Gestión de la seguridad de la información en redes empresariales.
Gestión de la seguridad de la información en redes empresariales
Las tecnologías de Internet han cambiado no sólo la forma en que las organizaciones hacen negocios, sino también su actitud para garantizar la seguridad de la red. Los límites de las redes corporativas ya no están determinados por el equipo instalado. Ahora bien, estos límites están determinados principalmente por la política de seguridad a la que se adhieren los participantes en el intercambio de información. Para que dicha política de seguridad sea eficaz, debe incluir una amplia gama de tecnologías de seguridad de la información que controlen el acceso a los recursos de información, controlen la integridad y autenticidad de la información y las conexiones de red que pasan tanto por Internet como por las redes internas del organización y sus socios
Una solución integral en el campo de la seguridad de la información en redes informáticas debe proporcionar al menos las siguientes funciones:
• autenticar a los usuarios de redes informáticas utilizando métodos confiables y probados antes de que se les conceda acceso a los recursos de la red;
• proporcionar acceso selectivo para usuarios autenticados a los recursos de la red;
• garantizar la seguridad e integridad del intercambio de información a través de redes abiertas como Internet;
• Asegúrese de que el contenido de los flujos de datos que pasan a través de los sistemas de puerta de enlace se verifique para detectar y evitar que información inapropiada ingrese a la red. Neutralizar virus informáticos y subprogramas Java/ActiveX maliciosos;
• detectar y prevenir ataques de intrusos en tiempo real;
• enmascarar el espacio de direcciones interno de la empresa y utilizar económicamente el espacio de direcciones asignado de la red global;
• proporcionar la capacidad de construir sistemas altamente confiables para tareas donde es necesario el funcionamiento ininterrumpido de toda la red informática;
• garantizar la recopilación y el procesamiento de información detallada sobre cualquier intento de instalación y conexiones de red exitosas.
Check Point Software Technologies Ltd, proveedor líder de soluciones para la protección de redes IP basadas en la presentación de políticas de seguridad en forma de reglas uniformes. — Directamente para resolver estos problemas, ofrece el conjunto líder de herramientas de seguridad FireWall-l y la familia de soluciones VPN, VPN-G», que es la única solución en la industria integrada con un sistema de gestión de ancho de banda.
Una amplia gama de funciones básicas y de servicio de los productos básicos FireWall1/VPN-1 hace posible implementar una solución integrada de seguridad de la red y la información que cumple plenamente con los requisitos modernos de cualquier organización, tanto grande como pequeña.
Además de las funciones de seguridad principales, Check Point ha desarrollado una «plataforma abierta para la colaboración empresarial segura» (OPSEC — Plataforma abierta para la conectividad empresarial segura), que puede servir como base para combinar varias tecnologías de seguridad de la información y crear una única política de seguridad integral. Este enfoque permite una integración más estrecha de productos de otros fabricantes basados en FireWall-l /VPN-1. Sólo una solución de Check Point permite a una organización crear una política de seguridad única para todos estos sistemas. El enfoque de la empresa permite ampliar la política de seguridad a todos los elementos de protección de la red empresarial y proporciona un control remoto y centralizado sobre el funcionamiento de sus sistemas, gestión y configuración.
Las soluciones de Check Point se basan en su tecnología patentada de inspección Stateful, que es la tecnología de control de tráfico líder en la actualidad. Le permite controlar los datos hasta el nivel de la aplicación, sin la necesidad de una aplicación intermediaria o proxy independiente para cada protocolo o red protegido. El resultado son indicadores de rendimiento únicos, una alta flexibilidad de soluciones y la capacidad de adaptar rápida y fácilmente el sistema a nuevos requisitos. 1
El control de acceso es un elemento básico de seguridad
Las tecnologías de Internet permiten crear una infraestructura de comunicaciones global rentable que proporcionará acceso a la red global a los empleados, clientes, fabricantes de equipos, proveedores y socios comerciales clave de la empresa. Esto amplía significativamente la capacidad de intercambiar información compartida, pero aumenta el riesgo de exponer su red corporativa a nuevos peligros y amenazas.
¿Cómo puede una organización resistir el acceso no autorizado y proteger sus recursos e información? El control de acceso es un elemento fundamental de cualquier política de seguridad, directamente enfocado a solucionar este problema.
