Межсетевые экраны как один из основных способов защиты сетей

Поэтому обязанности разделяются:

за конфигурацию сети отвечает отдел информационных технологий (а также за работоспособность оборудования, СУБД и др.);

за безопасность информации - Управление безопасности и защиты информации.

В УБиЗИ, как правило, выделяется человек (или несколько человек - в зависимости от размера организации), который и будет отвечать за информационную безопасность, его должность обычно называется «администратор информационной безопасности». Естественно, что ему, для выполнения возложенных на него задач, необходимо сотрудничать с сетевым администратором.

Рассмотрим, что необходимо администратору безопасности для выполнения этих задач:

Для контроля защищенных сетевых ресурсов и назначения прав и полномочий пользователей на эти ресурсы - средства ОС (обычно Win-dows NTили XP, реже Unix, NetWare).

Для проверки прав пользователей в базах данных - средства СУБД.

Для проверки фактов и попыток несанкционированных действий пользователей - журналы регистрации ОС, СУБД, межсетевых экранов.

На этом поприще администратор безопасности столкнется с интересами администратора сети, которому, естественно, не понравится, что кто-то будет контролировать, даже частично, то, за что администратор сети отвечает головой.

Поэтому можно смело сделать самый простой и очевидный вывод: администратору безопасности крупной организации крайне необходимо средство, позволяющее выполнять свои служебные обязанности, и не вмешиваться (или как можно меньше вмешиваться) в зону ответственности администратора сети.

Инструмент

Каким должен быть инструмент?

Представим, что система защиты реализована следующим образом - на рабочие станции, сервера сети и сервера баз данных расставлены своеобразные «агенты», которые будут:

«Понимать», что происходит на подотчетном для них месте, и передавать данные о работе «своего участка» на некий единый центр (автоматизированное рабочее место администратора безопасности).

По требованию администратора безопасности приостанавливать или блокировать работу рабочей станции сети или сервера, в случае выполнения пользователем несанкционированных действий.

Данная схема позволит помочь администратору безопасности, не вмешиваясь в работу администратора сети, следить за исполнением политики безопасности организации. При этом система не вмешивается в работу межсетевых экранов, серверов сети, СУБД и других средств, подотчетных администратору сети, за исключением критических ситуаций - попыток совершения несанкционированных действий.

Контроль контролирующего

Еще один целесообразный подход к обеспечению безопасности - разделение управления на роли. Пусть, к примеру, доступ к управлению будут иметь несколько человек:

Администратор безопасности. Имеет доступ ко всем средствам управления безопасностью.

Аудитор системы защиты информации. Имеет доступ к журналам регистрации, фиксирующим, в том числе, и действия администратора безопасности.

Системы защиты информации обычно предусматривают для главного пользователя практически неограниченные полномочия, а в лице аудитора системы защиты мы получим человека, способного контролировать действия самого администратора безопасности.

В такой ситуации, администратор безопасности, возможно, и будет иметь технические возможности выполнять какие-либо действия, запрещенные ему организационно, но он будет знать, что действия его контролируются и не безнаказанны.

Добавим новых участников в процесс управления, основываясь на положениях разработки НИП «Информзащита» технологии управления безопасностью «Беркут». Согласно данной технологии, к управлению безопасностью могут быть привлечены подразделения организации, которые совершенно не имеют никакого отношения к безопасности. Такая возможность появилась благодаря подходу к управлению на уровне сотрудников и возложенных на них служебных обязанностей. Вот некоторые положения «Беркута»:

Каждому сотруднику сопоставим пользователя сети (давно выдвигаемое требование к системам управления безопасностью, и рядом систем с успехом выполняющееся, например, системой Secret Net).

Должности сотрудника сопоставим права на те или иные ресурсы. Аналог - группа пользователей в Windows NT. В реализации такого механизма нет ничего сложного.

И, наконец, требование невмешательства в действия администратора сети. Пусть администратор сети добавляет и удаляет пользователей, но ничего не делает с их правами, а на администратора безопасности возложим обязанности по управлению полномочиями пользователей на использование того или иного защищаемого ресурса.

Приведем самый простой и очевидный пример, связанный с отделом кадров: любой отдел кадров ведет, как правило, свою базу данных, в которой учитываются сведения о сотрудниках, занимаемые ими должности, свободные клетки в штатной структуре и другие сведения, интересные в первую очередь, самому отделу кадров. Если такую базу данных связать с системой управления безопасностью организации, то получится интересный эффект, при котором повысится оперативность управления, прозрачность процесса, что, собственно, и преследуется. Рассмотрим подробнее как это происходит.

Выделим некоторые операции, происходящие в БД отдела кадров, которые будут интересны: увольнение сотрудника, отметка об уходе сотрудника в отпуск, назначение на другую должность.

Увольнение сотрудника

Итак, при увольнении сотрудника служащий отдела кадров делает пометку об его увольнении, база данных системы защиты, в которой каждому сотруднику сопоставлены пользователи информационной системы, их права и электронные идентификаторы, автоматически удаляет пользователя, делает недействительными его права на использование тех или иных информационных ресурсов и электронные идентификаторы. Налицо оперативность и прозрачность операции.

Уход в отпуск

Аналогичный эффект достигается при уходе сотрудника в отпуск: ставится отметка - и все электронные идентификаторы и права пользователя временно блокируются, и никто не сможет войти в систему под его именем.

Назначение на другую должность

При назначении сотрудника на другую должность, служащий отдела кадров изменяет в базе данных один параметр - должность сотрудника. Система управления безопасностью каждой должности сотрудника сопоставляет права и полномочия пользователя в информационной системе, и, при изменении должности, автоматически меняет его права на использование тех или иных корпоративных ресурсов. При изменении уровня допуска к конфиденциальной информации (для систем с полномочным управлением доступа), в базе данных отдела кадров сотруднику автоматически становятся доступны ресурсы с соответствующей меткой конфиденциальности.

Еще один вариант

Отдел кадров - это только первоначальный этап. Если внимательно присмотреться, то в рамках своих служебных обязанностей каждый сотрудник выполняет какую-то определенную задачу. Например: в коммерческом отделе ряд сотрудников имеют должность «менеджер по продажам», но каждый конкретный менеджер может специализироваться на определенном направлении продаж (на конкретном продукте или клиенте), или на какой-либо другой задаче, связанной со сбытом.

Определим данную задачу сотрудника в рамках своей должности термином «задача», и возложим распределение этих задач на руководителя отдела. Это не значит, что руководителю отдела придется тратить дополнительное время (обычно очень дорогое) на какие-то лишние телодвижения. Предоставим ему маленькую программку - электронную записную книжку, в которой указывается - какой сотрудник какую работу делает и когда он ее должен сдать. Таким образом, перекладываем с администратора безопасности еще ряд рутинных функций.

Затронутая в данной работе технология «Беркут» выдвигает подход, в котором роль администратора безопасности заключается в контроле соблюдения политики безопасности сотрудниками организации, в проверке прав и полномочий пользователей, и в оперативном реагировании на факты и попытки НСД, для чего, собственно, и назначается администратор безопасности.

Отбрасываются необходимость собирать и обобщать данные о состоянии различных подсистем, конфигурировать права и полномочия пользователей информационной системы, так как делать это будет система управления, что избавляет администратора безопасности от потребности вмешиваться в работу администраторов сети.

Далеко не все преимущества данного подхода рассмотрены в статье. В настоящее время большинство ОС и СУБД имеют собственные, достаточно продвинутые, средства защиты. Поэтому разработчики систем защиты информации должны ориентироваться на что-то новое, а не на дублирование встроенных средств защиты ОС.

Глупо было бы отвергать достояние истории - разделение труда, которое ведет к специализации, повышению качества выполняемой работы и росту производительности.

 

 

3. Межсетевые экраны как один из основных способов защиты сетей 

Развитие сети Internet обострило и в очередной раз выявило проблемы, возникающие при безопасном подключении к Internet корпоративной сети. Связано это в первую очередь с тем, что сеть Internet разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Internet, уделялось очень мало внимания.

Для устранения проблем, связанных с безопасностью было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов (firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к Internet. Первый, но далеко не последний. Одним межсетевым экраном для построения надежного и защищенного соединения с Internet не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень защищенности корпоративных ресурсов от несанкционированного доступа.

Межсетевые экраны реализуют механизмы контроля доступа из внешней сети к внутренней путем фильтрации всего входящего и исходящего трафика, пропуская только авторизованные данные. Все межсетевые экраны функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI, и чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов - пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Очень немногие существующие межсетевые экраны могут быть однозначно отнесены к одному из названных типов. Как правило, МСЭ совмещает в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall).

На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов (МСЭ), предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана - это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки.

Наиболее очевидный недостаток межсетевых экранов - невозможность защиты от пользователей, знающих идентификатор и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние, неподвластные МСЭ.

Для устранения этого недостатка нужны новые подходы и технологии. Например, использование систем обнаружения атак (intrusion detection systems). Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализует - авторизованный пользователь (в т.ч. и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации межсетевого экрана CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла.

Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, МСЭ разграничивают доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряд других. Реализуется это при помощи при помощи механизма «посредников» (proxy), обеспечивающих контроль трафика, передаваемого по этим протоколам или при помощи указанных сервисов. И хотя число таких «посредников» достаточно велико (например, для МСЭ CyberGuard Firewall их реализовано более двухсот), они существуют не для всех новых протоколов и сервисов. И хотя эта проблема не столь остра (многие пользователи используют не более десятка протоколов и сервисов), иногда она создает определенные неудобства.

Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Некоторые производители создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие разработчики межсетевых экранов предлагают средства для написания своих proxy (например, компания CyberGuard Corporation поставляет вместе со своим МСЭ подсистему ProxyWriter позволяющую создавать proxy для специфичных или новых протоколов и сервисов). В этом случае необходима высокая квалификация и время для написания эффективного proxy, учитывающего специфику нового сервиса и протокола. Аналогичная возможность существует и у межсетевого экрана CheckPoint Firewall-1, который включает в себя мощный язык INSPECT, позволяющий описывать различные правила фильтрации трафика.