Информационная безопасность. Лекция 15: Экранирование и межсетевые экраны

Экранирование и межсетевые экраны

Основные понятия

По материалам руководящего документа Государственной технической комиссии России межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, то есть ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Мы будем использовать понятия межсетевой экран (МЭ), брандмауэр, firewall, шлюз с установленным дополнительным программным обеспечением firewall, как эквивалентные.

Формальная постановка задачи экранирования, состоит в следующем. Пусть имеется два множества информационных систем. Экран — это средство разграничения доступа клиентов из одного множества к серверам из другого множества. Экран осуществляет свои функции, контролируя все информационные потоки между двумя множествами систем (рис.1а). Контроль потоков состоит в их фильтрации, возможно, с выполнением некоторых преобразований.

clip_image002
Рис.1а.  Экран как средство разграничения доступа.

На следующем уровне детализации экран (полупроницаемую мембрану) удобно представлять как последовательность фильтров. Каждый из фильтров, проанализировав данные, может задержать (не пропустить) их, а может и сразу "перебросить" за экран. Кроме того, допускается преобразование данных, передача порции данных на следующий фильтр для продолжения анализа или обработка данных от имени адресата и возврат результата отправителю (рис.1б).

clip_image004
Рис.1б. Экран как последовательность фильтров

Помимо функций разграничения доступа, экраны осуществляют протоколирование обмена информацией.

Межсетевой экран располагается между защищаемой (внутренней) сетью и внешней средой (внешними сетями или другими сегментами корпоративной сети). В первом случае говорят о внешнем МЭ, во втором — о внутреннем. Межсетевой экран — идеальное место для встраивания средств активного аудита. МЭ способен реализовать сколь угодно мощную реакцию на подозрительную активность, вплоть до разрыва связи с внешней средой.

На межсетевой экран целесообразно возложить идентификацию/аутентификацию внешних пользователей, нуждающихся в доступе к корпоративным ресурсам (с поддержкой концепции единого входа в сеть).

В силу принципов эшелонированности обороны для защиты внешних подключений обычно используется двухкомпонентное экранирование (рис.2). Первичная фильтрация (например, пакетов с определенными IP-адресами, включенными в "черный список") осуществляется граничным маршрутизатором, за которым располагается так называемая демилитаризованная зона (сеть с умеренным доверием безопасности, куда выносятся внешние информационные сервисы организации — Web, электронная почта и т.п.) и основной МЭ, защищающий внутреннюю часть корпоративной сети.

clip_image005
Рис.2.  Двухкомпонентное экранирование с демилитаризованной зоной.

Теоретически межсетевой экран (особенно внутренний) должен быть многопротокольным, однако на практике доминирование семейства протоколов TCP/IP столь велико, что поддержка других протоколов представляется излишеством, вредным для безопасности (чем сложнее сервис, тем он более уязвим).

Внешний, и внутренний межсетевой экран может стать узким местом, поскольку объем сетевого трафика имеет тенденцию быстрого роста. Один из подходов к решению этой проблемы предполагает разбиение МЭ на несколько аппаратных частей и организацию специализированных серверов-посредников. Основной межсетевой экран может проводить грубую классификацию входящего трафика по видам и передоверять фильтрацию соответствующим посредникам (например, посреднику, анализирующему HTTP-трафик). Исходящий трафик сначала обрабатывается сервером-посредником, который может выполнять и функционально полезные действия, такие как кэширование страниц внешних Web-серверов, что снижает нагрузку на сеть вообще и основной МЭ в частности.

Ситуации, когда корпоративная сеть содержит лишь один внешний канал, являются скорее исключением, чем правилом. Чаще корпоративная сеть состоит из нескольких территориально разнесенных сегментов, каждый из которых подключен к Internet. В этом случае каждое подключение должно защищаться своим экраном. Можно считать, что корпоративный внешний межсетевой экран является составным (распределенным), и требуется решать задачу согласованного администрирования всех компонентов.

Существуют также персональные МЭ, предназначенные для защиты отдельных компьютеров. Главное отличие персонального межсетевого экрана от распределенного — наличие функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях — персональной (для домашних пользователей) и распределенной (для корпоративных пользователей).

Принципы работы межсетевых экранов

Существует два основных способа создания наборов правил межсетевого экрана: ''включающий'' и ''исключающий''. Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам и блокирует все остальное.

Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Безопасность может быть дополнительно повышена с использованием ''межсетевого экрана с сохранением состояния''. Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что оптимально для реальных применений.

Классификация межсетевых экранов

При рассмотрении любого вопроса, касающегося сетевых технологий, основой служит семиуровневая эталонная модель ISO/OSI. Межсетевые экраны также целесообразно классифицировать по уровню фильтрации:

·

·

· канальному,

· сетевому,

· транспортному,

· прикладному.

Соответственно, можно говорить об:

· экранирующих концентраторах (мостах, коммутаторах) (уровень 2),

· маршрутизаторах (уровень 3),

· о транспортном экранировании (уровень 4)

· о прикладных экранах (уровень 7).

Существуют также комплексные экраны, анализирующие информацию на нескольких уровнях. Таким образом, МЭ можно разделить на три типа:

  • пакетные фильтры (packet filter)
  • сервера прикладного уровня (application gateways)
  • сервера уровня соединения (circuit gateways)

Фильтрация информационных потоков осуществляется межсетевыми экранами на основе набора правил, являющихся выражением сетевых аспектов политики безопасности организации. В этих правилах, помимо информации, содержащейся в фильтруемых потоках, могут фигурировать данные, полученные из окружения, например, текущее время, количество активных соединений, порт, через который поступил сетевой запрос, и т.д. Таким образом, в межсетевых экранах используется мощный логический подход к разграничению доступа.

Возможности межсетевого экрана непосредственно определяются тем, какая информация может использоваться в правилах фильтрации и какова может быть мощность наборов правил. Вообще говоря, чем выше уровень в модели ISO/OSI, на котором функционирует МЭ, тем более содержательная информация ему доступна и, следовательно, тем тоньше и надежнее он может быть сконфигурирован.

Пакетные фильтры

Экранирующие маршрутизаторы (и концентраторы) имеют дело с отдельными пакетами данных, поэтому их называют пакетными фильтрами. Дополнительной возможностью пакетных фильтров являются: модификация некоторых полей в заголовках пакетов, трансляция адресов и номеров портов, протоколирование и ведение статистики, немедленное уведомление администратора о появлении пакетов, которые блокируются фильтром. Конструктивной особенностью простых фильтров пакетов является отсутствие памяти состояния соединения, т.е. они не являются в полном смысле протокольными автоматами. Простая фильтрация пакетов действует только на сетевом уровне. В качестве данных из заголовков IP-пакетов для фильтрации могут использоваться (в порядке убывания значимости):

· IP-адрес компьютера-источника,

· IP- адрес компьютера-приемника,

· тип протокола транспортного уровня,

· порт источника TCP/UDP,

· порт приемника TCP/UDP,

· дополнительные параметры TCP/UDP,

· длина IP-пакета,

· дополнительные параметры IP-пакета.

Параметрами окружающей среды, которые могут использоваться для фильтрации, являются:

· интерфейс контроля,

· направление передачи пакета,

· текущее время.

Фильтрация на основе IP-адресов источника и приемника является минимальным требованием к МЭ с возможностью простой фильтрации пакетов. Задание только этих данных в критериях фильтрации позволяет запретить установление связи между определенными компьютерами, что позволяет сделать достижимыми из глобальной сети только те компьютеры организации, которые предоставляют службы внешним пользователям или пользуются службами внешней сети. Следует отметить, что фильтрацию на основе цифровых адресов, указанных в заголовках IP-пакетов, могут осуществлять все маршрутизаторы.

Однако злоумышленник может подменить свой адрес (из внешней сети) адресом внутренней сети, таким образом, делая невозможной надежную фильтрацию на основе только цифровых адресов, если необходимо запретить доступ к отдельным компьютерам извне, разрешив к ним доступ для внутренних пользователей. Поэтому очень необходимым параметром фильтрации является направление пакета: входящий во внутреннюю сеть или исходящий из нее.

Текущее время может использоваться для запрещения доступа к некоторым ресурсам организации в нерабочее время и выходные дни. Кроме того, возможно запрещение доступа внешних пользователей в часы наибольшей загрузки локальной сети. Длина IP-пакета может использоваться для блокирования слишком длинных пакетов, получение которых компьютером-приемником может привести к выведению последнего из строя ("зависанию" или перезагрузке).

Тип протокола транспортного уровня (TCP, UDP или ICMP) используется для более качественной фильтрации — можно блокировать весь ICMP-трафик, заблокировав тем самым атаки маршрутизации источника и ей аналогичные. Типы TCP и UDP совместно с номерами портов источника и приемника используются для блокирования доступа к отдельным службам на отдельных компьютерах. Следует отметить, что эффективную защиту службы можно организовать, только если данная служба имеет конкретный фиксированный порт, в противном случае приходиться полностью блокировать доступ к компьютеру, что зачастую неприемлемо.

Используя дополнительные параметры IP-пакета и TCP/UDP-заголовка, можно, например, запретить фрагментацию и сделать соответствующие атаки неэффективными. Некоторые пакетные фильтры предоставляют возможность изменения указанных параметров с той же целью.

Важной дополнительной возможностью МЭ на основе простой фильтрации пакетов является трансляция сетевых адресов и портов (network address & port translation) или изменение реальных адресов компьютеров внутренней сети на вымышленные (виртуальные), причем несколько (или все) реальных внутренних адресов могут транслироваться в один сетевой адрес (с изменением номеров портов). Кроме аспектов, связанных с аспектами защиты, данная возможность может использоваться в случае, если количество компьютеров, подключенных к сети Интернет, в организации больше, чем количество сетевых адресов, официально выделенных данной организации.

Политика фильтрации задается с помощью упорядоченного набора правил. Каждое правило состоит из условия срабатывания правила и, собственно, действия. Комплексное действие правила состоит из действия по разрешению или блокированию пакета (с уведомлением об этом отправителя пакета или без него), действия по трансляции адреса и номера порта, действия по изменению дополнительных параметров TCP/UDP/IP-заголовка, действия по учету пакета (ведение статистики) и действия по возможному немедленному информированию администратора безопасности. Если подходящее правило не было найдено, то используется политика по умолчанию — либо разрешено все, что не запрещено, либо запрещено все, что не разрешено.

Для описания правил прохождения пакетов составляются таблицы типа:

Действие

тип пакета

адрес источн.

порт источн.

адрес назнач.

порт назнач.

флаги

Поле "действие" может принимать значения пропустить или отбросить.
Тип пакета — TCP, UDP или ICMP.
Флаги — флаги из заголовка IP-пакета.
Поля "порт источника" и "порт назначения" имеют смысл только для TCP и UDP пакетов.

К положительным качествам простой пакетной фильтрации (по сравнению с другими методами фильтрации) следует отнести:

· относительно невысокая стоимость;
· гибкость в определении правил фильтрации;
· максимальная пропускная способность.
Недостатки у простой фильтрации пакетов следующие:
· локальная сеть видна (маршрутизируется) из сети Интернет;
· не учитывается содержимое IP-пакетов;
· правила фильтрации пакетов трудны в описании;
· при нарушении работоспособности МЭ все компьютеры за ним становятся полностью незащищенными либо недоступными;
· аутентификацию с использованием IP-адреса (внешней сети) можно обмануть подменой адреса;
· отсутствует аутентификация на пользовательском уровне.
Сервера уровня соединения

Сервер уровня соединения представляет из себя транслятор TCP соединения. Пользователь образует соединение с определенным портом на брандмауэре, после чего последний производит соединение с местом назначения по другую сторону от брандмауэра. Во время сеанса этот транслятор копирует байты в обоих направлениях, действуя как посредник. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух TCP-соединений.

Следует отметить, что компьютер-инициатор не передает МЭ имя компьютера-адресата — его IP-адрес и номер TCP-порта фиксированы для конкретного МЭ и известны. Из этого замечания следует, что, во-первых, связь через МЭ осуществляется от многих к одному, а, во-вторых, МЭ уровня соединения используются только для организации безопасного соединения от внешних компьютеров (удаленных рабочих станций) к внутреннему компьютеру (серверу поддержки локальной сети или информационному серверу). Тем не менее, возможен случай, когда компьютеров-адресатов будет несколько. При этом МЭ, поддерживающий этот случай, перед установлением связи с адресатом должен выбрать конкретный компьютер из нескольких идентичных.