¿Qué información se intercambia entre redes empresariales?
El control de acceso protege a una organización de amenazas potenciales al especificar y controlar claramente qué flujos de información y comunicaciones pueden pasar a través de las puertas de enlace fronterizas de la red de una empresa. Una característica clave de los verdaderos dispositivos de control de acceso es su pleno conocimiento de todas las comunicaciones, servicios de red y aplicaciones. Las primeras implementaciones de herramientas de seguridad basadas en filtros de paquetes (generalmente realizadas en enrutadores) no tienen información sobre el estado de la aplicación, por regla general, no pueden procesar el tráfico UDP y, especialmente, los protocolos dinámicos.
Las herramientas de seguridad de red de segunda generación, basadas en el uso de aplicaciones proxy, suelen requerir ordenadores muy potentes y tardan bastante en adaptarse a los nuevos servicios de red de Internet que aparecen periódicamente. Por el contrario, la tecnología de inspección de estado implementada en Check Point FireWall-l/VPN-I brinda al portal información completa sobre las comunicaciones. Esto, junto con un enfoque orientado a objetos para la descripción de recursos y servicios de red, le permite adaptar rápida y fácilmente el sistema a los nuevos servicios de Internet. FireWall-l/VPN-I proporciona capacidades integrales de control de acceso para más de 160 servicios de Internet predefinidos y tiene herramientas para una especificación conveniente de nuevos servicios de usuario.
Además de las capacidades enumeradas, FireWall-l/VPN-I le permite regular el acceso a los recursos de la red, teniendo en cuenta el tiempo. Esto permite detallar significativamente los procesos de trabajo con recursos de la red, creando reglas que brindan acceso a los recursos en ciertos períodos de tiempo (se pueden tener en cuenta minutos, horas, días del mes, días de la semana, mes, año). ). Por ejemplo, una organización decide restringir el acceso a Internet para la navegación web durante el horario comercial y, en consecuencia, permitirlo fuera del horario laboral. Otro ejemplo — denegar el acceso a servidores críticos mientras la información del servidor esté completamente guardada.
Creación de una política de seguridad
El proceso de describir las reglas de control de acceso en un sistema tan bien diseñado como Check Point FireWall-l/VPN-I es bastante simple y obvio. Todos los aspectos de la política de seguridad de la información de una organización se pueden especificar utilizando la galardonada GUI FireWall/VPN-I.
Utiliza un enfoque orientado a objetos al describir elementos de red. Luego, el objeto creado se utiliza para definir una política de seguridad mediante el Editor de reglas. Cada regla puede operar en cualquier combinación de objetos y servicios de red y también contiene una definición de las acciones tomadas y métodos de notificación cuando se activa esta regla. Además, puede especificar a qué elementos de seguridad de la información se debe aplicar. De forma predeterminada, las reglas se aplican a todas las puertas de enlace con FireWall-l o VPN-1 instalado. Los elementos de seguridad se pueden implementar en una variedad de plataformas, incluidas UNIX (Solaris, HP-UX, AIX) y NT, así como varios equipos de firewall OPSEC de los socios de Check Point.
La ventaja única de Check Point FireWall-l/VPN-I — esta es la capacidad de crear una política de seguridad unificada para toda la empresa en su conjunto. Después de eso, FireWall/VPN-I comprueba su coherencia, lo compila y lo distribuye a todos los nodos de control de tráfico de la red,
Acceso distribuido
La arquitectura FireWall-l/VPN-I le permite ampliar sin problemas las capacidades del sistema a medida que aumentan las necesidades de la organización para la implementación de diversos elementos de seguridad de la información. Por otro lado, las funciones administrativas de FireWall1/VPN-1 también están enfocadas al acceso multiusuario y permiten a la empresa diferenciar las funciones de los administradores de seguridad. Después de la autorización, el administrador del sistema FireWall-l/VPN-I hereda los derechos que el administrador de seguridad ha establecido para un FireWall-l/VPN-1 específico y que están determinados por el editor de reglas. Esto le permite administrar varios sistemas FireWall-l/VPN-I desde una estación de trabajo al mismo tiempo.
FireWall-l/VPN-I admite diferentes niveles de acceso administrativo:
— Lectura/Escritura: acceso completo a todas las funciones de las herramientas administrativas;
— Edición de usuario: la capacidad de editar solo cuentas de usuario, otras opciones están limitadas por derechos de lectura;
— Sólo lectura: acceso de sólo lectura a políticas y estadísticas de seguridad;
— Solo Monitor: acceso de lectura a herramientas de visualización de estadísticas únicamente.
Elementos de protección contra accesos no autorizados:
— Falsificación de IP — un método para influir en elementos de la infraestructura de la red para obtener acceso no autorizado. Para hacer esto, el atacante reemplaza sus direcciones IP en los paquetes enviados para que parezcan paquetes de una fuente más privilegiada. Por ejemplo, puede parecer que los paquetes procedentes de Internet provienen de la red local. FireWall-l/VPN-I protege contra este tipo de ataques, reconoce fácilmente dichos intentos y notifica inmediatamente al operador de seguridad sobre ellos.
— Ataque de denegación de servicio — Explota las debilidades en la implementación del protocolo TCP en sistemas específicos. Cuando se inicializa una conexión TCP, el cliente envía un — solicitud al servidor con el indicador SYN configurado en el encabezado TCP. En el caso normal, el servidor responde con un acuse de recibo SYN/ACK dirigido al cliente, cuya dirección el servidor toma del encabezado IP de la solicitud recibida. Después de esto, el cliente envía una notificación sobre el inicio de la transferencia de datos — un paquete con solo el indicador ACK establecido en el encabezado TCP. Si la dirección del cliente se falsifica, por ejemplo, a una que no existe en Internet, entonces este tipo de conexión no se puede completar y los intentos continuarán hasta que se agote el límite de tiempo. Estas condiciones forman la base de este tipo de ataque y conducen, por regla general, a la incapacidad del sistema operativo del ordenador atacado de procesar más solicitudes de conexión y, en ocasiones, a consecuencias peores.
Las soluciones basadas en el uso de programas intermediarios (proxy) por sí solas no son capaces de proteger contra este tipo de ataques. Por lo tanto, la puerta de enlace puede ser atacada para crear condiciones de denegación de servicio. Los filtros de paquetes tampoco pueden proteger contra este tipo de ataques, ya que no tienen la información necesaria sobre el estado de las conexiones y no pueden inspeccionar los paquetes en función de este estado. FireWall-l/VPN-I proporciona protección contra este tipo de ataques, teniendo todas las herramientas necesarias para analizar el estado de las conexiones.- Ping of Death — Casi todos los sistemas operativos, así como algunos enrutadores, tienen varias limitaciones asociadas con una implementación específica del protocolo TCP/IP. Revelar estas limitaciones a menudo conduce a la aparición de nuevos tipos de ataques. Por tanto, la mayoría de los sistemas operativos son sensibles al PING (1СМР), cuyo campo de datos tiene un tamaño de más de 65.508 bytes. Como resultado, los paquetes ICMP, después de agregar los encabezados necesarios, superan los 64k (la longitud del encabezado es 28 bytes) y, por regla general, el kernel del sistema operativo no puede procesarlos correctamente, lo que se manifiesta en forma de fallas aleatorias. o reinicios de computadoras.
FireWall-l/VPN-I, al tener un mecanismo de inspección de estado, protege contra este tipo de ataques.
Ejemplos de métodos de protección:
1. Ocultar la puerta de enlace. En circunstancias normales, cualquier persona en una red corporativa puede acceder a la puerta de enlace desde FireWall. Esta situación debe evitarse ocultando el dispositivo de puerta de enlace. Check Point FireWall-l/VPN-I le permite hacer esto agregando una regla simple a su política de seguridad. Ocultar la puerta de enlace evita que cualquier usuario o aplicación interactúe con la puerta de enlace de seguridad y la hace invisible. Las únicas excepciones son los administradores de sistemas de seguridad.
2. El uso de mecanismos de traducción de direcciones de red le permite ocultar o disfrazar completamente la estructura de la red interna.
3. La creación de una zona desmilitarizada implica la asignación de recursos de la red pública en segmentos especiales, cuyo acceso está controlado por un firewall. Esto le permite proteger la red interna de la empresa de ataques incluso si un atacante utiliza cualquier servidor público como trampolín para un ataque. Desafortunadamente, tal posibilidad existe, ya que no siempre es posible garantizar que el software utilizado en estos servidores esté libre de errores, marcadores o que el administrador del servidor no haya cometido errores al configurarlo o diseñarlo. Instalar estos servidores de acceso público delante de un firewall sin ningún tipo de protección tampoco es práctico, ya que esto aumenta significativamente el riesgo de que los atacantes se infiltren.
Debido a la ausencia casi total de restricciones en la cantidad de interfaces de red admitidas por los elementos FireWall-l/VPN^I, es posible la implementación de una Zona Desmilitarizada Distribuida. En este caso, la distribución de servidores públicos a través de interfaces de red separadas garantiza la resistencia de los servidores individuales a los ataques, incluso si hay un error en la configuración o un error en el software de uno de los servidores. Si el ataque a uno de los servidores tiene éxito, el acceso a todos los demás seguirá estando protegido por el módulo FireWalM/VPN-I.
Recopilación de estadísticas avanzadas y generación de advertencias
El sistema FireWall-l/VPN-I proporciona la recopilación de información detallada sobre cada sesión de red. Esto incluye información sobre el usuario, el servicio de red y el destinatario, la duración de la sesión, la hora de inicio y mucho más. Estas estadísticas se pueden utilizar aún más para el procesamiento inteligente, para lo cual Check Point proporciona una interfaz especial para exportar estadísticas.
Además, en FireWall-l/VPN-I, el administrador de seguridad puede, utilizando el mismo visor de estadísticas y herramienta de análisis, monitorear las conexiones activas a través de firewall y módulos VPN. Estas estadísticas en tiempo real se procesan y presentan al operador del mismo modo que los registros habituales. Para este último, puede utilizar los mismos mecanismos para seleccionar eventos que cuando trabaja con estadísticas regulares. Al mismo tiempo, el uso de la opción de recopilar información adicional sobre las conexiones garantiza la actualización continua de datos estadísticos integrales, y el administrador de seguridad puede monitorear no solo la existencia de una conexión, sino también la intensidad del intercambio de información en ella en tiempo real.
El sistema FireWall-l/VPN-I incluye muchas opciones diferentes para notificar a los operadores: desde correo electrónico hasta envío de excepciones SNMP (trampas) para la integración con plataformas de gestión de red como HP OpenView, SunNet Manager, IBM NetView 6000, etc. Además, la capacidad hasta crear sus propias opciones para procesar situaciones que requieren notificación, lo que le permite interconectar el sistema de protección con servicios de localización o sistemas especiales de respuesta rápida.
Autenticación de usuario.
Una de las tareas más importantes de un sistema de seguridad de la información en redes es establecer la autenticidad de los usuarios que trabajan en él y proporcionarles los privilegios de acceso adecuados. Check Point FireWall/VPN-I proporciona a los usuarios remotos y de acceso telefónico acceso seguro a los recursos de red de una organización mientras los autentica utilizando una variedad de esquemas de autenticación.
El usuario no tendrá derechos de acceso hasta que se autentique exitosamente, lo cual se realizará mediante un método confiable. Muchos de los esquemas implementados no requieren modificaciones ni instalación de nada en la computadora o los servidores del usuario.
Al igual que todas las funciones de FireWall/VPN-I, los elementos de autenticación de usuario están completamente integrados en el sistema de políticas de seguridad empresarial y, por lo tanto, pueden administrarse de forma centralizada a través de la GUI del Administrador de seguridad. El sistema de recopilación y procesamiento de estadísticas también incluye eventos de autenticación de usuarios en el registro general de estadísticas.
El sistema FireWall-l/VPN-I tiene tres opciones principales para utilizar la autenticación de usuario, para las cuales se aceptan los siguientes nombres:
1. Autenticación de usuario.
2. Autenticación del cliente.
3. Autenticación de sesión transparente.
Autenticación de usuario
Este es un método transparente para establecer la autenticidad de un usuario del sistema FireWall/VPN-I, que brinda la capacidad de determinar los privilegios de acceso de cada usuario individualmente, incluso si se realiza desde una computadora multiusuario. Este método se implementa para protocolos como FTP, TELNET, HTTP y RLOGIN, y no depende de la dirección IP de la computadora cliente. Como regla general, se utiliza si el usuario se ve obligado a trabajar con los servidores de la organización de forma remota. Para ello, el administrador de seguridad puede permitirle el acceso a la red interna. En este caso, los privilegios obtenidos como resultado de la autenticación no se extenderán a otras aplicaciones que se ejecuten en la computadora del usuario.
Para hacer esto, FireWall-l/VPN-I realiza la autenticación utilizando un servidor de seguridad especial que se ejecuta en la computadora de la puerta de enlace. FireWall-l/VPN-I intercepta todos los intentos de autorización del usuario en el servidor y los reenvía al servidor de seguridad apropiado. Una vez establecida la autenticación, el servidor de seguridad FireWall-l/VPN-I abre una segunda conexión al servidor de aplicaciones requerido. Todos los paquetes de sesiones posteriores también son interceptados e inspeccionados por FireWall/VPN-I en la puerta de enlace. A primera vista, puede parecer que Security Server en este caso no es más que un proceso «intermediario—. proxy», con todas las desventajas inherentes a estos elementos de protección de red. Sin embargo, este no es el caso de FireWall-l/VPN-I. Por un lado, ni un solo paquete de la red llegará al servidor de seguridad sin ser inspeccionado por el módulo de seguridad FireWall-l/VPN1. Esto elimina las deficiencias habituales de los programas intermediarios, que resultan en la necesidad de utilizar núcleos del sistema operativo especialmente modificados para «fortalecer» Pila de protocolos IP. Por otro lado, este es un proceso especial de «intermediario-prox» que interactúa más estrechamente con el núcleo del sistema de seguridad, lo que, a su vez, elimina las desventajas inherentes a muchas aplicaciones de red, que resultan en la posibilidad potencial de obtener acceso. al sistema informático si se realiza correctamente la sobrecarga.
Autenticación de cliente
Permite a un administrador otorgar privilegios de acceso a computadoras específicas en la red; cuyos usuarios hayan superado los procedimientos de autenticación adecuados. A diferencia de la autenticación de usuario, esta opción no se limita a servicios específicos y puede proporcionar autenticación a cualquier aplicación, tanto estándar como específica.
Sin embargo, la Autenticación del Cliente no es transparente para el usuario, pero al mismo tiempo su implementación no requiere ningún software adicional ni modificación del existente.
Antes de comenzar a trabajar en la red, el usuario inicia sesión en el FiTeWall1/VPN-1 apropiado, utilizando el programa telnet o un navegador de Internet normal, después de lo cual el sistema le proporciona acceso a los recursos de la red. .
Para este tipo de autenticación, el administrador puede especificar: cómo cada usuario deberá iniciar sesión, qué esquemas de contraseña utilizar, qué servidor y qué servicios estarán disponibles, durante cuánto tiempo, a qué hora y cuántas sesiones se pueden abrir.
Autenticación de sesión transparente
El mecanismo de esta opción se puede utilizar para cualquier servicio. En este caso, la autenticación se realizará para cada sesión por separado. Después de que el usuario haya iniciado la conexión comunicándose directamente con el servidor, la puerta de enlace con FireWall-l/VPN-I instalado reconoce que se requiere autenticación para esta sesión e inicia una conexión con el Agente de autenticación de sesión, que la realiza. FireWall-l/VPN-I permite la conexión si las credenciales del cliente se establecen correctamente.
Las organizaciones pueden tener requisitos de autenticación de usuario específicos, por lo que los productos Check Point FireWall-l y VPN-1 admiten una amplia gama de opciones de autenticación, que incluyen:
• Servidores RADIUS (vl.O y v2.0): la contraseña solicitada se compara con la almacenada en el servidor RADIUS;
• Servidores TACACS/TACACS+ — se compara la contraseña solicitada con la almacenada en los servidores TACACS;
•opción de contraseñas/claves de un solo uso (S/Key);
• contraseña normal del sistema operativo;
• contraseña interna, conocida sólo en el sistema FireWall-l o VPN-1;
• Servidor Axent — la contraseña solicitada se compara con la almacenada en el servidor de Axent Defender;
• seguro — el usuario ingresa como contraseña el número que actualmente muestra la tarjeta Security Dynamics SecurlD;
• Certificados digitales X.509 — El usuario se autentica enviando su certificado firmado por una autoridad certificadora de confianza.
Traducción de direcciones de red
Las tecnologías de Internet se basan en el uso del protocolo IP y, para garantizar la interacción a través de una red IP, cada dispositivo debe tener una dirección única. Este requisito se cumple fácilmente en las redes corporativas, que se limitan a redes empresariales internas que no están conectadas a redes de área amplia. Pero cuando una organización se conecta a la red global (Internet), existe el requisito de garantizar direcciones únicas para toda la red global, es decir, en todo el mundo. En esta etapa, surgen problemas relacionados con la limitación del número de direcciones disponibles para su uso.
Normalmente, a las organizaciones se les asigna un rango de direcciones mucho menor de lo necesario, lo que hace imposible asignar una dirección real a cada dispositivo que participa en el intercambio de red.
Por otro lado, incluso si puede proporcionar direcciones reales a todos los recursos y usuarios de la red, esta opción no es preferible, ya que todos los usuarios de la red global pueden potencialmente interactuar con sus recursos. Además, la publicación irreflexiva de las direcciones IP de sus dispositivos de red puede provocar ataques a estos dispositivos y a la red en su conjunto.
Protegiendo su espacio IP
La capacidad de FireWall-l para realizar traducción de direcciones le permite aislar completamente el espacio interno de direcciones de Internet y evitar la difusión de información de direcciones como pública. Al reducir el grupo de direcciones registradas requerido y utilizar direcciones internas de espacios de direcciones dedicados para redes privadas, el problema de quedarse sin estos espacios se resuelve fácilmente.
FireWall-l mantiene la integridad del espacio de direcciones interno, lo transmite a direcciones registradas oficialmente de la organización en Internet para garantizar el acceso completo al mismo.
FireWall-l tiene dos formas principales de mostrar dichas direcciones: — estática y dinámica.
Moda dinámica: 1) proporciona a los usuarios acceso a Internet, ahorrando espacio de direcciones registradas y ocultando direcciones internas de recursos de red; 2) utiliza una única dirección IP para mostrar todas las conexiones que pasan a través del punto de acceso seguro; 3) utiliza la dirección IP sólo para conexiones de salida, pero no para recursos reales, lo que hace imposible la suplantación o piratería de direcciones.
¿Esta opción de transmisión es completamente dinámica?
Efectivamente. El mecanismo FireWall-l permite asignar dinámicamente un número ilimitado de direcciones a una única dirección IP.
Aunque se conocen algunas implementaciones en las que la sustitución de direcciones se realiza según el esquema de selección de una libre entre las asignadas, para tales implementaciones, en caso de falta de una dirección libre, es imposible realizar más comunicaciones.
Modo estáticoestá diseñado para satisfacer la necesidad de proporcionar a los usuarios de Internet acceso a los recursos de la organización (por ejemplo, para los empleados de la empresa que trabajan de forma remota o socios estratégicos) asignando inequívocamente la dirección del recurso en la red global a su dirección real. Esta opción de traducción se utiliza: 1) si el administrador no desea utilizar direcciones reales en los servidores de la red; 2) si, por razones históricas, la red utiliza direcciones ilegales (woutreanie), que deben cotejarse con direcciones reales para que los usuarios de Interapt puedan acceder a ellas.
En ambos casos, tanto para los modos dinámicos como estáticos de traducción de direcciones, Check Point FireWall-l proporciona capacidades de control ilimitadas y facilidad de configuración en redes empresariales.
Un ejemplo de configuración simple
FireWall-l ofrece dos métodos para configurar la traducción de direcciones : 1) utilizar reglas de traducción de direcciones creadas automáticamente estableciendo las propiedades necesarias de los objetos de red; 2) cree reglas de traducción de direcciones directamente en el editor de reglas de traducción. Al definirlos, puede utilizar todos los objetos de la red. FireWall-l tiene una capacidad única para comprobar la coherencia lógica de las reglas creadas, lo que simplifica enormemente la creación de escenarios complejos.
Добавить комментарий