Классическая модель брандмауэра справляется далеко не с каждой угрозой сети. С помощью продуманных организационных мер уровень безопасности может быть заметно повышен.

С классической моделью брандмауэра для сетевой безопасности пользователи информационных технологий знакомы уже давно. В этом случае на транзитном узле между внутренней сетью и Internet инсталлируется брандмауэр для проверки проходящего через него сетевого трафика. Брандмауэр может состоять из нескольких компонентов, т. е. речь идет скорее о некой системе, чем об одной машине. Так, наряду с собственно брандмауэром (называемым в традиционной теории «бастионом») должны быть в наличии антивирусные шлюзы или фильтры содержимого.

Такая схема построения сети все еще актуальна для многих организаций. Центральными понятиями этого подхода являются концепция «защиты по периметру», или «защиты на границе» (поскольку опасность отражается на границе сети), и концепция «контрольного узла», через который должен проходить весь сетевой трафик для проверки и фильтрации. Указанная схема неявным образом базируется на следующих пяти предположениях:

  • все внутренние системы заслуживают доверия. Это утверждение положено, например, в основу системы Cisco PIX, где после начального определения уровня безопасности всех интерфейсов (оно отражает степень доверия к соответствующей подключенной сети) по умолчанию сеть с более высоким уровнем доверия (к примеру, 100) может беспрепятственно обращаться к сетям с низким уровнем доверия, между тем как обратное невозможно. Таким образом, все сети делятся на «хорошие» (внутренние) и «плохие» (внешние, Internet);
  • все внутренние системы обладают одинаковой потребностью в защите, которая на центральном транзитном узле обеспечивается брандмауэром;
  • существует явная граница между «внутри» и «снаружи» (и именно на этой границе функционирует брандмауэр);
  • главные опасности угрожают «извне»;
  • брандмауэр способен эти опасности распознать и отразить.

При более внимательном рассмотрении базовых предположений выясняется, что современные сети выглядят иначе и потому требуют отдельного обсуждения.

Предположение 1. Все внутренние системы достойны доверия. Во внутренних сетях все чаще появляются устройства, находящиеся в них лишь временно и предназначенные для работы «снаружи» (ноутбуки, КПК или даже личные персональные компьютеры). Тем самым они не обладают той степенью доверия, с которой можно относиться к другим системам, никогда не покидающим сеть. Кроме того, все оборудование обслуживается людьми, и сведущие эксперты по безопасности видят в этом немалый риск (в конце концов, все люди допускают ошибки, а иногда из халатности или сознательно не соблюдают предписания).

Вдобавок, степень безопасности систем зависит от конкретной конфигурации (версия заплаты, актуальность вирусных сигнатур, системные параметры и т. д.). Часто персонал, ответственный за конфигурацию брандмауэра, не может оценить степень доверия к внутренней системе, поскольку за брандмауэры, серверы и настольные компьютеры отвечают разные отделы.

И наконец, постоянное усложнение сетей вследствие организации сетей Extranet для подключений партнеров и клиентов оставляет открытым вопрос, насколько явно можно отделить «внутреннюю» сеть от «внешних» объектов.

Предположение 2. Наличие явной границы между «внутри» и «снаружи». Эта граница, как уже было отмечено выше, все больше размывается, поскольку многие системы работают во внутренней сети от случая к случаю.

Кроме того, сетевые среды все чаще расширяются логически при помощи виртуальных частных сетей (Virtual Private Network, VPN) с неконтролируемыми конечными точками, к примеру в небольших частных сетях пользователей VPN, или физически посредством беспроводных технологий (WLAN, Bluetooth и т. д.). Все большее число подключений партнеров или специалистов по техническому обслуживанию усугубляет процесс стирания границ между защищаемыми и потенциально опасными системами (все они контролируются брандмауэрами, однако делают систему менее наглядной и поэтому более подверженной ошибкам).

Предположение 3. Главные опасности угрожают «извне». Один из основных источников ошибок, а именно обслуживающие системы пользователи, расположен в пределах сети. Поэтому третье предположение просто неверно. Если задуматься о том, сколько сетей подверглось нападениям «червей» Blaster и SQL Slammer (хотя соответствующие брандмауэры, безусловно, закрыли порты 135 и 1434), выясняется, что ответственность за их распространение лежит на других, «внутренних», механизмах (в большинстве своем они проникали через VPN или ноутбуки).

Предположение 4. Брандмауэр в состоянии распознать и отразить опасности. Возможности многих брандмауэров заметно отстают от технического развития механизмов или протоколов передачи. Это видно, к примеру, по таким технологиям, как немедленный обмен сообщениями (Instant Messaging, IM), передача голоса по IP или SOAP, с которыми немалая часть этих устройств работает с ограничениями. Все большее количество представляющего опасность трафика передается по НТТР (а в некоторых случаях даже специально туннелируется пользователем) или шифруется для сквозной передачи, что уменьшает возможности брандмауэра по соответствующей проверке и фильтрации. Эти проблемы в случае IPv6 только усугубятся вследствие встроенной реализации IPSec и мобильного IP.

Кроме того, подобный брандмауэр с пограничной защитой на узле контроля часто становится причиной возникновения эффекта «бутылочного горлышка» (что приводит к желанию его обойти) и создает ложное чувство безопасности самим фактом своего присутствия в сети.

