Firewall — не панацея

Развитие Интернета вновь дало о себе знать, высветив проблемы, возникающие при безопасном подключении к сетям компаний через Интернет. В основном это связано с тем, что сеть Интернет была разработана как открытая и предназначенная для этого система. Мало внимания уделялось вопросам проектирования стека протоколов TCP/IP, который основан на Интернете.

Для решения проблемы безопасности было разработано множество различных решений, наиболее известным из которых является использование обширных защитных стен. Их использование — это первый шаг, который должна сделать каждая организация при подключении своей корпоративной сети к Интернету. Первый, однако, не последний. Защитных стен недостаточно для создания надежного и безопасного интернет-соединения. Для обеспечения приемлемого уровня безопасности ресурсов компании от несанкционированного доступа необходимо реализовать ряд технических и организационных мер.

Брандмауэры применяют механизмы контроля доступа из внешней сети во внутреннюю, фильтруя все входящие и исходящие обращения и обеспечивая передачу только авторизованных данных. Все защитные стены работают на основе информации, полученной с различных уровней эталонной модели ISO/OSI, причем чем выше уровень OSI, лежащий в основе брандмауэра, тем выше уровень защиты. Существует три основных типа защитной стенки — фильтрация упаковки, стробирование схемы и стробирование на уровне приложения. Существует мало существующих защитных стен, которые можно четко соотнести с каким-либо из этих типов. Как правило, МСЭ сочетает в себе два или три типа функций. Кроме того, недавно появилась новая технология защитной стены, которая сочетает в себе положительные характеристики всех трех типов защитных стен, упомянутых выше. Эта технология называется stateful inspection. И сейчас почти все защитные стены на рынке объявляют, что они относятся к этой категории (Stateful Inspection firewalls).

Современное состояние российского рынка информационной безопасности таково, что многие продавцы стен (МСБ), предлагающие свою продукцию, утверждают, что только она решает все проблемы заказчика и обеспечивает надежную защиту всех сетевых ресурсов компании. Однако это не так. Не потому, что предлагаемые брандмауэры не обеспечивают необходимых механизмов защиты (правильный выбор средств защиты — это вопрос для другой статьи), а потому, что сама технология имеет определенные недостатки.

В этой статье мы не будем обсуждать преимущества номинальных типов защитных стен (им посвящено множество публикаций), а сосредоточимся на общих недостатках.

Отсутствие защиты от авторизованных пользователей

Наиболее очевидным недостатком защитных стен — является их неспособность защитить пользователей, которые знают свои идентификаторы и пароли и поэтому имеют доступ к защищенным частям корпоративной сети. Брандмауэры могут ограничить несанкционированный доступ к ресурсам, но они не могут помешать авторизованным пользователям копировать ценную информацию или изменять параметры финансовых документов, к которым они имеют доступ. Статистика показывает, что не менее 70% всех угроз безопасности исходят изнутри организма. Поэтому, даже если брандмауэры защищают от внешних захватчиков, остаются внутренние захватчики, которые не контролируются ITY.

Для устранения этого недостатка необходимы новые подходы и технологии. Например, использование систем обнаружения инфильтрации. Такие инструменты, типичным примером которых является RealSecure, обнаруживают и предотвращают несанкционированную активность в сети, как со стороны авторизованных пользователей (включая менеджеров), так и со стороны злоумышленников. Эти инструменты могут работать самостоятельно или в сочетании с защитными барьерами. Например, RealSecure может автоматически перенастроить Checkpoint Firewall 1, изменив правила, и запретить доступ к корпоративным веб-ресурсам с атакованного компьютера.

Отсутствие защиты новых сетевых услуг

Второй недостаток стены защиты — неспособность защитить новые веб-сервисы. Как правило, ITUS определяет доступ через широко используемые протоколы, такие как HTTP, Telnet, SMTP и FTP. Это достигается за счет использования «посредников&#187- (прокси) механизмы, которые могут контролировать движение через эти протоколы или эти службы. Хотя многочисленные подобные#171;посредников»очень велики (например, их более 200), не все являются новыми протоколами или услугами. И хотя проблема не столь серьезна (многие пользователи используют не более 12 протоколов и служб), она иногда вызывает дискомфорт.