Под безопасностью связи подразумевается то, что после установления связи факт ее существования уже запротоколирован и проведена аутентификация компьютера-инициатора связи. Протоколирование факта означает не только возможность в дальнейшем выследить злоумышленника, но и возможность обнаружения атаки в реальном масштабе времени. Под аутентификацией компьютера-инициатора понимаются действия, предпринимаемые МЭ при проверке допустимости связи.

Проверка допустимости связи выполняется МЭ непосредственно после запроса на соединение компьютером-инициатором и может основываться на данных из пакета-запроса на соединение, данных окружающей среды и статистических данных. В качестве данных пакета-запроса на соединение могут использоваться:

· IP-адрес компьютера-инициатора,

· начальный номер (SYN) пакета TCP-соединения,

· дополнительные параметры TCP-соединения.

Возможными используемыми данными окружающей среды являются:

· ответ DNS-сервера на запрос о символьном имени компьютера-инициатора,

· сетевой интерфейс контроля,

· текущее время запроса соединения,

· текущее количество соединений с компьютером-адресатом (от компьютера-инициатора, от сети компьютера-инициатора, общее число и т.п.) через МЭ.

Наиболее важными из перечисленных выше являются IP-адрес компьютера-инициатора и ответ DNS-сервера, содержащий символьное имя (если таковое имеется) компьютера-инициатора, и текущее время запроса соединения. Следует отметить, что при передаче данных соединения возможен контроль некоторых параметров в целях улучшения защиты и качества соединения:

· длительность соединения,

· скорость передачи данных,

· текущие параметры окна TCP-соединения, и

· большое количество ошибок передачи данных.

Контролирование этих параметров позволяет правильно распределить пропускную способность канала связи между несколькими соединениями, тем самым, ограничив максимально возможную загрузку линий связи трафиком злоумышленника, а также позволяет вовремя обнаружить деятельность злоумышленника и закрыть (т.е. завершить по инициативе посредника) данное соединение (с протоколированием причины и уведомлением об этом администратора).

Метод задания политики фильтрации и принцип функционирования части устройства, реализующей определение допустимости соединения аналогичен вышеописанному.

К преимуществам МЭ уровня соединения следует отнести следующие:

· локальная сеть может быть сделана невидимой из глобальной сети;

· наличие (элементарной) аутентификации компьютера-инициатора соединения по его символьному имени;

· использование политики "запрещено все, что не разрешено";

· способность гибкого регулирования (ограничения) пропускной способности;

· возможность эффективного противостояния атакам с неправильной фрагментацией пакетов соединения;

· возможность противостояния атакам с использованием протокола ICMP;

· возможность использования статистической информации о соединениях для определения неоднократных попыток соединения злоумышленником и автоматического блокирования его действий.

Недостатками МЭ этого типа являются:

· отсутствие аутентификации пользователя;

· нет защиты целостности и конфиденциальности передаваемых данных;

· возможность подмены злоумышленником IP-адреса компьютера-инициатора;

· возможность подмены во время связи аутентифицированного компьютера-инициатора;

· невозможность использования протокола UDP.

Сервера прикладного уровня

МЭ прикладного уровня осуществляет посреднические услуги по передаче данных и команд прикладного уровня двумя компьютерами в сети. Посредничество заключается в том, что связь между двумя компьютерами физически осуществляется через систему-посредника и реально состоит из двух соединений прикладного уровня. В общих чертах принцип работы МЭ прикладного уровня такой же как и у МЭ уровня соединения, однако, функционирование происходит на более высоком уровне и существует возможность поддержки специальных протоколов безопасности (SSH, SSL, S/MIME, SOCKS и др.).

Прежде всего, необходимо отметить, что в отличие от МЭ уровня соединения, ориентированного на единственный протокол TCP, МЭ прикладного уровня существует много — под каждый протокол прикладного (и сеансового) уровня. Каждый МЭ допускает и защищает только тот протокол, который он поддерживает (тем самым реализуется политика "запрещено все, что не разрешено"). Наиболее популярные поддерживаемые МЭ протоколы можно разделить на следующие группы:

· гипертекстовые протоколы — HTTP, SHTTP, HTTPS, Gopher;

· протокол пересылки файлов — FTP;

· почтовые протоколы — SMTP, POP3, IMAP, NNTP;

· протоколы удаленного доступа — Telnet, rlogin, rsh, rexec, RPC, XWindow;

· протокол сетевой файловой системы — NFS, NetBEUI;

· протокол службы имен — DNS;

· "безопасные" протоколы сеансового уровня — SSH, SSL, S/MIME, SOCKS.

Так как МЭ функционирует на прикладном уровне, то у него существуют большие возможности по фильтрации прикладных команд и данных. Например, для протокола FTP возможно запрещение команды "put" — команды записи файла на сервер. Возможна организация разграничения доступа к объектам сервера дополнительно к возможностям самого сервера по разграничению доступа.

Если МЭ поддерживает "безопасный" протокол, то возможно поддержание конфиденциальности и целостности передаваемых через внешнюю сеть данных путем шифрования данных и вычисления криптографических контрольных сумм (т.е. туннелируя трафик прикладного уровня). В этом случае компьютер-инициатор тоже должен поддерживать тот же самый "безопасный" протокол (удаленная защищенная рабочая станция) либо необходим еще один МЭ прикладного уровня, поддерживающий тот же самый "безопасный" протокол (виртуальная частная сеть — VPN).

Способ реализации схемы усиленной аутентификации компьютера-инициатора и пользователя зависит от используемого протокола, поддержка МЭ (и компьютером-инициатором) "безопасного" протокола позволяют не только увеличить надежность аутентификации, но и унифицировать процесс аутентификации.

Следует также отметить, что компьютер-инициатор в начале сеанса связи передает МЭ имя компьютера-адресата и запрашиваемого сервиса (в общем случае — URL), т.е. связь с через МЭ может осуществляется от многих ко многим. Способ передачи этого имени зависит от используемого протокола. Здесь же может передаваться и имя пользователя, с правами которого будет осуществляться доступ. В схеме передачи данных между двумя соединениями вместо простого копирования используется техника высокоуровневой фильтрации, трансляции и кэширования данных (протокольный автомат).

К преимуществам МЭ прикладного уровня (по сравнению с другими методами фильтрации) следует отнести следующие:

· возможность усиленной аутентификации компьютера-инициатора и пользователя;

· возможность защиты от подмены во время связи аутентифицированного компьютера-инициатора;

· защита на уровне приложений позволяет осуществлять большое количество дополнительных проверок, снижая тем самым вероятность атаки с использованием "дыр" в конкретном программном обеспечении;

· возможна защита целостности и конфиденциальности передаваемых данных и команд;

· фильтрация пересылаемых команд и данных;

· большая гибкость в протоколировании передаваемых команд и данных;

· возможность кэширования данных.

Основным недостатком МЭ этого типа является необходимость в существовании нескольких МЭ для разных сервисов.

Пакетная фильтрация инспекционного типа

Пакетная фильтрация инспекционного типа (packet state-full inspection) — способность некоторых МЭ по блокированию (уничтожению) и изменению пакетов, проходящих через МЭ, по заданному критерию на основе данных, содержащихся в этих пакетах, данных контекстов соединений транспортного, сеансового и прикладного уровней, текущих параметров окружающей среды и статистических данных.

Технология фильтрации пакетов инспекционного (или экспертного) типа сочетает в себе элементы всех трех описанных выше технологий. Как и простая фильтрация пакетов, фильтрация инспекционного типа работает на сетевом уровне модели OSI, фильтруя входящие и исходящие пакеты на основе проверки IP-адресов и номеров портов и т.п. Фильтры пакетов инспекционного типа также выполняют функции посредника уровня соединения, определяя, относятся ли пакеты к соответствующему сеансу связи. И, наконец, фильтры инспекционного типа берут на себя функции многих посредников прикладного уровня (одновременно), оценивая и модифицируя содержимое каждого пакета в соответствии с политикой безопасности, выработанной в конкретной организации.

Как и посредник прикладного уровня, фильтр пакетов инспекционного типа может быть сконфигурирован для блокирования пакетов, содержащих определенные команды, например команду "put" службы FTP. Однако, в отличие от посредников прикладного уровня, при анализе данных прикладного уровня такой фильтр не нарушает модели клиент-сервер взаимодействия в сети — фильтр инспекционного типа допускает прямые соединения между компьютером-инициатором соединения и компьютером-адресатом. Для обеспечения защиты такие фильтры перехватывают и анализируют каждый пакет на прикладном уровне модели OSI. Вместо применения связанных с приложениями программ-посредников, фильтр пакетов инспекционного типа использует специальные алгоритмы распознавания и обработки данных на уровне приложений.

Обладая всеми преимуществами трех вышерассмотренных типов фильтров и минимальным количеством недостатков, МЭ с функцией фильтрации пакетов инспекционного типа обеспечивают один из самых высоких на сегодняшний день уровней защиты локальных сетей.

Схемы подключения МЭ

Брандмауэр может использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для подключения к внешней сети (см. рис. 1).

clip_image007

Иногда используется схема, изображенная на рис 3, однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

clip_image009

Если брандмауэр может поддерживать два Ethernet интерфейса, то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).

clip_image010

При этом между внешним роутером и брандмауэром имеется только один путь, по которому идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты. Другая схема представлена на рис. 5.

clip_image012

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые брандмауэры предлагают разместить эти сервера на нем самом — решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра

Существуют решения (см рис. 6),которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети. При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

clip_image014

Дополнительные возможности МЭ

Можно отметить следующие дополнительные возможности межсетевых экранов:

  • антивирусный контроль "на лету";
  • контроль информационного наполнения (верификация Java-апплетов, выявление ключевых слов в электронных сообщениях и т.п.);
  • выполнение функций ПО промежуточного слоя;
  • наличие сервисных утилит работы с правилами;
  • встраиваемые системы сбора статистики и предупреждений об атаке.

Эффективный межсетевой экран должен обладать механизмом защиты от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

Вопросы безопасности применения МЭ

Наиболее очевидным недостатком МЭ является большая вероятность того, что он может заблокировать некоторые необходимые пользователю службы, такие как Telnet, FTP, XWindow, NFS и т.д. Некоторые объекты могут обладать топологией, не предназначенной для использования МЭ, или использовать службы (сервисы) таким образом, что его использование потребовало бы полной реорганизации локальной сети.

МЭ не защищают системы локальной сети от проникновения через "люки" (backdoors). Например, если на систему, защищенную МЭ. все же разрешается неограниченный модемный доступ, злоумышленник может с успехом обойти МЭ. Связь через протоколы PPP (Point-to-Point) и SLIP (Serial Line IP) в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения. Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

МЭ, как правило, не обеспечивает защиту от внутренних угроз. С одной стороны, МЭ можно разработать так, чтобы предотвратить получение конфиденциальной информации злоумышленниками из внешней сети, однако, МЭ не запрещает пользователям внутренней сети копировать информацию на магнитные носители или выводить ее на печатающее устройство. Таким образом, было бы ошибкой полагать, что наличие МЭ обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование МЭ. Межсетевой экран просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МЭ и не находит никаких проблем.

Существует также и возможность "общего риска" — в МЭ все средства безопасности сосредоточены в одном месте, а не распределены между системами сети. Компрометация МЭ ведет к нарушению безопасности для других, менее защищенных систем.

Межсетевой экран фильтрует трафик и принимает решения о пропуске или блокировании сетевых пакетов, опираясь на информацию об используемом протоколе. Как правило, правила предусматривают соответствующую проверку с целью определения того, разрешен или нет конкретный протокол. Например, если на МЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей — Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика, то во внутреннюю сеть может попасть и "вирусная инфекция".

Подмена адреса — это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

В заключение стоит отметить, что межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны.

Вы здесь: Главная Информатика Защита информации Информационная безопасность. Лекция 15: Экранирование и межсетевые экраны