Рассмотрим теперь типичную КСО с точки зрения применимости к ней вышеописанных методов защиты. Как правило, она состоит из клиентских компьютеров под управлением Microsoft Windows XP или реже Windows NT Workstation, серверов Microsoft Windows NT Server, Novell Netware и/или различных Unix-систем, и, возможно, другого сетевого оборудования, такого как сетевые принтеры, концентраторы, коммутаторы и маршрутизаторы с возможностью удаленного управления и т.п.

Использование исключительно модели безопасности на уровне хоста в этом случае может быть неприемлемым, по причине большой сложности (а возможно и невыполнимости) доведения уровня защиты используемых систем до необходимого уровня. Проблемы безопасности в сетях на базе систем Microsoft были показаны выше. В случае, если использование для доступа к Интернет физически отделенной от основной сети системы неприемлемо, наиболее эффективным решением является использование технологии межсетевых экранов.

Согласно определению Государственной Технической Комиссии при Президенте Российской Федерации “Межсетевой экран представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему и/или выходящей из автоматизированной системы, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) автоматизированную систему”. Межсетевые экраны, при правильном их использовании, являются весьма эффективным средством защиты от угроз корпоративным сетям, исходящим из сети Интернет.

2. Теоретические вопросы построения межсетевых экранов

2.1 Архитектуры межсетевых экранов

Межсетевое экраны могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Ниже описываются типичные архитектуры межсетевого экрана и приводят примеры политик безопасности для них.

Хост, подключенный к двум сегментам сети.

Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.

Межсетевой экран на основе хоста, подключенного к двум сегментам сети - это межсетевой экран с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая - с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из не доверенной сети в доверенную - межсетевой экран всегда должен быть при этом промежуточным звеном.[12]

Маршрутизация должна быть отключена на межсетевом экране такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.

Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к сети Интернет. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw).

Экранированный хост.

При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.[12]

Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между компьютерной сетью организации и сети Интернет.

Экранированная подсеть.

Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.[12]

Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.

2.2 Классификация межсетевых экранов

Межсетевые экраны являются устройствами или системами, которые управляют потоком сетевого трафика между сетями с различными требованиями к безопасности. В большинстве современных приложений межсетевые экраны и их окружения обсуждаются в контексте соединений в Интернете и, следовательно, использования стека протоколов TCP/IP. Однако межсетевые экраны применяются и в сетевых окружениях, которые не требуют обязательного подключения к Интернету. Например, многие корпоративные сети предприятия ставят межсетевые экраны для ограничения соединений из и во внутренние сети, обрабатывающие информацию разного уровня чувствительности, такую как бухгалтерская информация или информация о заказчиках. Ставя межсетевые экраны для контроля соединений с этими областями, организация может предотвратить неавторизованный доступ к соответствующим системам и ресурсам внутри чувствительных областей. Тем самым, использование межсетевого экрана обеспечивает дополнительный уровень безопасности, который иначе не может быть достигнут.

В настоящее время существует несколько типов межсетевых экранов. Одним из способов сравнения их возможностей является перечисление уровней модели OSI, которые данный тип межсетевого экрана может анализировать- Модель OSI является абстракцией сетевого взаимодействия между компьютерными системами и сетевыми устройствами. Рассмотрим только уровни модели OSI относящиеся к межсетевым экранам. На рис. 2.1 показан стек протоколов модели OSI.

Рис.2.1. Стек протоколов модели OSI

Уровень 1 представляет собой реальную аппаратуру физического соединения и среду, такую как Ethernet.

Уровень 2 -- уровень, на котором сетевой трафик передается по локальной сети (LAN). Он также является первым уровнем, обладающим возможностью адресации, с помощью которой можно идентифицировать отдельную машину. Адреса назначаются на сетевые интерфейсы и называются MAC (Media Access Control) адресами. Ethernet - адрес, принадлежащий Ethernet-карте, является примером МАС - адреса уровня 2.

Уровень 3 является уровнем, отвечающим за доставку сетевого трафика по WAN. В Интернете адреса уровня 3 называются IP-адресами; адреса обычно являются уникальными, но при определенных обстоятельствах, например, при трансляции сетевых адресов (NAT) возможны ситуации, когда различные физические системы имеют один и тот же IP-адрес уровня 3.

Уровень 4 идентифицирует конкретное сетевое приложение и коммуникационную сессию в дополнение к сетевым адресам; система может иметь большое число сессий уровня 4 с другими ОС. Терминология, связанная с семейством протоколов TCP/IP, включает понятие портов, которые могут рассматриваться как конечные точки сессий: номер порта источника определяет коммуникационную сессию на исходной системе; номер порта назначения определяет коммуникационную сессию системы назначения. Более высокие уровни (5, 6 и 7) представляют приложения и системы конечного пользователя.

Мостиковые межсетевые экраны.

Данный класс межсетевого экрана, функционирующий на 2-м уровне модели OSI, известен также как прозрачный (stealth), скрытый, теневой межсетевой экран.

Мостиковые межсетевые экраны появились сравнительно недавно и представляют перспективное направление развития технологий межсетевого экранирования. Фильтрация трафика ими осуществляется на канальном уровне, т.е. межсетевые экраны работают с фреймами (frame, кадр).

К достоинствам подобных межсетевых экранов можно отнести:

* Нет необходимости в изменении настроек корпоративной сети, не требуется дополнительного конфигурирования сетевых интерфейсов межсетевого экрана.

* Высокая производительность. Поскольку это простые устройства, они не требуют больших затрат ресурсов. Ресурсы требуются либо для повышения возможностей машин, либо для более глубокого анализа данных.

* Прозрачность. Ключевым для этого устройства является его функционирование на 2 уровне модели OSI. Это означает, что сетевой интерфейс не имеет IP-адреса. Эта особенность более важна, чем легкость в настройке. Без IP-адреса это устройство не доступно в сети и является невидимым для окружающего мира. Если такой межсетевой экран недоступен, то как его атаковать? Атакующие даже не будут знать, что существует межсетевой экран, проверяющий каждый их пакет.

Фильтрующие маршрутизаторы.

Межсетевой экран с фильтрацией пакетов (Packet - filtering firewall) - межсетевой экран, который является маршрутизатором или компьютером, на котором работает программное обеспечение, сконфигурированное таким образом, чтобы отфильтровывать определенные виды входящих и исходящих пакетов. Фильтрация пакетов осуществляется на основе информации, содержащейся в TCP- IP-заголовках пакетов (адреса отправителя и получателя, их номера портов и др.)

• Работают на 3 уровне

• Также известны, как межсетевой экран на основе порта

• Каждый пакет сравнивается со списками правил (адрес источника/получателя, порт источника/получателя)

• Недорогой, быстрый (производительный в силу простоты), но наименее безопасный

• Технология 20-летней давности

• Пример: список контроля доступа (ACL, access control lists) маршрутизатора

Шлюз сеансового уровня.

Шлюз сеансового уровня (Circuit-level gateway) -- межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом. Сначала он принимает запрос доверенного клиента на определенные услуги и, после проверки допустимости запрошенного сеанса, устанавливает соединение с внешним хостом. На рис. 2.2 показана схема функционирование шлюза сеансового уровня.

Рис. 2.2. Схема функционирование шлюза сеансового уровня

После этого шлюз просто копирует пакеты в обоих направлениях, не осуществляя их фильтрации. На этом уровне появляется возможность использования функции сетевой трансляции адресов (NAT, network address translation). Трансляция внутренних адресов выполняется по отношению ко всем пакетам, следующим из внутренней сети во внешнюю. Для этих пакетов IP-адреса компьютеров - отправителей внутренней сети автоматический преобразуются в один IP-адрес, ассоциируемый с экранирующим межсетевым экраном. В результате все пакеты, исходящие из внутренней сети, оказываются отправленными межсетевым экраном, что исключает прямой контакт между внутренней и внешней сетью. IP-адрес шлюза сеансового уровня становится единственным активным IP-адресом, который попадает во внешнюю сеть.

• Работает на 4 уровне

• Передает TCP подключения, основываясь на порте

• Недорогой, но более безопасный, чем фильтр пакетов

• Вообще требует работы пользователя или программы конфигурации для полноценной работы

• Пример: SOCKS межсетевой экран

Шлюз прикладного уровня.

Шлюз прикладного уровня (Application-level gateways) - межсетевой экран, который исключает прямое взаимодействие между авторизированным клиентом и внешним хостом, фильтруя все входящие и исходящие пакеты на прикладном уровне модели OSI. На рис. 2.3 показано функционирование шлюза прикладного уровня.

Рис.2.3. Схема функционирование шлюза прикладного уровня

Связанные с приложением программы-посредники перенаправляют через шлюз информацию, генерируемую конкретными сервисами TCP/IP.

Возможности:

* Идентификация и аутентификация пользователей при попытке установления соединения через межсетевой экран;

* Фильтрация потока сообщений, например, динамический поиск вирусов и прозрачное шифрование информации;

* Регистрация событий и реагирование на события;

* Кэширование данных, запрашиваемых из внешней сети.

На этом уровне появляется возможность использования функций посредничества (Proxy).

Для каждого обсуживаемого протокола прикладного уровня можно вводить программных посредников - HTTP-посредник, FTP-посредник и т.д. Посредник каждой службы TCP/IP ориентирован на обработку сообщений и выполнение функций защиты, относящихся именно к этой службе. Также, как и шлюз сеансового уровня, прикладной шлюз перехватывает с помощью соответствующих экранирующих агентов входящие и сходящие пакеты, копирует и перенаправляет информацию через шлюз, и функционирует в качестве сервера-посредника, исключая прямые соединения между внутренней и внешней сетью. Однако, посредники, используемые прикладным шлюзом, имеют важные отличия от канальных посредников шлюзов сеансового уровня. Во-первых, посредники прикладного шлюза связаны с конкретными приложениями программными серверами), а во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели МВОС.

Особенности:

• Работает на 7 уровне;

• Специфический для приложений;

• Умеренно дорогой и медленный, но более безопасный и допускает регистрацию деятельности пользователей;

• Требует работы пользователя или программы конфигурации для полноценной работы;

• Пример: Web (http) proxy;

Стек протоколов TCP/IP соотносится с уровнями модели OSI следующим образом:

Рис. 2.4. Взаимосвязь уровней стека протоколов ТСР/IР и OSI

Современные межсетевые экраны функционируют на любом из перечисленных уровней. На рис. 2.4 показано взаимосвязь уровней стека протоколов TCP/IP и OSI. Первоначально межсетевые экраны анализировали меньшее число уровней; теперь более мощные из них охватывают большее число уровней. С точки зрения функциональности, межсетевой экран, имеющий возможность анализировать большее число уровней, является более совершенным и эффективным. За счет охвата дополнительного уровня также увеличивается возможность более тонкой настройки конфигурации межсетевого экрана. Возможность анализировать более высокие уровни позволяет межсетевого экрана предоставлять сервисы, которые ориентированы на пользователя, например, аутентификация пользователя. Межсетевой экран, который функционирует на уровнях 2, 3 и 4, не имеет дело с подобной аутентификацией.

Независимо от архитектуры межсетевой экран может иметь дополнительные сервисы. Эти сервисы включают трансляцию сетевых адресов (NAT), поддержку протокола динамической конфигурации хоста (DHCP) и функции шифрования, тем самым являясь конечной точкой VPN-шлюза, и фильтрацию на уровне содержимого приложения.

Многие современные межсетевые экраны могут функционировать как VPN-шлюзы. Таким образом, организация может посылать незашифрованный сетевой трафик от системы, расположенной позади межсетевого экрана, к удаленной системе, расположенной позади корпоративного VPN-шлюза; межсетевой экран зашифрует трафик и перенаправит его на удаленный VPN-шлюз, который расшифрует его и передаст целевой системе. Большинство наиболее популярных межсетевых экранов сегодня совмещают эти функциональности.

Многие межсетевые экраны также включают различные технологии фильтрации активного содержимого. Данный механизм отличается от обычной функции межсетевого экрана тем, что межсетевой экран теперь также имеет возможность фильтровать реальные прикладные данные на уровне 7, которые проходят через него. Например, данный механизм может быть использован для сканирования на предмет наличия вирусов в файлах, присоединенных к почтовому сообщению. Он также может применяться для фильтрации наиболее опасных технологий активного содержимого в web, таких как Java, JavaScript и ActiveX. Или он может быть использован для фильтрации содержимого или ключевых слов с целью ограничения доступа к неподходящим сайтам или доменам. Тем не менее, компонент фильтрации, встроенный в межсетевой экран, не должен рассматриваться как единственно возможный механизм фильтрации содержимого; возможно применение аналогичных фильтров при использовании сжатия, шифрования или других технологий.

2.3 Различные типы окружений межсетевых экранов

Окружение межсетевого экрана является термином, который применяется для описания множества систем и компонент, используемых для поддержки функционирования межсетевого экрана в конкретной сети. Простое окружение межсетевого экрана может состоять только из пакетного фильтра. В более сложном и безопасном окружении оно состоит из нескольких межсетевых экранов и прокси со специальной топологией. Рассмотрим возможные сетевые топологии, используемые в качестве окружений межсетевого экрана.

Принципы построения окружения межсетевых экранов.

Существует четыре принципа, которым необходимо следовать:

1. Простота (Keep It Simple)

Данный принцип говорит о первом и основном, о чем надо помнить при разработки топологии сети, в которой функционирует межсетевой экран. Важно принимать наиболее простые решения -- более безопасным является то, чем легче управлять. Трудно понимаемые функциональности часто приводят к ошибкам в конфигурации.

2. Использование устройств по назначению

Использование сетевых устройств для того, для чего они первоначально предназначались, в данном контексте означает, что не следует делать межсетевые экраны из оборудования, которое не предназначено для использования в качестве межсетевого экрана. Например, роутеры предназначены для рейтинга; возможности фильтрования пакетов не являются их исходной целью, и это всегда надо учитывать при разработке окружения межсетевого экрана. Зависимость исключительно от возможности роутера обеспечивать функциональность межсетевого экрана опасна: он может быть легко переконфигурирован. Другим примером являются сетевые коммуникаторы (switch): когда они используются для обеспечения функциональности межсетевого экрана вне окружения межсетевого экрана, они чувствительны к атакам, которые могут нарушить функционирование коммуникатора. Во многих случаях гибридные межсетевые экраны и устройства межсетевых экранов являются лучшим выбором, потому что они оптимизированы в первую очередь для функционирования в качестве межсетевых экранов.

3. Создание обороны вглубь

Оборона вглубь означает создание нескольких уровней защиты в противоположность наличию единственного уровня. Не следует всю защиту обеспечивать исключительно межсетевым экраном. Там, где может использоваться несколько межсетевых экранов, они должны использоваться. Там, где роутеры могут быть сконфигурированы для предоставления некоторого управления доступом или фильтрации, это следует сделать. Если ОС сервера может предоставить некоторые возможности межсетевого экрана, это следует применить.

4. Внимание к внутренним угрозам

Наконец, если уделять внимание только внешним угрозам, то это приводит в тому, что сеть становится открытой для атак, изнутри. Хотя это и маловероятно, но следует рассматривать возможность того, что нарушитель может как-то обойти межсетевой экран и получить свободу действий для атак внутренних или внешних систем. Следовательно, важные системы, такие как внутренние web или e-mail серверы или финансовые системы, должны быть размещены позади внутренних межсетевых экранов или DMZ-зон.

В качестве итога заметим, что выражение «всю защиту можно взломать» особенно применимо к построению окружений межсетевого экрана. При развертывании межсетевых экранов следует помнить о перечисленных выше правилах для определения окружений, но в каждом случае могут иметь место свои собственные требования, возможно, требующие уникальных решений.

DMZ - сети

В большинстве случаев окружение межсетевого экрана образует так называемую DMZ-сеть или сеть демилитаризованной зоны. DMZ-сеть является сетью, расположенной между двумя межсетевыми экранами.

Конфигурация с одной DMZ-сетью.

DMZ-сети предназначены для расположения систем и ресурсов, которым необходим доступ либо только извне, либо только изнутри, либо и извне, и изнутри, но которые не должны быть размещены во внутренних защищенных сетях. Причина в том, что никогда нельзя гарантировать, что эти системы и ресурсы не могут быть взломаны. Но взлом этих систем не должен автоматически означать доступ ко всем внутренним системам. Пример окружения межсетевого экрана с одной DMZ показано на рис. 2.5.

Рис. 2.5. Пример окружения межсетевого экрана с одной DMZ

DMZ-сети обычно строятся с использованием сетевых коммутаторов и располагаются между двумя межсетевыми экранами или между межсетевым экраном и пограничным роутером. Хорошей практикой является размещение серверов удаленного доступа и конечных точек VPN в DMZ-сетях. Размещение этих систем в DMZ-сетях уменьшает вероятность того, что удаленные атакующие будут иметь возможность использовать эти серверы в качестве точки входа в локальные сети. Кроме того, размещение этих серверов в DMZ-сетях позволяет межсетевым экранам служить дополнительными средствами для контроля прав доступа пользователей, которые получают доступ с использованием этих систем к локальной сети.

Service Leg конфигурация.

Одной из конфигураций DMZ-сети является так называемая «Service Leg» конфигурация межсетевого экрана на рис. 2.6. В этой конфигурации межсетевой экран создается с тремя сетевыми интерфейсами. Один сетевой интерфейс соединяется с Интернетом, другой сетевой интерфейс соединяется с внутренней сетью, и третий сетевой интерфейс формирует DMZ-сеть. Такая конфигурация может привести к возрастанию риска для межсетевого экрана при деградации сервиса в течение DoS-атаки, которая будет нацелена на сервисы, расположенные в DMZ-сети. В стандартной конфигурации DMZ-сети DoS-атака для присоединенного к DMZ-ресурса, такого как web-сервер, будет соответствующим образом воздействовать только на этот целевой ресурс. В Service Leg конфигурации DMZ-сети межсетевой экран берет на себя основной удар от DoS-атаки, потому что он должен проверять весь сетевой трафик перед тем, как трафик достигнет присоединенного к DMZ - ресурса. Это может влиять на весь трафик организации, если на ее web-сервер выполнена DoS-атака.

Рис. 2.6. Конфигурация Service Leg DMZ

Конфигурация с двумя DMZ-сетями.

При наличии большого числа серверов с разными требованиями доступа можно иметь межсетевой экран пограничного роутера и два внутренних межсетевого экрана разместить все внешне доступные серверы во внешней DMZ между роутером и первым межсетевым экраном. Пограничный роутер будет фильтровать пакеты и обеспечивать защиту серверов, первый межсетевой экран будет обеспечивать управление доступом и защиту от серверов внутренней DMZ в случае, если они атакованы. Организация размещает внутренне доступные серверы во внутренней DMZ, расположенной между основным и внутренним межсетевыми экранами; межсетевые экраны будут обеспечивать защиту и управление доступом для внутренних серверов, защищенных как от внешних, так и от внутренних атак.

Окружение межсетевого экрана для данной сети показано на рис.2.7.

• Внешняя DMZ-сеть соединена с Интернетом через пакетный фильтр, служащий пограничным роутером, - выше были указаны причин, по которым использование пакетного фильтра является предпочтительным.

• Основной межсетевой экран является VPN-шлюзом для удаленных пользователей; такие пользователи должны иметь ПО VPN-клиента для соединения с межсетевым экраном.

• Входящий SMTP-трафик должен пропускаться основным межсетевым экраном.

• Исходящий HTTP-трафик должен проходить через внутренний межсетевой экран, который передает данный HTTP-трафик прикладному НТТР-прокси, размещенному во внутренней DMZ.

Основные и внутренние межсетевые экраны должны поддерживать технологию stateful inspection и могут также включать возможности прикладного прокси. Основной межсетевой экран должен выполнять следующие действия:

• разрешать внешним пользователям соединяться с VPN-сервером, где они должны аутентифицироваться;

• пропускать внутренние SMTP-соединения и данные к прокси-серверу, где данные могут быть отфильтрованы и переданы системам назначения;

• выполнять роутинг исходящего HTTP-трафика от HTTP-прокси и исходящего SMTP-трафика от SMTP-сервера;

• после этого запретить весь другой исходящий HTTP- и SMTP-трафик;

• после этого разрешить весь другой исходящий трафик;

Внутренний межсетевой экран должен принимать входящий трафик только от основного межсетевого экрана, прикладного HTTP-прокси и SMTP-сервера. Кроме того, он должен принимать SMTP- и HTTP-трафик только от прокси, но не от основного межсетевого экрана. Наконец, он должен разрешать все исходящие соединения от внутренних систем.

Чтобы сделать данный пример применимым к окружениям с более высокими требованиями к безопасности, можно добавить следующие сервисы:

• могут быть добавлены внутренний и внешний DNS-серверы, чтобы спрятать внутренние системы;

• может попользоваться NAT для дальнейшего сокрытия внутренних систем;

• исходящий трафик от внутренних систем может фильтроваться, что может включать фильтрование трафика к определенным сайтам или сервисам в соответствии с политикой управления;

• может быть использовано несколько межсетевых экранов для увеличения производительности;

Рис.2.7. Пример окружения межсетевого экрана с двумя DMZ-сетями

Интранет.

Интранет является сетью, которая выполняет те же самые сервисы, приложения и протоколы, которые присутствуют в Интернете, но без наличия внешнего соединения с Интернетом. Например, сеть предприятии, поддерживающая семейство протоколов TCP/IP, можно рассматривать как Интранет.[10]

Большинство организаций в настоящее время имеет некоторый тип Интранета. Во внутренней сети (интранет) могут быть созданы еще меньшие Интранеты, используя внутренние межсетевые экраны. Например, можно защитить свою собственную персональную сеть внутренним межсетевым экраном, и получившаяся защищенная сеть может рассматриваться как персональная интранет.

Так как Интранет использует те же самые протоколы и прикладные сервисы, что и Интернет, многие проблемы безопасности, унаследованные из Интернета, также присутствуют в Интранете.

Экстранет.

Термин «Экстранет» применяется к сети, логически состоящей из трех частей: две интранет соединены между собой через Интернет с использованием VPN. Экстранет может быть определена как business-to-business Интранет. Эта сеть позволяет обеспечить ограниченный, управляемый доступ удаленных пользователей посредством той же формы аутентификации и шифрования, которые имеются в VPN.

Экстранет имеет те же самые характеристики, что и интранет, за исключением того, что экстранет использует VPN для создания защищенных соединений через публичный Интернет. Целью интранет является предоставление доступа к потенциально чувствительной информации удаленным пользователям или организациям, но при этом запрещая доступ всем остальным внешним пользователям и системам. Экстранет использует протоколы TCP/IP и те же самые стандартные приложения и сервисы, которые используются в Интернете. На рис. 2.8 показан пример топологии сети экстранет.

Рис.2.8. VPN и экстранет, соединяющие две сети Интранета

Компоненты инфраструктуры: концентраторы и коммутаторы.

Дополнительно к роутерам и межсетевым экранам, связь между системами обеспечивают такие инфраструктурные устройства, как концентраторы (hubs) и коммутаторы (switches). Наиболее простым из них является сетевой концентратор. Концентраторы -- это устройства, которые функционируют на уровне 1 модели OSI. Другими словами, они предназначены только для предоставления физического подсоединения сетевых систем или ресурсов.

У сетевых концентраторов существует много слабых мест. Первое и основное состоит в том, что концентраторы позволяют любому устройству, присоединенному к ним, просматривать весь сетевой трафик. По этой причине они не должны использоваться для построения DMZ-сетей или окружений межсетевого экрана.

Более развитыми инфраструктурными устройствами являются сетевые коммутаторы. Это устройства уровня 2, то есть они обладают определенной информацией при создании присоединения сетевых систем или компонент.

Основное свойство коммутаторов состоит в том, что системы, присоединенные к коммутатору, не могут «подсматривать» трафик друг друга; поэтому они лучше подходят для реализации DMZ-сетей и окружений межсетевых экранов.

Важно заметить, что коммутаторы не должны использоваться для предоставления каких-либо возможностей межсетевого экрана или обеспечения изолирования трафика вне окружения межсетевого экрана, так как при этом возможны DoS-атаки, которые могут привести к тому, что коммутаторы переполнят присоединенные сети пакетами.

2.4 Виртуальные частные сети (VPN)

В связи с широким распространением Интернет, интранет, экстранет при разработке и применении распределенных информационных сетей и систем одной из самых актуальных задач является решение проблем информационной безопасности.

В последнее десятилетие в связи с бурным развитием Интернет и сетей коллективного доступа в мире произошел качественный скачок в распространении и доступности информации. Пользователи получили дешевые и доступные каналы связи. Стремясь к экономии средств, предприятия используют такие каналы для передачи критичной коммерческой информации. Однако принципы построения Интернет открывают злоумышленникам возможности кражи или преднамеренного искажения информации. Не обеспечена достаточно надежная защита от проникновения нарушителей в корпоративные и ведомственные сети.

Для эффективного противодействия сетевым атакам и обеспечения возможности активного и безопасного использования в бизнесе открытых сетей в начале 90-х годов родилась и активно развивается концепция построения защищенных виртуальных частных сетей - VPN. (Virtual Private Networks).

Концепция построения защищенных виртуальных частных сетей VPN.

В основе концепции построения защищенных виртуальных частных сетей VPN лежит достаточно простая идея: если в глобальной сети есть два узла, которые хотят обменяться информацией, то для обеспечения конфиденциальности и целостности передаваемой по открытым сетям информации между ними необходимо построить виртуальный туннель, доступ к которому должен быть чрезвычайно затруднен всем возможным активным и пассивным внешним наблюдателям. Термин «виртуальный» указывает на то, что соединение между двумя узлами сети не является постоянным (жестким) и существует только во время прохождения трафика по сети.

Преимущества, получаемые компанией при формировании таких виртуальных туннелей, заключаются, прежде всего, в значительной экономии финансовых средств.

Функции и компоненты сети VPN.

Защищенной виртуальной сетью VPN называют объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную корпоративную сеть, обеспечивающую безопасность циркулирующих данных.

При подключении корпоративной локальной сети к открытой сети возникают угрозы безопасности двух основных типов:

• несанкционированный доступ к корпоративным данным в процессе их передачи по открытой сети;

• несанкционированный доступ к внутренним ресурсам корпоративной локальной сети, получаемый злоумышленником в результате не санкционированного входа в эту сеть.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих основных функций:

• аутентификации взаимодействующих сторон;

• криптографическом закрытии (шифровании) передаваемых данных;

• проверке подлинности и целостности доставленной информации.

Для этих функций характерна взаимосвязь друг с другом. Их реализация основана на использовании криптографических методов защиты информации.

Для защиты локальных сетей и отдельных компьютеров от несанкционированных действий со стороны внешней среды обычно используют межсетевые экраны, поддерживающие безопасность информационного взаимодействия путем фильтрации двустороннего потока сообщений, а также выполнения функций посредничества при обмене информацией. Межсетевой экран располагают на стыке между локальной и открытой сетью. Для защиты отдельного удаленного компьютера, подключенного к открытой сети, программное обеспечение межсетевого экрана устанавливают на этом же компьютере, и такой межсетевой экран называется персональным.

Туннелирование.

Защита информации в процессе ее передачи по открытым каналам основана на построении защищенных виртуальных каналов связи, называемых крипто защищенными туннелями. Каждый такой туннель представляет собой соединение, проведенное через открытую сеть, по которому передаются криптографически защищенные пакеты сообщений.

Создание защищенного туннеля выполняют компоненты виртуальной сети, функционирующие на узлах, между которыми формируется туннель. Эти компоненты принято называть инициатором и терминатором туннеля. Инициатор туннеля инкапсулирует (встраивает) пакеты в новый пакет, содержащий наряду с исходными данными новый заголовок с информацией об отправителе и получателе. Хотя все передаваемые по туннелю пакеты являются пакетами IP, инкапсулируемые пакеты могут принадлежать к протоколу любого типа, включая пакеты не маршрутизируемых протоколов, таких, как NetBEUI. Маршрут между инициатором и терминатором туннеля определяет обычная маршрутизируемая сеть IP, которая может быть и сетью отличной от Интернет. Терминатор туннеля выполняет процесс обратный инкапсуляции - он удаляет новые заголовки и направляет каждый исходный пакет в локальный стек протоколов или адресату в локальной сети.

Сама по себе инкапсуляция никак не влияет на защищенность пакетов сообщений, передаваемых по туннелю. Но благодаря инкапсуляции появляется возможность полной криптографической защиты инкапсулируемых пакетов. Конфиденциальность инкапсулируемых пакетов обеспечивается путем их криптографического закрытия, то есть зашифровывания, а целостность и подлинность - путем формирования цифровой подписи. Поскольку существует большое множество методов криптозащиты данных, очень важно, чтобы инициатор и терминатор туннеля использовали одни и те же методы и могли согласовывать друг с другом эту информацию.

Кроме того, для возможности расшифровывания данных и проверки цифровой подписи при приеме инициатор и терминатор туннеля должны поддерживать функции безопасного обмена ключами. Ну и наконец, чтобы туннели создавались только между уполномоченными пользователями, конечные стороны взаимодействия требуется аутентифицировать.

VPN на основе межсетевых экранов.

Межсетевые экраны большинства производителей содержат функции туннелирования и шифрования данных. К программному обеспечению собственно межсетевого экрана добавляется модуль шифрования.

В качестве примера решения на базе межсетевых экранов можно назвать FireWall-1 компании Check Point Software Technologies. FairWall-1 использует для построения VPN стандартный подход на базе IPSec. Трафик, приходящий в межсетевой экран, дешифруется, после чего к нему применяются стандартные правила управления доступом. FireWall-1 работает под управлением операционных систем Solaris и Windows NT 4.0.

К недостаткам этого метода относятся высокая стоимость решения в пересчете на одно рабочее место и зависимость производительности от аппаратного обеспечения, на котором работает межсетевой экран. На рис. 2.9 показано пример совмещения межсетевого экрана и VPN.

Рис. 2.9. Пример совмещения межсетевого экрана и VPN

2.5 Правильный выбор межсетевых экранов для защиты информации

Оптимальные межсетевые экраны для малых и средних организаций с невысокими требованиями к безопасности.

В данном разделе, рассматриваются широко распространенные програмно-аппаратные межсетевые экраны и приводятся рекомендации по их применению в зависимости от размера организации, требуемого уровня безопасности и стоимости решения. В первой части рассмотрены решения, оптимальные для малых и средних организаций с невысокими требованиями к безопасности, а во второй -- решения для малых и средних компаний и офисов филиалов, нуждающихся в надежной защите.

Выбор варианта.

В настоящее время выбор межсетевых экранов очень широк, начиная от простого (и бесплатного) Windows Firewall, размещаемого на защищаемой машине, до высокопроизводительных межсетевых экранов с проверкой состояния пакетов стоимостью в десятки тысяч долларов. Как выбрать оптимальный вариант для конкретного организация? При выборе межсетевого экрана следует учитывать два основных фактора: требования безопасности и стоимость.

Требования безопасности.

Требования к безопасности постоянно меняются. Администратор должен сочетать надежную защиту с удобством пользовательского доступа к данным, а также учитывать принципиальные ограничения программ, авторы которых обращали мало внимания на безопасность хост-машины и сети.

Ограничения по стоимости. Цена -- барьер между желаниями и действительностью. Главное препятствие на пути к высокой безопасности -- затраты, которые готов или может нести пользователь. Уровень защиты, обеспечиваемый простым широкополосным маршрутизатором для малого/домашнего офиса с проверкой пакетов, значительно ниже, чем при применении промышленного межсетевого экрана с проверкой пакетов и контролем на прикладном уровне. В целом чем выше стоимость межсетевого экрана, тем надежнее защита. Уровень безопасности соответствует затратам, которые несет организация (на разовое приобретение аппаратных средств и программного обеспечения или на оплату консультантов по управлению недорогими решениями).

Решения, представленные в разделе.

Рынок межсетевых экранов чрезвычайно велик и разнообразен, поэтому невозможно оценить каждого поставщика. Чтобы несколько упорядочить картину, было выбрано несколько поставщиков устройств, охватывающих весь спектр надежности и стоимости, от традиционных межсетевых экранов с проверкой пакетов до смешанных устройств с проверкой пакетов и приложений для устранения универсальных угроз (universal threat management, UTM). В данной обзоре представлены такие поставщики, как Cisco Systems, Network Engines, Rimapp, SonicWall и Symantec.

Главный акцент в обзоре сетевых межсетевых экранов для организаций различных размеров и требований к безопасности сделан на уровне защиты, а не характеристиках маршрутизации или дополнительных функциях устройства. Многие поставщики межсетевых экранов взимают дополнительную плату за передовые функции маршрутизации, которые никак не влияют на уровень безопасности. Например, не рассматривались маршрутизация на базе политик, качество обслуживания, прозрачность уровня управления передачей данных и другие сетевые усовершенствования, которые мало влияют на общую безопасность.

С другой стороны, продукты некоторых поставщиков располагают функциями Web-кэширования, значительно повышающими общую ценность приобретения для организации, которой не приходится покупать отдельное решение для кэширования. В результате повышается производительность при работе в Web и снижаются общие затраты на эксплуатацию канала Internet. Наличие Web-proxy также повышает безопасность.

Характеристики оценки межсетевых экранов.

Ниже приводится краткий обзор характеристик, которые принимались во внимание при оценке аппаратных межсетевых экранов. Этот список поможет понять информацию, приведенную в таблице 3.2 и 3.3.

Цена. Стоимость конкретных межсетевых экранов у разных продавцов может сильно различаться. Приведенная в данном обзоре цена отражает стандартный набор функций без дополнительных модулей, которые приходится покупать отдельно. Модули расширения могут значительно повысить указанную цену.

Контроль на прикладном уровне с учетом состояния. Контроль на прикладном уровне с учетом состояния заключается в проверке как заголовков протокола, так и прикладных данных с использованием механизма контроля на прикладном уровне. Примеры -- углубленная проверка на прикладном уровне данных и заголовков HTTP, данных и заголовков SMTP, данных и заголовков протокола Instant Messaging (IM).

Контроль прикладного протокола. Контроль прикладного протокола (иначе, углубленная проверка пакетов -- deep packet inspection) позволяет анализировать протокол прикладного уровня и подтвердить его соответствие стандартам IETF (Internet Engineering Task Force) для наборов команд протоколов. Примеры -- контроль протоколов DNS, FTP, POP3 и SMTP. В процессе контроля прикладного протокола проверка соответствия заданным условиям всех данных на прикладном уровне не выполняется.

Проверка пакетов на соответствие заданным условиям. Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов межсетевого экрана. Проверка пакетов на соответствие заданным условиям применяется практически во всех современных межсетевых экранов и одно время была стандартным методом защиты.

Прозрачная аутентификация Windows. Благодаря прозрачной аутентификации межсетевой экран получает учетные данные пользователя из клиентской операционной системы без постороннего вмешательства. Строгий контроль внешнего доступа пользователей и групп осуществляется без запроса учетных данных пользователя.

Протоколирование всех имен пользователей и приложений Web и Winsock. Протоколирование -- обязательное условие для подготовки исчерпывающих отчетов о соответствии законодательству и эффективного сотрудничества с правоохранительными органами. Через протоколирование имен пользователей и приложений Winsock межсетевой экран получает информацию о приложениях и ресурсах, доступных пользователю при подключении через межсетевой экран.

Контроль на прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку на соответствие заданным условиям и проанализировать протокол соединения в шифрованном туннеле SSL. Межсетевые экраны, которые обеспечивают только проверку пакетов на соответствие заданным условиям, не могут контролировать заголовки и данные прикладного уровня в шифрованных туннелях SSL.

Поддержка Microsoft Exchange Server. Межсетевые экраны со встроенной поддержкой Exchange повышают безопасность удаленных соединений через Internet со службами Exchange, в том числе Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC и RPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторной аутентификации, например RSA SecurID компании RSA Security.

Контроль шлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN межсетевой экран проверяет как пакеты на соответствие заданным условиям, так и туннельные соединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec на прикладном уровне. Контроль на прикладном уровне соединений через канал VPN предотвращает распространение таких «червей», как Blaster и Sasser. Например, межсетевой экран ISA Server 2004 компании Microsoft обеспечивает соответствие стандарту вызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster и аналогичные угрозы.

Обнаружение и предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированного доступа ориентированы на аномалии сетевого и транспортного уровня, угрожающие набору протоколов TCP/IP межсетевого экрана. Большинство межсетевых экранов систем обнаружения и предупреждения вторжений Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) можно настроить на пересылку предупреждений администраторам без активных действий или предупреждение с принятием мер для предотвращения нападения. На практике большинство межсетевых экранов IDS/IPS запрещают попытки несанкционированного доступа в момент обнаружения.

Сервер удаленного доступа VPN и шлюз VPN. Сервер удаленного доступа VPN принимает клиентские соединения VPN от систем и подключает эту систему в корпоративную сеть. Шлюз VPN связывает целые сети через межсайтовое VPN-соединение.

VPN-клиент. Для всех традиционных удаленных клиентских соединений VPN необходима клиентская программа (в бесклиентских SSL VPN в качестве клиента используется браузер). Большинство межсетевых экранов обеспечивают соединения PPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Для некоторых межсетевых экранов требуются дополнительная (расширенная) клиентская программа VPN, которая обеспечивает проверку соответствия требованиям безопасности клиента VPN, и специальные протоколы IPsec для прохождения трансляции сетевых адресов NAT (Network Address Translation). Эти программы могут предоставляться бесплатно, но иногда их приходится покупать отдельно.

10/100-Мбит/с порты локальной сети. Межсетевой экран с несколькими портами Ethernet, выделенными для локальных соединений, обеспечивает более глубокую физическую сегментацию зон безопасности. В некоторых межсетевых экранов имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet.

Порты WAN. В некоторых межсетевых экранов ограничено число портов для прямого подключения к Internet. В других для этой цели можно использовать сколь угодно много портов.

Балансировка нагрузки. Несколько межсетевых экранов можно подключить параллельно и балансировать входящие и исходящие соединения через межсетевой экран. В идеальном случае соединения равномерно распределяются между межсетевыми экранами, и результаты работы каждого устройства меняются в лучшую сторону благодаря предотвращению перегрузки отдельных межсетевых экранов.

Число пользователей. В некоторых межсетевых экранов ограничено число пользователей или IP-адресов, которые могут устанавливать соединения через межсетевой экран. Эти межсетевые экраны лицензированы для работы с определенным числом пользователей и, если превышен лицензионный порог, генерируют соответствующее предупреждение.

Передача функций отказавшего межсетевого экрана исправному устройству. Данная функция позволяет подключить два или несколько межсетевых экранов таким образом, чтобы они могли обслуживать соединения вместо отказавших устройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (под нагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключения автоматические, а в других случаях требуется вмешательство администратора.

Переключение Internet-провайдера и объединение полосы пропускания. Возможность работы с несколькими Internet-провайдерами -- важнейшее требование любой организации, деятельность которой зависит от связи с Internet. Межсетевые экраны со сменой Internet-провайдеров могут переключаться на работоспособную линию, если связь с одним или несколькими провайдерами прерывается. Объединение полосы пропускания заключается в соединении нескольких линий связи в скоростной канал доступа к ресурсам Internet.

Настройка. Большинство межсетевых экранов обеспечивают Web-соединения SSL в некоторых или во всех конфигурациях. Некоторые межсетевые экраны поддерживают интерфейс командной строки в сеансе терминала, а межсетевые экраны на базе ISA Server обеспечивают шифрованные соединения RDP, совместимые со стандартом обработки информации FIPS (Federal Information Processing Standard).

Процессор. Данная характеристика в пояснениях не нуждается. Она указывает тип и быстродействие основного процессора межсетевого экрана.

Web-кэширование и proxy-сервер. Некоторые межсетевые экраны располагают встроенным сервером Web-кэширования. Web-кэширование ускоряет доступ в Internet для конечных пользователей и может существенно понизить нагрузку на канал связи с Internet и соответствующие расходы. Компонент Web-proxy значительно повышает безопасность, полностью разлагая на составные части, а затем проверяя и восстанавливая проходящие через него сообщения HTTP.

Низкий уровень безопасности.

Как отмечалось в начале , межсетевые экраны рассматриваются в соответствии с необходимым предприятию уровнем безопасности. Межсетевые экраны первого типа предназначены для малых и средних предприятий с низким уровнем безопасности. В слабо защищенной среде важные данные не хранятся в сети или владелец конфиденциальной информации не может либо не хочет платить за сетевой межсетевой экран с мощными функциями проверки входящего и исходящего доступа, пакетов и прикладного уровня, исчерпывающее протоколирование действий пользователей и приложений.

Как правило, слабо защищенные сети принадлежат небольшим компаниям с ограниченным бюджетом. Локальная сеть может подключаться к Internet через широкополосный кабельный модем или DSL-соединение с помощью так называемого «широкополосного маршрутизатора» вместо выделенных линий уровней T и выше, более распространенных в крупных организациях. Технически широкополосные маршрутизаторы не относятся к маршрутизаторам, а представляют собой простые устройства NAT. Большинство таких устройств позволяет установить немногочисленные VPN-соединения с использованием фирменных клиентских программ VPN.

Верхняя граница ценового диапазона межсетевых экранов для среды с невысоким уровнем защиты -- около 500 долл. Если на сеть с низким уровнем безопасности не распространяются строгие требования правоохранительного надзора, а компания имеет очень ограниченный бюджет, то следует обратить внимание на продукты Cisco, SonicWall и Symantec, сравнительные характеристики которых приведены в таблице 3.1.

Три межсетевых экрана располагают сходной функциональностью, возможностями и уровнями защиты от внешних угроз. Каждый обеспечивает проверку пакетов на соответствие заданным условиям во входящих соединениях с Internet. Этим маломощным устройствам свойственны существенные ограничения по числу пользователей. Число соединений определяется схемой лицензирования каждого поставщика и возможностями аппаратных средств.

Еще важнее, что эти межсетевые экраны не располагают средствами контроля входящего и исходящего доступа по пользователям и группам. Функции протоколирования всех устройств примитивны. Отсутствует проверка на соответствие заданным условиям на прикладном уровне. Эти ограничения типичны для недорогих аппаратных межсетевых экранов.

Из этой тройки рекомендуется использовать простое в настройке устройство SonicWall 170, которое работает почти автоматически. SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи. Кроме того, в SonicWall 170 на один локальный порт больше, чем в двух других устройствах.

Сетевая безопасность -- решающий компонент общей стратегии эшелонированной обороны предприятия. Сетевые межсетевые экраны -- ключевые элементы защиты систем и данных на различных сетевых периметрах. Предприятия с низкими требованиями к безопасности могут выбрать один из межсетевых экранов из таблицы или другие продукты такого уровня, но для надежной защиты требуются устройства, которые будут рассмотрены чуть ниже.