Интенсивное развитие глобальных компьютерных сетей, появление новых технологий поиска информации привлекают все большее внимание частных лиц и различных организаций к сети Internet. Многие организации принимают решение об интеграции своих локальных и корпоративных сетей в глобальную сеть. Использование глобальных сетей в коммерческих целях, а также при передаче информации, содержащей сведения конфиденциального характера, влечет за собой необходимость построения эффективной системы защиты данных.
В настоящее время в России глобальные сети применяются для передачи коммерческой информации различного уровня конфиденциальности, например для связи с удаленными офисами из головной штаб-квартиры организации, или создания Web-страницы организации с размещенной на ней рекламой и деловыми предложениями.
Глобальная сеть Internet создавалась как открытая система, предназначенная для свободного обмена информацией. В силу открытости своей идеологии Internet предоставляет злоумышленникам значительно большие возможности по сравнению с традиционными информационными системами. Через Internet нарушитель может:
· вторгнуться во внутреннюю сеть предприятия и получить несанкционированный доступ к конфиденциальной информации;
· незаконно скопировать важную и ценную для предприятия информацию;
· получить пароли, адреса серверов, а подчас и их содержимое;
· входить в информационную систему предприятия под именем зарегистрированного пользователя и т.д.
С помощью полученной злоумышленником информации может быть серьезно подорвана конкурентоспособность предприятия и доверие его клиентов.
Ряд задач по отражению наиболее вероятных угроз для внутренних сетей способны решать межсетевые экраны. В отечественной литературе до последнего времени использовались вместо этого названия другие термины иностранного происхождения: брандмауэр и firewall. Вне компьютерной сферы брандмауэром (или firewall) называют стену, сделанную из негорючих материалов и препятствующую распространению пожара. В сфере компьютерных сетей межсетевой экран представляет собой барьер, защищающий от «фигурального пожара» – попыток злоумышленников вторгнуться во внутреннюю сеть для того, чтобы скопировать, изменить или удалить информацию либо воспользоваться памятью или вычислительной мощностью работающих в этой сети компьютеров. Межсетевой экран призван обеспечить безопасный доступ к внешней сети и ограничить доступ внешних пользователей к внутренней.
Межсетевой экран – это система межсетевой защиты, позволяющая разделить общую сеть на две части или более и реализовать набор правил, определяющих условия прохождения пакетов с данными через границу из одной части общей сети в другую (рис. 10.1). Как правило, эта граница проводится между корпоративной (локальной) сетью предприятия и глобальной сетью Internet, хотя ее можно провести и внутри корпоративной сети предприятия.
Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение – пропускать его или отбросить. Для того чтобы межсетевой экран мог осуществить это, ему необходимо определить набор правил фильтрации.
Межсетевой экран является одним из основных компонентов виртуальной частной сети. Несмотря на то, что система IPSec (Internet-протокол безопасного межсетевого обмена) поддерживает множество интегрированных возможностей аутентификации, межсетевой экран остается важным средством защиты корпоративной сети от несанкционированного доступа.
Обычно межсетевые экраны защищают внутреннюю сеть предприятия от вторжений из глобальной сети, однако могут использоваться и для защиты от нападений из корпоративной интрасети, к которой подключена локальная сеть предприятия. Ни один межсетевой экран не может гарантировать полной защиты внутренней сети при всех возможных обстоятельствах. Однако для большинства коммерческих организаций установка межсетевого экрана – необходимое условие обеспечения безопасности внутренней сети. Главный довод в пользу применения межсетевого экрана состоит в том, что без него системы внутренней сети подвергаются опасности со стороны слабо защищенных служб сети Internet, а также зондированию и атакам с каких-либо других компьютеров внешней сети.
Проблемы недостаточной информационной безопасности являются «врожденными» практически для всех протоколов и служб Internet.
Набор протоколов управления передачей сообщений в Internet (Transmission Control Protocol/Internet Protocol – TCP/IP) используется для организации коммуникаций в неоднородной сетевой среде, обеспечивая совместимость между компьютерами разных типов. Совместимость – одно из основных преимуществ TCP/ IP, поэтому большинство локальных компьютерных сетей поддерживает эти протоколы. Кроме того, протоколы TCP/IP предоставляют доступ к ресурсам глобальной сети Internet. Поскольку TCP/IP поддерживает маршрутизацию пакетов, он обычно используется в качестве межсетевого протокола. Благодаря своей популярности TCP/IP стал стандартом де-факто для межсетевого взаимодействия.
В заголовках пакетов TCP/IP указывается информация, которая может подвергнуться нападениям хакеров. В частности, хакер может подменить адрес отправителя в своих «вредоносных» пакетах, после чего они будут выглядеть как пакеты, передаваемые авторизированным клиентом.
Решение о том, фильтровать ли с помощью межсетевого экрана конкретные протоколы и адреса, зависит от принятой в защищаемой сети политики безопасности. Межсетевой экран представляет собой набор компонентов, настраиваемых таким образом, чтобы реализовать выбранную политику безопасности. В частности, необходимо решить, будет ли ограничен доступ пользователей к определенным службам Internet на базе протоколов TCP/IP, и если будет, то до какой степени.
Политика сетевой безопасности каждой организации должна включать две составляющие:
· политику доступа к сетевым сервисам;
· политику реализации межсетевых экранов.
Политика доступа к сетевым сервисам должна быть уточнением общей политики организации в отношении защиты информационных ресурсов в организации. Для того чтобы межсетевой экран успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Таковой считается политика, при которой найден гармоничный баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к сетевым сервисам.
В соответствии с принятой политикой доступа к сетевым сервисам определяется список сервисов Internet, к которым пользователи должны иметь ограниченный доступ.
Задаются также ограничения на методы доступа, например, на использование протоколов SLIP (Serial Line Internet Protocol) и РРР (протокол двухточечного соединения). Ограничение методов доступа необходимо для того, чтобы пользователи не могли обращаться к «запрещенным» сервисам Internet обходными путями. Например, если для ограничения доступа в Internet сетевой администратор устанавливает специальный шлюз, который не дает возможности пользователям работать в системе WWW, им не удастся установить РРР-соединение с Web-серверами по коммутируемой линии.
Межсетевой экран может реализовывать ряд политик доступа к сервисам. Однако обычно политика доступа к сетевым сервисам основана на одном из следующих принципов:
· запретить доступ из Internet во внутреннюю сеть и разрешить доступ из внутренней сети в Internet;
· разрешить ограниченный доступ во внутреннюю сеть из Internet, обеспечивая работу только отдельных «авторизированных» систем, например информационных и почтовых серверов.
В соответствии с политикой реализации межсетевых экранов определяются правила доступа к ресурсам внутренней сети. Прежде всего необходимо установить, насколько «доверительной» или «подозрительной» должна быть система защиты. Иными словами, правила доступа к внутренним ресурсам должны базироваться на одном из следующих принципов:
1) запрещать все, что не разрешено в явной форме;
2) разрешать все, что не запрещено в явной форме.
Межсетевой экран, который реализует первый принцип, по умолчанию запрещает все сервисы, кроме тех, которые указаны в списке разрешенных. Этот принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности. Реализация межсетевого экрана на основе данного принципа обеспечивает значительную защищенность. Однако правила доступа, сформулированные в соответствии с ним, могут доставлять большие неудобства пользователям; кроме того, их реализация обходится достаточно дорого.
Межсетевой экран, который реализует второй принцип, пропускает все сервисы в сеть по умолчанию, если только какой-либо сервис не был явно указан в политике управления доступом как запрещенный. Реализация второго принципа менее желательна, так как она предоставляет пользователям больше способов обойти межсетевой экран, например пользователи могут получить доступ к новым сервисам, не запрещаемым политикой (или даже не указанным в политике), или запустить запрещенные сервисы на нестандартных портах TCP/UDP, которые не запрещены политикой. При реализации второго принципа внутренняя сеть оказывается менее защищенной от нападений хакеров, хотя пользоваться ей будет удобнее и потребуется меньше затрат.
Эффективность защиты внутренней сети с помощью межсетевых экранов зависит не только от выбранной политики доступа к сетевым сервисам и ресурсам внутренней сети, но и от рациональности выбора и использования основных компонентов межсетевого экрана.
Функциональные требования к межсетевым экранам охватывают следующие сферы:
· фильтрацию на сетевом уровне;
· фильтрацию на прикладном уровне;
· настройку правил фильтрации и администрирование;
· средства сетевой аутентификации;
· внедрение журналов и учет.