Информация. ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ. В. Ф. Шаньгининформационная безопасность компьютерных систем

Открытая
внешняя сеть
Защищаемая
внутренняя сеть
Рис. 9.1. Схема подключения межсетевого экрана МЭ
корпоративной сети. К таким пользователям могут быть отнесены партнеры, удаленные пользователи, хакеры и даже сотрудники самой компании, пытающиеся получить доступ к серверам баз данных, защищаемых МЭ;
• задачу разграничения доступа пользователей защищаемой сети к внешним ресурсам. Решение этой задачи позволяет, например, регулировать доступ к серверам, не требующим­
ся для выполнения служебных обязанностей.
До сих пор не существует единой общепризнанной класси­
фикации МЭ. Их можно классифицировать, например, по сле­
дующим основным признакам [32].
По функционированию на уровнях модели OSI:
• пакетный фильтр (экранирующий маршрутизатор — screen­
ing router);
• шлюз сеансового уровня (экранирующий транспорт);
• прикладной шлюз (application gateway);
• шлюз экспертного уровня {stateful inspection firewall).
По используемой технологии:
• контроль состояния протокола {stateful inspection);
• на основе модулей посредников {proxy).
По исполнению:
• аппаратно-программный;
• программный.
По схеме подключения:
• схема единой защиты сети;
• схема с защищаемым закрытым и не защищаемым откры­
тым сегментами сети;
• схема с раздельной защитой закрытого и открытого сег­
ментов сети.

9 .1 .1 . Фильтрация трафика
Фильтрация информационных потоков состоит в их выбо­
рочном пропускании через экран, возможно, с выполнением не­
которых преобразований [9, 32]. Фильтрация осуществляется на основе набора предварительно загруженных в МЭ правил, соот­
ветствующих принятой политике безопасности. Поэтому МЭ удобно представлять как последовательность фильтров, обраба­
тывающих информационный поток (рис. 9.2).
Каждый из фильтров предназначен для интерпретации от­
дельных правил фильтрации путем:
1) анализа информации по заданным в интерпретируемых правилах критериям, например по адресам получателя и отпра­
вителя или по типу приложения, для которого эта информация предназначена;
2) принятия на основе интерпретируемых правил одного из следующих решений:
• не пропустить данные;
• обработать данные от имени получателя и возвратить ре­
зультат отправителю;
• передать данные на следующий фильтр для продолжения анализа;
• пропустить данные, игнорируя следующие фильтры.
Правила фильтрации могут задавать и дополнительные дей­
ствия, которые относятся к функциям посредничества, напри-
13
-

мер преобразование данных, регистрация событий и др. Соот­
ветственно правила фильтрации определяют перечень условий, по которым осуществляется:
• разрешение или запрещение дальнейшей передачи данных;
• выполнение дополнительных защитных функций.
В качестве критериев анализа информационного потока мо­
гут использоваться следующие параметры:
• служебные поля пакетов сообщений, содержащие сетевые адреса, идентификаторы, адреса интерфейсов, номера пор­
тов и другие значимые данные;
• непосредственное содержимое пакетов сообщений, прове­
ряемое, например, на наличие компьютерных вирусов;
• внешние характеристики потока информации, например, временные, частотные характеристики, объем данных и т. д.
Используемые критерии анализа зависят от уровней модели
OSI, на которых осуществляется фильтрация. В общем случае, чем выше уровень модели OSI, на котором МЭ фильтрует паке­
ты, тем выше и обеспечиваемый им уровень защиты.
9 .1 .2 . Выполнение ф ункций посредничества
Функции посредничества МЭ выполняет с помощью специ­
альных программ, называемых экранирующими агентами или
программами-посредниками. Эти программы являются резидент­
ными и запрещают непосредственную передачу пакетов сообще­
ний между внешней и внутренней сетью.
При необходимости доступа из внутренней сети во внешнюю сеть или наоборот вначале должно быть установлено логическое соединение с программой-посредником, функционирующей на компьютере МЭ. Программа-посредник проверяет допустимость запрошенного межсетевого взаимодействия и при его разреше­
нии сама устанавливает отдельное соединение с требуемым ком­
пьютером. Далее обмен информацией между компьютерами внутренней и внешней сети осуществляется через программного посредника, который может выполнять фильтрацию потока со­
общений, а также осуществлять другие защитные функции.
Следует иметь в виду, что МЭ может выполнять функции фильтрации без применения программ-посредников, обеспечи­
вая прозрачное взаимодействие между внутренней и внешней

сетью. Вместе с тем программные посредники могут и не осуще­
ствлять фильтрацию потока сообщений.
В общем случае программы-посредники, блокируя прозрачную передачу потока сообщений, могут выполнять следующие функ­
ции:
• проверку подлинности передаваемых данных;
• фильтрацию и преобразование потока сообщений, напри­
мер, динамический поиск вирусов и прозрачное шифрова­
ние информации;
• разграничение доступа к ресурсам внутренней сети;
• разграничение доступа к ресурсам внешней сети;
• кэширование данных, запрашиваемых из внешней сети;
• идентификацию и аутентификацию пользователей;
• трансляцию внутренних сетевых адресов для исходящих пакетов сообщений;
• регистрацию событий, реагирование на задаваемые собы­
тия, а также анализ зарегистрированной информации и ге­
нерацию отчетов [9, 32].
Программы-посредники могут осуществлять проверку подлин­
ности получаемых и передаваемых данных. Это актуально не только для аутентификации электронных сообщений, но и миг­
рирующих программ (Java, ActiveX Controls), по отношению к которым может быть выполнен подлог. Проверка подлинности сообщений и программ заключается в контроле их цифровых подписей.
Программы-посредники могут выполнять разграничение до­
ступа к ресурсам внутренней или внешней сети, используя ре­
зультаты идентификации и аутентификации пользователей при их обращении к МЭ.
Способы разграничения доступа к ресурсам внутренней сети практически не отличаются от способов разграничения, поддер­
живаемых на уровне операционной системы.
При разграничении доступа к ресурсам внешней сети чаще всего используется один из следующих подходов:
• разрешение доступа только по заданным адресам во внеш­
ней сети;
• фильтрация запросов на основе обновляемых списков не­
допустимых адресов и блокировка поиска информацион­
ных ресурсов по нежелательным ключевым словам;
• накопление и обновление администратором санкциониро­
ванных информационных ресурсов внешней сети в дис­

ковой памяти МЭ и полный запрет доступа во внешнюю сеть.
С помощью специальных посредников поддерживается так­
же кэширование данных, запрашиваемых из внешней сети. При доступе пользователей внутренней сети к информационным ре­
сурсам внешней сети вся информация накапливается на про­
странстве жесткого диска МЭ, называемого в этом случае
ргоху-сервером. Поэтому если при очередном запросе нужная ин­
формация окажется на ргоху-сервере, то посредник предоставля­
ет ее без обращения к внешней сети, что существенно ускоряет доступ. Администратору следует позаботиться только о периоди­
ческом обновлении содержимого proxy-сервера.
Функция кэширования успешно может использоваться для ограничения доступа к информационным ресурсам внешней сети. В этом случае все санкционированные информационные ресурсы внешней сети накапливаются и обновляются админист­
ратором на ргоху-сервере. Пользователям внутренней сети раз­
решается доступ только к информационным ресурсам ргоху-сер- вера, а непосредственный доступ к ресурсам внешней сети за­
прещается.
Фильтрация и преобразование потока сообщений выполняется посредником на основе заданного набора правил. Здесь следует различать два вида программ-посредников:
• экранирующие агенты, ориентированные на анализ потока сообщений для определенных видов сервиса, например
FTP, HTTP, Telnet;
• универсальные экранирующие агенты, обрабатывающие весь поток сообщений, например агенты, ориентирован­
ные на поиск и обезвреживание компьютерных вирусов, или прозрачное шифрование данных.
Программный посредник анализирует поступающие к нему пакеты данных и, если какой-либо объект не соответствует задан­
ным критериям, то либо блокирует его дальнейшее продвижение, либо выполняет соответствующие преобразования, например обезвреживает обнаруженные компьютерные вирусы. При анали­
зе содержимого пакетов важно, чтобы экранирующий агент мог автоматически распаковывать проходяшие файловые архивы.
МЭ с посредниками позволяют также организовывать защи­
щенные виртуальные сети VPN (Virtual Private Network), напри­
мер безопасно объединять несколько локальных сетей, подклю­
ченных к Internet, в одну виртуальную сеть.

9 .1 .3 . Дополнительные возможности М Э
Помимо выполнения фильтрации трафика и функций по­
средничества некоторые МЭ позволяют реализовывать другие, не менее важные функции, без которых обеспечение защиты пе­
риметра внутренней сети было бы неполным [9].
Идентификация и аутентификация пользователей. Кроме раз­
решения или запрещения допуска различных приложений в сеть, МЭ могут также выполнять аналогичные действия и для пользователей, которые желают получить доступ к внешним или внутренним ресурсам, разделяемым МЭ.
Прежде чем пользователю будет предоставлено право исполь­
зования какого-либо сервиса, необходимо убедиться, что он дей­
ствительно тот, за кого себя выдает. Идентификация и аутенти­
фикация пользователей являются важными компонентами кон­
цепции МЭ. Авторизация пользователя обычно рассматривается в контексте аутентификации — как только пользователь аутенти­
фицирован, для него определяются разрешенные ему сервисы.
Идентификация и аутентификация пользователя иногда осу­
ществляются при предъявлении обычного идентификатора (име­
ни) и пароля. Однако эта схема уязвима с точки зрения безопас­
ности — пароль может быть перехвачен и использован другим лицом. Многие инциденты в сети Internet произошли отчасти из-за уязвимости традиционных многоразовых паролей. Зло­
умышленники могут наблюдать за каналами в сети Internet и пе­
рехватывать передающиеся в них открытым текстом пароли, по­
этому такая схема аутентификации считается неэффективной.
Пароль следует передавать через общедоступные коммуникации в зашифрованном виде (рис. 9.3). Это позволяет предотвратить получение несанкционированного доступа путем перехвата сете­
вых пакетов.
Более надежным методом аутентификации является исполь­
зование одноразовых паролей. Широкое распространение полу­
чила технология аутентификации на основе одноразовых паро­
лей SecurlD (см. гл. 7 и 13).
Удобно и надежно также применение цифровых сертифика­
тов, выдаваемых доверенными органами, например центром рас­
пределения ключей. Большинство программ-посредников разра­
батываются таким образом, чтобы пользователь аутентифициро­
вался только в начале сеанса работы с МЭ. После этого от него

станция
станция
Рис. 9.3. Схема аутентификации пользователя по предъявляемому паролю
не требуется дополнительная аутентификация в течение време­
ни, определяемого администратором.
Так как МЭ могут централизовать управление доступом в сети, они являются подходящим местом для установки программ или устройств усиленной аутентификации. Хотя средства уси­
ленной аутентификации могут использоваться на каждом хосте, более практично их размещение на МЭ. При отсутствии МЭ, ис­
пользующего меры усиленной аутентификации, неаутентифици- рованный трафик таких приложений, как Telnet или FTP, может напрямую проходить к внутренним системам в сети.
Ряд МЭ поддерживают Kerberos — один из распространен­
ных методов аутентификации. Как правило, большинство ком­
мерческих МЭ поддерживают несколько различных схем аутен­
тификации, позволяя администратору сетевой безопасности сде­
лать выбор наиболее приемлемой схемы для своих условий.
Трансляция сетевых адресов. Для реализации многих атак злоумышленнику необходимо знать адрес своей жертвы. Чтобы скрыть эти адреса, а также топологию всей сети, МЭ выполняют очень важную функцию — трансляцию внутренних сетевых ад­
ресов (network address translation) (рис. 9.4).

Рис. 9.4. Трансляция сетевых адресов
Данная функция реализуется по отношению ко всем паке­
там, следующим из внутренней сети во внешнюю. Для этих па­
кетов выполняется автоматическое преобразование ІР-адресов компьютеров-отправителей в один «надежный» ІР-адрес.
Трансляция внутренних сетевых адресов может осуществ­
ляться двумя способами — динамически и статически. В первом случае адрес выделяется узлу в момент обращения к МЭ. После завершения соединения адрес освобождается и может быть ис­
пользован любым другим узлом корпоративной сети. Во втором случае адрес узла всегда привязывается к одному адресу МЭ, из которого передаются все исходящие пакеты. IP-адрес МЭ стано­
вится единственным активным IP-адресом, который попадает во внешнюю сеть. В результате все исходящие из внутренней сети пакеты оказываются отправленными МЭ, что исключает прямой контакт между авторизованной внутренней сетью и являющейся потенциально опасной внешней сетью.
При таком подходе топология внутренней сети скрыта от внешних пользователей, что усложняет задачу несанкциониро­
ванного доступа. Кроме повышения безопасности трансляция адресов позволяет иметь внутри сети собственную систему адре­
сации, не согласованную с адресацией во внешней сети, напри­
мер в сети Internet. Это эффективно решает проблему расшире­

ния адресного пространства внутренней сети и дефицита адре­
сов внешней сети.
Администрирование, регистрация событий и генерация отчетов.
Простота и удобство администрирования является одним из ключевых аспектов в создании эффективной и надежной систе­
мы защиты. Ошибки при определении правил доступа могут об­
разовать дыру, через которую возможен взлом системы. Поэтому в большинстве МЭ реализованы сервисные утилиты, облегчаю­
щие ввод, удаление, просмотр набора правил. Наличие этих ути­
лит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактирования правил.
Как правило, утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например все, что относится к конкретному пользователю или сервису.
Важными функциями МЭ являются регистрация событий,
реагирование на задаваемые события, а также анализ зарегистри­
рованной информации и составление отчетов. МЭ, являясь крити­
ческим элементом системы защиты корпоративной сети, имеет возможность регистрации всех действий, им фиксируемых. К та­
ким действиям относятся не только пропуск или блокирование сетевых пакетов, но и изменение правил разграничения доступа администратором безопасности и другие действия. Такая регист­
рация позволяет обращаться к создаваемым журналам по мере необходимости (в случае возникновения инцидента безопасно­
сти или сбора доказательств для предоставления их в судебные инстанции или для внутреннего расследования).
При правильно настроенной системе фиксации сигналов о подозрительных событиях (alarm) МЭ может дать детальную ин­
формацию о том, были ли МЭ или сеть атакованы или зондиро­
ваны. Собирать статистику использования сети и доказательства ее зондирования важно по нескольким причинам. Прежде всего нужно знать наверняка, что МЭ устойчив к зондированию и ата­
кам, и определить, адекватны ли меры защиты МЭ. Кроме того, статистика использования сети важна в качестве исходных дан­
ных при проведении исследований и анализе риска для форму­
лирования требований к сетевому оборудованию и программам.
Многие МЭ содержат мощную систему регистрации, сбора и анализа статистики. Учет может вестись по адресам клиента и сервера, идентификаторам пользователей, времени сеансов, вре­
мени соединений, количеству переданных/принятых данных, действиям администратора и пользователей. Системы учета по­

зволяют произвести анализ статистики и предоставляют админи­
страторам подробные отчеты. За счет использования специаль­
ных протоколов МЭ могут выполнить удаленное оповещение об определенных событиях в режиме реального времени.
В качестве обязательной реакции на обнаружение попыток выполнения несанкционированных действий должно быть опре­
делено уведомление администратора, т. е. выдача предупреди­
тельных сигналов. Любой МЭ, который не способен посылать предупредительные сигналы при обнаружении нападения, нель­
зя считать эффективным средством межсетевой защиты.
9.2. Особенности функционирования МЭ на различных
уровнях модели OSI
МЭ поддерживают безопасность межсетевого взаимодейст­
вия на различных уровнях модели OSI. При этом функции за­
щиты, выполняемые на разных уровнях эталонной модели, су­
щественно отличаются друг от друга. Поэтому комплексный
МЭ удобно представить в виде совокупности неделимых экра­
нов, каждый из которых ориентирован на отдельный уровень модели OSI.
Чаще всего комплексный экран функционирует на сетевом, сеансовом и прикладном уровнях эталонной модели. Соответст­
венно различают такие неделимые МЭ (рис. 9.5), как:
• экранирующий маршрутизатор;
• шлюз сеансового уровня (экранирующий транспорт);
• шлюз прикладного уровня (экранирующий шлюз) [9, 32].
Используемые в сетях протоколы (TCP/IP, SPX/IPX) не пол­
ностью соответствуют эталонной модели OSI, поэтому экраны перечисленных типов при выполнении своих функций могут ох­
ватывать и соседние уровни эталонной модели. Например, при­
кладной экран может осуществлять автоматическое зашифровы- вание сообщений при их передаче во внешнюю сеть, а также ав­
томатическое расшифровывание криптографически закрытых принимаемых данных. В этом случае такой экран функциониру­
ет не только на прикладном уровне модели OSI, но и на уровне представления.
Шлюз сеансового уровня при своем функционировании ох­
ватывает транспортный и сетевой уровни модели OSI. Экрани-

Прикладной уровень
Прикладной шлюз
V *-*-
V
V
Прикладной уровень
Уровень представления
, ,
(
Шлюз сеансового
V ,
V
уровня
)
, ,
(
Экранирующий
V - * .
V
маршрутизатор
J
Уровень представления
Сеансовый уровень
Сеансовый уровень
Транспортный уровень
Транспортный уровень
Сетевой уровень
Сетевой уровень
Канальный уровень
Канальный уровень
Физический уровень
Физический уровень
Рис. 9.5. Типы межсетевых экранов, функционирующих на отдельных уровнях
модели OSI
рующий маршрутизатор при анализе пакетов сообщений прове­
ряет их заголовки не только сетевого, но и транспортного уровня.
МЭ указанных типов имеют свои достоинства и недостатки.
Многие из используемых МЭ являются либо прикладными шлюзами, либо экранирующими маршрутизаторами, не обеспе­
чивая полную безопасность межсетевого взаимодействия. На­
дежную защиту обеспечивают только комплексные межсетевые экраны, каждый из которых объединяет экранирующий маршру­
тизатор, шлюз сеансового уровня, а также прикладной шлюз.
Рассмотрим функционирование прикладного шлюза.
9 .2 Л .
П р и к л а д н о й шлюз
Прикладной шлюз, называемый также экранирующим шлюзом, функционирует на прикладном уровне модели OSI, охватывая также уровень представления, и обеспечивает наиболее надеж­
ную защиту межсетевых взаимодействий [9, 32]. Защитные функ­
ции прикладного шлюза, как и шлюза сеансового уровня, отно­
сятся к функциям посредничества. Однако прикладной шлюз, в отличие от шлюза сеансового уровня, может выполнять сущест­
венно большее количество функций защиты, к которым относят­
ся следующие:
• идентификация и аутентификация пользователей при по­
пытке установления соединений через МЭ;
• проверка подлинности информации, передаваемой через шлюз;

• разграничение доступа к ресурсам внутренней и внешней сетей;
• фильтрация и преобразование потока сообщений, напри­
мер динамический поиск вирусов и прозрачное шифрова­
ние информации;
• регистрация событий, реагирование на задаваемые собы­
тия, а также анализ зарегистрированной информации и ге­
нерация отчетов;
• кэширование данных, запрашиваемых из внешней сети.
Поскольку функции прикладного шлюза относятся к функ­
циям посредничества, этот шлюз представляет собой универ­
сальный компьютер, на котором функционируют программные посредники (экранирующие агенты) — по одному для каждого обслуживаемого прикладного протокола (HTTP, FTP, SMTP,
NNTP и др.). Программный посредник (application proxy) каждой службы TCP/IP ориентирован на обработку сообщений и вы­
полнение функций защиты, относящихся именно к этой службе.
Прикладной шлюз перехватывает с помощью соответствую­
щих экранирующих агентов входящие и исходящие пакеты, ко­
пирует и перенаправляет информацию, т. е. функционирует в качестве сервера-посредника, исключая прямые соединения ме­
жду внутренней и внешней сетью (рис. 9.6).
Посредники, используемые прикладным шлюзом, имеют важ­
ные отличия от канальных посредников шлюзов сеансового уров-
Рис. 9.6. Схема функционирования прикладного шлюза

ня. Во-первых, посредники прикладного шлюза связаны с кон­
кретными приложениями (программными серверами), во-вторых, они могут фильтровать поток сообщений на прикладном уровне модели OSI.
Прикладные шлюзы используют в качестве посредников спе­
циально разработанные для этой цели программные серверы конкретных служб TCP/IP — серверы HTTP, FTP, SMTP, NNTP и др. Эти программные серверы функционируют на МЭ в рези­
дентном режиме и реализуют функции защиты, относящиеся к соответствующим службам TCP/IP.
Шлюз прикладного уровня обладает следующими достоинст­
вами:
• обеспечивает высокий уровень защиты локальной сети бла­
годаря возможности выполнения большинства функций посредничества;
• защита на уровне приложений позволяет осуществлять большое число дополнительных проверок, уменьшая тем самым вероятность проведения успешных атак, возможных из-за недостатков программного обеспечения;
• при нарушении его работоспособности блокируется сквоз­
ное прохождение пакетов между разделяемыми сетями, в результате чего безопасность защищаемой сети не снижает­
ся из-за возникновения отказов.
К недостаткам прикладного шлюза относятся:
• высокие требования к производительности и ресурсоемко- сти компьютерной платформы;
• отсутствие «прозрачности» для пользователей и снижение пропускной способности при реализации межсетевых взаи­
модействий.
9 .2 .2 . Варианты исполнения М Э
Существует два основных варианта исполнения МЭ — про­
граммный и программно-аппаратный. В свою очередь програм- мно-аппаратный вариант имеет две разновидности — в виде спе­
циализированного устройства и в виде модуля в маршрутизаторе или коммутаторе.
В настоящее время чаще используется программное реше­
ние, которое на первый взгляд выглядит более привлекатель­
ным. Это связано с тем, что для его применения достаточно, ка-

залось бы, только приобрести программное обеспечение (ПО)
МЭ и установить на любой компьютер, имеющийся в организа­
ции. Однако на практике далеко не всегда в организации нахо­
дится свободный компьютер, удовлетворяющий достаточно вы­
соким требованиям по системным ресурсам. Поэтому одновре­
менно с приобретением ПО приобретается и компьютер для его установки. Затем следует процесс установки на компьютер опе­
рационной системы (ОС) и ее настройка, что также требует вре­
мени и оплаты работы установщиков. И только после этого ус­
танавливается и настраивается ПО системы обнаружения атак.
Нетрудно заметить, что использование обычного персонального компьютера далеко не так просто, как кажется на первый взгляд.
Поэтому в последние годы значительно возрос интерес к программно-аппаратным решениям [9, 32], которые постепенно вытесняют «чисто» программные системы. Широкое распростра­
нение стали получать специализированные программно-аппарат­
ные решения, называемые security appliance. Программно-аппа- ратный комплекс межсетевого экранирования обычно состоит из компьютера, а также функционирующих на нем ОС и специаль­
ного ПО. Следует отметить, что это специальное ПО часто назы­
вают firewall. Используемый компьютер должен быть достаточно мощным и физически защищенным, например находиться в спе­
циально отведенном и охраняемом помещении. Кроме того, он должен иметь средства защиты от загрузки ОС с несанкциониро­
ванного носителя. Программно-аппаратные комплексы исполь­
зуют специализированные или обычные ПО (как правило, на базе FreeBSD, Linux или Microsoft Windows NT (2000)), «урезан­
ные» для выполнения заданных функций и удовлетворяющие ряду требований:
• иметь средства разграничения доступа к ресурсам системы;
• блокировать доступ к компьютерным ресурсам в обход предоставляемого программного интерфейса;
• запрещать привилегированный доступ к своим ресурсам из локальной сети;
• содержать средства мониторинга/аудита любых админист­
ративных действий.
Достоинства специализированных программно-аппаратных решений:
• простота внедрения в технологию обработки информации.
Такие средства поставляются с заранее установленной и настроенной ОС и защитными механизмами, поэтому

необходимо только подключить их к сети, что выполняется в течение нескольких минут;
• простота управления. Данные средства могут управляться с любой рабочей станции Windows 9х, NT, 2000 или Unix.
Взаимодействие консоли управления с устройством осуще­
ствляется либо по стандартным протоколам, например
Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например SSH или SSL;
• отказоустойчивость и высокая доступность. Исполнение
МЭ в виде специализированного программно-аппаратного комплекса позволяет реализовать механизмы обеспечения не только программной, но и аппаратной отказоустойчиво­
сти и высокой доступности;
• высокая производительность и надежность. За счет исклю­
чения из ОС всех «ненужных» сервисов и подсистем, про- граммно-аппаратный комплекс работает более эффективно с точки зрения производительности и надежности;
• специализация на защите. Решение только задач обеспече­
ния сетевой безопасности не приводит к затратам ресурсов на выполнение других функций, например маршрутизации и т. п.
9.3. Схемы сетевой защиты на базе МЭ
При подключении корпоративной или локальной сети к гло­
бальным сетям необходимы:
• защита корпоративной или локальной сети от удаленного
НСД со стороны глобальной сети;
• сокрытие информации о структуре сети и ее компонентов от пользователей глобальной сети;
• разграничение доступа в защищаемую сеть из глобальной сети и из защищаемой сети в глобальную сеть.
Для эффективной защиты межсетевого взаимодействия сис­
тема МЭ должна быть правильно установлена и сконфигуриро­
вана. Данный процесс состоит:
• из формирования политики межсетевого взаимодействия;
• выбора схемы подключения и настройки параметров функ­
ционирования МЭ.

9 З А . Ф о р м и р о в а н и е политики межсетевого
взаимодействия
Политика межсетевого взаимодействия является составной ча­
стью общей политики безопасности в организации. Она определя­
ет требования к безопасности информационного обмена организа­
ции с внешним миром и должна отражать два аспекта [9, 32]:
• политику доступа к сетевым сервисам;
• политику работы МЭ.
Политика доступа к сетевым сервисам определяет правила пре­
доставления и использования всех возможных сервисов защи­
щаемой компьютерной сети. В рамках данной политики должны быть заданы все сервисы, предоставляемые через МЭ, и допусти­
мые адреса клиентов для каждого сервиса. Кроме того, для поль­
зователей должны быть указаны правила, описывающие, когда, кто, каким сервисом и на каком компьютере может воспользо­
ваться. Задаются также ограничения на методы доступа, напри­
мер на использование протоколов SLIP (Serial Line Internet Pro­
tocol) и PPP (Point-to-Point Protocol). Ограничение методов дос­
тупа необходимо для того, чтобы пользователи не могли обращаться к «запрещенным» сервисам Internet обходными путя­
ми. Правила аутентификации пользователей и компьютеров, а также условия работы пользователей вне локальной сети органи­
зации должны быть определены отдельно.
Для того чтобы МЭ успешно защищал ресурсы организации, политика доступа пользователей к сетевым сервисам должна быть реалистичной. Реалистичной считается такая политика, при которой найден баланс между защитой сети организации от известных рисков и необходимым доступом пользователей к се­
тевым сервисам.
Политика работы МЭ задает базовый принцип управления межсетевым взаимодействием, положенный в основу функцио­
нирования МЭ. Может быть выбран один из двух принципов:
1) запрещено все, что явно не разрешено;
2) разрешено все, что явно не запрещено.
Фактически выбор принципа устанавливает, насколько «по­
дозрительной» или «доверительной» должна быть система защи­
ты. В зависимости от выбора, решение может быть принято как в пользу безопасности и в ущерб удобству использования сете­
вых сервисов, так и наоборот.

При выборе принципа 1 МЭ настраивается так, чтобы бло­
кировать любые явно не разрешенные межсетевые взаимодейст­
вия. Этот принцип соответствует классической модели доступа, используемой во всех областях информационной безопасности.
Такой подход позволяет адекватно реализовать принцип мини­
мизации привилегий, поэтому с точки зрения безопасности он является лучшим. Администратор безопасности должен на каж­
дый тип разрешенного взаимодействия задавать правила доступа
(одно и более). Администратор не сможет по забывчивости оста­
вить разрешенными какие-либо полномочия, так как по умолча­
нию они будут запрещены. Доступные лишние сервисы могут быть использованы во вред безопасности, что особенно харак­
терно для закрытого и сложного ПО, в котором могут быть раз­
личные ошибки и некорректности. Принцип 1, в сущности, яв­
ляется признанием факта, что незнание может причинить вред.
Следует отметить, что правила доступа, сформулированные в со­
ответствии с этим принципом, могут доставлять пользователям определенные неудобства.
При выборе принципа 2 МЭ настраивается так, чтобы блоки­
ровать только явно запрещенные межсетевые взаимодействия.
В этом случае повышается удобство использования сетевых сер­
висов со стороны пользователей, но снижается безопасность межсетевого взаимодействия. Пользователи имеют больше воз­
можностей обойти МЭ, например, могут получить доступ к но­
вым сервисам, не запрещаемым политикой (или даже не указан­
ным в политике), или запустить запрещенные сервисы на нестан­
дартных портах TCP/UDP, которые не запрещены политикой.
Администратор может учесть не все действия, которые запреще­
ны пользователям. Ему приходится работать в режиме реагирова­
ния, предсказывая и запрещая те межсетевые взаимодействия, которые отрицательно воздействуют на безопасность сети. При реализации принципа 2 внутренняя сеть оказывается менее защи­
щенной от нападений хакеров, поэтому производители МЭ обыч­
но отказываются от его использования.
МЭ является симметричным. Для него отдельно задаются правила, ограничивающие доступ из внутренней сети во внеш­
нюю сеть, и наоборот. В общем случае его работа основана на динамическом выполнении двух функций:
• фильтрации проходящих через него информационных по­
токов;
• посредничества при реализации межсетевых взаимодействий.

В зависимости от типа экрана эти функции могут выпол­
няться с различной полнотой. Простые МЭ ориентированы на выполнение только одной из них. Комплексные МЭ обеспечи­
вают совместное выполнение указанных функций защиты. Соб­
ственная защищенность МЭ достигается с помощью тех же средств, что и защищенность универсальных систем [9].
Чтобы эффективно обеспечивать безопасность сети, ком­
плексный МЭ обязан управлять всем потоком, проходящим через него, и отслеживать свое состояние. Для принятия управ­
ляющих решений по используемым сервисам МЭ должен полу­
чать, запоминать, выбирать и обрабатывать информацию, полу­
ченную от всех коммуникационных уровней и от других прило­
жений.
Недостаточно просто проверять пакеты по отдельности. Ин­
формация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений — главный фактор в принятии управляющего решения при установлении нового соединения. При принятии решения учитываются как состояние соединения (полученное из прошлого потока данных), так и со­
стояние приложения (полученное из других приложений). Пол­
нота и правильность управления требуют, чтобы комплексный
МЭ имел возможность анализа и использования следующих эле­
ментов:
• информации о соединениях — информации от всех семи уровней в пакете;
• истории соединений — информации, полученной от преды­
дущих соединений;
• состояния уровня приложения — информации о состоянии, полученной из других приложений. Например, аутентифи­
цированному до настоящего момента пользователю можно предоставить доступ через МЭ только для авторизованных
в и д о в
сервиса;
• агрегирующих элементов — вычислений разнообразных выра­
жений, основанных на всех вышеперечисленных факторах.
9-3.2.
Основные схемы под кл ю чен и я М Э
При подключении корпоративной сети к глобальным сетям необходимо разграничить доступ в защищаемую сеть из глобаль­
ной сети и из защищаемой сети в глобальную сеть, а также обес­

печить защиту подключаемой сети от удаленного НСД со сторо­
ны глобальной сети. При этом организация заинтересована в со­
крытии информации о структуре своей сети и ее компонентов от пользователей глобальной сети. Работа с удаленными пользова­
телями требует установления жестких ограничений доступа к информационным ресурсам защищаемой сети.
Часто возникает потребность иметь в составе корпоративной сети несколько сегментов с разными уровнями защищенности:
• свободно доступные сегменты (например, рекламный
WWW-сервер);
• сегмент с ограниченным доступом (например, для доступа сотрудникам организации с удаленных узлов);
• закрытые сегменты (например, финансовая локальная под­
сеть организации).
Для подключения МЭ могут использоваться различные схе­
мы, которые зависят от условий функционирования защищае­
мой сети, а также от количества сетевых интерфейсов и других характеристик, используемых МЭ. Широкое распространение получили схемы:
• защиты сети с использованием экранирующего маршрути­
затора;
• единой защиты локальной сети;
• с защищаемой закрытой и не защищаемой открытой под­
сетями;
• с раздельной защитой закрытой и открытой подсетей [9, 32].
Рассмотрим подробнее схему с защищаемой закрытой и не защищаемой открытой подсетями. Если в составе локальной сети имеются общедоступные открытые серверы, то их целесообразно вынести как открытую подсеть до МЭ (рис. 9.7). Этот способ об-
Рис. 9.7. Схема с защищаемой закрытой и не защищаемой открытой подсетями

ладает высокой защищенностью закрытой части локальной сети, но обеспечивает пониженную безопасность открытых серверов, расположенных до МЭ.
Некоторые МЭ позволяют разместить эти серверы на себе.
Однако такое решение не является лучшим с точки зрения безо­
пасности самого МЭ и загрузки компьютера. Схему подключе­
ния МЭ с защищаемой закрытой подсетью и не защищаемой от­
крытой подсетью целесообразно использовать лишь при невысо­
ких требованиях по безопасности к открытой подсети.
Если же к безопасности открытых серверов предъявляются повышенные требования, тогда необходимо использовать схему с раздельной защитой закрытой и открытой подсетей.
9.3.3.
П ерсональны е и р асп р ед ел е н н ы е сетевые
экраны
За последние несколько лет в структуре корпоративных се­
тей произошли определенные изменения. Если раньше границы таких сетей можно было четко очертить, то сейчас это практи­
чески невозможно. Еще недавно такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удален­
ных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой МЭ сети является сотрудник, находящийся за пределами защищаемого периметра.
К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Несомненно им также требуется защита. Но все традиционные МЭ построены так, что защищаемые пользователи и ресурсы должны находиться под их защитой с внутренней стороны корпоративной или ло­
кальной сети, что является невозможным для мобильных поль­
зователей.
Для решения этой проблемы были предложены следующие
подходы:
• применение распределенных МЭ (distributed firewall);
• использование возможностей виртуальных частных сетей
VPN (virtual private network) (см. гл. 10).
Распределенный межсетевой экран (distributed firewall) — цен­
трализованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети.

Для индивидуальных пользователей представляет интерес технология персонального сетевого экранирования. В этом случае сетевой экран устанавливается на защищаемый персональный компьютер. Такой экран, называемый персональным экраном
компьютера (personal firewall) или системой сетевого экранирова­
ния, контролирует весь исходящий и входящий трафик незави­
симо от всех прочих системных защитных средств. При экрани­
ровании отдельного компьютера поддерживается доступность сетевых сервисов, но уменьшается нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внут­
ренних сервисов защищаемого таким образом компьютера, по­
скольку первоначально сторонний злоумышленник должен пре­
одолеть экран, где защитные средства сконфигурированы осо­
бенно тщательно и жестко.
Эти средства не только защищают от внешних атак компь­
ютеры, на которых они установлены, но и обеспечивают за­
щиту трафика, передаваемого за пределы данного узла (т. е. организуют защищенные каналы VPN). Именно такое реше­
ние позволило обеспечить защиту сетей с нечетко очерченны­
ми границами.
Наличие функции централизованного управления у рас­
пределенного МЭ — его главное отличие от персонального эк­
рана. Если персональные сетевые экраны управляются только с компьютера, на котором они установлены, и идеально под­
ходят для домашнего применения, то распределенные МЭ могут управляться централизованно, с единой консоли управ­
ления, установленной в главном офисе организации. Это по­
зволило некоторым производителям выпускать МЭ в двух вер­
сиях:
• персональной (для индивидуальных пользователей);
• распределенной (для корпоративных пользователей).
В современных условиях более 50 % различных атак и попы­
ток доступа к информации осуществляется изнутри локальных сетей, поэтому классический «периметровый» подход к созда­
нию системы защиты корпоративной сети становится недоста­
точно эффективным. Корпоративную сеть можно считать дейст­
вительно защищенной от НСД только при наличии в ней средств защиты точек входа со стороны Internet и решений, обеспечивающих безопасность отдельных компьютеров, корпо­
ративных серверов и фрагментов локальной сети предприятия.
Решения на основе распределенных или персональных МЭ наи­

лучшим образом обеспечивают безопасность отдельных компью­
теров, корпоративных серверов и фрагментов локальной сети предприятия [64].
9.3.4-
П р о бл ем ы безопасности М Э
МЭ не решает все проблемы безопасности корпоративной сети. Кроме описанных выше достоинств МЭ, существуют огра­
ничения в их использовании и угрозы безопасности, от которых
МЭ не могут защитить. Отметим наиболее существенные из этих ограничений [9, 43]:
• возможное ограничение пропускной способности. Традицион­
ные МЭ являются потенциально узким местом сети, так как все соединения должны проходить через МЭ и в неко­
торых случаях изучаться МЭ;
•
отсутствие встроенных механизмов защиты от вирусов.
Тра­
диционные МЭ не могут защитить от пользователей, загру­
жающих зараженные вирусами программы для ПЭВМ из интернетовских архивов или при передаче таких программ в качестве приложений к письму, поскольку эти программы могут быть зашифрованы или сжаты большим числом спо­
собов;
• отсутствие эффективной защиты от получаемого из Internet
опасного содержимого (апплеты Java, управляющие элемен­
ты ActiveX, сценарии JavaScript и т. п.). Специфика мо­
бильного кода такова, что он может быть использован как средство для проведения атак. Мобильный код может быть реализован в виде:
— вируса, который вторгается в И С и уничтожает данные на локальных дисках, постоянно модифицируя свой код и затрудняя тем самым свое обнаружение и удаление;
— агента, перехватывающего пароли, номера кредитных карт и т. п.;
— программы, копирующей конфиденциальные файлы, со­
держащие деловую и финансовую информацию и пр.;
• МЭ не может защитить от ошибок и некомпетентности
администраторов и пользователей;
• традиционные МЭ являются по существу средствами, только
блокирующими атаки. В большинстве случаев они защища­
ют от атак, которые уже находятся в процессе осуществле­

ния. Более эффективным было бы не только блокирова­
ние, но и упреждение атак, т. е. устранение предпосылок реализации вторжений. Для организации упреждения атак необходимо использовать средства обнаружения атак и по­
иска уязвимостей, которые будут своевременно обнаружи­
вать и рекомендовать меры по устранению «слабых мест» в системе защиты. Технологии обнаружения атак и анализа защищенности сетей рассматриваются в гл. 14.
Для защиты информационных ресурсов распределенных кор­
поративных систем необходимо применение комплексной систе­
мы информационной безопасности, которая позволит эффектив­
но использовать достоинства МЭ и компенсировать их недостат­
ки с помощью других средств безопасности.