Межсетевые экраны. Зачем они нужны, какими они должны быть и где они должны устанавливаться

 

Бородатый анекдот утверждает, что у параноиков и шизофреников есть общее – это воздушные замки, которые один строит, а другой в них живет. А психиатр при этом собирает квартплату.

Этот анекдот весьма похоже иллюстрирует сложившуюся ситуацию с межсетевыми экранами. Одни пугают нас жуткими последствиями, если мы не установим межсетевой экран, другие, напуганные первыми, покупают их по чудовищно высоким ценам, совершенно не понимая, зачем, а третьи, улыбаясь, выпускают все новые и новые изделия, которые снова покупаются, не являясь при этом защитным средством и практически никак не влияя на защищенность наших компьютеров.

Согласно определения [64], «Межсетевой Экран (МЭ) — это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и/или выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола».

Из этого определения следует, МЭ различаются по типу реализации (локальные или функционально-распределенные средства), но не различаются по типу контроля.

Действительно, из определения следует, что достаточно реализовать только разграничение доступа субъектов одной АС к объектам другой АС. При этом отсутствует всякое упоминание контроля потоков информации, т. е. предполагается наличие дискреционного механизма разграничения доступа, но отсутствует мандатный механизм. Это странно, т. к. хорошо известны ограничения дискреционного механизма — его целесообразно применять для защиты локальных ресурсов, но эффективность его проблематична для глобальных сетей.

Коротко рассмотрим известные типы МЭ.

1. МЭ на основе фильтрации пакетов (ФП) анализируют значения полей «адрес» и «порт» в заголовке IP-пакета и на основании заранее определенных правил пропускают либо отклоняют пакет. Ясно, что на основе МЭ ФП ничего напоминающего мандатный механизм реализовать невозможно, хотя простота, дешевизна и незначительное влияние на производительность сети позволяет найти место для приложения экранов этого типа.

2. МЭ на основе технологии контекстной проверки (КП) просматривают пакеты на сетевом уровне и анализируют некоторые данные в пакете по отношению к применяемым сервисам. В политике информационной безопасности (ПИБ), реализуемой с применением этого типа МЭ, обычно требование доступности является более значимым, чем целостность и конфиденциальность, и в связи с этим для принятия жестких мер защиты информации МЭ КП не всегда подходят.

3. МЭ на основе технологии «посредника» являются промежуточным звеном передачи пакетов между сервером и клиентом. Явно определяется допустимое подмножество команд для конкретного протокола, а все прочие будут отклонены. При этом МЭ с посредником в общем случае не проверяют содержащиеся в пакете данные. То есть в этом случае наиболее последовательно реализуется дискреционная модель, но все равно – даже не предусмотрена возможность реализации мандатной модели.

В целом можно сделать следующий вывод — большинство из известных МЭ являются локальными средствами, с той или иной степенью полноты реализующими дискреционный механизм разграничения доступа. Как результат, при применении МЭ фиксируется «место» принятия решения о доступе, но невозможно зафиксировать «место» порождения данных, их семантику и, следовательно, отсутствует возможность анализа потоков.

Можно ли выяснить намерения человека по цвету его носков? Очевидно, что не всегда. Аналогично, далеко не всегда по адресу источника пакета можно сделать вывод о том, содержит или нет этот пакет фрагмент разрушающего программного воздействия.

Для преодоления выявленных ограничений следует изучить возможность реализации функционально-распределенного программно-аппаратного средства с поддержкой мандатного механизма управления потоками.

Действительно, пусть дискреционным механизмом определено, что субъект S1 имеет доступ к объектам F1 и F2, а субъект S2 имеет доступ только к объекту F2. В этом случае ничто не помешает S1 скопировать сведения из F1 в F2. При этом S2, обладая доступом к F2, фактически получает доступ к сведениям из F1. Таким образом, защита информации посредством дискреционного механизма не является полной. Необходимо с учетом возможности доступа S2 контролировать также поток от F1 к F2, организованный S1, т. е. необходимо введение мандатного механизма.

Отсутствие мандатного механизма является, на наш взгляд, основной допускаемой в настоящее время ошибкой, от преодоления которой зависит эффективность защиты. Действительно, принятие решения о доступе субъекта к объекту связано с характеристиками субъекта и объекта, но очень слабо связано с тем, откуда субъект запрашивает сведения из объекта и с помощью каких средств он это делает.

Известны механизмы управления потоками на основе меток безопасности, включающих как иерархические, так и неиерархические признаки. Данные метки ассоциируются с объектами и субъектами АС, и решение о возможности доступа (организации потока) принимается на основе анализа меток. Проиллюстрировать данный механизм можно следующим примером.

Рассмотрим описание типа

ID (I; P1, P2,...Pn), где

ID — идентификатор или субъекта (Si), или объекта (Fi);

I — иерархический признак;

Pi — неиерархический признак.

Пусть иерархические признаки описывают подмножества степеней зрелости:

1 – белый, зеленый, желтый, красный

2 – белый, зеленый, желтый

3 – белый, зеленый

4 – белый

Неиерархические признаки описывают семантику (тематику) сведений, содержащихся в объекте:

 

1 — манго

2 — яблоки

3 — груши

 

Пусть:

S1 (2; 1, 2, 3)

S2 (1; 2, 3)

F1 (3; 2, 3)

F2 (4; 1, 2),

интерпретация:

— субъекту S2 доступны сведения о яблоках и грушах (неиерархические признаки 2 и 3) всех степеней зрелости — белых, зеленых, желтых и красных (иерархический признак 1), но недоступны никакие сведения о манго, даже самых незрелых;

— субъекту S1, напротив, доступны сведения о всех фруктах, информация о которых имеется в системе, но лишь в той мере, пока они зреют. Сведения о созревших («красных» — иерархический признак 1) фруктах субъекту S1 не доступны.

При этом S1 имеет доступ и к F1, и к F2. Для S2 доступен F1, но недоступен F2, хотя допуск S2 значительно выше грифа F2. Дело в том, что по совокупности неиерархических признаков S2 имеет право доступа к сведениям, касающимся яблок и груш, но не имеет права доступа к сведениям о манго, которые содержатся в F2.

Пусть S1 в процессе обработки F1 и F2 создает объект F3, который при этом может быть описан как:

F3 (3; 1, 2, 3).

Таким образом, хотя допуск S2 позволяет иметь доступ к сведениям, имеющим гриф как у F3, но S2 не получит доступа к F3, т. к. множество неиерархических признаков S2 уже аналогичного для F3.

Очевидно, что такой механизм позволит контролировать потоки. Необходимым условием при этом является наличие меток безопасности и средств их обработки.

Ставя перед собой задачу обеспечения необходимого уровня защиты информации в защищенной ЛВС при доступе в том числе и из открытой внешней сети, необходимо разработать механизмы, позволяющие осуществлять:

— назначение меток субъектам и объектам АС;

— хранение (привязку) меток в ассоциированном с субъектами и объектами виде;

— сопровождение (обработку и преобразование) меток в жизненном цикле информации.

Подводя итог, отметим, что достижение необходимого уровня безопасности возможно при реализации концепции функционально-распределенного МЭ с поддержкой семантического анализа данных на основе мандатного механизма.

 

ЧТО ДАЛЬШЕ?

 

Для того чтобы следы компьютерных преступлений можно было анализировать, нужно, по крайней мере, создать условия, при которых они (следы) остаются.

Еще лучше, если остаются не просто следы, а следы отчетливые. Так, следы на взрыхленной земле обычно отчетливей, чем следы на асфальте. Именно поэтому вдоль границы государства создается КСП — контрольно-следовая полоса. Но и этого недостаточно — нужны еще и пограничники, которые регулярно осматривают КСП, а иногда и взрыхляют ее.

Представляется, что такая метафора достаточно хорошо описывает действия, которые необходимо предпринимать для того, чтобы расследование компьютерных преступлений было успешным. А именно: защита компьютера от НСД, обеспечение доверенной вычислительной среды, контроль неизменности технологий и обеспечение юридической значимости электронных документов. Как правило, этого достаточно. Расширения минимальной достаточности, как правило, непродуктивны.

Проиллюстрируем тезис о развитии без расширения на примере антивирусной защиты. Средства поиска компьютерных вирусов активно разрабатываются и продаются. Тем не менее, вполне разумной является и постановка следующего вопроса: «а можно ли написать антивирусную программу, которая сумеет обнаружить все вирусы?», или наоборот – «можно ли написать вирус, который нельзя обнаружить?» На первый вопрос можно уверенно ответить: «Нет», – это следует из теоремы Геделя о неполноте. На второй вопрос также уверенно можно ответить: «Да», – формулы таких вирусов опубликованы и достаточно широко известны. Тогда успехи «науки вирусологии» — это лишь успехи в поисках частных случаев. Значит, «вирусология» — скорее искусство, чем наука, и является хоть и важным, но вспомогательным механизмом. Антивирусные программы часто бывают полезны, но в критически важных сегментах важнее обеспечить условия, при которых вирусы не смогут активизироваться – например, с помощью контроля запуска задач и процессов.

Другим примером непродуктивного расширения может служить попытка автоматического анализа программных средств на отсутствие недекларируемых возможностей. Найти некоторые конкретные недекларированные механизмы может быть и возможно, но вот дать гарантию их отсутствия, конечно, нельзя. И более того — что является гарантией отсутствия недекларированных возможностей у собственно средств анализа на отсутствие недекларируемых возможностей?

На наш взгляд, эти проблемы могут быть проиллюстрированы известным теологическим парадоксом: «Если Бог всемогущ, то может ли он создать камень, который не сможет поднять?»

Именно в этом смысле расширенные подходы кажутся нам непродуктивными. Более осмысленными представляются подходы, связанные с созданием условий, в которых РПВ, недекларируемые возможности и другие опасности просто не могут реализоваться — созданием изолированной программной среды и доверенной вычислительной среды.

Всегда ли проверенная программа, использующая проверенные данные, дает правильный результат? Очевидно, что нет. Проверенной должна быть и среда, в которой исполняется программа. И далее — проверенной должна быть и аппаратура, в том числе и с микропрограммным управлением. Учитывая, что инициализация любой вычислительной системы осуществляется не одномоментно, а в некоторой последовательности, возможна организация доверенной загрузки, и создания ДВС на этой основе.

В свое время усилия разработчиков средств защиты информации были сосредоточены на создании программного обеспечения, реализующего те или иные функции защиты. Опыт этих разработок наглядно продемонстрировал ограниченность такого подхода и привел к осознанию необходимости аппаратной защиты. Именно по этому пути все последнее время продвигается коллектив ОКБ САПР, разрабатывающий семейство СЗИ НСД АККОРД.

К настоящему времени методология аппаратной защиты стала стандартом де-факто. Изделия ОКБ САПР имели такую архитектуру и возможности уже в 1997 году, с появлением контроллера Аккорд-4++. В 1999 году эта архитектура была опубликована в виде монографии [1].

А потом – в 2000 году появилась международная организация Trusted Computing Group, и стало ясно, что проблема, наконец, осознана в мире. Эта организации разработала концепцию, архитектуру и спецификацию на Trusted Platform Module (TPM) – резидентный аппаратный компонент компьютерной системы, обеспечивающий ее защиту от НСД. И наконец, в 2003 году фирма Microsoft объявила о полной системной поддержке возможностей, предоставляемых модулем TPM в следующей версии операционной системы Windows.

Разумеется, сегодня все изделия ОКБ САПР полностью удовлетворяют современным спецификациям на TPM.

Сейчас не для кого уже не прозвучит преувеличением то, что задача доверенной загрузки ОС решена – ее надежно обеспечивает «Аккорд-АМДЗ», а также построенные на его основе комплексы «Аккорд-Winxx», «Аккорд-X»и др. Однако для обеспечения информационной безопасности этого недостаточно. Сейчас уже стало вполне очевидным то, что необходимо искать решения, при которых критичные данные были бы защищены в условиях ОС, доверенность которой не подтверждена.

То есть к задачам обеспечения доверенной загрузки ОС и создания доверенной программной среды необходимо добавить еще одну – обеспечение доверенных вычислений, по крайней мере – для критичных сегментов ИТ, в условиях недоверенной ОС.

Достаточно распространенным является утверждение: «так как с помощью материальных средств можно защищать только материальный объект, то объектами защиты являются материальные носители информации» [65]. Конечно, это не так. Нельзя забывать, что угроз информации гораздо больше тогда, когда она обрабатывается, а не хранится, то есть не менее важно защищать процессы, а не только носители.

Именно поэтому информационная технология стала важнейшим объектом защиты.

Среду электронного обмена информацией можно условно обозначить как безопасную, нейтральную и агрессивную.

В безопасной среде искажения текста и идентификатора документа и информационной технологии их обработки практически исключены (незначимы). В качестве примера можно привести хорошо защищенные, в том числе и оргмерами, изолированные компьютеры и небольшие изолированные локальные сети «силовых» министерств и ведомств.

В нейтральной среде возможны лишь случайные искажения, связанные в основном с несовершенством технических средств документооборота (например, изолированные локальные сети небольших организаций). В этом случае согласованное искажение всех элементов защиты практически невозможно, и может быть легко индицировано.

В агрессивной среде злонамеренное воздействие делает возможным любое искажение любых элементов описания документа и информационной технологии (например, крупные корпоративные сети, имеющие много точек взаимодействия с открытыми сетями общего пользования). Здесь идентификатор документа должен содержать, в явной или неявной форме, криптографический атрибут, известный получателю документа.

Теперь можно качественно оценить применимость программных и аппаратных средств защиты от НСД для указанных сред.

Так, стоимость аппаратных средств защиты обычно выше стоимости программных средств. Однако, программные средства сами подвержены атакам и связанными с ними искажениям. Для их контроля нужно применять другие программные, аппаратные средства или организационные меры, которые, в свою очередь, также имеют определенную цену. Чем более агрессивна среда, тем дороже стоят средства контроля, обеспечивающие защиту от различных типов атак. Для защиты документа в агрессивной среде необходима выработка/проверка криптографического атрибута, основанного на применении секретного ключа. Сохранение секретного ключа в тайне в свою очередь требует дополнительных затрат на технические средства и/или орг.меры.

Эффективность защитных мер в общем случае можно рассматривать как функцию, зависящую от количества типов отражаемых атак и стоимости средств защиты и проводимых организационных мероприятий. Причем эта функция растет при увеличении доли отражаемых атак в общем количестве атак и убывает при росте цен на СЗИ и проводимые организационные мероприятия.

Конкретный вид функции, естественно, будет зависеть от типов применяемых средств защиты, свойств защищаемых информационных систем и ряда других факторов.

Вместе с этим, для анализа и иллюстрации соотношения эффективности программных и аппаратных средств защиты на качественном уровне можно рассмотреть функцию эффективности в виде дроби, где числителем является отношение отражаемых атак к общему количеству атак, а знаменателем – стоимость средств защиты. В этом случае картина выглядит как на рис. 40.

Рис. 40. Эффективность применения программных и аппаратных СЗИ

 

Такой вид графиков определяется следующими факторами:

- стоимость программных средств защиты значительно ниже стоимости аппаратных СЗИ;

- стоимость аппаратных средств, выполненных не как автомат, а как компьютер, не растет при росте типов разрушающих воздействий;

- для блокирования нового типа разрушающих воздействий необходимо приобретение нового программного продукта.

Таким образом, на качественном уровне можно отметить, что применение аппаратных средств для защиты технологий информационного обмена при безопасной среде избыточно, но является необходимым для агрессивной среды. Для определения эффективности средств защиты в нейтральной среде, по-видимому, нужно учитывать характер информации, которая обрабатывается защищаемыми информационными системами, свойства соответствующих локальных или корпоративных систем.

Для того, чтобы оценить перспективы развития технических средств защиты информации, нужно в первую оценить состояние развития среды, влияющей на объект защиты. Необходимо понять, как развиваются технические средства вычислительной техники (программные и аппаратные), появились ли новые угрозы, и если да, то какие.