Межсетевой экран
Барсуков Вячеслав Сергеевич,
кандидат технических наук
МЕЖСЕТЕВЫЕ ЭКРАНЫ ОСВАИВАЮТ РОССИЙСКИЙ РЫНОК
С развитием рыночных отношений информация всё более и более приобретает качества товара, то есть её можно купить, продать, передать и, к сожалению, украсть.
Поэтому проблема обеспечения безопасности информации с каждым годом становится всё более актуальной.
Одним из возможных направлений решения данной проблемы является использование межсетевых экранов.
В статье на основе анализа российского рынка рассмотрены особенности и возможности использования наиболее эффективного в настоящее время и динамично развивающегося средства сетевой защиты — межсетевых экранов.
Современные технологии сетевой защиты являются одним из наиболее динамичных сегментов современного рынка обеспечения безопасности.
Средства сетевой защиты настолько стремительно развиваются, что в настоящее время общепринятая терминология в данном направлении ещё окончательно не установилась.
Эти средства защиты в литературе и средствах массовой информации фигурируют как firewall, брандмауэры и даже информационные мембраны.
Но наиболее часто используется термин “межсетевые экраны” (МЭ).
В общем случае, для обеспечения сетевой защиты между двумя множествами информационных систем (ИС) ставится экран или информационная мембрана, которые являются средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве.
В этом смысле МЭ можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или её заблокировать.
Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы.
Обычно экранирующие системы делаются несимметричными.
Для экранов определяются понятия “внутри” и “снаружи”, причём, в задачу экрана входит защита внутренней сети от потенциально враждебного окружения.
Кроме того, МЭ может использоваться в качестве корпоративной открытой части сети, видимой со стороны Internet.
Так, например, во многих организациях МЭ используются для хранения данных с открытым доступом, как, например, информации о продуктах и услугах, файлах из баз FTP, сообщений об ошибках и так далее.
Современные требования к межсетевым экранам
- Основное требование — это обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.
- Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.
- Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.
- Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.
- Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.
- Система управления экранами должна иметь возможность централизованно обеспечивать проведение единой политики безопасности для удаленных филиалов.
- Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.
Классификация анализируемых межсетевых экранов
Как известно, для проведения сравнительного анализа необходимо, в первую очередь, провести классификацию анализируемых средств.
Поскольку межсетевые экраны ориентированы на защиту информации в открытых сетях типа Интернет/Интранет, основой подхода служит семиуровневая модель ISO/OSI (Международной организации по стандартизации).
В соответствии с этой моделью МЭ классифицируются по тому, на каком уровне производится фильтрация: канальном, сетевом, транспортном, сеансовом или прикладном.
Поэтому можно говорить об экранирующих концентраторах (канальный уровень), маршрутизаторах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).
Необходимо отметить, что в настоящее время наряду с одноуровневыми межсетевыми экранами все большую популярность приобретают комплексные экраны, охватывающие уровни от сетевого до прикладного, поскольку подобные продукты соединяют в себе лучшие свойства одноуровневых экранов разных видов.
На схеме 1 представлена структура информационного экранирования между двумя системами при использовании эталонной модели ISO/OSI.
Особенности современных межсетевых экранов
Результаты более тонкого сравнительного анализа различных типов межсетевых экранов приведены в табл. 1.
Таблица 1 Особенности межсетевых экранов
|
Тип межсетевого экрана |
Принцип работы |
Достоинства |
Недостатки |
| Экранирующие маршрутизаторы (брандмауэры с фильтрацией пакетов) | Фильтрация пакетов осуществляется в соответствии с IP- заголовком пакета по критерию: то, что явно не запрещено, является разрешенным. Анализируемой информацией является:- адрес отправителя; — адрес получателя; — информация о приложении или протоколе; — номер порта источника; — номер порта получателя. |
· Низкая стоимость · Минимальное влияние на производительность сети · Простота конфигурации и установки · Прозрачность для программного обеспечения |
· Уязвимость механизма защиты для различных видов сетевых атак, таких как подделка исходных адресов пакетов, несанкционированное изменение содержимого пакетов · Отсутствие в ряде продуктов поддержки журнала регистрации событий и средств аудита |
| Экранирующий шлюз (ЭШ) | Информационный обмен происходит через хост-бастион, установленный между внутренней и внешней сетями, который принимает решения о возможности маршрутизации трафика. ЭШ бывают двух типов: сеансового и прикладного уровня | · Отсутствие сквозного прохождения пакетов в случае сбоев · Усиленные, по сравнению с ЭМ, механизмы защиты, позволяющие использовать дополнительные средства аутентификации, как программные, так и аппаратные · Использование процедуры трансляции адресов, позволяющей скрытие адресов хостов закрытой сети |
· Использование только мощных хостов-бастионов из-за большого объема вычислений · Отсутствие “прозрачности” из-за того, что ЭШ вносят задержки в процесс передачи и требуют от пользователя процедур аутентификации |
| Экранирующие подсети (ЭП) | Создается изолированная подсеть, расположенная между внутренней и открытой сетями. Сообщения из открытой сети обрабатываются прикладным шлюзом и попадают в ЭП. После успешного прохождения контроля в ЭП они попадают в закрытую сеть. Запросы из закрытой сети обрабатываются через ЭП аналогично. Фильтрование осуществляется из принципа: то, что не разрешено, является запрещенным | · Возможность скрытия адреса внутренней сети · Увеличение надежности защиты · Возможность создания большого трафика между внутренней и открытой сетями при использовании нескольких хостов-бастионов в ЭП · “прозрачность” работы для любых сетевых служб и любой структуры внутренней сети |
· Использование только мощных хостов-бастионов из-за большого объема вычислений · Техническое обслуживание (установка, конфигурирование) может осуществляться только специалистами |
Как видно из табл.1 межсетевой экран является наиболее распространенным средством усиления традиционных средств защиты от несанкционированного доступа и используется для обеспечения защиты данных при организации межсетевого взаимодействия.
Конкретные реализации МЭ в значительной степени зависят от используемых вычислительных платформ, но, тем не менее, все системы этого класса используют два механизма, один из которых обеспечивает блокировку сетевого трафика, а второй, наоборот, разрешает обмен данными.
При этом некоторые версии МЭ делают упор на блокировании нежелательного трафика, а другие — на регламентировании разрешенного межмашинного обмена.
Типовые варианты включения межсетевых экранов
Сравнительные характеристики современных межсетевых экранов
По результатам анализа российского рынка в табл.2 приведены сравнительные характеристики современных межсетевых экранов.
Таблица 2. Сравнительные характеристики современных межсетевых экранов
| Продукт | Тип | Платформа | Компания | Особенности |
| Solstice Firewall — 1 | Комплексный экран | SunOS, UNIX, Solaris | Sun Microsystems | Реализует политику безопасности: все данные, не имеющие явного разрешения — отбрасываются.В процессе работы фильтры пакетов на шлюзах и серверах генерируют записи обо всех событиях, запускают механизмы тревоги, требующие реакции администратора. |
| Black Hole | Экранирующийшлюз прикладного уровня | Различные аппаратные платформы | Milkyway Networks Corporation | Не использует механизм фильтрации пакетов. Принцип действия: то, что явно не разрешено, является запрещенным. Регистрирует все действия сервера, предупреждает о возможных нарушениях. Может использоваться как двунаправленный шлюз. |
| BorderWare Firewall Server | Экранирующий шлюз прикладного уровня | UNIX, Windows, DOS | Secure Computing Corporation | Программное средство защиты, обеспечивающее работу под управлением ОС (собственная разработка). Позволяет фиксировать адреса, время, попытки, используемый протокол. |
| ALF (Application Layer Filter) | Экранирующий шлюз прикладного уровня | BSDI | SOS Corporation | Может фильтровать IP-пакеты по адресам, диапазонам портов, протоколам и интерфейсам. Приходящий пакет может пропустить, ликвидировать или отослать по его адресу. |
| ANS InterLock Service | Экранирующий шлюз прикладного уровня | UNIX | ANS CO + RE Systems | Использует программы-посредники для служб Telnet, FTR, HTTR. Поддерживает шифрование соединения точка-точка, причем, в качестве средств аутентификации могут использоваться аппаратные. |
| Brimstone | Комплексный экран | SunOS, BSDI на Intel, IRIX на INDY и Challenge | SOS Corporation | Для анализа использует время, дату, адрес, порт и т.д. Включает программы-посредники прикладного уровня для служб Telnet, FTR, SMTP, X11, HTTP, Gopher и др. Поддерживает большинство пакетов аппаратной аутентификации. |
| Centri | Экранирующий шлюз прикладного уровня | SunOS, BSDI, Solaris, HP- UX, AIX | Global Internet | Закрытая сеть видится извне как единственный хост. Имеет программы-посредники для служб: электронной почты, протокола FTR и др. Регистрирует все действия сервера, предупреждает о нарушениях. |
| CONNECT | Экранирующий шлюз прикладного уровня | UNIX | Sterling Software | Является программным продуктом, обеспечивающим защиту информации от НСД при соединении закрытой и открытой сетей. Позволяет регистрировать все действия сервера и предупреждать о возможных нарушениях. |
| CyberGuard Firewall | Двунаправленный шлюз комплексного типа (хост-бастион как фильтр, шлюз прикладного уровня или комплексный экран) | Платформа RISC, OS UNIX | Harris Computer Systems Corporation | Использованы комплексные решения, включающие механизмы защиты ОС UNIX и интегрированные сетевые средства, предназначенные для RISC-компьютеров. Для анализа используется исходный адрес, адрес назначения и др. |
| Digital Firewallfor UNIX | Комплексный экран | Digital Alpha | Digital Equipment Corporation | Предустанавливается на системы Digital Alpha и представляет возможности экранирующего фильтра и шлюза прикладного уровня. |
| Eagle Enterprise | Экранирующий шлюз прикладного уровня | Реализация технологии Virtual Private Networking | Raptor Systems | Включает в себя программы-посредники прикладного уровня для служб FTR, HTTP, Telnet. Регистрирует все действия сервера и предурпеждает о нарушениях. |
| Firewall IRX Router | Экранирующий маршрутизатор | DOS, MS-Windows | Livingston | Позволяет произвести анализ сети в целях оптимизации сетевого трафика, безопасно связать локальную сеть с удаленными сетями на основе открытых сетей. |
| Firewall-1 | Комплексный межсетевой экран | Intel x86, Sun Sparc и др. | Check Point Software Technologies | Обеспечивает защиту от хакерских нападений типа address-spoofing (подделка адресов пакетов) и представляет комбинацию средств защиты сетевого и прикладного уровней. |
| Firewall-1/ VPN-1 | Комплексный межсетевой экран | Intel x86, Sun Sparc и др. | Check Point Software Technologies | Представляет открытый интерфейс приложения OPSEC API. Обеспечивает:- выявление компьютерных вирусов; — сканирование URL; — блокирование Java и ActiveX; — поддержку протокола SMTP; — фильтрацию HTTP; — обработку протокола FTP |
| TIS Firewall Toolkit | Набор программ для создания и управления системами firewall | BSD UNIX | Trusted Information Systems | Распространяется в исходном коде, все модули написаны на языке С. Набор предназначен для программистов- экспертов. |
| Gauntlet Internet Firewall | Экранирующий шлюз прикладного уровня | UNIX, Secured BSD | Trusted Information Systems | Поддерживает сервисы: электронная почта, Web-сервис, терминальные сервисы и др. Возможности: шифрование на сетевом уровне, защита от хакерских нападений типа address-spoofing, защита от попыток изменения маршрутизации. |
| FireWall/Plus | Мульти-протокольный межсетевой экран | Различные аппаратные платформы | Network-1 Software and Technology | Контроль реализован на уровне кадров, пакетов, каналов и приложений (для каждого протокола). Позволяет работать с более чем 390 протоколами, дает возможность описать любые условия фильтрации для последующей работы. |
| Застава-Джет | Комплексный межсетевой экран | SPARC, Solaris, UNIX | Jet Infosystems | Реализует политику безопасности: все данные, не имеющие явного разрешения — отбрасываются.Имеет российский сертификат по второму классу защиты |
Как видно из табл. 2, в настоящее время на российском рынке межсетевых экранов представлена обширная номенклатура технических и программных средств сетевой защиты с достаточно широким диапазоном технических характеристик.
По существу, любая организация, выбирающая межсетевой экран, может найти оптимальное решение в доступном для неё ценовом диапазоне и с приемлемыми характеристиками.
Практическая реализация современного межсетевого экрана
Ограничения журнальной статьи не позволяют подробно остановиться на всех типах МЭ, представленных в табл.2.
Поэтому в качестве примера более подробно рассмотрим возможности использования мультипротокольного межсетевого экрана FireWall/Plus.
Межсетевой экран FireWall/Plus предназначен для решения трех основных задач:
- защита ресурсов корпоративных сетей от атак со стороны Internet;
- реализация мер безопасности (для выделенного сервера/группы серверов);
- разделение сегментов внутренней сети для предотвращения попыток НСД со стороны внутреннего пользователя.
Существенной особенностью данного МЭ является возможность работы с более 390 протоколами различных уровней.
Благодаря мощному встроенному языку написания фильтров имеется возможность описать любые условия фильтрации.
Такая особенность позволяет более эффективно решать задачи разделения сегментов корпоративной сети, в которой используются продукты, работающие со стеками TCP/IP, IPX, DECNet протоколов.
Механизм описания протоколов прикладного уровня позволяет создать специфические схемы разграничения доступа пользователей. FireWall/Plus обеспечивает защиту при работе с Web, FTR, URL, приложениями ActiveX и Java, а также с электронной почтой.
Межсетевой экран FireWall/Plus обеспечивает обнаружение и борьбу со следующими атаками:
- Атаки на аутентификацию сервера;
- атаки на протокол finger (с внешней и внутренней стороны);
- определение номера начального пакета соединения TCP;
- незаконная переадресация;
- атаки на DNS-доступ;
- атаки на FTR-аутентификацию;
- атаки на несанкционированную пересылку файлов;
- атаки на удаленную перезагрузку;
- подмена IP-адресов;
- спуфинг МАС-адреса;
- атаки на доступность (шторм запросов);
- атаки на резервный порт сервера;
- атаки с помощью серверов удаленного доступа;
- атаки на анонимный FTR-доступ.
Такое количество блокируемых атак определяется прежде всего тем, что FireWall/Plus поддерживает три метода преобразования сетевых адресов: один к одному; один ко многим; многие ко многим.
Ему не нужен собственный IP-адрес.
Эта особенность делает его полностью прозрачным в сети и практически неуязвимым при различных атаках.
Рассмотренные возможности межсетевого экрана FireWall/Plus, являющегося представителем современного поколения МЭ, показывают, насколько динамично развивается данное направление средств защиты.
Сертификация межсетевых экранов
В настоящее время Гостехкомиссией России принят рабочий документ “Средства вычислительной техники. Межсетевые экраны.
Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации”.
Этот документ позволяет не только упорядочить требования по защите информации, предъявляемые к межсетевым экранам, но и сопоставлять защитные свойства изделий этого вида.
С учетом перспектив в области сертификации средств защиты информации под руководством Гостехкомиссии России Центром безопасности информации (г. Юбилейный Московской области) организована разработка типовой методики по проведению сертификационных испытаний межсетевых экранов.
Эта методика прошла испытания в ряде лабораторий, аккредитованных в системе сертификации Гостехкомиссии России.
В настоящее время на российском рынке уже появились сертифицированные межсетевые экраны высокого класса защищенности, в том числе “Застава-Джет” (2 класс), “Застава” и “AltaVista Firewall 97” (3 класс защищенности).
Эти изделия обеспечивают надежную защиту информационных ресурсов от несанкционированного доступа.
Выводы
Таким образом, проведенный анализ средств сетевой защиты, представленных на российском рынке, показал, что в настоящее время межсетевые экраны являются достаточно эффективным средством защиты корпоративных сетей и их сегментов от внешних угроз, а также от несанкционированных взаимодействий локальных пользователей с внешними системами.
Они обеспечивают высокоуровневую поддержку политики безопасности организации по отношению ко всем протоколам семейства TCP/IP. Кроме того, современные межсетевые экраны характеризуются прозрачностью для легальных пользователей, большим быстродействием и высокой эффективностью.
Основной тенденцией развития средств сетевой защиты является интеграция, в частности, межсетевых экранов с криптографическими и антивирусными средствами, а также средствами анализа уровня обеспечения безопасности.
Однако, наряду с достоинствами, присущими межсетевым экранам, не следует забывать, что в настоящее время МЭ хотя и является наиболее проработанным средством защиты в сетях Интернет/Интранет, но не решает всего комплекса задач по обеспечению безопасности в открытых сетях.
Поэтому при решении задач, связанных с обеспечением информационной безопасности, по большому счету, необходимо всегда использовать комплексный подход, включающий в себя не только технические средства, но и организационные меры защиты информации.