проверка оперирует с заранее заданным счетчиком числа полуоткрытых соединений. Значение счетчика сожжет устанавливается автоматически в зависимости от реальной физической памяти стека. При превышении значения этого счетчика проводится анализ процентного заполнения стека и адресов их источников. Для тех адресов, которые были получены ранее, полуоткрытые соединения закрывается;
• 3) Функция NAT выполнение функции трансляции адресов, Для udp:
• 1) Аутерификация пользователя — инициируется передачей соответствующих данных запроса на соединение агенту аутерификацию;
• 2) Фильтрация HTTP — проверка осуществляется в соответствии со списками файлов и сайтов, которые разрешено использовать в службе HTTP. В этом списке могут быть указаны адреса, имена доменов или типы файлов;
• 3) Контроль разрешенных действий — проверяется действия, ассоциированный с HTTP, на наличие соответствующего разрешения для пользователя;
• 4) Фильтрация HTTP — проверяется содержимое пакетов прикладного уровня. В ходе этой проверки модифицируется, если необходимо, данные HTTP — документов, передающихся во время HTTP сеанса: фильтрация ActiveX (удаляет теги), фильтрация Java аппретов (удаляются теги), фильтрация Java Spirit и VBScript (удаляются теги

Для FTP:

• 1) Аутерификация пользователя — инициируется передачей соответствующих данных запроса на соединение агенту аутерификации;
• 2) Поддержка «непрозрачного» proxy — данный режим выполняется в случае, когда адрес в пакете является адресом самого МЭ. Пользователи могут соединятся с сервером МЭ и, используя команды FTP, с другими серверами. Этот режим предназначен для работы внешних пользователей с серверами компании;
• 3) Контроль разрешенных действий — осуществляется проверка всех возможных действий, ассоциированных с FTP, наличие разрешения пользователя на исследование соответствующей службы, предоставляемой протоколом: чтение объекта с FTP — сервера, запись объекта на FTP — сервер, удаление объекта с FTPсервера, перемещение по директориям.

Для Telnet:

• 1) Аутерификация пользователя — инициируется передачей соответствующих данных запроса на соединение агенту аутерификации;
• 2) Поддержка режима «непрозрачного» proxy — выполняется в случае, когда адрес в пакете является адресом самого МЭ. Пользователи могут соединится с сервером МЭ и затем, используются команды Telnet с другими серверами. Этот режим предназначен для работы внешних пользователей с серверами компании;
• 3) Контроль портов — проверяется, что запросы на инициализацию служб направлены на размещение Telnet — порты.

Для SMTP:

• 1) Противодействие атаке SMTP Flood — позволяет удалять всю почту от определенного адреса или сети, направленную на защищаемую сеть;
• 2) Разрешение знаков маршрутизации — показывает, разрешено ли пользовательской части заголовка сообщения содержать знаки маршрутизации !, [, ],: и %;
• 3) Ограничение числа знаков ограничение числа знаков At (@) — показывает, сколько знаков @ может содержать путь, указанный пользователем;
• 4) Разрешение команды Verifyпроверяется, разрешено ли использование команды МКАН при прохождении МЭ на пути к серверу SMTP;
• 5) Разрешение команды Expand — проверяется, разрешено ли использование команды FXPN при прохождении МЭ на пути к серверу SMTP;
• 6) Ограничение числа получателей — позволяет установить количество абонентов, которым адресуется одно сообщение;
• 7) Ограничение длина сообщения — позволяет устанавливать максимальную разрешенную для передачи длину сообщения.

В данном МЭ применяются правила фильтрации. Существует статическое и динамическое правила фильтраций для соединений, организован контроль на прикладном уровне и.д. кроме того, весь внутренний трафик между базой знаний МЭ и агентами шифруется с помощью Microsoft.

Хотя сам Cisco Centre снят с производства, его идеи нашли широкое применение в разработках разных производителей. Большинство современных МЭ оперирует на уровне ядра операционной системы, в качестве которой выступают не операционные Системы, в качестве которой выступает не операционные системы общего пользования, а специально разрабатываемые операционный системы.