Персональные  межсетевые экраны.

     За  последние несколько лет в  структуре корпоративных сетей  произошли серьезные изменения. Если раньше границы таких сетей  можно было четко очертить, то сейчас это практически невозможно. Еще  недавно такая граница проходила  через все маршрутизаторы или  иные устройства (например, модемы), через  которые осуществлялся выход  во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем  защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся  пользователи, работающие на дому или  находящиеся в командировке. Требуется  ли им защита? Несомненно. Но все традиционные межсетевые экраны построены так, что  защищаемые пользователи и ресурсы  должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устранить эту проблему было предложено два подхода - виртуальные  частные сети (virtual private network, VPN), которые будут описаны далее, и распределенные межсетевые экраны (distributed firewall). Примером первого решения можно назвать VPN-1 компании Check Point Software (http://www.checkpoint.com).

     Такая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним  недостатком - сам удаленный узел был подвержен атакам, хотя доступ в корпоративную сеть был защищен  от несанкционированных воздействий. Установленный на удаленное рабочее  место троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному  каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий.

     Тогда-то и родилась идея распределенного  межсетевого экрана (distributed firewall), который являлся бы мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является BlackICE Agent компании Internet Security Systems (http://www.iss.net) или RealSecure Server Sensor того же производителя. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компьютеров от рыскающих по сети злоумышленников.

     Но, т.к. многие функции распределенного  МСЭ (например, централизованное управление или рассылка политики безопасности) для домашних пользователей были лишними, то технология распределенного  МСЭ была модифицирована и новый  подход получил название "персонального  межсетевого экрана" (personal firewall), яркими представителями которых являются ZoneAlarm, и BlackICE Defender компаний ZoneLabs (http://www.zonelabs.com) и ISS соответственно. Компания Check Point Software оказалась впереди и здесь, предложив решение VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т.е. организуя client\server VPN). Именно такое решение сделало подвластными межсетевым экранам сети с нечетко очерченными границами.

     В чем отличие персонального межсетевого  экрана от распределенного? Главное  отличие одно - наличие функции  централизованного управления. Если персональные межсетевые экраны управляются  только с того компьютера, на котором  они установлены, и идеально подходят для домашнего применения, то распределенные межсетевые экраны могут управляться  централизованно, с единой консоли  управления, установленной в главном  офисе организации.

     Такие отличия позволили некоторым  производителям выпускать свои решения  в двух версиях - персональной (для  домашних пользователей) и распределенной (для корпоративных пользователей). Так, например, поступила компания Internet Security Systems, которая предлагает персональный межсетевой экран BlackICE Defender и распределенный межсетевой экран BlackICE Agent.

     Какими  функциями должен обладать эффективный  персональный МСЭ? Во-первых, этот экран  не должен быть пассивной программой, которая только и делает, что блокирует  входящий на компьютер трафик по заданным критериям, к которым обычно относятся  адрес и порт источника. Злоумышленники давно научились обходить такие  простые защитные механизмы и  в сети Internet можно найти большое число программ, которые могут проникнуть через многие традиционные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпрометированном компьютере без ведома его владельца.

     Чтобы защититься, необходим инструмент, который позволит проводить более  глубокий анализ каждого сетевого пакета, направленного на защищаемый узел. Таким инструментом является система  обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника. Как известно протокол IP, на основе которого построен современный Internet, не имеет серьезных механизмов защиты, что позволяет без труда подменить свой настоящий адрес, тем самым, делая невозможным отслеживание злоумышленника.

     Мало  того, хакер может «подставить» кого-нибудь другого, заменив свой адрес на адрес  подставного лица. И, наконец, для  некоторых атак (например, «отказ в  обслуживании») адрес источника  вообще не нужен и по статистике в 95% случаев этот адрес хакером  изменяется. Можно привести хорошую  аналогию. Персональный межсетевой экран - это охранник в здании, который  выписывает пропуска всем посетителям. В такой ситуации злоумышленник  может без труда пронести в  здание оружие или бомбу. Однако если на входе поставить металлодетектор, то ситуация в корне меняется и злоумышленнику уже не так легко пронести в защищаемую зону запрещенные предметы.

     К сожалению, приходится отметить, что  немногие межсетевые экраны обладают встроенной системой обнаружения атак. Одним из таких решений является системы BlackICE Defender и BlackICE Agent компании Internet Security Systems. Любой из компонентов семейства BlackICE содержит два основных модуля, осуществляющих обнаружение и блокирование несанкционированной деятельности - BlackICE Firewall и BlackICE IDS. BlackICE Firewall отвечает за блокирование сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предварительное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа "лишних" операций на обработку неразрешенного трафика. Настройка данного компонента может осуществлять как вручную, так и в автоматическом режиме. В последнем случае, реконфигурация происходит после обнаружения несанкционированной деятельности модулем BlackICE IDS.

     При этом блокирование трафика может  осуществляться на любой промежуток времени. BlackICE Firewall работает напрямую с сетевой картой, минуя встроенный в операционную систему стек протоколов, что позволяет устранить опасность от использования многих известных уязвимостей, связанных с некорректной реализацией стека в ОС. BlackICE IDS отвечает за обнаружение атак и других следов несанкционированной деятельности в трафике, поступающем от модуля BlackICE Firewall, и использует запатентованный алгоритм семиуровневого анализа протокола.

     Следующим механизмом, которым должен обладать эффективный персональный межсетевой экран, является защита от опасного содержимого, которое можно получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих, с одной стороны незаменимых и удобных технологий, можно выполнить большое число несанкционированных действий на компьютере.

       Начиная от внедрения вирусов  и установки троянских коней  и заканчивая кражей или удалением  всей информации. Также персональные  межсетевые экраны должны защищать  от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

     В некоторые персональные МСЭ (например, в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-червей. Зачастую производители встраивают в свою продукцию модули VPN (например, PGP Desktop Security или VPN-1 SecureClient), которые отвечают за обеспечение защищенного взаимодействия с центральным офисом.

     Т.к. распределенные экраны управляются  централизованно, то они должны обладать эффективным механизмом настройки, администрирования и контроля, позволяющим  администратору безопасности без дополнительных усилий получить подробную информацию о зафиксированных попытках проникновения  на защищаемые узлы.

     Мало  того, в некоторых случаях необходимо инициировать процедуру расследования  компьютерного преступления или  собрать доказательства для обращения  в правоохранительные органы. И здесь  будет незаменимым механизм отслеживания злоумышленника (back tracing), реализованный в некоторых межсетевых экранах. Например, уже упоминаемые BlackICE Agent и Defender, позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию: 

      - IP-, DNS-, WINS-, NetBIOS- и MAC-адреса компьютера, с которого осуществляется атака.

      - Имя, под которым злоумышленник вошел в сеть.

     Немаловажной  является возможность удаленного обновления программного обеспечения персонального  межсетевого экрана (например, в VPN-1 SecureClient). В противном случае администратору приходилось бы самостоятельно посещать каждого из владельцев компьютера и обновлять его защитное ПО.

       Представьте, какую бурю возмущений  это вызвало бы у владельцев  компьютеров, которых отрывали  бы от своей работы. Удаленное  же и, главное, незаметное для  владельца компьютера, обновление (включая  и обновление сигнатур атак  и вирусов) снимает эту проблему  и облегчает нелегкий труд  администратора безопасности. Осуществляя  удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Злоумышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.

Заключение

     В заключение данного раздела хочу сказать, что правильный выбор персонального  или распределенного межсетевого  экрана позволит повысить защищенность компьютеров, которые при обычных  условиях остаются незащищенными и  могут служить точкой проникновения в корпоративную сеть.

Список  использованной литературы

1. http://ru.wikipedia.org/wiki/Firewall
2. http://www.freebsd.org/doc/ru/books/handbook/firewalls.html
3. http://www.compress.ru/Article.aspx?id=10145
4. http://www.intuit.ru/department/security/netsec/10/