Параграф. 1.5. Подсистема межсетевого экранирования

Межсетевой экран (МЭ), Брандмауэр, firewall - это система межсетевой защиты. позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую. Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия. МЭ пропускает через себя весь трафик, принимая для каждого проходящего пакета решение - пропускать его или отбросить. Для того чтобы МЭ мог осуществить это ему необходимо определить набор правил фильтрации.

Обычно межсетевые экраны защищают внутреннюю сеть предприятия от "вторжений" из глобальной сети Internet, однако они могут использоваться и для защиты от "нападений" из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Однако для большинства коммерческих организаций установка межсетевого экрана является необходимым условием обеспечения безопасности внутренней сети. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других хост-компьютеров внешней сети.

Политика доступа к сетевым сервисам обычно основывается на одном из следующих принципов:
1. запретить доступ из Internet во внутреннюю сеть, но разрешить доступ из внутренней сети в Internet;
2. разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных "авторизированных" систем, например почтовых серверов.

В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего, необходимо установить, насколько "доверительной" или "подозрительной" должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:
1. запрещать все, что не разрешено в явной форме;
2. разрешать все, что не запрещено в явной форме.

Реализация межсетевого экрана на основе первого принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с этим принципом, могут доставлять большие неудобства пользователям, а кроме того, их реализация обходится достаточно дорого. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, однако, пользоваться ей будет удобнее и потребуется меньше затрат.

Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.

Функциональные требования к межсетевым экранам включают:
1. требования к фильтрации на сетевом уровне;
2. требования к фильтрации на прикладном уровне;
3. требования по настройке правил фильтрации и администрированию;
4. требования к средствам сетевой аутентификации;
5. требования по внедрению журналов и учету.

Варианты подключения
При подключении корпоративной или локальной сети к глобальным сетям администратор сетевой безопасности должен решать следующие задачи:
• защита корпоративной или локальной сети от несанкционированного доступа со стороны глобальной сети;
• скрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
• разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.

Необходимость работы с удаленными пользователями требует установки жестких ограничений доступа к информационным ресурсам защищаемой сети. При этом часто возникает потребность в организации в составе корпорационной сети нескольких сегментов с разными уровнями защищенности
• свободно доступные сегменты (например, рекламный WWW-сервер);
• сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);
• закрытые сегменты (например, локальная финансовая сеть организации).

Для защиты корпоративной или локальной сети применяются основные схемы организации межсетевых экранов представленные на рисунках.

межсетевой экран - фильтрующий маршрутизатор:

фильтрующий маршрутизатор - межсетевой экран:

Демелитаризованная зона

Вместе с тем решение этого вопроса достигается путём сочетания организационных мер и программно-технических решений. Данный подход не требует больших технических и немедленных финансовых затрат, и может быть применён для комплексной антивирусной защиты локальной сети любого предприятия.

В основу построения такой системы антивирусной защиты могут быть положены следующие принципы:
• принцип реализации единой технической политики при обосновании выбора антивирусных продуктов для различных сегментов локальной сети;
• принцип полноты охвата системой антивирусной защиты всей локальной сети организации;
• принцип непрерывности контроля локальной сети предприятия, для своевременного обнаружения компьютерной инфекции;
• принцип централизованного управления антивирусной защитой;
• принцип реализации единой технической политики предусматривает использование во всех сегментах локальной сети только антивирусного ПО, рекомендуемого подразделением антивирусной защиты предприятия;
• принцип полноты охвата системой антивирусной защиты локальной сети предусматривает постепенной внедрение в сеть программных средств антивирусной защиты до полного насыщения в сочетании с организационно-режимными мерами защиты информации;
• принцип непрерывности контроля за антивирусным состоянием локальной сети подразумевает такую организацию ее защиты, при которой обеспечивается постоянная возможность отслеживания состояния сети для выявления вирусов;
• принцип централизованного управления антивирусной защитой предусматривает управление системой из одной органа с использованием технических и программных средств.

С учётом этих принципов в комплексной системе информационной безопасности создаётся подразделение антивирусной защиты, которая должна решать следующие задачи:
• приобретение, установка и своевременная замена антивирусных пакетов на серверах и рабочих станциях пользователей;
• контроль правильности применения антивирусного ПО пользователями;
• обнаружение вирусов в локальной сети, их оперативное лечение, удаление зараженных объектов, локализация зараженных участков сети;
• своевременное оповещение пользователей об обнаруженных или возможных вирусах, их признаках и характеристиках.

Для решения этих задач в комплексной системе информационной безопасности кроме администраторов информационной безопасности создаются администраторы антивирусной защиты. Если ЛВС небольшая или достаточно хорошо оснащена антивирусным ПО, то назначение специального администратора антивирусной защиты чаще всего нецелесообразно, так как его функции может выполнять администратор безопасности сети.

Для организации функционирования антивирусной защиты необходима разработка внутренних организационно-распорядительных документов. Кроме того, должны быть определены порядки передачи сообщений о вирусах от пользователей и оповещений администраторов о фактах и возможностях вирусных заражений локальной сети.

Эффективность создаваемой подсистемы антивирусной защиты зависит также от выполнения следующих дополнительных условий:
• подключение ПК пользователей в корпоративную сеть должно производиться только по заявке с отметкой администратора антивирусной защиты об установке лицензионного антивирусного ПО (заявка заносится в базу данных с фиксацией сроков действия лицензии);
• передачу ПК от одного пользователя другому необходимо производить с переоформлением подключения к сети;
• обнаруженные вирусы целесообразно исследовать на стенде подразделения защиты информации с целью выработки рекомендаций по их корректному обезвреживанию;
• в удаленных структурных подразделениях следует назначить внештатных сотрудников, ответственных за антивирусную защиту.

Практическая реализация антивирусной защиты информации на серверах и ПК корпоративной сети осуществляется с использованием ряда программно-технических методов, являющихся стандартными, но имеющих свою специфику, определяемую особенностями корпоративной сети. К ним относятся:
• использование антивирусных пакетов;
• архивирование информации;
• резервирование информации;
• ведение базы данных о вирусах и их характеристиках;

Рассмотрим эти методы более подробно.
Главным методом антивирусной защиты является установка антивирусных пакетов. Выбор антивирусного ПО является одной из важнейших задач антивирусной защиты, от правильности решения которой в дальнейшем будут зависеть антивирусная безопасность системы, а также затраты на ее поддержание. Используемые антивирусные средства должны удовлетворять следующим общим требованиям:
• система должны быть совместима с операционными системами серверов и ПК;
• система антивирусной защиты не должна нарушать логику работы остальных используемых приложений;
• наличие полного набора антивирусных функций, необходимых для обеспечения антивирусного контроля и обезвреживания всех известных вирусов;
• наличие блока поведенческого анализа, позволяющего выявлять еще неизвестные вирусы;
• частота обновления антивирусного ПО и гарантии поставщиков (разработчиков) в отношении его своевременности.

В отличие от других подсистем информационной безопасности в рассматриваемой области отсутствуют четко сформулированные показатели защищенности и соответствующие критерии сравнения различных антивирусных средств. Как правило антивирусные комплексы сравниваются по следующим показателям: обнаружение, лечение, блокирование, восстановление, регистрация, обеспечение целостности, обновление базы данных компьютерных вирусов, защита антивирусных средств от доступа паролем, средства управления, гарантии проектирования, документация.

При комплексной защите локальной сети необходимо уделить внимание всем возможным точкам проникновения вирусов в сеть извне. Применение антивирусов для межсетевых экранов на сегодняшний день сводится к осуществлению фильтрации доступа в Интернет при одновременной проверке на вирусы проходящего трафика. Осуществляемая такими продуктами антивирусная проверка сильно замедляет работу и имеет крайне не высокий уровень обнаружения, по этому в отсутствии необходимости фильтрации посещаемых пользователями веб-узлов применение таких продуктов является не целесообразным.

Антивирусной защите подлежат все компоненты информационной системы, участвующие в транспортировке информации и/или её хранении:
• файл-серверы;
• рабочие станции;
• рабочие станции мобильных пользователей;
• мобильные устройства (телефоны, КПК);
• сервера резервного копирования;
• почтовые сервера.

Как правило, использование одного (базового) антивирусного пакета для защиты локальной сети представляется наиболее целесообразным. Однако анализ рынка антивирусных средств показывает, что в случае, когда мы имеем дело с большой корпоративной сетью, это не всегда возможно вследствие разнородности применяемых в сегментах сети операционных платформ.
Следующим после выбора пакетов шагом является их тестирование администратором безопасности на специальном стенде подразделения защиты информации. Эта процедура позволяет выявить ошибки в антивирусном ПО, оценить его совместимость с системным и прикладным ПО, используемым на ПК и серверах сети. Опыт показывает, что такое тестирование оказывается далеко не лишним, поскольку разработчик не способен в полном объеме исследовать процесс функционирования своих антивирусных средств в условиях реальных сетей. Результаты тестирования направляются разработчику пакета, что позволяет тому провести необходимые доработки до начала массовой установки последнего.

Современные антивирусные пакеты содержат в себе следующие основные программные компоненты:
• монитор (резидентно размещается в оперативной памяти компьютера и автоматически проверяет объекты перед их запуском или открытием; при обнаружении вируса программа в зависимости от настроек может: удалить зараженный объект, вылечить его, запретить к нему доступ);
• сканер (осуществляет проверку объектов на наличие вирусов по запросу пользователей);
• сетевой центр управления (позволяет организовать управление АВЗ корпоративной сети: управлять компонентами пакета, задавать расписания запуска сканера, автоматического обновления антивирусных баз и т.д.);
• дополнительные модули, обеспечивающие проверку электронной почты и Web-страниц в момент получения информации;
• блок поведенческого анализа (позволяет выявлять еще неизвестные вирусы).

Установку антивирусных пакетов и их настройку выполняют специалисты подразделения, осуществляющего техническое обслуживание сети. Программы "монитор" и "сканер" устанавливаются как на серверах, так и на ПК, причем первый настраивается на постоянное включение.
При обнаружении вирусов пользователям не рекомендуется заниматься "самолечением", так как это может привести к потере информации. В таких случаях им следует по "горячей линии" обращаться к администраторам антивирусной защиты, которые принимают меры по обезвреживанию вирусов и предотвращению дальнейшего заражения.
Следующими по важности методами антивирусной защиты являются архивирование и резервное копирование информации, позволяющие исключить потерю информации в случае вирусного заражения. Архивирование заключается в периодическом копировании системных областей машинных носителей информации на внешние устройства. На серверах с наиболее важной информацией архивирование необходимо проводить с минимальной периодичностью. Резервное копирование информации проводится ежедневно в целях защиты ее от искажения и разрушения.
Антивирусная защита локальной сети крупной организации является сложной проблемой, которая не сводится к простой установке антивирусных продуктов. Как правило, требуется создание отдельной подсистемы. В техническом плане при решении данной проблемы особое внимание следует уделить тестированию всего вновь приобретаемого антивирусного ПО, а также установке антивирусных пакетов на почтовые серверы.

Параграф. 1.6. Выводы

Современная система защиты информации может быть реализована на довольно разнообразном множестве элементов. Основным характеристиками современных компонентов являются:
• Адаптивность к быстроменяющимся условиям и угрозам.
• Возможность в ограниченном смысле реагировать на новые, еще не изученные уязвимости.
• Наличие четкой централизации управления.
• Наличие системы функциональной проверки и самопроверки работоспособности.
Таким образом современные системы защиты информации представляют собой высокоинтеллектуальные системы с большой степенью свободы автоматически принимаемых решений в рамках предложенной политики безопасности.

Раздел 6. Инсталляция СЗИ

После определения элементной базы СЗИ, а довольно часто одновременно с этим процессом начинается её инсталляция. Данный процесс требует отдельного рассмотрения, здесь мы ограничимся кратким описанием его основных элементов.
Одновременно с инсталляцией создается библиотека установленного программного обеспечения, куда помещаются образы установочных носителей с обязательным вычислением контрольных сумм, а в некоторых случаях обязательно наличие электронной подписи. Такая же процедура применяется к исправлениям ПО устанавливаемым в систему.
При процессе настройки специального программного обеспечения, конфигурация обязательно фиксируется на бумажных носителях, и храниться в местах исключающих несанкционированный доступ.
Обязательно разрабатывается процедуры тестирования целостности и работоспособности установленного программного, а так же аварийной остановки, пуска и восстановления. Процедуры должна быть зафиксирована на бумажных носителях и должны быть протестированы путем пошагового выполнения.
Все полученные на этом этапе документы являются неотъемлемой частью политики безопасности предприятия.