E-mail: kostroff@mail.ru


Межсетевой экран – необходимое средство защиты.

Костров Д.В.
CSO ЗАО «МТТ»
CCSP
CCSA
Тема о применении межсетевых экранов, я полагал, уже давно изучена. Необходимость установки устройства типа межсетевой экран (МЭ) при подключении офисный сетей (Интранет) к сетям связи общего пользования ( например Интернет) уже не подлежит обсуждению. Практически все уже понимают, что входную дверь квартиры лучше иметь железную, а лучше вывести еще и сигнализацию на ближайший пост милиции, и ни кто это не обсуждает. Однако на самом деле все сложнее.
Работаю по направлению аудита информационной безопасности коммерческой информации компаний в Москве, одним этапом которого является проверка возможности обхода системы защиты ( ранее назывался «white hack»), был сильно озадачен тем, что очень многие компании не устанавливают межсетевые экраны, наивно полагаю, что их должен защищать провайдер.
При этом в московских компаниях, специалисты ИТ, которых ходят на семинары и конференции я был более уверен, чем в региональных.
Выезжая в регионы для проведения семинаров по безопасности сталкивался с непониманием необходимости установки МЭ и очень часто со стороны руководства.
Именно этот факт привел к необходимости вспомнить старое и напомнить, что такое МЭ, для чего он нужен и какие наиболее известные МЭ есть на рынке средств защиты.

Межсетевой экран (МЭ) можно определить, как систему или комбинацию систем, позволяющих разделить сеть на две или более частей и реализовать набор правил, определяющие условия прохождения сетевых пакетов из одной части в другую. При этом МЭ пропускает через себя весь трафик, проходящий между сетями(сегментами) и для каждого проходящего пакета принимает решение пропускать его или отбросить.
Все межсетевые экраны обычно разделяют на три основных типа:
•пакетные фильтры (packet filter);
•серверы уровня соединения (circuit gateways);
•серверы прикладного уровня (application gateways).
Все типы могут одновременно реализовываться встретиться в одном МЭ.

Фильтры пакетов
Межсетевые экраны с пакетными фильтрами принимают решение о том, пропускать пакет или отбросить, просматривая в заголовке этого пакета IP-адреса, флаги или номера TCP-портов, при этом IP-адрес и номер порта - это информация соответственно сетевого и транспортного уровней, но пакетные фильтры также используют и информацию прикладного уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта).

Сервер уровня соединения
Сервер уровня соединения представляет из себя транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на МЭ, который производит соединение с портом назначения в другом защищаемом сегменте. Как правило, точка назначения задается заранее, в то время как источников может быть много. Данный тип МЭ позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. Частным применением сервера уровня соединения может быть организация виртуальных частных сетей (VPN - Virtual Private Network).

Серверы прикладного уровня
Межсетевые экраны этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP, SMTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису. Использование данного типа МЭ позволяет скрыть от внешних пользователей структуру и трафик локальной сети.

В России существуют два документа, согласно которым можно разделять МЭ по классам, согласно их функциональности:

1. Требования Гостехкоммиссии РФ от 25 июля 1997 года.
«Руководящий документ. Средства вычислительной техники.
Межсетевые экраны.Защита от НСД к информации. Показатели защищенности от НСД к информации».

Цель – классификация МЭ по уровню защищенности от НСД к информации на базе перечня показателей защищенности и совокупности описывающих их требований.
МЭ – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей а Автоматизированные системы (АС) иили выходящей из АС , и обеспечивают защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятии решения о ее распространении в (из) АС.
Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
5 класс – применяется для безопасного взаимодействия АС класса 1 Д с внешней средой, 4 класс - для 1 Г, 3 класс- для 1В, 2 класс - для 1 Б, 1 1 класс- для 1 А.

2. Временные требования ФАПСИ от 1998 года.
«Временные требования к устройствам типа Межсетевой экран».
Цель – классификация МЭ по уровню защищенности от НСД к информации на основе классификационных таблиц свойств МЭ и защищаемой АС. Как дополнение.
МЭ – локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, которая циркулирует между отдельными подсистемами обработки информации внутри АС иили между АС и обеспечивают защиту АС посредством фильтрации информации, т.е. Ее анализа по совокупности критериев и принятии решения о ее распространении в (из) АС.
Устанавливается пять классов защищенности МЭ.
Каждый класс характеризуется определенной минимальной совокупностью требований по защите информации.
Для защиты информации в АС, содержащих
криптографические средства, аттестованные
по уровню «С» - должны применяться МЭ не ниже 5 класса.
Для уровня «В» - не ниже 4 класса,
Для уровня «А» - не ниже 3 класса.


Кроме указанной выше существуют другие классификации МЭ. Так например МЭ делят на два класса:
- МЭ уровня приложений (прокси),
- МЭ сетевого уровня (пакетные фильтры).
МЭ уровня приложений работают по следующей схеме – если соединение между компьютером во Интранет и компьютером в Интернет разрешено, то МЭ запускает процесс, эмулирующий приложение по которому идет вызов. Далее МЭ устанавливает соединения между этими двумя компьютерами и работает как «посредник».
МЭ сетевого уровня проверяют данные, передаваемые на сетевом уровне (пакеты). Пакеты пропускаются или блокируются исходя из разработанных правил.
Можно встретить и следующую классификацию:
- однокомпонентные МЭ,
- распределенные МЭ.
Также существуют:
- аппаратно-программные МЭ,
- программные МЭ.
На рынке существует множество готовых устройств и программ, реализующих функцию МЭ, а также, есть специализированные программы на основе бесплатных ОС Linux или FreeBSD, из которых опытный пользователь может самостоятельно собрать МЭ.
В качестве примера готового устройства можно привести 3Com OfficeConnect Internet Firewall компании 3Com Corporation, который представляет из себя небольшое устройство с несколькими портами для подключения к внешней и внутренней сети. Настраивается этот Firewall через любой Интернет-браузер. Примером готовой программы может служить eTrust Firewall компании Computer Associates International, Inc. eTrust Firewall, наряду с выполнением стандартных функций Firewall, позволяет:
- Управлять несколькими Firewall из единого интерфейса.
- Использовать существующую информацию о легальных пользователях NT или RADIUS серверов.
- Применять готовые фильтры для популярных сетевых служб, таких как FTP, RealAudio и др.
- Информировать администратора о внештатных ситуациях, посылая сообщения на пейджер или факс.
Однако в России наибольшую известность получили МЭ компании CISCO и Сheckpoint.
Компания CISCO предлагает на рынок целую линейку МЭ. Это МЭ СISCO Secure PIX (Private Internet exchange) 501, 506Е, 515Е, 525, 535, а также специализированную версию IOS (Cisco integrated firewall) и программный МЭ, работающий с Cisco VPN Client.
Согласно документам компании СISCO МЭ – это маршрутизатор или сервер доступа или множество маршрутизаторов или серверов доступа, работающих как буфер между соединенными открытыми сетями и защищенной сетью. МЭ использует списки доступа или иные методы для обеспечения безопасности защищаемой сети. При этом МЭ обычно имеет три интерфейса, один соединяется с внешней сетью, второй с защищаемой сетью, а третий используется в качестве так называемой «демилитаризованной зоны».
Согласно классификации компании CISCO МЭ делятся на три типа:
- пакетные фильтры,
- прокси фильтры,
- фильтры, использующие технологию stateful.
Cisco Secure PIX относится к третьему типу. Смысл данного типа сводится к следующему – данные фильтры записывают и сохраняют информацию о каждой сессии, проходящей через МЭ. Каждый раз, когда устанавливается IP соединение информация собирается в специальных таблицах – stateful session flow table. Данная таблица содержит информацию об адресах источника и получателя, номера портов, информацию о TCP последовательностях и дополнительные флаги TCP/UDP соединений. Как только сессия установилась через МЭ, собирается указанная таблица и все последующие пакеты будут анализироваться исходя их данные таблицы.
В части управления компания в 6-й версии ОС PIX добавила специализированный программный модуль PDM (PIX device manager), который записывается во флэш память МЭ и позволяет управлять с любого рабочего места по протоколу https. Последняя версия на данный момент 6.3 и PDM 3 beta. Также многие используют режим командной строки при настройки и СSPM (Cisco Secure Police Manager).
Некоторые данные МЭ фирмы CISCO:

№ 506 515 520 525 535
Размер (rack unit) 1 1 3 2 3
Процессор, МГц 200 200 350 600 1ГГц
Макс. интерфейсов 2 6 6 8 10
Режим «горячего резервирования» failover нет да да да да
Соединения 400 125,000 250,000 280,000 500,000

МЭ от компании Checkpoint можно определить, как мощный программный МЭ с возможностью распределенной установки на сети. Хотя это не совсем точно, существует аппаратно-программный МЭ – плод совместной работы компаний Сheckpoint и Nokia.
Последняя на настоящее время версия МЭ – Checkpoint VPN-1/Firewall-1 NG FP-3 Management 1.

Firewall Types.
1. Packet filtering firewall (screening router) – еще называется First generation firewall и работает на Network or Transport Layer.2. Application Level Firewall (Proxy server) – еще называется Second generation firewall и работает на Application Layer. Разновидность – Circuit Level Firewall.
3. Stateful Inspection Firewall - еще называется Third generation firewall.
4. Dynamic Packet Filtering Firewall - еще называется Fourth generation firewall. Разработан для поддержки UDP соединений.
5. Kernel Proxy - еще называется Fifth generation firewall.
Firewall Architectures
1. Packet-filtering Routers (boundary router) – самый старый тип МЭ. 2. Screened-Host Firewall Systems – состоит из packet-filtering router и bastion host (sacrificial host).
3. Dual-Homed Host Firewalls – компьютер с двумя сетевыми платами.
4. Screened-Subnet Firewalls ( with DMZ) – состоит из двух packet-filtering router и одного bastion host (sacrificial host), к которому подсоединена DMZ.
5. «SOCKS» server – circuit-level proxy server. Требуется установка специального ПО на клиентов (SOCKS client software).


При этом необходимо отметить, что компания Checkpoint продвигает не просто МЭ, а целую архитектуру SVN (Secure Virtual Network), ключевым компонентом которой и является Checkpoint VPN-1/Firewall-1.
Согласно определению компании Checkpoint МЭ – система, разработанная для защиты от несанкционированного доступа в или из защищаемых сетей. МЭ работает как дверь между открытыми сетями и защищенными.
Типы МЭ :
- устаревшие ( фильтры пакетов и шлюзы приложений-прокси),
- новый (stateful inspection).
Checkpoint VPN-1/Firewall-1 поддерживает технологию stateful inspection. МЭ в этом случае должен:
- анализировать информацию в пакете от уровня 3 до 7 уровня модели OSI,
- «помнить» какие пакеты проходили,
- «помнить» какой пользователь уже аутентифицирован и допускать его только к разрешенным сервисам,
- иметь возможность манипулировать информацией в пакете и т.п.
При этом должны быть проанализированы:
- заголовок пакета (адрес источника и получателя, протокол, порт источника и получателя, длина пакета),
- информация о состоянии соединения,
- номер ТСР последовательности и номер фрагмента при IP фрагментировании,
- тип приложения, верификация контекста,
- какой интерфейс МЭ был задействован для передачи и приема информации,
- информация 2-го уровня (например ID VLAN),
- дата и время отправки пакета и его получения и т.п.

Hosted by uCoz