Особенности защиты сетей на основе Firewall.

 

Рассмотрим подробнее политику защиты сетей с использованием firewall [3,4]. Рассмотренные ранее в общем плане политику доступа к службам и политику, реализуемую firewall, свяжем с общей структурой защищаемой сети и требованиями безопасности.

Выбор политики использования firewall-технологии должен осуществляться одновременно с выбором политики безопасности всей сети. Сюда включаются вопросы, связанные с безопасностью хост-систем, модемным доступом, защитой информации вне сети, безопасностью передачи данных и т.д. Отдельная политика, касающаяся только firewall, неэффективна, так как она должна являться составной частью общей политики обеспечения безопасности сети.

 

5.4.6.1. Этапы разработки политики доступа к службам.

 

Как уже отмечалось, firewall является непосредственной реализацией политики сетевого доступа к службам. Порядок доступа к службам в значительной степени определяется политикой, лежащей в основе firewall. Обычно это политика типа запрещено все, что не разрешено. Такая политика более безопасна и, следовательно, более предпочтительна.

Выше отмечалось, что некоторые схемы организации защиты сетей на основе firewall могут реализовывать обе политики безопасности, a firewall с простым шлюзом заведомо является "запрещающим все". Рассмотренные примеры показывают и то, что системы, требующие таких служб, которые не пропускает firewall, можно разместить в экранированных подсетях отдельно от других систем сети. Поэтому, в зависимости от требований безопасности и гибкости, одни типы firewall более предпочтительны, чем другие. Это означает, что сначала надо выбрать политику безопасности, а затем уже приступать к реализации firewall.

При выборе политики доступа к Internet, NIST рекомендует брать сначала наиболее безопасную политику, т.е. запрещать все службы, кроме специально разрешенных. Затем разработчик политики должен ответить на следующие вопросы:

какие из служб Internet организация собирается

использовать (например, TELNET, Mosaic или NFS),

где эти службы будут использоваться: в локальной области, через Internet, через модем или из удаленных организаций,

необходимы ли дополнительные требования, например, шифрование или поддержка входного диалога,

какой риск связан с предоставлением этих служб и доступа,

как повлияет обеспечение защиты на удобство управления и использования сети,

оправданны ли предполагаемые меры обеспечения безопасности, с точки зрения соотношения их стоимости и возможного риска.

Например, в сети может возникнуть необходимость использования NFS между двумя удаленными объектами, однако политика, по умолчанию запрещающая все, запретит его использование. Если риск, связанный с использованием NFS для данной организации является допустимым, она может потребовать замены политики безопасности на менее безопасную, разрешающую все службы, кроме специально запрещенных, и разрешающую NFS. Кроме того, можно реализовать такой firewall, который позволяет поместить системы, требующие NFS, в экранированную подсеть, тем самым сохраняя политику, запрещающую все по умолчанию, для всех остальных систем сети. Если же риск использования NFS слишком велик, то в этом случае NFS должна быть исключена из списка разрешенных служб.

 

Гибкость политики.

 

Любая политика обеспечения безопасности, связанная с доступом к Internet и сетевым доступом вообще, должна быть гибкой по двум причинам: сама по себе Internet постоянно меняется, следовательно, могут меняться и требования безопасности, по мере того как Internet предлагает все новые услуги и методы доступа к этим услугам. Возникновение новых услуг и протоколов ведет к возникновению новых проблем обеспечения безопасности. Кроме того, гибкость необходима еще и потому, что риск организации также не остается статичным. Изменение риска может быть обусловлено, например, новыми обязанностями, возложенными на организацию, или изменением сетевой конфигурации. Увеличение риска может быть вызвано и наличием удаленных пользователей.Удаленными являются те пользователи, которые инициируют связь с системой сети из Internet. Для всех этих сеансов должна применяться усиленная аутентификация. В политике безопасности должно быть отражено, что удаленные пользователи не могут проникнуть в системы через линии связи, неконтролируемые firewall. Из этого правила не должно быть исключений, поскольку даже одного перехваченного пароля или одной неконтролируемой модемной линии может быть достаточно для возникновения в лазейки для вторжения в сеть.

Такая политика имеет и определенные недостатки. необходимость для пользователей наличия навыков обращения со средствами усиленной аутентификации, повышение стоимости обеспечения удаленных пользователей средствами аутентификации (например, смарт-картами) и увеличение расходов на администрирование дистанционного доступа.

Удаленным пользователям также может быть необходима возможность доступа к таким системам, которые недостижимы из Internet. Эти пользователи должны помнить об опасностях, которые могут возникнуть при небрежном обращении с модемным доступом.

Кроме того, необходимо рассматривать возможность использования протоколов Serial Line IP (SLIP) и Point-to-Point Protocol (PPP). Пользователи могут использовать эти протоколы для установления связей с объектом, защищенным firewall. Такое соединение осуществляется в обход firewall и является потенциально опасным. Для соединений SLIP и PPP необходимо придерживаться политики, указанной при рассмотрении модемных соединений. Как правило, по отношению к этим соединениям политика должна быть очень строгой.

Если сеть допускает открытый доступ к информационному серверу, это должно быть учтено при разработке firewall. Хотя сам по себе информационный сервер представляет определенную угрозу безопасности, он не должен стать слабым местом в безопасности всей защищаемой сети. В политике должно быть отражено, что при компрометации информационного сервера не будет скомпрометирована вся сеть.

Необходимо отметить, что трафик информационного сервера в корне отличается от остальных графиков, таких, например, как электронная почта. Каждый их этих двух типов графиков подвергается своим собственным угрозам, и нужно четко разграничить их друг от друга.В примерах firewall экранирующего подсеть и firewall с простым шлюзом были показаны информационные серверы, которые можно разместить в экранированной подсети и изолировать от других систем объекта. Это уменьшает шанс компрометации информационного сервера и дальнейшего его использования для атаки на сеть.

 

Обеспечение Firewall.

 

После определения политики безопасности необходимо рассмотреть ряд вопросов, связанных с обеспечением firewall. Многие из этих вопросов аналогичны тем, которые возникают в других сис-емах программного обеспечения, поэтому некоторые этапы разработки firewall, такие, например, как определение требований, их анализ и спецификация, являются стандартными.

Как только принято решение об использовании firewall-технологии для реализации политики безопасности организации, следующим шагом является выбор такого firewall, который обеспечил бы подходящий уровень защиты с наименьшими затратами. Так как эта задача чрезвычайно сложна и еще недостаточно исследована, то можно воспользоваться общими рекомендациями. В общем случае необходимо, чтобы firewall обладал следующими свойствами или атрибутами [3,5]:

Firewall должен иметь возможность поддерживать политику доступа, запрещающую все, что не разрешено, даже если используется другая политика.

Firewall должен поддерживать политику безопасности, используемую в организации.

Firewall должен быть гибким, он должен иметь возможность приспосабливаться к появлению новых служб и требований и изменению политики безопасности сети.

Firewall должен содержать средства усиленной аутентификации или иметь возможность быстрой инсталляции этих средств.

Firewall должен использовать методики фильтрации для разрешения или отказа в обслуживании определенным хост-системам в зависимости от заданных требований.

Язык, на котором задаются правила фильтрации IP должен быть гибким, дружественным для и должен оперировать с как можно большим числом критериев (в том числе, с адресом источника и приемника, типом протокола, портом TCP/UDP источника и приемника и с входным и выходным интерфейсом).

Firewall должен обязательно использовать полномочные службы для таких служб как FTP и TELNET, чтобы можно было использовать сосредоточенные в firewall средства усиленной аутентификации. Если требуются такие службы как NNTP, X, http или gopher, то firewall должен содержать соответствующие им полномочные службы.

Firewall должен иметь возможность централизованного SMTP доступа, чтобы уменьшить число прямых SMTP-связей между сетью и удаленными системами. В результате, управление электронной почтой сети будет осуществляться централизованно.

Firewall должен так организовать открытый доступ к сети, чтобы открытые информационные серверы были защищены firewall, но, в то же время, чтобы их можно было отличить от остальных систем сети.

Firewall должен иметь возможность концентрировать и фильтровать доступ через модемы.

Firewall должен содержать механизмы для регистрации графика и подозрительной деятельности, а также для обработки регистрационных записей.

Если для firewall нужна операционная система типа UNIX, то в его состав необходимо включить защищенную версию операционной системы, а также другие средства для обеспечения целостности самого firewall. В такой операционной системе не должно быть "лазеек".

Firewall должен быть разработан таким образом, чтобы можно было проверить его надежность и корректность. Структура его должна быть простой для понимания и обслуживания.

Firewall и все соответствующие системы необходимо своевременно корректировать при обнаружении "лазеек" и "дыр".

На самом деле существует гораздо больше проблем и требований, однако многие из них характерны только для конкретных сетей. Тщательное определение требований и точная оценка риска зависят от требований сети, однако, не следует забывать, что Internet постоянно меняется. Могут возникать новые проблемы, а ввод новых и усовершенствование старых служб могут представлять определенные трудности для каждой конкретной установки firewall.

 

Администрирование Firewall.

 

Одной из важнейших проблем, связанных с применением firewall, является проблема его администрирования Без должного обслуживания firewall может стать небезопасным и допускать нарушения, создавая иллюзию того, что сеть безопасна. В политике безопасности должно быть четко отражено, насколько велико значение надежного администрирования firewall.

В то же время наличие firewall не должно уменьшать внимания, уделяемого администрированию систем сети. Совсем наоборот: если нарушитель преодолел firewall, то ему ничего не стоит внести повреждения в слабо администрируемую сеть. Firewall ни в коей мере не снижает потребность в высококвалифицированном администрировании системы. В то же время firewall может допускать активное администрирование систем сети, в противоположность реактивному администрированию. Благодаря барьеру, создаваемому firewall, сети могут уделять больше времени выполнению административных задач и меньше — реагированию на инциденты и контролированию опасных ситуаций. На системах сети рекомендуется:

стандартизировать версии операционных систем и программное обеспечение для того, чтобы легче было управлять средствами устранения угроз безопасности,

выбрать программу эффективной установки "заплат" и нового программного обеспечения,

использовать службы централизованного администрирования сети, если в результате можно получить лучшее администрирование и большую безопасность,

осуществлять периодический просмотр и проверку хост-систем на предмет наличия "лазеек" и ошибок в конфигурации,

обеспечить наличие линий связи между администраторами системы и администраторами, отвечающими за безопасность firewall для оповещения сети о новых проблемах безопасности, сигналах тревоги, "заплатах" и другой относящейся к безопасности информации.

Администрация firewall и систем сети должна предусмотреть вопросы, связанные с расследованием инцидентов и принятием необходимых мер. NIST рекомендует, чтобы организации определили для себя порядок действий при возникновении инцидентов, что помогло бы им при столкновении с подозрительной деятельностью и нарушениями, а также в обеспечении их последней информацией об угрозах компьютерной безопасности. Из-за того, что природа угроз сети Internet постоянно меняется, очень важно, чтобы угрозы были включены в процесс контролирования инцидентов. Администраторы firewall должны знать о новых проблемах используемых продуктов или о том, что деятельность нарушителя, при возникновении таковой, может быть обнаружена подходящими средствами. В [3,5] содержится информация о создании групп контролирования инцидентов NIST выпустил специальную публикацию о возможном порядке действий при возникновении инцидентов, кроме того, эту информацию можно получить в самой сети Internet.

 

Заключение

 

Сети, включенные в Internet, подвержены значительному риску быть атакованными нарушителями или стать плацдармом для атаки на другие сети. Это обусловлено рядом недостатков, присущих определенным службам Internet (см. Главу 4) По мнению специалистов системы firewall в настоящее время могут служить достаточно надежным барьером для защиты сетей от атак со стороны Internet. Необходимо отметить, что хотя применение систем firewall и позволяет защититься от целого ряда угроз, они обладают рядом недостатков и, кроме того, существуют угрозы, которым они не могут противостоять.

Различные схемы применения Firewall предназначены для обеспечения безопасности систем сети от угроз определенного вида. Для успешного противодействия угрозам со стороны Internet должны применяться сочетания из основных типов Firewall. Схема применения Firewall должна реализовывать или соответствовать требованиям принятой в сети политики безопасности. Применение Firewall для защиты сетей требует принятия дополнительных мер для защиты собственно системы Firewall.

 

Глава 6.