Современные методы и средства сетевой защиты. Межсетевые экраны

 

Достоинства:

высокая скорость работы; простота реализации. Данная возможность встроена во все  маршрутизаторы и многие ОС, что  не требует дополнительных финансовых затрат. Низкая стоимость или свободное  распространение (в случае приобретения). 

 

Недостатки:

отсутствует возможность анализа  прикладного уровня; нет защиты от подмены адреса; сложность настройки  и администрирования.

 

                              1.3Шлюзы сеансового уровня

Шлюз сеансового уровня - это другая технология, используемая в межсетевых экранах, но на сегодняшний день ее очень трудно встретить в виде единственной технологии, реализованной  в межсетевом экране. Как правило, они поставляются в рамках прикладных шлюзов или инспекторов состояний. Кроме того, обеспечиваемый им уровень  защиты немногим выше, чем у пакетных фильтров, при более низкой производительности. Смысл технологии фильтрации на сеансовом  уровне заключается в том, что  шлюз исключает прямое взаимодействие двух узлов, выступая в качестве т.н. посредника (proxy), который перехватывает все запросы одного узла на доступ к другому и, после проверки допустимости таких запросов, устанавливает соединение. После этого шлюз сеансового уровня просто копирует пакеты, передаваемые в рамках одной сессии, между двумя узлами, не осуществляя дополнительной фильтрации. Как только авторизованное соединение установлено, шлюз помещает в специальную таблицу соединений соответствующую информацию (адреса отправителя и получателя, состояние соединения, информация о номере последовательности и т.д.). Как только сеанс связи завершается, запись о нем удаляется из этой таблицы. Все последующие пакеты, которые могут быть сформированы злоумышленником и "как бы относятся" к уже завершенному соединению, отбрасываются. Достоинство данной технологии, ярким представителем которой является SOCKS в том, что она исключает прямой контакт между двумя узлами. Адрес шлюза сеансового уровня является единственным элементом, который связывает внешнюю сеть, кишащую хакерами, с внутренними, защищаемыми ресурсами. Кроме того, поскольку соединение между узлами устанавливается только после проверки его допустимости, то тем самым шлюз предотвращает возможность реализации подмены адреса, присущую пакетным фильтрам. Несмотря на кажущуюся эффективность этой технологии, у нее есть один очень серьезный недостаток - невозможность проверки содержания поля данных. Т.е. тем самым злоумышленнику представляется возможность передачи в защищаемую сеть троянских коней и других Internet-напастей. Мало того, описанная в предыдущих главах возможность перехвата TCP-сессии (TCP hijacking), позволяет злоумышленнику даже в рамках разрешенной сессии реализовывать свои атаки.

Достоинства:

высокая скорость работы; простота реализации; исключение прямого взаимодействия между двумя узлами; контроль состояния  соединения.

Недостатки:

отсутствует возможность анализа  прикладного уровня.

 

 

 

Рис.1 «Шлюз сеансового уровня»

                   1.4Посредники прикладного уровня

 

Посредники прикладного уровня практически ничем не отличаются от шлюзов сеансового уровня, за одним  исключением. Они также осуществляют посредническую функцию между двумя  узлами, исключая их непосредственное взаимодействие, но позволяют проникать  в контекст передаваемого трафика, т.к. функционируют на прикладном уровне. Межсетевые экраны, построенные по этой технологии, содержат т.н. посредников  приложений (application proxy), которые, "зная" как функционирует то или иное приложение, могут обрабатывать сгенерированный ими трафик. Таким образом, эти посредники могут, например, разрешать в исходящем трафике команду GET (получение файла) протокола FTP и запрещать команду PUT (отправка файла) и наоборот. Еще одно отличие от шлюзов сеансового уровня - возможность фильтрации каждого пакета. Однако, как видно из приведенного описания, если для какого-либо из приложений отсутствует свой посредник приложений, то межсетевой экран не сможет обрабатывать трафик такого приложения, и он будет отбрасываться. Именно поэтому так важно, чтобы производитель межсетевого экрана своевременно разрабатывал посредники для новых приложений, например, для мультимедиа-приложений.

Достоинства: 

анализ на прикладном уровне и возможность  реализации дополнительных механизмов защиты (например, анализ содержимого). Исключение прямого взаимодействия между двумя узлами. Высокий уровень  защищенности. 

Контроль состояния соединения. 

 

Недостатки:

невысокая производительность. Уязвимость к атакам на уровне ОС и приложений. Требование изменения модификации  клиентского ПО. Не всегда есть посредник  для приложений на базе протоколов UDP и RPC.

 

 

 

 

Рис.2 «Посредник прикладного уровня»

 

 

                                 1.5Инспекторы состояния 

Каждый из названных классов  межсетевых экранов обладает рядом  достоинств и может применяться  для защиты корпоративных сетей. Однако куда более эффективным было бы объединить все названные классы МСЭ в одном устройстве. Что  и было сделано в инспекторах  состояний, которые совмещают в  себе все достоинства названных  выше типов экранов, начиная анализ трафика с сетевого и заканчивая прикладным уровнями, что позволяет  совместить в одном устройстве казалось бы несовместимые вещи - большую  производительность и высокую защищенность. Эти межсетевые экраны позволяют  контролировать:

    - каждый передаваемый  пакет - на основе имеющейся  таблицы правил;

    - каждую сессию - на основе  таблицы состояний; 

    - каждое приложение - на  основе разработанных посредников. 

 

Действуя по принципу "продвинутого" шлюза сеансового уровня, инспектор  состояния, тем не менее, не препятствует установлению соединения между двумя  узлами, за счет производительность такого межсетевого экрана существенно  выше, чем у шлюза сеансового и  прикладного уровня, приближаясь  к значениям, встречающимся только у пакетных фильтров. Еще одно достоинство  межсетевых экранов с контролем  состояния - прозрачность для конечного  пользователя, не требующая дополнительной настройки или изменения конфигурации клиентского программного обеспечения.

 

Завершая описание классов межсетевых экранов, хотим заметить, что термин "stateful inspection", введенный компанией Check Point Software, так полюбился производителям, что сейчас очень трудно найти межсетевой экран, который бы не относили к этой категории (даже если он и не реализует эту технологию). Таким образом, сейчас на рынке существует всего два класса межсетевых экранов - инспекторы состояний и пакетные фильтры.

 

                                2Выбор межсетевого экрана

 

Существует замечательная русская  поговорка: "Не стоит класть все  яйца в одну корзину". Именно по такому принципу и надо выбирать межсетевой экран. Нельзя сделать однозначный  выбор в пользу какого-либо из названных  экранов. Лучше если вы сможете использовать два межсетевых экрана, строя таким  образом, эшелонированную оборону  своей сети. Если один из экранов  будет выведен из строя, то до тех  пор его работоспособность не будет восстановлена, весь удар примет на себя второй экран. Обычно используется комбинация "пакетный фильтр - инспектор  состояния (или посредник прикладного  уровня)". И эта комбинация хороша еще и тем, что вам не придется тратиться на приобретение пакетного  фильтра, уже встроенного в маршрутизатор, установленный на границе вашей  сети.

 

                                              3Возможности

Помимо фильтрации трафика межсетевые экраны позволяют выполнять и  другие, не менее важные функции, без  которых обеспечение защиты периметра  было бы неполным. Разумеется, приводимый ниже список не является исчерпывающим, но и данный материал ёне является руководством по выбору межсетевого  экрана. Мы всего лишь указываем  на некоторые средства защиты от атак, описанных ранее.

 

                                4Трансляция сетевых адресов

 

Как показано ранее, для реализации многих атак злоумышленнику необходимо знать адрес своей жертвы. Чтобы  скрыть эти адреса, а также топологию  всей сети, межсетевые экраны выполняют  очень важную функцию - трансляцию сетевых  адресов (network address translation). Трансляция может  осуществлять двумя способами - динамически  и статически. В первом случае адрес  выделяется узлу в момент обращения  к межсетевому экрану. После завершения соединения адрес освобождается  и может быть использован любым  другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МСЭ.

 

 

 

 

Рис. 3 «Трансляция сетевых адресов»

 

                      5Аутентификация пользователей

 

Межсетевые экраны помимо разрешения или запрещения допуска различных  приложений в сеть, также могут  выполнять аналогичные действия и для пользователей, которые  желают получить доступ к внешним  или внутренним ресурсам, разделяемым  межсетевым экраном. При этом проверка подлинности (аутентификация) пользователя может осуществляться как при  предъявлении обычного идентификатора (имени) и пароля, так и с помощью  более надежных методов, например, с  помощью SecureID или цифровых сертификатов.

 

Рис. 4  «Аутентификация»

 

 

Регистрация событий

Являясь критическим элементом  системы защиты корпоративной сети, межсетевой экран имеет возможность  регистрации всех действий, им фиксируемых. К таким действиям относятся  не только пропуск или блокирование сетевых пакетов, но и изменение  правил разграничения доступа администратором  безопасности и другие действия. Такая  регистрация позволяет обращаться к создаваемым журналам по мере необходимости - в случае возникновения инцидента  безопасности или сбора доказательств  для предоставления их в судебные инстанции или для внутреннего  расследования.

 

                                     6Реализация межсетевого экрана

 

Существует два варианта реализации межсетевых экранов - программный и  программно-аппаратный. Второй вариант  также может быть реализован двояко - в виде специализированного устройства и в виде модуля в маршрутизаторе или коммутаторе. Интерес к программно-аппаратным решениям за последние два года во всем мире возрос. Такие решения  постепенно вытесняют "чисто" программные  системы и начинают играть первую скрипку на данном рынке.

Первое решение - наиболее часто  используемое в настоящее время  и на первый взгляд более привлекательное. Это связано с тем, что, по мнению многих, для его применения достаточно только приобрести программное обеспечение  межсетевого экрана и установить на любой компьютер, имеющийся в  организации. Однако на практике далеко не всегда в организации находится  свободный компьютер, да еще и  удовлетворяющий достаточно высоким  требованиям по системным ресурсам. Поэтому одновременно с приобретением  программного обеспечения приобретается  и компьютер для его установки. Потом следует процесс установки  на компьютер операционной системы  и ее настройка, что также требует  времени и оплаты работы установщиков. И только после этого устанавливается  и настраивается программное  обеспечение системы обнаружения  атак. Как видно, использование обычной  персоналки далеко не так просто, как  кажется на первый взгляд. Именно поэтому  в последние годы стали получать распространения специализированные программно-аппаратные решения, называемые security appliance. Они поставляются, как  специальные программно-аппаратные комплексы, использующие специализированные или обычные операционные системы (как правило, на базе FreeBSD или Linux), "урезанные" для выполнения только заданных функций. К достоинству таких решений  можно отнести:

    - Простота внедрения  в технологию обработки информации. Поскольку такие устройства поставляются  уже с предустановленной и  настроенной операционной системой  и защитными механизмами, необходимо  только подключить его к сети, что выполняется в течение  нескольких минут. И хотя некоторая  настройка все же требуется,  время, затрачиваемое на нее,  существенно меньше, чем в случае  установки и настройки межсетевого  экрана "с нуля".

    - Простота управления. Данные  устройства могут управляться  с любой рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли  управления с устройством осуществляется  либо по стандартным протоколам, например, Telnet или SNMP, либо при  помощи специализированных или  защищенных протоколов, например, Ssh или SSL.

    - Производительность. За  счет того, что из операционной  системы исключаются все "ненужные" сервисы и подсистемы, устройство  работает более эффективно с  точки зрения производительности  и надежности.

    - Отказоустойчивость и  высокая доступность. Реализация  межсетевого экрана в специальном  устройстве позволяет реализовать  механизмы обеспечения не только  программной, но и аппаратной  отказоустойчивости и высокой  доступности. Такие устройства  относительно легко объединяются  в кластеры.

    - Сосредоточение на защите. Решение только задач обеспечения  сетевой безопасности не приводит  к трате ресурсов на выполнение  других функций, например, маршрутизации  и т.п. Обычно, попытка создать  универсальное устройство, решающее  сразу много задач, ни к чему  хорошему не приводит.

 

В отчете, опубликованном независимой  консалтинговой компанией Gartner Group в  июне 1997 года, было написано, что к 2002 году 80% компаний с доходами от 20 до 200 миллионов долларов выберут именно аппаратные решения, а не программные. Основная причина такого выбора - обеспечение  такого же высокого уровня защиты, как  и в программных решениях, но за меньшие деньги. И вторая причина - простота и легкость интеграции таких  решений в корпоративную систему.На первый взгляд такие аппаратные реализации существенно дороже, но это только на первый взгляд. Стоимость программно-аппаратного  решения составляет порядка $5000-12000. Стоимость решения, основанного  на применении только программного обеспечения, выполняющего аналогичные функции, может быть существенно выше. И  это несмотря на то, что само ПО стоит  меньше. Такой эффект достигается  за счет того, что стоимость программного решения включает в себя: