Protección de recursos de información en una red corporativa mediante firewalls.

Protección de los recursos de información en la red corporativa mediante firewalls.

Protección de recursos de información en la red corporativa mediante firewalls

Las cuestiones de seguridad de la información en Internet siguen siendo una de las más urgentes en la actualidad. En este sentido, los autores del artículo presentan a los lectores un medio eficaz de protección: los firewalls y ofrecen una descripción general del mercado ruso de dispositivos certificados de datos

Los últimos años han estado marcados por una ampliación de las posibilidades de utilizar los recursos de información disponibles a través de Internet. Hoy en día, muchas organizaciones le conectan redes locales para obtener acceso a recursos de información de interconexión a través de sus estaciones de trabajo. Internet se ha convertido en una red global vital y en constante crecimiento que ha cambiado la forma en que muchas personas viven y piensan. Pero al mismo tiempo, esto generó muchos problemas, principalmente relacionados con la organización de la seguridad, ya que los protocolos más comunes utilizados para el intercambio de información no brindan protección contra la interceptación de datos. Hay varias razones para esta situación:

— falta inicial de política de seguridad: al desarrollar los principios de funcionamiento de Internet, los principales esfuerzos se dirigieron a facilitar el intercambio de información y muchas redes se diseñaron sin mecanismos de control de acceso a Internet;

—vulnerabilidad de los servicios básicos: el protocolo básico de Internet es un conjunto de protocolos TCP/IP, cuyos programas de servicio no garantizan la seguridad;

— el descifrado de la mayor parte de la información transmitida a través de Internet, lo que permite controlar los canales de transmisión de datos: un atacante puede interceptar fácilmente el correo electrónico, las contraseñas y los archivos transferidos utilizando los programas disponibles;

— complejidad de la configuración: las herramientas de control de acceso suelen ser difíciles de configurar y controlar, lo que conduce a una configuración incorrecta de dichas herramientas y a un acceso no autorizado.

Por estas razones, el administrador de la red corporativa se enfrenta constantemente al problema de proteger los recursos de la red local del acceso no autorizado. Este problema es especialmente relevante para las organizaciones que operan con información confidencial, ya sea información financiera o información relacionada con el ámbito de los intereses gubernamentales.

El nivel actual de desarrollo de software permite a un hacker suficientemente competente, familiarizado con la pila de protocolos TCP/IP, conectarse sin autorización a un sistema remoto, apoderarse de conexiones de usuarios legítimos e incluso obtener privilegios de supervisor.

Muchas empresas (Satanás, Cops, etc.) han desarrollado productos de software para facilitar el trabajo del administrador del sistema a la hora de encontrar y eliminar «agujeros» en el sistema de seguridad. Pero, en realidad, los piratas informáticos los utilizan a menudo, con la única diferencia de que los piratas informáticos no tienen prisa por eliminar los «agujeros» descubiertos, sino que, por el contrario, los utilizan para sus propios fines.

: la subred debe estar separada por firewalls.

El hecho de que Internet no proporcione medios eficaces de protección anima a la gente a buscarlos. Todos los problemas son causados ​​por los principios inherentes de apertura de los sistemas Unix. Concebido como un sistema destinado al trabajo conjunto en las universidades, Unix fue posteriormente complementado de forma bastante artificial con elementos de seguridad. Además, los requisitos de seguridad en los sistemas Unix existentes no están estandarizados. Por lo tanto, los administradores deben navegar por la plataforma de software existente.

La naturaleza específica de la protección de los recursos de información de las redes corporativas también está determinada por el hecho de que con mayor frecuencia constan de subredes o segmentos. Al mismo tiempo, en la red protegida puede haber segmentos con diferentes grados de seguridad:

— de libre acceso (servidor WWW, servidor FTP);

—con acceso limitado;

—no accesible.

Las reglas de acceso a estos recursos deben ser determinadas por la administración de tal manera que, por un lado, impidan el acceso no autorizado a recursos de información protegidos y, por otro, proporcionen al usuario la máxima transparencia al trabajar con la información. él necesita.

Teniendo en cuenta la urgencia del problema de proteger las redes mediante protocolos TCP/IP, la Comisión Técnica Estatal bajo la presidencia de la Federación de Rusia publicó el 25 de junio de 1997 un documento de orientación titulado «Instalaciones informáticas». Cortafuegos. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información» (en adelante, RD to ME) como una adición a los documentos de orientación «Instalaciones informáticas. Protección contra el acceso no autorizado a la información. Indicadores de seguridad contra el acceso no autorizado a la información» y «Sistemas automatizados. Protección contra el acceso no autorizado a la información. Clasificación de sistemas automatizados y requisitos para la protección de la información, 1992 (RD a AS).

En RD to ME, los firewalls se definen como una herramienta (compleja) de software local (de un solo componente) o funcionalmente distribuida (hardware y software) que implementa el control sobre la información que ingresa al AS y/o sale del AS. El ME garantiza la protección del AS filtrando la información, es decir, analizándola según un conjunto de criterios y tomando una decisión sobre su distribución al (desde) el AS basándose en reglas específicas, delimitando así el acceso de los sujetos de un AS a objetos de otro AS. Cada regla prohíbe o permite la transferencia de información de un determinado tipo entre sujetos y objetos. Como consecuencia, los sujetos de un AS sólo reciben acceso a los objetos de información permitidos de otro AS. La interpretación de un conjunto de reglas se realiza mediante una secuencia de filtros que permiten o niegan la transmisión de datos (paquetes) al siguiente filtro o nivel de protocolo.

Normalmente, los firewalls protegen la red interna de una empresa de «intrusiones» desde Internet. Sin embargo, también se pueden utilizar para protegerse contra «ataques», por ejemplo, desde una intranet corporativa a la que está conectada su red. Al igual que con cualquier implementación de seguridad de red, la organización que desarrolla una política de seguridad específica debe, entre otras cosas, determinar el tipo de tráfico TCP/IP que el firewall aceptará como «autorizado». Por ejemplo, debe decidir si se restringirá el acceso de los usuarios a determinados servicios basados ​​en TCP/IP y en qué medida. Establecer una política de seguridad le ayudará a determinar qué componentes de firewall necesita y cómo configurarlos para hacer cumplir las restricciones de acceso que establezca.

La solución más sencilla es instalar una pantalla en el límite de las redes local y global. Los servidores públicos WWW y FTP se pueden instalar en una zona protegida (pero debemos recordar que esto afectará negativamente a la transparencia del sistema) o mover fuera de la zona protegida. También es posible instalar dos pantallas, una de las cuales protegerá la red local y la otra protegerá los servidores disponibles.

Los cortafuegos se implementan sobre la base de sistemas Unix similares, como Solaris, BSDI, Linux, etc., así como Windows NT. Se recomienda encarecidamente utilizar una estación independiente con los requisitos de hardware adecuados (500 MB de espacio en disco, 32 MB de RAM) para instalar el firewall. Además, se están realizando algunos cambios en el kernel del sistema operativo ME para aumentar la seguridad del sistema. Por lo tanto, está prohibido tener secciones de usuario en la puerta de enlace; algunas de ellas funcionan únicamente en modo de usuario único y generan códigos especiales para monitorear la integridad del software.

El protocolo básico para transmitir datos a través de Internet es el conjunto de protocolos TCP/IP. Los datos transmitidos a través de una red son un conjunto de paquetes. Cada paquete tiene una dirección IP saliente y entrante, así como una indicación del servicio TCP/IP que procesará este paquete.

Los firewalls le permiten establecer reglas flexibles para entregar paquetes a cualquiera de los segmentos.

Tabla 1. Firewalls y modelos OSI

El funcionamiento de todos los firewalls se basa en el uso de información de diferentes niveles del modelo OSI (Tabla 1). El modelo OSI, desarrollado por la Organización Internacional de Normalización (ISO), define siete capas en las que los sistemas informáticos interactúan entre sí, desde el nivel del medio de transmisión físico hasta el nivel de los programas de aplicación utilizados para las comunicaciones. En general, cuanto mayor sea el nivel del modelo OSI en el que un firewall filtra paquetes, mayor será el nivel de protección que proporciona.

