Firewall - не панацея

Развитие интернета обострило и в очередной раз выявило проблемы, возникающие при подключении к нему корпоративной сети. Связано это в первую очередь с тем, что интернет разрабатывался как открытая, предназначенная для всех, система. При этом, вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой передачи информации, уделялось очень мало внимания. Для устранения проблем, связанных с безопасностью, было разработано много различных решений, самым известным и распространенным из которых является применение межсетевых экранов или файрволлов (от англ. — firewall). Их использование - это первый шаг, который должна сделать любая организация, подключающая свою корпоративную сеть к интернету. Однако, одним межсетевым экраном для построения надежного и защищенного соединения не обойтись. Необходимо реализовать целый ряд технических и организационных мер, чтобы обеспечить приемлемый уровень безопасности корпоративных ресурсов от возможности несанкционированного доступа. Межсетевые экраны фильтрируют трафик, таким образом реализовывая механизм контроля доступа из внешней сети ко внутренней. Они функционируют на основе информации, получаемой от различных уровней эталонной модели ISO/OSI. При этом, чем выше уровень OSI, на основе которого построен межсетевой экран, тем выше уровень защиты, им обеспечиваемый. Существует три основных типа межсетевых экранов: пакетный фильтр (packet filtering), шлюз на сеансовом уровне (circuit-level gateway) и шлюз на прикладном уровне (application-level gateway). Однако, как правило, существующие файрволлы совмещают в себе функции двух или трех типов. Кроме того, недавно появилась новая технология построения межсетевых экранов, объединяющая в себе положительные свойства всех трех вышеназванных типов. Эта технология была названа Stateful Inspection. И в настоящий момент практически все предлагаемые на рынке межсетевые экраны анонсируются, как относящиеся к этой категории (Stateful Inspection Firewall). На российском рынке средств защиты информации сейчас сложилась такая ситуация, что многие поставщики межсетевых экранов, предлагая свой продукт, утверждают, что он один решит все проблемы заказчика, обеспечив надежную защиту всех ресурсов корпоративной сети. Однако, это не так. И не потому что предлагаемый межсетевой экран не обеспечивает необходимых защитных механизмов (правильный выбор межсетевого экрана — это тема отдельной статьи), а потому что самой технологии присущи определенные недостатки. Отсутствие защиты от авторизованных пользователей Наиболее очевидный недостаток межсетевых экранов — невозможность защиты от пользователей, знающих логин и пароль для доступа в защищаемый сегмент корпоративной сети. Межсетевой экран может ограничить доступ посторонних лиц к ресурсам, но он не может запретить авторизованному пользователю скопировать ценную информацию или изменить какие-либо параметры финансовых документов, к которым этот пользователь имеет доступ. А по статистике не менее 70% всех угроз безопасности исходит со стороны сотрудников организации. Поэтому, даже если межсетевой экран защитит от внешних нарушителей, то останутся нарушители внутренние. Для устранения этого недостатка нужны новые подходы. Одним из них является внедрение системы обнаружения атак. Данные средства, ярким примером которых является система RealSecure, обнаруживают и блокируют несанкционированную деятельность в сети независимо от того, кто ее реализовывает — авторизованный пользователь (в том числе и администратор) или злоумышленник. Такие средства могут работать как самостоятельно, так и совместно с межсетевым экраном. Например, система RealSecure обладает возможностью автоматической реконфигурации файрволла CheckPoint Firewall-1 путем изменения правил, запрещая тем самым доступ к ресурсам корпоративной сети с атакуемого узла. Отсутствие защиты новых сетевых сервисов Вторым недостатком межсетевых экранов можно назвать невозможность защиты новых сетевых сервисов. Как правило, файрволл разграничивает доступ по широко распространенным протоколам, таким как HTTP, Telnet, SMTP, FTP и ряду других. Это реализовывается при помощи proxy-механизмов, обеспечивающих контроль трафика, передаваемого при помощи указанных сервисов. Но, несмотря на то, что их число достаточно велико и в хороших файрволлах превышает несколько сотен, они существуют не для всех протоколов. И хотя эта проблема не столь остра, иногда она создает определенные неудобства. Многие производители межсетевых экранов пытаются решить указанную проблему, но удается это далеко не всем. Одни разработчики создают proxy для новых протоколов и сервисов, но всегда существует временной интервал от нескольких дней до нескольких месяцев между появлением протокола и соответствующего ему proxy. Другие производители межсетевых экранов предлагают средства для написания своих proxy, однако в этом случае необходима высокая квалификация программистов организации и время для написания эффективного кода. Ограничение функциональности сетевых сервисов Некоторые корпоративные сети используют топологию, которая трудно "уживается" с межсетевым экраном, или используют некоторые сервисы (например, NFS) таким образом, что применение файрволла требует существенной перестройки всей сетевой инфраструктуры. Решить данную проблему можно только путем правильного проектирования топологии сети на начальном этапе создания корпоративной системы. Это позволит не только снизить последующие материальные затраты на приобретение средств защиты информации, но и эффективно встроить межсетевые экраны. Если сеть уже спроектирована и функционирует, то, возможно, стоит подумать о применении вместо файрволла какого-либо другого решения, например, системы обнаружения атак. Потенциальная опасность обхода межсетевого экрана Известно, что доступ в сеть через модем по протоколам SLIP или PPP в обход межсетевого экрана делает сеть практически незащищенной. Достаточно распространена ситуация, когда сотрудники организации, находясь дома, при помощи программ удаленного доступа типа pcAnywhere или по протоколу Telnet обращаются к данным или программам на своем рабочем компьютере или через него получают доступ в интернет. Говорить о безопасности в такой ситуации просто не приходится, даже в случае эффективной настройки межсетевого экрана. Для решения этой задачи необходимо строго контролировать все имеющиеся в корпоративной сети модемы и программное обеспечение удаленного доступа. Для этих целей возможно применение как организационных, так и технических мер. Например, разумным выглядит использование систем разграничения доступа, в том числе и к COM-портам (например, Secret Net) или систем анализа защищенности (например, Internet Scanner и System Scanner). Правильно разработанная политика безопасности обеспечит дополнительный уровень защиты корпоративной сети, установит ответственность за нарушение правил работы в сети интернет. Потенциально опасные возможности Новые возможности, которые появились недавно, и которые облегчают жизнь пользователям интернет, разрабатывались практически без учета требований безопасности. К ним относятся, к примеру, Java, ActiveX и другие сервисы, ориентированные на работу с данными. Они являются потенциально опасными, так как могут содержать в себе враждебные инструкции, нарушающие установленную политику безопасности. И если операции по протоколу HTTP могут достаточно эффективно контролироваться межсетевым экраном, то защиты от "мобильного" кода Java и ActiveX практически нет. Его доступ в защищаемую сеть либо полностью разрешается, либо полностью запрещается. И, несмотря на заявления разработчиков межсетевых экранов о контроле апплетов Java и сценариев JavaScript, враждебный код может попасть в даже в случае полного их блокирования в настройках файрволла. Защита от таких полезных, но потенциально опасных возможностей должна решаться в каждом конкретном случае по-своему. Можно проанализировать необходимость использования новой возможности и совсем отказаться от нее; а можно использовать специализированные защитные средства, обеспечивающие безопасность сети от враждебного "мобильного" кода. Вирусы и атаки Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к файрволлу дополнительных модулей или программ третьих разработчиков. Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов? В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Снижение производительности Несмотря на то, что подсоединение к сетям общего пользования осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным. В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек). Отсутствие контроля своей конфигурации Даже если все описанные выше проблемы решены, остается опасность, что межсетевой экран неправильно сконфигурирован. Приходится сталкиваться с ситуацией, когда приобретается межсетевой экран, первоначальная конфигурация которого осуществляется специалистами поставщика и тем самым, как правило, обеспечивается высокий уровень защищенности корпоративных ресурсов. Однако, с течением времени, ситуация меняется, - сотрудники хотят получить доступ к новым ресурсам интернета, работать с новым сервисами (к примеру, RealAudio, VDOLive). Таким образом, постепенно защита, реализуемая межсетевым экраном, становится дырявой как решето, и огромное число правил, добавленных администратором, сводятся к одному: "разрешено все и всем". В этом случае помогут средства анализа защищенности. Средства анализа защищенности могут тестировать межсетевой экран как на сетевом уровне (например, подверженность атакам типа "отказ в обслуживании"), так и на уровне операционной системы (например, права доступа к конфигурационным файлам межсетевого экрана). Кроме того, при сканировании возможна реализация атак типа "подбор пароля", позволяющие обнаружить "слабые" пароли или пароли, установленные производителем по умолчанию. К средствам, проводящим такие проверки, можно отнести, например, систему Internet Scanner американской компании Internet Security Systems (ISS). Заключение Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При его выборе и приобретении необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети интернет или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения информационной безопасности. Павел Корнеенко
Весь номер

Новости партнеров: