В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций
В наше тревожное время уже всем стало очевидно, что лучше иметь железную входную дверь в свою квартиру. Думалось, что столь же понятна и необходимость установки межсетевого экрана (МЭ) при подключении офисных сетей (интранет) к сетям общего пользования (например, Интернет). Каково же было мое удивление, когда, проводя аудит безопасности систем связи в ряде московских компаний, я узнал, что очень многие из них не устанавливают МЭ, наивно полагая, что их должен защищать провайдер. Характерно, что подобная ситуация наблюдается и в российских регионах. Именно эти обстоятельства привели к написанию данной статьи, напоминающей, что такое МЭ, для чего он нужен, и какие наиболее известные МЭ есть на рынке средств защиты информации
Типы межсетевых экранов
Определим межсетевой экран как специальную программно-аппаратную или программную систему защиты, позволяющую разделить информационную сеть на две части (или более) и реализовать набор правил, устанавливающих условия прохождения сетевых пакетов из одной части в другую. При этом МЭ просматривает через себя весь трафик, проходящий между сегментами сети, и для каждого пакета реализует решение - пропускать или не пропускать.
Все МЭ обычно разделяют на три основных типа:
Все типы могут быть одновременно реализованы в одном МЭ.
Фильтры пакетов
Межсетевые экраны с пакетными фильтрами реализуют решение о том, пропускать пакет или отбросить, просматривая в заголовке пакета IP-адреса, флаги или номера TCP-портов. Причем IP-адрес и номер порта - информация соответственно сетевого и транспортного уровней, но пакетные фильтры также используют и информацию прикладного уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта).
Сервер уровня соединения
Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на МЭ, который в свою очередь производит соединение с портом назначения в другом защищаемом сегменте. Как правило, точка назначения задается заранее, в то время как источников может быть много. Данный тип МЭ позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. Частным применением сервера уровня соединения может быть организация виртуальных частных сетей (VPN - Virtual Private Network).
Серверы прикладного уровня
МЭ этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP, SMTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису.
Использование данного типа МЭ позволяет скрыть от внешних пользователей структуру и трафик локальной сети.
Классы защищенности
Разделение МЭ по классам защищенности осуществляется в России согласно двум официальным документам.
Первый документ - это принятый в 1997 году Руководящий документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Документ устанавливает пять классов защищенности МЭ, каждый из которых характеризуется определенной минимальной совокупностью требований по за-щите информации.
Второй документ - "Временные требования к устройствам типа межсетевой экран" (разработка ФАПСИ 1998 года) также устанавливают пять классов защищенности МЭ, применяемых для защиты информации в автоматизированных системах, содержащих криптографические средства.
О рынке межсетевых экранов
На рынке существует множество готовых устройств и программ, реализующих функцию МЭ. Есть также специализированные программы на основе ОС Linux или FreeBSD, из которых опытный пользователь может самостоятельно собрать МЭ.
В качестве примера готового устройства можно привести 3Com Office Connect Internet Firewall компании 3Com Corporation. Настраивается этот МЭ через любой Интернет-браузер.
Примером готовой программы может служить и eTrust Firewall компании Computer Associates International, Inc. eTrust Firewall. Наряду с выполнением стандартных функций позволяет:
Наибольшую известность в России получили МЭ компании CISCO и Checkpoint.
Компания CISCO предлагает на рынок целую линейку МЭ (см. табл. 1), а также программный МЭ, работающий с Cisco VPN Client.
МЭ CISCO обычно имеет три интерфейса.Один соединяется с внешней сетью, второй - с защищаемой сетью, а третий используется в так называемой "демилитаризованной зоне".
Продукция компании Checkpoint - это мощный программный МЭ с возможностью распределенной установки в сети. Последняя на настоящее время версия МЭ - Checkpoint VPN-1/Fire-wall-1 NG FP-3 Management 1.
Необходимо отметить, что компания Checkpoint продвигает не просто МЭ, а целую архитектуру SVN (Secure Virtual Network), ключевым компонентом которой и является экран Checkpoint VPN-1/Firewall 1, позволяющий:
В процессе работы МЭ производится анализ:
Не дожидайся "разбитого корыта"
В заключение хотелось бы, учитывая возросшее количество информационных атак, появление все более опасных компьютерных вирусов и стремительное расширение нашего виртуального мира, еще раз напомнить читателю, что защита его информационной системы - дело постоянное, требующее применения современных средств и методов. Межсетевые экраны при этом существенно снижают вероятность того, что однажды, вздымая руки к небу и кроя себя последними словами за излишнюю бережливость, вы будете лицезреть "разбитое корыто" своих баз данных и с ужасом ощущать утраченные деловые связи.
Д.В. Костров
Независимый эксперт
Опубликовано: Журнал "Системы безопасности" #1, 2004
Посещений: 16412
Автор
| |||
В рубрику "Защита информации" | К списку рубрик | К списку авторов | К списку публикаций