Защита каналов связи в Internet

 

В июле 1997 г. вышел руководящий документ " Средства вы­числительной техники. Межсетевые экраны. Защита от несанк­ционированного доступа к информации. Показатели защищенно­сти от несанкционированного доступа" Гостехкомиссии при Пре­зиденте РФ (полный текст можно найти в информационном бюл­летене " Jet Info" № 17-18 1997 г. и на узле http: //www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это ло­кальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, по­ступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации ин­формации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС.

Устанавливается пять классов защищенности МЭ: 5 (самый низкий) — применяется для безопасного взаимодействия АС клас­са 1 Д с внешней средой, 4 — для 1 Г, 3 — 1 В, 2 — 1 Б, 1 (самый вы­сокий) — для 1А. (Напомним, что Гостехкомиссией РФ установ­лено девять классов защищенности АС от НСД, каждый из кото­рых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отли­чающиеся спецификой обработки информации. Класс с цифрой " 1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней кон­фиденциальности, и не все пользователи имеют равные права дос­тупа.)

В [2] приведена некоторая справочная информация, где даны описания не­скольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:

1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS;

2) средство защиты от НСД в сетях передачи данных по про­токолу TCP/IP " ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3;

3) аппаратно-программный комплекс " Застава-Джет" компа­нии Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;

4) МЭ " Застава" FortE+ фирмы ЭЛВИС+;

5) партия средств программного обеспечения межсетевого эк­рана FireWall-1 фирмы Checkpoint Software Technologies;

6) комплекс защиты информации от НСД " Data Guard/24S";

7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;

8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;

9) партия из 20 экземпляров МЭ " Cyber Guard" версия 4.0, по­зволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;

10) Firewall/Plus фирмы Network-1 Software and Technologies.

Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http: //www.icsa.net. Ниже более подробно описаны функции одного из них.

Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно ре­шает проблему безопасности сети и позволяет:

• скрыть от пользователей глобальной сети структуру интра­сети (IP-адреса, доменные имена и т.д.);

• определить, каким пользователям, с каких хостов, в на­правлении каких хостов, в какое время, какими сервисами можно пользоваться;

• описать для каждого пользователя, каким образом он дол­жен аутентифицироваться при доступе к сервису;

• получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д.

ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего поль­зования.

ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта);

HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая пе­чать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безо­пасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сер­вер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.

Для аутентификации пользователей ПАНДОРА позволяет при­менять следующие схемы аутентификации:

· обычный Unix-пароль;

· S/Key, MDauth (одноразовые пароли).

· РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.

· FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.)

· HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.

Система сбора статистики и генерации отчетов позволяет со­брать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.

ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.

Прозрачный режим работы proxy-серверов позволяет внутрен­ним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).

Система контроля целостности позволяет контролировать безопасность модулей самой системы.

Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.

ПАНДОРА поставляется вместе с исходными текстами основ­ных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.

ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 ян­варя 1997 г. и действителен до 16 января 2000 г: " ...система защи­ты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран " ПАНДОРА" (ТУ N 1-97) на базе меж­сетевого экрана " Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня за­щищенности участка интрасети, соответствует техническим усло­виям № 1-97 и требованиям Руководящего документа Гостехко-миссии России " Автоматизированные системы. Защита от несанк­ционированного доступа к информации. Классификация автомати­зированных систем и требования по защите информации" в части администрирования для класса ЗБ".

Задача выбора МЭ для каждого конкретного применения -это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанк­ционированное вторжение. Однако, учитывая широкий спектр не­обходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эф­фективности МЭ служит вовсе не его способность к отказу в пре­доставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкцио­нированы без ненужного замедления работы системы.[2]

И в заключение данного раздела приведем некоторые рекомен­дации по выбору МЭ, которые выработала Ассоциация " Конфидент".

1). Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в сред­нем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значи­тельными и соизмеримыми со стоимостью самого МЭ — напри­мер, как в случае использования компьютеров Sun под управлени­ем ОС Solaris. Поэтому с точки зрения экономии разумно приме­нять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare.

2). Фильтрация. Большинство МЭ работает только с семейст­вом протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ при­меняется в классическом варианте — для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статисти­ке, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необхо­димой для внутреннего МЭ является способность фильтрации на уровне соединения — например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих про­дуктах (например. Firewall Plus и Eiron Firewall).

3). Построение интрасети — при объединении сети организа­ции с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много воз­можностей, имеется в Netware: службы каталогов, управления, пе­чати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.

4). Простота эксплуатации. Чтобы снизить текущие эксплуа­тационные расходы, лучше отдать предпочтение простым в экс­плуатации продуктам с интуитивно понятным графическим ин­терфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответ­ствуют два продукта — Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.

 

⇐ Предыдущая1234Следующая ⇒

Поделиться: