Межсетевые экраны
Межсетевые экраны по-другому называются брандмауэрами, или системами FireWall. Межсетевые экраны позволяют предоставить контролируемый и направляемый доступ внутрь системы или корпоративной сети и одновременно ограничить доступ во внутреннюю среду. Межсетевые экраны устанавливаются на стыке между внутренней и внешней сетью и реализуют предотвращение несанкционированного вторжения. Межсетевой экран представляет собой программно-аппаратный комплекс. Первое поколение межсетевых экранов – пакетные фильтры. В них определялись номера портов и типы протоколов, от которых разрешалось принимать информацию. В настоящее время межсетевые экраны представляют собой сервера-посредники. При использовании межсетевых экранов производительность значительно снижается, так как анализ протоколов занимает определённое время. Однако надёжность межсетевых экранов достаточно велика. Примеры межсетевых экранов: Cisco PIX Firewall, Checkpoint Firewall, Netscreen, Watch Guard. Число функций, выполняемых межсетевыми экранами, постоянно расширяется. Внешняя сеть всегда должна определяться как враждебная, поэтому все взаимодействия между внутренней и внешней сетью должны осуществляться через межсетевой экран. Межсетевой экран задаёт набор правил, которые ограничивают доступ из внутренней сети во внешнюю. Функции межсетевого экрана:
1) Фильтрация проходящих информационных потоков.
2) Посредничество при реализации межсетевых взаимодействий.
В зависимости от типа экрана, перечисленные функции могут выполняться с различной полнотой. Комплексный межсетевой экран имеет возможность анализа и использования следующих групп данных:
1) Данные о соединениях. Информация от всех семи уровней в пакете: физического, канального, сетевого, транспортного, сеансового, представительного, прикладного.
2) Данные о предыдущем соединении. Информация, полученная от предыдущего соединения и позволяющая проводить ретроспективный анализ.
3) Данные о состоянии уровней приложения. Информация о состоянии, полученная от других приложений.
4) Агрегирующие данные. Результаты расчётов, вычислений на основе перечисленных выше данных.
Основные функции межсетевых экранов для рабочих станций:
1) Контроль подключения в обе стороны.
2) Организация доступа в Интернет без вмешательства пользователя (autoconfig).
3) Конфигурирование и контроль функционирования приложений.
4) Поддержка режима невидимости компьютера в Интернете.
5) Предотвращение хакерских атак известных типов.
6) Выявление и блокировка активности вирусов, прежде всего «троянских коней».
7) Извещение пользователя о попытках взлома системы защиты и получения несанкционированного доступа к данным.
8) Ведение журналов (log-файлов) с данными о зарегистрированных подключениях.
9) Предотвращение отправки в сеть данных, которые определены как конфиденциальные.
10) Блокирование передачи на сервер без ведома пользователя.
Интерпретация срабатывания фильтров (правил) осуществляется с использованием следующих процедур (этапов):
1) Анализ поступающих данных по заданным критериям: адрес получателя и отправителя, тип вложения и т.д.
2) Принятие решений на основе интерпретируемых правил: не пропускать данные, обрабатывать данные от имени получателя и возвратить результат отправителю, передать данные на следующий фильтр для продолжения анализа, пропустить данные напрямую без использования следующих фильтров.
В качестве объекта анализа информационного потока могут использоваться следующие показатели и параметры:
1) служебные поля пакетов сообщений, которые содержат сетевые адреса, идентификаторы, адреса интерфейсов, номера портов и другую информацию;
2) анализ содержимого пакетов на предмет вирусов;
3) анализ внешних характеристик потока информации: временных, частотных, объёмных и т.д.
Функции посредничества, которые выполняет межсетевой экран с помощью специальных программ, являются резидентными и запрещают непосредственную передачу пакетов сообщений между внутренней и внешней сетью. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия. Экранирующие агенты осуществляют функции блокировки передачи потока сообщений через межсетевые фильтры, а также выполняют следующие функции:
1) Идентификация и аутентификация пользователей.
2) Разграничение доступа к ресурсам внутренней сети.
3) Проверка подлинности передаваемых данных.
4) Разграничение доступа к ресурсам внешней сети.
5) Фильтрация и преобразование потока сообщений.
6) Трансляция внутренних сетевых адресов для исходящих пакетов сообщений.
7) Регистрация происходящих в системе событий.
8) Кэширование запрашиваемых из внешней сети данных.
При разграничении доступа к ресурсам внешней сети чаще всего используется следующий подход:
1) Разрешение доступа только по заданным адресам во внешней сети.
2) Фильтрация запросов на основе обновляемых списков недопустимых адресов. В данном случае блокируется поиск по запрещённым ключевым словам.
3) Регистрация, накопление и обновление данных по санкционированным информационным ресурсам внешней сети в дисковой памяти межсетевого экрана и полный запрет доступа к внешней сети.
Фильтрация и преобразование потока сообщений на основе заданного набора правил выполняются программами-посредниками двух типов:
1) Экранирующие агенты. Предназначены для анализа потока сообщений для определённых видов сервисов.
2) Универсальные экранирующие агенты. Обрабатывает весь поток сообщений, обеспечивает поиск и обезвреживание вирусов.
Пример современного межсетевого экрана, который предоставляет защиту от удалённых атак: ELCO Firewall. Структура комплексного межсетевого экрана включает в себя следующие средства:
1) Система отражения атак.
2) Средства создания виртуальных серверов.
3) Средства пакетной фильтрации и трансляции адресов с контролем состояния соединения.
4) Средства организации виртуальных портов.
5) Средства дистанционного управления по защищённому каналу.
6) Система внутренней безопасности и аудита.
7) Средства организации шифрованных каналов связи для целевых сервисов серверов.
8) Поддержка групп в качестве сервиса.
9) Возможность работы на агрегированных каналах связи.
Логическое вторжение – логическое преодоление системы обеспечения информационной безопасности. Логическое вторжение является наиболее результативным. Логическое вторжение подразделяется на внутрисистемное и удалённое. Внутрисистемное вторжение может быть реализовано следующим образом: злоумышленник уже имеет учётную запись в системе, но с невысокими привилегиями. Он совершает атаку на систему с целью получения дополнительных административных привилегий. Под учётной записью понимается совокупность имени пользователя и пароля с целью определения полномочий данного пользователя в автоматизированной системе. Удалённое вторжение – попытка проникновения в систему через сеть, например, с удалённой машины. Удалённые атаки можно классифицировать:
1) По субъекту атаки – атаки, выполняемые при постоянном участии человека и атаки, выполняемые специально разработанными программами без непосредственного участия человека. В первом случае атаки могут выполняться с использованием стандартного программного обеспечения.
2) По характеру источников уязвимости автоматизированных систем – атаки, основанные на недостатках системы обеспечения информационной безопасности; атаки, основанные на ошибках оперативного управления различными видами автоматизированных систем (в первую очередь, ошибки системного администратора); атаки, основанные на недостатках алгоритмов защиты.
3) По физической дислокации объекта атаки – атаки на информацию, хранившуюся на жёстком магнитном диске; атаки на информацию, передаваемую по линиям связи; атаки на информацию, которая обрабатывается в оперативной памяти. Наиболее уязвимы жёсткие диски и линии связи.
4) По характеру воздействия на объект – атаки с пассивным воздействием (не оказывают непосредственного влияния на работу системы, но нарушает политику безопасности – например, прослушивание); атаки с активным воздействием (влияют на работу системы и нарушают политику безопасности). Большинство атак являются атаки активного воздействия. Особенность активной атаки – возможность достаточно быстрого её обнаружения.
5) По цели воздействия – нарушение конфиденциальности информационных ресурсов системы; нарушение целостности; нарушение работоспособности. Существуют две возможности доступа к информации – перехват и искажение. Перехват – пассивное воздействие (нарушается только конфиденциальность информации). Искажение – активное воздействие (нарушается целостность информации). При нарушении работоспособности целью является вывод из строя атакуемой системы и, как следствие, невозможность доступа пользователей к ресурсам информационной системы.
6) По условию начала осуществления воздействия на автоматизированные системы – атака по факту запроса определённого типа от атакуемого объекта (атака осуществляется только в том случае, когда есть факт запроса определённого типа); атака по наступлению определённого события; атака безусловного типа.
7) По наличию обратной связи с атакуемым объектом – атака с обратной связью и атака без обратной связи (однонаправленная атака). Атака с обратной связью характеризуется тем, что на некоторые запросы, передаваемые атакуемой стороне, злоумышленнику требуется ответ. Атаки без обратной связи осуществляются одиночной передачей запроса на удалённый объект.
8) По расположению субъекта относительно атакуемого объекта – внутрисегментные атаки и межсегментные атаки. Сегмент сети – физическое объединение хостов, подключаемых к серверу по схеме «общая шина». При такой схеме подключения каждый хост имеет возможность подвергать анализу любой пакет в своём сегменте. Хост представляет собой сетевой компьютер или маршрутизатор. Подсеть – это совокупность хостов, которая является частью глобальной сети. Подсеть является логическим объединением хостов. Хосты внутри одной подсети могут взаимодействовать между собой, минуя маршрутизатор. Межсегментную атаку осуществить значительно сложнее, чем внутрисегментную. Но межсегментная атака представляет значительно большую опасность, чем внутрисегментная. Стандарт ISO7498 описывает взаимодействие открытых систем.
9) По уровню модели ISO/OSI – атаки на физическом уровне; атаки на канальном уровне; атаки на сетевом уровне; атаки на транспортном уровне; атаки на сеансовом уровне; атаки на представительном уровне; атаки на прикладном уровне. Intrusion Detection System (IDS) – система обнаружения атак, предназначенная для обнаружения, идентификации и противодействия вторжению. На практике системы обнаружения атак подразделяются на следующие категории: системы обнаружения атак на сетевом уровне (контролируют все пакеты в сетевом окружении, их можно запускать на отдельном компьютере, который просматривает весь трафик в сети); системы контроля системных файлов (System Integrity Virifiers – следят за изменением системных файлов); мониторы регистрационных файлов (Log-file Monitors – контролируют регистрационные файлы, создаваемые серверами и службами); обманные системы (работают с псевдосервисами, целью которых является имитация хорошо известных источников уязвимости).