Безопасность информационных систем. Учебное пособие
Шрифт:
Используемые межсетевые экраны должны иметь следующие основные требования:
• высокая надежность, обеспечивающаяся как работой на уровне фильтрации сетевых пакетов, так и на уровне приложений;
• централизованное управление работой нескольких фильтрующих модулей;
• возможность работы с любым сетевым сервисом, как стандартным, так и определенным пользователем;
• возможность фильтрации UDP пакетов;
• возможность управления фильтрами маршрутизаторов компаний Bay Networks и CISCO;
• высокая эффективность работы: использование Firewall-1
• полная прозрачность работы сервисов и приложений для пользователей;
• дополнительная аутентификация клиентов для большого набора сервисов;
• дружественный интерфейс, позволяющий легко перестраивать правила фильтрации, описывая их в терминах политики безопасности;
• для каждого правила (политики доступа) могут быть определены условия протоколирования, оповещения администратора либо иной реакции системы;
• средства проверки правил работы фильтра на внутреннюю непротиворечивость;
• средства мониторинга состояния компонент системы, позволяющие своевременно обнаружить попытку нападения на нее;
• средства детального протоколирования и генерации отчетов;
• трансляция адресов локальной сети, позволяющая реализовать как дополнительную защиту компьютеров локальной сети, так и более эффективное использование официального набора IP-адресов;
• простота установки и администрирования.
Аппаратное обеспечение и компоновка системы безопасности
В конфигурации firewall с экранирующей подсетью создается дополнительный сетевой сегмент, который размещается между Internet и локальной сетью организации. В типичном случае эта подсеть изолируется маршрутизаторами, выполняющими роль фильтров.
Экранирующая подсеть конфигурируется таким образом, чтобы обеспечить доступ к компьютерам подсети как из внешних сетей, так и изнутри. Прямой обмен информационными пакетами между внешними и защищенными сетями невозможен. Экранирующий шлюз является единственной точкой, к которой возможен доступ извне. Это предельно сужает зону риска, состоящую из шлюза и всех маршрутизаторов, осуществляющих связь между экранирующими подсетями, внешними сетями и закрытой локальной сетью. При атаке системы с экранирующей подсетью необходимо преодолеть минимум три независимых линии защиты, что является весьма сложной задачей. Средства мониторинга состояния компонент межсетевого экрана практически неизбежно обнаруживают подобную попытку. Администратор системы своевременно может предпринять необходимые действия по предотвращению несанкционированного доступа. В большинстве случаев работа экранирующей подсети очень сильно зависит от комплекта программного обеспечения, установленного на компьютере-шлюзе.
Компьютер-шлюз с программным обеспечением, несущим основную нагрузку, связанную с реализацией политики безопасности, является ключевым элементом межсетевого экрана. Он должен удовлетворять требованиям:
• быть физически защищенным;
• иметь средства
• иметь средства защиты на уровне операционной системы, разграничивающие доступ к ресурсам системы;
• операционная система компьютера должна запрещать привилегированный доступ к своим ресурсам из локальной сети;
• операционная система компьютера должна содержать средства мониторинга (аудита) любых административных действий.
Работа удаленных пользователей, подключаемых через коммутируемые линии связи, должна контролироваться в соответствии с политикой безопасности, проводимой в организации. Так как телефонные линии невозможно держать под контролем, необходимы дополнительные средства аутентификации пользователей. Каждый из легальных пользователей должен иметь возможность доступа к нужным ресурсам.
Типовое решение этой задачи – установка терминального сервера, который обладает необходимыми функциональными возможностями. Необходимо использовать сетевой терминальный сервер с несколькими асинхронными портами и одним интерфейсом локальной сети. Обмен информацией между асинхронными портами и локальной сетью, осуществляется только после соответствующей авторизации и аутентификации внешнего пользователя.
Программное обеспечение терминального сервера должно предоставлять возможности администрирования и контроля сеансов связи через коммутируемые каналы.
Программа Firewall устанавливается на компьютер-шлюз и выполняет основные функции экранирования межсетевого доступа. Структурно Firewall представляет собой административный модуль, управляющий набором модулей фильтров, установленных соответственно на маршрутизаторах, компьютере и при необходимости на выделенных серверах внутри локальной сети. Необходимо установка модулей фильтрации Firewall на компьютер-шлюз и маршрутизаторы экранирующей подсети.
Работа с программой Firewall состоит из следующих этапов:
• выработка правил фильтрации в соответствии с политикой безопасности предприятия;
• определение сетевых объектов, взаимоотношение которых регламентируется правилами фильтрации;
• определение набора используемых сервисов либо на основе встроенной базы данных, имеющей значительный набор TCP/IP сервисов, либо определяя собственные сервисы, используемые в организации;
• определение базы данных пользователей с указанием возможных рабочих мест, времени работы и порядок аутентификации;
• определение правил фильтрации в интерфейсе Firewall;
• проверка внутренней непротиворечивости набора правил фильтрации;
• компиляция фильтра и его установка на фильтрующих модулях;
• анализ протоколов работы для проверки адекватности политики безопасности предприятия.
Дополнительно включается трансляция адресов. Высокая производительность Firewall и прозрачность программы для пользователей позволяет эффективно использовать его как инструмент межсетевого экранирования в соответствии с политикой безопасности предприятия.