Современные методы и средства сетевой защиты. Межсетевые экраны

    - Стоимость компьютера.

    - Стоимость лицензионного  дистрибутива операционной системы.

    - Стоимость сопутствующего  программного обеспечения (например, броузера Internet Explorer или СУБД Oracle).

    - Стоимость затрат на  установку и настройку всего  комплекса в целом. Обычно эти  затраты составляют 20-30% от стоимости  составляющих всего комплекса.

    - Стоимость поддержки  всех составляющих комплекса  (компьютера и его аппаратных  составляющих, операционной системы,  дополнительного ПО и т.д.).

Для программно-аппаратного комплекса  этих "дополнительных" затрат не существует, т.к. они уже включены в стоимость "железа".

 

	Универсальный компьютер	Специализированный компьютер
Достоинства	1. Неограниченная функциональная  расширяемость	1. Высокая производительность 2. Простота внедрения 3. Простота управления  4. Отказоустойчивость
Недостатки	1. Средняя производительность 2. Уязвимости ОС 3. Низкая отказоустойчивость	1. Минимальная функциональная расширяемость

 

 

 

Однако сразу необходимо заметить, что специализированный компьютер - это не то же самое, что маршрутизатор  с функциями обнаружения атак (например, маршрутизаторы с Cisco Secure Integrated Software). У производителя маршрутизаторов  приоритетной задачей всегда является улучшение процесса и повышение  скорости маршрутизации. И только затем  он пытается реализовать функции  защиты. Поэтому, делая выбор между  маршрутизацией и защитой, они всегда делают его в пользу маршрутизации. Как показывает практика, использование  защитных механизмов на маршрутизаторах  существенно снижает их производительность. Либо же защитные функции ограничены.

 

Недостатки

Выше уже были перечислены некоторые  недостатки, присущие межсетевым экранам, а также способы их обхода. Ниже мы укажем еще некоторые из них.

 

          7Ограничение функциональности сетевых  сервисов

Некоторые корпоративные сети используют топологии, которые трудно "уживаются" с межсетевым экраном (например, широковещательная  рассылка трафика), или используют некоторые  сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные  затраты на приобретение и настройку  межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием  МСЭ.Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе  создания корпоративной информационной системы. Это позволит не только снизить  последующие материальные затраты  на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки  информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит  подумать о применении вместо межсетевого  экрана какого-либо другого решения, например, системы обнаружения атак.

 

 

 

                     8Потенциально опасные возможности

 

Новые возможности, которые появились  недавно, и которые облегчают  жизнь пользователям Internet, разрабатывались  практически без учета требований безопасности. Например, JavaScript, Java, ActiveX и другие сервисы, ориентированные  на работу с данными. Специфика мобильного кода такова, что он может быть использован  и как средство для проведения атак, и как объект атаки. В первом варианте опасность заключается  в том, что мобильный код загружается  на компьютер пользователя и выполняется  на нем как обычная программа, получая доступ к системным ресурсам. Второй вариант, как правило, используется для модификации мобильного кода - как предварительный этап перед  проведением атак на локальный компьютер  пользователя. Атаки на мобильный  код, как на средство выполнения каких-либо функций, пока не получили широкого распространения. Связано это с тем, что мобильный  код пока не применяется для выполнения каких-либо серьезных операций, например, проведения финансовых транзакций. Хотя уже известны примеры банковских систем, в том числе и российских, использующих технологию Java для работы с клиентом.

Как средство для проведения атак мобильный код может быть реализован в виде:

    - вируса, который вторгается  в информационную систему и  уничтожает данные на локальных  дисках, постоянно модифицируя свой  код, затрудняя тем самым свое  обнаружение и удаление;

    - агента, перехватывающего  пароли, номера кредитных карт  и т.п.;

    - программы, копирующей  конфиденциальные файлы, содержащие  деловую и финансовую информацию;

    - и прочее.

Маскироваться такие программы  могут под анимационные баннеры, интерактивные игры, звуковые файлы  и т.п. Российские пользователи не так  часто используют компьютер для  совершения финансовых сделок и других действий, которые могли бы нарушить конфиденциальность данных. Поэтому  рассмотрим примеры враждебного  мобильного кода, который нарушает функционирование узла, на котором  он запускается. Это наиболее простая  в реализации и, как следствие, часто  применяемая угроза, которой может  подвергнуться любой пользователь сети Internet.Такая угроза может осуществляться путем:

    - создания высокоприоритетных  процессов, выполняющих несанкционированные  действия;

    - генерации большого  числа окон;

    - "захвата" большого  объема памяти и важных системных  классов;

    - загрузки процессора  бесконечным циклом;

    - и т.п.

 

Обычный подход, используемые при  обнаружении мобильного кода, заключается  в том, чтобы сканировать весь входящий трафик на 80-м или 443-м портах, используемых протоколами HHTP и HTTPS, с  целью выявить такие элементы, как соответствующие теги. Но этого  недостаточно, чтобы остановить мобильный  код, потому что можно получить управляющие  элементы ActiveX и апплеты Java и другими  способами. Для примера представим, что Java-апплет (обычно имеющий расширение .class) выдает себя за изображение (то есть имеет расширение gif или jpg). Если межсетевой экран считает, что это изображение, то оно пропускается в сеть и загружается  в кэш броузера, после чего броузер  выходит из строя, так как загруженный  файл не является изображением. Однако это неважно - мобильный код уже  находится на компьютере. И если позже его можно будет активизировать, то могут возникнуть серьезные проблемы с защищенностью системы. Другой способ проникновения - использование  нестандартного порта для работы Web-сервера.

Одним из вариантов защиты, например для Java-апплетов, можно считать сканирование всего трафика, проходящего в  защищаемом сегменте, чтобы выявить  наличие конкретных участков кода. Такое выявление осуществляется путем поиска числа идентифицирующего  байт-код, которое в шестнадцатеричной  форме выглядит как "CA FE BA BE". Однако данный подход производителями средств  защиты практически не применяется, так как трафик обычно слишком  интенсивен, чтобы фильтровать его  поток через каждый порт для выявления  конкретных текстовых фрагментов.

                     

                                        9Вирусы и атаки

 

Практически ни один межсетевой экран  не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность  реализуется путем присоединения  к МСЭ дополнительных модулей  или программ третьих разработчиков (например, система антивирусной защиты Trend Micro для МСЭ Check Point Firewall-1 или система  обнаружения атак RealSecure для него же). Использование нестандартных  архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном  виде и расшифровываются только на оконечных устройствах клиентов?В  таком случае лучше перестраховаться и запретить прохождение через  межсетевой экран данных в неизвестном  формате. Для контроля содержимого  зашифрованных данных в настоящий  момент ничего предложить нельзя. В  этом случае остается надеяться, что  защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов  системы RealSecure.

 

                      10Снижение производительности

 

Очень часто межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В тех  случаях, когда приходится анализировать  не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), существенно  снижается производительность межсетевого  экрана. Для сетей с напряженным  трафиком использование обычных  межсетевых экранов становится нецелесообразным. В таких случаях на первое место  надо ставить обнаружение атак и  реагирование на них, а блокировать  трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, BlackICE Gigabit Sentry) могут функционировать и  на гигабитных скоростях.

Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей  степени защищенности и отличной управляемости в шлюзах прикладного  уровня или инспекторах состояния. Хотя на первый взгляд кажется, что  пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные  на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом. Это связано с тем, что  как уже говорилось, маршрутизаторы являются не специализированными устройствами и функции фильтрации для них  не являются приоритетными.

                   11Персональные межсетевые экраны

 

За последние несколько лет  в структуре корпоративных сетей  произошли серьезные изменения. Если раньше границы таких сетей  можно было четко очертить, то сейчас это практически невозможно. Еще  недавно такая граница проходила  через все маршрутизаторы или  иные устройства (например, модемы), через  которые осуществлялся выход  во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем  защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся  пользователи, работающие на дому или  находящиеся в командировке. Требуется  ли им защита? Несомненно. Но все традиционные межсетевые экраны построены так, что  защищаемые пользователи и ресурсы  должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода - виртуальные  частные сети (virtual private network, VPN), которые  будут описаны далее, и распределенные межсетевые экраны (distributed firewall). Примером первого решения можно назвать VPN-1 компании Check Point Software (http://www.checkpoint.com). Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком - сам удаленный  узел был подвержен атакам, хотя доступ в корпоративную сеть был  защищен от несанкционированных  воздействий. Установленный на удаленное  рабочее место троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран  и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный  трафик, не делая между ними различий. Тогда-то и родилась идея распределенного  межсетевого экрана (distributed firewall), который  являлся бы мини-экраном, защищающим не всю сеть, а только отдельный  компьютер. Примерами такого решения  является BlackICE Agent компании Internet Security Systems (http://www.iss.net) или RealSecure Server Sensor того же производителя. Это решение понравилось и  домашним пользователям, которые наконец-то получили возможность защиты своих  компьютеров от рыскающих по сети злоумышленников. Но, т.к. многие функции  распределенного МСЭ (например, централизованное управление или рассылка политики безопасности) для домашних пользователей были лишними, то технология распределенного  МСЭ была модифицирована и новый  подход получил название "персонального  межсетевого экрана" (personal firewall), яркими представителями которых  являются ZoneAlarm, и BlackICE Defender компаний ZoneLabs (http://www.zonelabs.com) и ISS соответственно. Компания Check Point Software оказалась впереди и  здесь, предложив решение VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых  они установлены, но и обеспечивают защиту трафика, передаваемого за пределы  данного узла (т.е. организуя client\server VPN). Именно такое решение сделало  подвластными межсетевым экранам сети с нечетко очерченными границами.

В чем отличие персонального  межсетевого экрана от распределенного? Главное отличие одно - наличие  функции централизованного управления. Если персональные межсетевые экраны управляются только с того компьютера, на котором они установлены, и  идеально подходят для домашнего  применения, то распределенные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной  в главном офисе организации. Такие отличия позволили некоторым  производителям выпускать свои решения  в двух версиях - персональной (для  домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent.

Какими функциями должен обладать эффективный персональный МСЭ? Во-первых, этот экран не должен быть пассивной  программой, которая только и делает, что блокирует входящий на компьютер  трафик по заданным критериям, к которым  обычно относятся адрес и порт источника. Злоумышленники давно научились  обходить такие простые защитные механизмы и в сети Internet можно  найти большое число программ, которые могут проникнуть через  многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий  выполнять большое число функций  на скомпрометированном компьютере без ведома его владельца. Чтобы  защититься, необходим инструмент, который позволит проводить более  глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система  обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить  свой настоящий адрес, тем самым, делая невозможным отслеживание злоумышленника. Мало того, хакер может «подставить» кого-нибудь другого, заменив свой адрес на адрес подставного лица. И, наконец, для некоторых атак (например, «отказ в обслуживании») адрес источника вообще не нужен и по статистике в 95% случаев этот адрес хакером изменяется. Можно привести хорошую аналогию. Персональный межсетевой экран - это охранник в здании, который выписывает пропуска всем посетителям. В такой ситуации злоумышленник может без труда пронести в здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы.