На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Программно-аппаратные методы защиты: от удалённых атак

В настоящее время программно-аппаратные методы защиты от удаленных атак в
сети Internet строятся на основе алгоритмов шифрования, практической реализацией
которых являются криптопротоколы и межсетевые экраны (или брандмауэры).
При шифровании сетевых пакетов образуется так называемое защищенное соеди­нение, главным элементом которого является криптопротокол. Для этих целей широ­ко используются следующие протоколы криптографического шифрования:
□ SKIP (Secure Key Internet Protocol);
□ S-HTTP (Secure HTTP);
a SSL (Secure Socket Layer).
SKIP-пакет — это обычный IP-пакет, поле данных которого представляет собой SKIP-заголовок определенного спецификацией формата и криптограмму (зашифрованные дан­ные). Такая структура SKIP-пакета позволяет беспрепятственно направлять его любо­му хосту в сети Internet (межсетевая адресация происходит по обычному IP-заголовку в SKIP-пакете). Конечный получатель SKIP-пакета по заранее определенному разработ­чиками алгоритму расшифровывает криптограмму и формирует обычный TCP- или ШР-пакет, который и передает соответствующему обычному модулю (TCP или UDP) ядра
операционной системы. В принципе, ничто не мешает разработчику формировать по
данной схеме свой оригинальный заголовок, отличный от SKIP-заголовка.
Программный пакет S-HTTP - это защищенный HTTP-протокол, разработанный компанией Enterprise Integration Technologies (ELL) специально для Web. Этот прото­кол позволяет обеспечить надежную криптозащиту только HTTP-документов Web-севера. Эта особенность протокола S-HTTP делает его абсолютно специализррован-ным средством защиты соединения, и, как следствие, невозможным его применение для защиты всех остальных прикладных протоколов (FTP, TELNET, SMTP и др.).


Протокол SSL — универсальный протокол защиты соединения, функционирую­щий на сеансовом уровне OSI, разработанный компанией Netscape. Данный прото­кол использует криптографию с открытым ключом и на сегодняшний день является, пожалуй, единственным универсальным средством, позволяющим динамически за­щитить любое соединение с использованием любого прикладного протокола (DNS,
FTP, TELNET, SMTP и т. д.). Это связано с тем, что SSL, в отличие от S-HTTP, фун­кционирует на промежуточном сеансовом уровне OSI (между транспортным — TCP,
UDP и прикладным — FTP, TELNET и т. д.). В ходе соединения вырабатывается
криптостойкий сеансовый ключ, используемый в дальнейшем абонентами SSL-со-
единения для шифрования передаваемых сообщений. Протокол SSL сегодня уже
практически оформился в качестве официального стандарта защиты для HTTP-со­единений, то есть для защиты Web-серверов. Большинство браузеров поддерживает этот протокол. Более того, под защищенным соединением в настоящее время все чаще понимается именно SSL.
Итак, очевидно, что повсеместное применение этих защищенных протоколов об­мена, особенно SSL, способно поставить надежный барьер на пути всевозможных уда­ленных атак, прежде всего благодаря тому, что в случае использования криптографии
становится бессмысленным перехват и анализ сетевого графика.
Однако пока ни один из существующих криптопротоколов (а их уже немало) не оформился в качестве единого стандарта защиты соединения, который поддерживали бы все производители сетевых операционных систем. С другой стороны, сдвиги в этом направлении все же имеются.
В настоящее время существуют несколько практических вариантов подключения корпоративных сетей к Internet:
выделенный канал «точка- точка»;
□ технология ISDN;
□ технология Frame Relay.
Выделенный канал «точка- точка» предприятие может использовать для постоян­ного доступа в Internet (а). В этом канале применяется интерфейс V.35.
Технология ISDN используется, если у предприятие есть две цифровые коммути­руемые линии (два В-канала): для телефонных переговоров и для работы в Internet в
произвольной комбинации (б). Скорость каждого В-канала при выходе в
Internet составляет 64 кбит/с (два В-канала — 128 кбит/с).
Технология Frame Relay применяется в том случае, когда предприятие пользуется высокоскоростным соединением с Internet на основе специального маршрутизатора (в). Скорость передачи данных колеблется между максимальной (64 кбит/с) и минимально гарантированной в зависимости от загруженности сети передачи дан­ных.
Существенно, что все перечисленные варианты подключения корпоративной сети к Internet, обладая в стандартной конфигурации высокой производительностью, не могут
обеспечить:
□ безопасное взаимодействие пользователей и информационных ресурсов, распо­ложенных в Extranet- и intranet-сетях, с Internet;
технологически единый комплекс мер защиты для распределенных и сегменти­рованных локальных сетей подразделений предприятия;
□ иерархическую систему защиты, предоставляющую адекватные средства обес­печения безопасности для различных по степени закрытости сегментов корпо­ративной сети.
Решить данные задачи становится возможным только при помощи технологии меж­сетевых экранов, организующей безопасное взаимодействие с внешней средой. Срав­нительные характеристики возможных решений технологии межсетевых экранов (МЭ) приведены в табл. 3.8.
При подключении компьютерной сети к Internet рекомендуется защитить эту сеть от НСД с помощью одного из следующих решений на основе:
аппаратно-программного или программного межсетевого экрана;
□ маршрутизатора со встроенным пакетным фильтром;
□ специализированного маршрутизатора, реализующего механизм защиты на ос­нове списков доступа;


Таблица 3.8. Сравнительные характеристики возможных решений технологии межсетевых
экранов

 

Вариант подключения

 

Технология ISDN

Технология Frame Relay

Выделенный канал точка — точка

 

Характеристика уровня защиты

Защита на основе аппаратного firewall

Высокий

Высокий

Экономически не эффективно

Защита на основе
программного межсетевого экрана

Высокий/средний (в зависимости от типа МЭ)

Высокий/средний
(в зависимости от типа МЭ)

Высокий/ссредний
(в зависимости от типа МЭ)

Защита на основе
маршрутизатора с функциями firewall

Высокий/средний
(в зависимости от типа
маршрутизатора)

Высокий/средний
(в зависимости от типа
маршрутизатора)

Высокий

Защита на основе
маршрутизатора

Низкий/средний (в зависимости от типа
маршрутизатора)

Низкий/средний
(в зависимости от типа
маршрутизатора)

Средний

□ операционной системы (ОС) семейства UNIX или реже MS Windows, усилен­ной специальными утилитами, реализующими пакетную фильтрацию.
Рассмотрим технологии межсетевого экранирования более подробно.
Прямую защиту корпоративной системы предоставляет методика, так называемая «огненная стена» ( Firewall). По этой методике в сети выделяется определенная бу­ферная область, и далее все сетевые пакеты между локальной сетью и Internet прохо­дят только через этот буфер.
Защита корпоративной сети на основе Firewall позволяет получить максимальную степень безопасности и реализовать следующие возможности:
□ семантическую фильтрацию циркулирующих потоков данных;
□ фильтрацию на основе сетевых адресов отправителя и получателя; фильтрацию запросов на транспортном уровне на установление виртуальных соединений;
□ фильтрацию запросов на прикладном уровне к прикладным сервисам;
□ локальную сигнализацию попыток нарушения правил фильтрации;
□ запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась, и др.;
О обеспечение безопасности от точки до точки: межсетевой экран, авторизация
маршрута и маршрутизатора, тоннель для маршрута и криптозащита данных;
□ многопротокольную маршрутизацию (IP, IPX, AppleTalk) и прозрачный мост через ISDN, асинхронное и синхронное, последовательное соединение, такое как выделенная линия. Frame Relay, SMDS, Switched 56иХ.25; возможность обеспечения качества услуги от точки до точки посредством про­токола резервирования ресурсов (RSVP), очереди с весами IP Multicast и AppleTalk Simple Multicast Routing Protocol (SMRP) для обеспечения таких приложений, как видеоконференции, объединение данных и голоса и др.;


□ расширенный доступ к Internet/Intranet (трансляция сетевых адресов (NAT), IPeXchange шлюз IP-B-IP, простота и снижение стоимости доступа к Internet и Intranet);
□ оптимизацию WAN (установление соединения по требованию (DDR), предос­тавление полосы по требованию (BOD) и OSPF по требованию, полустатичес­кая маршрутизация, сжатие и фильтрация).
Существенно, что только выделенные межсетевые экраны позволяют осуществить комплексную зачету корпоративной сети от НСД, основанную как на традиционной синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуще­ствляемой большинством операционных систем семейств Windows и UNIX, так и на семантической, доступной только коммерческим специальным решениям.
В настоящее время все известные Firewall можно разделить на несколько основных групп:
по исполнению:
G аппаратно-программный;
О программный;
G по функционированию на уровнях модели OSI: шлюз экспертного уровня;
□ экранирующий шлюз (прикладной шлюз);
□ экранирующий транспорт (шлюз сеансового уровня);
□ экранирующий маршрутизатор (пакетный фильтр);
□ по используемой технологии:
□ stateful inspection (контроль состояния протокола); О на основе модулей-посредников (proxy);
по схеме подключения: схема единой защиты сети;
схема с защищаемым закрытым и не защищаемым открытым сегментами сети; схема с раздельной защитой закрытого и открытого сегментов сети. Пример программно-аппаратной реализации такой стратегии Firewall — межсете­вой экран.
Межсетевой экран — система (или комбинация систем), позволяющая разделить сеть на две или более частей и реализовать набор правил, определяющих условия про­хождения пакетов из одной части в другую. Как правило, эта граница проводится меж­ду корпоративной сетью и Internet, хотя ее можно провести и внутри локальной сети.
Таким образом, межсетевой экран пропускает через себя весь трафик. Он принимает решение, пропускать пакет или отбросить. Решение производится опять-таки на осно­вании определенных правил, как и в случае чисто административного управления. Однако правила задаются уже не только на программном, но и на аппаратном уровне, что существенно затрудняет взлом подобных систем.
Необходимо отметить, что в настоящее время наряду с одноуровневыми межсете­выми экранами все большую популярность приобретают комплексные экраны, охва­тывающие уровни от сетевого до прикладного.
Конкретные реализации межсетевых экранов в значительной степени зависят от ис­пользуемых вычислительных платформ, но, тем не менее, все системы этого класса ис­пользуют два механизма, один из которых обеспечивает блокировку сетевого трафика, а


второй, наоборот, разрешает обмен данными. При этом некоторые версии межсетевых экранов делают упор на блокировании нежелательного трафика, а другие — на регла­ментировании разрешенного межмашинного обмена. Возможный вариант защиты сети на основе аппаратно-программного межсетевого экрана представлен на рис.
Поскольку межсетевые экраны ориентированы на защиту информации в открытых
сетях типа Intemel/intranet, основой подхода служит семиуровневая модель ISO/OSI
(Международной организации по стандартизации). В соответствии с этой моделью межсетевые экраны классифицируются по тому, на каком уровне происходит фильт­рация: канальном, сетевом, транспортном, сеансовом или прикладном. Поэтому мож­но говорить об экранирующих концентраторах (канальный уровень), маршрутизато­рах (сетевой уровень), транспортном экранировании (транспортный уровень), шлюзах
сеансового уровня (сеансовый уровень) и прикладных экранах (прикладной уровень).
Еще одним важным компонентом межсетевого экрана является система сбора ста­тистики и предупреждения об атаке (так называемый аудит). Информация обо всех событиях (отказах, входящих, выходящих соединениях, числе переданных байт, ис­пользовавшихся сервисах, времени соединения и т. д.) накапливается в файлах стати­стики.
Упрощенно все межсетевые экраны можно разбить на две группы: □ фильтры пакетов;
G шлюзы приложений.
В основе функционирования фильтров пакетов лежит привязанность отдельных служб Internet к портам: например, WWW-соединения обычно используют порт 80. Для филь­трации пакетов, помимо номеров портов, нужны также IP-адреса задействованных ком­пьютеров. Большинство существующих сегодня маршрутизаторов предлагают такой сер­вис. Современные продукты развития фильтров пакетов также позволяют анализировать статус соединения. Они различают вновь устанавливаемое и уже существующее соеди­нения и при этом держат в памяти короткую историю прохождения предыдущих блоков данных. Однако содержимое пакетов не поддается исследованию с помощью фильтров, т. к. последние не понимают, например, протоколов HTTP и FTP.
Защита на основе маршрутизатора со встроенным пакетным Firewall характеризует­ся высокой эффективностью и безопасностью. В настоящее время одним из наиболее интересныхявляется вариант защиты на основе маршрутизаторов Cisco 1720(станция
PIX Firewall 520
Мобильный пользователей
IBN compatible
Возможный вариант защиты сети на основе аппаратно-программного межсете­вого экрана


Ethernet LAN
Рассматриваемое решение основано на использовании маршрутизатора Cisco 1720 компании Cisco Systems. Высокая
нована на схеме пакетной фильтрации и возможности установки дополнительной защиты, реализованной на основе firewall features. Этот вариант обладает следующи­ми достоинствами:
производительность маршрутизатора ос-
Ethemet
О высокая производительность и пропус­кная способность;
Ethernet LAN_1
□ преимущества пакетного и прикладно-
Вариант защиты на основе
го шлюзов;
маршрутизаторов со встроенным пакетным     u простота и надежность в эксплуатации
сти от точки до точки: межсетевой экран, авторизация маршрута и маршрутизатора, тоннель для маршрута и криптозащита данных;
□ многопротокольная маршрутизация (IP, IPX, AppleTalk) и прозрачный мост че­рез ISDN, асинхронное и синхронное, последовательное соединение, такое как выделенная линия, Frame Relay, SMDS, Switched 56 и X.25;
возможность обеспечения качества услуги от точки до точки посредством про­токола резервирования ресурсов (RSVP), очереди с весами IP Multicast и AppleTalk Simple Multicast Routing Protocol (SMRP) для обеспечения таких приложений, как видеоконференции, объединение данных и голоса и др.; расширенные возможности доступа к (трансляция сетевых ад­ресов (NAT), IPeXchange шлюз ipx-b-ip, простота и снижение стоимости досту­па к Internet и intranet);;
□ возможность оптимизации WAN (установление соединения по Требованию (DDR),
предоставление полосы по требованию (BOD) и OSPF по требованию, полуста­тическая маршрутизация, сжатие и фильтрация).
Другой рассматриваемый вариант защиты основывается на использовании спе­циализированного маршрутизатора с листами доступа. Он самый распространен­ный на сегодняшний день (В нем наиболее интересным решением являет­ся использование маршрутизаторов компании Cisco Systems, например Cisco и серии 2600 — Cisco 2610.
Данный вариант обладает высокой эффективностью и достаточной безопасностью. Основные преимущества такого решения заключаются в гибкости, мультисервисном доступе, защите инвестиций.
Для подключения сети предприятия к Internet можно использовать все существую­щие серии маршрутизаторов Cisco.
Еще один способ защиты основывается на операционных системах семейств UNIX
Windows, усиленных функцией пакетной фильтрации. В данном случае системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервис­ного обслуживания и др. По уровню надежности, безопасности и производительности
Firewall
и установке;
О возможностью обеспечения безопасно-


наиболее предпочтительны решения на основе UNIX-подобной операционной систе­мы (например, Solaris, BSD/OS 4.0 или Linux).
Шлюзы приложений контролируют содержимое пакетов данных на уровне прило­жений. Они способны проверять программы на наличие вирусов или удалять с Web-страниц активное содержимое, например, Java-апплеты или элементы управления ActiveX. При этом для отдельных служб требуются proxy-процессы, пересылающие запросы от компьютеров в локальной сети на Internet-сервер и проверяющие пакеты данных. Поскольку анализ трафика между Internet и локальной сетью требует опреде­ленных вычислительных ресурсов, решение этих задач должен взять на себя соответ­ствующим образом оборудованный компьютер. В отличие от пакетных фильтров, шлю­зы приложений позволяют ограничить количество допустимых операций за одно соединение.
Чтобы при выходе из строя одного из компонентов обезопасить локальную сеть от вторжений, рекомендуется создавать многоступенчатую систему межсетевых экранов. Целесообразно использовать шлюз приложений, снабженный дополнительной защи­той в виде двух фильтров пакетов: одного — на входе в корпоративную сеть со сторо­ны Internet, а другого — на ее выходе в Internet.
Симметричное построение обеспечивает также определенную защиту от несанк­ционированных действий в собственной сети компании. При этом Internet-сервер сле­дует подключать к одной или нескольким сетевым платам таким образом, чтобы он был защищен шлюзом приложений и вместе с тем не находился бы непосредственно в
локальной сети. Он имеет право общаться с внутренней сетью лишь через шлюз при­ложений и внутренние фильтры пакетов.
С другой стороны, безопасность данных не есть что-то застывшее. Одно лишь при­обретение и рациональное конфигурирование подходящего межсетевого экрана не означает, что риск вторжений из Internet в корпоративную сеть исключен надолго. Помимо регулярного и, по возможности, оперативного контроля протокольных дан­ных, администраторы должны неустанно следить за возникающими прорехами в сис­теме безопасности и узнавать о новых сценариях вторжений извне, чтобы своевремен­но сделать в системе соответствующие «заплатки». Компаниям
периодически пересматривать планы мероприятий, направленные на защиту данных, а также конфигурацию межсетевого экрана.
Недостатки межсетевых экранов — ихдостаточно высокая стоимость и сложность в настройке. Зато они дают довольно высокую степень безопасности и позволяют со­временно выявлять не только атаки, но и попытки несанкционированного воздействия на корпоративную сеть. Сравнительные характеристики некоторых межсетевых экра­нов представлены в табл. 3.9.

Таблица 3.9. Сравнительные характеристики некоторых межсетевых экранов


Наименова­ние продукта

Cisco PIX 520 (506,525,535)

Checkpoint Firewall-1

Застава

Raptor Symantec-AXENT

CyberWall-PLUS

Поставщик Производитель

Cisco Systems

Check Point

Элвис+

Symantec-AXENT

Network-1

Класс Гостехкомиссии
России

3,
разовая
сертификация
(для Cisco PIX 520)

3
(сертификат на серию)

3
(сертификат на серию)

Нет

(4)
Готовится к сертификации
по

Используемая ОС (платформа)

ОС собственной разработки

Solaris
(SPARC), NT (x86), HP-UX (HP)

Solaris (SPARC)

Solaris (SPARC), NT
(x86), HP-UX (HP)

NT2000 (х86)

Уровень фильтрации

Сеансовый,
сетевой

Прикладной, сеансовый, сетевой

Прикладной, сеансовый, сетевой

Прикладной, сеансовый,сетевой

Прикладной, сеансовый, сетевой

Прозрачность для приложений

Прозрачен

Прозрачен

Прозрачен

Прозрачен

Прозрачен

Proxy

нет

нет

нет

telnet, riogin,
rsh, smtp, snmp, POP3,gopher, SSL, XI
1, SQL, Ip, nntp, RealAudio, ReatVideo, StreamWorks.VOOIive,
NetShow, LDAP

http, ftp,
RealAudio

Поддержка протоколов для
фильтрации

ftp, SMTP, archie, gopher, telnet,H.323, NetMeeting, InternetPhone, RealAudio

FTP.RPC,
Н.323, NetMeeting, VDOLive, NetShow, CU-SeeMe, MS Exchange, RealAudio, SQLNet.Vosaic, WebTheater.Win
Frame

rsh.smtp.snrnp, РОРЗ, gopher, SSL, XI I.SQL, Ip, nntp, RealAudio, RealVideo, StreamWorks.V DOIive,
NetShow, LDAP

FTP,RPC,H.323,
NetMeeting, VDOLive, NetShow, CU-SeeMe, MS Exchange,
RealAudio, SQLNel.Vosaic,
WebTheater, WinFrame

Более 1000 протоколов

Трансляция сетевыхадресов

Есть

Есть

Есть

Есть

Есть

Аутентифика­ция
пользователей

Secure, RADIUS, TACACS+.AXENT, CryptoCard

S/Key.SecurlO,
RADIUS,
TACACS,
TACACS+, Definder, OSPassword

RADIUS

SecurlD, RADIUS, TACACS, TACACS+, Definder, OSPassword

S/Key, SecurlD,
RADIUS


Продолжение табл. 3.9


Генерация отчетов

Текст

Бинарный формат

Текст

Текст

Текст,
бинарный
формат

Аутентифици-руемые
протоколы

ftp, http, telnet

Все

РорЗ

Все

ftp, http, telnet,
riogin

Реагирование
на попытки НСД

Есть

Есть

Есть

Есть

Есть

Централизован­ное
администриро­вание

Есть

Есть (отдельная
утилита)

Нет

Есть

Есть

Предельная произволительн

1 Гбит/с

100 Мбит/с

10 Мбит/с

Мбит/с

Мбит/с

Контекстный просмотр кода Java/ActiveX

Да

Да

Нет

Да

Да

Поддержка технологии Plug-and-Play

Есть

Невозможно

Нет

Есть

Есть

Лицензирова­ние

По количеству соединений (от 64 000 до 256 000 и выше)

На
25,50,250,500 клиентов и unlimited

На 50,100 IP и unlimited

На 25,50,250,500 клиентов и unlimited

На рабочие
станции -10,100, 250
клиентов. На корпоративные серверы — 1 , 5,10,15 серверов. На всю сеть — 100,500 сессий и unlimited

Рассмотрим возможные решения по организации безопасного подключения кор­поративной сети к Internet.
В современных условиях более 50% различных атак и попыток доступа к информа­ции осуществляется изнутри локальных сетей, в связи с чем классический «перимет-ровый» подход к созданию системы защиты корпоративной сети становится недоста­точно эффективным. О действительно защищенной от НСД сети можно говорить только при наличии в ней как средств защиты точек входа со стороны Internet, так и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Последнее наилучшим образом обеспечива­ют решения на основе распределенных или персональных межсетевых экранов.
Внутренние корпоративные серверы компании, как правило, представляют собой приложения под управлением операционной системы Windows NT/2000, Netware или, реже, семейства UNIX, например, Linux или BSD 4.0/4.1. По этой причине корпоратив­ные серверы становятся потенциально уязвимыми для различного рода атак. Так, напри­мер, широко распространенные серверы под управлением операционной системы Windows NT/2000 находятся выше стека протоколов сервера NT. Между тем, данная операционная система не проводит мониторинг и регистрацию событий в сети, не выяв­ляет подозрительную активность в ней и не блокирует множество входящих и исходящих соединений. Из-за недостатка функций контроля доступа и обнаружения вторже­ний становятся открытыми операционные системы корпоративных серверов, а соответ­ственно и их приложения, для различного рода атак, например, (Ping Flood, SYN Flood, IP Packet Fragmentation, TCP and UDP Port Spooring, Session Highjacking,
Oversized IP Packet Attacks), а также внедрения троянских коней и подбора пароля.
Даже если сервер компании защищен стандартными средствами, это не предотвра­тит попытки нарушения безопасности самой операционной системы. Если атакующий, используя DoS-атаку, блокирует сервер, автоматически блокируется и приложение. Как результат, компания несет убытки, связанные с нарушением работоспособности своей сети. Именно поэтому рассмотрим способы использующихся специальных за­щитных механизмов защиты серверов.
Простейшим классическим способом защиты внутренних серверов компании от внешних атак является установка Firewall, например, компании Checkpoint
или Cisco PIX компании Cisco, между серверами и Internet (правильной конфигурации большинство Firewall могут защитить внутренние
серверы от внешних злоумышленников, а некоторые из них могут даже выявлять и предотвращать атаки типа «отказ в обслуживании». Тем не менее, этот подход не ли­шен некоторых недостатков.
Когда корпоративные серверы защищены межсетевым экра-
ном, все правила контроля доступа и все верифицированные данные оказываются со­средоточенными в одном месте. Таким образом, Firewall становится «узким местом» и по мере возрастания нагрузки значительно снижается его производительность. Ко­нечно, Firewall можно дополнить программным обеспечением, балансирующим на­грузку (например, FloodGate компании Checkpoint) и многопроцессорными модуля­ми, но эти шаги только усложнят систему и повысят ее стоимость.
Альтернативой классической схеме является схема децентрализованной защиты кор­поративных серверов, основанная на установке продукта Firewall-1 компании Checkpoint или Cisco PIX компании Cisco перед каждым сервером (В результате того, что


Firewall становится выделенным ресурсом сервера, решается проблема «узкого места» и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети.
Однако и данный подход не лишен существенных недостатков. Система из десяти серверов потребовала бы десяти лицензированных конфигураций Firewall, работаю­щих на десяти аппаратных платформах с десятью операционными системами, требую­щими администрирования и обслуживания. Соответственно, на порядок возрастают величина издержек, сложность администрирования и частота отказов. Даже если учесть, что влияние отказа отдельного Firewall сокращается в результате демонтажа лишь одной системы вместо десяти, среднее время наработки на отказ для десяти продуктов firewall оказывается в десять раз хуже, чем для одного. Например, если в сервере происходит отказ аппаратного обеспечения, в среднем, один раз в двадцать месяцев, то при ис­пользовании десяти серверов этот промежуток времени сократится до двух.
Наиболее подходящим решением этой проблемы является размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта зада­ча решается путем использования распределенных или персональных межсетевых эк­ранов, например, CyberwallPLUS компании Network-1 (решения существенно дополняют функциональные возможности традици­онных экранов и могут использоваться для защиты как внутренних, так и Internet-серверов.
В отличие от традиционных продуктов Firewall, как правило, представляющих собой локальные «контрольные точки» контроля доступа к критическим информационным ре­сурсам корпорации, распределенные межсетевые экраны - это дополнительное программ­ное обеспечение, которое защищает корпоративные сервера, например Internet-сервер. Сравним традиционный и распределенный межсетевые экраны по таким показателям, как:
Webserver        ной защиты корпоративных серверов

Web Server защиты корпоративных серверов
□ эффективность;
□ простота установки;
□ управление;
□ производительность; О стоимость.
Результаты сравнения представлены в табл. 3.10.
Технология распределенных экранов появилась сравнительно недавно. Поэтому, чтобы более детально разобраться с работой и преимуществами данной технологии, рассмотрим одно из возможных решений.
Возьмем для примера межсетевые экраны CyberwallPLUS. Эти межсетевые экра­ны сочетают в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа. Они работают в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Несанкционированные действия, такие как попытки взлома и несанкционированного доступа, блокируются до перехода на уровень приложений сервера.
Основные преимущества распределенных Firewall для защиты Internet-серверов следующие:
G обеспечение безопасности входящего и исходящего графика на всех NIC, зак­репленных за сервером;
□ обеспечение масштабируемой архитектуры путем распространения безопасно­сти Firewall на многочисленные серверы;
устранение традиционного продукта Firewall как единственного места сбоев; О обеспечение недорогого, легкого в реализации и управлении решения безопас­ности (программное обеспечение сервера в сравнении с сетевым аппаратным обеспечением).
Важно, что межсетевой экран использует уникальную структу-
ру безопасности и, обеспечивая присутствие двух ее ключевых элементов (функций


Таблица 3.10. Сравнительные характеристики традиционных и распределенные межсетевых
экранов


Вид

 

 

Характеристика

 

экрана

 

 

 

 

 

 

Эффективность

Простота

Управле-

Производительность

Стоимость

 

 

установки

ние

 

 

 

Часто

Устанавли-

Управля-

Является устройством

Являются,

 

располагается по

вается как

ется

обеспечения межсетевого

как правило,

 

периметру сети,

часть конфи-

сетевым

обмена с фиксированным

системами с

 

обеспечивая

гурации

админи-

ограничением производи-

фиксирован-

 

лишь один слой

корпоратив-

страто-

тельности по пакетам в

ными

 

защиты. И если

ной сети

ром

секунду. Он не подходит для

функциями и

Традици-

этот единствен-

 

 

растущих серверных парков,

достаточно

онный

ный слой нару-

 

 

соединенных между собой

высокой

 

шен, система ока-

 

 

коммутированными местны-

стоимостью

 

зывается незащи-

 

 

ми сетями

(примерно от

 

щенной перед

 

 

 

$ 4500)

 

любыми атаками

 

 

 

 

 

Функционирует на

Представ-

Может

Позволяет производить

Представля-

 

уровне ядра

ляет собой

управля-

наращивание серверных

ет собой

 

операционной

программ-

ться либо

парков без ущерба принятой

программное

 

системы и надеж-

ное обес-

сетевым

политике безопасности. Не-

обеспечение,

 

но защищает

печение,

админи-

смотря на то что встроен-

которое

 

корпоративные

которое

страто-

ный Firewall в определенной

стоит, как

 

сервера, прове-

устанавли-

ром,либо

мере загружается с цен-

правило, от

 

ряя все входящие

вается и

пользо-

трального процессора хоста.

1/5 до 1/10

Распре-

и исходящие

удаляется

вателем

обработка правил безопас-

цены

делен-

пакеты

в считан-

локальной

ности распространяется на

традицион-

ный

 

ные минуты

сети

всех участников серверного

ных экранов

 

 

 

 

парка, допуская неограни-

 

 

 

 

 

ченный рост сети

 

контроля доступа к ресурсам сети и активного обнаружения вторжений), защищает операционную систему Windows NT от попыток нарушения защиты.
Ядро безопасности экрана CyberwallPlus-SV расположено между сетевой картой сервера и стеком протоколов — ниже, чем защищаемые приложения.
Для обеспечения безопасности NT-приложений, таких как корпоративные серве­ры, рекомендуется защитить доступ к ним через операционную систему. CyberwallPlus-SV позволяет закрыть все неиспользуемые порты, тем самым ограничивая доступ к NT-приложениям и сервисам. Те или иные сервисы могут иметь специфические сете­вые адреса для направления (входящий/исходящий) и для времени (дата, время Windows), которые задают базу правил контроля доступа.
Межсетевой экран CyberwallPlus-SVraraie обеспечивает активное обнаружение втор­жений для NT-системы, защищая ее от атаки сканирования. Наиболее легким путем нега­тивного воздействия на Internet-сервер является блокирование NT-сервера, на котором находится приложение. Обычно это делается посредством DoS-атаки, при которой поток пакетов, отправленных серверу, перегружает память и нарушает работоспособность сис­темы. Также примером нарушения защиты являются атаки типа Ping Flood и SYNFlood.
Другой способ нарушения защиты Internet-сервера — сканирование NT-сервера на наличие открытого порта или «backdoor». Обычно это называется сканированием ТСР-или1ГОР-портов.
CyberwallPlus-SVпредотвращает DoS-атаки и сканирование портов, конфигурируя систему безопасности: например, ограничивая число обращений к серверу за некото-


рый отрезок времени. Установки также определяют количество портов, которые мо­гут быть использованы (опробованы) в течение определенного отрезка времени. Если эти условия нарушаются, CyberwallPtus-SV может прервать соединение, записать на­рушение и сообщить о нем администратору по электронное почте. В результате дос­туп к корпоративным серверам для различного рода злоумышленников надежно бло­кируется.
Таким образом, межсетевые экраны CyberwallPlus обеспечивают дополнительный уровень защиты платформ под управлением операционной системы Windows NT/2000, на которых установлены корпоративные приложения, например Internet-сервер. Кро­ме того, CyberwallPlus-SV может также предотвратить применение атак известных типов для вторжений на критичные серверы компании и сообщить администратору
безопасности о подозрительной деятельности в сети.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика