2. Сетевые ресурсы и их уязвимости

Перед рассмотрением технологии межсетевых экранов (МЭ) и методики их тестирования необходимо выявить причины появления МЭ, понять их место в Окружении Открытых Систем (OSE), разработать адекватную модель информационной безопасности. Необходимо также проанализировать (в аспекте МЭ) каждую составляющую модели информационной безопасности: защищаемый ресурс (или достояние), уязвимости, угрозы (атаки), злоумышленника и, наконец, средства защиты. В данном разделе внимание будет сконцентрировано на объекте защиты и причинах необходимости защиты.

2.1. Модель информационной безопасности

Модель информационной безопасности - это модель, поясняющая суть терминов "информационная безопасность", "безопасность информационных технологий (ИТ)", "защита информационных ресурсов" и "защита ресурсов ИТ". Данная модель (как и любая другая) должна быть компактной, недвусмысленной и интуитивно понятной. Модель должна, по крайней мере, связывать понятия, входящие в термины, которые она поясняет, а именно: ресурс ИТ и защита/безопасность. Кроме того, понятие "ресурс" должно быть центральным, поскольку ресурс ИТ (или их совокупность) как раз и является объектом защиты. Модель приведена на рисунке 1.

Рис.1 Модель безопасности ИТ (основные понятия)

Кроме понятий "ресурс ИТ" и "безопасность", данная модель вводит (связывает) еще и понятия "уязвимость", "окружение" или "злоумышленник", "угроза", "риск", и, естественно, "средство защиты (СЗ)" и "остаточный риск". Все указанные понятия описывают очень абстрактные сущности, однако, с каждой такой сущностью связаны реальные объекты, и это соответствие вполне однозначно.

Ресурс
Достояние
Ценности (asset)
все, что имеет значение для организации и является предметом защиты.
Уязвимость
Уязвимое место (vulnerability)
слабости в системе или организации, которые являются причиной потенциальных угроз.
Угроза (threat)
Атака (attack)
потенциально возможная ситуация, в результате которой может быть нанесен ущерб системе или организации.
Злоумышленник
Атакующая сторона (attacker)
Хакер (hacker)
Взломщик (cracker, intruder)
человек или группа людей, осуществляющая преднамеренно или случайно действия, наносящие ущерб объекту защиты.
Риск (risk)
потенциальная возможность непреднамеренного или умышленного нарушения режима безопасности (осуществления угрозы, атаки).
Средство защиты (СЗ)ИТ (safeguard)
практическое мероприятие, некоторая процедура или механизм, уменьшающие вероятность осуществления риска для безопасности ИТ.
Остаточный риск (residual risk)
риск, который остается после ввода в действие средств защиты. Процесс управления безопасностью ИТ заключается в принятии тех или иных решений по применению средств защиты, минимизирующих остаточный риск.

В общем, данная модель вполне адекватна рассматриваемой проблеме, и вполне достаточно перечисленных выше терминов и понятий. Однако, хотя и существует понятие "средство защиты", данная модель явно не определяет понятие "межсетевой экран". Этот недостаток ликвидирует следующая модель - модель сетевой безопасности ИТ, являющаяся частным случае рассмотренной выше модели и детализирующая понятие безопасности ИТ. Данная модель приведена на рисунке 2.

Рис.2 Модель безопасности доступа к сетевым ресурсам

МЭ или "сторожевая функция" (как понятие) входит в класс объектов, охватываемых термином "средство защиты", частью процесса управления безопасностью ИТ является процесс применения МЭ для защиты от атак из сети Интернет, а тестирование и сертификация МЭ являются процедурами оценки гарантированного уровня снижения риска при применении конкретного МЭ.

Ниже в данном разделе будут подробно рассмотрены классы объектов, соответствующим данным терминам, в контексте использования, тестирования и сертификации МЭ, а технология и классификация МЭ будут подробно рассмотрены в следующем разделе.

2.2. Информационные ресурсы организации

В общем случае, под информационными ресурсами организации понимается вся совокупность вычислительной техники и коммуникационного оборудования, которой владеет организация, а так же совокупность применяемых программ и обрабатываемых данных, и представляющих ценность для организации. К информационным ресурсам также относят носители информации, как электронные, так и бумажные.

Однако, в контексте сетевой безопасности и использования МЭ целесообразно рассматривать защиту от вторжения на средства вычислительной техники (СВТ) организации извне через коммуникационное оборудование, объединив при этом вычислительную технику с функционирующем на ней ПО и обрабатываемыми на ней данными.

Как правило, в организации используются самые разнообразные средства вычислительной техники разных производителей, с разными функциональными возможностями и, наконец, на функционирование разных средств вычислительной техники накладываются разные требования, в т.ч. требования безопасности. Кроме того, обычно средства вычислительной техники физически распределены в пределах (а иногда и за пределами) организации. Можно выделить следующие классы СВТ: рабочая станция, сервер поддержки, информационный сервер и коммуникационное оборудование. В пределах каждого класса цели функционирования вычислительной техники и требования к ней практически совпадают, а значит, совпадают и средства защиты, которые могут применяться для эффективного снижения риска вторжения злоумышленника. Данная классификация введена для удобства рассмотрения проблем сетевой безопасности используемых СВТ и возможных решений по защите с использованием технологии МЭ.

Рассмотрим указанные классы СВТ более подробно, акцентируя внимание на угрозах безопасности, связанных с ними, и на методах защиты с помощью МЭ.

2.2.1. Рабочая станция

Рабочая станция (workstation) - средство вычислительной техники, предназначенное для непосредственной работы персонала организации. Конструктивно рабочая станция представляет собой персональный компьютер (ПК), обычно на базе процессора Intel и с операционной системой Windows 98 или NT Workstation. Количество рабочих станций обычно пропорционально количеству персонала в организации, т.е. довольно велико. Администрирование рабочих станций производится не централизованно администратором, а локально сами пользователями.

С точки зрения сетевого взаимодействия рабочая станция не предоставляет никаких сервисов, но она активно использует сервисы предоставляемые серверами поддержки и информационными серверами организации, а так же напрямую предоставляемые серверами все сети Интернет.

Уровень информационной безопасности рабочей станции - минимальный и не является приемлемым при подключении к глобальным сетям. Рабочая станция (а точнее установленная ОС и другое ПО) имеет большое количество уязвимых мест (ошибок в ПО), в том числе и в реализации стека TCP/IP. Существует и большое число сетевых угроз или атак, направленных как на выведение рабочей станции из строя ("зависание"), так и на чтение и изменение конфиденциальной информации передаваемой по сети или хранимой на самом ПК. При этом основу этих угроз составляют непосредственная доступность для рабочей станции всей глобальной сети и, наоборот, доступность рабочей станции извне.

Таким образом, существует необходимость в наличии некоторого межсетевого экрана между рабочей станцией (или сегментом рабочих станций) и внешней глобальной сетью. Данный МЭ должен отслеживать и различать направление соединений всех уровней модели OSI, проходящих через МЭ, фильтровать и протоколировать все исходящие от рабочей станции соединения, отвергать все неразрешенные соединения. Все входящие соединения должны протоколироваться и блокироваться, должны определяться попытки сетевого вторжения с уведомлением об этом администратора сети, и в случае вторжения должны автоматически приниматься действия по противодействию атаке. Кроме того, очень часто необходимо сокрытие (или маскировка) сетевых адресов рабочих станций как для обеспечения более качественной защиты, так и для повышения гибкости в доступе к ресурсам глобальной сети (случай нехватки сетевых адресов, выделенных организации). Последняя проблема решается путем трансляции сетевых адресов (network address translation - NAT).

2.2.2. Сервер поддержки

Сервер поддержки (supporting server) - специальное средство вычислительной техники, предназначенное для нормального функционирования рабочих станций и других средств, и решения повседневных задач организации. Конструктивно сервер поддержки может представлять собой как персональный компьютер, так и мощный многопроцессорный комплекс. Установленное программное обеспечение и ОС также могут быть самыми различными: Windows 98, Windows NT Server, Unix, Novell NetWare и т.д. Круг решаемых задач - это хранение огромных массивов данных и программ (разделяемые диски (NFS) и базы данных), осуществление ресурсоемких вычислений с разделение времени, кэширование информационных объектов сети Интернет для ускорения доступа (proxy caching), осуществление доставки электронной почты (e-mail delivering), трансляция символьных адресов компьютеров в их цифровые эквиваленты (DNS), сбор статистики и прочие приложения типа клиент-сервер. Количество серверов поддержки в организации обычно примерно равняется количеству решаемых задач, указанных выше. Серверы поддержки обычно имеют минимальные средства человеко-машинного интерфейса и администрируются удаленно с рабочей станции. Обычно в организации существуют люди, ответственные за администрирование серверов поддержки.

С точки зрения сетевого взаимодействия каждый сервер поддержки предоставляет услуги исходя из решаемых им задач, причем услуги могут предоставляться и внешней сети (например, доставка почты), хотя это, скорее всего, исключение. Аналогично, каждый сервер поддержки пользуется услугами других серверов поддержки, информационных серверов и серверов внешней сети (как, например, при трансляции символьных адресов компьютеров) исходя из решаемых им задач.

Уровень информационной безопасности серверов поддержки обычно значительно выше, чем рабочих станций. Однако, и требования к защите у серверов поддержки выше. Если не используется специальная защищенная версия ОС, то у сервера поддержки также имеется большое количество уязвимых мест, в т.ч. и в реализации стека TCP/IP. Аналогично, существует и большое число сетевых атак, направленных на замедление работы сервера, на выведение его из строя ("зависание" или перезагрузка), на получение несанкционированного доступа (НСД) к конфиденциальной информации, передаваемой по сети или хранимой/обрабатываемой на самом сервере. Возможны атаки подготовительного типа, целью которых является сбор информации о других информационных ресурсах организации. Особую опасность представляют атаки, в результате которых злоумышленник получает несанкционированный доступ к управлению СВТ с большими полномочиями (root-privileges unauthorized access). При этом основу всех этих угроз составляет непосредственная доступность сервера из глобальной сети.

Таким образом, есть необходимость в существовании межсетевого экрана хотя бы между серверами поддержки и внешней глобальной сетью. Более хорошим является решение о выделении отдельного сегмента специально для всех серверов поддержки, и развязки данного сегмента от других сегментов сети организации и внешней сети с помощью МЭ, т.е. организация так называемой "демилитаризованной" зоны (demilitarized zone - DMZ). Данный МЭ должен отслеживать и различать направление соединений всех уровней модели OSI, проходящих через МЭ, фильтровать и протоколировать все исходящие от сервера поддержки и входящие в него соединения, отвергая все неразрешенные соединения, блокируя все известные сетевые атаки и извещая о них администратора. Особенно тщательно необходимо фильтровать команды прикладного протокола, семантика которых заключается в модификации конфиденциальной информации или получении пользователем больших привилегий. Те серверы, которые не предоставляют никаких сервисов внешней сети и не пользуются сервисами, предоставляемыми внешней сетью, должны быть не достижимы и не видны извне, что достигается путем блокирования любого трафика между данным сервером и внешней сетью, и отсутствия записей об адресе данного сервера в DNS. Кроме того, очень часто необходим запрет на удаленное администрирование серверов поддержки из внешней сети. В тоже время, часто бывает потребность в безопасном доступе к серверу поддержки от рабочей станции, находящейся во внешней сети. Последняя задача решается путем прозрачного туннелирования стандартного трафика между сервером и удаленной рабочей станцией с шифрование всех передаваемых данных и команд, а также с помощью усиленных механизмов идентификации и аутентификации (подтверждения подлинности) рабочей станции и/или человека, осуществляющего удаленный доступ.

2.2.3. Информационный сервер

Информационный сервер (public informational server) - средство вычислительной техники, предназначенное для предоставления организацией информационных услуг всем пользователям глобальной сети. Конструктивно он представляет собой достаточно мощный компьютер, способный обслуживать запросы пользователей в реальном масштабе времени, с установленной ОС либо Unix, либо Windows NT Server. По типу предоставляемых услуг все информационные серверы делятся на HTTP-, FTP-, DNS- и прочие серверы. Следует отметить, что услуги DNS-сервера - это предоставление информации (по запросам из внешней сети) о наличии тех или иных информационных ресурсов в сети организации и об их сетевых адресах, т.е. создание некоторой формы "присутствия" организации в сети Интернет. Обычно в организации существует только один информационный сервер, на котором одновременно исполняются приложения, предоставляющие все вышеуказанные услуги. Следует отметить, что в последнее время все чаще применяется техника зеркального отображения (mirroring) информационного сервера, т.е. использование нескольких одинаковых серверов, исполняющих роль одного "виртуального" информационного сервера и балансирующих нагрузку между собой. Информационный сервер обычно имеет минимальные средства человеко-машинного интерфейса и администрируется удаленно с рабочей станции. Как правило, в организации существует человек, ответственный за администрирование информационного сервера.

С точки зрения сетевого взаимодействия информационный сервер не пользуется услугами, предоставляемыми другими серверами, а только предоставляет вышеперечисленные услуги информационного типа, причем основные потребители данных услуг располагаются в глобальной сети, и, в принципе, потребителем услуг может стать любой пользователь сети Интернет.

Уровень информационной безопасности информационного сервера - не столь критичный параметр по сравнению с безопасностью серверов поддержки, тем не менее, от него непосредственно зависит качество предоставляемых информационных услуг, а, следовательно, зависит и престиж организации. Уровень безопасности, предоставляемый ОС и программами, установленными на информационном сервере, обычно является недостаточным. Если ОС специально не защищена, то в ней существует большое количество уязвимых мест, в т.ч. и в реализации стека TCP/IP. Аналогично, существует и большое число сетевых атак, направленных на замедление работы сервера, на выведение его из строя ("зависание" или перезагрузка), на получение прав на изменение (и компрометацию) информации, хранимой на сервере. Опасны также атаки подготовительного типа, целью которых является получение несанкционированного доступа к управлению информационным сервером для дальнейшего осуществления атак с данного сервера на другие ресурсы сети организации.

Существует несколько решений по размещению информационного сервера относительно МЭ:

  • Во-первых, можно поместить информационный сервер перед МЭ. При этом информационный сервер не будет дополнительно защищен от атак из внешней сети, но и при выведении строя, его нельзя будет использовать как базу для дальнейших атак на остальные сетевые ресурсы организации, находящиеся за МЭ. Преимуществом данного метода является тот факт, что трафик через МЭ определяется только потребностями самой организации и не зависит от активности пользователей сети интернет, т.е. соединения, проходящие через МЭ, устанавливаются/пропускаются исключительно из внутренней сети (за исключением случая доставки электронной почты);
  • Во-вторых, существует возможность размещения информационного сервера за МЭ в том же сегменте сети, где расположены серверы поддержки и/или рабочие станции. В таком случае информационный сервер будет защищен также как и другие сетевые ресурсы компании, но, учитывая то, что соединения к информационному серверу устанавливаются извне, а не наоборот (как для остальных СВТ), и возможность косвенных атак через скомпрометированный ("взломанный") информационный сервер, решение об установке данного сервера за МЭ в одном сегменте представляется нелогичным в большинстве случаев;
  • В-третьих, есть возможность размещения информационного сервера за МЭ, но на отдельном сегменте (т.е. организация "демилитаризованной" зоны). При этом информационный сервер будет защищен наилучшим образом от атак (при полной доступности) из глобальной сети и отделен от других сетевых ресурсов организации, делая невозможным осуществление косвенных атак через данный сервер. Данное решение в большинстве случаев считается наилучшим.

В любом случае, МЭ, защищающий информационный сервер, должен отслеживать и различать направление соединений всех уровней модели OSI, проходящих через МЭ, фильтровать и протоколировать все входящие в сервер соединения, отвергая все неразрешенные соединения, блокируя все известные сетевые атаки и извещая о них администратора. Кроме того, часто необходим запрет на удаленное администрирование информационного сервера из внешней сети. При использовании техники зеркального отображения информационного сервера, МЭ должен ее поддерживать и быть соответствующим образом сконфигурирован.

2.2.4. Коммуникационное оборудование

Коммуникационное оборудование (communication equipment) - специальное оборудование, предназначенное для физической связи различных средств вычислительной техники между собой и с глобальной сетью, а также для управления и маршрутизации трафика в терминах модели OSI между СВТ и глобальной сетью. Класс коммуникационного оборудования содержит: кабели (cables), активные повторители (active repeaters), концентраторы (hubs) и коммутаторы (switches), маршрутизаторы (routers), модемы (modems), межсетевые экраны (firewalls) и т.п. С точки зрения сетевой безопасности и атак из внешней сети, следует обратить особое внимание на маршрутизаторы, модемы и МЭ.

Маршрутизатор - главный элемент в организации соединений на сетевом уровне модели OSI, осуществляющий маршрутизацию пакетов данных, проходящих через него, в нужном направлении. Поскольку все пакеты из внешней сети обязательно проходят через маршрутизатор, то от возможностей по фильтрации и блокированию пакетов и соединений напрямую зависит защищенность внутренней сети организации от атак злоумышленников из глобальной сети. Поэтому, многие существующие маршрутизаторы выполняют те или иные функции МЭ, начиная от простой фильтрации пакетов по адресам их заголовков и кончая контекстной инспекцией информационных потоков. Следует отметить, что сами маршрутизаторы также могут стать объектом сетевой атаки, и возможно, что для их защиты тоже будут использоваться МЭ.

Модем - основное средство для связи вычислительной техники посредством коммутируемых телефонных линий. Модем может присутствовать на самом компьютере или находиться в модемном пуле (modem pool), т.е. на специально предназначенном для этого сегменте сети, отделенном от основной сети организации с помощью МЭ. С точки зрения безопасности, вариант с модемным пулом гораздо лучше, т.к. в противном случае у злоумышленника появляется возможность легкой атаки компьютера с модемом посредством коммутируемой телефонной сети и использование атакованного компьютера как базы для дальнейших атак на другие компьютеры внутренней сети организации.

Межсетевые экраны будут подробно рассмотрены в следующем разделе. Следует отметить, что часто и сами МЭ содержат уязвимости и могут стать объектом сетевых атак злоумышленников. Поэтому, обычно используется комбинация МЭ разных типов, дающая максимальную комплексную защиту. Подобные комбинации использования МЭ также будут рассматриваться в следующем разделе.

Кроме того, в последнее время межсетевые экраны все чаще используются для организации так называемых виртуальных частных сетей (virtual private networks - VPN) - "прозрачного" и безопасного объединения нескольких физически удаленных сетей организации (или ее филиалов) посредством глобальной сети. "Прозрачность" и безопасность такого объединения достигается путем туннелирования стандартного трафика сети организации с шифрованием всех данных предаваемых пакетов. Функции шифрования возлагаются на МЭ, расположенные на границах стыковки каждой из виртуально объединяемых сетей с глобальной сетью, а туннелированный трафик передается по глобальной сети между этими МЭ. Таким образом, достигается защита от чтения и модификации злоумышленником во внешней сети конфиденциальной информации между двумя физически разрозненными сетями одной организации.

2.3. Уязвимые места

Теперь рассмотрим уязвимые места, наиболее характерные для описанных выше сетевых ресурсов организации, если она подключена к глобальной сети Интернет. Параллельно будем уточнять возможности МЭ по "закрытию" (ликвидации) данных уязвимых мест.

2.3.1. "Дыры" в сетевых ОС

Самым главным уязвимым местом СВТ, существующим на сегодняшний день, является наличие так называемых "дыр" в сетевых ОС - недостатков и ошибок реализации примитивов безопасности, заложенных в стандартную поставку операционной системы и реализацию стека протоколов TCP/IP. В связи с наличием таких "дыр" существует огромное число сетевых атак, направленных на реализацию угроз, связанных с выведением системы из строя (отказ в обслуживании), получения неавторизованного доступа по управлению конкретным СВТ или доступа к чтению и модификации конфиденциальных данных злоумышленником.

Для ликвидации указанных "дыр" к каждой версии ОС через некоторое время после ее выпуска появляются программы-заплатки (patches), однако, как правило, они сильно запаздывают по времени, и к моменту выхода очередной "заплатки" для ОС существует большое число атак, использующие уязвимость, которая ликвидируется данной "заплаткой".

При использовании МЭ возможно одновременное "закрытие" многих уязвимых мест сразу во всех ОС, установленных на всех СВТ (за МЭ) организации. Возможности МЭ по закрытию тех или иных "дыр" ОС, а точнее возможности по противодействию распространенным атакам, использующим эти "дыры", оцениваются и подтверждаются в ходе тестирования и сертификации МЭ.

2.3.2. Слабая аутентификация

Слабая аутентификация (weak authentication) - свойство системы, программы или протокола, реализующих идентификацию и аутентификацию (т.е. подтверждение подлинности) удаленной системы и/или пользователя, причем слабость означает возможность легкой фальсификации результатов идентификации и аутентификации (identification and authentication - I&A) злоумышленником и выдачи себя за легального пользователя системы с целью получения несанкционированного доступа. Слабой аутентификацией обладают почти все стандартные протоколы прикладного уровня: ftp, telnet, rsh, rexec и т.п. - в них аутентификация пользователя производится с помощью парольной фразы условно-постоянного действия, которая передается по сети в незашифрованном виде, а идентификация и аутентификация СВТ осуществляется с только (!) помощью IP-адреса.

Внутри организации вполне допускается использование программ и протоколов со слабой аутентификацией, поскольку основные сетевые атаки осуществляются извне. Если необходим доступ с удаленной рабочей станции из внешней сети к серверу организации, то можно использовать какой-нибудь протокол с сильной аутентификацией (strong authentication): SSH, SSL, S/MIME. В таком случае, необходимо чтобы данный протокол поддерживался сервером, к которому производится обращение из глобальной сети.

При использовании МЭ возможно возложение задачи надежной аутентификации и поддержки протоколов с сильной аутентификацией непосредственно на МЭ. В таком случае отпадает необходимость в каком-либо усилении стандартных средств идентификации и аутентификации, входящих в состав программ, функционирующих на серверах за МЭ и отвечающих за поддержку соответствующих протоколов прикладного уровня. При этом данные серверы могут не поддерживать протоколы с сильной аутентификацией.

2.3.3. "Активные" данные

Внутри данных, которые передаются по сети и, что самое опасное, приходят из глобальной сети, может содержаться исполняемый код, записанный в некотором формате: exe, JavaScript, ActiveX, shell script, MSWord document и т.п. Такие данные называются "активными", а указанный исполняемый код может быть "враждебным" (malicious software), т.е. содержать вирусы, программные "закладки" и т.п. В принципе, если не принимать специальных мер, злоумышленник, написав искусным образом указанный исполняемый код, может получить практически неограниченный удаленный доступ на том компьютере, на котором будут получены "активные" данные, содержащие написанный злоумышленником код.

В качестве упомянутых специальных мер могут использоваться регулярные проверки каждого компьютера антивирусным пакетом, отключение действия макросов в документах MSWord, отключение исполнения апплетов JavaScript и модулей ActiveX, исполнение JavaScript в безопасной среде.

В случае использования МЭ возможно (если это поддерживается конкретным МЭ) инспектирование передаваемых из глобальной сети "активных" данных в реальном масштабе времени, что дает гораздо более высокий уровень защиты от проникновения вирусов и установки программных "закладок" злоумышленником по сравнению с описанными выше мерами. Под инспектированием (inspection) данных в данном случае понимается контроль (например, антивирусный) передаваемых через МЭ данных с целью блокирования "враждебного" кода, содержащегося в этих данных.

2.3.4. Неразвитые средства мониторинга и управления

Еще одним уязвимым местом используемых СВТ является неразвитость инструментов мониторинга и контроля безопасности (security monitoring and control). Обычно штатные средства ОС позволяют только просмотреть активные в данный момент задачи на конкретном компьютере, а также активные в данный момент соединения с данным компьютером. Существуют и средства ОС протоколирующие все нештатные ситуации (unusual situations), происходящие на компьютере, однако набор контролируемых нештатных ситуаций обычно невелик. Практически полностью отсутствуют средства удаленной сигнализации (например, по электронной почте или на пейджер) администратору системы о происходящих нештатных ситуациях. Средства безопасного удаленного управления и мониторинга также обычно минимальны.

Используя МЭ, можно контролировать (инспектировать) весь поток между глобальной сетью и внутренней сетью организации, протоколируя все нештатные ситуации (например, попытки взлома) и сообщая о них администратору безопасности по электронной почте или пейджеру. Обычно МЭ имеет хороший интуитивно-понятный графический интерфейс с пользователем (GUI), позволяющий легко выполнять наиболее часто выполняемые операции управления и мониторинга, существенно снизив вероятность ошибки администратора. Кроме того, есть большое преимущество в сосредоточении средств защиты в одном месте, что автоматически делает управление сетевой безопасностью полностью централизованным.