Мережа Solstice FireWall - 1

Засоби захисту інформації

Зараз навряд чи комусь треба доводити, що при підключенні до Internet Ви піддаєте ризику безпека Вашої локальної мережі і конфіденційність інформації, що міститься в ній. За даними CERT Coordination Center у 1995 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9 %, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.

Одним з найбільш розповсюджених механізмів захисту від інтернетовських бандитів - «хакерів» є застосування міжмережевих екранів - брендмауерів (firewalls).

Варто відзначити, що в наслідку непрофесіоналізму адміністраторів і недоліків деяких типів брендмауерів порядку 30 % зломів відбувається після установки захисних систем.

Не слід думати, що усе викладене вище - «заморські дивини». Усім, хто ще не упевнений, що Росія впевнено доганяє інші країни по числу зломів серверів і локальних мереж і принесеному ними збитку, варто познайомитися з тематичною добіркою матеріалів російської преси і матеріалами Hack Zone (Zhurnal. Ru).

Не дивлячись на удаваний правовий хаос, будь-яка діяльність по розробці, продажу і використанню засобів захисту інформації регулюється безліччю законодавчих і нормативних документів, а усі використовувані системи підлягають обов'язкової сертифікації Державної Технічної Комісії при президенті Росії.

Технологія роботи в глобальних мережах Solstice FireWall_1

В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється дуже велика увага. Розроблено безліч засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними ОС. У якості одного з напрямків можна виділити міжмережеві екрани (firewalls), покликані контролювати доступ до інформації з боку користувачів зовнішніх мереж.

У дійсному документі розглядаються основні поняття систем, що екранують, а також вимоги, пропоновані до них. На прикладі пакета Solstice FireWall_1 розглядається кілька типових випадків використання таких систем, особливо стосовно до питань забезпечення безпеки Internet_підключень. Розглянуто також кілька унікальних особливостей Solstice FireWall_1, що дозволяють говорити про його лідерство в даному класі додатків.

Призначення систем, що екранують, і вимоги до них

Проблема міжмережевого екранування формулюється в такий спосіб. Нехай мається дві інформаційні чи системи дві безлічі інформаційних систем. Екран (firewall) - це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.

Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома безлічами інформаційних систем, працюючи як деяка «інформаційна мембрана». У цьому змісті екран можна уявляти собі як набір фільтрів, що аналізують минаючу через них інформацію і, на основі закладених у них алгоритмів, що приймають рішення: чи пропустити цю чи інформацію відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, зв'язаних із процесами розмежування доступу. зокрема, фіксувати всі «незаконні» спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто здіймати тривогу.

Звичайно екранують системи роблять несиметричними. Для екранів визначаються поняття «усередині» і «зовні», і завдання екрана полягає в захисті внутрішньої мережі від «потенційно ворожого» оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet. Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу усередині корпоративної мережі організації.

Перша, очевидна вимога до таких систем, це забезпечення безпеки внутрішньої (щозахищаються) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку.

По-друге, що екранує система повинна мати могутні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і, крім того, для забезпечення простий реконфігурації системи при зміні структури мережі.

По-третє, що екранує система повинна працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій.

По-четверте, що екранує система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у «пікових» режимах. Це необхідно для того, щоб firewall не можна було, образно говорячи, «закидати» великою кількістю викликів, що привели б до порушення її роботи.

П'яте. Система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.

Шосте. В ідеалі, якщо в організації мається кілька зовнішніх підключень, у тому числі й у вилучених філіях, система керування екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.

Сьоме. Система Firewall повинна мати засобу авторизації доступу користувачів через зовнішні підключення. Типової є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм, тим не менше, потрібно доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.

Структура системи solstice firewall_1

Класичним прикладом, на якому хотілося б проілюструвати усі вищевикладені принципи, є програмний комплекс Solstice FireWall_1 компанії Sun Microsystems. Даний пакет неодноразово відзначався нагородами на виставках і конкурсах. Він має багатьма корисні особливостями, що виділяють його серед продуктів аналогічного призначення.

Розглянемо основні компоненти Solstice FireWall_1 і функції, що вони реалізують

Центральним для системи FireWall_1 є модуль керування всім комплексом. З цим модулем працює адміністратор безпеки мережі. Слід зазначити, що продуманість і зручність графічного інтерфейсу модуля керування відзначалася в багатьох незалежних оглядах, присвячених продуктам даного класу.

Адміністратору безпеки мережі для конфігурація комплексу FireWall_1 необхідно виконати наступний ряд дій:

* Визначити об'єкти, що беруть участь у процесі обробки інформації. Тут маються на увазі користувачі і групи користувачів, комп'ютери і їхні групи, маршрутизатори і різні під сеті локальної мережі організації.

* Описати мережні протоколи і сервіси, з якими будуть працювати додатка. Утім, звичайно достатнім виявляється набір з більш ніж 40 описів, що поставляються із системою FireWall_1.* Далі, за допомогою введених понять описується політика розмежування доступу в наступних термінах: «Групі користувачів А дозволений доступ до ресурсу Б с допомогою чи сервісу протоколу З, але про цьому необхідно зробити позначку в реєстраційному журналі». Сукупність таких записів компілюється в здійсненну форму блоком керування і далі передається на виконання в модулі фільтрації.

Модулі фільтрації можуть розташовуватися на комп'ютерах - чи шлюзах виділених серверах - чи в маршрутизаторах як частина конфігураційної інформації. В даний час підтримуються наступні два типи маршрутизаторів: Cisco IOS 9.x, 10.x, а також BayNetworks (Wellfleet) OS v. 8.

Модулі фільтрації переглядають усі пакети, що надходять на мережні інтерфейси, і, у залежності від заданих правил, чи пропускають відкидають ці пакети, з відповідною записом у реєстраційному журналі. Слід зазначити, що ці модулі, працюючи безпосередньо з драйверами мережних інтерфейсів, обробляють весь потік даних, розташовуючи повною інформацією про передані пакети.

Приклад реалізації політики безпеки

Розглянемо процес практичної реалізації політики безпеки організації за допомогою програмного пакета FireWall_1.

Реалізація політики безпеки FireWall.

1. Насамперед, як уже відзначалося, розробляються і затверджуються на рівні керівництва організації правила політики безпеки.

2. Після твердження ці правила треба втілити в життя. Для цього їх потрібно перевести в структуру типу «відкіля, куди і яким способом доступ дозволений чи, навпаки, заборонений. Такі структури, як ми вже знаємо, легко переносяться в бази правил системи FireWall_1.

3. Далі, на основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережних шлюзах. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого правила політики безпеки «набирають сили».

4. У процесі роботи фільтри пакетів на шлюзах і серверах генерують запису про всі події, що їм наказали відслідковувати, а, також, запускають механізми «тривоги», що вимагають від адміністратора негайної реакції.

5. На основі аналізу записів, зроблених системою, відділ комп'ютерної безпеки організації може розробляти пропозиції по зміні і подальшому розвитку політики безпеки.

Розглянемо простий приклад реалізації наступних правил:

1. З локальних мереж підрозділів, можливо вилучених, дозволяється зв'язок з будь-якою локальною мережею організації після аутентифікації, наприклад, по UNIX_паролі.

2. Усім забороняється доступ до мережі фінансового департаменту, за винятком генерального директора і директора цього департаменту. 3. З Internet дозволяється тільки відправляти й одержувати пошту. Про всі інші спроби зв'язку необхідно робити докладний запис.

Усі ці правила природним образом представляються засобами графічного інтерфейсу Редактора Правил FireWall_1 (мал. 4).

Графічний інтерфейс Редактора Правил FireWall_1.

Після завантаження правил, FireWall_1 для кожного пакета, переданого по мережі, послідовно переглядає список правил до перебування елемента, що відповідає поточному випадку.

Важливим моментом є захист системи, на якій розміщений адміністративно-конфігураційний модуль FireWall_1. Рекомендується заборонити засобами FireWall_1 усі види доступу до даної машини, чи принаймні строго обмежити список користувачів, яким це дозволено, а також ужити заходів по фізичному обмеженню доступу і по захисту звичайними засобами ОС UNIX.

Керування системою firewall_1

показані основні елементи керування системою FireWall_1.

Основні елементи керування системою FireWall_1.

Ліворуч розташовані редактори баз даних про об'єкти, що існують у мережі і про чи протоколи сервісах, за допомогою яких відбувається обмін інформацією. Праворуч угорі показаний редактор правил доступу.

Праворуч унизу розташовується інтерфейс контролю поточного стану системи, у якому для всіх об'єктів, що заніс туди адміністратор, відображаються дані про кількість дозволених комунікацій (галочки), про кількість відкинутих зв'язків (знак «цегла») і про кількість комунікацій з реєстрацією (іконка олівець). Цегельна стіна за символом об'єкта (комп'ютера) означає, що на ньому встановлений модуль фільтрації системи FireWall_1.

Розглянемо тепер випадок, коли первісна конфігурація мережі міняється, а разом з нею міняється і політика безпеки.

Нехай ми вирішили установити в себе в організації кілька загальнодоступних серверів для надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP чи інші інформаційні сервери. Оскільки такі системи відособлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну під сеті, що має вихід у Internet через шлюз (мал. 6).

Схема шлюзу Internet

Оскільки в попередньому прикладі локальна мережа була вже захищена, те усе, що нам треба зробити, це просто дозволити відповідний доступ у виділену під сеті. Це робиться за допомогою одного додаткового рядка в редакторі правил, що тут показана. Така ситуація є типової при зміні конфігурації FireWall_1. Звичайно для цього потрібно зміна однієї чи невеликого числа рядків у наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурації і загальну продуманість архітектури FireWall_1.

Аутенфікація користувачів при роботі з ftp

Solstice FireWall_1 дозволяє адміністратору установити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall_1 заміняють стандартні FTP і telnet демони UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, що бажає почати інтерактивну сесію по FTP чи telnet (це повинно бути дозволений користувач і в дозволене для нього час), може зробити це тільки через вхід на такий шлюз, де і виконується вся процедура аутентификации. Вона задається при описі чи користувачів груп користувачів і може проводитися такими способами:

* Unix_пароль;

* програма S/Key генерації одноразових паролів;

* картки SecurID з апаратною генерацією одноразових паролів.

Гнучкі алгоритми фільтрації udp_пакетів, динамічне екранування

UDP_протоколи, що входять до складу набору TCP/IP, являють собою особливу проблему для забезпечення безпеки. З однієї сторони на їхній основі створена безліч додатків. З іншого боку, усі вони є протоколами «без стану», що приводить до відсутності розходжень між запитом і відповіддю, що приходить мережі, що ззовні захищається.

Пакет FireWall_1 вирішує цю проблему створенням контексту з'єднань поверх UDP сесій, запам'ятовуючи параметри запитів. Пропускаються назад тільки відповіді зовнішніх серверів на вислані запити, що однозначно відрізняються від будь-яких інших UDP_пакетів (читай: незаконних запитів), оскільки їхні параметри зберігаються в пам'яті FireWall_1.

Слід зазначити, що дана можливість присутня в дуже деяких програмах екранування, розповсюджуваних у даний момент.

Помітимо також, що подібні механізми задіються для додатків, що використовують RPC, і для FTP сеансів. Тут виникають аналогічні проблеми, зв'язані з динамічним виділенням портів для сеансів зв'язку, що FireWall_1 відслідковує аналогічним образом, запам'ятовуючи необхідну інформацію при запитах на такі сеанси і забезпечуючи тільки «законний» обмін даними.

Дані можливості пакета Solstice FireWall_1 різко виділяють його серед всіх інших міжмережевих екранів. Уперше проблема забезпечення безпеки вирішена для усіх без винятку сервісів і протоколів, що існують у Internet.МОВА ПРОГРАМУВАННЯ

Система Solstice FireWall_1 має власний убудований об'єктно орієнтовану мову програмування, застосовуваний для опису поводження модулів - Фільтрів системи. Власне кажучи, результатом роботи графічного інтерфейсу адміністратора системи є сценарій роботи саме на цій внутрішній мові. Він не складний для розуміння, що допускає безпосереднє програмування на ньому. Однак на практиці дана можливість майже не використовується, оскільки графічний інтерфейс системи і так дозволяє зробити практично усе, що потрібно.

Прозорість і ефективність

FireWall_1 цілком прозорий для кінцевих користувачів. Ще однією чудовою властивістю системи Solstice FireWall_1 є дуже висока швидкість роботи. Фактично модулі системи працюють на мережних швидкостях передачі інформації, що обумовлено компіляцією сценаріїв роботи перед підключенням їхній безпосередньо в процес фільтрації.

Компанія Sun Microsystems приводить такі дані про ефективність роботи Solstice FireWall_1. Модулі фільтрації на Internet_шлюзі, типовим для багатьох організацій образом, працюючи на швидкостях звичайного Ethernet у 10 Мб/сек, забирають на себе не більш 10 % обчислювальної потужності процесора SPARCstation 5,85 Мгц чи комп'ютера 486DX2-50 з операційною системою Solaris/x86.

Solstice FireWall_1 - ефективний засіб захисту корпоративних мереж і їхніх сегментів від зовнішніх погроз, а також від несанкціонованих взаємодій локальних користувачів із зовнішніми системами.

Solstice FireWall_1 забезпечує високорівневу підтримку політики безпеки організації стосовно всіх протоколів сімейства TCP/IP.

Solstice FireWall_1 характеризується прозорістю для легальних користувачів і високою ефективністю.

По сукупності технічних і вартісних характеристик Solstice FireWall_1 займає лідируючу позицію серед міжмережевих екранів.

Обмеження доступу в WWW серверах

Розглянемо два з них:

* Обмежити доступ по IP адресах клієнтських машин;

* ввести ідентифікатор одержувача з паролем для даного виду документів.

Такого роду введення обмежень стало використовуватися досить часто, тому що багато хто прагнуть у Internet, щоб використовувати його комунікації для доставки своєї інформації споживачу. За допомогою такого роду механізмів по розмежуванню прав доступу зручно робити саморозсилання інформації на одержання якої існує договір.

Обмеження по IP адресах

Доступ до приватних документів можна дозволити, або навпаки заборонити використовуючи IP адреси конкретних чи машин сіток, наприклад:

123.456.78.9

123.456.79.

У цьому випадку доступ буде дозволений (чи заборонений у залежності від контексту) для машини з IP адресою 123.456.78.9 і для всіх машин під сітки 123.456.79.

Обмеження по ідентифікаторі одержувачаоступ до приватних документів можна дозволити, або навпаки заборонити використовуючи привласнене ім'я і пароль конкретному користувачу, причому пароль у явному виді ніде не зберігається.

Розглянемо такий приклад: Агентство печатки надає свою продукцію, тільки своїм передплатникам, що уклали договір і оплатили підписку. WWW Сервер знаходиться в мережі Internet і загальнодоступний.