Отправляет email-рассылки с помощью сервиса Sendsay

Защита информации, виртуальные сети, безопасность.

Рассылка закрыта

При закрытии подписчики были переданы в рассылку "Безопасность компьютерных сетей и защита информации" на которую и рекомендуем вам подписаться.

Вы можете найти рассылки сходной тематики в Каталоге рассылок.

  Февраль 2001  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
Автор
Сергей

Статистика

6.817 подписчиков
+263 за неделю
  Все выпуски  

Защита информации, виртуальные сети VPN. Технология ViPNet.


Служба Рассылок Subscribe.Ru проекта Citycat.Ru

Защита информации, виртуальные частные сети (VPN). Технология ViPNet.

26 февраля 2001. Выпуск #22

(С) ОАО "Инфотекс"

 
Здравствуйте, уважаемые подписчики! 
С сегодняшнего выпуска рассылки мы начинаем публиковать статью Владимира Горшкова "Межсетевые экраны", посвященную различным типам межсетевых экранов, их классификации, функциональным возможностям и сравнительным характеристикам продуктов от различных производителей.
 
Содержание выпуска:


Межсетевые экраны (часть 1)
Новости и события в области защиты информации

Новости компании
Межсетевые экраны (часть 1)



Вопросы безопасности информации всегда находятся в поле зрения и руководства, и ведущих специалистов современных предприятий. Какую бы концепцию обеспечения безопасности информации они ни исповедовали, краеугольным камнем всегда остается защита корпоративной сети от угроз нападения извне, создаваемых вирусами, хакерами и злоумышленниками. Одно из самых эффективных и распространенных средств борьбы с этой напастью -- межсетевой экран (firewall).

Firewall, брандмауэр, противопожарная стена -- разъединяет либо смежные помещения одного здания, либо два смежных здания, препятствуя распространению пожара. Выполняется из несгораемых материалов (Большой энциклопедический словарь).

Межсетевые экраны, не прошедшие сертификацию в уполномоченных органах, нельзя использовать для защиты конфиденциальной информации в сетях государственных учреждений.
Для защиты корпоративных сетей крупных предприятий целесообразно использовать межсетевые экраны разных классов, объединенные в ферму.

Конечно, защиту передовых рубежей корпоративной сети можно организовать разными способами. Однако вопрос о том, стоит ли применять межсетевые экраны, уже не стоит. Речь может идти только о том, какие межсетевые экраны или какая их комбинация подходят для конкретного предприятия в его повседневной деятельности.

Основы

Межсетевой экран обычно определяют как набор средств (как правило, программных или программно-аппаратных), предназначенных для предотвращения нежелательного доступа в сеть извне и для контроля за данными, поступающими в сеть или выходящими из нее. Они могут защищать корпоративную сеть от несанкционированного доступа из Интернета или из другой корпоративной сети, а также контролировать и регулировать доступ пользователей внутренней сети к ресурсам общедоступной сети. Экран устанавливается на границе защищаемой сети и фильтрует все входящие и выходящие данные, пропуская только разрешенные пакеты и предотвращая попытки проникновения в сеть. Правильно настроенный межсетевой экран пропустит (или не пропустит) конкретный пакет и позволит (или не позволит) организовать конкретный сеанс связи в соответствии с установленными правилами.
При этом межсетевые экраны могут устанавливаться и внутри корпоративных сетей для ограничения доступа пользователей к особо важным сетевым ресурсам. Некоторые межсетевые экраны устанавливаются на отдельные компьютеры, осуществляя их защиту (такие экраны часто называют персональными).

Для эффективной работы межсетевых экранов важно соблюдение следующих условий:
- межсетевой экран должен контролировать весь проходящий трафик;
- сам межсетевой экран должен быть "неприступен" для внешних атак.
Если рассматривать работу межсетевых экранов по отношению к уровням модели OSI, то их условно можно разделить на четыре группы:
- экраны с фильтрацией пакетов (packet-switched firewalls);
- шлюзы сеансового уровня (circuit-level gateways);
- шлюзы прикладного уровня (application-level gateways);
- экраны экспертного уровня (stateful inspection firewalls).

Самым дешевым способом реализации межсетевого экрана является фильтрация пакетов, которая и получила наибольшее распространение на практике.
Первоначально корпоративная сеть каждого предприятия, имеющего выход в Интернет, оснащалась одним межсетевым экраном, обеспечивающим ее защиту. Однако из-за быстро снижающихся цен на цифровые линии DSL и T1 многие крупные предприятия стали позволять филиалам и удаленным офисам напрямую связываться с Интернетом, а не переправлять весь Интернет-трафик через распределенные сети к межсетевому экрану штаб-квартиры. Для такого подхода необходимо, чтобы межсетевые экраны обеспечивали поддержку центрального управления многими экранами с согласованной политикой безопасности.
Все это потребовало пересмотра общих решений по защите корпоративных сетей предприятий от внешних атак и, как следствие, привело к появлению на рынке межсетевых экранов трех категорий.

Три категории межсетевых экранов.

Рост виртуальных частных сетей (virtual private networks, VPN) на базе Интернета для удаленного доступа к бизнес-системам привел к тому, что ПК и персональные цифровые помощники стали применяться для целей бизнеса при соединении с Интернетом без какой-либо защиты корпоративным межсетевым экраном. Чтобы защитить широкий спектр устройств, которые могут использоваться для доступа к корпоративным системам через кабельный модем, DSL или беспроводные соединения с Интернетом, требуются новые типы межсетевых экранов.

Существует множество подходов к их классификации. Однако удобнее всего разделить рынок сетевых экранов на три четких сегмента защиты, каждый из которых соответствует специфической цели предприятия:
- межсетевые экраны для предприятий (enterprise firewalls);
- межсетевые экраны-приложения (firewall appliances);
- встроенные межсетевые экраны (embedded firewalls).

Межсетевые экраны для предприятий

Межсетевой экран для предприятия представляет собой программно-аппаратный комплекс или ПО, работающее на высокопроизводительных рабочих станциях с ОС разных типов. Отличия такого межсетевого экрана от других состоят в том, что он обычно используется для защиты довольно крупной корпоративной сети (с числом рабочих мест порядка тысячи) и, как правило, устанавливается на специально выделенном компьютере, на котором другие приложения не выполняются.

Межсетевые экраны этого класса поддерживают широкий спектр протоколов для исходящих и входящих соединений и наилучшим образом подходят для крупных предприятий, использующих Интернет и экстранет для организации электронного бизнеса. Межсетевые экраны предприятий могут контролировать пользовательский доступ и действия на избранных серверах и ограничивать потоки загружаемых данных с помощью фильтров Java и кодовых записей. Они должны поддерживать управление многочисленными межсетевыми экранами с единой консоли управления, работать в условиях резервирования и обеспечивать высокий коэффициент готовности, а также поддерживать распределенные архитектуры экранов.

Стоимость межсетевых экранов для предприятий колеблется от $10 000 до $30 000; в качестве примера можно указать продукт Check Point Software Technologies Firewall-1.

Основные характеристики:
- относительно высокая сложность;
- поддержка многочисленных протоколов в интересах реализации политики безопасности;
- интеграция с управлением сетью и/или транзакциями.

Межсетевые экраны-приложения

Межсетевые экраны-приложения работают обычно на собственном аппаратном обеспечении и выполняют специфические функции межсетевого экрана. Во время эксплуатации они не требуют опыта в работе с операционной системой, сокращая таким образом время поддержки. Отличительная особенность межсетевых экранов данной категории состоит в том, что на аппаратуре, на которой установлено ПО межсетевого экрана, могут исполняться и другие приложения. Обычно они используются предприятиями небольшого масштаба (десятки-сотни рабочих мест) или в составе комплекса межсетевых экранов на крупном предприятии для защиты отдельных участков корпоративной сети.

В низшей ценовой категории межсетевые экраны-приложения подходят для внедрения простой политики безопасности, в основном исходящего доступа в Интернет и ограниченной поддержки протокола. Более дорогие и сложные версии обеспечивают полную функциональность межсетевого экрана с интегрированными возможностями VPN и некоторой потерей гибкости.
Межсетевые экраны данной категории, в свою очередь, могут быть классифицированы разными способами. Наиболее "изысканная" классификация подразумевает деление таких межсетевых экранов на "надзиратели" (turnkey solutions), которые предустанавливаются на аппаратуру вместе с операционной системой, межсетевые экраны с ограниченными возможностями ("not-quite-firewalls"), которые выполняют ограниченный набор функций прокси или предназначаются для защиты конкретных платформ, и полнофункциональные межсетевые экраны ("do-it-all" firewalls), которые включают в себя Интернет/интранет-серверы (Web-серверы, серверы DNS, почтовые серверы и т. д.).

При этом рынок межсетевых экранов-приложений разделен на два сегмента:
- Дорогие продукты, подходящие для предприятий среднего масштаба, которым нужны решения с центральным управлением (стоимость $2000 -- 10 000 долларов). В качестве примера можно указать на Cisco Systems PIX.
- Дешевые приспособления для мелких офисов, домашних офисов и малых предприятий, нуждающихся в простых дешевых межсетевых экранах plug-and-play (менее $1000).

Основные характеристики:
· высокое быстродействие;
· невысокие стоимость и сложность;
· возможность функционирования с центральным управлением.

Встроенные межсетевые экраны

Встроенные межсетевые экраны представляют собой средства для выполнения набора функций межсетевого экрана, интегрированного в устройство, выполняющее также и другие функции. Такие экраны состоят в основном из персональных экранов, но технология быстро двигается в сторону ПО межсетевых экранов на интегральных схемах, которые будут встроены в модемы, карты сетевого интерфейса и системные платы. Такой подход позволит встраивать межсетевые экраны в Web-серверы, различные Интернет-устройства и другие приложения, где межсетевые экраны на базе ПО не справляются с задачей защиты.

Встроенные межсетевые экраны при цене менее $100 могут внедрять очень простую политику фильтрации порта и поддерживать соединения VPN и центральное управление. В качестве примера можно указать на Check Point Software, а также огромное количество разнообразных межсетевых экранов, называемых персональными и служащих для защиты отдельных компьютеров.

Основные характеристики:
- низкая стоимость;
- прозрачность;
- возможность функционирования с центральным управлением.

Продукты на российском рынке

Для сопоставительного анализа мы отобрали межсетевые экраны десяти компаний - пяти зарубежных и четырех отечественных. Данные об этих продуктах представлены в табл. 1. Некоторые из них уже были рассмотрены в нашем журнале (см. статью Дэвида Ньюмана в № 8 за 1999 год и статьи Михаила Романова и Владимира Лукоянова в № 9 за 2000 год). Все представленные продукты имеют сертификат Гостехкомиссии РФ и могут использоваться в государственных учреждениях для защиты корпоративных сетей. Среди не вошедших в таблицу межсетевых экранов, имеющих соответствующий сертификат, следует также указать на Cisco Systems IOS Firewall 12 (4-й класс, ЗАО "Анкей"), Alta Vista Firewall 97 (3-й класс, Compaq, ЗАО "Анкей"), ССПТ-1 (3-й класс, Региональное информационно-техническое таможенное управление), "Акер 3.10" (3-й класс, ООО "Р-Альфа"), ATLAS Firewall 1.0 ("Атлас нетворкс"), "Пандора-2" (2-й класс, Trusted Information systems, ООО "Р-Альфа"), ФПСУ-IP (3-й класс, ООО "Амикон") и DioNIS Firewall D (3-й класс, ООО НИП "Фактор-ТС").

Все представленные в табл. продукты могут использоваться для защиты корпоративных сетей и относятся к категориям межсетевых экранов для предприятий и межсетевых экранов-приложений. Цены указаны не на все отечественные продукты, потому что многие российские компании-продавцы приводят цены только после определения комплектации и при составлении контракта. Как правило, в цену включается стоимость технической поддержки в течение года.

Советы покупателям

Готовя публикацию настоящих материалов, мы связалась со многими экспертами-специалистами в области безопасности информации в корпоративных сетях. Мы просили помочь выработать систему предпочтений для выбора конкретного межсетевого экрана, полностью соответствующего нуждам предприятия. В результате получилась следующая картина.

- Первое, что надо учесть, - это класс защищенности, при том по двум причинам. Во-первых, выбор класса защищенности диктуется степенью конфиденциальности обрабатываемой информации. Во-вторых, он определяет набор функций, которые должны выполняться межсетевым экраном в соответствии с табл. 2. Выбор класса защищенности сужает область дальнейшего поиска.

- Затем, выбрав класс защищенности, следует обратить внимание на цену. Опыт показывает (и это подтвердило недавнее обсуждение данного вопроса на конференции АДЭ), что в одной и той же ценовой категории все межсетевые экраны примерно эквивалентны по возможностям.

- В рамках одной ценовой категории целесообразно учитывать соображения делового и экономического плана - наличие устойчивых контактов с продавцом, различных скидок, возможностей последующего обновления, обучения специалистов-эксплуатационников и т. д.

- Практически все продавцы, как и следовало ожидать, рекомендуют приобретать именно их продукт и затрудняются ответить, по каким показателям он оказывается предпочтительнее продуктов конкурентов, за исключением экономических факторов.
Тем не менее, с учетом классификации Gartner Group, можно рекомендовать при покупке обратить внимание на следующее.

- Приобретаемый межсетевой экран должен иметь сертификат с классом защищенности от несанкционированного доступа, не понижающим класс защищенности системы обработки информации, которую он и должен защищать. В противном случае применять данный продукт в государственной организации нельзя. Используя межсетевой экран без сертификата, нужно помнить о том, что он может быть "пробит".
·
- Межсетевые экраны для предприятий следует использовать при доступе к внутренним системам из экстранет или через Интернет.
·
- Малым и средним предприятиям следует обратить внимание на поставщиков, предлагающих межсетевые экраны по крайней мере двух категорий и специализирующихся на взаимодействии с другими устройствами по обеспечению безопасности.
·
- Межсетевые экраны-приложения с интегрированными возможностями VPN можно использовать для управления соединениями через Интернет с филиалом компании. Они могут быть основным средством защиты для малых и средних предприятий.
·
- Встроенные межсетевые экраны могут служить в качестве персональных экранов для удаленных и мобильных работников.

И еще один, возможно, главный совет покупателям -- необходимо применение целого комплекса межсетевых экранов в рамках единого решения по обеспечению безопасности предприятия от внешних атак. Такое решение можно назвать "фермой межсетевых экранов". На этой ферме могут быть расположены межсетевые экраны всех трех рассмотренных выше категорий, управляемые централизованно.
На ферме межсетевые экраны используются для построения VPN, а также для организации защищенного интранет-взаимодействия между подразделениями компаниями и защищенных соединений с бизнес-партнерами.

Специалисты Gartner Group прогнозируют: ·
- Появление услуг широкополосного доступа приведет к тому, что к 2003 году 30% предприятий будут использовать централизованно сконфигурированные персональные межсетевые экраны (вероятность 0,7). ·
- К 2004 году 75% предприятий, имеющих более 1000 работников или более двух мест расположения, будут иметь многочисленные соединения с Интернетом. Врезка

Классификация и сертификация

Межсетевые экраны относятся к средствам защиты информации от несанкционированного доступа (НСД). В соответствии с Положением о сертификации средств защиты информации по требованиям безопасности информации от несанкционированного доступа, межсетевые экраны сертифицируются Государственной технической комиссией при Президенте РФ.

Гостехкомиссией установлено пять классов защищенности от НСД для межсетевых экранов (табл. 2). Каждый класс межсетевого экрана характеризуется определенной минимальной совокупностью требований по защите информации.

Самый низкий класс защищенности - пятый, самый высокий - первый. Очевидно, для надежной защиты информации следует использовать межсетевые экраны более высокого класса, например 1 или 2. Однако такие межсетевые экраны стоят дорого. Поэтому при построении системы защиты выбирают оптимальное соотношение между классом межсетевого экрана и его ценой.

На рынке можно встретить межсетевые экраны, не сертифицированные Гостехкомиссией и не имеющие установленного класса защищенности. Такие изделия нельзя использовать для защиты сетей, в которых обрабатывается конфиденциальная информация.

Требования, которые следует учесть при выборе межсетевого экрана (предоставлены компанией "Информзащита"):

- Возможности обнаружения атак на системном и сетевом уровне, интегрированные в единую систему

- Совместно используемая консоль управления с непротиворечивым интерфейсом для конфигурации межсетевого экрана, политики управления и отображения отдельных событий, как с системных, так и с сетевых компонентов системы обнаружения атак

- Интегрированная база данных событий

- Интегрированная система генерации отчетов

- Возможности осуществления корреляции событий

- Интегрированная онлайновая помощь для реагирования на инциденты

- Унифицированные и непротиворечивые процедуры инсталляции

- Добавление возможности контроля за собственными событиями

Таблица 2

Показатели защищенности

Класс защищенности

5

4

3

2

1
Управление доступом (фильтрация данных и трансляция адресов)

+

+

+

+

=

Идентификация и аутентификация

-

-

+

=

+

Регистрация

-

+

+

+

=

Администрирование: идентификация и аутентификация

+

=

+

+

+

Администрирование: регистрация

+

+

+

=

=

Администрирование: простота использования

-

-

+

=

+

Целостность

+

=

+

+

+

Восстановление

+

=

=

+

=

Тестирование

+

+

+

+

+

Руководство администратора защиты

+

=

=

=

=

Тестовая документация

+

+

+

+

+

Конструкторская (проектная) документация

+

=

+

=

+

Обозначения:
" -" -- нет требований к данному классу;
"+" -- новые или дополнительные требования;
"=" -- требования совпадают с требованиями к межсетевому экрану предыдущего класса.

Сводную таблицу межсетевых экранов на российском рынке мы опубликуем в следующем выпуске рассылки...

ВЛАДИМИР ГОРШКОВ (Журнал "Data Communications")

Новости и события в области защиты информации

Москва: количество мошенничеств с кредитными картами увеличились в два раза

Согласно проведенному исследованию, в Европейском союзе количество случаев кражи денег с кредитных карт увеличилось в
два раза, причем большая часть мошенничеств была сделано через Интернет или телефон. Анонимность Сети дает мошенникам
возможность совершать покупки заграницей, используя краденые номера, с минимальным риском быть пойманными. Это
может не только серьезно осложнить совершение пользователями покупок через Сеть, но и отрицательно сказаться на темпах
роста покупателей. По последним данным, платежи с кредитных карт через Интернет составляют лишь 2% от общего оборота,
но с ними связано более половины жалоб клиентов.

Представители Еврокомиссии заявили о намерении сильно уменьшить число подобных мошенничеств, общий оборот
нелегальных транзакций по которым за прошлый год составил около 600 млн. евро. В понедельник Комиссия запустила
реализацию трехлетнего плана по предотвращению мошенничеств с кредитными картами. Частью этого плана является
бесплатное открытие нового карточного счета для жертв мошенничества. Кроме того будут разработаны технические меры по
предотвращению краж, в основе которых будет лежать переход от карт с магнитной полосой к микропроцессорным картам
(смарткартам).

Основные платежные системы - Visa, American Express и MasterCard, уже начали совместную работу по повышению стандартов
безопасности платежей в Интернете. "Кредитные карты не были созданы для расчетов через Интернет, - говорится в
исследовании, - поэтому есть реальная необходимость в более безопасной системе платежей, которую в скором будущем
разработает консорциум платежных систем".
(источник - http://www.telenews.ru/, опубликовано 21.02.2001)

Россия несет убытки от хакеров.

