Приложение Б. Критерий NCSA сертификации МЭ

Функциональные требования

Тестируемая система после установки и конфигурации должна поддерживать функциональные сервисы, перечисленные ниже. В дальнейшем, слова "наиболее прозрачный режим" будут использоваться для обозначения поддержки МЭ работы внутренних пользователей, а "наиболее прозрачный" - для пользователей, осуществляющих доступ извне к ресурсам, расположенным за МЭ.

Средства ОС, которые не удовлетворяют требованиям безопасности, должны по возможности отсутствовать.

Сервисы для внутренних пользователей:

  1. Telnet через МЭ к внешним сетям (также может использоваться SOCKS),
  2. FTP через МЭ к внешним сетям,
  3. HTTP через МЭ к внешним сетям (возможна работа через кэширующего агента-посредника),
  4. SSL и/или SHTTP через МЭ к внешним сетям,
  5. Исходящая почта (SMTP) через МЭ,
  6. Внешняя информация DNS должна быть доступна для внутренних клиентов.

Сервисы для внешних пользователей:

  1. FTP доступ к серверу внутренней сети или сервису сети (сервис FTP не должен быть анонимным и может требовать установления подлинности клиента),
  2. HTTP доступ к серверу внутренней сети или сервису сети (серверы FTP и HTTP могут находиться в сервисной сети, если таковая поддерживается используемым МЭ),
  3. SSL и/или SHTTP доступ к серверу внутренней сети,
  4. SMTP почта должна быть доставляема для клиентов внутренней сети (системы, использующие агентов-посредников для передачи SMTP-трафика, должны отвергать все известные способы проникновения с помощью почты),
  5. DNS - должна быть создана некоторая форма "присутствия"в сети Internet.

Требования к возможностям управления МЭ:

  1. Консоль системы должна обеспечивать конфиденциальность и требовать пароль для установления подлинности при доступе;
  2. Если обеспечивается возможность удаленного управления из внешних сетей:
    • должен использоваться одноразовый пароль или другие эквивалентные средства,
    • должен использоваться механизм, обеспечивающий надежное шифрование передаваемой управляющей информации;
  3. Если обеспечивается возможность удаленного управления из внутренних сетей, то IP-адрес не должен быть единственным способом установления подлинности.

Требования безопасности

Кроме проверки функциональных требований, тестируемая конфигурация будет оценена с помощью следующих тестов. Эти тесты предполагают использование полного знания о тестовой конфигурации системы и ее компонент, уменьшая влияние "безопасности мрака" (security through obscurity). Это же множество тестов будет выполнено из внутренней сети, как если бы взломщик имел бы доступ к внутренним системам сети.

Для получения сертификата, система (удовлетворяющая перечисленным функциональным требованиям) должна отвергнуть все атаки, перечисленные в этой секции, согласно следующим критериям:

  1. Никакая часть административного контроля системы или ОС МЭ не должна стать доступной взломщику в результате его атаки;
  2. Никакой другой протокол или данные, кроме перечисленных выше, не должны пройти через МЭ во внутреннюю сеть;
  3. Отказ в обслуживании: Тестируемая система не должна тривиально прекращать работу из-за сетевых атак со следующими исключениями:
    • система имеет документированный предохранительный механизм для удаления себя из сервиса согласно объявленной политике,
    • если опровержение сервисной атаки широко признано как не имеющее защиты, то система должна обеспечивать объявление тревоги с соответствующей записью в журнал перед крушением.

Системы, не удовлетворяющие данным критериям, не будут сертифицированы.

Во время тестирования сетевые мониторы будут использоваться в защищаемой сети и сети, перед МЭ.

Сканер безопасности ISS

Текущая версия сканера безопасности ISS будет сконфигурирована с полной информацией о МЭ и защищаемой системе. Все возможные режимы/атаки будут проверены независимо от применимости к тестируемой конфигурации.

Внешнее сканирование: сканер будет запущен против тестируемой конфигурации из несмежной подсети.

Внутреннее сканирование: сканер будет запущен против тестируемой конфигурации из "доверенной" системы.

Информация, полученная от сканера, будет сравниваться с функциональными требованиями.

Средства NCSA

Как часть роли сетевой безопасности и защиты, NCSA собирает и создает средства для тестирования проникновения и получения оценок уязвимости. В общем, эти средства содержат известные методы атак и сбора информации.

NCSA так же будет применять для тестирования средства, имеющиеся в ОС, МЭ и программных агентах, предоставляющих указанные сетевые сервисы.