2020-01-14
246
Выделяют три основных компонента МЭ, выполняющих функции администрирования, сбора статистики и предупреждения об атаке и аутентификации.
§ Администрирование. Легкость администрирования является одним из ключевых аспектов при создании эффективной и надеж ной системы защиты. Ошибки при определении правил доступа могут образовать лазейку, через которую рано или поздно будет взломана система. Поэтому в большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил. Наличие этих утилит позволяет также производить про верки на синтаксические или логические ошибки при вводе или редактировании правил. Обычно эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все, что относится к конкретному пользователю или сервису.
§ Системы сбора статистики и предупреждения об атаке. Информация обо всех событиях: отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д., - накапливается в файлах статистики. Многие МЭ позволяют гибко определять подлежащие протоколированию (протоколирование - это сбор и накопление информации о событиях, происходящих в информационной системе) события, описывать порядок действия при атаках или попытках несанкционированного доступа: сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной, и атакующий уже проник в систему. В состав многих МЭ входят генераторы отчетов, служащие для обработки статистики и позволяющие собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.
|
|
|
§ Аутентификация. Прежде чем пользователю будет предоставлено право получить тот или иной сервис, необходимо убедиться, что он действительно тот, за кого себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены, называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, МЭ проверяет, какой способ аутентификации определен для данного пользователя, и передает управление серверу аутентификации. После получения положительного ответа МЭ формирует запрашиваемое пользователем соединение.
|
|
|
При аутентификации используется, как правило, принцип, по лучивший название "что он знает" - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных Unix-паролей. Эта схема является наиболее уязвимой с точки зрения безопасности, так как пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей.
Ряд МЭ поддерживают систему Kerberos - один из наиболее распространенных методов аутентификации. Главной особенностью Kerberos является то, что первичные ключи по системе не передаются вообще. Эта система была разработана в Массачусетском технологическом институте в рамках проекта Athena. Главным назначением системы является обеспечение защищенного об мена данными в сети общего пользования. Обмен данными по строен по принципу клиент/сервер. В Kerberos существует не один, а целых три сервера: идентификационный, выдачи разрешений и административный. Все ПК пользователей оснащаются клиентской частью Kerberos. Сервер может быть установлен на любом ПК или даже разнесен по многим. Ядро системы составляют сер вер идентификации и сервер выдачи разрешений. Область действия Kerberos-сервера называется realm. Все пользователи realm должны быть зарегистрированы в идентификационном сервере Kerberos, а все серверы должны иметь общий кодовый ключ с идентификационным сервером.
При взаимодействии с системой пользователь посылает свой идентификатор серверу идентификации, который проверяет наличие данного пользователя в своей базе данных. Если пользователь зарегистрирован, то ему отправляется "разрешение на получение разрешения" и код сеанса, которые зашифрованы при помощи па роля пользователя из базы данных пользователя. Данная информация расшифровывается на ПК пользователя после ввода послед ним своего пароля, который совпадает с тем, что хранится в базе данных пользователя. Таким образом, пароль по сети не передается. После того, как разрешение на обращение к серверу разрешений получено, клиент обращается за разрешением на доступ к ин формационным ресурсам. Этот запрос содержит имя пользователя, сетевой адрес его компьютера, отметку времени, срок жизни раз решения и код сеанса. Разрешение зашифровывается при помощи кода, известного идентификационному серверу и серверу выдачи разрешений. Данный код пользователю не известен. Кроме кода, разрешение шифруется и при помощи пароля пользователя. Вместе с запросом на разрешение на доступ к ресурсам пользователь посылает еще и свой идентификатор, который шифруется с использованием кода сеанса и содержит имя пользователя, его сете вой адрес и отметку времени. Сервер разрешений проверяет полу ченное разрешение на получение разрешений (сравнивает имя пользователя и его сетевой адрес, зашифрованные в разрешении, с адресом из пакета). После этого расшифровывается идентификатор и снова сравнивается имя пользователя и его сетевой адрес с теми, что пришли в пакете. Так как идентификатор пользователя используется только один раз в течение определенного времени, то перехватить и идентификатор, и разрешение довольно трудно. Сервер разрешений высылает разрешение клиенту, которое шифруется при помощи кода, известного серверу разрешений и ин формационному серверу. Данное разрешение содержит новый код сеанса, который используется клиентом при обращении к целевому серверу.
Таким образом, за счет многократного шифрования и много численных проверок исключается перехват защищенной информации. Однако следует принимать во внимание тот факт, что все программные компоненты должны включать в себя программы из Kerberos-библиотеки, т.е. telnet, ftp и т.п. должны быть отредактированы с Kerberos-библиотекой. Таких серверов не так много, что серьезно ограничивает применение Kerberos на практике.
|
|
|
Эта система имеет ряд недостатков. Во-первых, подразумеватся четкое разделение компьютеров на рабочие станции и серверы. В случае, если пользователь пожелает, зайдя на сервер, с помощью telnet зайти на другой компьютер, идентификация не сработает, так как пользователь имеет разрешение на работу только на той рабочей станции, где он вводил пароль. Иными словами, в Kerberos версии 4 полномочия пользователя не передаются на другие ПК. Кроме того, требуется выделенный компьютер под сервер Kerberos, причем работающий в максимально секретных условиях, поскольку на нем имеется база данных, где содержатся все пароли пользователей. Kerberos версии 4 очень ограниченно применима в сети, где возможны ситуации, когда в силу ряда обстоятельств сервер Kerberos недоступен по сети (непредвиденные сбои в маршрутизации, ухудшение или обрыв связи и т.д.). Часть недостатков, перечисленных выше, ликвидирована в версии 5, но эта реа лизация запрещена к экспорту из США.
