Межсетевые экраны как один из основных способов защиты сетей

Некоторые корпоративные сети используют топологию, которая трудно «уживается» с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные затраты на приобретение и настройку межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо межсетевого экрана какого-либо другого решения, например, системы обнаружения атак.

Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники какой-либо организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в Internet. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана.

Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, WWW, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от «мобильного» кода Java и ActiveX практически нет. Доступ такого кода в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java, сценариев JavaScript и т.п., на самом деле враждебный код может попасть в защищаемую зону даже в случае полного их блокирования в настройках межсетевого экрана.

Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, например, систему SurfinShield компании Finjan или SafeGate компании Security-7 Software, обеспечивающие безопасность сети от враждебного «мобильного» кода.

Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту «на нет». Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.

Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета («proxy»), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).

Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, - сотрудники хотят получить доступ к новым ресурсам Internet, работать с новым сервисами (RealAudio, VDOLive и т.п.) и т.п. Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: «разрешено все и всем».

В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа «отказ в обслуживании»), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа «подбор пароля», позволяющие обнаружить «слабые» пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS).

Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети Internet или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения информационной безопасности.

В заключение хочу отметить, что не стоить обходить внимание персональные межсетевые экраны. Пусть и они и не делают всего того, что присуще корпоративным МСЭ (таким как Check Point Firewall-1), но все же они обеспечивают некоторый уровень защищенности от внешних посягательств. Вы можете быть уверенными, что ваш компьютер не станет легкой добычей для злоумышленников, а правильно настроенный персональный МСЭ станет непреодолимой преградой для многих из них.

 

Заключение

 

В заключении работы подведем некоторые итоги. Рассмотрев проблему безопасности компьютерных сетей, следует говорить о том в первую очередь, что каждой локальной или корпоративной сети следует иметь специальный аппарат сотрудников, который позволит качественно проводить администрирование сети. А для этого необходимо обучение и постоянное совершенствование кадров.

Кадровая политика фирмы должна быть построена таким образом, чтобы руководитель мог надеяться на своих сотрудников, ведь самый большой процент несанкционированных проникновений в защиту происходит внутри сети. В данном случае, как известно не помогут так широко разрекламированные сейчас в России Межсетевые экраны. Защита сети должна быть построена таким образом, чтобы все ее составные компоненты могли наиболее продуктивно взаимодействовать между собой, сюда входит и программное обеспечение, МСЭ, антивирусные средства защиты и, конечно же, персонал.

Компетентность персонала, пожалуй, самый важный аспект проблемы, так как практически каждый день появляются новые пути нарушений защиты, особенно это важно для больших корпораций, ведь именно там сложнее всего прослеживать все передвижения информации. Лучше сегодня потратить больше денег, чем в дальнейшем будущем терпеть миллионные убытки, связанные с нарушениями нормальной работы сети. Можно, к примеру, контролировать работу уже конкретно администраторов, ведь лучше содержать одного контролера, чем испытывать постоянные проблемы. В настоящее время производители предлагают вместе с оборудованием как пример к МСЭ пакеты ПО, которое поможет администраторам более успешно справляться с администрированием сети. Этим ни в коем случае нельзя пренебрегать, как и квалифицированными кадрами и другими аспектами решения данной проблемы.

 

 

 

 

 

 

 

Список использованной литературы

 

Гайкович В. Ю., Ершов Д. В. необходимое условие их успешного применения »Системы безопасности, связи и телекоммуникаций», N3, 2007

Ершов Д.В., Попова З.В. Обучение компьютерной безопасности <http://www.infosec.ru/press/pub/p76.htm> «КомпьюЛог», N2, 2007

Лукацкий А.В. Cпособы обхода межсетевых экранов <http://www.infosec.ru/press/pub/p77.htm>. // «Системы безопасности, связи и телекоммуникаций», №40, 2007

Лукацкий А.В. Новые подходы к обеспечению информационной безопасности сети <http://www.infosec.ru/press/pub/p57.htm>. // Компьютер-Пресс. №7 , 2007

Лукацкий А.В. Адаптивная безопасность. Дань моде или осознанная необходимость <http://www.infosec.ru/press/pub/p42.htm>? // «PCWeek/RE», N37, 2009

Лукацкий А.В. Семейство средств адаптивного управления безопасностью SAFEsuite <http://www.infosec.ru/press/pub/p48.htm>. // «Сети», №10, 2008

Лукацкий А.В. Что SAFEsuite грядущий нам готовит <http://www.infosec.ru/press/pub/p05.html>? // «Системы безопасности, связи и телекоммуникаций», N5, 2008

Лукацкий А.В. Семейство SAFEsuite: что нового <http://www.infosec.ru/press/pub/p07.html>? // «Системы безопасности, связи и телекоммуникаций», N3, 2008

Лукацкий А.В. Средства обнаружения уязвимостей и атак: сделайте правильный выбор <http://www.infosec.ru/press/pub/p08.html>. // «Системы безопасности, связи и телекоммуникаций», N5, 2007

Просянников Р.Е. «Третий глаз» в информационной системе <http://www.infosec.ru/press/pub/p93.htm>. //»PCWeek/RE», N46, 2001

Попова З.В. Требования к специалистам, ответственным за информационную безопасность <http://www.infosec.ru/press/pub/p154.htm> // «Связьинвест», N3, 2003

Симонов. С. Анализ рисков, управление рисками //. JetInfo, №1, 2009  
Симонов. С. Аудит безопасности информационных систем. // JetInfo, №9, 2009  
Уиллис Д. . Управление безопасностью: свет в конце туннеля. // Сети и системы связи. N4, 2009.