Принцип действия межсетевых экранов

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел.

Число инцидентов, связанных с информационной безопасностью, по данным ведущих аналитических агентств постоянно возрастает. Специалисты, отвечающие за защиту информации, отмечают возрастающую активность внешних злоумышленников, использующих последние разработки в области нападения, пытающихся проникнуть в корпоративные сети для совершения своих «черных» дел. Они не ограничиваются кражей информации или выведением узлов сети из строя. Нередки случаи, когда взломанные сети использовались для совершения новых атак. Поэтому защита периметра информационной системы является обязательным элементом системы информационной безопасности организации.

При этом для определения состава компонентов защиты периметра, обеспечивающих минимальный (начальный) уровень информационной безопасности, необходимо произвести анализ наиболее распространенных угроз информационным ресурсам организации:
• сетевые атаки, направленные на недоступность информационных ресурсов (к примеру, web-серверов, сервисов электронной почты и т.д.) — атаки класса DoS и DDoS;
• компрометация информационных ресурсов и эскалация привилегий как со стороны инсайдеров, так и внешних злоумышленников, как с целью использования ваших ресурсов, так и с целью нанесения ущерба;
• действия вредоносного программного кода (вирусы, сетевые черви, трояны, программы-шпионы и т.д.);
• утечка конфиденциальной информации и похищение данных как через сеть (e-mail, FTP, web и пр.), так и через внешние носители;
• различные сетевые атаки на приложения.

Для минимизации угроз информационной безопасности необходимо внедрение межсетевых экранов в разных уровнях модели OSI, как показано в таблице.

Таблица. Межсетевые экраны и модели OSI

Работа всех межсетевых экранов основана на использовании информации разных уровней модели OSI (табл.). Модель OSI, разработанная Международной организацией по стандартизации, определяет семь уровней, на которых компьютерные системы взаимодействуют друг с другом, — начиная с уровня физической среды передачи данных и заканчивая уровнем прикладных программ, используемых для коммуникаций. В общем случае, чем выше уровень модели OSI, на котором брандмауэр фильтрует пакеты, тем выше и обеспечиваемый им уровень защиты.

Могут быть выбраны следующие методы контроля трафика между локальной и внешней сетью:
1. Фильтрация пакетов — основан на настройке набора фильтров. В зависимости от того, удовлетворяет ли поступающий пакет указанным в фильтрах условиям, он пропускается в сеть либо отбрасывается.
2. Данный класс маршрутизаторов представляет собой транслятор TCP-соединения. Шлюз принимает запрос авторизованного клиента на конкретные услуги и после проверки допустимости запрошенного сеанса устанавливает соединение с местом назначения (внешним хостом). После этого шлюз копирует пакеты в обоих направлениях, не осуществляя их фильтрации. Как правило, пункт назначения задается заранее, в то время как источников может быть много. Используя различные порты, можно создавать разнообразные конфигурации соединений. Данный тип шлюза позволяет создать транслятор TCP-соединения для любого определенного пользователем сервиса, базирующегося на ТСР, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию.
3. Proxy-сервер — между локальной и внешней сетями устанавливается дополнительное устройство proxy-сервер, который служит «воротами», через которые должен проходить весь входящий и исходящий трафик. Statefulinspection — инспектирование входящего трафика — один из самых передовых способов реализации межсетевого экрана. Под инспекцией подразумевается анализ не всего пакета, а лишь его специальной ключевой части и сравнение с заранее известными значениями из базы данных разрешенных ресурсов. Данный метод обеспечивает наибольшую производительность работы межсетевого экрана и наименьшие задержки.

Принцип действия межсетевого экрана основан на контроле поступающего извне трафика.

Межсетевой экран может быть выполнен аппаратно или программно. Конкретная реализация зависит от масштаба сети, объема трафика и необходимых задач. Наиболее распространенным типом брандмауэров является программный. В этом случае он реализован в виде программы, запущенной на конечном ПК, либо пограничном сетевом устройстве, например, маршрутизаторе. В случае аппаратного исполнения межсетевой экран представляет собой отдельный сетевой элемент, обладающий обычно большими производительными способностями, но выполняющий аналогичные задачи.

Межсетевой экран позволяет настраивать фильтры, отвечающие за пропуск трафика по следующим критериям:
1. IP-адрес. Как известно, любое конечное устройство, работающее по протоколу IP, должно иметь уникальный адрес. Задав какой-то адрес либо определенный диапазон, можно запретить получать из них пакеты, либо, наоборот, разрешить доступ только с данных IP-адресов.
2. Доменное имя. Как известно, сайту в сети Интернет, точнее его IP-адресу, может быть поставлено в соответствие буквенно-цифровое имя, которое гораздо проще запомнить, чем набор цифр. Таким образом, фильтр может быть настроен на пропуск трафика только к/от одного из ресурсов, либо запретить доступ к нему.
3. Порт. Речь идет о программных портах, т.е. точках доступа приложений к услугам сети. Так, например, ftp использует порт 21, а приложения для просмотра web-страниц порт 80. Это позволяет запретить доступ с нежелательных сервисов и приложений сети, либо, наоборот, разрешить доступ только к ним.
4. Протокол. Межсетевой экран может быть настроен на пропуск данных только какого-либо одного протокола, либо запретить доступ с его использованием. Обычно тип протокола может говорить о выполняемых задачах используемого им приложения и о наборе параметров защиты. Таким образом, доступ может быть настроен только для работы какого-либо одного специфического приложения и предотвратить потенциально опасный доступ с использованием всех остальных протоколов.

Выше перечислены только основные параметры, по которым может быть произведена настройка. Также могут применяться другие параметры для фильтров, специфичные для данной конкретной сети, в зависимости от выполняемых в ней задач.

Таким образом, межсетевой экран предоставляет комплексный набор задач по предотвращению несанкционированного доступа, повреждения или хищения данных, либо иного негативного воздействия, которое может повлиять на работоспособность сети. Обычно межсетевой экран используется в совокупности с другими средствами защиты, например, антивирусное ПО.

Создание политики фильтрации для межсетевых экранов
Существует два основных способа создания наборов правил межсетевого экрана: «включающий» и «исключающий». Исключающий межсетевой экран позволяет прохождение всего трафика, за исключением трафика, соответствующего набору правил. Включающий межсетевой экран действует прямо противоположным образом. Он пропускает только трафик, соответствующий правилам, и блокирует все остальное.

Включающий межсетевой экран обеспечивает гораздо большую степень контроля исходящего трафика. Поэтому включающий межсетевой экран является лучшим выбором для систем, предоставляющих сервисы в сети Интернет. Он также контролирует тип трафика, порождаемого вне и направляющегося в вашу приватную сеть. Трафик, не попавший в правила, блокируется, а в файл протокола вносятся соответствующие записи. Включающие межсетевые экраны обычно более безопасны, чем исключающие, поскольку они существенно уменьшают риск пропуска межсетевым экраном нежелательного трафика.

Безопасность может быть дополнительно повышена с использованием «межсетевого экрана с сохранением состояния». Такой межсетевой экран сохраняет информацию об открытых соединениях и разрешает только трафик через открытые соединения или открытие новых соединений. Недостаток межсетевого экрана с сохранением состояния в том, что он может быть уязвим для атак DoS (Denial of Service, отказ в обслуживании), если множество новых соединений открывается очень быстро. Большинство межсетевых экранов позволяют комбинировать поведение с сохранением состояния и без сохранения состояния, что позволяет создавать оптимальную конфигурацию для каждой конкретной системы.

В качестве примера можно рассмотреть создание правил фильтрации в простом пакетном фильтре. Существуют несколько возможных параметров при фильтрации пакетов. Наиболее простым является адресная фильтрация; она состоит в сравнении адресов в пакете с адресами, прописанными в правилах. Если адреса совпадают, пакет пропускается. Это сравнение производится следующим образом:

1. Можно рассмотреть следующее правило: все хосты сети 10.1.x.x могут взаимодействовать с хостами сети 10.2.x.x. Пишется это правило следующем образом:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0
——- Источник —— —— Назначение ——

Теперь можно применить правило к пакету, который отправлен от хоста 10.1.1.2 к хосту 10.3.7.7. Наложим маску к обоим адресам — адресу в правиле и адресу в пакете. Затем проверяется, одинаковы ли адреса источника и назначения. В результате будем иметь:

Для адреса источника:

10.1.0.0 & 255.255.0.0 = 10.1.0.0 (для правила)
10.1.1.2 & 255.255.0.0 = 10.1.0.0 (для пакета)

После применения маски оба адреса совпадают. Проверим теперь адрес назначения:

10.2.0.0 & 255.255.0.0 = 10.2.0.0 (для правила)
10.3.7.7 & 255.255.0.0 = 10.3.0.0 (для пакета)

Так как адреса назначения пакета и правила после применения маски не совпадают, то это правило не должно применяться к данному пакету.

Эта операция выполняется по всему списку адресов и масок источника и назначения до достижения конца списка или до тех пор, пока пакет не будет удовлетворять одному из правил. Список правил имеет следующий формат:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0

Кроме адресов источника и назначения, каждый IP-пакет заключает в себе информацию об используемых протоколе и сервисе. Ее можно использовать как дополнительный параметр фильтрации.

Например, сервисы в протоколе TCP всегда связаны с портом. В результате можно привести в соответствие список портов с адресами.

Воспользуемся для примера двумя хорошо знакомыми сервисами — POP3 и HTTP. POP3 использует порт 110, а HTTP — порт 80. Следовательно, мы можем добавить эти порты в описание правила. В результате получим:

10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 TCP 80 110
—— Источник —— —— Назначение —— Протокол – Порты —

Это правило разрешает каждому пакету, следующему от сети 10.1.x.x к сети 10.2.x.x и использующему сервисы HTTP и POP3, проходить через межсетевой экран.

Сначала адреса из правила сравниваются с адресами пакета. Если после наложения маски оба адреса совпадают, протокол и порт назначения в пакете будут сравниваться с протоколом и списком портов, описанных в правиле. Если протокол совпадает, а порт в правиле одинаков с портом пакета, то такой пакет удовлетворяет правилу. В противном случае поиск будет продолжен в списке правил.

С учетом этой новой информации набор правил будет иметь следующий формат:

10.1.1.2 & 255.255.255.255 — 10.2.0.0 & 255.255.0.0 UDP 53
10.3.3.2 & 255.255.255.255 — 10.1.2.1 & 255.255.255.255 TCP 80
10.1.1.0 & 255.0.0.0 — 10.2.3.0 & 255.255.255.0 TCP 21 20 113
10.1.0.0 & 255.255.0.0 — 10.2.0.0 & 255.255.0.0 ICMP 0 8

Кроме этих основных параметров фильтрации можно добавить еще несколько. Одним из них является сетевой интерфейс источника; используя имя сетевого интерфейса в качестве параметра фильтрации можно разрешить прохождение пакетов с определенными адресами только от заданного интерфейса.

Цель такой процедуры состоит в блокировании атаки, известной как IP-спуфинг, суть которой состоит в том, что во внутреннюю сеть посылается пакет с фальшивым адресом источника (из внутренней сети). При использовании в качестве параметра имени сетевого интерфейса можно легко блокировать этот вид атаки. Например, если внутренняя сеть взаимодействует с межсетевым экраном через интерфейс de0, то необходимо лишь установить в правилах, что пакеты с адресом источника из внутренней сети следует принимать, только если они пришли от данного интерфейса; во всех других случаях они будут отбрасываться.

Orphus system