По описаному алгоритму работают также системы Sphinx от DEC и NIS+ от Sun. Отличаются они применением различных алгоритмов шифрования, другого протокола передачи (RPC вместо UDP) и способов объединения административных доменов в иерархию.
Прежде чем приниматься за разработку стратегии безопасности брандмауэра, следует подумать, что и как следует защищать. Если компания достаточно велика, она должна иметь собственную политику безопасности. Стоит принять ее в качестве отправной точки. Обсудив этот вопрос с пользователями или менеджерами, можно сделать вывод, каким службам будет разрешено работать через межсетевой экран.
Основные функции МЭ
Приведем основные функции, которые имеются в современных брандмауэрах:
- кэширование (caching). Это свойство особенно характерно для сетей, содержащих web-серверы с большим объемом информации, доступной из Internet. Благодаря локальному хранению часто запрашиваемых данных кэширующий сервер может улучшить время реакции на запрос пользователя и сэкономить полосу пропускания, которая потребовалась бы для повторной загрузки данных;
|
|
|
- трансляция адреса (addresstranslation). Настроенный соответствующим образом брандмауэр позволяет применять для внутренней сети любые IP- адреса. При этом снаружи виден только адрес брандмауэра;
- фильтрация контента (contentrestriction). Все большее число продуктов обеспечивает ограничение информации, получаемой пользователями из internet, путем блокирования доступа к адресам URL, содержащим нежелательный контент, или поиска заданных ключевых слов в приходящих пакетах данных;
- переадресация (addressvectoring). Эта функция предоставляет брандмауэру возможность изменять, например, запросы HTTP так, чтобы они направлялись серверу не с указанным в пакете запроса IP - адресом, а с другим. Таким способом удается распределять нагрузку между несколькими серверами, которые для внешнего пользователя выглядят как одиночный сервер.
Все эти функциональные возможности дают определенные преимущества в плане гарантий безопасности, но в основном предназначены для увеличения производительности. Например, в результате переадресации и трансляции адреса удается скрыть внутренние IP-адреса от хакеров, что безусловно повышает безопасность. Чем меньшей информацией располагает потенциальный нарушитель, тем более сложной будет его работа. Но эти же возможности служат администратору при распределении нагрузки среди нескольких компьютеров. Благодаря трансляции адреса не понадобится запрашивать большой диапазон адресов IP для всех серверов и рабочих станций в сети.
Межсетевой экран не гарантирует абсолютную защиту сети, и его нельзя рас сматривать в качестве единственного средства обеспечения безопасности. Необходимо понимать, как именно выполняет брандмауэр свои функции по защите сети. В равной степени важно знать, от чего он не может обезопасить.
В общем случае правильно сконструированный межсетевой экран способен:
§ защищать сеть от небезопасных протоколов и служб;
§ защищать информацию о пользователях, системах, сетевых адресах и выполняемых в сети приложениях от внешнего наблюдения;
§ обеспечить ведение журнала (в виде набора log-файлов), содержащего статистические данные и записи о доступе к защищенным ресурсам. Это позволяет убедиться в том, что сеть работает эффективно и надежно. Хороший межсетевой экран также имеет в настройках опцию предупреждения администратора о возникновении критических событий, таких как попытка несанкционированного доступа;
§ гарантировать централизованное управление безопасностью сети по отношению к остальному миру. Межсетевой экран - это шлюз между Internet и сетью. В большой сети может существовать несколько соединений с внешними сетями и, следовательно, несколько брандмауэров. В этом случае следует особенно тщательно подойти к выбору брандмауэра. Многие новые продукты пре доставляют возможность администрировать с одной консоли управления сразу несколько брандмауэров.
Межсетевой экран не в состоянии уберечь от взлома изнутри. Это означает, что для защиты от возможных разрушительных действий пользователей внутри сети следует прибегать к обычным средствам безопасности. При применении брандмауэра важно не забывать о том, что он не снимает все существующие проблемы безопасности в сети. Межсетевой экран не берет на себя повседневных функций по администрированию систем и обеспечению безопасности. Он просто создает еще один уровень безопасности.
Брандмауэр не может защитить от:
§ вирусов. Хотя некоторые брандмауэры и способны распознавать вирусы в проходящем через них трафике, существует множество способов спрятать вирусы в программе;
§ «троянских коней». Как и в случае с вирусами, блокировать проникновение в сеть «троянских коней» (Trojan horses) достаточно сложно. Пользователь нередко поддается искушению загрузить программу из Internet или открыть прикрепленный к сообщению электронной почты файл, проложив тем самым путь в систему вредоносной программе;
§ «социальной инженерии». Термин «social engineering» возник недавно и при меняется для описания методов получения хакерами информации от доверчивых пользователей;
§ некомпетентности. Плохо подготовленные сотрудники или небрежное руководство приводят к ошибкам в настройках локальной сети и межсетевого экрана. Если сотрудники не понимают, как работает брандмауэр и как правильно его настраивать, не исключено, что это будет способствовать возникновению проблем;
§ атаки изнутри. Межсетевой экран не может предотвратить злонамеренные действия внутри сети. Это одна из причин, по которой безопасность компьютеров в сети остается важной проблемой и после установки брандмауэра.