Россия ежегодно теряет до пяти миллиардов долларов на несанкционированном изъятии из ее компьютерных сетей
информации, сообщил председатель Госдумы Геннадий Селезнев на проходящем в Санкт-Петербурге Международном
конгрессе по телекоммуникациям, передает ИТАР-ТАСС.

Геннадий Селезнев расценил как безусловно позитивный факт, что в ряде стран СНГ вопросы государственной политики в
информационной сфере, в том числе и информационной безопасности, находят решение на уровне руководителей государств и
правительств. Как он напомнил, десять лет "успешно функционирует Региональное содружество в области связи".
Руководящими органами СНГ утверждена Концепция формирования информационного пространства стран Содружества.

По словам спикера, в Госдуме в минувшем году проведено семь парламентских слушаний по проблемам правового
регулирования и условий использования информационных технологий. В этом году мы предполагаем рассмотреть ряд проектов
законов, связанных с участием России в международном информационном обмене, с функционированием радиовещательных и
телевизионных систем, внесением изменений и дополнений в закон о средствах массовой информации, сообщил он.
(источник - http://www.strana.ru, опубликовано 21.02.2001)

Ericsson и IBM создают технологию защищенных финансовых служб для пользователей сетей мобильной связи.

Компании Ericsson и IBM объявили о планах совместной разработки инфраструктуры, которая должна обеспечить безопасную
работу финансовых служб для пользователей сетей мобильной связи (банковское обслуживание, онлайновая торговля, рассылка
информации для пользователей кредитных карточек и пр.).

Как сообщается, этот проект не предполагает создание какого-то конкретного решения для онлайновой торговли. Ericsson и
IBM собираются разработать инфраструктуру, которая станет основой для создания служб защищенных финансовых
транзакций. Сейчас основными проблемами для создателей онлайновых служб электронной коммерции являются проблемы
защиты информации и удобства работы этих служб для клиентов. Именно на решение этих глобальных проблем и замахиваются
Ericsson и IBM.

Ericsson внесет в этот проект свои наработки, полученные в результате создания таких продуктов как система мобильных
платежей Mobile e-Pay, система Internet-платежей Safetrader (создана компанией EHPT Sweden, принадлежащей Ericsson и
Hewlett-Packard) и серверное ПО мобильного Internet-доступа WAP Gateway.

Ну а вклад IBM, это линия продуктов WebSphere, серия Web-серверов eServer, консалтинговые и интеграционные услуги.

Участники соглашения планируют получить какие-то конкретные результаты к концу 2001г..
(источник - http://www.online.ru/, опубликовано 20.02.2001)


Возбуждено уголовное дело против хакеров, "взломавших" сеть ВЭФ.

В Швейцарии возбуждено уголовное дело в отношении хакеров, проникших в электронную сеть Всемирного экономического
форума.

Следователь женевской прокуратуры Марк Тапполе, которому поручено это расследование, заявил журналистам, что хотел бы
получить в качестве вещественного доказательства компьютерный диск, содержащий конфиденциальные сведения об
участниках давосских встреч - видных политиках, бизнесменах, экономистах и руководителях СМИ.

(источник - http://www.cry.ru/, опубликовано 20.02.2001)

Новости компании

Новая редакция Интернет-сайта компании "Инфотекс"

 Наконец-то сайт запустился с "новым лицом", определяемым корпоративным стилем и новой маркетинговой политикой компании. На сайте представлена более полная и точная инфоромация по старой и новой линейке продуктов, добавлены новые разделы и заложены новые возможности сервиса.
Познакомиться с нашими решениями можно на web-сервере - http://www.infotecs.ru 

Полнофункциональные демо-версии продуктов ViPNet Desk, ViPNet Office, ViPNet Tunnel находятся по адресу 
http://www.infotecs.ru/demo.htm

Если у вас есть какие-нибудь пожелания или вопросы по поводу дальнейших выпусков рассылки, мы с удовольствием рассмотрим их.
С уважением, ведущий рассылки Олег Карпинский.
http://subscribe.ru/
E-mail: ask@subscribe.ru
Поиск
В избранное