Обеспечение информационной безопасности в сетях IP

FireWall

Интернет-технологии FireWall

Обзор

Когда Вы соединяете Вашу сеть с Internet или с другой сетью, фактор обеспечения безопасности доступа в Вашу сеть имеет критическое значение. Наиболее эффективный способ защиты при связи с Internet предполагает размещение системы FireWall между Вашей локальной сетью и Internet. FireWall обеспечивает проверку всех соединений между сетью организации и Internet на соответствие политике безопасности данной организации.

Для того, чтобы эффективно обеспечивать безопасность сети, firewall обязан отслеживать и управлять всем потоком, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений), firewall должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений - главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Итак, управляющие решения требуют чтобы firewall имел доступ, возможность анализа и использования следующих вещей:

  1. Информация о соединениях - информация от всех семи уровней в пакете.
  2. История соединений - информация, полученная от предыдущих соединений. Например, исходящая команда PORT сессии FTP должна быть сохранена для того, чтобы в дальнейшем с его помощью можно было проверить входящее соединение FTP data.
  3. Состояния уровня приложения - информация о состоянии, полученная из других приложений. Например, аутентифицированному до настоящего момента пользователю можно предоставить доступ через firewall только для авторизованных видов сервиса.
  4. Манипулирование информацией - вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Сравнение альтернатив

В этом разделе описаны границы, в которых доступные технологии firewall обеспечивают эти четыре своих основных свойства.

Маршрутизаторы

Маршрутизаторы действуют на сетевом уровне и их очевидным недостатком является неспособность обеспечивать безопасность даже для наиболее известных сервисов и протоколов. Маршрутизаторы не являются устройствами обеспечения безопасности, так как они не имеют основных возможностей firewall:
  1. Информация о соединении - маршрутизаторы имеют доступ лишь к ограниченной части заголовка пакетов.
  2. Наследуемая информация о соединении и приложении - маршрутизаторы не поддерживают хранение информации о истории соединения или приложения.
  3. Действия над информацией - маршрутизаторы имеют очень ограниченные возможности по действиям над информацией.
К тому же, маршрутизаторы трудно конфигурировать, следить за их состоянием и управлять. Они не обеспечивают должного уровня журналирования событий и механизмов оповещения.

Proxy

Proxy являются попыткой реализовать firewall на уровне приложения. Их основное преимущество - поддержка полной информации о приложениях. Proxy обеспечивают частичную информацию об истории соединений, полную информацию о приложении и частичную информацию о текущем соединении. Proxy также имеют возможность обработки и действий над информацией.

Однако, имеются очевидные трудности в использовании proxy на уровне приложения в качестве firewall, включая :

  1. Ограничения на соединения - каждый сервис требует наличия своего собственного proxy, так что число доступных сервисов и их масштабируемость ограничены.
  2. Ограничения технологии - application gateways не могут обеспечить proxy для UDP, RPC и других сервисов общих семейств протоколов.
  3. Производительность - реализация на уровне приложения имеет значительные потери в производительности.
В добавление, proxy беззащитны к ошибкам в приложениях и OS, неверной информации в нижних уровнях протоколов и в случае традиционных proxy очень редко являются прозрачными.

Исторически proxy уровня приложений удовлетворяли применению общему их применению и нуждам Internet. Однако, по мере превращения Internet в постоянно меняющуюся динамичную среду, постоянно предлагающую новые протоколы, сервисы и приложения, proxy более не способны обработать различные типы взаимодейстывий в Internet или отвечать новым нуждам бизнеса, высоким требованиям к пропускной способности и безопасности сетей.


Check Point FireWall-1 технология проверки с учетом состояния протокола (Stateful Inspection Technology)

Передовая технология FireWall-1

В отличие от описанных альтернатив, FireWall-1 вводит передовую архитектуру, названную технологией проверки с учетом состояния протокола, которая реализует все необходимые возможности firewall на сетевом уровне.

Предлагая проверку с учетом состояния протокола, FireWall-1 модуль инспекции имеет доступ и анализирует данные, полученные от всех уровней коммуникаций. Эти данные о "состоянии" и "контексте" запоминаются и обновляются динамически, обеспечивая виртуальную информацию о сессии для отслеживания протоколов без установки соединений (таких как RPC и приложений основанных на UDP). Данные, собранные из состояний соединений и приложений, конфигурации сети и правил безопасности, используются для генерации соответствующего действия и либо принятия, либо отвержения, либо шифрации канала связи. Любой трафик, который намеренно не разрешен правилами безопасности блокируется по умолчанию и одновременно в реальном времени генерируются сигналы оповещения, обеспечивая системного администратора полной информацией о состоянии сети.

Табл. 3. Сравнение технологий

Свойство firewall

Маршрутизаторы

Proxy

Проверка с учетом состояния протокола

Информация о канале связи Частично Частично Да
Информация об истории соединений Нет Частично Да
Информация о состоянии приложения Нет Да Да
Действия над информацией Частично Да Да

Итак, FireWall-1 совмещает прозрачность на сетевом уровне, полноту, надежность и высокую производительность с гибкостью на уровне приложений, обеспечивая тем самым превосходное решение для обеспечения безопасности, которое значительно превосходит возможности предыдущих решений.

Политика безопасности

Политика безопасности FireWall-1 выражается в виде базы правил и свойств. База правил - это упорядоченный набор правил, с помощью которых проверяется каждое соединение. Если источник соединения, назначение и тип сервиса соответствуют правилу, с соединением будет выполнено действие, описанное в правиле (Accept, Encrypt, Reject, Drop). Если соединение не соответствует ни одному из правил, оно блокируется, в соответствии с принципом "Что специально не разрешено, всегда запрещено".

Модуль проверки FireWall-1

Модуль проверки FireWall-1 динамически загружается в ядро операционной системы, между уровнем Data Link и Network (уровни 2 и 3). Когда приходит первый пакет нового соединения, модуль проверки FireWall-1 проверяет базу правил для определения должно ли быть разрешено это соединение. Как только соединение установлено, FireWall-1 добавляет его во внутреннюю таблицу соединений. Из соображений эффективности, последующие пакеты соединения проверяются по таблице соединений, а не по базе правил. Пакету разрешается быть переданным только, если соединение имеется в таблице соединений.

В таком соединении как здесь, соединение полностью ведется модулем проверки FireWall-1 (рис. 9).


Рис. 9. Соединение управляется модулем проверки FireWall-1

Примеры

UDP

Из информации в заголовке TCP/UDP, FireWall-1, используя свои уникальные способности, моделирует состояние коммуникационного протокола, на основе чего отслеживает и управляет соединениями UDP. ("UDP (User Datagram Protocol)").

FTP

Для отслеживания обратного соединения FTP-data, FireWall-1 извлекает информацию из области приложения в пакете. Такая уникальная способность использования информации из всех уровней позволяет FireWall-1 моделировать состояние протокола, на основе чего обратное соединение может быть установлено ("Исходящие соединения FTP").

RPC

FireWall-1 использует все описанные выше возможности, включая информацию о состоянии, полученную из приложения для отслеживания динамического переназначения номеров программ и портов этого сложного протокола ("RPC (Remote Procedure Call)").

Аутентификация на security сервере и безопасность содержания

FireWall-1 позволяет администратору определять политику безопасности для каждого пользователя, где не только источник соединения, назначения и сервис проверяются, но и каждый пользователь должен быть аутентифицирован. Более того, соединения могут быть разрешены или запрещены исходя из их содержания. К примеру, почта для или от определенных адресов может быть запрещена или перенаправлена, доступ может быть запрещен к заданным URL’s, и включена анти-вирусная проверка над передаваемыми файлами.

Аутентификация и проверка содержимого обеспечиваются набором серверов безопасности FireWall-1, работающих на уровне приложения (Рис. 10).


Рис. 10. Соеднение через сервер безопасности FireWall-1

Когда работает сервер безопасности FireWall-1, модуль проверки перенаправляет все пакеты соединения к серверу безопасности, который выполняет требуемую аутентификацию и/или проверку содержимого.

Существуют пять серверов безопасности FireWall-1, как показано в Таблице 4.

Табл. 4. Серверы безопасности FireWall-1 - свойства

Сервер

Аутентификация

Проверка содержимого

Комментарий

TELNET Да Нет  
RLOGIN Да Нет  
FTP Да Да  
HTTP Да Да  
SMTP Нет Да Secure sendmail

Распределение нагрузки

FireWall-1 позволяет распределить вычислительную нагрузку на любое число серверов. Рис. 11 показывает конфигурацию, в которой сервисы FTP и HTTP обслуживаются несколькими серверами.


Рис. 11. Распределение нагрузки по нескольким серверам

Все HTTP серверы способны дать клиенту одинаковые сервисы (однако не все HTTP серверы позади защищенного моста). Таким же образом, все FTP серверы обеспечивают клиентов одинаковым сервисом.

Системному администратору важно, чтобы загрузка по обслуживанию была распределена между серверами. Клиент не будет подозревать о наличии нескольких разных серверов. С точки зрения клиента, есть только один HTTP и один FTP сервер. Когда запрос на обслуживание достигает FireWall, FireWall-1 определяет какой из серверов будет обслуживать данный запрос, основываясь на алгоритме балансирования загрузки, заданном системным администратором.

Алгоритм распределения нагрузки

Доступны следующие алгоритмы распределения :
  1. По загрузке сервера. FireWall-1 запрашивает серверы чтобы определить, который из них лучше всего способен обслужить новое соединение.
  2. По времени ответа на ping (round trip). FireWall-1 использует ping для определения времени прохождения пакета между FireWall-1 и каждым из серверов и выбирает сервер с наименьшим временем ответа.
  3. По кругу. FireWall-1 просто назначает следующий сервер в списке.
  4. Случайный. FireWall-1 назначает сервер в случайном порядке.
  5. По доменному имени. FireWall-1 назначает "ближайший" сервер, основываясь на доменных именах.

Аутентификация

FireWall-1 обеспечивает при вида аутентификации:
  1. Аутентификация пользователя, которая позволяет администратору давать каждому пользователю свои привилегии доступа. Аутентификация пользователя включает сервер безопасности HTTP FireWall-1, который предоставляет механизм для аутентификации пользователей сервиса HTTP, как входящего так и исходящего.
  2. Аутентификация клиентов дает механизм для аутентификации пользователя любого приложения, стандартного или собственной разработки.
  3. Аутентификация сессий, дающая прозрачную аутентификацию каждой сессии, что может быть интегрировано с любым приложением.
Таблица 5 сравнивает свойства трех типов аутентификации FireWall-1.

Табл. 5. Сравнение типов аутентификации
 

Пользователь

Клиент

Сессия

Сервисы TELNET, FTP, RLOGIN, HTTP Все сервисы Все сервисы
Аутентификация выполняется один раз на … Сессию Адрес IP (много сессий) в отдельной непрозрачной сессии аутентификации Сессию
Прозрачность (пользователь инициирует сессию непосредственно к серверу)? Да Да, только после непрозрачной сессии аутентификации Да
Обратите внимание: аутентификация клиента и сессии обеспечиваются не серверами безопасности, а другими механизмами, описанными в "Аутентификация клиента" и "Аутентификация сессии".

FireWall-1 поддерживает следующие схемы аутентификации для каждого пользователя:

  1. S/Key - Пользователю требуется ввести значения S/Key для данной итерации.
  2. SecurID - Пользователю требуется ввести номер, показанный на SecurID карте Security Dynamics.
  3. По паролю - от пользователя требуют ввести его (или ее) пароль OS.
  4. Внутренняя - пользователь должен ввести его (или ее) внутренний пароль FireWall-1 на мосте.
  5. RADIUS - пользователь должен ввести ответ на запрос сервера RADIUS.
  6. AssureNet Pathways - пользователь должен ввести ответ на запрос сервера AssureNet Pathway.

Проверка потока данных

Возможность проверки содержания расширяет набор возможностей по проверке данных до протоколов самого верхнего уровня. Эта возможность позволяет максимально гибко управлять доступом к сетевым ресурсам.

FireWall-1 обеспечивает проверку содержания для HTTP, SMTP и FTP с использованием серверов безопасности FireWall-1. Для каждого соединения, установленного через сервер безопасности FireWall-1, администратор может управлять доступом в соответствии с различными параметрами протокола данного сервиса: URL, именами файлов, командами FTP PUT/GET, типами запросов и так далее.

Наиболее важное применение проверки содержания - анти-вирусная проверка передаваемых файлов. Анти-вирусная поддержка полностью интегрирована с FireWall-1.

Проверка содержания реализуется через тип обьекта FireWall-1 Resource. Определение обьекта Resource задает ряд составляющих, которые могут быть доступны через определенный протокол. Вы можете задавать FireWall-1 Resource на основе протоколов HTTP, FTP и SMTP.

Например, вы можете задать URI ресурс, чьими атрибутами будет список URL и схем HTTP и FTP. Ресурс может быть использован в базе правил точно таким же образом, как и любой другой тип сервиса, и для него также могут быть определены стандартные процедуры записи события в журнал и оповещения администратора системы для обеспечения возможности наблюдения за использованием данного ресурса.

HTTP

Ресурсы URI могут определять схемы (HTTP, FTP, GOPHER и т.д.), методы (GET,PUT, и т.д.), машины (например, "*.com"), пути и запросы. Также может быть задан файл, содержащий список IP адресов и серверов.

SMTP

Протокол SMTP, разработанный для обеспечения наиболее удобного общения между людьми через Internet, и расширенный для поддержки не только e-mail, но и передачи файлов, предоставляет выбор системному администратору, который хочет одновременно поддерживая прозрачность соединений, не позволять нарушителям проникнуть внутрь сети.

FireWall-1 предлагает сервер SMTP, который обеспечивает максимально детальный контроль над соединениями SMTP. Определяя SMTP ресурсы, администратор безопасности имеет возможности:

FTP

Сервер безопасности FTP обеспечивает аутентификацию и проверку содержимого, основываясь на командах FTP (PUT/GET), ограничениях на имена файлов и анти-вирусной проверке файлов.

Анти-вирус

Анти-вирусная проверка является составной частью такого свойства FireWall-1, как проверка содержимого потоков данных и значительно снижает уязвимость защищенных машин.

Проверка всех передаваемых файлов проводится с использованием встроенного анти-вирусного модуля. Конфигурация этого механизма (какие файлы проверять, что делать с зараженными файлами) полностью интегрирована в политику безопасности (базу правил). Все инструменты управления и проверки FireWall-1 доступны для журналирования и оповещения о случаях нахождения зараженных файлов.

[Назад] [Содержание] [Вперед]