Funcionalmente, los firewalls se dividen en tres categorías: sistemas de filtrado de paquetes, servidores intermediarios (puertas de enlace) a nivel de aplicación y nivel de conexión. Además, es posible una versión más detallada del filtrado de paquetes: pantallas de nivel experto basadas en la implementación de un mecanismo de control de estado. Cada uno de estos sistemas tiene sus ventajas y desventajas. Las diferencias fundamentales entre ellos se describirán a continuación.

Los sistemas de filtrado de paquetes analizan todos los paquetes IP que ingresan a la red protegida y los permiten o los descartan. Las reglas por las cuales el ME toma la decisión correspondiente están predefinidas explícitamente por el administrador. Si los paquetes pertenecen a una categoría u otra se determina a partir de los valores correspondientes de los campos de «dirección&#187. y «puerto» en el encabezado del paquete IP. Dado que un número de puerto TCP está asociado con un servicio específico en Unix, se puede decir que el filtrado de paquetes ocurre en las capas de transporte, red y aplicación. Un administrador puede bloquear llamadas a un puerto específico y bloquear paquetes desde una dirección específica o una red específica. Entonces, por ejemplo, puede permitir que un usuario interno trabaje con todos los servicios de red y descartar todos los paquetes provenientes del exterior, excepto las llamadas al puerto 80 (HTTP), lo que, sin embargo, no protegerá la red de ataques de subprogramas Java y Objetos ActiveX.

Entre las ventajas de FP se encuentran la transparencia para los usuarios y la flexibilidad a la hora de configurar reglas de filtrado. Como ejemplo de FP, tomemos ipfirewall, que se distribuye de forma gratuita para sistemas BSD (se puede obtener una versión de este paquete en ftp. bsdi. corn /contrib/networking/security/o ftp.nebulus.net /pub /bsdi/seguridad/).

La configuración de las reglas de filtrado se puede establecer tanto cuando se llama en la línea de comando como en archivos crontab. Por ejemplo, el comando:

ipfirewall addb rechazar todo desde 194.85.21.161 a 194.85.21.129

permite «rechazar» todos los paquetes provenientes de 194.85.21.161 a 194.85.21.129.

Pero al mismo tiempo, la configuración de las reglas debe realizarse con mucho cuidado y cuidado, lo que requiere cierto conocimiento de las tecnologías TCP y UDP. En general, las reglas de filtrado se especifican como una tabla de condiciones y acciones que deben aplicarse en una secuencia determinada antes de que el sistema decida permitir o descartar un paquete.

Imaginemos el siguiente escenario. El administrador de la red clase B 194.85 quiere denegar el acceso desde Internet a su red (194.85.0.0/16) (esta entrada indica que los dieciséis bits más altos se consideran significativos e incluyen todas las direcciones de la red 194.85). Dentro de la red existe una subred 194.85.21.0/24, máquinas en las que interactúan con una organización fuera de esta red. El administrador debe permitir el acceso a la subred 194.85.21.0/24 desde la red 194.226.0.0/16.

Además, el administrador cree que alguna amenaza puede provenir de una subred específica 194.226.55.0/24 de la red 194.226, y quiere denegar el acceso a sus máquinas desde ella.

En la situación descrita, la tabla de reglas puede verse así (Tabla 2)

Tabla 2.

La regla C es la «regla predeterminada» y se invocará si el paquete no cumple con los requisitos especificados en las dos primeras reglas.

De acuerdo con el requisito de la Comisión Técnica Estatal de Rusia, los sistemas de filtrado de paquetes deben tomar una decisión basada en al menos dos atributos (dirección del remitente/dirección del destinatario, etc.)

La principal ventaja de utilizar FP es su bajo costo de implementación y su mínimo impacto en el rendimiento de la red. Si ya tiene instalado un enrutador IP de hardware o software que proporciona capacidades de filtrado de paquetes (por ejemplo, fabricado por Cisco Systems, Bay Networks o Novell), configurar la pantalla será completamente gratuito, sin contar el tiempo dedicado a crear reglas de filtrado de paquetes. .

Si hablamos de las desventajas de la FP, la principal es su menor fiabilidad que otro tipo de pantallas. Otro punto negativo es la falta de autenticación del usuario. En una palabra, dicha protección no puede considerarse perfecta.

Normalmente, las implementaciones de firewall específicas combinan el filtrado de paquetes con otras arquitecturas, generalmente con inspección de estado. En este caso, obtenemos una pantalla de nivel experto que, al igual que el filtro de paquetes, comprueba los encabezados de los paquetes IP, pero además recuerda los números de todas las conexiones y las restablece una vez finalizado el servicio. El mecanismo de inspección estatal está implementado en el sistema Checkpoint Firewall v 1.2.

Se puede construir un firewall utilizando agentes de protección que establecen comunicación entre un sujeto y un objeto, y luego reenvían información para realizar monitoreo y/o registro. El uso de agentes de protección añade otra función protectora: ocultar el verdadero objeto al sujeto, mientras el sujeto parece estar interactuando directamente con él. Generalmente la pantalla no es simétrica; los conceptos de «interior» y «afuera». En este caso, la tarea de blindaje se formula como proteger el área interna del área externa incontrolada y potencialmente hostil.

Los servicios TCP y UDP de alto nivel suponen, cuando se recibe un paquete, que la dirección de origen especificada en el paquete es verdadera. En otras palabras, la dirección IP es la base de las decisiones de la pantalla: se considera que el paquete ha sido enviado desde un host existente, y precisamente desde aquel cuya dirección está especificada en el paquete. IP tiene una opción llamada «opción de enrutamiento de origen» que se puede utilizar para especificar la ruta exacta de ida y vuelta entre el remitente y el destinatario. Esta opción le permite utilizar hosts al transmitir paquetes que normalmente no se utilizan al transmitir paquetes de una máquina a otra. Para algunos servicios, un paquete que llega con esta opción parece haber sido enviado por el último host de la cadena de ruta, en lugar de por el verdadero remitente. Esta característica de la propiedad intelectual puede formularse como la protección del área interna del área externa incontrolada y potencialmente hostil.

El servidor intermediario de la capa de aplicación, al recibir una solicitud, lanza el servicio correspondiente en la puerta de enlace, que controla la transferencia de datos. Hay servicios para todos los servicios estándar como telnet, ftp, http, riogin, etc. Esto también utiliza un servidor de autenticación para determinar si un servicio en particular está disponible para un usuario determinado. Todo esto, por supuesto, aumenta la seguridad de los sistemas, pero tiene un efecto negativo en la velocidad y transparencia del sistema.

El funcionamiento de un servidor intermediario se puede considerar utilizando el ejemplo del paquete de software Trusted International Security TIS FWTK. Este producto no es un firewall completo, sino un conjunto de herramientas para prepararlo. Este paquete supone su instalación en varios sistemas Unix, como BSD, Solaris, Sun OS, Linux, etc. Una vez instalado, el paquete reemplaza los demonios de servicio existentes llamados en el archivo /etc/rc por otros modificados apropiadamente. Luego, al recibir una solicitud para una aplicación específica, el demonio correspondiente accede a un archivo de configuración especial /usr/local /etc/netperm-table, que especifica las reglas para transmitir información a través de esta red. Daemon lee las reglas secuencialmente y, cuando encuentra una relacionada con ella, verifica si la solicitud entrante coincide con la regla establecida y toma una decisión sobre la posibilidad/imposibilidad de dejar pasar el paquete.

La mayoría de los sistemas ME comerciales existentes también permiten ocultar la estructura interna de la red IP de una organización (la llamada traducción de direcciones de red). . Normalmente, el ME está configurado para al menos dos interfaces: una interna para la red local y otra externa. Además, el ME puede tener una interfaz para conectar las llamadas zonas desmilitarizadas: servidores web y FTP.

Los productos ME comerciales suelen tener una interfaz gráfica (GUI) y potentes herramientas de administración que le permiten crear reglas de filtrado flexibles. Sin embargo, los fabricantes de productos afirman que el uso de la GUI ralentiza el sistema y recomiendan ejecutarlo desde la línea de comandos. Además, un firewall serio debe poder configurar y administrar el sistema de forma remota, así como registrar eventos, como intentos de acceso no autorizados, etc.

Inicialmente, incluso antes de la publicación del RD en ME, GGK certificó productos que eran esencialmente firewalls para el cumplimiento de los requisitos de los sistemas automatizados, es decir, guiados por el RD. al AS. Sobre esta base se certificaron las pantallas «Pandora» (certificado STC del 16/01/97) y BlackHole (producto de Milkyway Networks Corporation, certificado del 30/01/97). Desde junio de 1997, la certificación del cortafuegos se realiza sobre la base del RD del ME.

Caractericemos algunos de los productos certificados que se presentan actualmente en el mercado ruso (para obtener una lista completa, consulte la Tabla 3).

Tabla 3. Estado certificado Cortafuegos del Comité de Aduanas

DataGuard 24/S. En diciembre de 1997, la empresa «Signal-KOM» recibió el certificado nº 115 de la Comisión Técnica Estatal de Rusia. para la familia de firewalls DataGuard/24s. Estos productos le permiten crear redes corporativas seguras basadas en los protocolos X.25 y Frame Relay.

Funciones del complejo DataGuard /24s:

—filtrar solicitudes para establecer conexiones;

—filtrado de paquetes (X. 25), tramas (FrameRelay) y datagramas (IP) dentro de la conexión establecida;

—protección de la información transmitida a través de una conexión establecida.

Firewall de punto de control -1— un producto de la empresa estadounidense Checkpoint, presentado para certificación por 000 «Moscow Information Network», fue certificado en la clase 4 (certificado de la Comisión Técnica Estatal de Rusia III del 8 de octubre de 1997). Checkpoint es un líder mundial reconocido en el desarrollo de firewalls. Su participación en el mercado mundial de dichos productos es más del 40%.

Checkpoint utiliza tecnología de inspección multicapa original en sus pantallas.

«Puesto de avanzada». Complejo «Zastava Jet» (Certificados de la Comisión Técnica Estatal de Rusia No. 146 del 14 de enero de 1998, 146/1 del 26 de junio de 98146) es uno de los desarrollos nacionales más serios en el campo de las herramientas de seguridad de redes corporativas. Esta pantalla fue desarrollada por especialistas de la famosa empresa Jet Infosystems. El complejo se instala en estaciones de trabajo Sun, ejecuta el sistema operativo Solaris y se basa en el paquete Gauntlet. Cabe señalar que este conjunto de herramientas de Trusted Information Systems es generalmente muy popular entre los desarrolladores rusos de herramientas de seguridad de redes.

Este producto también está respaldado por el hecho de que se recomienda su uso en organizaciones del Ministerio de Defensa ruso.

«Pandora». Además, incluso antes de la publicación del documento de orientación antes mencionado, el Comité Estatal de Aduanas certificó dos productos, que no son más que firewalls, para cumplir con los requisitos para sistemas automatizados (RD por AS): «Pandora&#; 187; (Certificado de la Comisión Técnica Estatal de Rusia No. 731 del 16/01/97) y BlackHole (un producto de la corporación Milkyway Networks, certificado No. 79 del 30/01/97).

Los lotes de estos dispositivos también están certificados para cumplir con los requisitos del documento guía «Equipos informáticos. Cortafuegos. Protección contra el acceso no autorizado a la información. Indicadores de protección contra el acceso no autorizado a la información» según la tercera clase de garantía (certificados No. 9183 del 10.06.98, No. 184 del 10.06.98)

Cortafuegos «Pandora» desarrollado por uno de los líderes rusos en el campo de la seguridad de la información, JSC «Relcom-Alfa» y está basado en la pantalla Gauntlet 3.1. Li de Trusted Information Systems. Es un complejo de software y hardware en una estación Silicon Graphics, que ejecuta el sistema operativo Irix 6.3. Esta pantalla tiene la función de ocultar direcciones de red internas (todos los paquetes IP tienen una dirección de puerta de enlace de salida) y cuenta con poderosas herramientas de registro de eventos.

«Pandora» viene con códigos fuente, lo que crea una comodidad adicional para una personalización de pantalla más flexible.

En conclusión, podemos decir que los firewalls son un mecanismo flexible y confiable para proteger los recursos de información de la red corporativa del acceso no autorizado.

Tabla 4. Algunos populares cortafuegos