Основные схемы сетевой защиты на базе межсетевых экранов

Реализация

     Существует  два варианта реализации межсетевых экранов - программный и программно-аппаратный. Второй вариант также может быть реализован двояко - в виде специализированного  устройства и в виде модуля в маршрутизаторе или коммутаторе. Интерес к программно-аппаратным решениям за последние два года во всем мире возрос. Такие решения  постепенно вытесняют "чисто" программные  системы и начинают играть первую скрипку на данном рынке.

     Первое  решение - наиболее часто используемое в настоящее время и на первый взгляд более привлекательное. Это  связано с тем, что, по мнению многих, для его применения достаточно только приобрести программное обеспечение межсетевого экрана и установить на любой компьютер, имеющийся в организации. Однако на практике далеко не всегда в организации находится свободный компьютер, да еще и удовлетворяющий достаточно высоким требованиям по системным ресурсам. Поэтому одновременно с приобретением программного обеспечения приобретается и компьютер для его установки. Потом следует процесс установки на компьютер операционной системы и ее настройка, что также требует времени и оплаты работы установщиков. И только после этого устанавливается и настраивается программное обеспечение системы обнаружения атак.

     Как видно, использование обычной персоналки далеко не так просто, как кажется  на первый взгляд. Именно поэтому в  последние годы стали получать распространения  специализированные программно-аппаратные решения, называемые security appliance. Они поставляются, как специальные программно-аппаратные комплексы, использующие специализированные или обычные операционные системы (как правило, на базе FreeBSD или Linux), "урезанные" для выполнения только заданных функций. К достоинству таких решений можно отнести:

     - Простота внедрения в технологию  обработки информации. Поскольку  такие устройства поставляются  уже с предустановленной и  настроенной операционной системой  и защитными механизмами, необходимо  только подключить его к сети, что выполняется в течение  нескольких минут. И хотя некоторая  настройка все же требуется,  время, затрачиваемое на нее,  существенно меньше, чем в случае  установки и настройки межсетевого экрана "с нуля".

      - Простота управления. Данные устройства  могут управляться с любой  рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например, Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например, Ssh или SSL.

      - Производительность. За счет того, что из операционной системы  исключаются все "ненужные" сервисы и подсистемы, устройство  работает более эффективно с  точки зрения производительности  и надежности.

      - Отказоустойчивость и высокая  доступность. Реализация межсетевого  экрана в специальном устройстве  позволяет реализовать механизмы  обеспечения не только программной,  но и аппаратной отказоустойчивости  и высокой доступности. Такие  устройства относительно легко объединяются в кластеры.

      - Сосредоточение на защите. Решение  только задач обеспечения сетевой  безопасности не приводит к  трате ресурсов на выполнение  других функций, например, маршрутизации  и т.п. Обычно, попытка создать  универсальное устройство, решающее  сразу много задач, ни к чему хорошему не приводит.

     В отчете, опубликованном независимой  консалтинговой компанией Gartner Group в июне 1997 года, было написано, что к 2002 году 80% компаний с доходами от 20 до 200 миллионов долларов выберут именно аппаратные решения, а не программные. Основная причина такого выбора - обеспечение такого же высокого уровня защиты, как и в программных решениях, но за меньшие деньги. И вторая причина - простота и легкость интеграции таких решений в корпоративную систему.

     На  первый взгляд такие аппаратные реализации существенно дороже, но это только на первый взгляд. Стоимость программно-аппаратного  решения составляет порядка $5000-12000. Стоимость решения, основанного  на применении только программного обеспечения, выполняющего аналогичные функции, может быть существенно выше. И  это несмотря на то, что само ПО стоит  меньше. Такой эффект достигается  за счет того, что стоимость программного решения включает в себя:

      - Стоимость компьютера.

      - Стоимость лицензионного дистрибутива операционной системы.

      - Стоимость сопутствующего программного  обеспечения (например, броузера Internet Explorer или СУБД Oracle).

      - Стоимость затрат на установку  и настройку всего комплекса  в целом. Обычно эти затраты  составляют 20-30% от стоимости составляющих всего комплекса.

      - Стоимость поддержки всех составляющих  комплекса (компьютера и его  аппаратных составляющих, операционной  системы, дополнительного ПО и т.д.).

     Однако  сразу необходимо заметить, что специализированный компьютер - это не то же самое, что  маршрутизатор с функциями обнаружения  атак (например, маршрутизаторы с Cisco Secure Integrated Software). У производителя маршрутизаторов приоритетной задачей всегда является улучшение процесса и повышение скорости маршрутизации. И только затем он пытается реализовать функции защиты. Поэтому, делая выбор между маршрутизацией и защитой, они всегда делают его в пользу маршрутизации. Как показывает практика, использование защитных механизмов на маршрутизаторах существенно снижает их производительность. Либо же защитные функции ограничены.

Недостатки

     Выше  уже были перечислены некоторые  недостатки, присущие межсетевым экранам, а также способы их обхода. Ниже мы укажем еще некоторые из них.

Ограничение функциональности сетевых  сервисов

     Некоторые корпоративные сети используют топологии, которые трудно "уживаются" с  межсетевым экраном (например, широковещательная  рассылка трафика), или используют некоторые  сервисы (например, NFS) таким образом, что применение МСЭ требует существенной перестройки всей сетевой инфраструктуры. В такой ситуации относительные  затраты на приобретение и настройку  межсетевого экрана могут быть сравнимы с ущербом, связанным с отсутствием МСЭ.

     Решить  данную проблему можно только путем  правильного проектирования топологии  сети на начальном этапе создания корпоративной информационной системы. Это позволит не только снизить последующие  материальные затраты на приобретение средств защиты информации, но и  эффективно встроить межсетевые экраны в существующую технологию обработки  информации. Если сеть уже спроектирована и функционирует, то, возможно, стоит  подумать о применении вместо межсетевого  экрана какого-либо другого решения, например, системы обнаружения атак.

Потенциально  опасные возможности

     Новые возможности, которые появились  недавно, и которые облегчают  жизнь пользователям Internet, разрабатывались практически без учета требований безопасности. Например, JavaScript, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Специфика мобильного кода такова, что он может быть использован и как средство для проведения атак, и как объект атаки. В первом варианте опасность заключается в том, что мобильный код загружается на компьютер пользователя и выполняется на нем как обычная программа, получая доступ к системным ресурсам. Второй вариант, как правило, используется для модификации мобильного кода - как предварительный этап перед проведением атак на локальный компьютер пользователя.

     Атаки на мобильный код, как на средство выполнения каких-либо функций, пока не получили широкого распространения. Связано  это с тем, что мобильный код  пока не применяется для выполнения каких-либо серьезных операций, например, проведения финансовых транзакций.

     Хотя  уже известны примеры банковских систем, в том числе и российских, использующих технологию Java для работы с клиентом.

     Как средство для проведения атак мобильный  код может быть реализован в виде:

      - вируса, который вторгается в  информационную систему и уничтожает  данные на локальных дисках, постоянно  модифицируя свой код, затрудняя  тем самым свое обнаружение и удаление;

      - агента, перехватывающего пароли, номера кредитных карт и т.п.;

      - программы, копирующей конфиденциальные  файлы, содержащие деловую и финансовую информацию;

      - и прочее.

     Маскироваться такие программы могут под  анимационные баннеры, интерактивные  игры, звуковые файлы и т.п. Российские пользователи не так часто используют компьютер для совершения финансовых сделок и других действий, которые  могли бы нарушить конфиденциальность данных. Поэтому рассмотрим примеры  враждебного мобильного кода, который  нарушает функционирование узла, на котором  он запускается. Это наиболее простая  в реализации и, как следствие, часто  применяемая угроза, которой может  подвергнуться любой пользователь сети Internet.Такая угроза может осуществляться путем:

      - создания высокоприоритетных процессов,  выполняющих несанкционированные действия;

      - генерации большого числа окон;

      - "захвата" большого объема  памяти и важных системных классов;

      - загрузки процессора бесконечным циклом;

      - и т.п.

     Обычный подход, используемые при обнаружении  мобильного кода, заключается в том, чтобы сканировать весь входящий трафик на 80-м или 443-м портах, используемых протоколами HHTP и HTTPS, с целью выявить  такие элементы, как соответствующие  теги. Но этого недостаточно, чтобы  остановить мобильный код, потому что  можно получить управляющие элементы ActiveX и апплеты Java и другими способами. Для примера представим, что Java-апплет (обычно имеющий расширение .class) выдает себя за изображение (то есть имеет расширение gif или jpg). Если межсетевой экран считает, что это изображение, то оно пропускается в сеть и загружается в кэш броузера, после чего броузер выходит из строя, так как загруженный файл не является изображением. Однако это неважно - мобильный код уже находится на компьютере. И если позже его можно будет активизировать, то могут возникнуть серьезные проблемы с защищенностью системы.

     Другой  способ проникновения - использование  нестандартного порта для работы Web-сервера.

     Одним из вариантов защиты, например для  Java-апплетов, можно считать сканирование всего трафика, проходящего в защищаемом сегменте, чтобы выявить наличие конкретных участков кода. Такое выявление осуществляется путем поиска числа идентифицирующего байт-код, которое в шестнадцатеричной форме выглядит как "CA FE BA BE". Однако данный подход производителями средств защиты практически не применяется, так как трафик обычно слишком интенсивен, чтобы фильтровать его поток через каждый порт для выявления конкретных текстовых фрагментов.

Вирусы  и атаки

     Практически ни один межсетевой экран не имеет  встроенных механизмов защиты от вирусов  и, в общем случае, от атак. Как  правило, эта возможность реализуется  путем присоединения к МСЭ  дополнительных модулей или программ третьих разработчиков (например, система  антивирусной защиты Trend Micro для МСЭ Check Point Firewall-1 или система обнаружения атак RealSecure для него же). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

     В таком случае лучше перестраховаться и запретить прохождение через  межсетевой экран данных в неизвестном  формате. Для контроля содержимого  зашифрованных данных в настоящий  момент ничего предложить нельзя. В  этом случае остается надеяться, что  защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.

Снижение  производительности

     Очень часто межсетевые экраны являются самым  узким местом сети, снижая ее пропускную способность. В тех случаях, когда  приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого  пакета ("proxy"), существенно снижается производительность межсетевого экрана. Для сетей с напряженным трафиком использование обычных межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, BlackICE Gigabit Sentry) могут функционировать и на гигабитных скоростях.

     Компромисс  между типами межсетевых экранов - более  высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня или инспекторах  состояния. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще  и обрабатывают только заголовки  пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом. Это связано с тем, что  как уже говорилось, маршрутизаторы являются не специализированными устройствами и функции фильтрации для них не являются приоритетными.