Интернет и безопасность в нем

Forum of Incident Response and Security Teams

Forum of Incident Response and Security Teams

Форум групп борьбы с компьютерными преступлениями (The Forum of Incident Response and Security Teams - FIRST) - это организация, члены которой работают вместе на добровольной основе для решения проблем, связанных с компьютерной безопасностью. Эта организация состоит из большого числа групп компьютерной безопасности, консультативного комитета и секретариата, роль которого сейчас выполняет NIST, и рабочих групп. В-основном они решают проблемы, связанные с угрозами из Интернета. Этот форум проводит ежегодные совещания по борьбе с компьютерными преступлениями.
Большое число коммерческих организаций, университетов и правительственных агентств являются членами FIRST. Список членов и информация о вступлении доступны в онлайновом режиме. Для соединения по ftp используйте адрес ftp.first.org. Для доступа к информационным ресурсам через WWW используйте URL http://www.first.org/first.

Информация о брандмауэрах

Информация о брандмауэрах

Читателям очень рекомендуется посетить для получения дополнительной информации о брандмауэрах. Этот сайт содержит информацию о производителях брандмауэров, публикациях о брандмауэрах, и упорядоченный по темам архив переписки в списках рассылки о брандмауэрах. Кроме того, на нем имеется список рассылки о брандмауэрах.
Помимо этого сайта ряд производителей маршрутизаторов и брандмауэров ведут списки рассылки и ftp-сайты, на которых содержится информация о брандмауэрах и безопасности в Интернете.

NIST Computer Security Resource Clearinghouse

NIST Computer Security Resource Clearinghouse

NIST создал и ведет специальный информационный сервер по проблемам компьютерной безопасности. Этот сервер содержит информацию по широкому спектру вопросов, включая сообщения групп по борьбе с компьютерными преступлениями, статьи о безопасности в Интернете, и курсы обучения. Для подключения к нему по ftp
Используйте адрес csrc.ncsl.nist.gov , а для подключения по WWW - URL http://csrc.ncsl.nist.gov.

Онлайновые информационные ресурсы

Приложение. Онлайновые информационные ресурсы

Читатели, которым нужна дополнительная информация о брандмауэрах, безопасности в Интернет и политике безопасности могут посмотреть книги, указанные в библиографии. Кроме того, имеются ряд онлайновых источников информации (но на английском языке).

Интернет и безопасность в нем

Безопасность на уровне хостов не масштабируется.

1.3.7 Безопасность на уровне хостов не масштабируется.

Безопасность на уровне хостов плохо шкалируется: по мере того, как возрастает число хостов в сети, возможности по обеспечению гарантий безопасности на высоком уровне для каждого хоста уменьшаются. Учитывая то, что администрирование даже одной системы для поддержания безопасности в ней может оказаться сложным, управление большим числом таких систем может легко привести к ошибкам и упущениям. Важно также помнить, что зачастую важность работы системных администраторов не понимается и эта работа выполняется кое-как. В результате некоторые системы могут оказаться менее безопасными, чем другие, и именно эти системы станут слабым звеном, которое в конечном счете приведет к появлению уязвимого места в системе безопасности.
Если обнаруживается уязвимость в сетевом ПО, сети, которая не защищена брандмауэром, нужно срочно исправить ошибку на всех системах, где она обнаружена. Как уже говорилось в пункте , некоторые уязвимые места позволяют получить легкий доступ с правами суперпользователя Unix. Организация, имеющая много Unix-хостов, будет особенно уязвима к атакам злоумышленников в такой ситуации. Заделывание уязвимых мест на многих системах за короткий промежуток времени просто невозможно, и если используются различные версии ОС, может оказаться вообще невозможным. Такие сети будут просто-таки напрашиваться на атаки злоумышленников.

Хосты в Интернете

1.1.2 Хосты в Интернете

На многих системах, подключенных к Интернету, работает одна из версий ОС Unix. Впервые TCP/IP был реализован в начале 80-х годов в версии Unix, написанной в университете в Калифорнии в Беркли, известной как BSD(Berkeley Software Distribution). Многие современные версии Unix позаимствовали тексты сетевых программ из этой версии, поэтому Unix обеспечивает более или менее стандартный набор сервисов TCP/IP. Это привело к тому, что много различных версий Unixа имеют одни и те же уязвимые места, правда, это также привело к целесообразности широкого применения стратегий брандмауэров, таких как фильтрация IP. Следует отметить, что исходные тексты BSD UNIX можно легко получить в ряде Интернетовских серверов, поэтому как хорошие, так и плохие люди могут изучить тексты программ и найти в них потенциальные уязвимые места и использовать их для проникновения.
Хотя Unix и является наиболее распространенной ОС в Интернете, к нему присоединено много различных типов компьютеров с другими ОС, включая системы с DEC VMS, NeXT, MVS и ОС персональных компьютеров, такие как DOS, Microsoft Windows, Windows'95, Windows NT и Apple. Хотя персональные компьютеры обеспечивают только клиентскую часть сервисов, то есть, используя TELNET, можно подключиться с персонального компьютера, но не к персональному компьютеру, все возрастающая мощность ПЭВМ начинает также обеспечивать предоставление тех же сервисов, которые сейчас предоставляются большими компьютерами, только гораздо дешевле. Версии Unix для ПЭВМ, включая Linux, FreeBSD и BSDi, а также другие ОС, такие как Microsoft Windows NT, могут сейчас обеспечить те же самые сервисы и приложения, которые ранее были только на больших системах. Следствием этого является то, что сейчас полный набор сервисов TCP/IP используется небывалым количеством людей. Хотя это и хорошо в том смысле, что сетевые сервисы стали общедоступны, отрицательные последствия заключаются в возникновении огромных возможностей для совершения преступлений у злоумышленников( а также у неграмотных пользователей, которые в некоторых случаях могут рассматриваться как вид злоумышленников) .

ICMP

1.2.4 ICMP

ICMP (Протокол межсетевых управляющих сообщений) находится на том же уровне, что и IP; его назначение - передавать информацию, требуемую для управления траффиком IP. В-основном, он используется для предоставления информации о путях к хостам-получателям. Сообщения ICMP redirect информируют хосты о существовании боле коротких маршрутов к другим системам, а сообщения ICMP unreachable указывает на наличие проблем с нахождением пути к получателю пакета. Кроме того, ICMP может помочь корректно завершить соединение TCP, если путь стал недоступен. PING является широко распространенным сервисом на базе ICMP.
[Bel89] рассматривает две проблемы с ICMP: старые версии Unix могут разорвать все соединения между хостами, даже если только одно из них столкнулось с проблемами. Кроме того, сообщения о перенаправлении пути ICMP могут быть использованы для обмана маршрутизаторов и хостов с целью заставить их поверить в то, что хост злоумышленника является маршрутизатором и пакеты лучше отправлять через него. Это, в свою очередь, может привести к тому, что атакующий получит доступ к системам, которым не разрешено иметь соединения с машиной атакующего или его сетью.

Инциденты с безопасностью в Интернете

1.3.1 Инциденты с безопасностью в Интернете

В доказательство того, что описанные выше угрозы реальны, три группы инцидентов имели место в течение нескольких месяцев друг после друга. Сначала, началось широкое обсуждение обнаруженных уязвимых мест в программе UNIX sendmail( это транспортная почтовая программа на большинстве хостов с Unix. Это очень большая и сложная программа, и в ней уже несколько раз были найдены уязвимые места, которые позволяют злоумышленнику получить доступ в системы, в которых запущена sendmail). Организациям, которые не имели исправленных версий программы, пришлось срочно исправлять эти ошибки в своих программах sendmail до того, как злоумышленники используют эти уязвимые места для атаки на их сети. Тем не менее, из-за сложности программы sendmail и сетевого ПО в целом три последующие версии sendmail также содержали ряд уязвимых мест[CIAC94a]. Программа sendmail широко использовалась, поэтому организациям без брандмауэров, для того чтобы ограничить доступ к этой программе, пришлось быстро регировать на возникавшие проблемы и обнаруживаемые уязвимые места.
Во-вторых, обнаружилось, что популярная версия свободно распространяемого FTP-сервера содержала троянского коня, позволявшего получить привилегированный доступ к серверу. Организациям, использовавшим этот FTP-сервер, не обязательно зараженную версию, также пришлось быстро реагировать на эту ситуацию[CIAC94c]. Многие организации полагаются на хорошее качество свободного ПО, доступного в Интернете, особенно на ПО в области безопасности с дополнительными возможностями по протоколированию, управлению доступом и проверке целостности, которое не входит в состав ОС, поставляемой ее производителем. Хотя это ПО часто очень высокого качества, организации могут оказаться в тяжелом положении, если в ПО будут найдены уязвимые места или с ним возникнут другие проблемы, и должны будут полагаться только на его авторов.( Справедливости ради, стоит отметить, что даже ПО, сделанное производителем ОС, может страдать от таких же проблем и его исправление может оказаться более продолжительным).

Третья проблема имела самые серьезные последствия: [CERT94] и [CIAC94b] сообщили, что злоумышленники проникли в тысячи систем во всем Интернете, включая шлюзы между большими сетями и установили анализаторы пакетов для перехвата в сетевом траффике имен пользователей и статических паролей, вводимых пользователями для подключения к сетевым системам. Злоумышленники также использовали другие известные технологии для проникновения в системы, а также перехваченные ими пароли. Одним из выводов, которые можно поэтому сделать является то, что статические или повторно используемые пароли не должны использоваться для управления доступом. Фактически, пользователь, подключающийся к сетевой системе через Интернет, может неумышленно подвергнуть эту систему риску быть атакованной злоумышленниками, которые могли перехватить сетевой траффик, идущий к этой удаленной системе.

Следующие разделы более детально описывают проблемы с безопасностью в Интернете. [Garf92], [Cur92],[ Bel89], [Ches94] и [Farm93] являются книгами, где вы найдете более детальную информацию.

Интернет

1.1. Интернет

Интернет - это всемирная сеть сетей, которая использует для взаимодействия стек протоколов TCP/IP. Вначале Интернет был создан для улучшения взаимодействия между научными организациями, выполнявшими работы в интересах правительства США. В течение 80-х годов к Интернету подключились образовательные учреждения, государственные организации, различные американские и иностранные фирмы. В 90-е годы Интернет переживает феноменальный рост, причем увеличение числа соединений превышает все темпы, имевшие место ранее. Теперь к Интернету присоединены многие миллионы пользователей, причем только половина из них коммерческие пользователи[Cerf93]. Сейчас Интернет используется как основа для Национальной Информационной Инфраструктуры(NII) США.

IP

1.2 IP



Уровень IP получает пакеты, доставлемые нижними уровнями, например драйвером интерфейса с ЛВС, и передает их лежащим выше уровням TCP или UDP. И наоборот, IP передает пакеты, полученные от уровней TCP и UDP к нижележащим уровням.
Пакеты IP являются дейтаграмами с негарантированной доставкой, потому что IP ничего не делает для обеспечения гарантии доставки пакетов IP по порядку и без ошибок. Пакеты IP содержат адрес хоста, с которого был послан пакет, называемый адресом отправителя, и адрес хоста, который должен получить пакет, называемый адресом получателя.
Высокоуровневые сервисы TCP и UDP при приеме пакета предполагают, что адрес отправителя, указанный в пакете, является истинным. Другими словами, адрес IP является основой для аутентификации во многих сервисах; сервисы предполагают, что пакет был послан от существующего хоста, и именно от того хоста, чей адрес указан в пакете. IP имеет опцию, называемую опция маршрутизации источника, которая может быть использована для для указания точного прямого и обратного пути между отправителем и получателем. Этот путь может задействовать для передачи пакета маршрутизаторы или хосты, обычно не использующиеся для передачи пакетов к данному хосту-получателю. Для некоторых сервисов TCP и UDP пакет IP c такой опцией кажется пришедшим от последней системы в указанном пути, а не от своего истинного отправителя. Эта опция появилась в протоколе для его тестирования, но [Bel89] отмечает, что маршрутизация источника может использоваться для обмана систем с целью установления соединения с ними тех хостов, которым запрещено с ними соединяться. Поэтому, то, что ряд сервисов доверяют указанному IP-адресу отправителя и полагаются на него при аутентификации, очень опасно и может привести к проникновению в систему.

Легкость маскировки под других

1.3.4 Легкость маскировки под других

Как уже отмечалось в части 1.2.1, предполагается, что IP-адрес хоста правильный, и службы TCP и UDP поэтому могут доверять ему. Проблема заключается в том, что используя маршрутизацию IP-источника , хост атакующего может замаскироваться под доверенного хоста или клиента. Коротко говоря, маршрутизация IP-источника - это опция, с помощью которой можно явно указать маршрут к назначению и путь, по которому пакет будет возвращаться к отправителю. Это путь может включать использование других маршрутизаторов или хостов, которые в обычных условиях не используются при передаче пакетов к назначению. Рассмотрим следующий пример того, как это может быть использовано для маскировки системы атакующего под доверенный клиент какого-то сервера:

Атакующий меняет IP-адрес своего хоста на тот, который имеет доверенный клиент.

Атакующий создает маршрут для маршрутизации источника к этому серверу, в котором явно указывает путь, по которому должны передаваться IP-пакеты к серверу и от сервера к хосту атакующего, и использует адрес доверенного клиента как последний промежуточный адрес в пути к серверу.

Атакующий посылает клиентский запрос к серверу, используя опцию маршрутизации источника.

Сервер принимает клиентский запрос, как если бы он пришел от доверенного клиента, и возвращает ответ доверенному клиенту.

Доверенный клиент, используя опцию маршрутизации источника, переправляет пакет к хосту атакующего.

Многие хосты Unix принимают пакеты с маршрутизацией источника и будут передавать их по пути, указанному в пакете. Многие маршрутизаторы также принимают пакеты с маршрутизацией источника, в то время как некоторые маршрутизаторы могут быть сконфигурированы таким образом, что будут блокировать такие пакеты.
Еще более простым способом маскировки под клиента является ожидание того момента времени, когда клиентская система будет выключена, и последующая маскировка под нее. Во многих организациях сотрудники используют персональные ЭВМ с сетевой математикой TCP/IP для подключения к хостам с Unixом и используюют машины с Unix как серверы ЛВС. ПЭВМ часто используют NFS для получения доступа к директориям и файлам на сервере(NFS использует только IP-адреса для аутентификации клиентов). Атакующий может сконфигурировать по окончании работы свой ПЭВМ таким образом, что он будет иметь то же самое имя и IP-адрес, что и другая машина, а затем инициировать соединение с Unixовским хостом, как если бы он был доверенным клиентом. Это очень просто сделать и именно так поступают атакующие-сотрудники организации.

Электронную почту в Интернете особенно легко подделать, и ей вообще нельзя доверять, если в ней не применяются расширения, такие как электронная подпись письма[NIST94a]. Например, давайте рассмотрим взаимодействие между хостами Интернета при обмене почтой. Взаимодействие происходит с помощью простого протокола, использующего текстовые команды. Злоумышленник может легко ввести эти команды вручную, используя TELNET для установления сеанса с портом SMTP( простой протокол передачи почты). Принимающий хост доверяет тому, что заявляет о себе хост-отправитель, поэтому можно легко указать ложный источник письма, введя адрес электронной почты как адрес отправителя, котоырй будет отличаться от истинного адреса. В результате, любой пользователь, не имеющий никаких привилегий, может фальсифицировать электронное письмо.

В других сервисах, таких как DNS, также можно замаскироваться под другую машину, но сделать это несколько сложнее, чем для электронной почты. Для этих сервисов до сих пор существуют угрозы, и их надо учитывать тому, кто собирается пользоваться ими.

Легкость наблюдения за передаваемыми данными

1.3.3 Легкость наблюдения за передаваемыми данными

Следует отметить, что когда пользователь установил сеанса с удаленным хостом, используя TELNET или FTP, то пароль пользователя передается по Интернету в незашифрованном виде. Поэтому другим способом проникновения в системы является наблюдение за соединением с целью перехвата IP-пакетов, содержащих имя и пароль, и последующее использование их для нормального входа в систему. Если перехваченный пароль является паролем администратора, то задача получения привилегированного доступа становится гораздо легче. Как уже ранее отмечалось, сотни и даже тысячи систем в Интернете были скомпрометированы в результате перехвата имен и паролей.
Электронная почта, а также содержимое сеансов TELNET и FTP, может перехватываться и использоваться для получения информации об организации и ее взаимодействии с другими организациями в ходе повседневной деятельности. Большинство пользователей не шифруют почту, так как многие полагают, что электронная почта безопасна и с ее помощью можно передавать критическую информацию.
Система X Windows, становящаяся все более популярной, также уязвима перехвату данных. X позволяет открывать несколько окон на рабочей станции для работы с графическими и мультимедийными приложениями( например, WWW-браузером Netscape). Злоумышленники могут иногда открывать окна на других системах и перехватывать текст, набираемый на клавиатуре, который может содержать пароли и критическую информацию.

Насколько уязвимы сети организаци в Интернете?

1.4 Насколько уязвимы сети организаци в Интернете?

Как уже отмечалось в предыдущих разделах, ряд служб TCP и UDP плохо обеспечивают безопасность в современной среде в Интернете. При миллионах пользователей, подключенных к Интернету, и при том, что правительства и промышленность зависят от Интернета, недостатки в этих службах, а также легкодоступность исходного кода и средств для автоматизации проникновения в системы могут сделать сети уязвимыми к проникновениям в них. Тем не менее, настоящий риск при использовании Интернета трудно оценить, и непросто сказать, насколько уязвима сеть к атакам злоумышленников. Такой статистики не ведется.
Координационный Центр по групп расследования происшествий с компьютерной безопасностью(CERT/CC) ведет некоторую статистику о числе инцидентов, которые они расследовали после его создания в 1988 году. Числа в этой статистике увеличиваются скачкообразно каждый год, но следует помнить, что и число машин в Интернете также растет. В некоторых случаях CERT считает несколько проникновений одного и того жн типа одним происшествием, поэтому одно происшествие может состоять из нескольких сотен проникновений в ряд систем. Трудно сказать, насколько пропорциональны число инцидентов и число проникновений. Эта проблема также осложняется тем, что чем больше людей знают о существовании групп по расследованию инцидентов, тем больше вероятность того, что они сообщат о происшествии, поэтому на самом деле непонятно, то ли происходит все больше происшествий, то ли сообщается о все большем их проценте.
NIST считает, что Интернет, хотя и является очень полезной и важной сетью, в то же самое время очень уязвим к атакам. Сети, которые соединены с Интернетом, подвергаются некоторому риску того, что их системы будут атакованы или подвергнуты некоторому воздействию со стороны злоумышленников, и что риск этого значителен. Следующие факторы могут повлиять на уровень риска:

число систем в сети

какие службы используются в сети

каким образом сеть соединена с Интернетом

профиль сети, или насколько известно о ее существовании

насколько готова организация к улаживанию инцидентов с компьютерной безопасностью

Чем больше систем в сети, тем труднее контролировать их безопасность. Аналогично, если сеть соединена с Интернетом в нескольких местах, то она будет более уязвима чем сеть с одним шлюзом. В то же самое время, то, насколько готова к атаке организация, или то, насколько она зависит от Интернета, может увеличить или уменьшить риск. Сеть, имеющая привлекательный для злоумышленников профиль, может подвергнуться большему числу атак с целью получения информации, хранящейся в ней. Хотя, стоит сказать, что "молчаливые" мало посещаемые сети также привлекательны для злоумышленников, так как им легче будет скрыть свою активность.

NIST заявляет, что сети, которые используют рекомендованные процедуры и меры защиты для повышения компьютерной безопасности, будут подвергаться значительно меньшему риску атак. Брандмауэры в сочетании с одноразовыми паролями, которые устойчивы к их перехвату, могут увеличить общий уровень безопасности сети и сделать использование Интернета достаточно безопасным. Следующие главы содержат более детальное описание брандмауэров и того, как они могут использованы для защиты от многих угроз и уязвимых мест, описанных в этой главе.

Недостатки служб ЛВС и взаимное доверие хостов друг к другу

1.3.5 Недостатки служб ЛВС и взаимное доверие хостов друг к другу

Хосты тяжело поддерживать в безопасном состоянии и это занимает много времени. Для упрощения управления хостами и большего использования преимуществ ЛВС, некоторые организации используют такие сервисы, как NIS(Network Information Service) и NFS(Network File system). Эти сервисы могут сильно уменьшить время на конфигурирование хостов, позволяя управлять рядом баз данных, таких как файлы паролей, с помощью удаленного доступа к ним и обеспечивая возможность совместного использования файлов и данных. К сожалению, эти сервисы небезопасны по своей природе и могут использоваться для получения доступа грамотными злоумышленниками. Если скомпрометирован центральный сервер, то другие системы, доверяющие центральной системе, также могут быть легко скомпрометированы.
Некоторые сервисы, такие как rlogin, позволяют хостам "доверять" друг другу для удобства работы пользователей и облегчения совместного использования систем и устройств. Если в систему было совершено проникновение или ее обманули с помощью маскарада, и этой системе другие системы, то для злоумышленника не составит труда получить доступ к другим системам. Например, пользователь, зарегистрированный на нескольких машинах, может избавиться от необходимости вводить пароль, сконфигурировав себя на этих машинах так, что они будут доверять подключению с основной системы пользователя. Когда пользователь использует rlogin для подключения к хосту, то машина, к которой подключаются, не будет спрашивать пароль, а подключение будет просто разрешено. Хотя это и не так уж плохо, так как пароль пользователя не передается и не сможет быть перехвачен, это имеет тот недостаток, что если злоумышленник проникнет на основную машину под именем пользователя, то злоумышленник легко сможет воспользоваться rlogin для проникновения в счета пользователя на других системах. По этой причине использование взаимного доверия хостов друг к другу не рекомендуется[Bel89][Ches94].

Обзор внутреннего устройства TCP/IP

1.2 Обзор внутреннего устройства TCP/IP

Этот раздел содержит краткое описание TCP/IP в объеме, достаточном для последующего обсуждения проблем безопасности, связанных с Интернетом. [Com91a],[Com91b],[Hunt92] и [Bel89] содержат гораздо более подробное описание; читатели, которые хотят получить более глубокое представление, должны обратиться к этим источникам.
Отчасти популярность стека протоколов TCP/IP объясняется возможностью его реализации на базе большого числа разнообразных каналов и протоколов канального уровня, таких как T1 и Х.25, Ethernet и линии RS-232. Большинство организаций использует в своих ЛВС Ethernet для объединения хостов и клиентских систем, а затем присоединяет эти сети с помощью T1 к региональной сети. (например, региональной магистральной сети TCP/IP), которая соединяет в свою очередь с сетями других организаций и другими магистральными каналами. Как правило, организации имеют одно соединение с Интернетом, но большие организации могут иметь два и более соединений. Скорости модемов увеличиваются по мере появления новых коммуникационных стандартов, поэтому версии TCP/IP, которые работают в среде коммутируемых телефонных каналов, становятся все более популярными. Многие организации и просто отдельные люди используют PPP (Point-to-Point Protocol) и SLIP (Serial Line IP) для подключения своих сетей и рабочих станций к другим сетям, используя телефонные каналы.
Если говорить строго, то TCP/IP - это стек протоколов, включающий TCP, IP, UDP (User Datagram Protocol), ICMP (Internet Control Message Protocol), и ряд других протоколов. Стек протоколов TCP/IP не соответствует модели взаимодействия открытых систем (ВОС), и его структура показана на рисунке 1.1

Проблемы, связанные с безопасностью

1.3 Проблемы, связанные с безопасностью

Как было установлено ранее, Интернет страдает от серьезных проблем с безопасностью. Организации, которые игнорируют эти проблемы, подвергают себя значительному риску того, что они будут атакованы злоумышленниками, и что они могут стать стартовой площадкой при атаках на другие сети. Даже те организации, которые заботятся о безопасности, имеют те же самые проблемы из-за появления новых уязвимых мест в сетевом программном обеспечении(ПО) и отсутствия мер защиты от некоторых злоумышленников.
Некоторые из проблем безопасности в Интернете - результат наличия уязвимых мест из-за ошибок при проектировании в службах( и в протоколах, их реализующих) , в то время как другие - результат ошибок при конфигурировании хоста или средств управления доступом, которые или плохо установлены или настолько сложны, что с трудом поддаются администрированию. Кроме того: роль и важность администрирования системы часто упускается при описании должностных обязанностей сотрудников, что при приводит к тому, что большинство администраторов в лучшем случае нанимаются на неполный рабочий день и плохо подготовлены. Это усугубляется быстрым ростом Интернета и характера использования Интернета; государственные и коммерческие организации теперь зависят от Интернета( иногда даже больше: чем они думают) при взаимодействии с другими организациями и исследованиях и поэтому понесут большие потери при атаках на их хосты. Следующие главы описывают проблемы в Интернете и причины, приводящие к их возникновению.

Слабая аутентификация

1.3.2 Слабая аутентификация

Группы улаживания инцидентов считают, что большинство инцидентов произошло из-за использования слабых, статических паролей. Пароли в Интернете могут быть "взломаны" рядом способов, но двумя самыми распространенными являются взлом зашифрованной формы пароля и наблюдение за каналами передачи данных с целью перехвата пакетов с паролями. ОС Unix обычно хранит пароли в зашифрованной форме в файле, который может быть прочитан любым пользователем. Этот файл паролей может быть получен простым копированием его или одним из других способов, используемых злоумышленниками. Как только файл получен, злоумышленник может запустить легко-доступные программы взлома паролей для этого файла. Если пароли слабые, то есть меьше, чем 8 символов, являются словами, и т.д., то они могут быть взломаны и использованы для получения доступа к системе.
Друная проблема с аутентификацией возникает из-за того, что некоторые службы TCP и UDP могут аутентифицировать только отдельный хост, но не пользователя. Например, сервер NFS(UDP) не может дать доступ отдельному пользователю на хосте, он может дать его всему хосту. Администратор сервера может доверять отдельному пользователю на хосте и дать ему доступ, но администратор не может запретить доступ других пользователей на этом хосте и поэтому автоматически должен предоставить его всем пользователям или не давать его вообще.

Сложность конфигурирования и мер защиты

1.3.6 Сложность конфигурирования и мер защиты

Системы управления доступом в хостах часто сложны в настройке и тяжело проверить, правильно ли они работают. В результате неправильно сконфигурированные меры защиты могут привести к проникновению злоумышленников. Несколько крупных производителей Unix все еще продают свои системы с системой управления доступом, сконфигурированной так, что пользователям предоставлен максимальный ( то есть наименее безопасный) доступ, который может привести к неавторизованному доступу, если не будет произведена переконфигурация.
Ряд инцидентов с безопасностью произошел в Интернете отчасти из-за того, что злоумышленники обнаружили уязвимые места( позднее их обнаружили пользователи, группы компьютерной безопасности и сами производители) . Так как большая часть современных вариантов Unix позаимствовала свой сетевой код из версии BSD, и так как исходный код этой версии широко доступен, злоумышленники смогли изучить его на предмет ошибок и условий, при которых их можно использовать для получения доступа к системам. Отчасти ошибки существуют из-за сложности программ и невозможности проверить их во всех средах, в которых они должны работать. Иногда ошибки легко обнаруживаются и исправляются, но бывает и так, что надо, как минимум, переписать все приложение, что является последним средством( программа sendmail тому пример).

Структура портов TCP и UDP

1.2.5 Структура портов TCP и UDP

Сервисы TCP и UDP используются с помощью схемы клиент-сервер. Например, процесс сервера TELNET вначале находится в состоянии ожидания запроса установления соединения. В какой-нибудь момент времени пользователь запускает процесс клиента TELNET, который инициирует соединение с сервером TELNET. Клиент посылает данные серверу, тот читает их, и посылает обратно клиенту ответ. Клиент читает ответ и сообщает о нем пользователю. Поэтому, соединение является двунаправленным и может быть использовано как для чтения, так и для записи.
Как много одновременных соединений TELNET может быть установлено между системами? Соединение TCP или UDP уникальным образом идентифицируется с помощью четырех полей, присутствующих в каждом соединении:

IP-адрес источника - адрес системы, которая послала пакет

IP-адрес получателя - адрес системы, которая принимает пакет

порт отправителя - порт соединения в системе-отправителе

порт получателя - порт соединения в системе-получателе

Порт - это программное понятие, которое используется клиентом или сервером для посылки или приема сообщений; порт идентифицируется 16-битвым числом. Серверные процессы обычно ассоциируются с фиксированным числом, например числом 25 для SMTP или 6000 для X Windows; номер порта является известным, так как он требуется, помимо IP-адреса получателя, при установлении соединения с конкретным хостом и сервисом. Клиентские процессы, с другой стороны, запрашивают номер порта у операционной системы в начале работы; и номер порта является случайным, хотя в некоторых случаях он является следующим в списке свободных номеров портов.
Для иллюстрации того, как используются порты для посылки и приема сообщений, рассмотрим протокол TELNET. Сервер TELNET слушает приходящие сообщения на порту 23, и сам посылает сообщения на порт 23. Клиент TELNET, на той же или другой системе, сначала запрашивает неиспользуемый номер порта у ОС, а затем использует его при посылке и приеме сообщений. Он должен указывать это номер порта, например 3097, в пакетах, предназначенных для сервера TELNET, чтобы этот сервер при ответе на сообщение клиента мог поместить это номер в посылаемые им TCP-пакеты. Хост клиента по приему сообщения должен посмотреть номер порта в сообщении и решить, какой из клиентов TELNET должен принять это сообщение. Этот процесс показан на рисунке 1.2

TCP

1.2.2 TCP

Если IP-пакеты содержат инкапсулированные пакеты TCP, программы IP передадут их вверх уровню TCP. TCP последовательно нумерует все пакеты и выполняет исправление ошибок, и реализует таким образом виртуальные соединения между хостами. Пакеты TCP содержат последовательные номера и подтверждения о приеме пакетов, поэтому пакеты, принятые не в порядке передачи, могут быть переупорядочены , а испорченные пакеты повторно посланы.
TCP передает полученную информацию приложениям верхнего уровня, например клиенту или серверу TELNETа. Приложения, в свою очередь, передают информацию обратно уровню TCP, который передает ее ниже уровню IP, после чего она попадает к драйверам устройств, в физическую среду и по ней передается до хоста-получателя. Сервисы с установлением соединения, такие как TELNET, FTP, rlogin, X Windows и SMTP требуют надежности и поэтому используют TCP. DNS использует TCP только в ряде случаев( для передачи и приема баз данных доменных имен), а для передачи информации об отдельных хостах использует UDP .

Типовые сервисы

1.1.1 Типовые сервисы

Существует ряд сервисов, связанных с TCP/IP и Интернетом. Наиболее распространенным сервисом является электронная почта, реализованная на базе протокола SMTP(Простой Протокол Передачи Писем). Также широко используются TELNET(эмуляция удаленного терминала) и FTP(протокол передачи файлов). Помимо них существует ряд сервисов и протоколов для удаленной печати, предоставления удаленного доступа к файлам и дискам, работы с распределенными базами данных и организации других информационных сервисов. Далее приводится краткий список наиболее распространенных сервисов:

SMTP - Простой протокол передачи почты, используется для приема и передачи электронной почты

TELNET - используется для подключения к удаленным системам, присоединенным к сети, применяет базовые возможности по эмуляции терминала

FTP - Протокол передачи файлов, используется для приема или передачи файлов между системами в сети

DNS - Служба сетевых имен, используется TELNET, FTP и другими сервисами для трансляции имен хостов в IP адреса.

информационные сервисы, такие как

gopher - средство поиска и просмотра информации с помощью системы меню, которое может обеспечить дружественный интерфейс к другим информационным сервисам

WAIS - глобальный информационный сервис, используется для индексирования и поиска в базах данных файлов

WWW/http - Всемирная Паутина, объединение FTP, gopher, WAIS и других информационных сервисов, использующее протокол передачи гипертекста(http), и программы Netscape, Microsoft Internet Explorer и Mosaic в качестве клиентских программ.

сервисы на основе RPC - сервисы на основе Удаленного Вызова Процедур, такие как

NFS - Сетевая файловая система, позволяет системам совместно использовать директории и диски, при этом удаленная директория или диск кажутся находящимися на локальной машине

NIS - Сетевые Информационные Сервисы, позволяют нескольким системам совместно использовать базы данных, например файл паролей, для централизованного управления ими

Система X Windows - графическая оконная Среда и набор прикладных библиотек, используемых на рабочих станциях

rlogin, rsh и другие r-сервисы - реализуют концепцию доверяющих друг другу хостов, позволяют выполнять команды на других компьютерах, не вводя пароль

Хотя сервисы TCP/IP могут в равной степени использоваться как в локальных сетях, так и в глобальных сетях, в локальных сетях, как правило, применяется совместное использование файлов и принтеров, а электронная почта и удаленный терминальный доступ - в обоих случаях. С каждым годом возрастает популярность gopher и www . Оба этих сервиса приводят к возникновению проблем для разработчиков брандмауэров и будут рассмотрены в следующих главах.

UDP

1.2.3 UDP

Как показано на рисунке 1.1, UDP взаимодействует с прикладными программами на том же уровне, что и TCP. Тем не менее, он не выполняет функции исправления ошибок или повторной передачи потерянных пакетов. Поэтому UDP не используется в сервисах с установлением соединения, которым требуется создание виртуального канала. Он применяется в сервисах типа запрос-ответ, таких как NFS, где число сообщений в ходе взаимодействия гораздо меньше, чем в TELNET и FTP. В число сервисов, использующих UDP, входят сервисы на базе RPC, такие как NIS и NFS, NTP( протокол сетевого времени) и DNS(также DNS использует TCP).
Пакеты UDP гораздо проще подделать, чем пакеты TCP, так как нет этапа установления соединения( рукопожатия).[Ches94]. Поэтому с использованием сервисов на базе UDP сопряжен больший риск.

Взаимодействие при TELNET

Рисунок 1.2 Взаимодействие при TELNET



Существует достаточно распространенное правило, согласно которому тольуо привилегированные процессы сервера, то есть те процессы, которые работают с привилегиями суперпользователя UNIX, могут использовать порты с номерами меньше, чем 1024( так называемые привилегированные порты). Сервера в-основном используют порты с номерами меньше, чем 1024, а клиенты как правило должны запрашивать непривилегированные порты у ОС. Хотя это правило и не является обязательным для исполнения и не требуется спецификацией протоколов TCP/IP, системы на основе BSD соблюдают его.
В результате всего этого брандмауэры могут блокировать или фильтровать доступ к службам на основе проверки номеров портов в TCP- и UDP-пакетах и последующего пропускания через себя или удаления пакета на основе политики, указывающей доступ к каким службам разрешен или запрещен. (более детально это описано в главе 2).
Не все серверы и клиенты TCP и UDP используют порты таким простым способом, как TELNET, но в целом, процедура, описанная здесь, полезна в контексте брандмауэра. Например, многие ОС персональных компьютеров не используют понятия суперпользователя UNIX, но все-таки используют порты описанным выше способом( хотя нет стандарта, требующего это).

Интернет и безопасность в нем

Большое количество остающихся уязвимых мест

2.3.2 Большое количество остающихся уязвимых мест

Во-вторых, брандмауэры не защищают от черных входов(люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную брандмауэром, атакующие могут эффективно обойти брандмауэр [Iiaf91] . Сейчас скорости модемов достаточны для того, чтобы сделать возможным использование SLIP (Serial Line IP) и PPP(Point-to-Point Protocol); SLIP или PPP-соединение внутри защищенной сети по сути является еще одним соединением с сетью и потенциальным уязвимым местом. Зачем нужен брандмауэр, если разрешен неограниченный доступ по модему?

Другие проблемы

2.3.4 Другие проблемы

С брандмауэром также связан ряд других проблем:

WWW, gopher - новые информационные сервера и клиенты, такие как WWW, gopher, WAIS и ряд других не рассчитаны на совместную работу с брандмауэром, и из-за их новизны вообще достаточно рискованны. Имеется потенциальная возможность атак с помощью передачи специальных данных, при которых данные, обрабатываемые клиентом, могут содержать команды клиенту, эти команды могут заставлять клиента изменить параметры средств управления доступом или модифицировать важные файлы, связанные с защитой машины клиента.

MBONE - групповые передачи с помощью IP(MBONE), содержащие речь и изображение, инкапсулируются в других пакетах; брандмауэры обычно пропускают эти пакеты, не проверяя их содержимое. Передачи типа MBONE представляют потенциальную угрозу, если пакеты содержат команды, изменяющие параметры работы средств защиты и позволяющие злоумышленникам получить доступ.

Вирусы - брандмауэры не защищают от пользователей, загружающих программы для ПЭВМ, зараженные вирусами, из Интернетовских архивов или передачи таких программ в качестве приложений к письму. Так как эти программы могут быть закодированы или сжаты большим числом способов, брандмауэр не может сканировать такие программы на предмет обнаружения сигнатур вирусов. Проблема вирусов будет оставаться и должна быть решена с помощью других антивирусных мер защиты.

Пропускная способность - брандмауэры являются потенциально узким местом, так как все соединения должны проходить через брандмауэр и, в некоторых случаях, изучаться брандмауэром. Тем не менее, сегодня это не является проблемой, так как брандмауэры могут обрабатывать данные со скоростями 1.5 Мбита/с, а большинство сетей, подключенных к Интернету, имеют подключение со скоростью меньшей или равной этой.

"Все яйца в одной корзине" - система брандмауэра концентрирует безопасность в одном месте, а не распределяет ее среди группы систем. Компрометация брандмауэра может быть ужасной для плохо защищенных систем в подсети. Этому тезису можно противопоставить контраргумент, что при увеличении подсети возрастают шансы того, что в ней появятся уязвимые места в безопасности.

Несмотря на эти недостатки NIST рекомендует, чтобы организации защищали свои ресурсы с помощью брандмауэров и других средств безопасности.

Фильтрация пакетов

2.4.3 Фильтрация пакетов

Фильтрация IP-пакетов обычно выполняется с помощью маршрутизатора с фильтрацией пакетов, осуществляющего ее, когда пакеты передаются между интерфейсами маршрутизатора. Фильтрующий маршрутизатор обычно может фильтровать IP-пакеты на основе группы полей из следующих полей пакета:

IP-адрес отправителя

IP-адрес получателя

TCP/UDP-порт отправителя

TCP/UDP-порт получателя

Не все фильтрующие маршрутизаторы сейчас фильтруют по TCP/UDP-порту отправителя, но многие производители начали включать такую возможность. Некоторые маршрутизаторы проверяют, с какого сетевого интерфейса маршрутизатора пришел пакет, и затем используют эту информацию как дополнительный критерий фильтрации. Некоторые версии Unix имеют возможность фильтрации пакетов, но далеко не все.
Фильтрация может быть использована различным образом для блокирования соединений от или к отдельным хостам или сетям, и для блокирования соединений к различным портам. Организации может понадобиться блокировать соединения от специфических адресов, таких как хосты или сети, которые считаются враждебными или ненадежными. Или же организация может захотеть блокировать соединения от всех адресов, внешних по отношению к организации( с небольшими исключениями, такими как SMTP для получения почты).
Добавление фильтрации по портам TCP и UDP к фильтрации по IP-адресам дает большую гибкость. Напомним главу 1, в которой говорилось, что сервера, такие как демон TELNET, связаны обычно с конкретными портами, такими как порт 23 для TELNET. Если брандмауэр может блокировать соединения TCP или UDP к или от определенных портов, то можно реализовать политику, при которой определенные виды соединений могут быть осуществлены только с конкретными хостами, но не с другими. Например, организация может захотеть блокировать все входящие соединения для всех хостов, кроме нескольких систем, входящих в состав брандмауэра. Для этих систем могут быть разрешены только определенные сервисы, такие как SMTP для одной системы, и TELNET или FTP для другой. При фильтрации по портам TCP и UDP эта политика может быть легко реализована маршрутизатором с фильтрацией пакетов или хостом с возможностью фильтрации пакетов.

Использование усиленной аутентификации

Рисунок 2.2 Использование усиленной аутентификации в брандмауэре для предварительной аутентификации трафика TELNET, FTP



Так как брандмауэры могут централизовать управление доступом в сети, они являются логичным местом для установки программ или устройств усиленной аутентификации. Хотя меры усиленной аутентификации могут использоваться на каждом хосте, более практичным является их размещение на брандмауэре. Рисунок 2.2 показывает, что в сети без брандмауэра, использующего меры усиленной аутентификации, неаутентифицированный траффик таких приложений как TELNET или FTP, может напрямую проходить к системам в сети. Если хосты не используют мер усиленной аутентификации, злоумышленник может попытаться взломать пароли или перехватывать сетевой трафик с целью найти в нем сеансы, в ходе которых передаются пароли. Рисунок 2.2 также показывает сеть с брандмауэром, использующим усиленную аутентификацию, при которой сеансы TELNET или FTP, устанавливаемые со стороны Интернета с системами сети, должны проходить проверку с помощью усиленной аутентификации перед началом работы. Сами системы сети могут продолжать требовать статические пароли перед доступом к себе, но эти пароли нельзя будет использовать, даже если их перехватить, так как меры усиленной аутентификации и другие компоненты брандмауэра не позволят злоумышленнику проникнуть или обойти брандмауэр.
Части и содержат дополнительную информацию об использовании мер усиленной аутентификации с брандмауэрами. Смотри [NIST94b] для получения более подробной информации об использовании мер усиленной аутентификации на хостах.

Какие протоколы фильтровать

Какие протоколы фильтровать

Решение о том, какие протоколы или группы портов фильтровать, зависит от политики сетевого доступа, то есть от того, какие системы должны иметь доступ к Интернету и какие типы доступа разрешены. Описанные ниже сервисы потенциально уязвимы к атакам и обычно блокируются на брандмауэре при входе в сеть или выходе из нее[Chap92],[Garf92].

Tftp, порт 69, упрощенный FTP, используемый для загрузки ОС на бездисковых рабочих станциях, терминальных серверах и маршрутизаторах, может также быть использован для чтения любого файла в системе при его неправильной установке.

X Windows, Open Windows , порты 6000+, порт 2000, может использоваться для перехвата изображения окон X-окон, а также вводимых символов.

RPC , порт 111, службы вызова удаленных процедур, включая NIS и NFS, которые могут использоваться для кражи системной информации, включая пароли, а также чтения и записи файлов

rlogin, rsh, rexec, порты 513, 514, 512, службы, которые могут при их неправильной конфигурации привести к неавторизованному доступу в систему

Ряд других средств также обычно фильтруется или их использование разрешается только для тех систем, которым они на самом деле нужны. В это список входят:

TELNET, порт 23, часто разрешается только для отдельных систем

FTP, порты 20 и 21, аналогично TELNET его использование разрешено только для отдельных систем

SMTP, порт 25, часто разрешается только для центрального почтового сервера

RIP, порт 520, протокол передачи информации о маршрутизации пакетов, может быть фальсифицирован для перенаправления пакетов

DNS, порт 53

UUCP, порт 540, UNIX-to-UNIX CoPy, при неправильной конфигурации может быть использован для получения неавторизованного доступа

NNTP, порт 119, протокол передачи сетевых новостей, для доступа и чтения сетевых новостей

Gopher, http, порты 70 и 80,

Хотя некоторые из этих служб, такие как TELNET и FTP, являются опасными по своей сути, полное блокирование доступа к другим может оказаться неприемлемым для многих организаций. Тем не менее, не все системы требуют доступа ко всем службам. Например, разрешение доступа по TELNET и FTP из Интернета только к тем системам, которым нужен этот вид доступа, может улучшить безопасность, не причиняя неудобства пользователям. Такие службы, как NNTP, на первый взгляд не представляют особой опасности, но разрешение этих служб только для тех систем, которым они нужны, поможет создать более упорядоченную сетевую среду и уменьшит вероятность их использования атакующими из-за еще неизвестных уязвимых мест.

Компоненты брандмауэра

2.4 Компоненты брандмауэра

Основными компонентами брандмауэра являются:

политика сетевого доступа

механизмы усиленной аутентификации

фильтрация пакетов

прикладные шлюзы

Следующие разделы описывают более детально каждую из этих компонент.

Концентрированная безопасность

2.2.3 Концентрированная безопасность

Брандмауэр может на самом деле оказаться недорогим для организации из-за того, что большинство или все изменения в программах и дополнительные программы по безопасности будут установлены на системе брандмауэра, а не распределены по большому числу хостов. В частности, системы одноразовых паролей и другие дополнительные программы усиленной аутентификации могут быть установлены только на брандмауэре, а не на каждой системе, которой нужно обращаться к Интернету.
Другие подходы к сетевой безопасности, такие как Kerberos[NIST94c] требуют модификации программ на каждой системе в сети. Поэтому, хотя Kerberos и другие технологии также должны рассматриваться из-за их преимуществ и могут оказаться наиболее подходящими, чем брандмауэры в определенных ситуациях, все-таки брандмауэры проще в реализации, так как специальные программы требуются только на брандмауэре.

Ограничение в доступе к нужным службам

2.3.1 Ограничение в доступе к нужным службам

Самым очевидным недостатком брандмауэра является то, что он может блокировать ряд служб, которые используют пользователи, такие как TELNET, FTP, X Windows, NFS и др. Тем не менее, эти недостатки не присущи только брандмауэрам; сетевой доступ также может ограничиваться при защите на уровне хостов в соответствии с политикой безопасности. Хорошо продуманная политика безопасности, в которой найден баланс между требованиями безопасности и потребностями пользователей, может сильно помочь при решении проблем из-за ограничений в доступе к службам.
Некоторые сети могут иметь топологию, которая не позволяет применить брандмауэр, или использовать службы, такие как NFS, таким образом, что использование брандмауэра потребует серьезных ограничений при работе в сети. Например, в сети может требоваться использование NFS и NIS через основные маршрутизаторы. В такой ситуации стоимость установки брандмауэра нужно сравнить с ущербом, который понесет организация от атаки, использующей уязвимые места, защищаемые брандмауэром, то есть провести анализ риска, а затем принять решение на основании его результатов. Могут оказаться более уместными другие решения, такие как Керберос, но эти решения также имеют свои недостатки. [NIST94c] содержит дополнительную информацию о Керберос и других потенциальных решениях.

Плохая защита от атак своих сотрудников

2.3.3 Плохая защита от атак своих сотрудников

Брандмауэры обычно не обеспечивают защиты от внутренних угроз. Хотя брандмауэр может защищать от получения посторонними лицами критических данных, он не защищает от копирования своими сотрудниками данных на ленту или дискету и выноса ее за пределы сети. Поэтому, было бы ошибкой думать, что наличие брандмауэра защищает от атак изнутри или атак, для защиты от которых нужен не брандмауэр. Наверное, не стоит вкладывать значительные ресурсы в брандмауэр, если есть другие способы украсть данные.

Почему именно брандмауэры?

2.2 Почему именно брандмауэры?

Оснвоной причиной использования брандмауэров является тот факт, что без брандмауэра системы подсети подвергаются опасности использования уязвимых мест служб, таких NFS и NIS, или сканирования и атак со стороны хостов в Интернете. В среде без брандмауэра сетевая безопасность целиком зависит от безопасности хостов и все хосты должны в этом случае взаимодействовать для достижения одинаково высокого уровня безопасности. Чем больше подсеть, тем труднее поддерживать все хосты на одном уровне безопасности. Ошибки и упущения в безопасности стали распространенными, проникновения происходят не в результате хитроумных атак, а из-за простых ошибок в конфигурировании и угадываемых паролей.
Подход с использованием брандмауэра имеет многочисленные преимущества для сетей и помогает повысить безопасность хостов. Следующие разделы кратко описывают выгоды использования брандмауэра.

Политика доступа к сервисам

Политика доступа к сервисам

Политика доступа к сервисам должна фокусироваться на проблемах использования Интернета, описанных выше, и, судя по всему, на всем доступе к сети извне( то есть политика доступа по модемам, соединений SLIP и PPP). Эта политика должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Чтобы брандмауэр успешно защищал их, политика доступа к сервисам должна быть реалистичной и согласовываться с заинтересованными лицами перед установкой брандмауэра. Реалистическая политика - это такая политика, в которой найден баланс между защитой сети от известных рисков, но в то же время обеспечен доступ пользователей к сетевым ресурсам. Если система брандмауэра запрещает или ограничивает использование некоторых сервисов, то в политике должна быть явно описана строгость, с которой это делается, чтобы предотвратить изменение параметров средств управления доступом сиюминутным образом. Только поддерживаемая руководством реалистическая политика может обеспечить это.
Брандмауэр может реализовывать ряд политик доступа к сервисам, но типичная политика может запрещать доступ к сети из Интернета, и разрешать только доступ к Интернету из сети. Другой типичной политикой может быть разрешение некоторого доступа из Интернета, но только к избранным системам, таким как информационные сервера и почтовые сервера. Брандмауэры часто реализуют политик доступа к сервисам, которые позволяют пользователям сети работать из Интернета с некоторыми избранными хостами, но этот доступ предоставляется, только если он сочетается с усиленной аутентификацией.

Политика проекта брандмауэра

Политика проекта брандмауэра

Она специфична для конкретного брандмауэра. Она определяет правила, используемые для реализации политики доступа к сервисам. Нельзя разрабатывать эту политику, не понимая такие вопросы, как возможности и ограничения брандмауэра, и угрозы и узявимые места, связанные с TCP/IP. Как правило, реализуется одна из двух базовых политик проекта:

разрешить доступ для сервиса, если он явно не запрещен

запретить доступ для сервиса, если он явно не разрешен

Брандмауэр, который реализует первую политику, пропускает все сервисы в сеть по умолчанию, нсли только этот сервис не был явно указан в политике управления доступом как запрещенный. Брандмауэр, который реализует вторую политику, по умолчанию запрещает все сервисы, но пропускает те, которые указаны в списке разрешенных сервисов. Вторая политика следует классической модели доступа, используемой во всех областях информационной безопасности.
Первая политика менее желательна, так как она предоставляет больше способов обойти брандмауэр, например, пользователи могут получить доступ к новым сервисам, не запрещаемым политикой( или даже не указанных в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. Определенные сервисы, такие как X Windows , FTP, ARCHIE и RPC, сложно фильтровать [Chap92],[Ches94], и для них лучше подходит брандмауэр, реализующий первую политику. Вторая политика строже и безопаснее, но ее тяжелее реализовать и она может повлиять на работу пользователей в том отношении, что ряд сервисов, такие, как описанные выше, могут оказаться блокированными или использование их будет ограничено.
Взаимосвязь между концептуальной политикой доступа к сервисам и соответствующей ей второй частью описана выше. Эта взаимосвязь существует из-за того, что реализация политики доступа к сервисам сильно зависит от возможностей и ограничений системы брандмауэра, а также уязвимых мест, имеющихся в разрешенных интернетовских сервисах. Например, может оказаться необходимым запретить сервисы, разрешенные политикой доступа к сервисам, если уязвимые места в них не могут эффективно контролироваться политикой нижнего уровня и, если безопасность сети важнее всего. С другой стороны, организация, которая сильно зависит от этих сервисов при решении своих задач, может принять это более высокий риск и разрешить доступ к этим сервисам. Эта взаимосвязь приводит к тому, что формулирование обоих политик становится итеративным процессом.
Политика доступа к сервисам - самый важный компонент из четырех, описанных выше. Остальные три компонента используются для реализации политики. ( И, как отмечалось выше, политика доступа к сервисам должна отражать общую политику безопасности организации). Эффективность системы брандмауэра при защите сети зависит от типа используемой реализации его, от правильности процедур работы с ним, и от политики доступа к сервисам.

Политика сетевого доступа

2.4.1 Политика сетевого доступа

Имеется два вида политики сетевого доступа, которые влияют на проектирование, установку и использование системы брандмауэра. Политика верхнего уровня является проблемной концептуальной политикой, которая определяет, доступ к каким сервисам будет разрешен или явно запрещен из защищаемой сети, как эти сервисы будут использоваться, и при каких условиях будет делаться исключение и политика не будет соблюдаться. Политика нижнего уровня описывает, как брандмауэр должен на самом деле ограничивать доступ и фильтровать сервисы, которые указаны в политике верхнего уровня. Следующие разделы кратко описывают эти политики.

Понятие брандмауэра

2.1 Понятие брандмауэра

Наверное, лучше всего начать с описания того, что НЕ является брандмауэром: брандмауэр - это не просто маршрутизатор, хост или группа систем, которые обеспечивают безопасность в сети. Скорее, брандмауэр - это подход к безопасности; он помогает реализовать политику безопасности, которая определяет разрешенные службы и типы доступа к ним, и является реализацией этой политики в терминах сетевой конфигурации, нескольких хостов и маршрутизаторов, и других мер защиты, таких как усиленная аутентификация вместо статических паролей. Основная цель системы брандмауэра - управление доступом К
или ИЗ защищаемой сети. Он реализует политику сетевого доступа, заставляя проходить все соединения с сетью через брандмауэр, где они могут быть проанализированы и разрешены либо отвергнуты.
Система брандмауэра может быть маршрутизатором, персональным компьютером, хостом, или группой хостов, созданной специально для защиты сети или подсети от неправильного использования протоколов и служб хостами, находящимися вне этой подсети. Обычно система брандмауэра создается на основе маршрутизаторов верхнего уровня, обычно на тех, которые соединяют сеть с Интернетом, хотя может быть создана и на других маршрутизаторах, для защиты только части хостов или подсетей.

Повышенная конфиденциальность

2.2.4 Повышенная конфиденциальность

Конфиденциальность очень важна для некоторых организаций, так как то, что обычно считается безобидной информацией, может на самом деле содержать полезные подсказки для атакующего. Используя брандмауэр, некоторые сети могут заблокировать такие службы, как finger и доменную службу имен. finger дает информацию о пользователях, такую как время последнего сеанса, читалась ли почта, и другие данные. Но finger может дать атакующему информацию о том, как часто используется система, работают ли сейчас в этой системе пользователи, и может ли быть система атакована, не привлекая при этом внимания.
Брандмауэры также могут быть использованы для блокирования информации DNS о системах сети, поэтому имена и IP-адреса хостов в сети не станут известны хостам в Интернете. Некоторые организации уже убедились в том, что блокируя эту информацию, они скрывают ту информацию, которая была бы полезна для атакующего.

Претворение в жизнь политики

2.2.6 Претворение в жизнь политики

И наконец, самое важное - брандмауэр предоставляет средства реализации и претворения в жизнь политики сетевого доступа. Фактически, брандмауэр обеспечивает управление доступом для пользователей и служб. Поэтому, политика сетевого доступа может быть реализована с помощью брандмауэра, в то время как без него, такая политика зависит целиком от доброй воли пользователей. Организация может зависеть от своих пользователей, но не должна зависеть от доброй воли всех пользователей Интернета.

Прикладные шлюзы

2.4.4 Прикладные шлюзы

Чтобы защититься от ряд уязвимых мест, связанных с маршрутизаторами с фильтрацией пакетов, в брандмауэрах нужно использовать прикладные программы для перенаправления и фильтрации соединений с такими службами, как TELNET и FTP. Такое приложение называется прокси-службой, а хост, на котором работает прокси-служба - прикладным шлюзом. Прикладные шлюзы и маршрутизаторы с фильтрацией пакетов могут быть объединены для достижения более высокой безопасности и гибкости, чем была бы достигнута, если бы они использовались отдельно.
Например, рассмотрим сеть, в которой блокируются входящие соединения TELNET и FTP с помощью маршрутизатора с фильтрацией пакетов. Этот маршрутизатор позволяет пропускать пакеты TELNET или FTP только к одной машине, прикладному шлюзу TELNET/FTP. Пользователь, который хочет соединиться снаружи с системой в сети, должен сначала соединиться с прикладным шлюзом, а затем уж с нужным хостом :

сначала пользователь устанавливает telnet-соединение с прикладным шлюзом и вводит имя внутреннего хоста

шлюз проверяет IP-адрес пользователя и разрешает или запрещает соединение в соответствии с тем или иным критерием доступа

может понадобиться аутентификация пользователя(возможно с помощью одноразовых паролей)

прокси-сервер создает telnet-соединение между шлюзом и внутренним хостом

прокси-сервер передает данные между этими двумя соединениями

прикладной шлюз протоколирует соединение

Пример брандмауэра с маршрутизатором и прикладным шлюзом

Рисунок 2.1 Пример брандмауэра с маршрутизатором и прикладным шлюзом

Пример фильтрации пакетов для TELNET и SMTP

Рисунок 2.3 Пример фильтрации пакетов для TELNET и SMTP



Для примера рассмотрим политику, в которой разрешаются только определенные соединения с сетью с адресом 123.4.*.* Соединения TELNET разрешаются только с одним хостом, 123.4.5.6, который может быть прикладным TELNET-шлюзом сети, а SMTP-соединения разрешаются только с двумя хостами, 123.4.5.7 и 123.4.5.8, которые могут быть двумя почтовыми шлюзами сети. NNTP(Network News Transfer Protocol) разрешается только от взаимодействующего с сетью сервера новостей, 129.6.48.254, и только с NNTP-сервером сети, 123.4.5.9, а протокол NTP(сетевого времени) разрешен для всех хостов. Все другие сервисы и пакеты блокируются. Пример набора правил приведен ниже:

Тип
Адрес отправителя
Адрес получателя
Порт источника
Порт получателя
Действие

tcp	*	123.4.5.6	>1023	23	разрешить
tcp	*	123.4.5.7	>1023	25	разрешить
tcp	*	123.4.5.8	>1023	25	разрешить
tcp	129.6.48.254	123.4.5.9	>1023	119	разрешить
udp	*	123.4.*.*	>1023	123	разрешить
*	*	*	*	*	запретить

Первое правило позволяет пропускать пакеты TCP из Интернета от любого источника, имеющие порт отправителя больше чем 1023, к адресу 123.4.5.6, если соединение устанавливается с портом 23. Порт 23 - это порт, связанный с сервером TELNETa, а все клиенты TELNETа должны использовать непривилегированные порты больше, чем 1024. Второе и третье правило работают аналогично, кроме того, что разрешаются адреса назначения 123.4.5.7 и 123.4.5.8 и порт 25 - SMTP. Четвертое правило пропускает пакеты к NNTP-серверу сети, но только от адреса 129.6.48.254 к адресу 123.4.5.9 с портом назначения 119( 129.6.48.254 - единственный NNTP-сервер, от которого сеть получает новости, поэтому доступ к сети в отношении NNTP ограничен только этой системой). Пятое правило разрешает траффик NTP, который использует UDP, а не TCP, от любого источника к любой системе в сети. Наконец, шестое правило блокирует все остальные пакеты - если этого правила не было бы, маршрутизатор мог блокировать, а мог и не блокировать другие тиы пакетов. Это очень простой пример фильтрации пакетов. Настоящие правила позволяют осуществить более сложную фильтрацию и являются более гибкими.

Проблемы с маршрутизаторами с фильтрацией пакетов

Проблемы с маршрутизаторами с фильтрацией пакетов

Маршрутизаторы с фильтрацией пакетов имеют ряд недостатков, описанных в [Chap92]. Правила фильтрации пакетов сложно формулируются и обычно нет средств для тестирования их корректности( кроме как ручное тестирование). У некоторых маршрутизаторов нет средств протоколирования, поэтому если правила фильтрации пакетов все-таки позволят опасным пакетам пройти маршрутизатора, такие пакеты не смогут быть выявлены до обнаружения проникновения.
Часто требуется сделать исключения из правил, чтобы разрешить определенные виды доступа, которые обычно блокируются. Но исключения из правил фильтрации иногда могут сделать правила фильтрации такими сложными, что они станут неконтролируемыми. Например, достаточно просто написать правило для блокирования всех входящих соединений к порту 23( серверу TELNETa). Если же делаются исключения, то есть если с некоторыми системами сети разрешается иметь прямые соединения по TELNET, то должно быть добавлено правило для каждой такой системы. Иногда добавление определенных правил может усложнить всю схему фильтрации. Как было уже сказано, тестирование сложного набора правил на их корректность может оказаться очень трудным.
Некоторые маршрутизаторы с фильтрацией пакетов не фильтруют по порту TCP/UDP отправителя, что может сделать набор правил фильтрации очень сложным и создать "дыры" в схеме фильтрации. [Chap92] описывает подобные проблемы с сетями, в которых были разрешены входящие и исходящие SMTP-соединения . Согласно пункту 1.2.5, TCP-соединения имеют порт отправителя и порт получателя. Если система инициирует SMTP-соединение с сервером, портом источника будет случайно выбранный порт с номером больше 1024, а портом получателя будет будет порт с номером 25, порт, который слушает сервер SMTP. Сервер будет возвращать пакеты с номером порта отправителя 25, и номером порта получателя, равным случайно выбранному клиентом номеру порта. Если в сети разрешены входящие и исходящие SMTP-соединения, то маршрутизатор должен разрешать соединения с портами отправителя и получателя, большими 1023, в обоих направлениях. Если маршрутизатор может фильтровать по порту отправителя, он может блокировать все пакеты, входящие в сеть организации, у которых порт получателя больше 1023, а порт отправителя не равен 25. Если он не может фильтровать пакеты по порту отправителя, маршрутизатор должен разрешить соединения, которые используют порты отправителя и получателя больше 1024. Пользователи иногда могут специально запустить сервера на портах, больших 1023, и обходить таким образом политику фильтрации( то есть обычно сервер telnet в системе слушает порт 23, но может быть сконфигурирован так, что будет слушать вместо этого порт 9876; и пользователи в Интернете смогут организовать telnet-сеанс с этим сервером даже, если маршрутизатор блокирует соединения с портом назначения 23).

Другой проблемой является то, что ряд служб RPC очень трудно заблокировать из-за того, что сервера для этих служб слушают порты, случайно выбираемые в процессе загрузки системы. Служба, известная под названием portmapper

отображает первоначальные вызовы служб RPC в назначенные им номера служб, но ее эквивалента не существует для маршрутизатора с фильтрацией пакетов. Так как маршрутизатору нельзя сообщить, с каким портом работает служба, нельзя полностью заблокировать эти службы, разве что заблокировать полностью все пакеты UDP( RPC-службы в-основном используют UDP). Блокирование всех пакетов UDP приведет к блокированию ряда других полезных служб, таких как DNS. Поэтому блокирование RPC приводит к дилемме.

Маршрутизаторы с фильтрацией пакетов с более чем двумя интерфейсами иногда не имеют возможностей по фильтрации пакетов в зависимости от того, с какого интерфейса приняты пакеты, и куда должны быть направлены. Фильтрация входящих и исходящих пакетов упрощает правила фильтрации пакетов и позволяет маршрутизатору легко определить, какой IP-адрес настоящий, а какой - фальшивый. Маршрутизаторы без такой возможности затрудняют реализацию стратегий фильтрации.

Кроме того, маршрутизаторы с фильтрацией пакетов могут реализовывать обе концептуальные стратегии, описанные в пункте 2.4.1. Набор правил, который менее гибок, то есть не фильтрует по порту отправителя или по типу интерфейса( входящий или выходящий), уменьшает возможности маршрутизатора по претворению в жизнь второй и более сильной политики, при которой запрещаются все сервисы, кроме тех, что явно разрешены. Например, проблематичные службы, такие, как те, которые базируются на RPC, становится еще труднее фильтровать с менее гибким набором правил; отсутствие фильтрации по порту отправителя заставляет разрешать соединения с портами, большими 1023. При менее гибком наборе правил маршрутизатор имеет меньше возможностей по реализации сильной политики, и поэтому обычно используют первую политику - разрешать все средства, кроме тех, что явно запрещены.

Читателям рекомендуется прочитать [Chap92], в котором дано более детально описание фильтрации пакетов и связанных с ней проблем. Хотя фильтрация пакетов очень важна, нужно знать существующие проблемы и пути их решения.

Проблемы, возникающие из-за брандмауэров

2.3 Проблемы, возникающие из-за брандмауэров

Помимо описанных выше преимуществ использования брандмауэров, имеет место ряд недостатков при их использовании и ряд проблем, от которых брандмауэры не могут защитить. Брандмауэр не является панацеей от всех проблем безопасности, связанных с Интернетом.

Протоколирование и статистика использования сети и попыток проникновения

2.2.5 Протоколирование и статистика использования сети и попыток проникновения

Если все доступ к Интернету и из Интернета осуществляется через брандмауэр, то брандмауэр может протоколировать доступ и предоставить статистику об использовании сети. При правильно настроенной системе сигналов о подозрительных событиях (alarm), брандмауэр может дать детальную информацию о том, были ли брандмауэр или сеть атакованы или зондированы.
Важно собирать статистику использования сети и доказательства зондирования по ряду причин. Прежде всего нужно знать наверняка, что брандмауэр устойчив к зондированию и атакам, и определить, адекватны ли меры защиты брандмауэра. Кроме того, статистика использования сети важна в качестве исходных данных при проведении исследований для формулирования требований к сетевому оборудованию и программам и анализе риска.

Шлюзы транспортного уровня

Шлюзы транспортного уровня

[Ches94] описывает другую компоненту брандмауэра, которую другие авторы иногда включают в категорию прикладных шлюзов. Шлюз транспортного уровня пропускает через себя TCP-соединения, но не делает никакой фильтрации протокола. Например, описанный выше пример прикладного шлюза TELNET может служить примером шлюза транспортного уровня, так как после установления соединения между источником и назначением брандмауэр просто передает поток данных между этими двумя системами. Другим примером шлюза транспортного уровня может быть шлюз для NNTP, в котором NNTP-сервер соединяется с брандмауэром, а затем - с внутренней системой через брандмауэр. Здесь брандмауэр просто передает поток данных.

Управляемый доступ к систем сети

2.2.2 Управляемый доступ к систем сети

Брандмауэр также предоставляет возможности по управлению доступом к хостам сети. Например, некоторые хосты могут быть сделаны достижимыми из внешних сетей, в то время как доступ к другим системам извне будет запрещен. Сеть может запретить доступ к своим хостам извне, за исключением особых случаев, таких как почтовые сервера или информационные сервера.
Эти свойства брандмауэров требуются при политике управления доступом, построенной по принципу: не предоставлять доступ к хостам или службам, к которым доступ не требуется. Другими словами, зачем давать доступ к хостам и службам, которые могут использоваться атакующими, когда на самом деле он не нужен или не требуется? Если, например, пользователю не нужно, чтобы кто-то в сети мог получить доступ к его рабочей станции, то брандмауэр как раз и может реализовать этот вид политики.

Усиленная аутентификация

2.4.2 Усиленная аутентификация

Разделы , 1.3.1 и 1.3.2 описывали инциденты в Интернете, произошедшие отчасти из-за уязвимости традиционных паролей. Уже много лет пользователям рекомендуется выбирать такие пароли, которые было бы тяжело угадать и не сообщать их никому. Тем не менее, даже если пользователь следует этому совету( а многие и этого не делают), то тот факт, что злоумышленники могут наблюдать за каналами в Интернете и перехватывать передающиеся в них пароли, делает традиционные пароли устаревшими.
Разработан ряд мер усиленной аутентификации, таких как смарт-карты, биометрические механизмы, и программные механизмы, для защиты от уязвимости обычных паролей. Хотя они и отличаются друг от друга, все они одинаковы в том отношении, что пароли, генерируемые устройством усиленной аутентификации, не могут быть повторно использованы атакующим, который перехватывает траффик соединения. Так как проблема с паролями в Интернете является постоянной, брандмауэр для соединения с Интернетом, который не имеет средств усиленной аутентификации или не использует их, бессмысленен.
Ряд наиболее популярных устройств усиленной аутентификации, используемых сегодня, называются системами с одноразовыми паролями. Смарт-карта, например, генерирует ответ, который хост использует вместо традиционного пароля. Так как смарт-карта работает совместно с программой или оборудованием на хосте, генерируемые ответы уникальны для каждого установления сеанса. Результатом является одноразовый пароль, который, если перехватывается, не может быть использован злоумышленником для установления сеанса с хостом под видом пользователя. [NIST94a] и [NIST91a] более детально описывают устройства усиленной аутентификации и средства защиты на их основе.

Виртуальные соединения, реализуемые с помощью прикладного шлюза и прокси-средств

Рисунок 2.4 Виртуальные соединения, реализуемые с помощью прикладного шлюза и прокси-средств



Этот пример демонстрирует несколько преимуществ использования прокси-служб. Во-первых, прокси- службы разрешают только те службы, для которых есть прокси. Другими словами, если прикладной шлюз содержит прокси для FTP и TELNET, то в защищаемой подсети будут разрешены только FTP и TELNET, а другие службы будут полностью блокированы. Для некоторых организаций такой вид безопасности важен, так как гарантирует, что только те службы, которые считаются безопасными, будут пропускаться через брандмауэр. Этот подход также предохраняет от возможности разработки новых небезопасных служб без уведомления администраторов брандмауэра.
Другим преимуществом использования прокси-служб является то, что может быть осуществлена фильтрация протоколов. Например, некоторые брандмауэры, могут фильтровать ftp-соединения и запрещать использование команды FTP put, что было бы полезно для получения гарантий того, что пользователи не могут, например, писать на анонимный FTP-сервер.
Прикладные шлюзы имеют ряд серьезных преимуществ по сравнению с обычным режимом, при котором прикладной траффик пропускается напрямую к внутренним хостам. Они включают в себя:

скрытие информации , при котором имена внутренних систем необязательно будут известны внешним системам с помощью DNS, так как прикладной шлюз может быть единственным хостом, чье имя должно быть известно внешним системам.

надежная аутентификация и протоколирование , при котором прикладной траффик может быть предварительно аутентифицирован до того, как он достигнет внутренних хостов, и может быть запротоколирован более эффективно, чем стандартные средства протоколирования хоста.

оптимальное соотношение между ценой и эффективностью
из-за того, что дополнительные программы или оборудование для аутентификации или протоколирования нужно устанавливать только на прикладном шлюзе.

простые правила фильтрации , так как правила на маршрутизаторе с фильтрацией пакетов будут менее сложными, чем они были бы, если бы маршрутизатор сам фильтровал прикладной траффик и отправлял его большому числу внутренних систем. Маршрутизатор должен только пропускать прикладной траффик к прикладному шлюзу и блокировать весь остальной траффик.

Недостаток прикладного шлюза заключается в том, что при использовании клиент-серверных протоколов, таких как TELNET, требуется двухшаговая процедура для вхождения внутрь или выхода наружу. Некоторые прикладные шлюзы требуют модифицированных клиентов, что может рассматриваться либо как недостаток, либо как преимущество, в зависимости от того, делают ли модифицированные клиенты более легким использованием брандмауэра. Прикладной шлюз TELNET необязательно требует модифицированного клиента TELNET, тем не менее он требует другой логики действий от пользователя: пользователь должен установить соединение(но не сеанс) с брандмауэром, а не напрямую установить сеанс с хостом. Но модифицированный клиент TELNET делает брандмауэр прозрачным, позволяя пользователю указать конечную систему( а не брандмауэр) в команде TELNET. Брандмауэр является как бы дорогой к конечной системе и поэтому перехватывает соединение, а затем выполняет дополнительные шаги, такие как запрос одноразового пароля. Пользователю не нужно в этом случае ничего делать, но на каждой системе должен быть установлен модифицированный клиент.

Помимо TELNET, обычно прикладные шлюзы используются для FTP и электронной почты, а также X Windows и ряда других служб. Некоторые прикладные шлюзы FTP имеют возможности блокирования команд get и put для некоторых хостов. Например, внешний пользователь, установивший FTP-сеанс(через прикладной шлюз FTP) с внутренней системой, такой, как анонимный FTP-сервер, может попытаться скопировать файлы на сервер. Прикладной шлюз может фильтровать FTP-протокол и блокировать все команды put для анонимного FTP-сервера; это позволит гарантировать, что никто не сможет загрузить на сервер чего-либо, и даст большие гарантии, чем простая уверенность в том, что права доступа к файлам на анонимном FTP-сервере установлены корректно( некоторые организации ввели политики, в которых запрещаются команды get и put для определенных директорий; наличие брандмауэра, фильтрующего FTP-команды, было бы особенно полезно в этой ситуации. Некоторые места запретили команды get для внешних хостов, чтобы пользователи не могли считать информацию или программы с внешних хостов. В других же сетях запрещена команда put для внешних хостов, чтобы пользователи не могли сохранить локальную информацию на внешних FTP-серверах. Но типовым является вариант. Когда запрещаются входящие команды put, чтобы внешние пользователи не могли писать на FTP-сервера в сети)

Прикладной шлюз для электронной почты служит для централизованного сбора электронной почты и распространения ее по внутренним хостам и пользователям. Для внешних пользователей все внутренние пользователи будут иметь адрес вида пользователь@почтовый_хост, где почтовый хост - имя шлюза для почты. Шлюз должен принимать почту от внешних пользователей, а затем переправлять ее на другие внутренние системы. Пользователи, посылающие электронные письма с внутренних систем, могут посылать их напрямую с внутренних систем, или, если внутренние имена систем не известны снаружи сети, письмо должно быть послано на прикладной шлюз, который затем переправит его к хосту назначения. Некоторые почтовые шлюзы используют более безопасную версию программы sendmail для приема почты.

Защита от уязвимых мест в службах

2.2.1 Защита от уязвимых мест в службах

Брандмауэр может значительно повысить сетевую безопасность и уменьшить риски для хостов в подсети путем фильтрации небезопасных по своей природе служб. В результате подсеть будет подвергаться гораздо меньшему числу опасностей, так как только через брандмауэр смогут пройти только безопасные протоколы.
Например, брандмауэр может запретить, чтобы такие уязвимые службы, как NFS, не использовались за пределами этой подсети. Это позволяет защититься от использования этих служб посторонними атакующими, но продолжать использовать их внутри сети, не подвергаясь особой опасности. Поэтому можно будет спокойно использовать такие удобные службы, как NFS и NIS, специально разработанные для уменьшения затрат на администрирование в локальной сети.
Брандмауэры также могут обеспечить защиту от атак с использованием маршрутизации, таких как маршрутизация источника и попыток изменить маршруты передачи данных с помощью команд перенаправления ICMP. Брандмауэр может заблокировать все пакеты с маршрутизацией источника и перенаправленя ICMP, а затем информировать администраторов об инцидентах.

Интернет и безопасность в нем

Брандмауэр на основе машины, подключенной к двум сетям

3.2 Брандмауэр на основе машины, подключенной к двум сетям

Брандмауэр данного типа - более лучшая альтернатива, чем брандмауэр на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста, имеющего два сетевых интерфейса, в котором отключена функция маршрутизации IP-пакетов с одного интерфейса на другой ( то есть хост не может маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить маршрутизатор с фильтрацией пакетов между сетью и этим хостом для обеспечения дополнительной защиты. Это поможет создать внутреннюю изолированную подсеть, которая может быть использована для размещения специализированных систем, таких как информационные сервера и модемные пулы. В отличие от маршрутизатора с фильтрацией пакетов брандмауэр данного типа может полностью блокирвоать передачу трафика между Интернетом и защищаемой сетью. Сервисы обеспечиваются с помощью прокси-серверов на этом хосте. Это простой брандмауэр, но очень безопасный. (Некоторые брандмауэры на основе хоста с двумя интерфейсами не используют прокси-серверы, а требуют, чтобы пользовтаели имели бюджеты на этом хосте для доступа в Интернет. Это не рекомендуется, так как наличие большого числа бюджетов на брандмауэре может привести к ошибкам пользователей, которые в свою очередь приведут к атакам злоумышленников.)

Брандмауэр с фильтрацией пакетов

3.1 Брандмауэр с фильтрацией пакетов

Брандмауэр с фильтрацией пакетов (см. Рисунок 3.1) является, наверное, самым распространенным и самым простым при реализации для маленьких сетей с простой структурой. Тем не менее, он имеет ряд недостатков и менее желателен, чем другие примеры брандмауэров, приведенные в этой главе.

Брандмауэр с изолированной подсетью

3.4 Брандмауэр с изолированной подсетью

Брандмауэр с изолированной подсетью - это объединение шлюза с двумя интерфейсами и брандмауэра с изолированным хостом. Он может быть использован для того, чтобы разместить каждую компоненту брандмауэра в отдельной системе, обеспечив таким образом большую пропускную способность и гибкость, хотя за это приходится платить некоторым усложнением. Но зато каждая компонента брандмауэра будет реализовывать одну задачу, что делает более простым конфигурирование системы.
На рисунке 3.4 для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ - "демилитаризованая зона") находится прикладой шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор,изображенный в месте соединения с Интернетом, может маршрутизировать трафик согласно следующим правилам:

пропускать прикладной трафик от прикладного шлюза в Интернет

пропускать почтовый трафик от почтового сервера в Интернет

пропускать прикладной трафик из Интернета к прикладному шлюзу

пропускать почтовый трафик из Интернета к почтовому серверу

пропускать трафик из Интернета к информационному серверу

все остальные виды трафика блокировать

Внешний маршрутизатор предоставляет возможность взаимодействия с Интернетом только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Интернет, от других систем в изолированной подсети, которые не имеют права инициировать соединения (таких как модемный пул и информационный сервер ). Также он может использоватьс для блокирования пакетов NFS,NIS или других уязвимых протоколов, которые не должны передаваться от или к хостам в изолированной подсети.
Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:

прикладной трафик от приклданого шлюза к внутренним системам пропускается

почтовый трафик от почтового сервера к внутренним системам пропускается

прикладной трафик к прикладному шлюзу от внутренних систем пропускается

почтовый трафик от внутренних систем к почтовому серверу пропускается

пропускать трафик от внутренних ситсем к информационному серверу

все остальные виды трафика блокировать

Брандмауэр с изолированным хостом

3.3 Брандмауэр с изолированным хостом

Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза таким образом может помочь понять, что он является целью атак из Интернета и не обязательно должен считаться надежным.). Прикладному шлюзу требуется только один интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP и другим сервисам, для которых есть прокси, к внутренним машинам сети. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренние системы.
Он отвергает или пропускает трафик в соответствии со следующими правилами:

трафик от систем в Интернете к прикладному шлюзу пропускается

другой трафик от систем в Интернете блокируется

маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного шлюза.

Интеграция модемных пулов с брандмауэрами

3.5 Интеграция модемных пулов с брандмауэрами

Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе 2.3.2, это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

с фильтрацией пакетов устанавливается

Рисунок 3.1



Как правило, брандмауэр с фильтрацией пакетов устанавливается на маршрутизаторе с фильтрацией пакетов, через который происходит соединение с Интернетом( или подсетью), на котором конфигурируются правила фильтрации пакетов, позволяющие блокировать или фильтровать пакетов на основании протоколов и адресов. Обычно машинам внутренней сети предоставляется полный доступ к Интернету, а доступ со стороны Интернета ко всем или почти ко всем системам внутренней сети блокируется. Тем не менее, маршрутизатор может допускать выборочный доступ к системам и сервисам (это зависит от политики). Обычно блокируются такие потенциально опасные сервисы, как NIS, NFS и X Windows.
Брандмауэр с фильтрацией пакетов имеет те же самые недостатки, что и маршрутизатор с фильтрацией пакетов, тем более что они могут оказаться серьезнее при усложнении требований к защищенности сайта. Вот они:

отсутствует (или имеется в крайне ограниченном размере) возможность протоколирования, поэтому администратору будет нелегко выявить компрометацию маршрутизатора или атаку на сеть.

правила фильтрации часто тяжело протестировать, что может привести к возникновению уязвимых мест. При необходимости введения сложных правил фильтрации они часто становятся неуправляемыми

каждый хост, к которому требуется обеспечить доступ из Интернета, будет требовать свою реализацию мер усиленной аутентификации.

Маршрутизатор с фильтрацией пакетов может реализовать обе концептуальные политики, описанные в . Но если маршрутизатор не обеспечивает фильтрацию по порту отправителя или по интерфейсу, с которого принят пакет, то на нем может оказаться тяжело реализовать политику второго типа, то есть "блокировать все, что явно не разрешено". Если целью является реализация второй политики, более желателен маршрутизатор, который обеспечивает самую гибкую стратегию фильтрации.

Рисунок 3.2



Этот тип брандмауэра реализует политику второго типа, то есть запрет доступа ко всем сервисам, кроме тех, которые явно разрешены, так как невозможно получить доступ к тем сервисам, для которых нет прокси-сервера. Возможность хоста принимать пакеты с маршрутизацией источника должна быть отключена, чтобы нельзя было передать пакеты машинам в защищенной подсети. С его помощью может быть достигнута высокая конфиденциальность, так как маршрут до машины в защищаемой сети должен знать только брандмауэр, а не системы в Интернете( так как машины в Интернете не могут посылать пакеты напрямую защищаемым системам). Имена и IP-адреса систем внутренней сети будут неизвестны для Интернета, так как брандмауэр не будет передавать информацию DNS. Как минимум простой брандмауэр этого типа должен обеспечивать прокси-сервисы для TELNET, FTP и центральный почтовый сервер, с помощью которого брандмауэр будет принимать всю почту для внутренней сети, и передавать ее системам. Так как брандмауэр использует хост, то на нем может быть установлены программы для усиленной аутентификации пользователей . Также брандмауэр может протоколировать попытки доступа и зондирования систем, что поможет выявить действия злоумышленников.
Брандмауэр на основе хоста, соединенного с двумя сетями, а также брандмауэр с изолированной подсетью, описываемый позже, обеспечивает возможность отделить трафик, связанный с информационным сервером, от трафика других систем сайта. Информационный сервер может быть размещен в подсети между шлюзом и маршрутизатором, как показано на рисунке 3.2 Учитывая, что шлюз обеспечивает соответствующие прокси-сервисы для информационного сервера ( например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ из Интернета к серверу и заставить обратиться к брандмауэру. Если к серверу разрешен прямой доступ ( что является менее безопасным вариантом), то имя сервера и его IP-адрес могут быть доступны через DNS. Размещение информационного сервера таким образом увеличивает безопасность сети, так как даже при проникновении злоумышленника на информационный сервер, он не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.
Жесткость шлюза с двумя интерфейсами может оказаться неудобной для некоторых сетей. Так как все сервисы по умолчанию заблокированы, кроме тех, для которых имеются прокси-сервера, доступ к другим сервисам не может быть организован. Системы, к которым требуется доступ, должны быть размещены между шлюзом и Интернетом. Тем не менее, маршрутизатор может использоваться так, как показано на рисунке 3.2 для создания подсети между шлюзом и маршрутизатором, и системы, которые требуют дополнительных сервисов, должны быть размещены в этом месте.
Другим важным моментом является то, что безопасность хоста, используемого для организации брандмауэра, должна быть высокой, так как использование уязвимых сервисов и технологий может привести к проникновению. Если брандмауэр скомпрометирован, злоумышленник может потенциально обойти средства защиты и, например, включить маршрутизацию IP.

Рисунок 3.3



В отличие от шлюза с двумя интерфейсами, прикладному шлюзу требуется только один сетевой интерфейс и не требуется отдельная подсеть между прикладным шлюзом и маршрутизатором. Это позволяет брандмауэру быть более гибким, но менее безопасным, так как маршрутизатор может позволить пропустить запросы к надежным сервисам в обход прикладного шлюза. Этими надежными сервисами могут быть те сервисы, для которых нет прокси-сервера, и которым можно доверять в том смысле, что риск использования этих сервисов считается приемлемым. Например, сервисы с низким уровнем риска, такие как NTP, могут пропускаться через маршрутизатор к системам сети. Если внутренние системы требуют доступа к DNS-серверам в Интернете, то DNS может быть разрешен для внутренних систем. В такой конфигурации брандмауэр может реализовывать комбинацию двух политик, соотношение которых зависит от того, для какого числа и каких сервисов разрешено передавать пакеты напрямую к внутренним системам. Дополнительная гибкость брандмауэра с изолированным хостом вызывается двумя обстоятельствами. Во-первых, имеется две системы, маршрутизатор и прикладной шлюз, которые нужно конфигурировать. Как уже отмечалось, правила фильтрации пакетов на маршрутизаторе могут быть сложными, трудными для тестирования, и уязвимыми к ошибкам, ведущим к появлению уязвимых мест. Тем не менее, так как маршрутизатору нужно ограничивать трафик только для прикладного шлюза, правила могут оказаться не такими сложными, как это бывает при использовании брандмауэра с фильтрацией пакетов (который может фильтровать трафик для группы систем в сети). Вторым недостатком является то, что гибкость делает возможным нарушение политики (что верно и для брандмауэра с фильтрацией пакетов). Это является менее серьезным для брандмауэра с двумя интерфейсами, так как технически невозможно передать трафик при отсутствии соответствующего прокси-сервиса. И опять, для обеспечения безопасности нужна строгая политика безопасности.
В [Garf92], [Ran93], и [Ches94] имеется более подробная информация о брандмауэрах с изолированным хостом.

Рисунок 3.4



Поэтому не существует внутренних систем, напрямую доступных из Интернета и наоборот, как при брандмауэре на основе шлюза с двумя интерфейсами. Большим отличием является то, что маршрутизаторы используются для направления трафика к определенным системам, что делает ненужным прикладной шлюз с двумя интерфейсами. При таком варианте может быть достигнута большая пропускная способность, если маршрутизатор используется как шлюз для защищенной подсети. Как следствие, брандмауэр с изолированной подсетью может оказаться более уместным вариантом для сетей с большим объемом трафика или сетей, которым требуется высокоскоростной трафик.
Эти два маршрутизатора обеспечивают дополнительный слой защиты, так как атакующему надо будет обойти средства защиты в обоих маршрутизаторах, чтобы получить доступ к внутренним системам. Прикладной шлюз, почтовый сервер и информационный сервер могут быть установлены таким образом, что будут единственными системами, видимыми из Интернета; размещение информации в DNS, доступной в Интернете, о других системах не потребуется. На прикладном шлюзе могут быть установлены меры усиленной аутентификации для аутентификации всех входящих соединений. Конечно, это потребует дополнительного конфигурирования, но использование отдельных систем для прикладного шлюза и фильтрации пакетов сделает конфигуирование более простым..
Брандмауэр с изолированной подсетью, как и брандмауэр с изолированным хостом, может быть сделан более гибким при разрешении существования "доверенных" сервисов, которым будет разрешаться передаваться между Интернетом и внутренними системами. Но эта гибкость открывает возможность нарушения политики, ослаблению эффекта брандмауэра. Во многих отношениях, брандмауэр на основе шлюза с двумя интерфейсами более желателен, так как политику нельзя ослабить (в нем нельзя разрешить передачу сервисов, для которых нет прокси-сервера). Тем не менее, если важны пропускная способность т гибкость, более желателен брандмауэр с изолированной подсетью.

Рисунок 3.5



Рисунок 3. 5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.
Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.
Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.
Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.

Рисунок 3.6



При использовании брандмауэров на основе шлюза с двумя интерфейсами и с изолированной подсетью маршрутизатор, соединенный с Интернетом, будет предотвращать прямую передачу данных между системами в Интернете и модемным пулом. Кроме того, при использовании брандмауэра с изолированной подсетью внутренний маршрутизатор сделает невозможной прямую передачу данных между внутренними систеами и модемным пулом; а при использовании брандмауэра на основе шлюза с двумя интерфейсами прикладной шлюз также помешает этому. Пользователи, устанавливающие соединение через модемный пул, смогут установить соединение с внутренними системами только через прикладной шлюз, который может использовать средства усиленной аутентификации.
Если сеть использует какие-либо средства защиты этого рода при установлении соединения через модем, то должна строго соблюдаться политика, запрещающая пользователям устанавливать соединения с внутренней сетью через модемы в местах, отличных от этой изолирвоанной подсети. Даже если модем имеет встроенные средства защиты, это только усложнит схему защиты брандмауэра и добавит еще одно "слабое звено" к цепочке.

Интернет и безопасность в нем

Администрирование систем в сети

4.3.2 Администрирование систем в сети

Брандмауэр не должен служить оправданием для плохого администрирования внутренних систем. Фактически дело обстоит наоборот: если будет осуществлено проникновение в брандмауэр, сеть, которая плохо администрировалась станет открытой для большого числа атак и в ней потенциально возможны большие разрушения. Брандмауэр никоим образом не делает ненужным хорошее системное администрирование.
В то же самое время брандмауэр может позволить сети производить "предупредительное" администрирование, а не устранение последствий инцидентов. Так как брандмауэр обеспечивает барьер, сети могут тратить больше времени на системное администрирование и меньше времени на реагирование на инциденты и устранение их последствий. Рекомендуется, чтобы организации:

Стандартизировали версии операционных систем и программ, чтобы можно было централизованно вносить обновления в них.

Разработали программу для быстрой установки во всей сети исправлений и новых программ

Использовали средства, помогающие осуществлять централизованно администрирование систем, если это поможет обеспечить большую безопасность.

Производили периодические сканирования и проверки систем для обнаружения явных уязвимых мест и ошибок в конфигурации

Имели гарантии того, что системные администраторы легко могут при необходимости обмениваться информацией друг с другом для доведения информации о проблемах с безопасностью, новых исправлениях

Гибкость политики

4.1.2 Гибкость политики

Любая политика безопасности, связанная с доступом из Интернета, сервисами Интернета и доступом к сети вообще должна быть гибкой. Эта гибкость должна иметься по двум причинам: сам Интернет постоянно меняется и потребности организации могут измениться по мере появления новых сервисов в Интернете и новых способов выполнения деятельности организации. Появляются новые протоколы и новые сервисы в Интернете, которые предоставляют новые возможности организациям, использующим Интернет, но это может привести к появлению новых проблем с безопасностью. Поэтому политика должна иметь возможности учета и включения этих новых проблем с безопасностью. Другая причина гибкости заключается в том, что риски для организации также не являются статичными. Риск может измениться из-за больших изменений, таких как новые обязанности, возложенные на организацию, или маленьких изменений, таких как изменения конфигурации сети.

Как связаться с группами по борьбе с компьютерными преступлениями

4.3.3 Как связаться с группами по борьбе с компьютерными преступлениями

Важным моментом при администрировании брандмауэра и всей сети в целом является установление связей со специальными группами по борьбе с компьютерными преступлениями для получения у них помощи. NIST рекомендует, чтобы организации создавали свои небольшие группы по улаживанию происшествий с компьютерной безопасностью, которые проводили бы расследование подозрительных событий и устранение последствий атак, и которые позволяли бы организации быть постоянно в курсе новых угроз и уязвимых мест. Из-за изменчивой природы угроз и рисков Интернете важно, чтобы сотрудники, администрирующие брандмауэр, входили в состав этих групп. Администраторы брандмауэра должны знать о всех новых уязвимых местах в продуктах, которые они используют, и уметь использовать заранее описанные технологии их устранения при обнаружении действий злоумышленника. [Cur92], [Garf92] и [RFC1244] содержат информацию о том, как создать такую группу и связаться с другими группами. NIST имеет ряд публикаций, предназначенных специально для создания таких групп [NIST91b].
Посмотрите для получения дополнительной информации о том, как связаться с группами по борьбе с компьютерными преступлениями и Форумом групп по борьбе с компьютерными преступлениями (Forum of Incident Response and Security Teams - FIRST).

Какими возможностями должен обладать брандмауэр?

4.2.1 Какими возможностями должен обладать брандмауэр?

Как только принято решение использовать технологию брандмауэра для реализации политики безопасности организации, следующим шагом должно быть приобретение брандмауэра, который обеспечивает требуемый уровень защиты при разумной цене. Тем не менее, какие возможности обязательно должен иметь брандмауэр, чтобы обеспечивать эффективную защиту? На этот вопрос нельзя дать общего ответа, но зато можно рекомендовать брандмауэр, который имеет следующие возможности:

брандмауэр должен иметь средства для реализации политики "все, что не разрешено - запрещено", даже если эта политика не используется в организации.

Брандмауэр должен иметь возможности полной реализации вашей политики, а не частичной.

Брандмауэр должен быть гибким; его средства должны иметь возможность адаптации для работы с новыми сервисами и учета изменений в вашей политике безопасности.

Брандмауэр должен содержать средства усиленной аутентификации или возможности установить их.

Брандмауэр должен реализовывать технологии фильтрации для разрешения или блокирования сервисов на отдельных внутренних системах.

Язык правил фильтрации IP должен быть гибким, дружественным и позволять фильтровать по максимальному числу атрибутов, включая адреса отправителя и получателя, тип протокола, порты отправителя и получателя, а также по входящему и выходящему сетевому интерфейсу.

Брандмауэр должен использовать прокси-сервисы для таких сервисов, как FTP и TELNET, чтобы средства усиленной аутентификации можно было установить на брандмауэре. Если требуются такие сервисы, как NNTP, X, http, или gopher, то брандмауэр должен содержать соответствующие прокси-сервисы.

Брандмауэр должен иметь возможности централизованного доступа к SMTP для уменьшения числа прямых соединений по SMTP между внутренними и удаленными системами. Это поможет реализовать центральный почтовый сервер сети.

Брандмауэр должен допускать публичный доступ к сети таким образом, чтобы информационные сервера могли быть защищены брандмауэром, но отделены от систем, к которым не требуется публичный доступ.

Брандмауэр должен иметь возможности централизации и фильтрации доступа через коммутируемые линии.

Брандмауэр должен содержать механизмы протоколирования трафика и подозрительных действий, а также механизмы уменьшения объема этих журналов для и читабельности и анализируемости.

Если брандмауэр требует наличия операционной системы, такой как Unix, то защищенная версия требуемой операционной системы должна быть частью брандмауэра, а аткже другие средства безопасности, гарантирующие целостность программ на брандмауэре. В операционной системе должны быть установлены исправления всех обнаруженных ошибок.

Брандмауэр должен быть разработан таким образом, что можно проверить корректность его работы. Он должен иметь простую структуру, чтобы можно было понять логику его работы и сопровождать его.

При обнаружении новых ошибок брандмауэр и операционная ситсема должны оперативно обновляться.

Конечно, существует еще большое число проблем и требований к брандмауэрам, но большинство из них слишком специфичны. Серьезный подход к формулированию требований или оценке риска позволит вам выявить самые важные проблемы и требования, но не следует забывать, что Интернет - это постоянно растущая сеть. Обнаруживаются новые уязвимые места, апоявляются новые сервисы и улучшения старых сервисов, которые могут создать проблемы при работе брандмауэра. Поэтому всегда надо помнить о необходимости гибкости для учета изменений в требованиях.

Опыт в системном администрировании

4.3.1 Опыт в системном администрировании

Как уже говорилось в предыдущих разделах, постоянно происходит большое число проникновений в системы через Интернет, что делает необходимым наличие в организации высококвалифицированных администраторов, работающих полный рабочий день. Но есть признаки того, что эта необходимость понимается далеко не всеми; многие организации плохо администрируют свои системы, и они не являются безопасными и защищенными от атак. Много системных администраторов работает на полставки в лучшем случае, и не производят обновления систем при появлении исправлений ошибок.
Квалификация администратора брандмауэра - критический фактор для этой должности, так как брандмауэр будет эффективен настолько, насколько эффективно его администрируют. Если брандмауэр плохо администрируется, он может стать небезопасным и через него могут быть осуществлены проникновения, в то время как в организации будет сохраняться иллюзия, что сеть защищена. В политике безопасности брандмауэра должно быть явно указано на необходимость серьезного отношения к администрированию брандмауэра. Руководство должно показать, что его заботит это - и нанаять специалиста на полную ставку, найти деньги на приобретение брандмауэра и его сопровождение, а также на другие необходимые ресурсы.

Организационные вопросы с брандмауэрами

4.3 Организационные вопросы с брандмауэрами

Вас не должно удивлять то, что администрирование брандмауэра - это очень важная работа, которой должно уделяться маскимум времени. В небольших организациях на эту должность могут взять человека не на полную ставку, но эти обязанности должны иметь приоритет над другими. В затраты на брандмауэр должны входить затраты на администрирование брандмауэра; администрирование никогда не должно быть эпизодическим.

Покупать или самому создавать брандмауэр

4.2.2 Покупать или самому создавать брандмауэр

Ряд организаций имеет возможности для самостоятельного создания брандмауэра, то есть для объединения имеющихся программных компонентов и оборудования или написания программ с нуля. В то же самое время имеется ряд производителей, предлагающих большое число средств в области брандмауэров. Эти средства могут быть ограниченными, такими как предоставление только необходимого программного и аппаратного обеспечения, или помощь в разработке политики безопасности, оценке риска, проверке защищенности сети и обучении сотрудников.
Независимо от того, делаете ли вы сами брандмауэр или покупаете, стоит помнить, что сначала нужно разработать политику и набор связанных с ней требований к брандмауэру, а уже затем начинать создавать его. Если испытывает трудности при разработке политики, то будет разумным связаться с производителем, который может помочь в этом процессе. Если же в организации имеется свой опыт создания брандмауэров, то лучше и дешевле использовать его. Одним из преимуществ самостоятельного создания брандмауэра является то, что свои сотрудники знают специфику организации и то, как будет использоваться брандмауэр. Если же брандмауэр приобретается, то такого опыта может и не быть.
В то же самое время свой брандмауэр может оказаться слишком дорогим в смысле времени, необходимого для его создания и документирования, а также времени, требуемого для сопровождения брандмауэра и внесения в него изменений при возникновении такой необходимости. Затраты этого рода иногда не учитываются; организации иногда делают ошибку, учитывая только стоимость оборудования. При полном экономическом расчете затрат, связанных с созданием брандмауэра, может оказаться, что более выгодно купить его.
При принятии решения организацией о том, покупать или создавать самому брандмауэр с учетом имеющихся ресурсов, могут помочь ответы на следующие вопросы

Как будет тестироваться брандмауэр; кто будет проверять, что он работает так, как это ожидается

Кто будет сопровождать его( делать архивные копии, восстанавливать его после сбоев)

Кто будет устанавливать обновления брандмауэра, такие как новые прокси-сервера, исправления ошибок и другие расширения

Могут ли быть оперативно внесены исправления, связанные с безопасностью, и решены сами проблемы с безопасностью

Кто будет обучать пользователей и обеспечивать техническую поддержку для них

Многие производители предлагают сопровождение брандмауэра, а также помощь в его установке, поэтому организация должна учесть это при анализе вопроса, имеет ли она достаточные внутренние ресурсы для этого.

Политика брандмауэра

4.1 Политика брандмауэра

Политика уже рассматривалась в 2.4.1, когда речь шла о политике сетевого доступа и политике проектирования брандмауэра. В этой части рассмтариваются две этих политики в связи с общей политикой безопасности организации и другими руководящими документами, в которых описаны задачи организации, риски, угрожающие ей и политики безопасности.
Концептуальные решения в отношении использования технологии ьбрандмауэров должны приниматься совместно с решениями, касающимися безопасности всей сети. Они включают в себя решения о безопасности самих машин в сети, безопасности доступа через модемы, безопасности доступа к Интернету, защите информации, находящейся на машинах в сети и другие решения. Автономная политика, описывающая только брандмауэр, неэффективна; требуется интеграция ее в общую политику безопасности организации. В [RFC1244] есть более подробная информация о создании политики безопасности организации, ориентированная на организации, имеющие соединение с Интернетом.

Политика для информационного сервера

4.1.6 Политика для информационного сервера

Сеть, которая предоставляет доступ к информационному серверу, должно учесть этот вид доступа при проектировании брандмауэра. Хотя информационный сервер создает специфические проблемы с безопасностью, он не должен стать уязвимым местом для сети. В политике должна быть отражена посылка, что безопасность сети не должна пострадать из-за того, что нужно иметь информационный сервер.
Можно сделать важный вывод о том, что трафик, связанный с информационным сервером, в корне отличается от трафика, связанного с работой других приложений, таких как электронная почта. С каждым из этих двух видов трафика связаны свои риски, и не следует смешивать их.
В части 3 описывается, как учесть наличие информационного сервера при проектировании брандмауэра. Примеры брандмауэров с изолированной подсетью и на основе шлюза с двумя интерфейсами содержат информационные сервера, которые могут быть размещены в изолированной подсети и по существу изолированы от других систем сети. Это уменьшает шанс того, что сначала будет скомпрометирован информационный сервер, а затем с него будет предпринята атака на внутренние системы.

Политика доступа через модемы

4.1.4 Политика доступа через модемы

Полезной возможностью для авторизованных пользователей является наличие удаленного доступа к внутренним системам, когда пользователи находятся вне сети. Такая возможность позволяет им осуществлять доступ к системам из мест, где Интернет может быть и не доступен. Но, как уже обсуждалось в части , эти возможности являются одним из путей получения доступа злоумышленником.
Авторизованные пользователи могут также хотеть иметь возможность исходящих звонков для доступа к системам в других местах, к которым невозможен доступ через Интернет. Эти пользователи должны понимать, что они могут создать уязвимые места при небрежном обращении с модемом. Возможность исходящих звонков легко может позволить организовать и входящие звонки, если не принять соответствующие предосторожности.
Обе эти возможности должны учитываться при разработке брандмауэра и включены при необходимости в него. Требование обязательности использования мер усиленной аутентификации при доступе через брандмауэр должно быть обязательно отражено в политике. Политика также может запрещать использование неавторизованных модемов, присоединенных к системам сети, если доступ по модему обходит средства защиты брандмауэра. Строгая политика может ограничить число используемых модемоы в сети, уменьшая таким образом ее уязвимость.

Политика усиленной аутентификации удаленных пользователей

4.1.3 Политика усиленной аутентификации удаленных пользователей

Удаленные пользователи - это те пользователи, которые устанавливают соединения с внутренними системами откуда-либо из Интернета. Эти соединения могут исходить от любого места в Интернете, от модемных линий, от авторизованных пользователей, работающих из дома. В любом случае для всех таких соединения должны использоваться меры усиленной аутентификации брандмауэра перед предоставлением дсотупа к внутренним системам. В политике должно быть указано, что удаленные пользователи не могут получать доступ к системам с помощью неавторизованных модемов за брандмауэром. Не должно быть исключений для этого правила, так как даже один перехваченный пароль или один неконтролируемый модем может открыть "черный вход" в обход брандмауэра.
Такая политика имеет и недостатки: необходимо обучать пользователей пользоваться средствами усиленной аутентификации, тратить средства на устройства аутентификации пользователей, и администрировать удаленный доступ. Но будет глупостью установить брандмауэр и не контролировать удаленный доступ.

Приобретение брандмауэра

4.2 Приобретение брандмауэра

После того, как политика была разработана, все еще остается ряд вопросов в отношении приобретения брандмауэра. Большинство из них аналогичны проблемам при приобретении других программ, поэтому должно иметь место формулирование требований, их анализ, и составление спецификации. Ниже описаны некоторые дополнительные вопросы, включая простейшие критерии выбора брандмауэра, и стоит ли его покупать или лучше сделать самому.

и при создании политики сетевого доступа

4.1.1 Шаги при создании политики сетевого доступа

Брандмауэр - это реализация политики сетевого доступа, которая рассматривалась в . Существует ряд вариантов этой политики, которые можно реализовать, таких как запрет доступа извне, неограниченный доступ в Интернет или ограниченный входящий доступ и ограниченный выходящий доступ. Политика проектирования брандмауэра определяет во-многом политику сетевого доступа: чем строже политика проектирования брандмауэра, тем более строгой будет и политика сетевого доступа. Поэтому прежде всего нужно определиться с политикой проектирования брандмауэра.
Как уже объяснялось в главе 2.4.1, типовыми политиками проектирования брандмауэра являются запрет всех сервисов, кроме тех, что явно разрешены, или разрешение на доступ ко всем сервисам, кроме тех, что явно запрещены. Первый тип более безопасен и поэтому предпочтителен, но он также более строг, в результате чего при нем допускается работа меньшего числа сервисов. Глава 3 содержит несколько примеров брандмауэров, и в ней наглядно показано, что некоторые типы брандмауэров могут реализовывать оба вида политики управления доступом, в то время как брандмауэр на основе шлюза с двумя интерфейсами предназначен для реализации политики "все, что не разрешено - запрещено". Кроме того, эти примеры показывают, что системы, требующие обеспечения доступа к сервисам, не пропускаемым брандмауэром, могут быть размещены в изолированных подсетях отдельно от других внутренних систем. Клчевым моментом здесь является то, что в зависимости от требований обеспечения безопасности и гибкости, некоторые типы брандмауэров более предпочтительны, чем другие. Этот факт подчеркивает важность правильного выбора политики до начал создания брандмауэра; другой порядок действий нецелесообразен.
Для того, чтобы правильно разработать концептуальную политику брандмауэра, а затем систему брандмауэра, которая реализует эту политику, NIST рекмоендует, чтобы сначала был разработан самы безопасный вариант политики - то есть запретить все сервисы, кроме тех, что явно разрешены. Разработчики политики должны разбираться в следующих вопросах и задокументировать их:

Удаленные соединения с сетью организации

4.1.5 Удаленные соединения с сетью организации

Помимо соединений через модемы, политика должна регламентировать использование соединений с помощью протоколов SLIP и PPP. Пользователи могут использовать их для создания новых сетевых соединений внутри защищенной сети. Такое соединение потенциально является способом обхода брандмауэра, и может оказаться даже более опасным, чем коммутируемое соединение.
В части 3 имеется несколько примеров размещения средств организации доступа по модемам таким образом, что соединения проходят через брандмауэр. Такое же размещение может быть использовано и для протоколов SLIP и PPP, но их следует заранее описать а политике. Обычно политика очень строго регламентирует соединения подобного рода.



    Работа с информацией: Безопасность - Защита - Софт - Криптография

• Информационная безопасность
  
• Аспекты информационной безопасности
  
• Системы информационной безопасности
  
• Софт и информационная безопасность
  
• IInternet Information Services
  
  
• Защита и безопасность
  
• Защита с Firewall
  
• Атаки и информационная безопасность
  
• Информационная безопасность в интернет
  
  
• Борьба с вирусами
  
• Антивирусы против вирусов
  
• Хакеры и информационная безопасность
  
  
• Криптография