Контакты
Подписка
МЕНЮ
Контакты
Подписка

Межсетевой экран - не роскошь, а средство первой необходимости

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Межсетевой экран - не роскошь, а средство первой необходимости

В наше тревожное время уже всем стало очевидно, что лучше иметь железную входную дверь в свою квартиру. Думалось, что столь же понятна и необходимость установки межсетевого экрана (МЭ) при подключении офисных сетей (интранет) к сетям общего пользования (например, Интернет). Каково же было мое удивление, когда, проводя аудит безопасности систем связи в ряде московских компаний, я узнал, что очень многие из них не устанавливают МЭ, наивно полагая, что их должен защищать провайдер. Характерно, что подобная ситуация наблюдается и в российских регионах. Именно эти обстоятельства привели к написанию данной статьи, напоминающей, что такое МЭ, для чего он нужен, и какие наиболее известные МЭ есть на рынке средств защиты информации

Типы межсетевых экранов

Определим межсетевой экран как специальную программно-аппаратную или программную систему защиты, позволяющую разделить информационную сеть на две части (или более) и реализовать набор правил, устанавливающих условия прохождения сетевых пакетов из одной части в другую. При этом МЭ просматривает через себя весь трафик, проходящий между сегментами сети, и для каждого пакета реализует решение - пропускать или не пропускать.

Все МЭ обычно разделяют на три основных типа:

  • пакетные фильтры (packet filter);
  • серверы уровня соединения (circuit gateways);
  • серверы прикладного уровня (application gateways).

Все типы могут быть одновременно реализованы в одном МЭ.

Фильтры пакетов

Межсетевые экраны с пакетными фильтрами реализуют решение о том, пропускать пакет или отбросить, просматривая в заголовке пакета IP-адреса, флаги или номера TCP-портов. Причем IP-адрес и номер порта - информация соответственно сетевого и транспортного уровней, но пакетные фильтры также используют и информацию прикладного уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта).

Сервер уровня соединения

Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на МЭ, который в свою очередь производит соединение с портом назначения в другом защищаемом сегменте. Как правило, точка назначения задается заранее, в то время как источников может быть много. Данный тип МЭ позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. Частным применением сервера уровня соединения может быть организация виртуальных частных сетей (VPN - Virtual Private Network).

Серверы прикладного уровня

МЭ этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP, SMTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису.

Использование данного типа МЭ позволяет скрыть от внешних пользователей структуру и трафик локальной сети.

Классы защищенности

Разделение МЭ по классам защищенности осуществляется в России согласно двум официальным документам.

Первый документ - это принятый в 1997 году Руководящий документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Документ устанавливает пять классов защищенности МЭ, каждый из которых характеризуется определенной минимальной совокупностью требований по за-щите информации.

Второй документ - "Временные требования к устройствам типа межсетевой экран" (разработка ФАПСИ 1998 года) также устанавливают пять классов защищенности МЭ, применяемых для защиты информации в автоматизированных системах, содержащих криптографические средства.

О рынке межсетевых экранов

На рынке существует множество готовых устройств и программ, реализующих функцию МЭ. Есть также специализированные программы на основе ОС Linux или FreeBSD, из которых опытный пользователь может самостоятельно собрать МЭ.

В качестве примера готового устройства можно привести 3Com Office Connect Internet Firewall компании 3Com Corporation. Настраивается этот МЭ через любой Интернет-браузер.

Примером готовой программы может служить и eTrust Firewall компании Computer Associates International, Inc. eTrust Firewall. Наряду с выполнением стандартных функций позволяет:

  • управлять несколькими МЭ, используя единый интерфейс;
  • использовать информацию о легальных пользователях NT или RADIUS-серверов;
  • применять готовые фильтры для популярных сетевых служб, таких как FTP, RealAudio и др.;
  • информировать администратора о внештатных ситуациях, посылая сообщения на пейджер или факс.

Наибольшую известность в России получили МЭ компании CISCO и Checkpoint.

Компания CISCO предлагает на рынок целую линейку МЭ (см. табл. 1), а также программный МЭ, работающий с Cisco VPN Client.

МЭ CISCO обычно имеет три интерфейса.Один соединяется с внешней сетью, второй - с защищаемой сетью, а третий используется в так называемой "демилитаризованной зоне".

Продукция компании Checkpoint - это мощный программный МЭ с возможностью распределенной установки в сети. Последняя на настоящее время версия МЭ - Checkpoint VPN-1/Fire-wall-1 NG FP-3 Management 1.

Необходимо отметить, что компания Checkpoint продвигает не просто МЭ, а целую архитектуру SVN (Secure Virtual Network), ключевым компонентом которой и является экран Checkpoint VPN-1/Firewall 1, позволяющий:

  • "помнить", какие пакеты проходили;
  • "помнить", какой пользователь уже аутентифицирован, и допускать его только к разрешенным сервисам;
  • иметь возможность манипулировать информацией в пакете и т.п.

В процессе работы МЭ производится анализ:

  • заголовка пакета (адрес источника и получателя, протокол, порт источника и получателя, длина пакета);
  • состояния соединения;
  • номера ТСР-последовательности и номера фрагмента при IP-фрагментировании;
  • типа приложения, верификации контекста;
  • интерфейса МЭ, используемого для передачи и приема информации;
  • даты и времени отправки пакета и его получения и т.п.

Не дожидайся "разбитого корыта"

В заключение хотелось бы, учитывая возросшее количество информационных атак, появление все более опасных компьютерных вирусов и стремительное расширение нашего виртуального мира, еще раз напомнить читателю, что защита его информационной системы - дело постоянное, требующее применения современных средств и методов. Межсетевые экраны при этом существенно снижают вероятность того, что однажды, вздымая руки к небу и кроя себя последними словами за излишнюю бережливость, вы будете лицезреть "разбитое корыто" своих баз данных и с ужасом ощущать утраченные деловые связи.

Д.В. Костров
Независимый эксперт

Опубликовано: Журнал "Системы безопасности" #1, 2004
Посещений: 16350

  Автор

Костров Д. В.

Костров Д. В.

Независимый эксперт

Всего статей:  1

В рубрику "Защита информации" | К списку рубрик  |  К списку авторов  |  К списку публикаций