Архитектура Аудит Военная наука Иностранные языки Медицина Металлургия Метрология Образование Политология Производство Психология Стандартизация Технологии |
Защита каналов связи в Internet
В июле 1997 г. вышел руководящий документ " Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа" Гостехкомиссии при Президенте РФ (полный текст можно найти в информационном бюллетене " Jet Info" № 17-18 1997 г. и на узле http: //www.infotecs.ru/gtc/RD_ekran.htm ). В этом документе дана классификация МЭ в зависимости от степени обеспечиваемой ими защиты от НСД. Определение самого МЭ таково: МЭ - это локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и/или выходящей из АС, и обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС. Устанавливается пять классов защищенности МЭ: 5 (самый низкий) — применяется для безопасного взаимодействия АС класса 1 Д с внешней средой, 4 — для 1 Г, 3 — 1 В, 2 — 1 Б, 1 (самый высокий) — для 1А. (Напомним, что Гостехкомиссией РФ установлено девять классов защищенности АС от НСД, каждый из которых характеризуется определенной совокупностью требований к средствам защиты. Классы подразделяются на три группы, отличающиеся спецификой обработки информации. Класс с цифрой " 1" включает многопользовательские АС, в которых одновременно обрабатывается и/или хранится информация разных уровней конфиденциальности, и не все пользователи имеют равные права доступа.) В [2] приведена некоторая справочная информация, где даны описания нескольких систем МЭ. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований: 1) автоматизированная система разграничения доступа Black Hole (Milkyway Networks) версии BSDI-OS; 2) средство защиты от НСД в сетях передачи данных по протоколу TCP/IP " ПАНДОРА" на базе Gauntlet 3.1.Н (Trusted Information Systems) и компьютера 02 (Silicon Graphics) под управлением IRIX 6.3; 3) аппаратно-программный комплекс " Застава-Джет" компании Jet Infosystems и ЦНИИ-27 Министерства обороны РФ; 4) МЭ " Застава" FortE+ фирмы ЭЛВИС+; 5) партия средств программного обеспечения межсетевого экрана FireWall-1 фирмы Checkpoint Software Technologies; 6) комплекс защиты информации от НСД " Data Guard/24S"; 7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4; 8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software; 9) партия из 20 экземпляров МЭ " Cyber Guard" версия 4.0, позволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay; 10) Firewall/Plus фирмы Network-1 Software and Technologies. Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http: //www.icsa.net. Ниже более подробно описаны функции одного из них. Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера 02 фирмы Silicon Graphics под управлением IRIX 6.3 надежно решает проблему безопасности сети и позволяет: • скрыть от пользователей глобальной сети структуру интрасети (IP-адреса, доменные имена и т.д.); • определить, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться; • описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису; • получить полную статистику по использованию сервисов, попыткам НСД, графику через ПАНДОРУ и т.д. ПАНДОРА устанавливается на компьютер с двумя Ethernet-интерфейсами на выходе между интраеетью и сетью общего пользования. ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Riogin (терминалы); FTP (передача данных); SMTP, POP3 (почта); HTTP (WWW); Gopher; XI 1 (X Window System); LP (сетевая печать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безопасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сервер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос. Для аутентификации пользователей ПАНДОРА позволяет применять следующие схемы аутентификации: · обычный Unix-пароль; · S/Key, MDauth (одноразовые пароли). · РОРЗ-ргоху дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля. · FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.) · HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д. Система сбора статистики и генерации отчетов позволяет собрать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе. ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО. Прозрачный режим работы proxy-серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ). Система контроля целостности позволяет контролировать безопасность модулей самой системы. Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ. ПАНДОРА поставляется вместе с исходными текстами основных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает. ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификат N 73 выдан 16 января 1997 г. и действителен до 16 января 2000 г: " ...система защиты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран " ПАНДОРА" (ТУ N 1-97) на базе межсетевого экрана " Gauntlet" версии 3.1.Н..., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня защищенности участка интрасети, соответствует техническим условиям № 1-97 и требованиям Руководящего документа Гостехко-миссии России " Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в части администрирования для класса ЗБ". Задача выбора МЭ для каждого конкретного применения -это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанкционированное вторжение. Однако, учитывая широкий спектр необходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело. В действительности, мерой эффективности МЭ служит вовсе не его способность к отказу в предоставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкционированы без ненужного замедления работы системы.[2] И в заключение данного раздела приведем некоторые рекомендации по выбору МЭ, которые выработала Ассоциация " Конфидент". 1). Цена. Она колеблется существенно — от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в среднем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значительными и соизмеримыми со стоимостью самого МЭ — например, как в случае использования компьютеров Sun под управлением ОС Solaris. Поэтому с точки зрения экономии разумно применять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novel 1 NetWare. 2). Фильтрация. Большинство МЭ работает только с семейством протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ применяется в классическом варианте — для контроля графика между интрасетью и Internet. Но в России, согласно имеющейся статистике, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необходимой для внутреннего МЭ является способность фильтрации на уровне соединения — например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих продуктах (например. Firewall Plus и Eiron Firewall). 3). Построение интрасети — при объединении сети организации с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много возможностей, имеется в Netware: службы каталогов, управления, печати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft. 4). Простота эксплуатации. Чтобы снизить текущие эксплуатационные расходы, лучше отдать предпочтение простым в эксплуатации продуктам с интуитивно понятным графическим интерфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответствуют два продукта — Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.
|
Последнее изменение этой страницы: 2020-02-17; Просмотров: 165; Нарушение авторского права страницы