Управление информационной безопастностью в сетях предприятий. Статья обновлена в 2023 году.

Управление информационной безопастностью в сетях предприятий

Управление информационной безопастностью в сетях предприятий

Технологии Интернет изменили не только подходы организаций к ведению бизнеса, но и их отношение к обеспечению сетевой безопасности. Границы корпоративных сетей теперь не определяются установленным оборудованием. Сейчас эти границы определяются в основном той политикой безопасности, которой придерживаются участники информационного обмена. Для того чтобы такая политика безопасности была эффективной, она должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и ее партнеров

Комплексное решение в области защиты информации в компьютерных сетях должно как минимум обеспечивать следующие функции:

• аутентифицировать пользователей компьютерной сети, используя надежные и хорошо зарекомендовавшие себя методы до того, как им будет предоставлен доступ к ресурсам сети;

• предоставлять выборочный доступ для аутентифицированных пользователей к ресурсам сети;

• обеспечивать защищенность и целостность обмена информацией через открытые сети типа Internet;

• обеспечивать проверку содержимого потоков данных, проходящих через шлюзовые системы, на предмет обнаружения и предотвращения попадания в сеть недопустимой информации. Обезвреживать компьютерные вирусы и вредоносные аплеты Java/ActiveX;

• обнаруживать и предотвращать атаки злоумышленников в реальном времени;

• маскировать внутреннее адресное пространство предприятия и экономно использовать выделенное адресное пространство глобальной сети;

• обеспечивать возможность построения высоконадежных комплексов для задач, где необходима бесперебойная работа всей компьютерной сети;

• обеспечивать сбор и обработку детальной информации о любых попытках установки и успешных сетевых соединениях.

Ведущий поставщик решений по защите IP сетей, основанных на представлении политики безопасности в виде единых правил, компания Check Point Software Technologies Ltd. - непосредственно для решения приведенных задач предлагает лидирующий набор средств безопасности FireWall-l и семейство решений VPN, VPN-Г", которое является единственным в отрасли решением, интегрированным с системой управления полосой пропускания.

Широкий набор основных и сервисных функций базовых продуктов FireWall1/VPN-1 дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших.

В дополнение к основным элементам защиты Check Point разработала концепцию "Открытой платформы безопасного взаимодействия предприятий" (OPSEC - Open Platform for Secure Enterprise Connectivity), которая может служить основой для объединения различных технологий защиты информации и создания единой комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе FireWall-l /VPN-1. Только решение от Check Point позволяет организации создавать единую политику безопасности для всех этих систем. Подход компании дает возможность распространять политику безопасности на все элементы защиты сети предприятия и обеспечивает удаленный и централизованный контроль за функционированием входящих в нее систем, управление ямии конфигурирование.

В основе решений Check Point используется разработанная ею и запатентованная технология инспекции пакетов с учетом состояния протокола (Stateful inspection), которая на сегодняшний день является передовым методом контроля трафика. Она позволяет контролировать данные вплоть до уровня приложения, не нуждаясь при этом в отдельном приложении-посреднике или proxy ддд каждого защищаемого протокола или сетевЙвЙЦжбы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро и легко адаптиро- ] вать систему под новые требования. 1

Котроль доступа -базовый элемент защиты

Технологии Интернет позволяют создать экономически выгодную глобальную коммуникационную инфраструктуру, которая обеспечит доступ в сеть в мировых масштабах работникам предприятия, покупателям, производителям оборудования, поставщикам и ключевым деловым партнерам. Это существенно расширяет возможности обмена совместно используемой информацией, однако увеличивает риск подвергнуть свою корпоративную сеть новым опасностям и угрозам.

Как организация может противостоять неавторизованному доступу и защитить свои ресурсы и информацию? Контроль доступа фундаментальный элемент любой политики безопасности, непосредственно ориентированный на решение этой задачи.

Какой информацией обмениваются сети предприятия?

Разграничение доступа защищает организацию от потенциальных угроз благодаря четкой спецификации и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничные шлюзы сети предприятия. Ключевой особенностью устройств, обеспечивающих реальный контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения, как правило, не могут обрабатывать трафик UDP и , тем более, динамические протоколы.

