озможно, вы еще помните те времена, когда защита чаще всего сводилась к использованию брандмауэров. Но даже тогда эта концепция считалась ограниченной. Установка внешних средств безопасности (периметра безопасности) подразумевает нечто большее, чем использование брандмауэров и обнаружение несанкционированных подключений. Брандмауэр является лишь одним из компонентов периметра безопасности, а периметр безопасности — только один из компонентов безопасности. Мне бы хотелось привести некоторые соображения, которые нужно обязательно принимать во внимание при создании периметра безопасности, а также контрольный список решений, которые можно использовать при планировании периметра безопасности в современной среде с растущим числом соединений.

За брандмауэрами

И все же периметр безопасности начинается с почтенного брандмауэра. Многие ошибочно полагают, что брандмауэр внимательно просматривает каждый входящий пакет. Брандмауэры — это только первая линия обороны, и они отражают лишь самые примитивные атаки. Проще говоря, брандмауэры оценивают пакеты в соответствии с протоколом доступа сообщений и по состоянию соединения между внешним и внутренним компьютером. Если пакет согласуется с протоколом, разрешенным для входящих соединений, или является частью установленного исходящего соединения, брандмауэр пропускает его. Любое вредоносное содержимое внутри разрешенного протоколом или инициируемого исходящим сообщением соединения пройдет через брандмауэр незамеченным. Например, если у вас за брандмауэром имеется сервер электронной почты, вы, скорее всего, откроете на брандмауэре порт 25 (SMTP) для входящих соединений, который будет переадресовывать их на ваш сервер электронной почты. Как только брандмауэр обнаружит, что пакет соответствует SMTP, он немедленно направит его на сервер электронной почты.

Любой приобретаемый сегодня брандмауэр включает две основные характеристики: инспектирование пакетов с хранением адресов и преобразование (трансляция) сетевых адресов. Инспектирование пакетов повышает интеллектуальность брандмауэра и заставляет его более внимательно относиться к протоколам, ориентированным на установление логических соединений типа TCP, что лишает нарушителей возможности засылать через брандмауэр вредоносные пакеты под видом уже установленного соединения. Преобразование сетевых адресов позволяет скрывать информацию о внутренней сети, например внутренние адреса и топологию локальных сетей, сообщая вместо адреса и порта внутренней сети собственный адрес в Internet и новый номер порта.

Шлюзы приложений

Каждый протокол и приложение уязвимы из-за плохо сформированных данных и случайных ошибок разработчиков сопутствующих программ. Все больше приложений становятся открытыми для потенциально враждебных компьютеров и вредоносного контента и трафика Internet, который может содержать опасные данные. Риск продолжает расти по мере перехода на мобильные системы. Чтобы повысить гибкость эксплуатации для пользователей мобильных устройств, обычной практикой является переход от виртуальных частных сетей (VPN) к безопасному удаленному доступу на уровне приложений. Например, поддержка системой Microsoft Exchange 2003 вызовов удаленных процедур по HTTP позволяет пользователям задействовать Outlook внутри или вне локальной сети независимо от их опыта. Все чаще компании осуществляют сделки со своими деловыми партнерами через протокол SOAP и связанные с ним протоколы. В результате все больший объем информации предприятий становится доступным для атак на уровне приложений, чем и пользуются хакеры.

Вероятность атак, направленных на высокоуровневые приложения, можно уменьшить. Для этого нужно полностью обновить все приложения, использующиеся для связи с потенциально ненадежными внешними системами. Профилактическая постановка всех исправлений в операционных системах и приложениях является основным фактором обеспечения периметра безопасности. Нужно помнить о том, что установка исправления может быть сорвана, если новые уязвимые места станут известны до того, как она будет готова.

Можно реализовать проактивный подход к атакам по сети на уровне приложений путем использования шлюзов приложений (известных также как инвертированные proxy-серверы). Шлюзы приложений могут осуществлять поиск конкретных известных методов атаки, но это не является их основной функцией. Шлюз приложений представляет собой систему между Internet и сервером приложений, которая понимает релевантный протокол приложений, использующийся в настоящий момент. Эта система сo шлюзом приложений воспринимается извне как конечный сервер приложений, но на самом деле шлюз интерпретирует каждый входящий запрос, преобразовывает его в собственный внутренний формат сервера приложений, а затем заново создает новый запрос, чтобы аннулировать любое вредоносное содержание или предупредить его проникновение. Далее шлюз посылает новый запрос на фактический (действующий) сервер приложений и аналогичным образом обрабатывает ответ сервера. Например, шлюз SMTP, который тщательно разбирает входящее сообщение SMTP, а затем заново создает его в строгом соответствии со спецификациями протокола SMTP, отбрасывает любые дефектные данные, например нарушенные последовательности символов или избыточные данные в сообщении.

В разных компаниях требуются разные шлюзы приложений, но почти везде используются приложения и протоколы для просмотра Web-страниц (через HTTP), для электронной почты (через SMTP) и для оперативной пересылки сообщений (IM). Эти три протокола делают приложения особенно привлекательными мишенями для четырех видов атак: прямых атак, заражения вирусом, фишинга и атаки на исходящий контент. Прямые атаки, использующие переполнение буферов или другие уязвимые места, направлены на конкретные слабые места клиентов электронной почты и серверов, Web-серверов и клиентов IM. Поскольку HTTP, SMTP и IM поддерживают пересылку файлов, они подвержены заражению вирусом, а также уязвимы для атак методом социальной инженерии, например фишинга. Риски, связанные с этими протоколами, касаются не только входящих/исходящих сообщений, отправляемых сотрудниками, но угрожают конфиденциальности предприятия и нарушают соответствие требованиям нормативов.

Ни один продукт на рынке не поддерживает шлюз приложений для каждого протокола и приложения, однако ISA Server от Microsoft поддерживает самый широкий диапазон собственных протоколов (в том числе SMTP, HTTP, FTP и RPC). Помимо этого, ISA Server поддерживает множество разработанных партнерами дополнительных программных модулей для других протоколов и приложений. Расширяемая архитектура ISA Server и удачное сотрудничество Microsoft с партнерами делают ISA Server универсальным шлюзом приложений, но для конкретных применений можно воспользоваться и другими решениями (например, решениями FaceTime для защиты пересылки сообщений и создания «антишпионских» программ). Web-фильтры, разрабатываемые компаниями Barracuda Networks, Websense, St.Bernard Software и SurfControl, помогают применять политики, определяющие, к какой Web-странице внутренние пользователи могут перейти. Используя управление по ключевому слову, такие решения позволяют контролировать сотрудников или блокировать поступление к ним конфиденциальной информации либо почтовых сообщений, а также блокировать их доступ к не предназначенной для них информации.

Кроме Web, электронной почты и IM, слабыми местами периметра безопасности являются одноранговые сети (2Р2), Internet-конференции и XML. Многие разработчики шлюзов приложений, изначально предназначавшихся для Web-фильтрации и безопасности IM, расширили свои решения для поддержки одноранговых сетей и Internet-конференций.

Широкое применение коммуникаций в формате XML, особенно в виде SOAP, для осуществления финансовых сделок создает проблемы, которые отличаются от проблем технологий, в большей степени ориентированных на конечного пользователя, о которых я рассказывал. ИT используют XML для установления связи между важнейшими бизнес-системами и соответствующими системами деловых партнеров. Из-за текстового характера XML любое средство защиты сильно нагружает центральный процессор и потребляет ресурсы памяти из-за использования рекурсивного синтаксического разбора. Вполне понятно, что администраторы резко отрицательно относятся к дополнительной нагрузке на сервер приложений, и в организациях, использующих XML, количество поврежденных серверов может быстро увеличиться и выйти из-под контроля. Если в вашей организации используется XML, то к средствам защиты периметра придется добавить аппаратный брандмауэр XML. Решения предлагаются компаниями DataPower, Xtradyne, Reactivity и Layer7 Technologies.

Одной из самых грубых ошибок, которые могут быть допущены в отношении периметра безопасности, является создание политик, запрещающих применение определенных технологий, например IM или Web-конференций. Пользователи будут игнорировать эти политики, а провайдеры услуг и разработчики найдут способ обойти простые брандмауэры, призванные блокировать «несанкционированное» соединение. Не стоит рисковать своей репутацией профессионала в области ИТ, запрещая технологии вместо того, чтобы способствовать их развитию. Занимаясь вопросами безопасности, помогайте распространению новых технологий.

Виртуальные частные сети (VPN) и протоколы SSL для VPN

Несмотря на тенденцию обеспечения удаленного доступа на уровне приложений, доступ VPN все еще остается очень важным для пользователей мобильных и удаленных устройств. Появление так называемых VPN с Secure Socket Layer (SSL) вызвало некоторое смятение в рядах сторонников VPN. Поговорим сначала о традиционных VPN, а потом перейдем к определению SSL VPN и обсудим все «за» и «против».

Традиционно использование VPN для удаленного доступа означало просто установление связи с локальной сетью компании через Internet с помощью туннельного протокола, например PPTP и L2TP. Подсоединившись к сети, удаленные пользователи становились виртуальными членами внутренних локальных сетей и получали доступ через IP к ресурсам локальной сети, как если бы они находились в офисе (хотя из-за запаздывания дистанционного соединения доступ осуществлялся гораздо медленнее).

Истинные виртуальные частные сети на базе PPTP или IPsec незаслуженно имеют репутацию сетей, неудобных для управления и обслуживания (основная жалоба сводится к необходимости установки частного клиентского программного обеспечения на все компьютеры удаленных пользователей). Я не понимаю, почему компании так сильно рассчитывают на сторонние VPN, а не на внутренние Windows PPTP и L2TP. Сервер RRAS устанавливается просто, а Windows имеет встроенный клиентский VPN еще со времен Windows NT. Особенно прост в применении PPTP. Если вам нужно осуществить двухфакторную аутентификацию с использованием клиентских сертификатов, необходимо задействовать L2TP и развернуть клиентские сертификаты (это справедливо в отношении двухфакторной аутентификации любого типа). Используя комплект управления соединениями СМАК, вы можете создать мастер, который будет автоматически устанавливать VPN-соединение в папке сетевых соединений пользователя. Можно распространить мастер как приложение к электронной почте, на компакт-диске или путем загрузки с Web.

Самая большая проблема с VPN, с которой я столкнулся, была вызвана брандмауэрами между VPN-сервером и удаленным пользователем. Большая часть брандмауэров может быть сконфигурирована так, чтобы пропускать PPTP или IPsec (L2TP проходит внутри IPsec) при исходящих VPN-соединениях, на что соглашаются далеко не все администраторы. Эти периодически возникающие проблемы соединений и являются одной из причин использования SSL VPN вместо VPN.

Не все SSL VPN есть истинные VPN — многие являются просто реверсивными представителями защищенного протокола HTTP (HTTPS). С инвертированным proxy-сервером можно использовать приложения для браузера, первоначально предназначенные для доступа пользователей из внутренних локальных сетей, и сделать их доступными для удаленных пользователей без изменения внутреннего сервера приложений. Proxy-сервер является надежным Web-сервером в Internet; после успешного подсоединения и аутентификации удаленного пользователя с помощью обычных Web-браузеров proxy-сервер играет роль посредника между пользователем и сервером внутри сети. Это уже много лет делает ISA Server, но после того, как инвертированными proxy-серверами стали пользоваться новые компании, в обиход вошел термин SSL VPN. Основное преимущество использования инвертированных proxy-серверов заключается в том, что они позволяют сделать внутренние Web-приложения доступными для удаленных пользователей без какой-либо установки со стороны пользователя и без модификации внутреннего Web-приложения. Кроме того, у вас не будет проблем с соединениями, которые возникают в связи с блокировкой брандмауэрами исходящих туннельных протоколов.

Используйте инвертированный proxy-сервер, когда требуется обеспечить удаленный доступ к внутреннему Web-приложению. Используйте SSL VPN, когда необходим доступ от удаленной сети к внутренней сети на транспортном уровне (TCP/UDP). Истинные SSL VPN обеспечивают туннелирование трафика IP между внутренней локальной сетью и удаленным пользователем. OpenVPN является решением с открытым кодом для создания SSL VPN. Более подробная информация приведена в статье «Работаем с OpenVPN» (http://old.osp.ru/win2000/506_36.htm).  Другие истинные SSL VPN выпускаются независимыми поставщиками программного обеспечения, например компаниями Aventail и Citrix. SSL VPN очень перспективны с точки зрения простоты применения и администрирования и низкой стоимости эксплуатации, но если вы используете такие возможности управления, как, например, CMAK, Group Policy и Certificate Services, то неплохо работают и собственные варианты VPN-соединений Windows. Если требуется поддерживать удаленных пользователей, работающих не с Windows, а с другими системами, более подходящим вариантом будет SSL VPN. Справочная информация по продуктам SSL VPN приведена в статье «Продукты SSL VPN» (опубликованной в Windows IT Pro/RE № 3 за 2005 г.).

Обнаружение вторжений

Несмотря на самые серьезные намерения внедрить целый комплекс средств защиты периметра, риск проникновения злоумышленников в сеть все-таки сохраняется, поэтому следует подумать об обнаружении и предупреждении вторжений. Системы обнаружения вторжений (IDS) и системы предупреждения вторжений (IPS) используют для обнаружения нарушителей один или несколько из трех основных методов: проверку пакетов, настройку политики и анализ моделей. Большинство IDS- и IPS-решений проверяют пакеты на известные сигнатуры атак. Эффективность этого метода проверки зависит от того, сколько сигнатур атак производитель встраивает в свой продукт и как часто он обновляется. Большая часть систем позволяет также настраивать политики, определяющие предполагаемые модели сетевого трафика, но этот метод связан с проведением обширного анализа и с большим объемом работы, причем необходимо модифицировать политики при введении новых приложений и изменении моделей трафика. Некоторые системы используют разные алгоритмы и анализ моделей передачи для автоматического детектирования аномального трафика. Эти системы перспективны, но в данный момент они страдают теми же ограничениями и ложноположительными результатами, что и решения антиспама, основанные на эвристическом принципе и байесовском анализе.

Главные различия между IDS и IPS заключаются не столько в способах проверки, сколько в способах реагирования на обнаружение подозрительного или несанкционированного трафика. IDS действуют через регистрацию и оповещение. IPS пытаются остановить вторжение путем изменения конфигурации брандмауэра в реальном времени или путем обнуления протоколов управления передачей данных (TCP). Когда IDS ошибается (дает ложноположительный результат), ящик входящей почты заполняется и ваш пейджер приходит в аварийное состояние из-за слишком большого количества тревожных сигналов. Если ошибку допускает IPS, то важные деловые процедуры прочно застывают на своих маршрутах. Если нет возможности назначить специальный персонал для обслуживания IDS и IPS, лучше потратиться на средства прямой защиты периметра.

Безопасность периметра раньше сводилась к изменению правил настройки брандмауэра; теперь же периметр безопасности представляет собой многогранный, многоуровневый и гораздо более сложный аспект безопасности и является не просто границей между Internet и внутренней сетью. Сегодня многие приложения соединяют эти две сети через логические соединения, которые осуществляются в обход брандмауэра. Первый шаг планирования периметра безопасности заключается в идентификации как физических, так и логических соединений с внешним миром. Важно помнить о том, что периметр безопасности постоянно меняется, и неожиданно могут возникнуть новые соединения с периметром по мере разработки новых Internet-технологий. Например, быстро развиваются виды услуг, осуществляемые на основе удаленного управления, такие как GotoMyPC. Пользователи могут легко стать абонентом GotoMyPC и задействовать его для удаленного доступа, но при этом через свои компьютеры они открывают ход прямо в корпоративную сеть.

Как уже говорилось выше, сопротивление новым видам подключения к внешнему миру бесполезно и даже может оказаться пагубным для компании. Если вы попытаетесь остановить технический прогресс, например игнорируя системы IM и Web-конференции, ваши клиенты найдут способ обойтись без вашей компании. Будьте бдительны, планируйте заранее. Повышайте надежность своих систем.

Рэнди Франклин Смит (rdsmith@ultimatewindowssecuritu/com) — Редактор Windows IT Pro, консультант по вопросам информационной безопасности, главный управляющий компании Monterey Technology Group. Преподает на курсах Ultimate Windows Security и имеет сертификаты SSCP, CISA и MVP


Планирование периметра безопасности

  • Идентифицируйте все логические и физические соединения с «внешним миром».
  • С самого начала сделайте своей целью использование новых безопасных Internet-технологий.
  • Защитите антивирусной программой все маршруты, через которые в сеть могут поступить файлы.
  • Всегда устанавливайте исправления во все операционные системы, средства безопасности периметра, приложения и серверы, как только исправления будут доступны.
  • Изолируйте приложения с дистанционным доступом с помощью шлюзов приложений, например ISA Server и программных модулей партнеров по ISA Server.
  • Рассмотрите возможность использования усовершенствованных решений периметра безопасности для IM, XML и Web-фильтрации.
  • Если вам нужны IDS или IPS, запланируйте необходимую поддержку и обслуживание этих систем.