Брандмауэр в ИТ-системе

Архитектуры брандмауэров — взгляд на некоторые критические проблемы с системной платформой

Представьте себе локальную сеть в виде здания, размер которого пропорционален размеру и мощности компьютерной сети. В здании есть офисы — рабочие станции, складские и архивные помещения — серверы, коридоры, соединяющие различные сегменты здания — маршрутизаторы, будка охраны — Демилитаризованная зона (ДМЗ). При реализации защитной системы безопасности здания проектировщик должен заранее спланировать расположение брандмауэров, чтобы они могли заблокировать огонь и защитить как можно большую часть конструкции здания. Очевидно, что все стены здания можно было бы сделать из технологии брандмауэра, но связанные с этим затраты выросли бы несоизмеримо. Необходимо найти золотую середину. Поэтому при рассмотрении вопроса о развертывании брандмауэра разработчик должен четко ответить на следующий вопрос: «Откуда, скорее всего, будет исходить угроза для моей системы и по каким причинам?» После того, как места потенциального возникновения пожара определены, проектировщик может попытаться выполнить компоновку брандмауэров. Однако на этом сходство заканчивается. Проектировщик здания может быть свободен от опасения, что недовольный сотрудник может устроить пожар в офисе, используя мебель, а с другой стороны, проектировщик брандмауэра должен будет учитывать такие события.

Многие пользователи, находящиеся под защитой брандмауэра, могут полагать, что их системы безопасны, поскольку брандмауэр находится между локальной сетью и общедоступной сетью. Это рискованное мышление; потому что брандмауэры предназначены только для защиты периметра (даже те, которые оснащены «настоящими» функциями брандмауэра) и после их обхода обеспечивают небольшую безопасность или не обеспечивают ее вообще. Брандмауэр, основанный на философии «лучше, чем ничего», сопряжен со значительным риском, который может создать ложное ощущение безопасности. Если вы планируете внедрить «настоящий» брандмауэр, помните, что согласованная политика безопасности должна быть намечена заранее — и это не проблема методологии разработки, а ее суть. Политика безопасности должна определять, как базовая связь будет осуществляться через брандмауэр, где должен располагаться брандмауэр и как его настроить. Политика безопасности также должна определять, требуется ли более одного брандмауэра (или, может быть, брандмауэр бесполезен) и какой должна быть схема подключения. После установки система брандмауэра представляет собой непрерывный процесс, требующий постоянной бдительности, обслуживания, просмотра журналов и реагирования на события. Неспособность удовлетворить эти требования, а иногда и усугубляемая неадекватным или плохим администрированием, которое ослабило бы любую защиту, обеспечиваемую даже самым лучшим брандмауэром, привело бы к тому, что он стал бы не чем иным, как бормочущим и мигающим электронным ящиком, но увеличивая опасность предоставления иллюзия безопасности, которая может еще больше подорвать саму частную сеть.

Брандмауэры обычно реализуются с использованием двух подходов. Литература по брандмауэрам полна теорий, которые классифицируют брандмауэры как аппаратные и программные, но в такой классификации нет ничего, что разумно предполагало бы иерархическую точку зрения. Вместо этого я думаю, что менее спорной и подходящей классификацией будет использование понятий выделенного и невыделенного аппаратного обеспечения брандмауэра и системной платформы. Такой подход к реализации может стать важным фактором при выборе межсетевого экрана, хотя само решение должен принимать непосредственно опытный и знающий системный администратор или человек, устанавливающий межсетевой экран. Обязательным условием для любой неспециализированной прикладной системы брандмауэра является правильная установка операционной системы, на которой будет размещен брандмауэр. «Правильная установка» означает, что операционная система должна быть соответствующим образом «защищена» (т. е. настроена для обеспечения безопасности), и именно по этой причине в операционной системе не может запускаться никакая служба, выходящая за рамки необходимого минимума. С выделенными аппаратными и программными платформами брандмауэров весьма вероятно, что они продаются с минимальной защитой (без бесполезных накладных расходов), встроенной производителем и готовой к включению и настройке. Однако это не означает, что решения «под ключ» всегда лучше, чем неспециализированные собственные приложения, поскольку коммерческие продукты могут быть не свободны от ошибок производителя, и поэтому их труднее отлаживать по сравнению с неспециализированными инструментами. Таким образом, в этом случае управление брандмауэром также является критически важным вопросом, поскольку администратор брандмауэра должен знать не только, как управлять брандмауэром, но и как поддерживать и обновлять его для обеспечения безопасности. Еще одним важным соображением при внедрении брандмауэра является снижение пропускной способности ключевых узлов сети. Однажды установленный, то есть в частной сети, брандмауэр может стать источником постоянных проблем и опасений относительно его надлежащего функционирования. И так оно и было бы, если бы межсетевой экран был куплен и внедрен по неправильным причинам, без понимания его роли в инфраструктуре частной сети. Следует помнить важную оговорку: вы не можете использовать любой брандмауэр.

Преимущества и риски

Брандмауэр в основном используется для защиты границ внутренней сети организации, когда она подключена к другим сетям (например, к Интернету). Типичным заблуждением является, как я уже упоминал, использование маршрутизаторов периметра для выполнения этой роли. По крайней мере, периферийные маршрутизаторы можно использовать двумя способами: либо без использования правил фильтрации пакетов, либо с использованием решения маршрутизатора с IP-фильтрацией (скорее всего, вместе с динамическим NAT), выборочно пропуская или блокируя пакеты данных на основе информации о порте или допустимых адресах. по политике безопасности. Конечно, брандмауэр всегда должен быть расположен рядом с маршрутизатором. Некоторые практические решения этой проблемы показаны на рисунках 1 и 2 ниже.

В этих примерах маршрутизатор периметра контролирует трафик на уровне IP. Думаю, это устройство следует считать первой (но не единственной) линией защиты частной сети. При реализации механизма фильтрации пакетов рекомендуется запускать эту службу на маршрутизаторах периметра, расположенных внутри частных сетей (которые разделяют две сети), в первую очередь для блокировки нежелательных пакетов, поступающих в другие локальные сети. Критерии, используемые в правилах фильтрации для определения расположения пакетов (принять или отклонить), должны соответствовать конкретной политике безопасности, а не устанавливаться по усмотрению системного администратора. На каждом из рисунков есть изолированная зона, называемая DMZ, что означает демилитаризованная зона. DMZ в смысле ИТ — это интерфейс, который позволяет разработчику сети устанавливать разные правила доступа для обеих сетей, разделенных DMZ, для повышения безопасности. Во-вторых, смысл DMZ очевиден; Приемлемый компромисс, связанный с этим, заключается в том, что было бы предпочтительнее иметь машину, которая является более «привлекательной» мишенью для взлома, например, веб-сервера, который может быть повторно собран за несколько минут, чем иметь рабочие станции или локальные серверы, которые часто содержат взломанную стратегическую информацию компании. Однако есть загвоздка в том, что с таким решением, поскольку оно представляет собой существенный недостаток, а именно отсутствие разделения между серверами и рабочими станциями в частной сети, более вероятны внутренние атаки или злоумышленник может использовать внутренний рабочая станция как отправная точка для атаки, например, по электронной почте. Чтобы избежать этого, внутренние серверы должны быть изолированы дополнительными внутренними зонами, защищенными брандмауэром (или несколькими брандмауэрами, если это необходимо).

Однако такие решения используются редко из-за плохого соотношения затрат и выгод. Чтобы серверы в частных сетях работали эффективно, они должны быть соответствующим образом защищены, а последовательная политика безопасности должна исключать возможность проникновения в защищенные зоны неавторизованных пользователей. Кроме того, любые попытки проникновения в частную сеть можно было просто обнаружить и пресечь с помощью административно-правовых мер. Описанный выше подход представляется разумным средством обеспечения сегрегации и защитной изоляции между различными внутренними подразделениями крупной организации, например, для «изоляции» исследовательского центра с целью защиты результатов исследований от захвата конкурентами или крупными частными компаниями. сети, такие как академические и корпоративные сети. Здесь подход основан на физическом разделении границ сети. Рисунок 4 ниже иллюстрирует пример такого типа сети.

R1 и R2 являются маршрутизаторами периметра частной сети. Я считаю, что цель здесь должна состоять в том, чтобы распределить задачи между разными устройствами (следуя философии: «меньше компонентов, меньше подвержены повреждениям»), скажем, первоначальный фильтр пакетов можно (или даже нужно) сделать только на маршрутизаторе периметра, независимо от того, были ли уже реализованы другие защитные положения. Кроме того, динамическое преобразование сетевых адресов может оказаться необходимым для работы на этом устройстве (хотя это и не всегда возможно). F1 — брандмауэр, устанавливающий правила доступа в DMZ, где расположены общедоступные серверы. F3 и F4 предназначены для двойного назначения. Прежде всего, они определяют набор правил, которые контролируют трафик между частной сетью и общедоступной сетью, движущийся в любом направлении. Эти брандмауэры обеспечивают поддержку VPN для соединений между отделами. Физически это может быть пара медных проводов, арендованных у интернет-провайдера, беспроводное соединение или любое другое средство. Кроме того, эти брандмауэры определяют физические границы между частными сетями. Межсетевые экраны F2 и F5 выполняют аналогичные функции в локальных сетях, в которых они установлены, — они устанавливают правила доступа к внутренним серверам, которым должны следовать частные подсети. Кроме того, F2 предназначен для устранения бесполезного трафика между подсетями 1 и 2. Эти примеры не претендуют на роль моделей для построения частной сети. Это всего лишь некоторые критерии для взвешивания выбора приложения брандмауэра. Реальность такова, что в первую очередь это решение политики безопасности, а во вторую — реализация брандмауэра (если вообще). Приведенные выше решения по-прежнему не определяют, какие типы брандмауэров следует устанавливать в сети. Выбор типа и местоположения брандмауэра также должен соответствовать комплексной политике безопасности. Наконец, преимущество любого брандмауэра зависит от критической проблемы, которая является общей для всех приложений и может поставить под угрозу надежность сети в целом. Как правило, этих решений достаточно, но не всегда они идеальны: если публичная сеть или специально защищенная подсеть перестают быть доступными даже на короткое время, приложение брандмауэра дает сбой. Чтобы избежать этого, используются резервные системы, конфигурируя эти системы так, чтобы либо все они одновременно контролировали как входящий, так и исходящий трафик, или чтобы они возобновляли работу после получения сообщения, сигнализирующего об отказе основной системы.

Нестандартные решения – как настроить простую ловушку брандмауэра

Существует еще одно специализированное применение брандмауэров, которое часто представлено в средствах массовой информации, но практических указаний по этому вопросу не дается. Возможны многие подходы, поэтому приведенный ниже рисунок является лишь предварительным наброском идеи такой системы. Он включает в себя создание защищенной брандмауэром сети-ловушки. Теоретически брандмауэр, чтобы быть эффективным, должен очень тщательно отслеживать любой входящий и исходящий трафик и перенастраивать правила политики доступа в режиме реального времени.

Предположим, пользователь пытается попасть на веб-сайт компании. Поскольку никаких злонамеренных намерений не обнаружено, соединение устанавливается. Если злоумышленник попытается получить доступ к аналогичному соединению, он может начать со сканирования адресного пространства компании. Установленный межсетевой экран обнаруживает попытку хакера и перенаправляет атакующие пакеты в ловушку-сеть, которая может быть построена, например, путем выделения отдельного (приватного) класса адресов на свободном интерфейсе межсетевого экрана, чтобы опасный трафик перенесены на другой сетевой интерфейс. Таким образом, злоумышленник проникает на сервер, который действует от имени веб-сервера компании. Если злоумышленник какое-то время пренебрегает проведением деструктивной атаки, он, вероятно, возобновит атаку через определенное время, пытаясь получить доступ к «настоящему» серверу; любое хакерское действие приведет к перенаправлению на мимический сервер, но последствия (множество следов злоумышленника) его атаки будут видны только ему и системному администратору. Способность системы ловушек брандмауэра воспроизводить сохраненные атаки будет использоваться для вскрытия и судебно-медицинского анализа. Естественно, это был пример очень простой ловушки. На рисунке есть устройство, обозначенное как IDS (система обнаружения вторжений), которое при определенных обстоятельствах может работать автономно и перенастраивать брандмауэр, с которым оно работает вместе. А что произойдет, если злоумышленник сразу же начнет свою атаку без попыток сканирования, а напрямую, используя технику эксплойта (им, собственно, и пользуется большинство псевдохакеров)? Разумеется, такая атака будет проходить через сетевой шлюз, так как здесь трафик не проверяется на прикладном уровне. С межсетевыми экранами нижнего уровня только инструмент IDS может обеспечить эффективное решение, которое сможет автоматически перенастроить сетевой шлюз, тем самым перенаправляя трафик в сеть-ловушку.

Несколько советов: реагировать на события жизненно важно

Нет ответа на событие – нет смысла устанавливать брандмауэр. Последняя тема, которую я хотел бы затронуть, — это адекватные меры противодействия любым подозрительным событиям. Думаю, этот вопрос напрямую подразумевает потребность в знающих и опытных ИТ-системных администраторах. Когда ваша система безопасности идентифицирует атаку, рекомендуется немного здравого смысла и никакой паники. Злоумышленник, однажды напуганный, скорее всего, проникнет в ваши активы в следующий раз. Если действия злоумышленника не представляют прямой угрозы (например, сканирование сети), не блокируйте их, а тщательно постарайтесь собрать информацию о злоумышленнике и атаке (для дальнейших целей). Более опытный человек может подготовить изолированный сегмент сети для установки ловушки для криминалистического анализа и принятия юридических мер против злоумышленника. Я думаю, что многие администраторы слишком быстро реагируют на инциденты, а другие вместо этого игнорируют их, что может привести к еще более серьезным последствиям.

Резюме – какой рекомендуемый тип брандмауэра?

Когда дело доходит до покупки брандмауэра, на рынке есть много вариантов, которые предлагают свои продукты брандмауэра как те, которые обеспечивают 100% безопасность сети и способны решить любую проблему безопасности, с которой могут столкнуться его потенциальные пользователи. Это основной элемент типичного «сырного» маркетинга, в котором сильные стороны подчеркиваются, а слабые стороны не имеют значения. При рассмотрении вопроса о приобретении брандмауэра подумайте, поддерживает ли брандмауэр какие-либо службы безопасности, которые могут вам понадобиться, и каким образом. Документ политики безопасности ответит на эти вопросы; поэтому рассмотрение вопросов политики безопасности имеет ключевое значение. Кроме того, роль политики безопасности состоит в том, чтобы указать, нужен ли вашей сети брандмауэр, и каково будет ожидаемое соотношение затрат и выгод при покупке брандмауэра и/или его установке. После того, как вы выберете готовое решение или неспециализированный аппаратно-программный брандмауэр на основе платформы, запланируйте потратить некоторое время на выяснение того, кто будет соответствующим образом настраивать и укреплять вашу систему для обеспечения безопасности. При рассмотрении брандмауэров ключевым фактором, который следует учитывать, является опыт администратора с этими инструментами безопасности. Межсетевой экран разработан, чтобы быть единственной точкой входящего и исходящего трафика в сети, которую он защищает, и поэтому становится единой точкой отказа. Таким образом, возможно, было бы более безопасным выбрать брандмауэр, который представляет ваше интуитивное представление о конфигурации, хотя и с меньшей адаптивностью, но и с меньшим риском выявления недостатков в вашем брандмауэре из-за недостаточного опыта в этой области. Хорошей практикой является полная настройка вашего продукта перед его покупкой, используя даже лист бумаги, и анализ всех возможных сценариев. Если вы сделаете всю домашнюю работу и заранее зададите правильные вопросы, ваша реализация брандмауэра будет работать намного безопаснее и надежнее.

Использованная литература:

1. Крис Хэйр, Каранджит Сиджан, Интернет-брандмауэры и сетевая безопасность, издательство New Riders Publishing, Индианаполис, 1996.

2. Мики Краузе, Гарольд Ф. Типтон, Справочник по управлению информационной безопасностью, CRC Press LLC, (электронное издание), 1997 г.

3. Доминик Миклашевски, Брандмауэры - дипломная работа, Щецин, 1998 г. (только на польском языке)

4. Мэтью Стребе, Чарльз Перкинс, Межсетевые экраны, Миком, Варшава, 2000 г. (только на польском языке)

5. Мерике Каео, Создание безопасных сетей, Миком, Варшава, 2000 г. (только на польском языке)

6. Телекоммуникации Vademecum, коллективная работа, коллективное издание журнала Networld, IDG Poland SA, Варшава, 1999 г. (только на польском языке)

7. Д. Брент Чепмен, Элизабет Д. Цвикки, Создание интернет-брандмауэров, O'Reilly Press (электронное издание), 1995.