Специальная публикация NIST 800-10

         

Брандмауэр на основе машины, подключенной к двум сетям


Брандмауэр данного типа - более лучшая альтернатива, чем брандмауэр на базе маршрутизатора с фильтрацией пакетов. Он состоит из хоста, имеющего два сетевых интерфейса, в котором отключена функция маршрутизации IP-пакетов с одного интерфейса на другой ( то есть хост не может маршрутизировать пакеты между двумя сетями). Кроме того, можно поместить маршрутизатор с фильтрацией пакетов между сетью и этим хостом для обеспечения дополнительной защиты. Это поможет создать внутреннюю изолированную подсеть, которая может быть использована для размещения специализированных систем, таких как информационные сервера и модемные пулы. В отличие от маршрутизатора с фильтрацией пакетов брандмауэр данного типа может полностью блокирвоать передачу трафика между Интернетом и защищаемой сетью. Сервисы обеспечиваются с помощью прокси-серверов на этом хосте. Это простой брандмауэр, но очень безопасный. (Некоторые брандмауэры на основе хоста с двумя интерфейсами не используют прокси-серверы, а требуют, чтобы пользовтаели имели бюджеты на этом хосте для доступа в Интернет. Это не рекомендуется, так как наличие большого числа бюджетов на брандмауэре может привести к ошибкам пользователей, которые в свою очередь приведут к атакам злоумышленников.)

Рисунок 3.2

Этот тип брандмауэра реализует политику второго типа, то есть запрет доступа ко всем сервисам, кроме тех, которые явно разрешены, так как невозможно получить доступ к тем сервисам, для которых нет прокси-сервера. Возможность хоста принимать пакеты с маршрутизацией источника должна быть отключена, чтобы нельзя было передать пакеты машинам в защищенной подсети. С его помощью может быть достигнута высокая конфиденциальность, так как маршрут до машины в защищаемой сети должен знать только брандмауэр, а не системы в Интернете( так как машины в Интернете не могут посылать пакеты напрямую защищаемым системам). Имена и IP-адреса систем внутренней сети будут неизвестны для Интернета, так как брандмауэр не будет передавать информацию DNS. Как минимум простой брандмауэр этого типа должен обеспечивать прокси-сервисы для TELNET, FTP и центральный почтовый сервер, с помощью которого брандмауэр будет принимать всю почту для внутренней сети, и передавать ее системам. Так как брандмауэр использует хост, то на нем может быть установлены программы для усиленной аутентификации пользователей . Также брандмауэр может протоколировать попытки доступа и зондирования систем, что поможет выявить действия злоумышленников.

Брандмауэр на основе хоста, соединенного с двумя сетями, а также брандмауэр с изолированной подсетью, описываемый позже, обеспечивает возможность отделить трафик, связанный с информационным сервером, от трафика других систем сайта. Информационный сервер может быть размещен в подсети между шлюзом и маршрутизатором, как показано на рисунке 3.2 Учитывая, что шлюз обеспечивает соответствующие прокси-сервисы для информационного сервера ( например, ftp, gopher или http), маршрутизатор может предотвратить прямой доступ из Интернета к серверу и заставить обратиться к брандмауэру. Если к серверу разрешен прямой доступ ( что является менее безопасным вариантом), то имя сервера и его IP-адрес могут быть доступны через DNS. Размещение информационного сервера таким образом увеличивает безопасность сети, так как даже при проникновении злоумышленника на информационный сервер, он не сможет получить доступ к системам сети через шлюз с двумя интерфейсами.

Жесткость шлюза с двумя интерфейсами может оказаться неудобной для некоторых сетей. Так как все сервисы по умолчанию заблокированы, кроме тех, для которых имеются прокси-сервера, доступ к другим сервисам не может быть организован. Системы, к которым требуется доступ, должны быть размещены между шлюзом и Интернетом. Тем не менее, маршрутизатор может использоваться так, как показано на рисунке 3.2 для создания подсети между шлюзом и маршрутизатором, и системы, которые требуют дополнительных сервисов, должны быть размещены в этом месте.

Другим важным моментом является то, что безопасность хоста, используемого для организации брандмауэра, должна быть высокой, так как использование уязвимых сервисов и технологий может привести к проникновению. Если брандмауэр скомпрометирован, злоумышленник может потенциально обойти средства защиты и, например, включить маршрутизацию IP.

| |



Брандмауэр с фильтрацией пакетов


Брандмауэр с фильтрацией пакетов (см. рис.3.1) является, наверное, самым распространенным и самым простым при реализации для маленьких сетей с простой структурой. Тем не менее, он имеет ряд недостатков и менее желателен, чем другие примеры брандмауэров, приведенные в этой главе.

Рисунок 3.1

Как правило, брандмауэр с фильтрацией пакетов устанавливается на маршрутизаторе с фильтрацией пакетов, через который происходит соединение с Интернетом( или подсетью), на котором конфигурируются правила фильтрации пакетов, позволяющие блокировать или фильтровать пакетов на основании протоколов и адресов. Обычно машинам внутренней сети предоставляется полный доступ к Интернету, а доступ со стороны Интернета ко всем или почти ко всем системам внутренней сети блокируется. Тем не менее, маршрутизатор может допускать выборочный доступ к системам и сервисам (это зависит от политики). Обычно блокируются такие потенциально опасные сервисы, как NIS, NFS и X Windows.

