19.09.2001, среда

 

РАЗГРАНИЧЕНИЕ ДОСТУПА

Технологии Интернет позволяют создать экономически выгодную глобальную коммуникационную инфраструктуру, которая обеспечит доступ в мировых масштабах работникам компании, покупателям, производителям оборудования, поставщикам и ключевым партнерам по бизнесу. Это является существенным расширением возможностей обмена совместно используемой информацией, однако увеличивает вероятность риска подвергнуть свою корпоративную сеть новым рискам и угрозам.

Как организация может противостоять неавторизованному доступу и защитить свои ресурсы и информацию? Контроль доступа - фундаментальный элемент любой политики безопасности, непосредственно ориентированный на решение этой задачи.

Чем обмениваются сети предприятия?

Разграничение доступа защищает организацию от потенциальных угроз благодаря четкому специфицированию и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничный шлюз сети организации. Ключевой особенностью устройств, обеспечивающих контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения и не могут обрабатывать трафик UDP и динамических протоколов. Средства защиты сетей второго поколения - основанные на использовании приложений посредников (proxy) - требуют, зачастую, очень мощных компьютеров и достаточно медленно адаптируются к появлению новых сетевых служб Интернет, которые появляются регулярно. В противовес этому, технология stateful inspection, реализованная в Check Point FireWall-1, дает шлюзу полную информацию о коммуникациях, что совместно с объектно-ориентированным подходом в описании сетевых ресурсов и сервисов позволяет быстро и легко адаптировать систему к новым услугам Интернет. FireWall-1 предоставляет исчерпывающие возможности по контролю доступа для более чем 160 предопределенных сервисов Интернет и имеет средства для удобного специфицирования новых сервисов пользователя.

В дополнение к перечисленным возможностям, FireWall-1 позволяет регулировать доступ к ресурсам сети, учитывая время. Это дает возможность существенно детализировать процессы работы с ресурсами сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться минуты, часы, дни месяца, дни недели, месяц, год). К примеру, организация может решить ограничить доступ в Интернет для просмотра Web в рабочее время и разрешить в не рабочие часы. Другой пример - запретить доступ к критическим серверам на время проведения полного сохранения информации серверов.

Создание политики безопасности

Процесс описания правил разграничения доступа в такой хорошо спроектированной системе, как Check Point FireWall-1, прост и очевиден. Все аспекты политики информационной безопасности организации могут быть специфицированы с использованием графического интерфейса FireWall-1, который неоднократно завоевывал различные (http://www.checkpoint.com/awards/index.html) награды. При определении элементов сети применяется объектно-ориентированный подход.

Будучи создан, объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов, сетевых сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие узлы безопасности данное правило должно распространяться. По умолчанию, правила действуют на всех шлюзах с установленным FireWall-1. Поддерживаются различные платформы, включая UNIX и NT, а также различное межсетевое оборудование OPSEC партнеров компании Check Point.

Уникальное преимущество Check Point FireWall-1 - это возможность создать единую политику безопасности для предприятия в целом. После создания политики безопасности FireWall-1 проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети.




Распределенный доступ

Архитектура FireWall-1 позволяет беспрепятственно наращивать возможности продукта по мере возрастания потребностей организации во внедрении различных элементов информационной безопасности. С другой стороны, административные функции FireWall-1 также ориентированы на многопользовательский доступ, и предоставляют организации возможность разграничивать функции администраторов системы безопасности. После авторизации администратор системы FireWall-1 наследует те права, которые установил администратор безопасности для этого FireWall-1 и которые специфицируются редактором правил. Это дает возможность администрировать несколько систем FireWall-1 с одного рабочего места одновременно.

FireWall-1 поддерживает различные уровни административного доступа:

  • Read/Write: полный доступ ко всем функциональным возможностям административных средств
  • User Edit: дает возможность изменять учетные записи пользователей, остальные возможности ограничены правами на чтение
  • Read Only: доступ только на чтение
  • Monitor Only: доступ на чтение к средствам визуализации статистики

Элементы защиты от несанкционированного доступа

IP Spoofing - способ воздействия на элементы сетевой инфраструктуры или получения неавторизованного доступа. В этом случае взломщик подменяет IP адреса в пакетах с целью сделать их похожими на пакеты от более привилегированного источника. Для примера, пакеты, порожденные в Интернет, могут выглядеть как локальные пакеты. FireWall-1 защищает от подобного рода воздействий, легко распознает такие попытки и сообщает о них оператору.

Denial of Service Attack - использует слабости TCP протокола. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/ACK-подтверждением, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. Получив такое подтверждение, клиент посылает уведомление о начале передачи данных – пакет, в TCP заголовке которого установлен флаг ACK. Если адрес клиента подменен (spoofed), например, на несуществующий в Интернет, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак.

Решения, основанные на применении программ-посредников, сами по себе не в состоянии защитить от атак SYN flooding. Таким образом, шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры тоже не в состоянии защитить от подобного рода атак, так как они не имеют необходимой информации о состоянии соединений и не могут проводить инспекцию пакетов с учетом этого состояния. FireWall-1 предлагает встроенную защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния соединений и используя механизм SYNDefender.

Ping of Death - практически каждая операционная система, а также некоторые маршрутизаторы, имеют различные ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление этих ограничений часто связано с появлением новых видов атак. Так, большинство ОС чувствительны к PING (ICMP), размер поля данных которых больше, чем 65508. В результате, ICMP-пакеты после добавления необходимых заголовков становятся больше чем 64k (длинна заголовка составляет 28 байт) и, как правило, не могут правильно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок.

FireWall-1, обладая механизмом Stateful Inspection, может осуществлять защиту от таких атак, для чего необходимо определить объект типа протокол и добавить правило, которое запрещает прохождение ICMP пакетов, длиннее 64K.

Примеры методов защиты

Сокрытие Firewall - в нормальных условиях любой пользователь корпоративной сети потенциально может получить доступ к шлюзу с firewall. Этой ситуации необходимо избегать, для чего нужно предпринять меры для сокрытия шлюзового устройства.

Check Point FireWall-1 позволяет реализовать это путем добавления одного простого правила в политику безопасности. Сокрытие шлюза, таким образом, предотвращает любые попытки взаимодействия любого пользователя или приложения со шлюзом безопасности, и делает такой шлюз невидимым. Исключение составляют только администраторы системы безопасности.

Применение механизмов Трансляции Сетевых Адресов позволяет полностью скрыть или замаскировать внутреннюю сетевую структуру.

Расширенные возможности сбора статистики и генерация предупреждений

Connection Accounting - FireWall-1, помимо обычной регистрации факта соединения, предоставляет возможность получить интегральные данные о продолжительности, количестве переданных байтов информации и количестве переданных пакетов в данной сессии.

Эти данные записываются в регистрационный журнал в тот момент, когда отслеживаемая сессия заканчивается. Дополнительно можно проследить за параметрами активных соединений.

Active Connections - в FireWall-1 администратор системы безопасности может, используя то же средство просмотра и анализа статистики - Log Viewer, отслеживать активные соединения через модули брандмауэров. Эта статистика в реальном времени обрабатывается и предоставляется оператору так же, как и обычные записи. Они заносятся в специальный файл и находятся там до тех пор, пока соединение не будет закрыто. Это позволяет использовать те же механизмы отбора событий, как и при работе с обычным файлом статистики. Заметим, что при использовании опции сбора дополнительной информации о соединениях, данные интегральной статистики непрерывно обновляются, так, что администратор безопасности может отслеживать не только сам факт соединения, но и интенсивность информационного обмена по нему в реальном времени.

Различные возможности уведомления - FireWall-1 включает в себя множество различных опций для уведомления операторов: от уведомления по электронной почте до возможности посылки SNMP-исключений (traps) для интеграции с такими платформами сетевого управления как HP OpenView, SunNet Manager, IBM's NetView 6000. В дополнение к основным механизмам уведомлений предусмотрена возможность создавать собственные варианты обработки ситуаций, требующих уведомления. Это предоставляет возможность стыковки системы защиты с пэйджинговыми службами или системами быстрого реагирования.



Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2001 г.

Toolbar | КПК-версия | Подписка на новости  | RSS