Вы находитесь в разделе Типовых решений систем безопасности

Межсетевой экран

В наше тревожное время уже всем стало очевидно, что лучше иметь железную входную дверь в свою квартиру. Думалось, что столь же понятна и необходимость установки межсетевого экрана (МЭ) при подключении офисных сетей (интранет) к сетям общего пользования (например, Интернет).Каково же было мое удивление, когда, проводя аудит безопасности систем связи в ряде московских компаний, я узнал, что весьма многие из них не устанавливают МЭ, наивно полагая, что их должен защищать провайдер. Характерно, что подобная ситуация наблюдается и в российских регионах.Именно эти обстоятельства привели к написанию данной статьи, напоминающей, что такое МЭ, для чего он нужен, и какие наиболее известные МЭ есть на рынке средств защиты информации

Типы межсетевых экранов

Определим межсетевой экран как специальную программно-аппаратную или программную систему защиты, позволяющую разделить информационную сеть на две части (или более) и реализовать набор правил, устанавливающих условия прохождения сетевых пакетов из одной части в другую. При этом МЭ просматривает через себя весь трафик, проходящий м. сегментами сети, и для каждого пакета реализует решение - пропускать или не пропускать.

Все МЭ обычно разделяют на три основных типа:

• пакетные фильтры (packet filter);
• серверы уровня соединения (circuit gateways);
• серверы прикладного уровня (application gateways).

Все типы могут быть одновременно реализованы в одном МЭ.

Фильтры пакетов

Межсетевые экраны с пакетными фильтрами реализуют решение о том, пропускать пакет или отбросить, просматривая в заголовке пакета IP-адреса, флаги или номера TCP-портов. Причем IP-адрес и номер порта - информация соответственно сетевого и транспортного уровней, но пакетные фильтры также используют и информацию прикладного уровня (все стандартные сервисы в TCP/IP ассоциируются с определенным номером порта).

Сервер уровня соединения

Сервер уровня соединения представляет собой транслятор TCP-соединения. Пользователь устанавливает соединение с определенным портом на МЭ, который производит соединение с портом назначения в другом защищаемом сегменте. точка назначения задается загодя, в то время как источников может быть много. Данный тип МЭ позволяет создавать транслятор для любого, определенного пользователем сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису и сбор статистики по его использованию. Частным применением сервера уровня соединения может быть организация виртуальных частных сетей (VPN - Virtual Private Network).

Серверы прикладного уровня

МЭ этого типа используют серверы конкретных сервисов - TELNET, FTP, HTTP, SMTP и т.п., запускаемые на межсетевом экране и пропускающие через себя весь трафик, относящийся к данному сервису.

Использование данного типа МЭ позволяет скрыть от внешних пользователей структуру и трафик локальной сети.

Классы защищенности

Разделение МЭ по классам защищенности осуществляется в России согласно двум официальным документам.

Первый документ - это принятый в 1997 году Руководящий документ Гостехкоммиссии при Президенте РФ "Средства вычислительной техники. Межсетевые экраны. Защита от НСД к информации. Показатели защищенности от НСД к информации". Документ устанавливает пять классов защищенности МЭ, каждый из которых характеризуется определенной минимальной совокупностью требований по за-щите информации.

Второй документ - "Временные требования к устройствам типа межсетевой экран" (разработка ФАПСИ 1998 года) также устанавливают пять классов защищенности МЭ, применяемых для защиты информации в автоматизированных системах, содержащих криптографические средства.

О рынке межсетевых экранов

На рынке есть множество полностью готовых устройств и программ, реализующих функцию МЭ. Есть также специализированные программы на основе ОС Linux или FreeBSD, из которых опытный пользователь может самостоятельно собрать МЭ.

В качестве примера готового устройства можно привести 3Com Office Connect Internet Firewall компании 3Com Corporation. Настраивается этот МЭ через любой Интернет-браузер.

Примером готовой программы может служить и eTrust Firewall компании Computer Associates International, Inc. eTrust Firewall. Наряду с выполнением стандартных функций позволяет:

• управлять несколькими МЭ, используя единый интерфейс;
• использовать информацию о легальных пользователях NT или RADIUS-серверов;
• применять готовые фильтры для популярных сетевых служб, таких как FTP, RealAudio и др.;
• информировать администратора о внештатных ситуациях, посылая сообщения на пейджер или факс.

Наибольшую известность в России получили МЭ компании CISCO и Checkpoint.

Компания CISCO предлагает на рынок целую линейку МЭ (см. табл. 1), и программный МЭ, работающий с Cisco VPN Client.

МЭ CISCO обычно имеет три интерфейса.Один соединяется с внешней сетью, второй - с защищаемой сетью, а третий используется в так называемой "демилитаризованной зоне".

Продукция компании Checkpoint - это мощный программный МЭ с возможностью распределенной установки в сети. Последняя на настоящее время версия МЭ - Checkpoint VPN-1/Fire-wall-1 NG FP-3 Management 1.

Необходимо отметить, что компания Checkpoint продвигает не просто МЭ, а целую архитектуру SVN (Secure Virtual Network), ключевым компонентом которой и является экран Checkpoint VPN-1/Firewall 1, позволяющий:

• "помнить", какие пакеты проходили;
• "помнить", какой пользователь уже аутентифицирован, и допускать его только к разрешенным сервисам;
• иметь принцип. возможность манипулировать информацией в пакете и т.п.

В цикле работы МЭ производится анализ:

• заголовка пакета (адрес источника и получателя, протокол, порт источника и получателя, длина пакета);
• состояния соединения;
• номера ТСР-последовательности и номера фрагмента при IP-фрагментировании;
• типа приложения, верификации контекста;
• интерфейса МЭ, используемого для передачи и приема информации;
• даты и времени отправки пакета и его получения и т.п.

Не дожидайся "разбитого корыта"

В заключение хотелось бы, учитывая возросшее количество информационных атак, появление все более опасных компьютерных вирусов и стремительное расширение нашего виртуального мира, так же раз напомнить читателю, что защита его информационной системы - дело постоянное, требующее применения современных средств и методов. Межсетевые экраны при этом существенно снижают вероятность того, что однажды, вздымая руки к небу и кроя себя последними словами за излишнюю бережливость, вы будете лицезреть "разбитое корыто" своих баз данных и с ужасом ощущать утраченные деловые связи.

Д.В. Костров
Независимый эксперт

Читайте далее:
Информационная безопасность: время новых решений
IP-видеонаблюдение
Компромисс активных и пассивных методов виброакустической защиты информации
Лауреаты Национальной отраслевой премии "ЗУБР-2006" по категории "Информационная безопасность"
Математическое моделирование как способ поддержки принятия решений в случае возникновения чрезвычайн
Cамая надежная защита. Профилактика -лучшее средство спасения от хакеров и вирусов
Новый каталог
Аудит безопасности: реалии и заблуждения
Новые технологии пожаротушения
Об организации опытного функционирования ЕДДС на базе телефона "01"
Опыт США в борьбе с ядерным терроризмом
Оптимизация построения технических систем безопасности фармацевтического предприятия
Перспективные технические средства обнаружения загораний
Полимерные материалы пониженной горючести в инженерно-технических средствах защиты
Проблемы и перспективы частной охраны