СЕГМЕНТИРОВАНИЕ КАК ПОДХОД К РЕШЕНИЮ

Многие из этих проблем можно решить путем правильного сегментирования сети, заданием правил перехода между двумя частями и принятием рациональных мер в пределах сегмента. В качестве примера рассмотрим сеть провайдера.

Рисунок 1. Базовый принцип сегментирования.

Сеть разделена на сегменты (зоны) с различными требованиями к безопасности (см. Рисунок 1), которые, в свою очередь, физически разделены между собой и могут быть разделены (по приложениям, например) и дальше (в частности, при помощи виртуальных сетей). Все сетевые объекты в широком смысле (приложения, системы, пользователи) приписываются к соответствующей зоне в зависимости от их владельца/ответственного. Для каждой зоны действуют свои директивы по инсталляции/конфигурации/эксплуатации систем (в отношении документации, управления пользователями, управления доступом, повышения надежности системы, регистрации, непрерывности бизнеса и т. д.). Коммуникационные взаимосвязи между зонами подчиняются четким правилам; так, они могут устанавливаться только между двумя соседними зонами, а определенные коммуникационные процессы должны обязательно шифроваться (см. Рисунок 2).

Рисунок 2. Сегментирование и шифрование.

Следование основным принципам подобного сегментирования позволяет решить перечисленные выше проблемы на многих предприятиях. К примеру, распространение «червей» при таких отношениях ограничивается отдельными сегментами. Внутри сети существуют определенные коммуникационные взаимосвязи, а соответствующие директивы в каждой зоне обеспечивают (в идеальном случае) единообразную конфигурацию систем, благодаря чему можно сэкономить на издержках.

Однако в подобных концепциях часто описывается «желательное» организационное состояние (в отношении конфигурации системы), которое при определенных условиях может отклоняться от фактического технического. Предпринятая классификация зон определяет, к примеру, действия администратора, результатом которых должна стать надлежащая конфигурация системы.

Сомнения вызывает лишь одно обстоятельство: с учетом сложности современных сетей и связанных с ней рисков может быть более перспективным оказался бы обратный путь, когда конкретная конфигурация системы ведет к ее размещению в определенном сегменте?

КАРАНТИННЫЙ ПОДХОД

Такая постановка вопроса привела к еще одному подходу к проектированию сети, где большую роль играет понятие карантина. Его теоретическое обоснование содержится в (уже недействительном) проекте IETF «Обзор карантинной модели для защиты сети IPv6» (http://community.roxen.com

/developers/idocs/drafts/ draft-kondo-quarantine-overview-01.htm
).

Однако практическая реализация этой модели в настоящее время поддерживается многими производителями, в том числе компаниями Cisco в рамках Network Admission Control, Alcatel в коммутаторах серии Omni с Automated Quaranteed Engine и Check Point в продуктах Integrity.

Базовая методика предусматривает определение уровня безопасности для каждого пользователя, сегментирование всей сети на основе предопределенных уровней безопасности и применение заданного правила для каждого сегмента.

Основополагающими параметрами для определения уровня безопасности могут быть версии операционной системы и программного обеспечения, инсталлированные заплаты, компоненты безопасности (антивирусное программное обеспечение, локальные брандмауэры), включая возможные обновления сигнатур или параметры конфигурации системы. Сегментирование осуществляется посредством сетевых устройств с помощью технологий 802.1х, VMPS, DHCP Option 82 и ряда других, реализуется в форме различных подсетей IP, виртуальных сетей и структур MPLS. В состав назначаемого каждому сегменту правила могут входить требования к аутентификации (члены заслуживающего доверия сегмента должны, к примеру, аутентифицироваться при помощи сертификатов), фильтрации пакетов (для регулирования входящего в сегмент и исходящего из него трафика), путям маршрутизации (трафик заслуживающих доверия сегментов идет по иным маршрутам, чем трафик других сегментов) или ограничению пропускной способности (для ограничения трафика «червей» и др.).

В проекте IETF предусмотрены различные компоненты. К примеру, предупредительный информационный сервер (Prevention Information Server, PS) предоставляет информацию о «дырах» в системе безопасности, а агент проверки карантина (Quarantine Inspection Agent, QA) — о хосте, карантинный сервер (Quarantine Server, QS) оценивает представленные данные на основании информации от PS, контролеры исполнения правил (Policy Enforcer, РЕ) — в виде сетевых устройств — реализуют конкретные правила для каждого сегмента. Эта модель при определенных условиях лучше подходит для отражения современных опасностей, чем статичное административное сегментирование сети. Однако для успешного функционирования подобной модели (независимо от производителя) должны присутствовать следующие механизмы:

  • серверы для предоставления информации о «дырах» в системе безопасности или «червях»/вирусах;
  • стандартизированный формат/протокол для передачи подобной информации;
  • стандартизированный формат/протокол для определения уровня безопасности (между QA и QS);
  • стандартизированный «язык определения правил безопасности», поддержка операционной системы для QA, в том числе и для мобильных устройств;
  • механизм коммуникации между QS и PE.

Всего этого в стандартизированной форме пока нет. У производителей имеются лишь собственные реализации карантинных моделей со всеми вытекающими отсюда последствиями.

Энно Рей — основатель и технический директор ERNW, поставщика услуг безопасности. С ним можно связаться по адресу: wj@lanline.awi.de.


? AWi Verlag