MorePC - Главная страница


О сайте

Регистрация

Обратная связь

Реклама на сайте

Публикации на сайте

Карикатуры
  Категории СВТ     Тесты и методики испытаний     Новости СВТ     Проблемы информатизации     Форум     Опросы     Словарь     Поиск  

     Межсетевые экраны : Теория  

Предлагаем Вашему вниманию статьи по информационной безопасности.

25.11.2003. Теория и практика выбора межсетевого экрана

версия для печати

Рекомендации по выбору решения для защиты корпоративной сети, составлению списка первоочередных и менее существенных требований к межсетевому экрану основаны на практическом опыте автора.

Руководство одного банка приняло решение об использовании Internet в своей работе. Управление информационных технологий приобрело соответствующее оборудование и реализовало доступ к ближайшему провайдеру Internet-услуг. Через месяц от провайдера пришел счет на кругленькую сумму в несколько сотен долларов. Из полученной распечатки был сделан неутешительный вывод о том, что за месяц из организации «утекло» не менее 20 гигабайт данных, и никто не знает, что это за данные, кто и куда позволил им «утечь». Хорошо, если это обычный HTTP-трафик или рядовая электронная почта. А если данные о совершенных финансовых сделках? Еще через месяц администратор сети с прискорбием зафиксировал, что к нему в сеть кто-то «вломился» и пересылает через него десятки мегабайт информации за чужой, то есть за его, администратора, счет. Что делать? Вариантов всего два — или отказываться от Internet-услуг или использовать средства защиты корпоративной сети.

Именно после этого меня пригласили на работу в управление информационных технологий этого банка, и в качестве первого задания мне необходимо было реализовать решение по защите корпоративной сети. Мое руководство много слышало про межсетевые экраны (firewall, брандмауэры) и дало мне задание выбрать его для защиты нашей корпоративной сети. При первоначальном рассмотрении этой задачи, проблема не стоила и выеденного яйца. В течение одного дня я собрал из различных, никому не нужных комплектующих вполне сносный Pentium, установил на него Linux, потратил пару дней на настройку iptables и стал радоваться жизни. Однако опытная эксплуатация в течение двух недель поставила передо мной ряд вопросов, на которые я не смог сразу ответить. Пришлось мне пересмотреть мои взгляды на бесплатные продукты в области защиты информации и обратить взор на коммерческие решения. То, что замечательно работает в небольшой институтской сети, оказалось не самым лучшим решением для крупной финансовой структуры.

Предварительный анализ российского рынка межсетевых экранов (МСЭ) показал, что выбор очень большой и принять правильное решение не так-то просто. Тут я вспомнил про метод поиска оптимального решения, который нам преподавали в институте. Заключался он в последовательном выполнении ряда шагов:

  1. Определение критериев выбора межсетевого экрана, то есть тех функций, которые мне были больше всего нужны.
  2. Присвоение каждому критерию определенного весового коэффициента (при этом сумма всех весовых коэффициентов должна была быть равна единице).
  3. Анализ наличия и качества реализации необходимых мне функций в предварительно отобранных межсетевых экранах. На этом этапе выставлялись баллы по десятибалльной шкале, которые подытоживали результат анализа.
  4. Перемножение весовых коэффициентов на полученный для каждого критерия балл дало нам итоговую оценку для каждого межсетевого экрана. Оставалось только выбрать продукт с максимальным результатом.

Определение требований

Я провел всесторонний анализ тех требований, которые выдвигались моим руководством, а также тех, про которые мое руководство забыло или не посчитало нужным упомянуть. Но на этом не остановился и попытался представить, каким путем будет развиваться мой банк и какие услуги он захочет предоставить своим клиентам в ближайшее время. Это позволило составить список дополнительных требований, которые я принимал во внимание, выбирая межсетевой экран.

Прежде чем описывать критерии оценки, хочу сделать небольшое отступление. Если вас будут запутывать умными словами, описывающими различные типы межсетевых экранов: «stateful inspection», «circuit-level gateway» и т. п., не бойтесь. Поставщик межсетевого экрана тем самым хочет набить себе цену. Если посмотреть в корень, то сейчас на рынке присутствует только два типа МСЭ:

  • Пакетные фильтры, реализованные в маршрутизаторах и некоторых средствах построения VPN. Данные решения, работают только на сетевом (в крайнем случае, транспортном) уровне и анализируют только заголовок сетевого пакета (адреса и порты отправителя и получателя).
  • Все остальные. Решения данного класса помимо анализа заголовков разбирают еще и поле данных и позволяют эффективно обрабатывать трафик современных протоколов (мультимедиа, IP-телефония и т. д.).

Первым критерием, которому должен был удовлетворять приобретаемый нами МСЭ, разумеется, стал контроль доступа сотрудников банка к внешним Internet-ресурсам. Необходимо точно знать, кто, куда и когда ходит. При необходимости я должен буду иметь возможность запретить доступ определенного сотрудника к определенному серверу (например, к www.anekdot.ru) или по определенному протоколу (например, RealAudio).

На первый взгляд, ничего сложного в данной задаче не было. Абсолютно любой межсетевой экран и даже маршрутизатор позволяет создавать списки контроля доступа, блокирующие доступ по различным параметрам сетевого трафика (адрес и порт источника и получателя, тип протокола и др.). Однако при ближайшем рассмотрении реализовать это требование в моем банке оказалось не так просто. Во-первых, тесные дружественные отношения между сотрудниками банка позволяли им пользоваться чужими компьютерами для выхода в Internet. Во-вторых, в некоторых отделах «наиболее продвинутые» сотрудники, имеющие расширенные права доступа в Internet, устанавливали на свои компьютеры proxy-серверы (у нас это был WinGate), тем самым, разрешая через себя доступ в Internet всем другим «ущемленным» сотрудникам. Ну и, наконец, основная проблема заключалась в том, что в нашем банке очень широкое распространение получил протокол динамической адресации DHCP. В результате IP-адреса компьютеров сотрудников менялись «как перчатки». Сегодня у операционистки Ивановой адрес 192.168.1.1, завтра — 192.168.1.13, а послезавтра — 192.168.1.230. В этом случае применение на межсетевом экране статических правил, основанных на IP-адресе, уже не могло обеспечить эффективный контроль доступа. Поэтому я включил в список своих требований второй пункт — поддержку динамической адресации. Желательно задавать правила, основываясь не на IP-адресах узлов корпоративной сети, а на имени пользователя, получающего доступ к ресурсам Internet. Разумеется, если вопрос однозначного соответствия IP-адреса и пользователя решаем без помощи МСЭ, это требование можно опустить.

Следующая проблема типична для любой организации — корпоративных узлов, имеющих уникальные адреса много, а Internet-провайдер выделил вам всего один или несколько публичных адресов. Кроме того, ваши внутренние адреса принадлежат множеству немаршрутизируемых в Internet адресов (например, 10.*.*.*, 172.16.0.0–172.31.255.255 и 192.168.*.*.). Пакеты, имеющие адреса получателя из этих сетей, никогда не достигнут адресата. Что делать? Вас выручит трансляция сетевых адресов, которая не только позволит спроецировать сотни немаршрутизируемых уникальных адресов в один адрес, принадлежащий межсетевому экрану, но и скрыть топологию вашей сети от любопытных глаз.

Как и любой уважающий себя банк, мы имели свой Web-сервер, на котором рассказывалось об истории нашего банка, предлагаемых услугах и тарифах на обслуживание, контактах и т. д. Размещать Web-сервер на виртуальном хостинге мое руководство отказалось, планируя в перспективе оказывать услуги Internet-банкинга. Поэтому необходимо было сделать так, чтобы, с одной стороны, обеспечить открытый доступ внешних пользователей к Internet-представительству нашего банка, а с другой — закрыть доступ внешних посетителей во внутреннюю сеть. Решение пришло сразу — демилитаризованная зона. И хотя правильное проектирование сети не относится к выбору межсетевого экрана, я всё же вписал в свой перечень новое требование — возможность задания различных требований по безопасности различным интерфейсам межсетевого экрана. Именно на эти интерфейсы «вешаются» и демилитаризованная зона, и отдельные сегменты (например, информационная и платежная системы) внутренней сети, и управление МСЭ.

Расширяя первое требование, я решил контролировать не только «кто и куда» ходил, но также и то, какой объем информации был закачан из Internet по различным протоколам, в основном, по HTTP, SMTP и FTP. В своей практике я уже сталкивался со случаем, когда один из программистов нашего отдела автоматизации в течение нескольких дней скачивал дистрибутив ОС Linux Mandrake, который распространялся на трех CD. Чтобы в дальнейшем не разбираться в тысячах записей, хранящихся в журнале регистрации, я вписал в свой кондуит еще одно требование — наличие подсистемы генерации отчетов, которая позволяла бы производить сортировку по различным признакам (адрес отправителя и получателя, пользователь, сервер, время и т. д.) и создавать как текстовые, так и графические отчеты.

В заключение базового перечня требований я добавил удобство управления и наличие графического интерфейса управления. Являясь выходцем из Unix'а, я понимаю многих приверженцев этой операционной системы, которые являются ярыми противниками графического интерфейса, предпочитая создавать правила для межсетевого экрана из командной строки. Однако реальная жизнь расставила всё по своим местам. Описывать тысячи объектов контроля, создавать такое же количество правил и просматривать отчеты из командной строки является непосильной задачей, которая отвратит любого администратора даже от любимого дела.

Дополнительные требования

Учитывая возможность расширения спектра деятельности нашего банка и увеличения его филиальной сети, я добавил к перечню базовых требований ряд дополнительных пунктов. Межсетевой экран — это не единственное средство защиты, которое используется в нашем банке. Мы задействовали списки контроля доступа маршрутизаторов Cisco, приобрели системы обнаружения атак, установили системы контроля содержимого и антивирусные средства. Таким образом, мы получили множество кирпичиков, которые должны были составить неприступную стену перед любым злоумышленником. Каждый из этих кирпичиков обладает своей идеологией и требует отдельной и отличной от других конфигурации и настройки, что само по себе является трудоемким процессом, подверженным ошибкам. Задача любого администратора безопасности — сделать так, чтобы их конфигурация осуществлялась централизованно и была непротиворечивой. Поэтому первое дополнительное к базовым требование, которое я вписал в свой список, было централизованное и, по возможности, единое управление разнородными средствами защиты. Наличие такого механизма позволит существенно снизить издержки на конфигурацию системы защиты, а также уменьшить вероятность ошибок при ее настройке. Сразу хочется сказать, что на сегодняшний день такому требованию удовлетворяют очень мало производителей.

Восьмое требование вполне закономерно вытекало из предыдущего и заключалось в возможности интеграции с другими средствами защиты. К таким средствам могут быть отнесены антивирусные системы, системы обнаружения и предотвращения атак, системы контроля содержимого, сервера аутентификации и решения PKI.

При расширении нашего бизнеса и создании филиальной сети, непременно появилось бы три задачи, требующие незамедлительного решения:

  • Защита трафика, передаваемого между филиалами.
  • Централизованное управление межсетевыми экранами, установленными в удаленных филиалах.
  • Контроль доступа пользователей из удаленных филиалов к ресурсам центрального офиса.

Недолго думая, я внес эти задачи в свой перечень, увеличив, таким образом, число требований до одиннадцати. Однако надо помнить, что защита трафика всё-таки не является задачей межсетевого экрана и входит в перечень требований к средствам построения VPN. Но с учетом того, что многие современные МСЭ интегрированы с VPN, такое требование к межсетевому экрану вполне закономерно.

Всем знакомый термин «контроль качества услуг» (quality of service) в последние годы стал неотъемлемой частью технологии защиты информации. Поскольку межсетевые экраны стали обрабатывать такой критичный к задержкам трафик, как видеоконференции, IP-телефония, RealAudio и т. д., то и к ним стало предъявляться требование контроля качества услуг. А так как наш банк, идущий в ногу со временем, запланировал переход на IP-телефонию, то внесение данного требования стало естественным. Кстати, что касается IP-телефонии. Надо учитывать, что существующие протоколы (H.323, SIP и MGCP) работают по-разному и слова в рекламной листовке о поддержке VoIP еще не означают, что МСЭ будет эффективно работать со всеми тремя протоколами.

Говоря о контроле качества услуг, нельзя не сказать и о производи­тельности — достаточно важном параметре для сетевого устройства. На любые средства, которые уменьшают ее, в любой организации смотрят с подозрением. Не является исключением и наш банк. Поэтому я добавил требование отсутствия снижения производительности сети. Но, справедли­вости ради, надо сказать, что для наших каналов связи в несколько сотен килобит данное требование практически всегда будет выполняться. Разумеется, я не беру в расчет построение VPN, которая вносит свои коррективы.

Отказоустойчивость — это важная характеристика сетевого оборудования, а при переходе к оказанию услуг Internet-банкинга она становится первоочередной. Можно выделить два распространенных решения по созданию отказоустойчивых и высоко­доступных приложений. Первое — создание кластера из двух и более однотипных устройств, одно из которых основное, а остальные — резервные, перехватывающие на себя управление в случае выхода из строя основного. Такой подход позволит обеспечить непрерывность работы Internet-банка в случае выхода из строя межсетевого экрана. Второе решение заключается в распараллеливании трафика между двумя и более серверами, реализующими функции Internet-банкинга. И хотя мне трудно было представить, чтобы наши Internet-услуги стали пользовать в ближайшем будущем такой популярностью, что нам не хватило бы одного Web-сервера, я всё же предусмотрительно внес требование балансировки нагрузки в свой список, указав для него самый низкий приоритет. Уж лучше немного перестраховаться, чем потом кусать локти и сожалеть о невнесении этого требования.

«Кролики — это не только ценный мех»

Межсетевой экран — это не просто программно-аппаратное решение, которое вы можете купить и установить в своей сети. Между конечным пользователем и производителем (как правило, зарубежным) всегда встает третье звено (или несколько) — поставщик, который может свести «на нет» все достоинства предлагаемого решения за счет низкого качества послепродажной и послегарантийной поддержки. Поэтому одним из последних в списке, но не последним по важности, было требования наличия качественной технической поддержки. Желательно также, чтобы квалификация инженеров поставщика была подтверждена производителем, то есть инженеры имели соответствующие сертификаты.

Кроме того, для каждого продукта (не только межсетевого экрана) должна существовать своя инфраструктура. Поэтому качество документации (хорошо, если документация на зарубежный продукт будет на русском языке), наличие авторизованного обучения, квалифицированных консультаций и т. д. также должны приниматься во внимание при выборе.

Последнее, над чем я задумался, когда выдвигал требования к межсетевому экрану — наличие сертификата соответствия требованиям регулирующих органов. И на вопрос о необходимости такого пункта я не смог ответить однозначно, даже проанализировав российское законодательство на эту тему. Оно столь несовершенно, что позволяет крутить им в любую удобную сторону. С одной стороны, говорится о необходимости применения только сертифицированных решений для построения информационных систем. С другой стороны, собственник информации волен сам принимать решения о степени защищенности своих данных и используемых для обеспечения их безопасности средств. Налицо явное противоречие, которое может трактоваться в зависимости от дополнительных условий. Что касается различия между сертифици­рованным и несертифици­рованным решением, то его практически нет. Абсолютное большинство продуктов производится массовым тиражом с одной единственной копии на мастер-диске. Поэтому сертифицированный продукт отличается от несертифицированного собрата только наличием сертификата с голограммой, подтверждающего, что именно данный экземпляр (читай, компакт-диск) соответствует некоторым требованиям, предъявляемым к средствам защиты данного класса.

Кстати, о требованиях. Сейчас Россия стоит на перепутье. С одной стороны, действуют «старые» руководящие документы Гостехкомиссии России, которые разделяют все МСЭ на несколько классов, каждый со своими требованиями по безопасности. С другой стороны, Россия стремится в ВТО, и мы с 1 января 2004 года переходим на использование «Общих критериев» (Common Criteria) — относительно нового подхода к созданию защищенных информационных систем. И предлагаемые российскому потребителю межсетевые экраны должны соответствовать уже новым руководящим документам (т. н. профили защиты и задания по безопасности). Справедливости ради надо заметить, что ситуация с «Общими критериями» пока до конца не утряслась и необходимо выждать какое-то время, — до тех пор, пока не появятся новые законы и подзаконные акты, гласящие, что теперь мы будем жить «по-новому», по «Общим критериям». На момент написания этой статьи в России был только один межсетевой экран, получивший сертификат по «Общим критериям», — Z-2 компании «Инфосистемы Джет».

Однажды на конференции представитель одной из российских сертификационных структур заметил, что даже в случае взлома сертифицированного средства вам некуда будет предъявить свои претензии. Точнее предъявить-то вы их сможете, но получить компенсацию за нанесенный моральный и материальный ущерб будет невозможно. Если, конечно, вы не воспользовались услугами по страхованию информационных рисков, но это уже тема другой статьи. Учитывая вышесказанное, я внес требование наличия сертификата в конец своего списка, но обязательным его не считаю (хотя многие специалисты будут со мной не согласны).

Заключение

В результате сформировался список из 19 требований к межсетевому экрану (много их быть не должно, иначе вам будет тяжело их оценивать) и весовых коэффициентов, соответствие которым и стал искать у российских поставщиков. Четко сформули­рованный перечень требуемых функций МСЭ позволил мне в течение всего нескольких дней заполнить подготовленную таблицу и остановить свой выбор на… Но здесь я, пожалуй, остановлюсь и не буду рекламировать какое-либо конкретное решение. Пусть каждый из вас сделает свой выбор, тем более, что набор критериев оценки и их приоритет для вас могут существенно отличаться от моих. Поэтому и результат у вас будет совсем другим. Главное, что теперь вы имеете в руках мощнейший инструмент по выбору не только межсетевого экрана, но и любого другого средства защиты.

Алексей Лукацкий, руководитель отдела Интернет-решений НИП «Информзащита»
25.11.2003
Byte, № 2/2004

Статью "25.11.2003. Теория и практика выбора межсетевого экрана" Вы можете обсудить на форуме.



вверх
  Copyright by MorePC - обзоры, характеристики, рейтинги мониторов, принтеров, ноутбуков, сканеров и др. info@morepc.ru  
разработка, поддержка сайта -Global Arts