наиболее распространенным в России является подключение к Internet локальной сети на базе Novell Netware; вследствие этого система защиты должна удовлетворять требованиям протокола IPX/SPX.
По поводу соответствия системы платформе MS DOS следует сделать следующие дополнительные замечания.
Преимущества операционной платформы MS DOS для систем защиты.
Несмотря на то, что существует большое количество фильтрующих пакетов и систем типа FireWall, ориентированных на различные модификации платформы UNIX, преимущественная ориентация продукта фирмы Network-1 на MS DOS влечет за собой ряд достоинств, особенно существенных для российских пользователей. Кроме очевидных соображений, вытекающих из широкого распространения в России операционной системы MS DOS на базе аппаратных средств Intel, кроме стоимостных соображений (предоставляем читателю возможность сравнить по стоимости MS DOS (Intel) и UNIX (RISC)) и простоты эксплуатации существуют более глубокие доводы в пользу использования операционной системы MS DOS. Дело в том, что гармоничное сочетание ядра операционной системы с FireWall выдвигает требование тотального контроля системы безопасности над ядром ОС.
Насколько это требование легко реализовать в случае MS DOS, настолько же сложно его выполнить в случае UNIX (что, впрочем, не исключает продвижения фирмы Network-1 в секторе UNIX-подобных операционных систем). У этого фундаментального соображения существуют следующие интересные грани. Ядро MS DOS не содержит какие-либо сетевые протоколы, способные предоставить хакерам материал для организации атаки на FireWall/Plus (по поводу UNIX этого не скажешь). В случае выхода из строя системного ядра FireWall/Plus исключается какая-либо возможность проникновения пакета через ядро операционной системы (в случае многозадачной операционной системы UNIX образуется явная брешь в системе обеспечения безопасности корпоративной сети).
Как уже было замечено выше, система FireWall/Plus конкурирует на рынке средств обеспечения безопасного подключения к Internet с фильтрующими пакетами программ и фильтрующими (экранирующими) маршрутизаторами. Не будем распространяться по поводу фильтрующих пакетов программ, которые программно реализуют только часть функций системы FireWall/Plus и не могут серьезно конкурировать с FireWall/Plus по функциональной полноте. Представляется более интересным сравнить возможности системы FireWall/Plus со специализированным электронным устройством под названием фильтрующий маршрутизатор (router with filters, screening router).
Отличия системы FireWall/Plus от фильтрующих маршрутизаторов
С первого взгляда может показаться, что система FireWall/Plus выполняет те же функции, что и фильтрующий маршрутизатор, но превосходит последний по стоимостным показателям. На это замечание можно возразить следующим образом: во-первых, система FireWall/Plus представляет собой программу, которая может функционировать на компьютерной платформе совместно с иными программами, хотя в ряде случаев желателен автономный вариант использования (фильтрующий маршрутизатор представляет собой автономное устройство однозначно определенной функциональности); во-вторых, система FireWall/Plus значительно превосходит фильтрующий маршрутизатор по ряду функциональных возможностей. И эти дополнительные функциональные возможности являются зачастую существенным фактором, заставляющим администратора безопасности корпоративной сети предпочесть систему FireWall/Plus фильтрующему маршрутизатору.
Особенности системы FireWall/Plus
Хотя фильтрующие маршрутизаторы и позволяют фильтровать пакеты некоторых сетевых протоколов, но они плохо приспособлены для реализации комплексной программы обеспечения безопасности информационных ресурсов корпоративной сети. И дело в том, что реализация комплексной программы по обеспечению безопасности требует применения механизмов фильтрации, базирующихся на динамически изменяющемся множестве правил фильтрации. Аналогичные требования выдвигает и проблема защиты от хакеров. Удовлетворить этому требованию в настоящее время может только система FireWall/Plus, обладающая гибким программным интерфейсом формирования правил фильтрации и позволяющая фильтровать пакеты в форматах 390 типов протоколов.
Следует также иметь в виду, что фильтрация пакетов является дополнительной и недостаточно эффективно реализованной функцией для большинства фильтрующих маршрутизаторов. Можно сказать, что задачи фильтрации и маршрутизации не являются однородными и поэтому неэффективно сочетаются на уровне одного специализированного устройства.
Следует также отметить тот факт, что, с точки зрения обеспечения и поддержания компьютерной безопасности, маршрутизатор является устройством повышенной критичности, подверженным атакам со стороны хакеров. Специфические функции, выполняемые маршрутизатором, диктуют обязательность явного задания его IP-адреса, что превращает маршрутизатор в "непрозрачный" для хакера элемент сети. В отличие от маршрутизатора, FireWall/Plus является "прозрачным" для хакера элементом сети.
Мы уже упомянули о том, что применение системы FireWall/Plus в рамках корпоративной сети предоставляет администратору широкий спектр возможностей по реализации полной и согласованной политики в области обеспечения безопасности информационных ресурсов. Остановимся более подробно на этом вопросе. Во-первых, система FireWall/Plus предоставляет администратору безопасности уникальные возможности по протоколированию широчайшего спектра системных событий. Ни один из фильтрующих маршрутизаторов, имеющихся в настоящее время на рынке средств обеспечения компьютерной безопасности, не обладает аналогичными возможностями. Выше мы уже писали об уникальной возможности FireWall/Plus формировать динамические наборы правил фильтрации бесспорным преимуществам системы FireWall/Plus, которые оценит любой опытный администратор безопасности, относится прекрасный графический интерфейс управления процессом фильтрации. Система допускает удаленное управление из любого надежного узла (trusted node) сети предприятия.
Итак, система FireWall/Plus фирмы Network-1 ни в коем случае не претендует на выполнение функций, свойственных маршрутизаторам. Система абсолютно свободна от каких-либо маршрутизаторских функций и специфического сервиса. FireWall/ Plus это средство защиты от хакеров, работающих на уровне угроз типа MAC-spoofing, IP-spoofing, а также инструмент анализа безопасности, который чрезвычайно полезен администратору сети.
Система FireWall/Plus спроектирована исключительно для того, чтобы защищать информационные ресурсы на различных уровнях сложности: от простейших экранов до чрезвычайно изощренной техники фильтрации внешнего и внутреннего трафика корпоративной сети. Все механизмы фильтрации являются динамическими для активизации нового правила фильтрации не требуется перезапуск компьютера, полностью исключается возможность дистанционного перезапуска компьютера, исполняющего функции FireWall/Plus. Остановимся более подробно на описании техники фильтрации, реализованной в системе FireWall/Plus.
В рамках системы реализованы три метода фильтрации сетевых протоколов: фильтрация на уровне фреймов (frame filtering), фильтрация на уровне пакетов (packet filtering) и фильтрация на уровне приложений (application filtering). Остановимся более подробно, насколько это позволяет объем настоящей статьи, на особенностях каждого из вышеперечисленных методов фильтрации.
Фильтрация на уровне фреймов (frame filtering)
Такой тип фильтрации позволяет экранировать информационные ресурсы корпоративной сети на уровне сетевых фреймов. При этом, механизм фильтрации базируется на следующих объектах сетевого трафика: адрес источника (source address), адрес получателя (destination address), тип протокола (protocol type), а также, в некоторых случаях, на анализе данных, инкапсулируемых во фрейм при сетевом обмене. Система FireWall/Plus обеспечивает механизмы фильтрации на уровне фреймов для 390 сетевых протоколов, включая такие популярные, как TCP/IP, IPX/SPX, AppleTalk, DECnet, OSI, NetBEUI, LAT. Особенно следует отметить то, что реализация фильтрации на уровне фреймов позволяет администратору безопасности успешно решать ряд специфических сетевых проблем, таких как изоляция серверов от ненадежных пользователей сети (untrusted users), осуществлять более надежные механизмы группирования пользователей, чем это позволяет делать сетевая операционная система (например, Novell Netware), осуществлять дополнительную защиту наиболее критических участков сети (локализация сетевых ресурсов на основе критерия повышенной безопасности).
Фильтрация на уровне пакетов(packet filtering)
Этот уровень фильтрации позволяет реализовывать стратегию защиты корпоративных ресурсов на уровне содержимого сетевых пакетов. При этом фильтрации подлежат как инвариантные (системные) компоненты сетевых пакетов, так и динамически изменяемые (содержательные) составляющие. Возможности пакетной фильтрации охватывают адресацию узлов сети, коррекцию протоколов маршрутизации, работу с протоколами транспортного уровня, механизмы фильтрации на уровне портов, а также предоставляют широкие возможности по программированию временных зависимостей. Имеющаяся в настоящее время на рынке версия системы FireWall/Plus предоставляет полный спектр возможностей в области пакетной фильтрации для протокола IP, включая полный набор транспортных возможностей (TCP, UDP, ICMP, ARP) и механизмы уровня управления приложениями полного протокольного стека TCP/IP. Отметим, что реализация механизмов фильтрации этого уровня включает возможности программирования фильтров на уровне битовой обработки пакетов.
Фильтрация на уровне приложений (application filtering)
Этот механизм фильтрации позволяет администратору безопасности корпоративной сети активно вмешиваться в процесс выполнения программ сетевого уровня. В рамках идеологии IP-протокола реализовано множество транспортных протоколов и каждый протокол обладает множеством приложений. Система FireWall/Plus поддерживает исключительно широкое множество транспортных протоколов, существующих в рамках идеологии IP. Это протоколы TCP, UDP, ICMP, ARP и другие. На уровне фильтрации приложений можно, например, реализовать в рамках протокола TCP фильтр управления электронной почтой (SMTP-уровень), фильтр управления процессом передачи-приема файлов (FTP-уровень), фильтр управления функционированием виртуального терминала (TELNET-уровень). В рамках протокола UDP может возникнуть, например, проблема фильтрации сетевых файлов в рамках форматов NFS. Аналогичные возможности существуют для прочих слоев IP-стека. Таким образом, посредством инструментальных средств фильтрации на уровне приложений администратор безопасности может реализовать гибкую политику обеспечения безопасности. Интересным решением в области политики обеспечения безопасности информационных ресурсов является так называемая политика базирующихся на времени переопределений (Time-Based Policy Redefinition). В случае использования системы FireWall/Plus эта политика достаточно легко реализуется и существенно повышает безопасность корпоративной сети.
Рассмотрим ряд наиболее распространенных схем защиты информационных ресурсов корпоративной сети от внешних угроз. Источником угроз будем считать информационную супермагистраль Internet, хотя не исключаются и возможности нападений со стороны собственных компьютеров (это могут быть вирусы, распространяющиеся посредством гибких магнитных дисков, недостаточно квалифицированные пользователи, способные нарушить информационную целостность системы). Полнота и гибкость системы фильтрации, реализованной в FireWall/Plus, позволяет экранировать любую, самую изощренную атаку. В этом отношении система не имеет себе равных. Начнем с наиболее простого варианта защиты.
Защита одиночного хоста (host-computer)
Фирмой Network-1 разработана версия программного обеспечения FireWall/Plus, предназначенная для эксплуатации под управлением операционной системы Windows-NT. В случае применения этого решения при помощи системы FireWall/Plus защищаются от внешних посягательств информационные ресурсы сервера, являющегося переходным звеном между корпоративной сетью и информационной супермагистралью Internet. Подчеркнем, что в этом случае защищаемый сервер кроме выполнения задач обеспечения безопасности выполняет прикладные информационные задачи, что определяет повышенные требования к его характеристикам. Эта схема защиты не обладает высокой надежностью, так как выход из строя системы FireWall/Plus не блокирует внешний информационный канал и порождает возможности для проведения атаки. По поводу взаимодействия Windows-NT с системой FireWall/Plus следует сделать следующее замечание. Достаточно широко известны "лазейки" для хакеров, существующие в операционной системе Windows-NT. Например, это относится к реализации протокола NetBEUI. Совместное использование FireWall/Plus и Windows-NT делает ваш сервер хорошо защищенным от атак хакеров.
Конфигурация двухпортового шлюза (dual - homed gateway)
В этой конфигурации реализована двухуровневая защита корпоративных ресурсов от Internet-хакеров: первый уровень защиты обеспечивается фильтрующим маршрутизатором (router with filters); второй уровень защиты представлен системой FireWall/Plus. В этом случае FireWall/Plus устанавливается на отдельном компьютере (желательно под управлением MS DOS). Итак, в этой конфигурации защиты компьютер находится полностью в распоряжении системы FireWall/Plus и операционная система MS DOS является только средством первоначальной загрузки. Эта конфигурация является классической, ее отличительными чертами является простота и надежность эксплуатации. В случае выхода из строя системы FireWall/Plus внешний информационный канал блокируется и тем самым исключается всякая возможность проникновения в систему. Таким образом, информационная жизнеспособность канала связи с Internet жестко обусловлена жизнеспособностью системы защиты FireWall/Plus.
Защита типа "бастион" серверов
Одним из испытанных вариантов подключения серверов корпоративной сети к информационной супермагистрали Internet является организация в пределах сети так называемого "бастиона" серверов ("bastion" servers). В этой схеме использования FireWall/Plus в качестве потенциального источника угроз (untrusted network) выступает глобальная сеть Internet. От Internet-угроз корпоративные информационные ресурсы защищены по двухуровневой схеме. Предположим, что корпорация, преследуя свои коммерческие цели, вынуждена предоставлять свои информационные ресурсы для использования в пределах информационной супермагистрали. Для решения этой задачи организуется работа трех серверов: сервера WEB-страниц (WEB-server), почтового сервера (mail-server) и сервера передачи-приема файлов (ftp-server). Эти серверы физически объединяются в пределах локальной кабельной системы при помощи произвольного концентратора (mini-hub) и защищаются от ненадежной, внешней сети (untrusted network) при помощи фильтрующего маршрутизатора (первый уровень защиты) и компьютера под управлением FireWall/Plus (MS DOS) (второй уровень защиты), а от внутренней надежной сети (trusted network) только при помощи фильтрующего маршрутизатора. Представляется также целесообразным размещать "бастион" серверов в отдельном помещении, обеспеченном дополнительными средствами защиты от несанкционированного доступа.
Таким образом, защита корпоративных информационных ресурсов от возможных атак со стороны информационной супермагистрали в соответствии со схемой "бастиона" серверов представляет собой вполне приемлемое решение для крупной организации, активно взаимодействующей с глобальной системой Internet. Но следует отметить, что эта схема защиты эффективна только в том случае, если полностью исключается возможность изощренных атак хакеров со стороны так называемой надежной сети (trusted network). На практике вполне исключить эту возможность нельзя. Вследствие этого была разработана более надежная схема защиты обобщенных информационных ресурсов корпорации под названием "демилитаризованная зона" ("demilitarized zone"). Этот метод защиты характеризуют повышенная надежность и более высокая стоимость.
Организация демилитаризованной зоны ("demilitarized zone")
В отличие от защиты типа "бастион" демилитаризованная зона организуется в том случае, когда вполне вероятны атаки не только со стороны внешней глобальной сети, но и со стороны компьютеров корпорации. Таким образом, в случае защиты по типу DMZ ("demilitarized zone") серверы защищаются с двух сторон: со стороны Internet защита организуется по традиционной двухуровневой схеме при помощи фильтрующего маршрутизатора и системы FireWall/Plus(MS DOS), а со стороны корпоративных ресурсов защита осуществляется только при помощи FireWall/Plus(MS DOS). Этот вариант защиты обладает повышенной безопасностью по сравнению с предыдущими вариантами. Кстати, по мнению специалистов фирмы Network-1, из десяти атак на систему обеспечения безопасности корпоративной сети примерно восемь приходится на служащих предприятия (insiders). Таким образом, удачная защита от Internet-хакеров снимает только 20% проблем по обеспечению безопасности (но именно эти атаки и представляют наибольшую опасность). Организация защиты по принципу DMZ-зоны обладает еще одним замечательным свойством она позволяет наиболее эффективно решать проблему регулирования трафика корпоративной сети (предупреждение перегрузки сетевого трафика broadcast storms). Так что этот метод защиты следует признать наиболее перспективным, хотя и наиболее дорогим.
Организация защиты совместно с использованием технологии Cisco Systems AccessPro
На практике достаточно часто возникает необходимость подключения корпоративных ресурсов одновременно к нескольким глобальным сетям. Соответствующие схемы защиты обеспечивают множественное подключение посредством множества маршрутизаторов (один маршрутизатор на точку подключения). Очевидно, что в этом случае существенно усложняется проблема обеспечения безопасности, но существует достаточно эффективное решение на основе совместного использования системы FireWall/Plus и маршрутизатора Cisco. При этом множественное подключение осуществляется при помощи одной карты маршрутизатора Cisco, устанавливаемой на тот же компьютер, что и система FireWall/Plus. Дело в том, что программное обеспечение FireWall/Plus способно эффективно взаимодействовать с технологией маршрутизации Cisco Systems Access Pro. В случае принятия вышеупомянутого решения на входе корпоративной сети устанавливается компьютер под управлением MS DOS, поддерживающий программное обеспечение FireWall/Plus. На этот же компьютер устанавливается карта маршрутизатора Cisco.
Итак, мы рассмотрели основные конфигурации, которые обеспечивают целесообразность использования системы FireWall/Plus в составе корпоративных сетей. На основании проведенного исследования можно сделать вывод, что распространение системы FireWall/Plus будет способствовать существенному повышению безопасности корпоративных информационных ресурсов.
Федор Никитин
Ассоциация защиты информации "Конфидент"