Брандмауэр с фильтрацией пакетов имеет те же самые недостатки, что и маршрутизатор с фильтрацией пакетов, тем более что они могут оказаться серьезнее при усложнении требований к защищенности сайта. Вот они:

отсутствует (или имеется в крайне ограниченном размере) возможность протоколирования, поэтому администратору будет нелегко выявить компрометацию маршрутизатора или атаку на сеть. правила фильтрации часто тяжело протестировать, что может привести к возникновению уязвимых мест. При необходимости введения сложных правил фильтрации они часто становятся неуправляемыми каждый хост, к которому требуется обеспечить доступ из Интернета, будет требовать свою реализацию мер усиленной аутентификации.

Маршрутизатор с фильтрацией пакетов может реализовать обе концептуальные политики, описанные в . Но если маршрутизатор не обеспечивает фильтрацию по порту отправителя или по интерфейсу, с которого принят пакет, то на нем может оказаться тяжело реализовать политику второго типа, то есть "блокировать все, что явно не разрешено". Если целью является реализация второй политики, более желателен маршрутизатор, который обеспечивает самую гибкую стратегию фильтрации.

| |



Брандмауэр с изолированной подсетью


Брандмауэр с изолированной подсетью - это объединение шлюза с двумя интерфейсами и брандмауэра с изолированным хостом. Он может быть использован для того, чтобы разместить каждую компоненту брандмауэра в отдельной системе, обеспечив таким образом большую пропускную способность и гибкость, хотя за это приходится платить некоторым усложнением. Но зато каждая компонента брандмауэра будет реализовывать одну задачу, что делает более простым конфигурирование системы.

На рисунке 3.4 для создания внутренней изолированной подсети используются два маршрутизатора. В этой подсети (иногда называемой DMZ - "демилитаризованая зона") находится прикладой шлюз, но в ней также могут размещаться информационные сервера, модемные пулы, и другие системы, для которых требуется управление доступом. Маршрутизатор,изображенный в месте соединения с Интернетом, может маршрутизировать трафик согласно следующим правилам:

пропускать прикладной трафик от прикладного шлюза в Интернет пропускать почтовый трафик от почтового сервера в Интернет пропускать прикладной трафик из Интернета к прикладному шлюзу пропускать почтовый трафик из Интернета к почтовому серверу пропускать трафик из Интернета к информационному серверу все остальные виды трафика блокировать

Внешний маршрутизатор предоставляет возможность взаимодействия с Интернетом только конкретным системам в изолированной подсети, и блокирует весь другой трафик в Интернет, от других систем в изолированной подсети, которые не имеют права инициировать соединения (таких как модемный пул и информационный сервер ). Также он может использоватьс для блокирования пакетов NFS,NIS или других уязвимых протоколов, которые не должны передаваться от или к хостам в изолированной подсети.

Внутренний маршрутизатор передает трафик к/от систем в изолированной подсети согласно следующим правилам:

прикладной трафик от приклданого шлюза к внутренним системам пропускается почтовый трафик от почтового сервера к внутренним системам пропускается прикладной трафик к прикладному шлюзу от внутренних систем пропускается почтовый трафик от внутренних систем к почтовому серверу пропускается пропускать трафик от внутренних ситсем к информационному серверу все остальные виды трафика блокировать






Рисунок 3.4

Поэтому не существует внутренних систем, напрямую доступных из Интернета и наоборот, как при брандмауэре на основе шлюза с двумя интерфейсами. Большим отличием является то, что маршрутизаторы используются для направления трафика к определенным системам, что делает ненужным прикладной шлюз с двумя интерфейсами. При таком варианте может быть достигнута большая пропускная способность, если маршрутизатор используется как шлюз для защищенной подсети. Как следствие, брандмауэр с изолированной подсетью может оказаться более уместным вариантом для сетей с большим объемом трафика или сетей, которым требуется высокоскоростной трафик.

Эти два маршрутизатора обеспечивают дополнительный слой защиты, так как атакующему надо будет обойти средства защиты в обоих маршрутизаторах, чтобы получить доступ к внутренним системам. Прикладной шлюз, почтовый сервер и информационный сервер могут быть установлены таким образом, что будут единственными системами, видимыми из Интернета; размещение информации в DNS, доступной в Интернете, о других системах не потребуется. На прикладном шлюзе могут быть установлены меры усиленной аутентификации для аутентификации всех входящих соединений. Конечно, это потребует дополнительного конфигурирования, но использование отдельных систем для прикладного шлюза и фильтрации пакетов сделает конфигуирование более простым..

Брандмауэр с изолированной подсетью, как и брандмауэр с изолированным хостом, может быть сделан более гибким при разрешении существования "доверенных" сервисов, которым будет разрешаться передаваться между Интернетом и внутренними системами. Но эта гибкость открывает возможность нарушения политики, ослаблению эффекта брандмауэра. Во многих отношениях, брандмауэр на основе шлюза с двумя интерфейсами более желателен, так как политику нельзя ослабить (в нем нельзя разрешить передачу сервисов, для которых нет прокси-сервера). Тем не менее, если важны пропускная способность т гибкость, более желателен брандмауэр с изолированной подсетью.

В качестве альтернативы передаче сервисов напрямую между Интернетом и внутренними системами можно разместить системы, которым требуются такие сервисы, прямо в изолированной подсети. Например, не разрешается передавать трафик X Windows и NFS между Интернетом и внутренними системами, но если есть системы, которым необходимы такие возможности, они размещены в изолированной подсети. Эти системы могут взаимодействовать с внутренними системами через прикладной шлюз (внутренний маршрутизатор настроен соответствующим образом). Это не полное решение, но вариант для сетей, которым требуется высокая степень безопасности.

У брандмауэра с изолированной подсетью имеется два недостатка. Во-первых, так как можно его сконфигуировать так, что он будет пропускать "доверенные сервисы" в обход прикладного шлюза, то есть возможность нарушения политики. Это также верно и для брандмауэра с изолированным хостом, но брандмауэр с изолированной подсетью имеет место, куда можно поместить внутренние системы, которым требуется прямой доступ к таким сервисам. В брандмауэре с изолированным хостом "доверенные сервисы", которые передаются в обход прикладного шлюза, тоже напрямую взаимодействуют с внутренними системами. Второй недостаток - это то, что на маршрутизаторы возлагаются большие задачи по обеспечению безопасности. Как уже отмечалось, маршрутизаторы с фильтрацией пакетов иногда очень тяжело правильно сконфигуировать, а ошибки могут привести к появлению уязвимых мест.

| |


Брандмауэр с изолированным хостом


Брандмауэр с изолированным хостом более гибкий брандмауэр, чем тот, который построен на основе шлюза с двумя интерфейсами, хотя гибкость достигается ценой некоторого уменьшения безопасности. Брандмауэр такого вида уместен для сетей, которым нужна большая гибкость, чем та, которую может предоставить брандмауэр на основе шлюза с двумя интерфейсами. Брандмауэр данного типа состоит из маршрутизатора с фильтрацией пакетов и прикладного шлюза, размещенного в защищенной подсети. (Прикладной шлюз может также размещаться со стороны Интернета без особого ущерба безопасности. Размещение прикладного шлюза таким образом может помочь понять, что он является целью атак из Интернета и не обязательно должен считаться надежным.). Прикладному шлюзу требуется только один интерфейс с сетью. Прокси-сервисы шлюза должны пропускать запросы к TELNET, FTP и другим сервисам, для которых есть прокси, к внутренним машинам сети. Маршрутизатор фильтрует или блокирует потенциально опасные протоколы, чтобы они не достигли прикладного шлюза и внутренние системы.

Он отвергает или пропускает трафик в соответствии со следующими правилами:

трафик от систем в Интернете к прикладному шлюзу пропускается другой трафик от систем в Интернете блокируется маршрутизатор блокирует любой трафик изнутри, если он не идет от прикладного шлюза.

Рисунок 3.3

В отличие от шлюза с двумя интерфейсами, прикладному шлюзу требуется только один сетевой интерфейс и не требуется отдельная подсеть между прикладным шлюзом и маршрутизатором. Это позволяет брандмауэру быть более гибким, но менее безопасным, так как маршрутизатор может позволить пропустить запросы к надежным сервисам в обход прикладного шлюза. Этими надежными сервисами могут быть те сервисы, для которых нет прокси-сервера, и которым можно доверять в том смысле, что риск использования этих сервисов считается приемлемым. Например, сервисы с низким уровнем риска, такие как NTP, могут пропускаться через маршрутизатор к системам сети. Если внутренние системы требуют доступа к DNS-серверам в Интернете, то DNS может быть разрешен для внутренних систем. В такой конфигурации брандмауэр может реализовывать комбинацию двух политик, соотношение которых зависит от того, для какого числа и каких сервисов разрешено передавать пакеты напрямую к внутренним системам. Дополнительная гибкость брандмауэра с изолированным хостом вызывается двумя обстоятельствами. Во-первых, имеется две системы, маршрутизатор и прикладной шлюз, которые нужно конфигурировать. Как уже отмечалось, правила фильтрации пакетов на маршрутизаторе могут быть сложными, трудными для тестирования, и уязвимыми к ошибкам, ведущим к появлению уязвимых мест. Тем не менее, так как маршрутизатору нужно ограничивать трафик только для прикладного шлюза, правила могут оказаться не такими сложными, как это бывает при использовании брандмауэра с фильтрацией пакетов (который может фильтровать трафик для группы систем в сети). Вторым недостатком является то, что гибкость делает возможным нарушение политики (что верно и для брандмауэра с фильтрацией пакетов). Это является менее серьезным для брандмауэра с двумя интерфейсами, так как технически невозможно передать трафик при отсутствии соответствующего прокси-сервиса. И опять, для обеспечения безопасности нужна строгая политика безопасности.

В [Garf92], [Ran93], и [Ches94] имеется более подробная информация о брандмауэрах с изолированным хостом.

| |



Объединение частей в единое целое - примеры брандмауэров


Теперь, когда основные части брандмауэров рассмотрены, мы дадим ряд примеров различных конфигураций брандмауэров для того, чтобы позволить вам глубже понять, как создаются брандмауэры. Здесь мы опишем следующие примеры брандмауэров:

брандмауэр с пакетной фильтрацией брандмауэр с шлюзом с двумя адресами брандмауэр с экранированным хостом брандмауэр с экранированнной сетью

Кроме того, в данном разделе рассматриваются методы сочетания удаленного доступа с помощью модемов с брандмауэрами. В-основном эти примеры взяты из [Ran93], в котором имеются подробные рекомендации и советы по проектированию и разработке брандмауэра. В этих примерах предположения о политике безопасности сведены к минимуму, но отдельные моменты политик, которые влияют на проект брандмауэра, указаны там, где это необходимо. Читатели должны помнить, что существует много таких типов брандмауэров, которые не описаны в этой книге; их отсутствие не означает, что они менее безопасные - было бы непрактично описывать все возможные проекты. Примеры, описанные здесь, выбраны в-основном из-за того, что они достаточно глубоко описаны в других книгах и могут поэтому служить базой для дальнейших разработок.

| |



Интеграция модемных пулов с брандмауэрами


Многие сети имеют возможность подключения через модем к ним. Как уже отмечалось в разделе , это потенциальное место для организации "черного входа " в сеть и может свести на нет всю защиту, обеспечиваемую брандмауэром. Гораздо более лучшим методом организации работы через модем является объединение их в модемный пул и последующее обеспечение безопасности соединений из этого пула. Как правило модемный пул состоит из сервера доступа, который является специализированным компьютером, предназначенным для соединения модемов с сетью. Пользователь устанавливает соединение через модем с сервером доступа, а затем соединяется (например, через telnet) оттуда с другими машинами сети. Некоторые серверы доступа имеют средства безопасности, которые могут ограничить соединения только определенными системами, или потребовать от пользователя аутентификации. Или же сервер доступа может быть обычной машиной с присоединенными к ней модемами.

Рисунок 3.5

Рисунок 3.5 показывает модемный пул, размещенный со стороны Интернета в брандмауэре с изолированным хостом. Так как соединения от модемов должны обрабатываться так же, как соединения из Интернета, то размещение модемов с наружней стороны брандмауэра заставляет модемные соединения проходить через брандмауэр.

Могут быть использованы средства усиленной аутентификации приклданого шлюза для аутентификации пользователей, которые устанавливают соединения через модемы точно также , как это деалется для соединения из Интернета. А маршрутизатор с фильтрацией пакетов может использоваться для предотвращения прямого соединения внутренних систем с модемным пулом.

Недостатком такого подхода является то, что модемный пул напрямую соединен с Интернетом и поэтому более уязвим к атакам. Если злоумышленник хочет проникнуть в модемный пул, то он может использовать его как точку начала атаки на другие системы в Интернете. Поэтому должны использоваться сервер доступа со встроенными средствами защиты, позволяющими блокировать установление соединения с системами, крмое прикладного шлюза.

Брандмауэры на основе шлюза с двумя интерфейсами и с изолированной подсетью обеспечивают более безопасный способ использования модемного пула. На рисунке 3.6 сервер доступа размещен во внутренней, изолированной подсети, в которой доступ к модемному пулу и от него может быть проконтролирован маршрутизаторами и прикладными шлюзами. Маршрутизатор со стороны Интернета предотвращает прямой доступ к модемному пулу из Интернета для всех машин, кроме прикладного шлюза.



Администрирование систем в сети


Брандмауэр не должен служить оправданием для плохого администрирования внутренних систем. Фактически дело обстоит наоборот: если будет осуществлено проникновение в брандмауэр, сеть, которая плохо администрировалась станет открытой для большого числа атак и в ней потенциально возможны большие разрушения. Брандмауэр никоим образом не делает ненужным хорошее системное администрирование.

В то же самое время брандмауэр может позволить сети производить "предупредительное" администрирование, а не устранение последствий инцидентов. Так как брандмауэр обеспечивает барьер, сети могут тратить больше времени на системное администрирование и меньше времени на реагирование на инциденты и устранение их последствий. Рекомендуется, чтобы организации:

Стандартизировали версии операционных систем и программ, чтобы можно было централизованно вносить обновления в них. Разработали программу для быстрой установки во всей сети исправлений и новых программ Использовали средства, помогающие осуществлять централизованно администрирование систем, если это поможет обеспечить большую безопасность. Производили периодические сканирования и проверки систем для обнаружения явных уязвимых мест и ошибок в конфигурации Имели гарантии того, что системные администраторы легко могут при необходимости обмениваться информацией друг с другом для доведения информации о проблемах с безопасностью, новых исправлениях



Гибкость политики


Любая политика безопасности, связанная с доступом из Интернета, сервисами Интернета и доступом к сети вообще должна быть гибкой. Эта гибкость должна иметься по двум причинам: сам Интернет постоянно меняется и потребности организации могут измениться по мере появления новых сервисов в Интернете и новых способов выполнения деятельности организации. Появляются новые протоколы и новые сервисы в Интернете, которые предоставляют новые возможности организациям, использующим Интернет, но это может привести к появлению новых проблем с безопасностью. Поэтому политика должна иметь возможности учета и включения этих новых проблем с безопасностью. Другая причина гибкости заключается в том, что риски для организации также не являются статичными. Риск может измениться из-за больших изменений, таких как новые обязанности, возложенные на организацию, или маленьких изменений, таких как изменения конфигурации сети.



Следующие шаги


Ранее в данном документе были кратко описаны основные угрозы и риски, связанные с Интернетом, описано, как можно использовать брандмауэры для решения этих проблем, и приведены некоторые примеры их реализации. Эта глава кратко описывает рекомендации по разработке политики доступа к сетевым сервисам и выбору политики проектирования брандмауэра, а затем рассматривает следующие шаги, необходимые для получения брандмауэра. Заканчивается она рассмотрением других шагов, необходимых для общего усиления сетевой безопасности. Рассмотрение вопроса носит проблемный характер. Читателям нужно обратиться к таким подробным публикациям, как [RFC1244] и [Ches94], а также конкретным примерам в [Avol94].

| |



Как связаться с группами по борьбе с компьютерными преступлениями


Важным моментом при администрировании брандмауэра и всей сети в целом является установление связей со специальными группами по борьбе с компьютерными преступлениями для получения у них помощи. NIST рекомендует, чтобы организации создавали свои небольшие группы по улаживанию происшествий с компьютерной безопасностью, которые проводили бы расследование подозрительных событий и устранение последствий атак, и которые позволяли бы организации быть постоянно в курсе новых угроз и уязвимых мест. Из-за изменчивой природы угроз и рисков Интернете важно, чтобы сотрудники, администрирующие брандмауэр, входили в состав этих групп. Администраторы брандмауэра должны знать о всех новых уязвимых местах в продуктах, которые они используют, и уметь использовать заранее описанные технологии их устранения при обнаружении действий злоумышленника. [Cur92], [Garf92] и [RFC1244] содержат информацию о том, как создать такую группу и связаться с другими группами. NIST имеет ряд публикаций, предназначенных специально для создания таких групп [NIST91b].

Посмотрите для получения дополнительной информации о том, как связаться с группами по борьбе с компьютерными преступлениями и Форумом групп по борьбе с компьютерными преступлениями (Forum of Incident Response and Security Teams - FIRST).

| |



Какими возможностями должен обладать брандмауэр?


Как только принято решение использовать технологию брандмауэра для реализации политики безопасности организации, следующим шагом должно быть приобретение брандмауэра, который обеспечивает требуемый уровень защиты при разумной цене. Тем не менее, какие возможности обязательно должен иметь брандмауэр, чтобы обеспечивать эффективную защиту? На этот вопрос нельзя дать общего ответа, но зато можно рекомендовать брандмауэр, который имеет следующие возможности:

брандмауэр должен иметь средства для реализации политики "все, что не разрешено - запрещено", даже если эта политика не используется в организации. Брандмауэр должен иметь возможности полной реализации вашей политики, а не частичной. Брандмауэр должен быть гибким; его средства должны иметь возможность адаптации для работы с новыми сервисами и учета изменений в вашей политике безопасности. Брандмауэр должен содержать средства усиленной аутентификации или возможности установить их. Брандмауэр должен реализовывать технологии фильтрации для разрешения или блокирования сервисов на отдельных внутренних системах. Язык правил фильтрации IP должен быть гибким, дружественным и позволять фильтровать по максимальному числу атрибутов, включая адреса отправителя и получателя, тип протокола, порты отправителя и получателя, а также по входящему и выходящему сетевому интерфейсу. Брандмауэр должен использовать прокси-сервисы для таких сервисов, как FTP и TELNET, чтобы средства усиленной аутентификации можно было установить на брандмауэре. Если требуются такие сервисы, как NNTP, X, http, или gopher, то брандмауэр должен содержать соответствующие прокси-сервисы. Брандмауэр должен иметь возможности централизованного доступа к SMTP для уменьшения числа прямых соединений по SMTP между внутренними и удаленными системами. Это поможет реализовать центральный почтовый сервер сети. Брандмауэр должен допускать публичный доступ к сети таким образом, чтобы информационные сервера могли быть защищены брандмауэром, но отделены от систем, к которым не требуется публичный доступ. Брандмауэр должен иметь возможности централизации и фильтрации доступа через коммутируемые линии. Брандмауэр должен содержать механизмы протоколирования трафика и подозрительных действий, а также механизмы уменьшения объема этих журналов для и читабельности и анализируемости. Если брандмауэр требует наличия операционной системы, такой как Unix, то защищенная версия требуемой операционной системы должна быть частью брандмауэра, а аткже другие средства безопасности, гарантирующие целостность программ на брандмауэре. В операционной системе должны быть установлены исправления всех обнаруженных ошибок. Брандмауэр должен быть разработан таким образом, что можно проверить корректность его работы. Он должен иметь простую структуру, чтобы можно было понять логику его работы и сопровождать его. При обнаружении новых ошибок брандмауэр и операционная ситсема должны оперативно обновляться.

Конечно, существует еще большое число проблем и требований к брандмауэрам, но большинство из них слишком специфичны. Серьезный подход к формулированию требований или оценке риска позволит вам выявить самые важные проблемы и требования, но не следует забывать, что Интернет - это постоянно растущая сеть. Обнаруживаются новые уязвимые места, апоявляются новые сервисы и улучшения старых сервисов, которые могут создать проблемы при работе брандмауэра. Поэтому всегда надо помнить о необходимости гибкости для учета изменений в требованиях.



Опыт в системном администрировании


Как уже говорилось в предыдущих разделах, постоянно происходит большое число проникновений в системы через Интернет, что делает необходимым наличие в организации высококвалифицированных администраторов, работающих полный рабочий день. Но есть признаки того, что эта необходимость понимается далеко не всеми; многие организации плохо администрируют свои системы, и они не являются безопасными и защищенными от атак. Много системных администраторов работает на полставки в лучшем случае, и не производят обновления систем при появлении исправлений ошибок.

Квалификация администратора брандмауэра - критический фактор для этой должности, так как брандмауэр будет эффективен настолько, насколько эффективно его администрируют. Если брандмауэр плохо администрируется, он может стать небезопасным и через него могут быть осуществлены проникновения, в то время как в организации будет сохраняться иллюзия, что сеть защищена. В политике безопасности брандмауэра должно быть явно указано на необходимость серьезного отношения к администрированию брандмауэра. Руководство должно показать, что его заботит это - и нанаять специалиста на полную ставку, найти деньги на приобретение брандмауэра и его сопровождение, а также на другие необходимые ресурсы.



Организационные вопросы с брандмауэрами


Вас не должно удивлять то, что администрирование брандмауэра - это очень важная работа, которой должно уделяться маскимум времени. В небольших организациях на эту должность могут взять человека не на полную ставку, но эти обязанности должны иметь приоритет над другими. В затраты на брандмауэр должны входить затраты на администрирование брандмауэра; администрирование никогда не должно быть эпизодическим.



Покупать или самому создавать брандмауэр


Ряд организаций имеет возможности для самостоятельного создания брандмауэра, то есть для объединения имеющихся программных компонентов и оборудования или написания программ с нуля. В то же самое время имеется ряд производителей, предлагающих большое число средств в области брандмауэров. Эти средства могут быть ограниченными, такими как предоставление только необходимого программного и аппаратного обеспечения, или помощь в разработке политики безопасности, оценке риска, проверке защищенности сети и обучении сотрудников.

Независимо от того, делаете ли вы сами брандмауэр или покупаете, стоит помнить, что сначала нужно разработать политику и набор связанных с ней требований к брандмауэру, а уже затем начинать создавать его. Если испытывает трудности при разработке политики, то будет разумным связаться с производителем, который может помочь в этом процессе. Если же в организации имеется свой опыт создания брандмауэров, то лучше и дешевле использовать его. Одним из преимуществ самостоятельного создания брандмауэра является то, что свои сотрудники знают специфику организации и то, как будет использоваться брандмауэр. Если же брандмауэр приобретается, то такого опыта может и не быть.

В то же самое время свой брандмауэр может оказаться слишком дорогим в смысле времени, необходимого для его создания и документирования, а также времени, требуемого для сопровождения брандмауэра и внесения в него изменений при возникновении такой необходимости. Затраты этого рода иногда не учитываются; организации иногда делают ошибку, учитывая только стоимость оборудования. При полном экономическом расчете затрат, связанных с созданием брандмауэра, может оказаться, что более выгодно купить его.

При принятии решения организацией о том, покупать или создавать самому брандмауэр с учетом имеющихся ресурсов, могут помочь ответы на следующие вопросы

Как будет тестироваться брандмауэр; кто будет проверять, что он работает так, как это ожидается Кто будет сопровождать его( делать архивные копии, восстанавливать его после сбоев) Кто будет устанавливать обновления брандмауэра, такие как новые прокси-сервера, исправления ошибок и другие расширения Могут ли быть оперативно внесены исправления, связанные с безопасностью, и решены сами проблемы с безопасностью Кто будет обучать пользователей и обеспечивать техническую поддержку для них

Многие производители предлагают сопровождение брандмауэра, а также помощь в его установке, поэтому организация должна учесть это при анализе вопроса, имеет ли она достаточные внутренние ресурсы для этого.

| |



Политика брандмауэра


Политика уже рассматривалась в , когда речь шла о политике сетевого доступа и политике проектирования брандмауэра. В этой части рассмтариваются две этих политики в связи с общей политикой безопасности организации и другими руководящими документами, в которых описаны задачи организации, риски, угрожающие ей и политики безопасности.

Концептуальные решения в отношении использования технологии ьбрандмауэров должны приниматься совместно с решениями, касающимися безопасности всей сети. Они включают в себя решения о безопасности самих машин в сети, безопасности доступа через модемы, безопасности доступа к Интернету, защите информации, находящейся на машинах в сети и другие решения. Автономная политика, описывающая только брандмауэр, неэффективна; требуется интеграция ее в общую политику безопасности организации. В [RFC1244] есть более подробная информация о создании политики безопасности организации, ориентированная на организации, имеющие соединение с Интернетом.



Политика для информационного сервера


Сеть, которая предоставляет доступ к информационному серверу, должно учесть этот вид доступа при проектировании брандмауэра. Хотя информационный сервер создает специфические проблемы с безопасностью, он не должен стать уязвимым местом для сети. В политике должна быть отражена посылка, что безопасность сети не должна пострадать из-за того, что нужно иметь информационный сервер.

Можно сделать важный вывод о том, что трафик, связанный с информационным сервером, в корне отличается от трафика, связанного с работой других приложений, таких как электронная почта. С каждым из этих двух видов трафика связаны свои риски, и не следует смешивать их.

В части 3 описывается, как учесть наличие информационного сервера при проектировании брандмауэра. Примеры брандмауэров с изолированной подсетью и на основе шлюза с двумя интерфейсами содержат информационные сервера, которые могут быть размещены в изолированной подсети и по существу изолированы от других систем сети. Это уменьшает шанс того, что сначала будет скомпрометирован информационный сервер, а затем с него будет предпринята атака на внутренние системы.

| |



Политика доступа через модемы


Полезной возможностью для авторизованных пользователей является наличие удаленного доступа к внутренним системам, когда пользователи находятся вне сети. Такая возможность позволяет им осуществлять доступ к системам из мест, где Интернет может быть и не доступен. Но, как уже обсуждалось в части , эти возможности являются одним из путей получения доступа злоумышленником.

Авторизованные пользователи могут также хотеть иметь возможность исходящих звонков для доступа к системам в других местах, к которым невозможен доступ через Интернет. Эти пользователи должны понимать, что они могут создать уязвимые места при небрежном обращении с модемом. Возможность исходящих звонков легко может позволить организовать и входящие звонки, если не принять соответствующие предосторожности.

Обе эти возможности должны учитываться при разработке брандмауэра и включены при необходимости в него. Требование обязательности использования мер усиленной аутентификации при доступе через брандмауэр должно быть обязательно отражено в политике. Политика также может запрещать использование неавторизованных модемов, присоединенных к системам сети, если доступ по модему обходит средства защиты брандмауэра. Строгая политика может ограничить число используемых модемоы в сети, уменьшая таким образом ее уязвимость.



Политика усиленной аутентификации удаленных пользователей


Удаленные пользователи - это те пользователи, которые устанавливают соединения с внутренними системами откуда-либо из Интернета. Эти соединения могут исходить от любого места в Интернете, от модемных линий, от авторизованных пользователей, работающих из дома. В любом случае для всех таких соединения должны использоваться меры усиленной аутентификации брандмауэра перед предоставлением дсотупа к внутренним системам. В политике должно быть указано, что удаленные пользователи не могут получать доступ к системам с помощью неавторизованных модемов за брандмауэром. Не должно быть исключений для этого правила, так как даже один перехваченный пароль или один неконтролируемый модем может открыть "черный вход" в обход брандмауэра.

Такая политика имеет и недостатки: необходимо обучать пользователей пользоваться средствами усиленной аутентификации, тратить средства на устройства аутентификации пользователей, и администрировать удаленный доступ. Но будет глупостью установить брандмауэр и не контролировать удаленный доступ.



Приобретение брандмауэра


После того, как политика была разработана, все еще остается ряд вопросов в отношении приобретения брандмауэра. Большинство из них аналогичны проблемам при приобретении других программ, поэтому должно иметь место формулирование требований, их анализ, и составление спецификации. Ниже описаны некоторые дополнительные вопросы, включая простейшие критерии выбора брандмауэра, и стоит ли его покупать или лучше сделать самому.



и при создании политики сетевого доступа


Брандмауэр - это реализация политики сетевого доступа, которая рассматривалась в . Существует ряд вариантов этой политики, которые можно реализовать, таких как запрет доступа извне, неограниченный доступ в Интернет или ограниченный входящий доступ и ограниченный выходящий доступ. Политика проектирования брандмауэра определяет во-многом политику сетевого доступа: чем строже политика проектирования брандмауэра, тем более строгой будет и политика сетевого доступа. Поэтому прежде всего нужно определиться с политикой проектирования брандмауэра.

Как уже объяснялось в главе , типовыми политиками проектирования брандмауэра являются запрет всех сервисов, кроме тех, что явно разрешены, или разрешение на доступ ко всем сервисам, кроме тех, что явно запрещены. Первый тип более безопасен и поэтому предпочтителен, но он также более строг, в результате чего при нем допускается работа меньшего числа сервисов. Глава 3 содержит несколько примеров брандмауэров, и в ней наглядно показано, что некоторые типы брандмауэров могут реализовывать оба вида политики управления доступом, в то время как брандмауэр на основе шлюза с двумя интерфейсами предназначен для реализации политики "все, что не разрешено - запрещено". Кроме того, эти примеры показывают, что системы, требующие обеспечения доступа к сервисам, не пропускаемым брандмауэром, могут быть размещены в изолированных подсетях отдельно от других внутренних систем. Клчевым моментом здесь является то, что в зависимости от требований обеспечения безопасности и гибкости, некоторые типы брандмауэров более предпочтительны, чем другие. Этот факт подчеркивает важность правильного выбора политики до начал создания брандмауэра; другой порядок действий нецелесообразен.

Для того, чтобы правильно разработать концептуальную политику брандмауэра, а затем систему брандмауэра, которая реализует эту политику, NIST рекмоендует, чтобы сначала был разработан самы безопасный вариант политики - то есть запретить все сервисы, кроме тех, что явно разрешены. Разработчики политики должны разбираться в следующих вопросах и задокументировать их:



Удаленные соединения с сетью организации


Помимо соединений через модемы, политика должна регламентировать использование соединений с помощью протоколов SLIP и PPP. Пользователи могут использовать их для создания новых сетевых соединений внутри защищенной сети. Такое соединение потенциально является способом обхода брандмауэра, и может оказаться даже более опасным, чем коммутируемое соединение.

В части 3 имеется несколько примеров размещения средств организации доступа по модемам таким образом, что соединения проходят через брандмауэр. Такое же размещение может быть использовано и для протоколов SLIP и PPP, но их следует заранее описать а политике. Обычно политика очень строго регламентирует соединения подобного рода.



Библиография


[Avol94] Frederick Avolio and Marcus Ranum. A Network Perimeter With Secure Internet Access. In Internet Society Symposium on Network and Distributed System Security, pages 109-119. Internet Society, February 2-4 1994. [Bel89] Steven M. Bellovin. Security Problems in the TCP/IP Protocol Suite. Computer Communications Review, 9(2):32-48, April 1989. [Cerf93] Vinton Cerf. A National Information Infrastructure. Connexions, June 1993. [CERT94] Computer Emergency Response Team/Coordination Center. CA-94:01, Ongoing Network Monitoring Attacks. Available from FIRST.ORG, pub/alerts/cert9401.txt, February 1994. [Chap92] D. Brent Chapman. Network (In)Security Through IP Packet Filtering. In USENIX Security Symposium III Proceedings, pages 63-76. USENIX Association, September 14-16 1992. [Ches94] William R. Cheswick and Steven M. Bellovin. Firewalls and Internet Security. Addison-Wesley, Reading, MA, 1994. [CIAC94a] Computer Incident Advisory Capability. Number e-07, unix sendmail vulnerabilities update. Available from FIRST.ORG, file pub/alerts/e-07.txt, January 1994. [CIAC94b] Computer Incident Advisory Capability. Number e-09, network monitoring attacks. Available from FIRST.ORG, pub/alerts/e-09.txt, February 1994. [CIAC94c] Computer Incident Advisory Capability. Number e-14, wuarchive ftpd trojan horse. Available from FIRST.ORG, pub/alerts/e-14.txt, February 1994. [Com91a] Douglas E. Comer. Internetworking with TCP/IP: Principles, Protocols, and Architecture. Prentice-Hall, Englewood Cliffs, NJ, 1991. [Com91b] Douglas E. Comer and David L. Stevens. Internetworking with TCP/IP:Design, Implementation, and Internals. Prentice-Hall, Englewood Cliffs, NJ, 1991. [Cur92] David Curry. UNIX System Security: A Guide for Users and System Administrators. Addison-Wesley, Reading, MA, 1992. [Farm93] Dan Farmer and Wietse Venema. Improving the security ofyour site by breaking into it. Available from FTP.WIN.TUE.NL, file /pub/security/admin-guide-to-cracking.101.Z, 1993. [Ford94] Warwick Ford. Computer Communications Security. Prentice-Hall, Englewood Cliffs, NJ, 1994. [Garf92] Simpson Garfinkel and Gene Spafford. Practical UNIX Security. O'Reilly and Associates, Inc., Sebastopol, CA, 1992. [Haf91] Katie Hafner and John Markoff. Cyberpunk: Outlaws and Hackers on the Computer Frontier. Simon and Schuster, New York, 1991. [Hunt92] Craig Hunt. TCP/IP Network Administration. O'Reilly and Associates, Inc., Sebastopol, CA, 1992. [NIST91a] NIST. Advanced Authentication Technology. CSL Bulletin, National Institute of Standards and Technology, November 1991. [NIST91b] NIST. Establishing a Computer Security Incident Response Capability. Special Publication 800-3, National Institute of Standards and Technology, January 1991. [NIST93] NIST. Connecting to the Internet: Security Considerations. CSL Bulletin, National Institute of Standards and Technology, July 1993. [NIST94a] NIST. Guideline for the use of Advanced Authentication Technology Alternatives. Federal Information Processing Standard 190, National Institute of Standards and Technology, September 1994. [NIST94b] NIST. Reducing the Risk of Internet Connection and Use. CSL Bulletin, National Institute of Standards and Technology, May 1994. [NIST94c] NIST. Security in Open Systems. Special Publication 800-7, National Institute of Standards and Technology, September 1994. [Ran93] Marcus Ranum. Thinking About Firewalls. In SANS-II Conference, April 1993. [RFC1244] Paul Holbrook and Joyce Reynolds. RFC 1244: Security Policy Handbook. prepared for the Internet Engineering Task Force, 1991.

| |



Forum of Incident Response and Security Teams


Форум групп борьбы с компьютерными преступлениями (The Forum of Incident Response and Security Teams - FIRST) - это организация, члены которой работают вместе на добровольной основе для решения проблем, связанных с компьютерной безопасностью. Эта организация состоит из большого числа групп компьютерной безопасности, консультативного комитета и секретариата, роль которого сейчас выполняет NIST, и рабочих групп. В-основном они решают проблемы, связанные с угрозами из Интернета. Этот форум проводит ежегодные совещания по борьбе с компьютерными преступлениями.

Большое число коммерческих организаций, университетов и правительственных агентств являются членами FIRST. Список членов и информация о вступлении доступны в онлайновом режиме. Для соединения по ftp используйте адрес . Для доступа к информационным ресурсам через WWW используйте URL .

|



Информация о брандмауэрах


Читателям очень рекомендуется посетить для получения дополнительной информации о брандмауэрах. Этот сайт содержит информацию о производителях брандмауэров, публикациях о брандмауэрах, и упорядоченный по темам архив переписки в списках рассылки о брандмауэрах. Кроме того, на нем имеется список рассылки о брандмауэрах.

Помимо этого сайта ряд производителей маршрутизаторов и брандмауэров ведут списки рассылки и ftp-сайты, на которых содержится информация о брандмауэрах и безопасности в Интернете.



NIST Computer Security Resource Clearinghouse


NIST создал и ведет специальный информационный сервер по проблемам компьютерной безопасности. Этот сервер содержит информацию по широкому спектру вопросов, включая сообщения групп по борьбе с компьютерными преступлениями, статьи о безопасности в Интернете, и курсы обучения. Для подключения к нему по ftp

Используйте адрес csrc.ncsl.nist.gov , а для подключения по WWW - URL .



Онлайновые информационные ресурсы


Читатели, которым нужна дополнительная информация о брандмауэрах, безопасности в Интернет и политике безопасности могут посмотреть книги, указанные в библиографии. Кроме того, имеются ряд онлайновых источников информации (но на английском языке).