Обеспечение информационной безопасности сетей

Обеспечение безопасности компьютерных систем и сетей (КСиС) возможно при помощи двух подходов: «фрагментарного» и комплексного.

«Фрагментарный» подход ориентирован на противодействие точно определенным угрозам при указанных условиях. Примерами такого подхода могут служить автономные средства шифрования, отдельные средства управления доступом, специализированные антивирусные программы и т.д. Достоинство данного подхода - высокая избирательность к определенному виду угроз.

Комплексный подход направлен на создание защищенной КС, в которой различные меры противодействия угрозам будут объединены в единый комплекс. Достоинством можно считать гарантию определенного уровня безопасности КС. Недостатки: ограничения свободы действий пользователей КС; сложность управления; восприимчивость к неточностям установки и настройки средств защиты. Комплексный подход используют для защиты КС, которые выполняют ответственные задачи или обрабатывают важную информацию. Крупные организации уделяют особое внимание безопасности информации, так как повреждение информации может нанести огромный материальный ущерб и организациям, и их клиентам.

Применение технологии межсетевых экранов в ЗАДАЧАХ ПРОЕКТИРОВАНИЯ ЗАЩИЩЕННЫХ ЛВС

Межсетевой экран (МЭ) - это специальный комплекс межсетевой защиты. Его также называют брандмауэром или Firewall. С использованием МЭ можно разделить сеть на несколько частей и при помощи набора правил определить условия прохождения данных через границу из одной части сети в другую. Обычно подобная граница устанавливается между локальной сетью предприятия и сетью Интернет.

Слово брандмауэр пришло из немецкого и обозначало перегородку в поезде, которая отделяла топку паровоза от пассажирского отделения.

Файерволом изначально являлась огнеупорная стена дома, которая препятствовала распространению огня между частями дома.

МЭ могут использоваться для защиты внутренней сети предприятия от «вторжений» как из сети Интернет, так и из корпоративной интрасети, к которой может быть подключено предприятие через свою локальную сеть.

Технологию МЭ можно считать одной из первых технологий защиты корпоративных сетей от угроз извне.

Классификация МЭ:

І.По функционированию на уровнях модели OSI:

  • - прикладной шлюз;
  • - сеансовый шлюз;
  • - пакетный фильтр;
  • - экспертный шлюз.

П.По используемой технологии:

  • - контроль состояния протокола;
  • - на основе модулей посредников.

Ш.По исполнению:

  • - программный;
  • - аппаратно-программный.

ІУ.По типу подключения:

  • - схема с защищаемым закрытым и не защищаемым открытым сегментом сети;
  • - схема единой защиты сети;
  • - схема с раздельной защитой открытого и закрытого сегментов сети.
  • 7.3.1. Фильтрация трафика МЭ

Фильтрация трафика состоит из выборочного пропуска информационных потоков через МЭ с возможными некоторыми преобразованиями. Фильтрация выполняется с помощью заранее занесенных в МЭ правил, которые соответствуют принятой политике безопасности (рис. 7.2).

Предназначение каждого из фильтров - трактовка единичных правил фильтрации посредством:

  • 1) анализа информации по критериям, которые даны в правилах, например по типу приложения, по адресу отправителя или получателя;
  • 2) принятия на основе данных правил какого-либо из нижеследующих решений:
    • - запрет передачи данных;
    • - обработка данных получателем и их возврат отправителю;
    • - передача данных на последующий фильтр, чтобы продолжить анализ;
    • - разрешение передачи данных, минуя последующие фильтры.
Структура межсетевого экрана

Рис. 7.2. Структура межсетевого экрана

Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно, правила фильтрации определяют перечень условий, по которым осуществляется:

  • - разрешение или запрещение дальнейшей передачи данных;
  • - выполнение дополнительных защитных функций.

В качестве критериев анализа информационного потока могут использоваться следующие параметры:

  • - служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;
  • - непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
  • - внешние характеристики потока информации, например временные, частотные характеристики, объем данных и т.д.

Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

7.3.2. Выполнение функций посредничества

Выполнение функций посредничества происходит при помощи специализированных программ, которые называются программами-посредниками или экранирующими агентами. Данные программы запрещают прямую передачу пакетов сообщений между внешней и внутренней сетью.

Функции, которые могут выполняться программами-посредниками при блокировке передачи пакетов:

  • - проверка подлинности передаваемых данных;
  • - разграничение доступа к ресурсам внешней или внутренней сетей;
  • - фильтрация и преобразование потока сообщений;
  • - аутентификация и идентификация пользователей;
  • - передача адресов внутренней сети для исходящих пакетов сообщений;
  • - кэширование данных, которые запрашиваются из внешней сети;
  • - регистрация событий, реакция на данные события, анализ зарегистрированной информации и генерация отчетов.
  • 7.3.3. Дополнительные возможности МЭ
  • 1. Аутентификация и идентификация пользователей. В возможность МЭ также может входить разрешение и запрет на допуск пользователей к ресурсам, которые разделяет МЭ. Наиболее надежным методом аутентификации, который получил широ кое распространение, является применение одноразовых паролей (например, технология SecurlD). Также надежно зарекомендовали себя и цифровые сертификаты, которые выдаются доверенными органами. В основном программы-посредники просят пользователя аутентифицироваться только в начале работы с МЭ. Дополнительная аутентификация во время сеанса работы с МЭ не требуется. На межсетевые экраны практично устанавливать программы или устройства усиленной аутентификации, потому что у них есть возможность централизовать управление доступом в сети. Если у МЭ отсутствуют меры усиленной аутентификации, то неаутентифицированный трафик приложений типа Telnet или FTP может напрямую проходить к внутренним системам в сети. У некоторых МЭ есть поддержка Kerberos. Практически все МЭ могут поддерживать несколько схем аутентификации, поэтому администратор сможет выбрать необходимую схему для своих условий.
  • 2. Трансляция сетевых адресов. Для проведения многих атак хакеру нужно знать адрес жертвы. Для сокрытия данных адресов и топологии всей сети МЭ осуществляют передачу внутренних сетевых адресов (Network Address Translation). Это применимо для всех пакетов, которые передаются из внутренней сети во внешнюю. Для данных пакетов происходит автоматическое преобразование /P-адресов компьютеров-отправителей в один «надежный» /P-адрес. Существуют два способа трансляции внутренних сетевых адресов - динамический и статический. При динамическом способе адрес дается узлу только при обращении к МЭ. После завершения соединения адрес становится свободным и доступен для работы другим узлам корпоративной сети. Другой случай - адрес узла навсегда привязывается к единственному адресу МЭ, передающему все исходящие пакеты. /P-адрес МЭ остается единственным активным /P-адресом, попадающим во внешнюю сеть. Прямого контакта между внутренней и внешней сетью не происходит, т.к. исходящие пакеты внутренней сети отправляются МЭ. Внешние пользователи не видят топологию внутренней сети, поэтому НСД осуществить сложнее. Трансляция адресов, помимо повышения безопасности, позволяет создать свою систему адресации внутри сети, которая не будет согласована с адресацией внешней сети. Это способствует эффективному решению проблемы расширения адресного пространства внутренней сети и нехватки адресов во внешней сети.
  • 3. Администрирование, регистрация событий и генерация отчетов. Также необходимыми функциями МЭ являются регистрация событий, реагирование на задаваемые события, анализ зарегистрированной информации и составление отчетов. У МЭ есть возможность регистрации всех действий, которые он фиксирует. Такими действиями являются не только блокировка или пропуск пакетов сети, но и изменение правил разграничения доступа администратором безопасности и другие действия. Подобная регистрация разрешает обратиться к создаваемым журналам, когда это необходимо.
  • 7.3.4. Особенности функционирования МЭ на различных уровнях модели OSI

Функции защиты, которые выполняются на различных уровнях модели, имеют значительные отличия. В связи с этим комплексный МЭ можно изобразить в виде множества неделимых экранов, ориентированных на отдельный уровень эталонной модели. Комплексный МЭ в основном функционирует на прикладном, сеансовом и сетевом уровнях эталонной модели OSI. Поэтому различают такие неделимые МЭ, как на рис. 7.3:

  • - прикладной шлюз (экранирующий шлюз);
  • - сеансовый шлюз (экранирующий транспорт);
  • - экранирующий маршрутизатор.
Типы межсетевых экранов, функционирующих на отдельных уровнях модели OSI

Рис. 7.3. Типы межсетевых экранов, функционирующих на отдельных уровнях модели OSI

Прикладной или же экранирующий шлюз работает на прикладном уровне и на уровне представления модели OSI и предоставляет надежную защиту взаимодействий между сетями. Защитные функции и прикладного, и сеансового шлюзов являются функциями посредничества. Но у прикладного шлюза больше функций защиты, к которым относятся:

  • - аутентификация и идентификация пользователей во время попытки установить соединения через МЭ;
  • - проверка подлинности передаваемой через шлюз информации;
  • - регистрация событий, реагирование на задаваемые события, анализ зарегистрированной информации и генерация отчетов;
  • - фильтрация и изменение потока сообщений, к примеру, прозрачное шифрование информации или динамический поиск вирусов;
  • - разграничение доступа к ресурсам внутренней и внешней сетей;
  • - кэширование данных, которые запрашиваются из внешней сети.

Т.к. функции шлюза прикладного уровня являются функциями посредничества, значит, этот шлюз является компьютером, на котором работают программные посредники или экранирующие агенты - по одному для различных обслуживаемых прикладных протоколов (HTTP, SMTP, FTP, NNTP и пр.). Программный посредник (application proxy) каждой службы TCP/IP выполняет обработку сообщений и осуществляет защиту, которая относится только к данной службе.

Достоинства шлюза прикладного уровня:

  • - достигается высокий уровень защиты сети благодаря выполнению большого количества посреднических функций;
  • - благодаря защите на уровне приложений возможно значительное количество дополнительных проверок, что уменьшит вероятность успешных атак, которые возможны из-за недостатков ПО;
  • - при отказе шлюза будет заблокирована сквозная передача пакетов между МЭ, поэтому безопасность защищаемой сети не снизится.

Недостатками данного шлюза являются:

  • - отсутствие «прозрачности» для пользователей и снижение пропускной способности при реализации взаимодействий между сетями;
  • - высокие требования к ресурсоемкое™ и производительности компьютерной платформы.

Однако у МЭ есть и недостатки, а именно ограничения в использовании МЭ и угрозы их безопасности. Основные из них:

  • - возможное ограничение пропускной способности. Так как все соединения должны передаваться и иногда обрабатываться МЭ, они могут являться узким местом сети;
  • - отсутствие встроенных механизмов защиты от вирусов. Традиционные МЭ не защищают ПК от зараженных вирусами программ, скачанных из сети Интернет или электронных писем, так как они могут быть сжаты или зашифрованы большим количеством способов;
  • - отсутствие достаточной защиты от получаемого из сети опасного содержимого (управляющие элементы ActiveX, апплеты Java, сценарии JavaScript и т.д.). Мобильный код можно использовать для проведения атак, так как он может быть реализован в виде:
    • а) вируса, вторгающегося в ИС и уничтожающего все данные на локальных дисках;
    • б) агента - программы, которая перехватывает конфиденциальные файлы (пароли, номера кредитных карт и т.д.);
  • - некомпетентность администраторов и ошибки пользователей;
  • - МЭ только блокируют атаки, которые уже находятся в процессе осуществления. Необходимо, чтобы МЭ не только бы блокировали атаки, но и предупреждали их, находили «слабые места» в системе защиты безопасности и рекомендовали меры по их устранению.
 
Посмотреть оригинал
< Пред   СОДЕРЖАНИЕ   ОРИГИНАЛ   След >