Безопасность в Интернет

Реакция на прошлый выпуск оказалась весьма позитивной. Многие из вас благодарили меня за то, что я перешел к рассмотрению конкретных продуктов, с помощью которых можно обеспечить защиту информации. В нескольких письмах содержались просьбы рассказать о том или ином продукте. Я постараюсь учесть все ваши пожелания и найти информацию, интересующую вас.

А пока, как и обещал, расскажу о главном конкуренте Cisco PIX Firewall -- продукте компании CheckPoint под названием Firewall-1.

Все, кто еще не прислал мне заявку на бесплатный Информационный Бюллетень Стинс Коман, но хотели бы это сделать, могут прислать мне свой почтовый адрес, название организации, фамилию, должность и телефон на andboc@mail.ru с пометкой "ИБ".

С содержанием предыдущих выпусков ИБ вы можете ознакомиться здесь.

Межсетевой экран FireWall-1

Технологии Интернета позволяют создать экономически эффективную распределенную коммуникационную инфраструктуру, которая обеспечит доступ к информационным ресурсам работникам компании, покупателям, поставщикам и партнерам по бизнесу. Совместное использование информации повышает эффективность работы, но одновременно увеличивает риск внешнего вторжения в компьютерную сеть компании. Можно ли противостоять попыткам несанкционированного доступа и как защитить свои ресурсы и информацию? Основой решения таких задач являются средства контроля доступа в сеть.

Чем обмениваются сети предприятия?

Разграничение доступа защищает сеть организации от потенциальных угроз благодаря четкому заданию информационных потоков, которые могут проходить через пограничный шлюз сети, и контролю потоков через шлюз. Устройства, обеспечивающие контроль доступа, должны знать о всех типах сетевого сервиса и всех приложениях в сети.

Первые реализации средств защиты на основе фильтрации пакетов (обычно фильтрацию осуществляет маршрутизатор) не имели данных о состоянии приложений и не могли обрабатывать трафик UDP и динамических протоколов. Средства защиты второго поколения, основанные на использовании приложений-посредников (proxy), зачастую очень требовательны к ресурсам компьютеров и достаточно медленно адаптируются к появлению новых сетевых служб Интернета, которые появляются достаточно часто.

В отличие от таких программ-посредников технология stateful inspection, реализованная в Check Point FireWall-1, предоставляет шлюзу полную информацию о коммуникациях. Эти сведения, реализованные на базе объектно-ориентированного описания сетевых ресурсов и сервиса, позволяют быстро и легко адаптировать систему к новым услугам Интернета. FireWall-1 предоставляет исчерпывающие возможности контроля доступа для множества (более 160) предопределенных типов сервиса Интернета и имеет удобные средства описания новых типов сервиса. В дополнение к перечисленным возможностям, FireWall-1 позволяет регулировать доступ к ресурсам сети по времени с учетом минут, часов, даты, дня недели, месяца и года. К примеру, организация может ограничить доступ своих сотрудников в Интернете для просмотра отдельных Web-страниц в рабочее время. Другим примером является запрет доступа к серверам на время операций резервного копирования данных.

Процесс описания правил разграничения доступа в такой хорошо спроектированной системе, как Check Point FireWall-1, прост и очевиден. Все аспекты политики информационной безопасности организации могут быть описаны с использованием графического интерфейса FireWall-1. При определении элементов сети применяется объектно-ориентированный подход.

Созданный объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов и типов сетевого сервиса, а также содержит в себе определение действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие узлы безопасности данное правило должно распространяться. По умолчанию правила действуют на всех шлюзах, где установлены программы FireWall-1. Поддерживаются различные платформы, включая UNIX и Windows NT, а также различное межсетевое оборудование OPSEC-партнеров компании Check Point.

Уникальной особенностью Check Point FireWall-1 является возможность создания единой политики обеспечения безопасности в масштабах предприятия в целом. После создания политики безопасности FireWall-1 проверяет ее на предмет отсутствия противоречий, транслирует и распределяет по всем узлам контроля трафика в сети.

Архитектура FireWall-1 позволяет беспрепятственно наращивать возможности системы обеспечения безопасности по мере роста потребностей организации. С другой стороны, административные функции FireWall-1 также ориентированы на многопользовательский доступ и предоставляют возможность четко разграничить функции администраторов системы безопасности. После проверки полномочий администратор системы FireWall-1 наследует права, установленные администратором безопасности для этого экземпляра FireWall-1 в соответствии с заданными правилами. Это дает возможность одновременно администрировать несколько систем FireWall-1 с одного рабочего места.

FireWall-1 поддерживает различные уровни административного доступа:

• Read/Write — полный доступ ко всем функциональным возможностям административных средств.
• User Edit — дает возможность изменять учетные записи пользователей и обеспечивает доступ для чтения других данных.
• Read Only — доступ только для чтения.
• Monitor Only — доступ для чтения к средствам просмотра статистики.

IP Spoofing (обманка)

IP Spoofing -— это обманное воздействие на элементы сетевой инфраструктуры для получения несанкционированного доступа. В этом случае взломщик подменяет IP-адреса в заголовках пакетов с целью сделать их похожими на пакеты от более привилегированного пользователя. Для примера, пакеты, порожденные в Интернете, могут представляться как локальные пакеты. FireWall-1 защищает от подобных воздействий, легко распознает попытки вторжения и сообщает о них оператору.

Denial of Service Attack

В момент инициализации TCP-соединения клиент посылает запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает подтверждением SYN/ACK, адресованным клиенту, адрес которого сервер берет из IP-заголовка полученного запроса. Получив подтверждение, клиент посылает уведомление о начале передачи данных — пакет, в заголовке которого установлен флаг ACK. Если адрес клиента подменен (spoofed), (например, на несуществующий реально адрес) такой вариант организации связи не может быть завершен и попытки будут продолжаться, пока не исчерпается лимит по времени. Таким образом, шлюз может быть приведен в неработоспособное состояние. Решения, основанные на применении программ-посредников, сами по себе не в состоянии защитить от атак SYN flooding. Пакетные фильтры также не могут защитить от подобных атак, поскольку не имеют информации о состоянии соединений и не могут проводить проверку пакетов с учетом этого состояния. FireWall-1 обеспечивает эффективную защиту от таких атак за счет наличия всех требуемых средств анализа состояния соединений и использования механизма SYNDefender.

Ping of Death

Практически каждая операционная система, а также некоторые маршрутизаторы, имеют ряд ограничений, связанных с конкретной реализацией протокола TCP/IP. Выявление этих ограничений часто связано с появлением новых видов атак. Большинство ОС чувствительны к командам PING (ICMP), размер поля данных для которых превышает 65508 байтов.

В результате, ICMP-пакеты после добавления необходимых заголовков становятся больше чем 64 Кбайт (длина заголовка составляет 28 байт) и, как правило, не могут корректно обрабатываться ядром операционной системы. В результате ОС переходит в неустойчивое состояние и не может обеспечивать нормальной работы. FireWall-1, используя механизм Stateful Inspection, может осуществлять защиту от таких атак. Для решения этой задачи нужно определить объект типа протокол и добавить правило, которое запрещает прохождение ICMP-пакетов, превышающих по размеру 64 Kбайта.

Примеры использования методов защиты

Сокрытие Firewall

В нормальных условиях любой пользователь корпоративной сети потенциально может получить доступ к шлюзу с брандмауэром. Таких ситуаций следует избегать, принимая меры по сокрытию шлюзового устройства. Check Point FireWall-1 позволяет реализовать спрятать шлюз путем добавления одного простого правила в политику обеспечения безопасности. Сокрытие шлюза предотвращает попытки взаимодействия любого пользователя или приложения со шлюзом и делает такой шлюз невидимым. Исключение из правил сокрытия предоставляется только администраторам системы безопасности.

NAT

Применение механизмов Трансляции Сетевых Адресов позволяет полностью скрыть или замаскировать внутреннюю сетевую структуру.

Протоколирование сеансов (Connection Accounting)

FireWall-1, помимо обычной регистрации факта соединения, предоставляет возможность получить данные о его продолжительности и объеме переданных данных (в байтах и пакетах). Эти данные записываются в регистрационный журнал в тот момент, когда контролируемый сеанс заканчивается. Дополнительно можно проследить за параметрами активных соединений.

Active Connections (Активные соединения)

Администратор системы безопасности FireWall-1, используя средства просмотра и анализа статистики (Log Viewer), может контролировать активные соединения через модули брандмауэров. Эта статистика в реальном масштабе времени обрабатывается и предоставляется оператору так же, как и обычные записи. Записи заносятся в специальный файл и хранятся там до тех пор, пока соединение не будет закрыто. Это позволяет использовать те же механизмы отбора событий, что и при работе с обычным файлом статистики. Отметим, что при использовании опции сбора дополнительной информации о соединениях данные интегральной статистики непрерывно обновляются, и администратор безопасности может контролировать не только сам факт соединения, но и интенсивность информационного обмена в реальном масштабе времени.

Средства уведомления

Система передачи уведомлений FireWall-1 поддерживает множество опций режимов оповещения операторов — от уведомлений по электронной почте до возможности посылки SNMP-прерываний (traps) для интеграции с такими платформами сетевого управления как HP OpenView, SunNet Manager, IBM NetView 6000. В дополнение к основным механизмам передачи уведомлений предусмотрена возможность создавать собственные варианты обработки ситуаций, требующих уведомления оператора. Это предоставляет возможность стыковки системы защиты с пейджинговыми службами или системами быстрого реагирования.

Другие материалы о данном продукте вы сможете найти на сайте "Корпорации ЮНИ", а также на CIT форуме.

Искренне ваш, А.Бочаров