3.1 Особливості функціонування міжмережевих екранів
Навряд чи потрібно перераховувати всі переваги, які отримує сучасне підприємство, маючи доступ до глобальної мережі Internet. Але, як і багато інших нові технології, вико-вання Internet має і негативні наслідки. Розвиток глобальних-них мереж призвело до багаторазового збільшення кількості поль-зователем і збільшення кількості атак на комп'ютери, подклю-нені до мережі Internet. Щорічні втрати, зумовлені недостатнім рівнем захищеності комп'ютерів, оцінюють-ся десятками мільйонів доларів. При підключенні до Internet ло-кальной або корпоративної мережі необхідно подбати про забезпечення інформаційної безпеки цієї мережі.
Глобальна мережа Internet створювалася як відкрита систе-ма, призначена для вільного обміну інформацією. У сі-лу відкритості своєї ідеології Internet надає для зло-умишленніков значно більші можливості в порівнянні з традиційними інформаційними системами. Через Internet на-руйнівник може:
- вторгнутися у внутрішню мережу підприємства і одержати не-санкціонований доступ до конфіденційної інформації;
- незаконно скопіювати важливу і 'цінну для підприємства ін-формацію;
- входити в інформаційну систему підприємства під ім'ям зареєстрованого користувача і т.д.
За допомогою отриманої зловмисником інформації може бути серйозно підірвана конкурентоспроможність підпри-ємства і довіру його клієнтів.
Ряд завдань по відображенню найбільш ймовірних загроз для внутрішніх мереж здатні вирішувати міжмережеві екрани. У вітчизняному-жавної літературі до останнього часу використовувалися вме-сто цього терміна інші терміни іноземного походження: брандмауер і firewall. Поза комп'ютерної сфери брандмауером (або firewall) називають стіну, зроблену з негорючих ма-лов і перешкоджає поширенню пожежі. У сфері комп-ютерної мереж міжмережевий екран являє собою бар'єр, що захищає від фігурального пожежі - спроб зловмисників вторгнутися у внутрішню мережу для того, щоб скопіювати, через нити або стерти інформацію або скористатися пам'яттю або обчислювальною потужністю працюючих в цій мережі комп'ютерах теров. Міжмережевий екран покликаний забезпечити безпечний доступ до зовнішньої мережі та обмежити доступ зовнішніх користувачів до внут-ренней мережі.
Міжмережевий екран (МЕ) - це система міжмережевий защи-ти, що дозволяє розділити загальну мережу на дві частини або більш і реалізувати набір правил, що визначають умови проходження пакетів з даними через кордон з однієї частини загальної мережі в іншу (рис. 8.1). Як правило, ця межа проводиться між корпоративної (локальної) мережею підприємства і глобальною мережею Internet, хоча її можна провести і всередині корпоративної мережі підприємства. МЕ пропускає через себе весь трафік, приймаючи для кожного пакету, що рішення - пропускати його або відкинути. Для того щоб МЕ міг здійснити це, йому необ-обхідно визначити набір правил фільтрації.
Зазвичай міжмережеві екрани захищають внутрішню мережу підприємства від "вторгнень" з глобальної мережі Internet, однак вони можуть використовуватися і для захисту від "нападів" з корпоративної інтрамережі, до якої підключена локальна мережа підприємства. Жоден міжмережевий екран не може гарантувати повного захисту внутрішньої мережі при всіх можливих обставин. Однак для більшості комерційних організацій установка брандмауера є необхідною умовою забезпе-ня безпеки внутрішньої мережі. Головний аргумент на користь при-трансформаційних змін брандмауера полягає в тому, що без нього системи внутрішньої мережі наражаються на небезпеку з боку слабо защи-щенних служб мережі Internet, а також зондування і атакам з ка-ких-небудь інших хост-комп'ютерів зовнішньої мережі.
Малюнок 8.1. Схема встановлення брандмауера
Проблеми недостатньої інформаційної безпеки є "вродженими" практично для всіх протоколів і служб Internet. Велика частина цих проблем пов'язана з историче-ської залежністю Internet від операційної системи UNIX. Через Вестн, що мережа Arpanet (прабатько Internet) будувалася як мережа, що зв'язує дослідні центри, наукові, військові та урядові установи, великі університети США. Ці структури використовували операційну систему UNIX в якості платформи для комунікацій і вирішення власних завдань. По-цьому особливості методології програмування в середовищі UNIX і її архітектури наклали відбиток на реалізацію протоколів обміну і політики безпеки в мережі. Через відкритості і рас-рення система UNIX стала улюбленою здобиччю хакерів. Тому зовсім не дивно, що набір протоколів TCP / IP, який забезпечує комунікації в глобальній мережі Internet і в які отримують все більшу популярність інтрамережі, має "врож-денние" недоліки захисту. Те ж саме можна сказати і про ряд служб Internet.
Набір протоколів управління передачею повідомлень в Internet (Transmission Control Protocol / Internet Protocol - TCP / IP) ис-користується для організації комунікацій в неоднорідній сеті-вої середовищі, забезпечуючи сумісність між комп'ютерами раз-них типів. Сумісність - одна з основних переваг TCP / IP, тому більшість локальних комп'ютерних мереж підтримує ці протоколи. Крім того, протоколи TCP / IP пре-доставляють доступ до ресурсів глобальної мережі Internet. Оскільки TCP / IP підтримує маршрутизацію пакетів, він зазвичай викорис-зуется як мережевого протоколу. Завдяки своїй попу-лярность TCP / IP став стандартом де-факто для міжмережевої взаємодії.
Відзначимо "вроджені слабкості" деяких поширеною-наних служб Internet.
Протокол передачі файлів (File Transfer Protocol - FTP) забезпечує передачу текстових і двійкових файлів, тому його часто використовують в Internet для організації спільного доступу до інформації. Його зазвичай розглядають як один з методів роботи з віддаленими мережами. На FTP-серверах зберігаються документи, програми, графіка та інші види інформації. До даних цих файлів на FTP-серверах можна звернутися безпосередньо. Це можна зробити, тільки переписавши їх цілком з FTP-сервера на локальний сервер. Деякі FTP-сервери обмежують доcтуп користувачів до своїх архівів даних за допомогою пароля, інші ж надають вільний доступ (так званий анонімний FTP-сервер). При використанні опції анонімного FTP для свого сервера користувач повинен бути впевнений, що на ньому зберігають-ся тільки файли, призначені для вільного розпрощався-поранення.
Служба емуляції віддаленого терміналу (TELNET) вживається для підключення до віддалених систем, приєднаний-ним до мережі; застосовує базові можливості по емуляції терми-налу. При використанні цього сервісу Internet користувачі повинні реєструватися на сервері TELNET, вводячи свої ім'я та пароль. Після аутентифікації користувача його робоча станція функціонує в режимі "тупого" терміналу, підключеного до зовнішнього хост-комп'ютера. З цього терміналу користувач мо-же вводити команди, які забезпечують йому доступ до файлів і запуск програм. Підключившись до сервера telnet, хакер мо-же конфігурувати його програму таким чином, щоб вона записувала імена і паролі користувачів.
Всесвітня павутина (World Wide Web - WWW) - це систе-ма, заснована на мережевих додатках, які дозволяють користувачам переглядати вміст різних серверів в Internet або інтрамережі. Найкориснішим властивістю WWW є-ється використання гіпертекстових документів, в які вбудовані посилання на інші документи і Web-вузли, що дає поль-зователем можливість легко переходити від одного вузла до друго-му. Однак це ж властивість є і найбільш слабким місцем системи WWW, оскільки посилання на Web-вузли, що зберігаються в ги-пертекстових документах, містять інформацію про те, як осу-ється доступ до відповідних вузлів. Використовуючи цю інформацію, хакери можуть зруйнувати Web-вузол або отримати доступ до що зберігається в ньому конфіденційної інформації.
До вразливих службам і протоколам Internet відносяться також протокол копіювання UUCP, протокол маршрутизації RIP, гра-фіческая віконна система Х Windows і ін.
Політика мережевої безпеки кожної організації повинна включати дві складові:
- політику доступу до мережевих сервісів;
- політику реалізації міжмережевих екранів.
Відповідно до політики доступу до мережевих сервісів визначається список сервісів Internet, до яких користувачі повинні мати обмежений доступ. Задаються також обмеження на методи доступу, наприклад, на використання протоколів SLIP (Serial Line Internet Protocol) і РРР (Point-to-Point Protocol). Ограни-чення методів доступу необхідно для того, щоб користувачі не могли звертатися до "забороненим" сервісів Internet обхідних-ми шляхами. Наприклад, якщо для обмеження доступу в Internet се-тєвої адміністратор встановлює спеціальний шлюз, який не дає можливості користувачам працювати в системі WWW, вони могли б встановити РРР-з'єднання з Web-серверами по комутованій лінії.
Політика доступу до мережевих сервісів зазвичай грунтуючись-ється на одному з наступних принципів:
1) заборонити доступ з Internet у внутрішню мережу, але дозволити доступ з внутрішньої мережі в Internet;
Відповідно до політики реалізації міжмережевий екран-нів визначаються правила доступу до ресурсів внутрішньої мережі. Перш за все необхідно встановити, наскільки "довірчої" або "підозрілою" повинна бути система захисту. Іншими сло-вами, правила доступу до внутрішніх ресурсів повинні базується-тися на одному з наступних принципів:
1) забороняти все, що не дозволено в явній формі;
2) дозволяти все, що не заборонено в явній формі.
Реалізація брандмауера на основі першого прин-ципу забезпечує значну захищеність. Однак правила доступу, сформульовані відповідно до цього .прінціпом можуть доставляти великі незручності користувачам, а крім того, їх реалізація обходиться досить дорого. При реалізації другого принципу внутрішня мережа виявляється менш захищений-ної від нападів хакерів, проте користуватися нею буде зручніше і буде потрібно менше витрат.
Ефективність захисту внутрішньої мережі за допомогою меж-мережевих екранів залежить не тільки від обраної політики доступу до мережевих сервісів і ресурсів внутрішньої мережі, але і від раціо-нальності вибору і використання основних компонентів Межс-тевого екрану.
Функціональні вимоги до міжмережевих екранів включають:
- вимоги до фільтрації на мережевому рівні;
- вимоги до фільтрації на прикладному рівні;
- вимоги по налаштуванню правил фільтрації і адміністрування.
- вимоги до засобів мережевої аутентифікації;
- вимоги щодо впровадження журналів і обліку.