Многие поставщики защитных барьеров пытаются решить эту проблему, но не все. Некоторые поставщики создают новые протоколы и сервисные прокси, но между появлением протокола и соответствующего прокси всегда существует временная задержка, составляющая от нескольких дней до нескольких месяцев. Другие поставщики защитных барьеров предоставляют инструменты для создания собственных прокси (например, CyberGuard Corporation позволяет создавать прокси для определенных или новых протоколов или служб). подсистема ProxyWriter в МСЭ). Это требует высокого уровня знаний и времени для создания эффективных прокси-серверов, учитывающих специфику новых сервисов и протоколов. Checkpoint Firewall-1 имеет аналогичные функции. Он включает в себя мощный язык Inspect. Здесь объясняются различные правила круговой фильтрации.

Ограничение функциональности сетевых служб.

В некоторых корпоративных сетях используются сложные топологии и.#171;уживается&#187- защитные стены или использование определенных сервисов (например, NFS) настолько, что внедрение ITY потребует существенной переработки всего веб-сайта. В таких ситуациях сопутствующие расходы на приобретение и формирование защитной стены могут быть сопоставимы с ущербом, связанным с отсутствием тройника.

Эту проблему можно решить только путем правильного проектирования топологии сети на ранних этапах создания информационной системы предприятия. Это не только снижает последующие материальные затраты на приобретение средств защиты данных, но и эффективно интегрирует защитные барьеры в существующую технологию обработки информации. Если сеть уже спроектирована и функционирует, рекомендуется рассмотреть возможность использования другого решения, например, системы обнаружения атак, вместо брандмауэра.

Потенциальные риски обхода брандмауэров

Защитные стены не могут защитить ресурсы корпоративной сети, если используются неконтролируемые модемы. Доступ к сети через слип или PPP-модем в обход брандмауэра делает сеть практически незащищенной. Очень часто сотрудники организации используют программное обеспечение удаленного доступа, такое как PCANYWHERE или TelNet, для доступа к данным или программам на домашних станциях из дома или для доступа в Интернет через ИТ. Безопасность в этой ситуации — не просто вариант, даже при наличии эффективного брандмауэра.

Для этого удаленный доступ ко всем моделям и корпоративным сетям должен строго контролироваться. Для этого могут использоваться как организационные, так и технические меры. Например, использование систем доступа, ограничивающих доступ к COM-портам (например, секретные сети) или систем анализа безопасности (например, интернет-сканеры или системные сканеры). Правильно разработанная политика безопасности обеспечивает дополнительный уровень защиты сети компании и определяет ответственность, например, за нарушения в Интернете. Кроме того, правильно разработанная политика безопасности может снизить вероятность несанкционированного использования модема и других устройств и программ для удаленного доступа.

Потенциально опасные особенности

Новые функции, которые недавно появились и облегчили жизнь пользователям Интернета, практически не развили безопасность. Например, www, java, activex и другие сосредоточены на данных. Они потенциально опасны, поскольку могут содержать враждебные указания, нарушающие установленную политику безопасности. Кроме того, HTTP-транзакции могут быть очень эффективно проверены защитными стенами, антизащитными & — защитными стенами, но#171;мобильного» Java и ActiveX код практически невозможно. Доступ этого кода к защищенной сети либо разрешен, либо полностью запрещен. И несмотря на заявления производителей защитных стен о контроле Java-апплетов, сценарии JavaScript, например, на самом деле могут проникнуть в защищенную область, даже если враждебный код полностью исключен устройством защитной стены.

Защита от таких полезных, но потенциально опасных характеристик должна рассматриваться в каждом конкретном случае отдельно. Потребность в новых функциях может быть проанализирована и либо полностью отвергнута, либо сеть может быть защищена от врагов с помощью специализированных инструментов безопасности, таких как система SurfinShield компании Finjan или программное обеспечение Safegate компании Security 7.#171;мобильного» Код.

Вирусы и атаки

Существует мало механизмов защиты от вирусов и, как правило, нет защитных стен, построенных на основе атак. Как правило, эта функциональность реализуется путем добавления дополнительных устройств или стороннего программного обеспечения (например, система защиты от вирусов Virusafe для защиты межсетевого экрана МСЭ Cyberguard или система реальных атак МСЭ Checkpoint Firewall-1). . Использование нестандартных архивных или передаваемых данных и шифрование движения пренебрегают защитой от вирусов. Можете ли вы защитить себя от вирусов и атак, если информация проходит через зашифрованную стену защиты и расшифровывается только на стороне клиента?

В таких случаях рекомендуется подстраховаться и не допустить прохождения неизвестных данных через защитную стену. В настоящее время невозможно проверить содержимое зашифрованных данных. В этом случае остается надеяться, что в конце будет предусмотрена защита от вирусов и атак. Например, используйте системный агент RealSecure.

Снижение производительности.

Подключение к общественным или корпоративным сетям осуществляется через низкоскоростные соединения (обычно с использованием коммутируемого доступа до 56 кбит/с или арендованных линий до 256 кбит/с), но возможны варианты пропускной способности в несколько сотен мегабит и более (ATM , T1, E3 и т.д.). В этих случаях защитная стена является точкой перегрузки сети, снижая пропускную способность. В некоторых случаях необходимо анализировать заголовки (как это делают пакетные фильтры), а также содержание (&) каждого пакета (&)#171;proxy»), значительно снижая производительность защитной стены. В случае сетей с высокой циркуляцией использование защитных стен становится невозможным.

В таких случаях обнаружение и лечение атак должны быть приоритетными, а трафик должен быть предотвращен только при наличии прямой угрозы. Некоторые средства обнаружения атак (например, RealSecure) включают возможность автоматического переопределения защитных стен.

Повышенная гибкость пакетных фильтров для компенсации между типами защитных стенок, а также повышенная безопасность и больший контроль над затворами на уровне приложений. На первый взгляд может показаться, что пакеты должны быть проще и быстрее, поскольку они только обрабатывают пакеты пакетов, не затрагивая их содержимое, но это не всегда так. Многие портальные брандмауэры приложений работают быстрее маршрутизаторов и являются лучшим вариантом для контроля доступа к скоростям Ethernet (10 Мбит/с).

Отсутствие контроля над их формированием

Даже если все вышеперечисленные вопросы будут решены, остается риск того, что брандмауэры не регулируются должным образом. Обычно встречаются ситуации, когда защитные стены изначально приобретаются и регулируются поставщиком для обеспечения высокого уровня безопасности ресурсов компании. Однако со временем ситуация меняется & #8212- сотрудники хотят получить доступ к новым интернет-ресурсам и использовать новые сервисы (RealAudio, VDolive и т.д.). Таким образом, медленно защитная стена защищает как сито, с огромным количеством правил, которые должен добавить администратор.

В этом случае может помочь инструмент анализа безопасности. Средства анализа безопасности могут тестировать защитные стены как на сетевом уровне (например, чувствительность к отказу в обслуживании «), так и на уровне операционной системы (например, права доступа к файлам нормативного контроля). Кроме того, он позволяет сканировать атаки типа « перебора паролей », обнаружения « паролей или паролей.#171;слабые» пароли, указанные производителем, или пароли по умолчанию. Инструменты, выполняющие такое сканирование, включают, например, американский сканер Internet Security System (ISS) Internet Scanner.

Заключение.

Учитывая вышеперечисленные проблемы, многие придут к выводу, что защитная стена не сможет защитить корпоративные сети от несанкционированных вторжений. Неправда. Стены необходимы, но явно недостаточны для обеспечения безопасности сетей. Он обеспечивает только первую линию защиты. Не стоит покупать защитную стену только потому, что она самая лучшая и контролируется независимо. При выборе и покупке защитной стены следует тщательно продумать все детали. В некоторых случаях достаточно простого пакетного фильтра, свободно доступного в Интернете или поставляемого с операционной системой, например Squid. В других случаях защитная стена необходима, но ее следует использовать в сочетании с другими средствами информационной безопасности.