Программное обеспечение и конфигурация
2.2.1. Программа Firewall-1
Программа Firewall-1 устанавливается на компьютер-шлюз и выполняет основные функции экранирования межсетевого доступа. Структурно Firewall-1 представляет собой административный модуль, управляющий набором модулей фильтров, установленных, соответственно, на маршрутизаторах, компьютере-бастионе и, при необходимости, на выделенных серверах внутри локальной сети.
В данном случае предлагается установка модулей фильтрации Firewall-1 на компьютер-шлюз и маршрутизаторы экранирующей подсети.
Работа с программой Firewall-1 состоит из следующих этапов:
выработка правил фильтрации в соответствии с политикой безопасности предприятия;
определение сетевых объектов, взаимоотношение которых регламентируется правилами фильтрации;
определение набора используемых сервисов либо на основе встроенной базы данных, имеющей значительный набор TCP/IP сервисов, либо определяя собственные сервисы, используемые в организации;
определение базы данных пользователей с указанием возможных рабочих мест, времени работы и порядок аутентификации;
определение правил фильтрации в интерфейсе Firewall-1;
проверка внутренней непротиворечивости набора правил фильтрации;
компиляция фильтра и его установка на фильтрующих модулях;
анализ протоколов работы для проверки адекватности политики безопасности предприятия.
Дополнительно включается трансляция адресов. Высокая производительность Firewall-1 и прозрачность программы для пользователей позволяет эффективно использовать его как инструмент межсетевого экранирования в соответствии с политикой безопасности предприятия.
2.2.2. Средство аутентификации S/key
Программа S/key предназначена для генерации одноразовых паролей, используемых для аутентификации удаленных пользователей. Основным преимуществом этой программы является отсутствие передачи пароля через общедоступные коммуникации. Это, в свою очередь, делает невозможным получение несанкционированного доступа путем перехвата сетевых пакетов, что возможно, например, в случае стандартных сервисов типа telnet.
В основе работы программы S/key лежит использование односторонних функций - функций, для которых восстановление значения аргумента по значению функции (обращение) требует практически недоступных вычислительных ресурсов. Работа S/key состоит из инициализации, когда пользовательский пароль используется как аргумент односторонней функции, применяемой последовательно N раз, и сеансовой аутентификации, которая сводится к следующему:
удаленный пользователь сообщает серверу свое имя;
сервер возвращает пользователю число, равное N-1;
пользователь на локальном компьютере вводит пароль, с которым клиентская часть производит N-1 вычислений односторонней функции;
результат вычислений посылается серверу;
сервер проводит еще одно вычисление односторонней функции и сравнивает результат с полученным от клиента в предыдущий раз.
Таким образом, при использовании некриптографического средства обеспечивается проверка подлинности клиента, причем сеансовые пароли являются одноразовыми и не восстанавливаются с помощью предыдущих либо последующих паролей.
2.2.3. Модуль управления терминальным сервером
Модуль управления терминальным сервером Annex имеет достаточно продвинутые возможности обеспечения безопасности самого сервера и разграничения доступа клиентов, выполняя следующие функции:
использование локального пароля на доступ к последовательному порту, для доступа по протоколу PPP, для доступа к административной консоли;
использование запроса на аутентификацию с какой-либо машины локальной сети;
использование внешних средств аутентификации, таких как S/key;
установку списка контроля доступа на порты терминального сервера;
протоколирование сеансов связи через терминальный сервер.
Предлагается установка терминального сервера таким образом, чтобы его работа осуществлялась исключительно через компьютер-бастион и с использованием аутентификации одноразовыми паролями (S/key). Это позволит достичь необходимой степени безопасности при работе удаленных пользователей с информационными ресурсами организации.