Средства защиты сетей второго поколения, основанные на использовании приложений посредников (proxy), зачастую требуют очень мощных компьютеров и достаточно медленно адаптируются к новым сетевым службам Интернет, которые появляются регулярно. В противовес этому технология stateful inspection, реализованная в Check Point FireWall-l/VPN-I, дает шлюзу полную информацию о коммуникациях. Это наряду с объектноориентированным подходом в описании сетевых ресурсов и сервисов позволяет быстро и легко адаптировать систему к новым услугам Интернет. FireWall-l/VPN-I предоставляет исчерпывающие возможности по контролю доступа для более чем 160 предопределенных сервисов Интернет и имеет средства для удобного специфицирования новых сервисов пользователя.

В дополнение к перечисленным возможностям FireWall-l/VPN-I позволяет регулиювать доступ к ресурсам сети, учитывая время. Это дает возможность существенно детализировать процессы работы с ресурсами сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться минуты, часы, дни месяца, дни недели, месяц, год). К примеру, организация решает ограничить доступ в Интернет для просмотра Web в рабочее время и, соответственно, разрешить в нерабочие часы. Другой пример - запретить доступ к критическим серверам на время проведения полного сохранения информации серверов.

Создание политики безопасности

Процесс описания правил разграничения доступа в такой хорошо спроектированной системе, как Check Point FireWall-l/VPN-I, достаточно прост и очевиден. Все аспекты политики информационной безопасности организации могут быть специфицированы с использованием графического интерфейса FireWalll/VPN-I, который неоднократно завоевывал различные награды.

В нем при описании элементов сети применяется объектно-ориентированный подход. Созданный объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов и сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие элементы обеспечения информационной безопасности оно должно распространяться. По умолчанию правила действуют на всех шлюзах с установленными FireWall-l или VPN-1. Элементы защиты могут быть развернуты на различных платформах, включая UNIX (Solaris, HP-UX, AIX) и NT, а также различное межсетевое оборудование OPSEC партнеров компании Check Point.

Уникальное преимущество Check Point FireWall-l/VPN-I - это возможность создания единой политики безопасности для всего предприятия в целом. После этого FireWalll/VPN-I проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети,

Распределенный доступ

Архитектура FireWall-l/VPN-I позволяет беспрепятственно наращивать возможности системы по мере возрастания потребностей организации во внедрении различных элементов информационной безопасности. С другой стороны, административные функции FireWall1 /VPN-1 также ориентированы на многопользовательский доступ и позволяют предприятию разграничить функции администраторов системы безопасности. После авторизации администратор системы FireWall-l/VPN-I наследует те права, которые установил администратор безопасности для конкретного FireWall-l /VPN-1 и которые определяются редактором правил. Это позволяет администрировать несколько систем FireWall-l/VPN-I с одного рабочего места одновременно.

FireWall-l/VPN-I поддерживает различные уровни административного доступа:
- Read/Write: полный доступ ко всем функциональным возможностям административных средств;
- User Edit: возможность изменять только учетные записи пользователей, остальные возможности ограничены правами на чтение;
- Read Only: доступ к политике безопасности и статистике только по чтению;
- Monitor Only: доступ к чтению только средств отображения статистики.

Элементы защиты от несанкционированного доступа:

- IP Spoofing - способ воздействия на элементы сетевой инфраструктуры с целью получения неавторизованного доступа. Для этого взломщик подменяет свои IP-адреса в посылаемых пакетах с целью сделать их похожими на пакеты более привилегированного источника. Например, пакеты, приходящие из сети Internet, могут выглядеть как полученные из локальной сети. FireWall-l/VPN-I защищает от подобного рода воздействий, легко распознает такие попытки и незамедлительно оповещает о них оператора безопасности.
- Denial of Service Attack - использует слабости реализации TCP протокола в конкретных системах. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/АСК-подтверждеиием, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. После этого клиент посылает уведомление о начале передачи данных - пакет, в TCP заголовке которого установлен только флаг АСК. Если адрес клиента подменен (spoofed), например, на несуществующий в Internet, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться до тех пор, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак, приводящих, как правило, к невозможности операционной системы атакуемого компьютера обрабатывать дальнейшие запросы на соединения, а иногда и к худшим последствиям.

Решения, основанные на применении программ-посредников (proxy), сами по себе не в состоянии защитить от такого вида атак. Поэтому шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры также не в состоянии защитить от подобного рода атак, так как они не имеют необходимой информации о состоянии соединений и не могут проводить инспекцию пакетов с учетом этого состояния. FireWall-l/VPN-I обеспечивает защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния соединений.- Ping of Death - практически каждая операционная система, а также некоторые маршрутизаторы имеют различные ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление этих ограничений часто сопряжено с появлением новых видов атак. Так, большинство ОС чувствительны к PING (1СМР), размер поля данных которых больше 65 508 байт. В результате ICMP-пакеты после добавления необходимых заголовков становятся больше 64k (длина заголовка составляет 28 байт) и, как правило, не могут безошибочно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок компьютеров.

FireWall-l/VPN-I, обладая механизмом Stateful Inspection, осуществляет защиту от таких атак.

Примеры методов защиты:

1. Сокрытие шлюза. В нормальных условиях любой пользователь корпоративной сети потенциально может получить доступ к шлюзу с FireWall. Этой ситуации необходимо избегать, для чего следует скрыть шлюзовое устройство. Check Point FireWall-l/VPN-I позволяет сделать это путем добавления одного простого правила в политику безопасности. Сокрытие шлюза, таким образом, предотвращает различные попытки взаимодействия любого пользователя или приложения со шлюзом безопасности и делает последний невидимым. Исключение составляют только администраторы системы безопасности.

2. Применение механизмов Трансляции Сетевых Адресов позволяет полностью скрыть или замаскировать внутреннюю сетевую структуру.

3. Установка Демилитаризованной Зоны подразумевает выделение общедоступных ресурсов сети в специальные сегменты, доступ к которым контролируется межсетевым экраном. Это позволяет обезопасить внутреннюю сеть предприятия от атак даже в том случае, если злоумышленник воспользуется каким-либо общедоступным сервером в качестве плацдарма для нападения. К сожалению, такая вероятность существует, так как не всегда можно гарантировать, что используемое на этих серверах программное обеспечение свободно от ошибок, закладок или что администратор сервера не допустил оплошности при его настройке или проектировании. Установка таких серверов общего доступа перед межсетевым экраном вообще без защиты также нецелесообразна, так как это существенно повышает риск внедрения злоумышленников.

Благодаря практически полному отсутствию ограничений на количество поддерживаемых элементами FireWall-l/VPN^I сетевых интерфейсов, возможна реализация Распределенной Демилитаризованной Зоны. В этом случае распределение по отдельным сетевым интерфейсам общедоступных серверов гарантирует устойчивость отдельных серверов к атакам даже в случае наличия ошибки в конфигурации или закладки в программном обеспечении одного из серверов. В случае успеха атаки на один из серверов, доступ ко всем остальным все равно будет защищен модулем FireWalM/VPN-I.

Расширенные возможности сбора статистики и генерация предупреждений

Система FireWall-l/VPN-I обеспечивает сбор детальной информации о каждом сетевом сеансе. Туда включается информация о пользователе, сетевом сервисе и адресате, продолжительности сеанса, времени его начала и многое другое. анную статистику можно в дальнейшем использовать для интеллектуальной обработки, для чего Check Point предоставляет специальный интерфейс экспорта статистики.

Помимо этого, в FireWall-l/VPN-I администратор системы безопасности может, используя то же средство просмотра и анализа статистики, отслеживать активные соединения через модули межсетевых экранов и VPN. Эта статистика в реальном времени обрабатывается и предоставляется оператору так же, как и обычные записи. Для последних можно использовать те же механизмы отбора событий, как и при работе с обычной статистикой. При этом использование опции сбора дополнительной информации о соединениях обеспечивает непрерывное обновление данных интегральной статистики, и администратор безопасности может отслеживать не только факт наличия соединения, но и интенсивность информационного обмена по нему в реальном времени.

Система FireWall-l/VPN-I включает в себя множество различных вариантов уведомления операторов: от электронной почты до посылки SNMP-исключений (traps) для интеграции с платформами сетевого управления типа HP OpenView, SunNet Manager, IBM NetView 6000 и др. Дополнительно предусмотрена возможность создания собственных вариантов обработки ситуаций, требующих уведомления, что позволяет сопрягать систему защиты с пэйджинговыми службами или специальными системами быстрого реагирования.

Аутентификация пользователей.

Одной из важнейших задач системы защиты информации в сетях является установление подлинности пользователей, работающих в ней, и обеспечение им соответствующих привилегий доступа. Check Point FireWalll/VPN-I обеспечивает удаленным пользователям и пользователям, подключающимся к сети по коммутируемым линиям, защищенный доступ к сетевым ресурсам организации с установлением их подлинности при помощи различных схем ее проверки.

Пользователь не будет обладать правами доступа до тех пор, пока он не пройдет успешную аутентификацию, которая будет проведена надежным методом. Для многих реализуемых схем не требуется проводить какие-либо модификации или устанавливать что-либо на компьютер пользователя или серверы.

Как и все средства системы FireWalll/VPN-I, элементы, обеспечивающие установление подлинности пользователей, полностью интегрированы в систему работы с политикой безопасности масштаба предприятия и, соответственно, могут централизованно управляться посредством графического интерфейса администратора безопасности. Система сбора и обработки статистики также включает в общий журнал статистики события установления подлинности пользователей.

Система FireWall-l/VPN-I имеет три основных варианта использования аутентификации пользователей, для которых приняты следующие названия:
1. Аутентификация пользователя.
2. Аутентификация клиента.
3. Прозрачная аутентификация сессий.

Аутентификация пользователя

Это прозрачный метод установления подлинности пользователя системы FireWalll/VPN-I, который предоставляет возможность определять привилегии, доступа каждого пользователя в отдельности, даже .если он осуществляется с многопользовательский ЭВМ. Данный метод реализуется для таких протоколов, как FTP, TELNET, HTTP и RLOGIN, и не зависит от IP-адреса компьютера клиента. Как правило, его используют в том случае, если пользователь вынужден работать с серверами организации удаленно. Для этого администратор безопасности может разрешить ему доступ во внутреннюю сеть. При этом полученные в результате аутентификации привилегии не будут распространяться на другие приложения, выполняющиеся на компьютере пользователя.

Для этого FireWall-l/VPN-I выполняет проверку подлинности при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. FireWall-l/VPN-I перехватывает все попытки авторизации пользователя на сервере и переправляет их соответствующему Серверу Безопасности. После того, как подлинность установлена, Сервер Безопасности FireWall-l/VPN-I открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWalll/VPN-I на шлюзе. На первый взгляд может показаться, что Сервер Безопасности в данном случае представляет собой не что иное, как процесс "посредник - proxy", со всеми присущими этим элементам сетевой защиты недостатками. Однако для FireWall-l/VPN-I это не так. С одной стороны, ни один пакет из сети не достигнет сервера безопасности, не будучи инспектированным модулем защиты FireWall-l/VPN1. Этим исключаются обычные недостатки программ посредников, выливающиеся в необходимость использования специально модифицированных ядер операционных систем для "упрочения" IP стека протоколов. С другой стороны, это специальный процесс "посредник-ргоху", более тесно взаимодействующий с ядром системы защиты, что, в свою очередь, исключает присущие многим сетевым приложениям недостатки, выливающиеся в потенциальную возможность получения доступа в систему компьютера при правильно реализованной его перегрузке.

Аутентификация клиента

Позволяет администратору предоставлять привилегии доступа определенным компьютерам сети; пользователи которых прошли соответствующие процедуры аутентификации. В отличие от Аутентификации пользователя этот вариант не ограничивается определенными службами и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.

Однако Аутентификация клиента не является прозрачной для пользователя, но в то же время для ее осуществления не требуется какого-либо дополнительного программного обеспечения или модификации имеющегося.

Пользователь перед началом работы в сети авторизуется на соответствующем FiTeWall1/VPN-1, используя либо программу telnet, либо обычный "Интернет броузер", после чего система предоставляет ему доступ к сетевым ресурсам.

Для данной разновидности аутентификации администратор может указать: как каждый из пользователей должен будет авторизоваться, какие схемы паролей использовать, какой сервер и какие службы будут доступны, как долго, в какое время и сколько сессий может быть открыто.

Прозрачная Аутентификация Сессий

Механизм этого варианта можно использовать для любых служб-сервисов. При этом установление подлинности будет происходить для каждой сессии в отдельности. После той, как пользователь инициировал соединение, обратившись напрямую к серверу, шлюз с установленным FireWall-l/VPN-I распознает, что для этой сессии требуется провести аутентификацию, и инициирует соединение с Агентом Аутентификации сессий, который ее и проводит. Затем FireWall-l/VPN-I разрешает данное соединение, если поддадиость клиента успешно установлена.

Организации могут предъявлять особые требования к элементам установления поддЙаности пользователей, поэтому продукты Check Point FireWall-l и VPN-1 поддерживают широкий спектр вариантов аутентификации, в частности:

• серверы RADIUS (vl.O и v2.0)- запрашиваемый пароль сравнивается с хранимым в RADIUS сервере;

• серверы TACACS/TACACS+ - запрашиваемый пароль сравнивается с хранимым на серверах TACACS;

•вариант одноразовых паролей/ключей (S/Key);

• обычный пароль операционной системы;

• внутренний пароль, известный только в системе FireWall-l или VPN-1;

• сервер Axent - запрашиваемый пароль сравнивается с хранимым в Axent Defender сервере;

• securlD - пользователь набирает в качестве пароля номер, высвечиваемый в текущий момент карточкой Security Dynamics SecurlD;

• X.509 digital certificates - пользователь ayтентифицируется, передавая свой сертификат, подписанный доверенным сертификационным центром.

Трансляция сетевых адресов

Технологии Интернет базируются на использовании IP-протокола, и для обеспечения взаимодействия через IP-сеть каждое устройство должно иметь уникальный адрес. Это требование легко удовлетворяется в корпоративных сетях, которые ограничены внутренними сетями предприятия, не подключенными к глобальным сетям. Но когда организация подключается к глобальной сети (Internet), возникает требование обеспечить уникальность адресов для всей глобальной сети, то есть по всему миру. На данном этапе появляются проблемы, связанные с ограничением на количество доступных для использования адресов.

Обычно организациям выделяют диапазон адресов существенно меньший, чем необходимо, что делает невозможным присвоение каждому устройству, участвующему в сетевом обмене, реального адреса.

С другой стороны, даже если вы можете обеспечить все ресурсы и пользователей сети реальными адресами, этот вариант не является предпочтительным, так как каждый пользователь глобальной сети может потенциально взаимодействовать с вашими ресурсами. Более того, необдуманное опубликование-IP-адресов ваших сетевых устройств: может привести к появлению атак на эти устройства и сеть целом.

Защита вашего IP-пространства

Возможность FireWall-l производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной. Путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей легко решаются проблемы нехватки этих пространств.

FireWall-l поддерживает целостность внутреннего адресного пространства, транслирует его на официально зарегистрированные адреса организации в Интернет для обеспечения к нему полноценного доступа.

В FireWall-l имеются два основных способа отображения таких адресов - статический и динамический.

Динамическая мода: 1) обеспечивает доступ пользователей к сети Internet, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети; 2) использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа; 3) использует IPадрес только для выходных соединений, но не для реальных ресурсов, что делает невозможными подмену адреса или взлом.

Действительно ли этот вариант трансляции полностью динамичный?

Действительно. Механизм FireWall-l позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.

Хотя известны отдельные реализации, где подстановка адресов выполняется по схеме выбора свободного из диапазона назначенных, однако для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.

Статическая мода призвана удовлетворить потребность в обеспечении доступа пользователей Internet к ресурсам организации (например, для работников компании, работающих удаленно, или стратегических партнеров) пу.тсм однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариавт трансляции применяется: 1) если администратор не хочет использовать реальные адреса на сетевых серверах; 2) если по историческим яричинам сеть использует нелегальные (ваутреание) адреса, которым необходимо соводаздть реальные, чтобы пользователи Interapt могли получить доступ к ним.

В обоих случаях, как для динамической, так и для статической мод трансляции адресов, Check Point FireWall-l предоставляет неограниченные возможности контроля и удобство настройки в сетях предприятий.

Простой пример настройки

FireWall-l предлагает два метода настройки адресной трансляции: 1) использовать автоматически создаваемые правила адресной трансляции путем задания необходимых свойств сетевых объектов; 2) создавать правила адресной трансляции непосредственно в редакторе правил трансляции. При их определении можно использовать все сетевые объекты. FireWall-l имеет уникальную возможность проверять логическую непротиворечивость созданных правил, что существенно упрощает создание сложных сценариев.