Надежная дверь в компьютерную сеть
Игорь Камолов,
эксперт по системам безопасности
security@firebox.ru
Ритм жизни современного общества требует постоянного поступления новейшей и достоверной информации. Чтобы эффективно и быстро предоставлять и обрабатывать информацию, создаются компьютерные сети, открывающие доступ к неограниченным источникам информации через Интернет и электронную почту.
Однако у каждой медали есть и оборотная сторона. В данном случае это информационная безопасность (или небезопасность) бизнеса. В России эта проблема существует не так давно, но уже сейчас по своей значимости она превосходит "физическую" безопасность предпринимательства. Ставить бронированные сейфовые двери и крепких парней в приемной мы научились. Но оказалось, что ломиться в эти крепкие двери вовсе не обязательно. Можно проникнуть в локальную сеть компании и "унести" все, что душе угодно. Статистика бесстрастно свидетельствует — процент раскрываемости преступлений в сфере высоких технологий гораздо ниже, чем традиционных уголовных. Так что спасение утопающих — дело рук самих утопающих.
Вот тут и начинается самое интересное. Рынок услуг и средств защиты информации достаточно широк и насыщен. Чего только на нем не встретишь: и электронные замки, и всевозможные антивирусные программы, и межсетевые экраны, и средства шифрования. Одним словом, есть из чего выбирать. Проблема в том, как сформировать систему информационной безопасности с минимальными затратами и достаточным уровнем надежности. Вот главный вопрос, стоящий сейчас перед службами информационной безопасности и ИТ-менеджерами.
Информационная безопасность — это не набор средств защиты, а политика предприятия по охране своих информационных ресурсов. Под термином "политика" понимается увязывание и согласование всех средств защиты информации, чтобы они использовались максимально эффективно. Без выполнения этого требования они так и останутся мертвым "железом".
И первым барьером на пути злоумышленника в локальную сеть становится межсетевой экран. Современный межсетевой экран — это целый интегрированный комплекс защитных средств. Рассмотрим подробнее составляющие этого комплекса.
Пакетный фильтр
Современный межсетевой экран обязан поддерживать как пакетную, так и контекстную фильтрацию (гибридная технология фильтрации IP-трафика). Наиболее приемлема пакетная фильтрация с запоминанием исходного состояния (Stateful Dynamic Packet Filtering). При таком типе фильтрации можно использовать самые прогрессивные, мультимедийные протоколы, в которых отсутствует фиксированное назначение порта.
Кроме пакетной фильтрации, межсетевой экран должен выполнять и контекстную проверку пакетов. Вредоносные коды сегодня распространяются молниеносно, и к моменту выхода релизов компаний-производителей антивирусов многие информационные ресурсы уже оказываются заражены. Яркий пример — "свежие" вирусы Nimbda, RedCode и SirCam. Показательны недавние события, когда релизы российских производителей антивирусов просто констатировали факт заражения множества серверов Microsoft IIS, хотя проблему можно было решить при помощи межсетевого экрана — путем простого блокирования прохождения исполнимого кода (exe, VBC и т. п.) по протоколу SMTP. Но для такого блокирования необходимо, чтобы межсетевой экран как первый рубеж обороны мог "отфильтровать" потенциально опасный почтовый трафик, хотя бы по типу содержимого (MIME-тип) пакета. Ряд производителей межсетевых экранов игнорируют эту проблему и пытаются переложить решение задачи на создателей антивирусного ПО, хотя опыт показал недееспособность такого подхода.
Далее: современный аппаратный экран должен поддерживать трансляцию сетевых адресов (NAT) с возможностью как статической, так и динамической трансляции адресов. Особый интерес представляет статическая трансляция адресов, или перенаправление портов (Port Forwarding). Этот вид трансляции существенно повышает уровень защищенности публичных ресурсов. "Взламывая" защищенный таким образом информационный ресурс, злоумышленник фактически имеет дело с межсетевым экраном, а не с сервером приложений (SMTP, FTP или Web). Если межсетевой экран имеет функцию блокирования опций IP-пакета, такие попытки заранее обречены на провал.
Если у межсетевого экрана нет этих опций, то он не обеспечивает эффективной защиты локальной сети от постороннего вмешательства.
Виртуальные частные сети
Вторая составляющая современного межсетевого экрана — средства построения виртуальных частных сетей (VPN). VPN стали мировым стандартом для защищенного объединения территориально разделенных ЛВС в единую информационную сеть. Из разнообразных стандартов и алгоритмов шифрования информации в VPN более всего распространен стандарт IPSec. Он обеспечивает гибкие и надежные средства построения VPN, а благодаря поддержке протоколов PKI и IKE избавляет администратора от лишней работы по поддержанию виртуальных частных каналов, связанной с генерацией и распространением ключевой информации.
Существует целый ряд специализированных устройств для создания VPN от ведущих производителей телекоммуникационного оборудования (таких, как Intel, Cisco и т. д.). Однако, как показывает практика, часто возникают проблемы совместимости с ними. Например, криптографический шлюз Intel Shiva совместим только с оборудованием того же производителя.
Современный межсетевой экран должен корректно поддерживать следующие стандарты и протоколы: IPSec, PKI, IKE. Кроме того, весьма желательно, чтобы он поддерживал возможности как "стволовых" VPN (между локальными сетями), так и клиентских (между локальной сетью и удаленным пользователем).
Из международных протоколов наиболее распространен 3DES-CBC (168 bit). Эта реализация протокола шифрования обеспечивает достаточный уровень защиты от дешифрования и вполне применима для коммерческих структур. Российские производители оборудования или ПО используют отечественный алгоритм ГОСТ 28147-89 с длиной ключа 256 бит. Но и в этом случае в основу системы управления ключевой информацией положены международные стандарты — IKE и PKI, поскольку на настоящий момент не существует ни одного национального документа, описывающего безопасную процедуру генерации ключевой информации для виртуальных частных сетей. Любой специалист в области криптографии скажет, что ядро стойкости криптосистемы — это ключевая информация (то, как она генерируется и распространяется между клиентами VPN). Здесь есть только два пути: или поддержка международных стандартов, или передача ключевой информации на дискете. Если, исходя из такой посылки, рассматривать конкретные реализации сертифицированных ФАПСИ продуктов, то получается парадокс: некоторые отечественные системы защиты используют зарубежные системы генерации и распределения ключевой информации, не сертифицированные ФАПСИ. Добавим к этому достаточно сложный и неочевидный процесс настройки VPN-туннелей, и станет понятно, что на сегодняшний день, к сожалению, отечественные производители ничего принципиально нового предложить потребителям не могут.
Такая же картина и с быстродействием VPN. Для многих средств построения VPN шифрование со скоростью 50 Мбит/с — уже предел. Казалось бы, это много, однако современные приложения отличаются ресурсоемкостью и потребностью в скоростных каналах, поэтому скорость шифрования в 50 Мбит/с вряд ли может считаться приемлемой.
Графическая система настройки, управления и мониторинга
Еще одна беда России — острая нехватка квалифицированных кадров в области защиты информации. Бороться с ней можно при помощи совершенно "прозрачной" и логичной системы настройки, управления и мониторинга межсетевого экрана. У современного межсетевого экрана должен быть интуитивно понятный графический интерфейс пользователя (GUI), снижающий вероятность неумышленной ошибки администратора при настройке. В идеале экран должен иметь систему защиты от ошибок при настройке, т. е. предупреждать администратора о противоречии правил фильтрации.
Как и любое коммуникационное оборудование, межсетевой экран должен иметь системы мониторинга в режиме реального времени. Только выполнение этого правила позволит своевременно реагировать на нападения и другие нетипичные сетевые события. Средства мониторинга могут быть графическими или текстовыми; графические предпочтительнее, поскольку они отражают состояние межсетевого экрана в произвольные промежутки времени, а текстовые дают только "мгновенный" снимок.
Система обновления ПО
Представление об информационной безопасности Интернета постоянно меняется. То, что сегодня считается безопасным и допустимым, завтра может оказаться весьма опасным. Современный межсетевой экран должен иметь встроенную систему обновления ПО в режиме online. Это предполагает доставку на рабочее место администратора безопасности новых версий или патчей ПО межсетевого экрана, а также рекомендаций по его настройке для более эффективного противостояния вновь возникшим угрозам. Использование такой технологии позволит свести к минимуму временные промежутки между выпуском новых версий и их установкой у пользователей.
Сервисные программы и утилиты
Последний непременный атрибут современного межсетевого экрана — сервисные программы и утилиты. Это средства анализа накопленной межсетевым экраном статистической информации, подготовки и генерации графических отчетов о его работе, а также средства управления доступом к информационным ресурсам Интернета.
Средства анализа журнала (log-файла) межсетевого экрана должны выполнять произвольную выборку данных по любому значащему полю плоской таблицы этого файла. Разумеется, существует множество специализированных программных продуктов — таких, как Crystal Report, Webtrends Log Аnalizer и т. п. Однако не все они способны работать с форматом log-файла именно вашего межсетевого экрана, а их приобретение к тому же удорожает весь комплекс. Поскольку анализ работы межсетевого экрана — необходимая операция для поддержания достаточного уровня безопасности, такие продукты должны содержаться в комплекте поставки. Это требование, к сожалению, зачастую игнорируется некоторыми зарубежными и отечественными производителями межсетевых экранов.
Средства управления доступом пользователей к информационным ресурсам Интернета в зависимости от наполнения способны существенно поднять производительность работы сотрудников, не позволяя им отвлекаться на информацию, в которой нет производственной необходимости. Казалось бы, каким образом это влияет на информационную безопасность предприятия в целом? Как правило, все "веселые" сайты буквально нашпигованы "троянцами", скриптовыми вирусами и иным вредоносным кодом. Разумнее вообще запретить посещения таких ресурсов, чем впоследствии ликвидировать вирусное заражение. Для решения этой задачи предлагается множество продуктов третьих компаний (Сyber Patrol, SurfControl, ContentCleaner), но их приобретение удорожает межсетевой экран.
Современные межсетевые экраны поддерживают и еще ряд возможностей: например, управление полосой пропускания канала доступа в Интернет, поддержка динамической перенастройки списков доступа маршрутизаторов и т. п. Напрямую на уровень защищенности эти возможности не влияют, поэтому здесь мы их не обсуждаем.
WatchGuard FireBox System
Один из примеров корректной реализации концепции современного межсетевого экрана — программно-аппаратный комплекс WatchGuard FireBox System. Данный комплекс сертифицирован Гостехкомиссией при Президенте РФ по 3-му классу для межсетевых экранов, а также имеет международный сертификат ICSA Labs.
WatchGuard FireBox System подходит для сетей любого масштаба, поскольку к нему не применяется понятие лицензирования. Для фильтрации используется гибридный метод, включающий в себя как пакетную фильтрацию (Stateful Dynamic Packet Filtering), так и контекстный анализ на уровне фильтров — посредников приложений (Transparent Proxy). Скорость обработки пакетов составляет от 130 до 180 Мбит/с. Комплекс оснащен системой автоматического блокирования нападающих хостов на срок от одной минуты до месяца, системой защиты от сканирования, блокирования манипуляций с IP-пакетом, а также обнаружения атак типа ip-spoofing и mac-spoofing.
Управление межсетевым экраном происходит при помощи единого центра управления по зашифрованному каналу, что обеспечивает высокий уровень устойчивости. Любую программную составляющую или утилиту можно вызвать непосредственно из центра управления. Первоначальное конфигурирование и дальнейшая точная настройка межсетевого экрана выполняются при помощи интуитивно понятной системы мастеров и графических утилит со встроенной системой защиты от ошибок. Среднее время настройки комплекса не превышает 5 мин. Объем защищаемой комплексом сети не ограничен, включая логически разделенные сегменты.
Стандартно в поставку межсетевого экрана входят средства построения виртуальных частных сетей. Для организации VPN между локальными сетями используется стандарт IPSec с поддержкой протоколов обмена ключевой информацией PKI и IKE и алгоритма шифрования DES-CBC и 3DES-CBC с длиной ключа от 40 до 168 бит. Второй поддерживаемый стандарт — разработанный производителем WatchGuard VPN с поддержкой алгоритма шифрования RC-4 с длиной ключа от 40 до 128 бит.
Для построения виртуальных частных сетей между защищаемой локальной сетью и удаленным пользователем можно использовать входящие в комплект поставки средства поддержки PPTP или (за небольшую дополнительную плату) IPSec. В зависимости от модели WatchGuard FireBox скорость шифрования составляет от 30 до 85 Мбит/сек при длине ключа 168 бит.
WatchGuard FireBox System стандартно имеет системы мониторинга и предупреждения о нападении в режиме реального времени. Встроенные средства мониторинга (рис. 1 и 2) позволяют отображать как технические параметры межсетевого экрана (загрузка портов, процессора, объем трафика и т. п.), так и логические (количество, направление и прочие данные об установленных через межсетевой экран соединениях). Система предупреждения о нападении способна оповещать администратора о попытках нарушения установленной политики безопасности при помощи e-mail, пейджера или любого другого SMS-совместимого устройства, всплывающего окна Windows или запуска любой установленной программы. Это позволит администратору максимально быстро получить информацию о нападении и принять адекватные меры.
Рис. 1. Всесторонний мониторинг межсетевого экрана в режиме реального времени.
|
Рис. 2. Наглядное отображение всех сетевых событий.
|
Обладая встроенными средствами обработки отчетной информации, подготовки и генерации графических отчетов о работе межсетевого экрана, WatchGuard FireBox System позволяет без привлечения других обработчиков log-файла представлять графические отчеты по заранее заданным шаблонам. Если администратор желает пользоваться для этих целей продуктами других фирм — предусмотрена возможность экспорта данных в текстовый файл или файл формата WebTrends.
Для онлайнового обновления ПО используется фирменная технология WatchGuard LiveSecure. Она позволяет администратору в режиме реального времени получать обновления ПО межсетевого экрана, рекомендации по настройке для противодействия новым видам атак, обучающие статьи, предупреждения о новых вирусах. Данная информация готовится альянсом LiveSecure, в который входят ведущие мировые компании в области защиты информации — RSA, ISS, Webtrends, TrendMicro и др.
Таким образом, в WatchGuard FireBox System имеются все основные составляющие современного межсетевого экрана. И качество этого решения подтверждается практикой: по всему миру за четыре года было установлено свыше 20 тыс. таких межсетевых экранов.