Функции межсетевых экранов
Для противодействия несанкционированному межсетевому доступу МЭ должен располагаться между защищаемой сетью организации, являющейся внутренней, и потенциально враждебной внешней сетью (рис. 9.1). При этом все взаимодействия между этими сетями должны осуществляться только через МЭ. Организационно МЭ входит в состав защищаемой сети.
МЭ, защищающий сразу множество узлов внутренней сети, призван решить:
• задачу ограничения доступа внешних (по отношению к защищаемой сети) пользователей к внутренним ресурсам корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;
• задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующимся для выполнения служебных обязанностей.
До сих пор не существует единой общепризнанной классификации МЭ. Их можно классифицировать, например, по следующим основным признакам.
По функционированию на уровнях модели OSI:
• пакетный фильтр (экранирующий маршрутизатор — screening router);
• шлюз сеансового уровня (экранирующий транспорт);
• прикладной шлюз (application gateway);
• шлюз экспертного уровня (stateful inspection firewall).
По используемой технологии:
• контроль состояния протокола (stateful inspection);
• на основе модулей посредников (proxy).
По исполнению:
• аппаратно-программный;
• программный.
По схеме подключения:
• схема единой защиты сети;
• схема с защищаемым закрытым и не защищаемым открытым сегментами сети;
• схема с раздельной защитой закрытого и открытого сегментов сети.
Фильтрация трафика
Фильтрация информационных потоков состоит в их выборочном пропускании через экран, возможно, с выполнением некоторых преобразований. Фильтрация осуществляется на основе набора предварительно загруженных в МЭ правил, соответствующих принятой политике безопасности. Поэтому МЭ удобно представлять как последовательность фильтров, обрабатывающих информационный поток (рис. 9.2).
Каждый из фильтров предназначен для интерпретации отдельных правил фильтрации путем:
1) анализа информации по заданным в интерпретируемых правилах критериям, например по адресам получателя и отправителя или по типу приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих решений:
• не пропустить данные;
• обработать данные от имени получателя и возвратить результат отправителю;
• передать данные на следующий фильтр для продолжения анализа;
• пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные действия, которые относятся к функциям посредничества, например преобразование данных, регистрация событий и др. Соответственно правила фильтрации определяют перечень условий, по которым осуществляется:
• разрешение или запрещение дальнейшей передачи данных;
• выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока могут использоваться следующие параметры:
• служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другие значимые данные;
• непосредственное содержимое пакетов сообщений, проверяемое, например, на наличие компьютерных вирусов;
• внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.
Выполнение функций посредничества
Функции посредничества МЭ выполняет с помощью специальных программ, называемых экранирующими агентами или программами-посредниками. Эти программы являются резидентными и запрещают непосредственную передачу пакетов сообщений между внешней и внутренней сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере МЭ. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разрешении сама устанавливает отдельное соединение с требуемым компьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока сообщений, а также осуществлять другие защитные функции.
Следует иметь в виду, что МЭ может выполнять функции фильтрации без применения программ-посредников, обеспечивая прозрачное взаимодействие между внутренней и внешней сетью. Вместе с тем программные посредники могут и не осуществлять фильтрацию потока сообщений.
В общем случае программы-посредники, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функции:
• проверку подлинности передаваемых данных;
• фильтрацию и преобразование потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;
• разграничение доступа к ресурсам внутренней сети;
• разграничение доступа к ресурсам внешней сети;
• кэширование данных, запрашиваемых из внешней сети;
• идентификацию и аутентификацию пользователей;
• трансляцию внутренних сетевых адресов для исходящих пакетов сообщений;
• регистрацию событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и генерацию отчетов.
Программы-посредники могут осуществлять проверку подлинности получаемых и передаваемых данных. Это актуально не только для аутентификации электронных сообщений, но и мигрирующих программ (Java, ActiveX Controls), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей.
Программы-посредники могут выполнять разграничение доступа к ресурсам внутренней или внешней сети, используя результаты идентификации и аутентификации пользователей при их обращении к МЭ.
Способы разграничения доступа к ресурсам внутренней сети практически не отличаются от способов разграничения, поддерживаемых на уровне операционной системы.
При разграничении доступа к ресурсам внешней сети чаще всего используется один из следующих подходов:
• разрешение доступа только по заданным адресам во внешней сети;
• фильтрация запросов на основе обновляемых списков недопустимых адресов и блокировка поиска информационных ресурсов по нежелательным ключевым словам;
• накопление и обновление администратором санкционированных информационных ресурсов внешней сети в дисковой памяти МЭ и полный запрет доступа во внешнюю сеть.
С помощью специальных посредников поддерживается также кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внутренней сети к информационным ресурсам внешней сети вся информация накапливается на пространстве жесткого диска МЭ, называемого в этом случае proxy-сервером. Поэтому если при очередном запросе нужная информация окажется на proxy-сервере, то посредник предоставляет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периодическом обновлении содержимого proxy-сервера.
Функция кэширования успешно может использоваться для ограничения доступа к информационным ресурсам внешней сети. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются и обновляются администратором на proxy-сервере. Пользователям внутренней сети разрешается доступ только к информационным ресурсам proxy-сервера, а непосредственный доступ к ресурсам внешней сети запрещается.
Фильтрация и преобразование потока сообщений выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ-посредников:
• экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например FTP, HTTP, Telnet;
• универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например агенты, ориентированные на поиск и обезвреживание компьютерных вирусов, или прозрачное шифрование данных.
Программный посредник анализирует поступающие к нему пакеты данных и, если какой-либо объект не соответствует заданным критериям, то либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например обезвреживает обнаруженные компьютерные вирусы. При анализе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходящие файловые архивы.
МЭ с посредниками позволяют также организовывать защищенные виртуальные сети VPN (Virtual Private Network), например безопасно объединять несколько локальных сетей, подключенных к Internet, в одну виртуальную сеть.
Дополнительные возможности МЭ
Помимо выполнения фильтрации трафика и функций посредничества некоторые МЭ позволяют реализовывать другие, не менее важные функции, без которых обеспечение защиты периметра внутренней сети было бы неполным.
Идентификация и аутентификация пользователей. Кроме разрешения или запрещения допуска различных приложений в сеть, МЭ могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым МЭ.
Прежде чем пользователю будет предоставлено право использования какого-либо сервиса, необходимо убедиться, что он действительно тот, за кого себя выдает. Идентификация и аутентификация пользователей являются важными компонентами концепции МЭ. Авторизация пользователя обычно рассматривается в контексте аутентификации — как только пользователь аутенти-фицирован, для него определяются разрешенные ему сервисы.
Идентификация и аутентификация пользователя иногда осуществляются при предъявлении обычного идентификатора (имени) и пароля. Однако эта схема уязвима с точки зрения безопасности — пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных многоразовых паролей. Злоумышленники могут наблюдать за каналами в сети Internet и перехватывать передающиеся в них открытым текстом пароли, поэтому такая схема аутентификации считается неэффективной. Пароль следует передавать через общедоступные коммуникации в зашифрованном виде (рис. 9.3). Это позволяет предотвратить получение несанкционированного доступа путем перехвата сетевых пакетов.
Более надежным методом аутентификации является использование одноразовых паролей. Широкое распространение получила технология аутентификации на основе одноразовых паролей SecurID.
Удобно и надежно также применение цифровых сертификатов, выдаваемых доверенными органами, например центром распределения ключей. Большинство программ-посредников разрабатываются таким образом, чтобы пользователь аутентифициро-вался только в начале сеанса работы с МЭ. После этого от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.
Так как МЭ могут централизовать управление доступом в сети, они являются подходящим местом для установки программ или устройств усиленной аутентификации. Хотя средства усиленной аутентификации могут использоваться на каждом хосте, более практично их размещение на МЭ. При отсутствии МЭ, использующего меры усиленной аутентификации, неаутентифици-рованный трафик таких приложений, как Telnet или FTP, может напрямую проходить к внутренним системам в сети.
Ряд МЭ поддерживают Kerberos — один из распространенных методов аутентификации. Как правило, большинство коммерческих МЭ поддерживают несколько различных схем аутентификации, позволяя администратору сетевой безопасности сделать выбор наиболее приемлемой схемы для своих условий.
Трансляция сетевых адресов. Для реализации многих атак злоумышленнику необходимо знать адрес своей жертвы. Чтобы скрыть эти адреса, а также топологию всей сети, МЭ выполняют очень важную функцию — трансляцию внутренних сетевых адресов (network address translation) (рис. 9.4).
Данная функция реализуется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов выполняется автоматическое преобразование IP-адресов компьютеров-отправителей в один «надежный» IP-адрес.
Трансляция внутренних сетевых адресов может осуществляться двумя способами — динамически и статически. В первом случае адрес выделяется узлу в момент обращения к МЭ. После завершения соединения адрес освобождается и может быть использован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МЭ, из которого передаются все исходящие пакеты. IP-адрес МЭ становится единственным активным IP-адресом, который попадает во внешнюю сеть. В результате все исходящие из внутренней сети пакеты оказываются отправленными МЭ, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью.
При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкционированного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адресации, не согласованную с адресацией во внешней сети, например в сети Internet. Это эффективно решает проблему расширения адресного пространства внутренней сети и дефицита адресов внешней сети.
Администрирование, регистрация событий и генерация отчетов.
Простота и удобство администрирования является одним из ключевых аспектов в создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать дыру, через которую возможен взлом системы. Поэтому в большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление, просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил. Как правило, утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например все, что относится к конкретному пользователю или сервису.
Важными функциями МЭ являются регистрация событий, реагирование на задаваемые события, а также анализ зарегистрированной информации и составление отчетов. МЭ, являясь критическим элементом системы защиты корпоративной сети, имеет возможность регистрации всех действий, им фиксируемых. К таким действиям относятся не только пропуск или блокирование сетевых пакетов, но и изменение правил разграничения доступа администратором безопасности и другие действия. Такая регистрация позволяет обращаться к создаваемым журналам по мере необходимости (в случае возникновения инцидента безопасности или сбора доказательств для предоставления их в судебные инстанции или для внутреннего расследования).
При правильно настроенной системе фиксации сигналов о подозрительных событиях (alarm) МЭ может дать детальную информацию о том, были ли МЭ или сеть атакованы или зондированы. Собирать статистику использования сети и доказательства ее зондирования важно по нескольким причинам. Прежде всего нужно знать наверняка, что МЭ устойчив к зондированию и атакам, и определить, адекватны ли меры защиты МЭ. Кроме того, статистика использования сети важна в качестве исходных данных при проведении исследований и анализе риска для формулирования требований к сетевому оборудованию и программам.
Многие МЭ содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, времени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета позволяют произвести анализ статистики и предоставляют администраторам подробные отчеты. За счет использования специальных протоколов МЭ могут выполнить удаленное оповещение об определенных событиях в режиме реального времени.
В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть определено уведомление администратора, т. е. выдача предупредительных сигналов. Любой МЭ, который не способен посылать предупредительные сигналы при обнаружении нападения, нельзя считать эффективным средством межсетевой защиты.
Эта статья была опубликована Пятница, 11 сентября, 2009 at 14:35 в рубрике Технологии межсетевых экранов. Вы можете следить за ответами через RSS 2.0 feed.