Технология работы и глобальных сетях Solstice FireWall-1

Как уже было отмечено в предыдущем разделе, в настоящее время вопросам безопасности данных в распределенных компьютерных системах уделяется очень большое внимание. Разработано множество средств для обеспечения ИБ, предназначенных для использования на различных компьютерах с разными ОС. В качестве одного из направлений можно выделить межсетевые экраны (firewalls), призванные контролировать доступ к информации со стороны пользователей внешних сетей.

В этом учебнике рассматриваются основные понятия экранирующих систем, а также требования, предъявляемые к ним. На примере пакета Solstice FireWall-1 разбираются несколько типичных случаев использования таких систем, особенно применительно к вопросам обеспечения безопасности Интернет-подключений и при использовании разграничений доступа внутри корпоративной сети организации.

Межсетевое экранирование в Интернет двух информационных систем или двух множеств информационных систем осуществляют путем постановки экрана между ними.

Экран выполняет свои функции, контролируя все информационные потоки между этими двумя множествами информационных систем, работая как некоторая «информационная мембрана». В этом смысле экран можно представлять себе как набор фильтров, анализирующих проходящую через них информацию и, на основе заложенных в них алгоритмов, принимающих решение: пропустить ли эту информацию или отказать в ее пересылке. Кроме того, такая система может выполнять регистрацию событий, связанных с процессами разграничения доступа, в частности, фиксировать вес «незаконные» попытки доступа к информации и, дополнительно, сигнализировать о ситуациях, требующих немедленной реакции, то есть поднимать тревогу.

Обычно экранирующие системы делают несимметричными. Для экранов определяются понятия «внутри» и «снаружи», и задача экрана состоит в защите внутренней сети от «потенциально враждебного» окружения. Важнейшим примером потенциально враждебной внешней сети является Интернет.

При рассмотрении проблемы безопасного подключения к Интернет и разграничения доступа внутри корпоративной сети организации необходимо соблюсти следующие условия:

  • 1. Очевидное требование к таким системам — это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи;
  • 2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного воплощения в жизнь политики безопасности организации и, кроме того, для обеспечения простой реконфигурации системы при изменении структуры сети;
  • 3. Экранирующая система должна работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий;
  • 4. Экранирующая система должна работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий трафик в «пиковых» режимах. Эго необходимо для того, чтобы firewall нельзя было, образно говоря, «забросать» большим количеством вызовов, которые привели бы к нарушению се работы;
  • 5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации;
  • 6. В идеале, если у организации имеется несколько внешних подключений, в том числе и в удаленных филиалах, система управления экранами должна иметь возможность централизованно обеспечивать для них проведение единой стратегии безопасности;
  • 7. Система Firewall должна иметь средства авторизации доступа пользователей через внешние подключения. Типичной является ситуация, когда часть персонала организации должна выезжать, например, в командировки, и в процессе работы им, тем не менее, требуется доступ, по крайней мере, к некоторым ресурсам внутренней компьютерной сети организации. Система должна уметь надежно распознавать таких пользователей и предоставлять им необходимый доступ к информации.

Примером реализации ИБ в Интернет является программный комплекс Solstice FircWall-1 компании Sun Microsystems. Данный пакет неоднократно отмечался наградами на выставках и конкурсах. Он обладает многими полезными особенностями, выделяющими его среди продуктов аналогичного назначения.

Функциональная схема и основные компоненты Solstice Fire- Wall-1 представлены на рис. 4.4.

Центральным для системы FircWall-1 является модуль управления всем комплексом. С этим модулем работает администратор безопасности сети. Следует отмстить, что продуманность и удобство графического интерфейса модуля управления отмечалось во многих независимых обзорах, посвященных продуктам данного класса.

Функциональная схема и основные компоненты Solstice FireWall-1

Рис.4.4. Функциональная схема и основные компоненты Solstice FireWall-1.

Администратору безопасности сети для конфигурирования комплекса FireWall-1 необходимо выполнить следующий ряд действий:

  • - Определить объекты, участвующие в процессе обработки информации. Здесь имеются в виду пользователи и группы пользователей, компьютеры и их группы, маршрутизаторы и различные подсети локальной сети организации.
  • - Описать сетевые протоколы и сервисы, с которыми будут работать приложения. Впрочем, обычно достаточным оказывается набор из более чем 40 описаний, поставляемых с системой FireWall-1.
  • - Далее, с помощью введенных понятий описывается технология разграничения доступа в следующих терминах: «Группе пользователей А разрешен доступ к ресурсу Б с помощью сервиса или протокола С, но об этом необходимо сделать пометку в регистрационном журнале». Совокупность таких записей компилируется в исполнимую форму блоком управления и далее передается на исполнение в модули фильтрации.

Модули фильтрации могут располагаться на компьютерах - шлюзах или выделенных серверах — или в маршрутизаторах как часть конфигурационной информации. В настоящее время поддерживаются следующие два типа маршрутизаторов: Cisco IOS 9.x, 10.x, а также BayNetworks (Wcllfleet) OS v.8.

Модули фильтрации просматривают все пакеты, поступающие на сетевые интерфейсы, и, в зависимости от заданных правил, пропускают или отбрасывают эти пакеты, с соответствующей записью в регистрационном журнале. Следует отметить, что эти модули, работая непосредственно с драйверами сетевых интерфейсов, обрабатывают весь поток данных, располагая полной информацией о передаваемых пакетах.

Технологический процесс практической реализации стратегии безопасности организации с помощью программного пакета FireWall-1 представлен на рис. 4.5.

Па уровне 1 руководства разрабатываются и утверждаются правила стратегии безопасности организации.

После утверждения эти правила переводят на уровень подотдела компьютерной безопасности, который формирует структуру тина «откуда, куда и каким способом доступ разрешен или, наоборот, запрещен». Такие структуры легко переносятся в базы правил системы FireWall-1.

Далее, на основе этой базы правил, на уровне управления в Fire- Wall-1, формируются списки доступа для маршрутизаторов и сценарии работы фильтров на сетевых шлюзах. Списки и сценарии далее переносятся на физические компоненты сети, после чего правила стратегии безопасности «вступают в силу».

В процессе работы по уровню фильтрации пакетов на шлюзах и серверах генерируют записи обо всех событиях, которые им приказали отслеживать, а, также, запускают механизмы «тревоги», требующие от администратора немедленной реакции (на рис. этап 7).

Па основе анализа записей и событий, сделанных системой, подотдел компьютерной безопасности организации на этапах 8,9 и 10 может разрабатывать предложения по изменению и дальнейшему развитию стратегии безопасности.

При этом реализуются следующие правила:

  • 1. Из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например, по UNIX-паролю.
  • 2. Всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента.
  • 3. Из Интернет разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.
Технологический процесс практической реализации стратегии безопасности FireWall

Рис.4.5. Технологический процесс практической реализации стратегии безопасности FireWall.

Все эти правила естественным образом представляются средствами графического интерфейса Редактора Правил FireWall-1.

После загрузки правил, FireWall-1 для каждого пакета, передаваемого но сети, последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю.

Важным моментом является защита системы, на которой размещен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWall-1 все виды доступа к данной машине, или по крайней мерс строго ограничить список пользователей, которым эго разрешено, а также принять меры по физическому ограниче- нию доступа и по защите обычными средствами ОС UNIX.

В тех случаях, когда первоначальная конфигурация сети меняется, а вместе с ней меняется и стратегия безопасности, и организация решила установить у себя несколько общедоступных серверов для предоставления информационных услуг, например, серверы World Wide Web, FTP или другие информационные серверы, то их часто выделяют в свою собственную подсеть, имеющую выход в Интернет через шлюз (рис. 4.6).

Поскольку в предыдущем примере локальная сеть была уже защищена, то все, что нам надо сделать, это просто разрешить соответствующий доступ в выделенную подсеть. Это делается с помощью одной дополнительной строки в редакторе правил, которая здесь показана. Такая ситуация является типичной при изменении конфигурации FircWall-1. Обычно для этого требуется изменение одной или небольшого числа строк в наборе правил доступа, что, несомненно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры Fire- Wall-1.

Схема шлюза Интернет при использовании серверов

Рис.4.6. Схема шлюза Интернет при использовании серверов.

При работе с FTP необходима аутентификация пользователей.

При этом Solstice FireWall-1 позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации, FireWall-1 заменяет стандартные FTP и telnet демоны UNIX на собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задастся при описании пользователей и или групп пользователей и может проводиться следующими способами:

  • - использованием UNIX-пароля;
  • - применением программы S/Key генерации одноразовых пролей;
  • - применением карточки SecurlD с аппаратной генерацией одноразовых паролей.

Особую проблему для обеспечения безопасности представляют собой UDP-протоколы, входящие в состав набора TCP/IP. С одной стороны, на их основе создано множество приложений, а с другой стороны, все они являются протоколами «без состояния», что приводит к отсутствию различий между запросом и ответом, приходящим извне защищаемой сети. Для решения этой проблемы используются гибкие алгоритмы фильтрации UDP-пакетов. Так, пакет FircWall-1 решает эту проблему созданием контекста соединений поверх UDP сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов, поскольку их параметры хранятся в памяти FircWall-1.

Данная возможность присутствует в весьма немногих программах экранирования, распространяемых в настоящий момент.

Заметим также, что подобные механизмы задействуются для приложений, использующих RPC, и для FTP сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые FircWall-1 отслеживает аналогичным образом, запоминая необходимую информацию при запросах на таких сеансы и обеспечивая только «законный» обмен данными.

Данные возможности пакета Solstice FircWall-1 резко выделяют его среди всех остальных межсетевых экранов. Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Интернет.

Система Solstice FireWall-1 имеет собственный встроенный объектно-ориентированный язык программирования, применяемый для описания поведения модулей — Фильтров системы. Собственно говоря, результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти нс используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно.

FireWall-1 полностью прозрачен для конечных пользователей и обладает очень высокой скоростью работы. Фактически модули системы работают на сетевых скоростях передачи информации, что обусловлено компиляцией сгенерированных сценариев работы перед подключением их непосредственно в процесс фильтрации.

Компания Sun Microsystems приводит такие данные об эффективности работы Solstice FireWall-1. Модули фильтрации на Интернет- шлюзе, сконфигурированные типичным для многих организаций образом, работая на скоростях обычного Эгернет в 10 Мб/сек, забирают на себя не более 10% вычислительной мощности процессора SPARCslation 5,85 МГц или компьютера 486DX2-50 с операционной системой So- laris/x86.

Solstice FircWall-1 — эффективное средство защиты корпоративных сетей и их сегментов от внешних yipo3, а также от несанкционированных взаимодействий локальных пользователей с внешними системами.

Solstice FireWall-1 обеспечивает высокоуровневую поддержку политики безопасности организации но отношению ко всем протоколам семейства TCP/IP.

Solstice FireWall-1 характеризуется прозрачностью для легальных пользователей и высокой эффективностью.

По совокупность технических и стоимостных характеристик Solstice FircWall-1 занимает лидирующую позицию среди межсетевых экранов.

Проблему безопасности в Интернет составляют технологии пользования WWW-серверами. Ограничения доступа в WWW-серверах строят в двух вариантах:

  • - Ограничить доступ по IP адресам клиентских машин;
  • - Ввести идентификатор получателя с паролем для данного вида документов.

Такого рода ввод ограничений стал использоваться достаточно часто, так как многие стремятся в Интернет, чтобы использовать его коммуникации для доставки своей информации потребителю. С помощью такого рода механизмов по разграничению нрав доступа удобно производить саму рассылку информации, на получение которой существует договор. По первому варианту доступ к приватным документам можно разрешить, либо наоборот запретить, используя IP адреса конкретных машин или сеток, например:

  • 123.456.78.9
  • 123.456.79.

В этом случае доступ будет разрешен (или запрещен в зависимости от контекста) для машины с IP адресом 123.456.78.9 и для всех машин подсетей 123.456.79.

В варианте ограничения по идентификатору получателя доступ к приватным документам можно разрешить, либо наоборот запретить, используя присвоенное имя и пароль конкретному пользователю. Причем пароль в явном виде нигде не хранится.

Рассмотрим такой пример: Агентство печати предоставляет свою продукцию, только своим подписчикам, которые заключили договор и оплатили подписку. WWW-сервер находится в сети Интернет и общедоступен. В этом случае пользователь использует присвоенное ему имя и пароль.

Если он правильно написал свое имя и пароль, то он допускается до документа, в противном случае — получает сообщение.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >