Отечественный межсетевой экран с системой исключения атак
Андрей Ездаков
Высокий уровень интереса к вопросам информационной безопасности сегодня не случаен. Компьютерные системы поддержки электронного документооборота, бухгалтерского учета и управления базами данных получили широкое распространение в развитых странах уже в 70-е годы. Сегодня единые автоматизированные средства учета и информационные системы (ИС) интенсивно используются не только на крупных предприятиях, но и в средних и малых компаниях.
По мере повсеместного распространения ИТ растет как объем хранящихся на электронных носителях данных, так и их ценность, определяемая суммой возможных убытков при их потере или попадании к конкуренту. Постепенно стало понятно, что электронные средства хранения информации оказались даже более уязвимыми, чем традиционные бумажные, а находящиеся на них данные можно и уничтожить, и скопировать, и незаметно видоизменить. Последнее, кстати, представляет особую опасность для любой деловой структуры.
Не менее уязвимыми оказались и информационные коммуникации. Мало того, что циркулирующие в них данные становятся доступными для копирования и изменения, они сами предоставляют потенциальным злоумышленникам каналы для вторжения в ИС. Поэтому ежегодно бизнес в развитых странах несет многомиллиардные убытки — как от действий компьютерных злоумышленников, так и от нерадивости собственных сотрудников.
Аналогичная ситуация складывается и в России. Еще год назад проблема информационной безопасности обсуждалась на проходившей в Москве практической конференции "Безопасность телекоммуникационных и информационных технологий для взаимодействия граждан, бизнеса и органов государственной власти". Выступивший на конференции начальник Главного управления специальных технических мероприятий МВД России Борис Мирошников сообщил, что в нашей стране наблюдается быстрый рост количества преступлений в области ИТ. Если в конце XX века подобные правонарушения исчислялись десятками за год, то в 2001-2002 гг. речь шла уже о тысячах. Возможно, впрочем, что столь резкое увеличение числа зафиксированных преступлений объясняется не только ростом числа злоумышленников, но и активизацией деятельности правоохранительных органов, связанной с обеспечением информационной безопасности (ИБ).
Российские предприниматели наконец начали осознавать ценность информации, содержащейся в их ИС, и следствием этого стало проявление интереса к системам безопасности. Немалую роль в продвижении технологий защиты информации играют и отечественные системные интеграторы, предлагающие технические и организационно-режимные мероприятия для повышения надежности и безопасности создаваемых ими ИС.
Отечественные решения в области ИБ
Современная компания, относящаяся к числу предприятий среднего или крупного бизнеса, как правило, уже в силу своего статуса "обречена" на использование глобальных коммуникаций. Речь может идти о создании собственного виртуального представительства в виде Web-сайта или о поддержке удаленных пользователей. И если в ИС фирмы действительно циркулирует коммерчески важная информация, то необходимо предпринять шаги для ее защиты от злоумышленников.
При использовании общедоступных коммуникаций — для контактов с партнерами, разъездными агентами или просто для доступа в Интернет — следует обеспечить ИС традиционным набором средств для защиты от незаконного вторжения. Как правило, на внешний вход в ИС устанавливается межсетевой экран, или брандмауэр (firewall).
Межсетевые экраны сегодня предлагают как зарубежные, так и российские производители. Решения последних имеют, между прочим, ряд преимуществ, связанных с лучшим учетом специфики российского рынка и технических приемов, применяемых для построения ИС. Благодаря этому российские поставщики в состоянии не только проводить эффективную ценовую политику, но и обеспечить предлагаемую защитную систему необходимыми дополнениями, адаптированными к местным условиям, например, к особенностям отечественных каналов связи, российского делопроизводства и законодательства.
Одна из российских компаний, работающих в данной сфере, "ЭЛКО Технологии" (http://www.elco.ru),
недавно предложила пользователям новое средство защиты информационных систем
от несанкционированного доступа — межсетевой экран ELCO Firewall ("ЭльФ"), представляющий
собой систему исключения атак. В основу этой комплексной разработки заложена
идея интеграции систем обнаружения и противодействия атакам в одном устройстве
защиты (рис. 1).
Рис. 1. Роли и функции межсетевого экрана "ЭльФ".
|
Специалисты по ИБ хорошо знают, что эффективно противодействовать атакам на целевые сервисы сети с помощью одних лишь пакетных фильтров, трансляторов адресов или прокси-серверов практически невозможно. Кроме того, согласно многочисленным исследованиям, до 90% успешных атак были проведены с использованием давно известных и своевременно не устраненных уязвимостей ОС или прикладного ПО.
С учетом этого новый продукт "ЭЛКО Технологии", построенный на основе специализированной аппаратной платформы, сочетает в себе функциональные подсистемы, ранее предлагавшиеся отдельно либо не предлагавшиеся вовсе. В числе таких подсистем выделим прежде всего систему исключения атак. Это основной защитный механизм межсетевого экрана "ЭльФ", имеющий обширную и постоянно пополняющуюся базу сигнатур атак. Сверяясь с базой, система уничтожает пакеты, содержащие атаки, в момент их прохождения через межсетевой экран. Второй важный компонент "ЭльФ" — подсистема виртуализации. Она позволяет создавать полностью виртуальные архитектуры защищаемых ИС со множеством виртуальных серверов; балансировать нагрузку на физических серверах и каналах связи; наращивать необходимое количество портов межсетевого экрана путем создания виртуальных портов VLAN 802.1Q.
Следует также упомянуть подсистему пакетной фильтрации, предоставляющую стандартные возможности фильтрации трафика на основе адресной информации с учетом состояния соединения, и подсистему организации защищенных туннелей, которая предназначена для информационной защиты в сетях общего доступа (без доверия).
Функциональность "ЭльФ"
Межсетевой экран "ЭльФ" может служить для исключения сетевых атак, направленных на всю ИС или на ее отдельные защищаемые подсистемы (рис. 2). Атаки при этом могут исходить как из агрессивной среды сетей публичного доступа, так и из других частей информационной системы, в частности, изнутри ее.
Рис. 2. Настраиваемый список служб, защищаемых системой.
|
Как показывает практика, информационные объекты сетей — вне зависимости от используемого общесистемного ПО — плохо защищены от сетевых атак вследствие ошибок в программах и неправильного их конфигурирования. Поэтому системный администратор обязан регулярно отслеживать появление различных "заплаток" для ПО, оперативно устанавливать их на объекты сети, проводя обновления по мере обнаружения очередных уязвимостей.
Однако на предприятиях не всегда есть возможность выполнить необходимые процедуры оперативно, а зачастую такие действия вообще связаны с риском вывести систему из строя. Вместе с тем традиционные межсетевые экраны не способны защитить целевые службы серверов (например, сервисы Web и электронной почты), поскольку должны предоставлять доступ к ним.
Возможным путем решения этой проблемы становится применение выделенных систем обнаружения и отражения сетевых атак. Принцип действия подобных систем состоит в "прослушивании" трафика, выделении в нем подозрительных пакетов, оповещении системного администратора в случае их обнаружения и выполнении некоторых автоматизированных операций (таких, как перенастройка межсетевых экранов). Системы обнаружения атак обычно включают специальные сенсоры, устанавливаемые в наблюдаемые сегменты сети, а также станции управления системой.
Отметим, что в случае применения сетевых сенсоров отдельную задачу представляет корректное и эффективное их распределение в защищаемой системе. Проектирование и развертывание таких систем — сложный процесс, который могут выполнить только специализированные организации и квалифицированные профессионалы. В результате защита, построенная с применением таких подсистем, обходится заказчику неоправданно дорого и требует непрерывного квалифицированного обслуживания.
Кроме того, зачастую оповещение системного администратора о возникновении опасной ситуации оказывается неэффективным, так как скоротечность современной сетевой атаки, которая может длиться всего несколько минут, просто не даст времени на своевременное реагирование и принятие мер. Автоматическое же выполнение действий, изменяющих настройки устройств защиты, может привести к разрушению системы защиты в целом, что облегчит злоумышленникам их задачу.
Для любой ИС межсетевой экран служит "воронкой", через которую проходит информационно-коммуникационный трафик обмена с внешними системами. Встроенная система исключения атак межсетевого экрана "ЭльФ" обнаруживает начало атаки по имеющейся базе сигнатур и просто уничтожает соответствующие пакеты, оповещая об этом системного администратора.
По словам разработчиков, внедрение межсетевого экрана "ЭльФ" позволяет решить
ряд проблем:
- сетевые атаки не проникают в защищаемую систему;
- отпадает необходимость в организации постоянного дежурства системного администратора;
- появляется единый центр, обеспечивающий расширение базы противодействия
атакам (защита от новой атаки обеспечивается обновлением базы сигнатур); - для сетей малой и средней сложности отпадает необходимость в сложных коммерческих
системах обнаружения атак; - сведения об отраженных сетевых атаках фиксируются в журнале, и системный
администратор может их впоследствии проанализировать.
Развитие систем электронной коммерции, необходимость передачи конфиденциальных данных в сетях публичного доступа и интранет привели к быстрому развитию и широкому распространению протокола SSL (Secure Socket Layer), обеспечивающего организацию защищенных соединений.
Межсетевой экран "ЭльФ" позволяет установить поверх протокола IP защищенный туннель к информационным ресурсам ИС или ее подсистемам с помощью протокола SSL версии 3.0. Благодаря этому удаленные пользователи могут обмениваться данными с сервером, защищенным межсетевым экраном (например, почтовым сервером или сервером баз данных), по каналу, конфиденциальность которого обеспечивается протоколом SSL.
Еще одно важное средство обеспечения защиты ИС от внешних атак — сокрытие реальной архитектуры системы. В межсетевом экране "ЭльФ" для этих целей реализована развитая подсистема виртуализации, предоставляющая в распоряжение системного администратора средства создания виртуальных серверов и сетевых интерфейсов. Предусмотрены также функции поддержки виртуальных локальных сетей, балансировки нагрузки, управления группами качества предоставляемых услуг.
Пользователь может обратиться к локальному серверу защищаемой подсистемы с установленным на нем прикладным ПО — при этом взаимодействие осуществляется посредством туннеля SSL, обеспечивающего конфиденциальность передаваемых данных. Разным пользователям сервера выделяются разные полосы пропускания, в зависимости от важности передаваемой информации.
Пользователи, работающие с Web-сервером, на самом деле обращаются к виртуальному Web-серверу, представляющему собой два или более физических сервера, нагрузку между которыми распределяет межсетевой экран "ЭльФ". При этом разделение трафика к локальному серверу и Web-серверам проводится с использованием механизма VLAN на межсетевом экране; информационные ресурсы подключаются к коммутатору, поддерживающему VLAN (протоколы 802.1p и 802.1q).
Создание подобного рода виртуальных архитектур значительно усложняет, а в некоторых случаях вообще делает невозможной атаку на защищаемую систему. Кроме того, данная технология позволяет повысить эффективность работы ИС.
Программно-аппаратная реализация
Межсетевой экран "ЭльФ" содержит следующие функциональные подсистемы и средства:
- систему исключения атак на основе IDS Snort;
- средства создания виртуальных серверов и балансировки нагрузки;
- средства пакетной фильтрации и трансляции адресов с контролем состояния
соединения; - средства организации виртуальных портов (VLAN 802.1q);
- средства дистанционного управления по защищенному каналу (SSH2);
- систему внутренней безопасности и аудита межсетевого экрана;
- средства организации шифрованных каналов связи для целевых сервисов серверов
(SSL версии 3.0); - поддержку групп качества сервиса (QoS);
- возможность работы на агрегированных каналах связи.
Производительность межсетевого экрана "ЭльФ" составляет 75 Мбит/с (в режиме пакетной фильтрации по протоколу HTTP), 68 Мбит/с (в режиме транслятора адресов по протоколу HTTP), 12 Мбит/с (в режиме SSL-соединения с авторизацией сервера и клиента по их сертификатам и шифрацией трафика по стандарту 3DES с длиной ключа 168 бит).
Использование протокола SSL 3.0 дает пользователям межсетевого экрана "ЭльФ" возможность работать в режиме шифрации трафика, аутентификации сервера, аутентификации сервера и клиента. В стартовом объеме база с сигнатурами атак содержит около 700 записей.
Управление трафиком поддерживает гарантированную полосу пропускания и ограничение максимальной утилизации канала. Кроме того, с его помощью можно предоставлять раздельное качество обслуживания различным категориям пользователей.
Средства аудита позволяют контролировать прохождение трафика через сетевое устройство, вести учет обнаруженных и отраженных атак, подозрительных событий. При этом используются статистические критерии (количество пакетов специального типа в секунду по источнику и т. п.).
"ЭльФ" реализован как аппаратно-программный комплекс на основе специализированного компьютера без жесткого диска. Управляющее ПО и локальный системный журнал межсетевого экрана сосредоточены в энергонезависимой перезаписываемой памяти. Целостность хранимой информации обеспечивается применением файловых систем с регистрацией событий в журнале и встроенными механизмами контроля целостности.
ПО комплекса, основанное на ОС с открытым исходным кодом, включает системные и прикладные сервисные программы, часть которых распространяется с открытым исходным кодом, а часть представляет собой фирменную разработку компании "ЭЛКО Технологии". Структура межсетевого экрана "ЭльФ" обеспечивает автоматическое восстановление работоспособности при нефатальных отказах основных элементов; предусмотрено резервирование самого устройства с автоматическим переходом на резервное в случае необходимости.
Управление комплексом может осуществляться с локальной консоли в режиме командной строки или с помощью специальной графической оболочки. Кроме того, возможно дистанционное управление межсетевым экраном в режиме командной строки по защищенному каналу SSH2 (рис. 3). Используя графическую оболочку управления комплексом, администратор может выполнять предварительную настройку межсетевого экрана, управление в режиме реального времени, а также собирать и анализировать сетевые журналы и формировать отчеты.
Рис. 3. Для межсетевого экрана "ЭльФ" предусмотрено удаленное управление.
|
Успешное внедрение "ЭльФ"В 2002 г. компания "ЭЛКО Технологии" реализовала для ЗАО НИКПА проект В результате реализации проекта пользователи корпоративной сети получили |
В заключение еще раз подчеркнем, что обеспечение информационной безопасности
— это комплексная проблема, охватывающая не только работу баз данных, каналов
связи и информационных менеджеров, но и функционирование всей сети, операционных
систем и других компонентов ИС, а также организацию административно-режимных
мероприятий. Межсетевые экраны — это один из важных технологических компонентов
системы защиты; и сегодня в России доступны продукты такого класса, созданные
российскими компаниями.
Редакция благодарит Ольгу Кутузову и других сотрудников компании "ЭЛКО Технологии"
за помощь при подготовке этого материала.