Лекции по "Информационной безопасности"

Если брандмауэр может  поддерживать два Ethernet интерфейса, то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).

При этом между внешним  роутером и брандмауэром имеется  только один путь, по которому идет весь трафик. Обычно роутер настраивается  таким образом, что брандмауэр является единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с точки зрения безопасности и надежности защиты. Другая схема представлена на рис. 5.

При этом брандмауэром защищается только одна подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с точки зрения загрузки машины и безопасности самого брандмауэра

Существуют решения (см рис. 6),которые позволяют организовать для серверов, которые должны быть видимы снаружи, третью сеть; это позволяет  обеспечить контроль за доступом к  ним, сохраняя в то же время необходимый уровень защиты машин в основной сети. При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть дыру в локальную сеть через эти сервера. Для повышения уровня защищенности возможно использовать в одной сети несколько брандмауэров, стоящих друг за другом.

Дополнительные  возможности МЭ

Можно отметить следующие дополнительные возможности межсетевых экранов:

• антивирусный контроль "на лету";
• контроль информационного наполнения (верификация Java-апплетов, выявление ключевых слов в электронных сообщениях и т.п.);
• выполнение функций ПО промежуточного слоя;
• наличие сервисных утилит работы с правилами;
• встраиваемые системы сбора статистики и предупреждений об атаке.

Эффективный межсетевой экран должен обладать механизмом защиты от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере. Начиная от внедрения вирусов и установки троянских коней и заканчивая кражей или удалением всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

Вопросы безопасности применения МЭ

Наиболее очевидным  недостатком МЭ является большая  вероятность того, что он может  заблокировать некоторые необходимые  пользователю службы, такие как Telnet, FTP, XWindow, NFS и т.д. Некоторые объекты могут обладать топологией, не предназначенной для использования МЭ, или использовать службы (сервисы) таким образом, что его использование потребовало бы полной реорганизации локальной сети.

МЭ не защищают системы  локальной сети от проникновения через "люки" (backdoors). Например, если на систему, защищенную МЭ. все же разрешается неограниченный модемный доступ, злоумышленник может с успехом обойти МЭ. Связь через протоколы PPP (Point-to-Point) и SLIP (Serial Line IP) в рамках защищенной подсети является, по существу, еще одним сетевым соединением и потенциальным каналом нападения. Межсетевые экраны не могут защитить ресурсы корпоративной сети в случае неконтролируемого использования в ней модемов. Доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, использование систем разграничения доступа, в т.ч. и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в Internet и т.п. Кроме того, должным образом сформированная политика безопасности позволит снизить вероятность несанкционированного использования модемов и иных устройств и программ для осуществления удаленного доступа.

МЭ, как правило, не обеспечивает защиту от внутренних угроз. С одной  стороны, МЭ можно разработать так, чтобы предотвратить получение  конфиденциальной информации злоумышленниками из внешней сети, однако, МЭ не запрещает пользователям внутренней сети копировать информацию на магнитные носители или выводить ее на печатающее устройство. Таким образом, было бы ошибкой полагать, что наличие МЭ обеспечивает защиту от внутренних атак или вообще атак, для которых не требуется использование МЭ. Межсетевой экран просматривает трафик на границах между внутренней сетью и сетью Internet. Если трафик, использующий "бреши" в защите, никогда не проходит через межсетевой экран, то МЭ и не находит никаких проблем.

Существует также и  возможность "общего риска" - в  МЭ все средства безопасности сосредоточены  в одном месте, а не распределены между системами сети. Компрометация  МЭ ведет к нарушению безопасности для других, менее защищенных систем.

Межсетевой экран фильтрует  трафик и принимает решения о  пропуске или блокировании сетевых  пакетов, опираясь на информацию об используемом протоколе. Как правило, правила  предусматривают соответствующую  проверку с целью определения  того, разрешен или нет конкретный протокол. Например, если на МЭ разрешен 25 и 80 порты, то тем самым разрешается пропуск во внутреннюю сеть почтового (SMTP) и Web (HTTP) трафика. Именно этот принцип обработки и используется квалифицированными злоумышленниками. Вся несанкционированная деятельность осуществляется в рамках разрешенного протокола, создавая тем самым в нем туннель, по которому злоумышленник и реализует атаку. Самый простой пример, демонстрирующий применение туннелей - Internet-черви и макровирусы, заносимые в корпоративную сеть в виде вложений в сообщения электронной почты. Если межсетевой экран разрешает прохождение SMTP-трафика, то во внутреннюю сеть может попасть и "вирусная инфекция".

Подмена адреса - это способ сокрытия реального адреса злоумышленника. Однако он может использоваться и для обхода защитных механизмов межсетевого экрана. Такой простейший способ, как замена адреса источника сетевых пакетов на адрес из защищаемой сети, уже не может ввести в заблуждение современные межсетевые экраны. Все они используют различные способы защиты от такой подмены. Однако сам принцип подмены адреса остается по-прежнему актуальным. Например, злоумышленник может подменить свой реальный адрес на адрес узла, у которого установлены доверенные отношения с атакуемой системой и реализовать атаку типа "отказ в обслуживании" на нее.

В заключение стоит отметить, что межсетевые экраны являются необходимым, но явно недостаточным средством  обеспечения информационной безопасности. Они обеспечивают лишь первую линию  обороны.