Зараз навряд чи комусь треба доводити, що при підключенні до Internet Ви піддаєте ризику безпеку Вашої локальної мережі і конфіденційність інформації, що міститься в ній. За даними CERT Coordination Center у 1995 році було зареєстровано 2421 інцидентів - зломів локальних мереж і серверів. За результатами опитування, проведеного Computer Security Institute (CSI) серед 500 найбільш великих організацій, компаній і університетів з 1991 число незаконних вторгнень зросло на 48.9 %, а втрати, викликані цими атаками, оцінюються в 66 млн. доларів США.
Одним з найбільш розповсюджених механізмів захисту від интернетівських бандитів - “хакерів” є застосування міжсіткових екранів - брендмауерів (firewalls).
Варто відзначити, що в наслідок непрофесіоналізму адміністраторів і недоліків деяких типів брендмауерів біля 30% зломів відбувається після встановки захисних систем.
Не слід думати, що усе викладене вище - “заморські дивини”. Усім, хто ще не упевнений, що Україна впевнено доганяє інші країни по кількості зломів серверів і локальних мереж і принесеному ними збитку, варто познайомитися з тематичною добіркою матеріалів української преси і матеріалами Hack Zone (Zhurnal.Ru).
Не дивлячись на удаваний правовий хаос у області яку розглядаємо, будь-яка діяльність по розробці, продажу і використанню засобів захисту інформації регулюється безліччю законодавчих і нормативних документів, а усі використовувані системи підлягають обов'язкової сертифікації Державної Технічної Комісії при президенті України.
2.1 Технологія роботи в глобальних мережах Solstice FireWall-1
В даний час питанням безпеки даних у розподілених комп'ютерних системах приділяється дуже велика увага. Розроблено безліч засобів для забезпечення інформаційної безпеки, призначених для використання на різних комп'ютерах з різними ОС. У якості одного з напрямків можна виділити міжсіткові екрани (firewalls), покликані контролювати доступ до інформації з боку користувачів зовнішніх мереж.
Тут ми розглянемо основні поняття систем, що екранують, а також вимоги, пропоновані до них. На прикладі пакета Solstice FireWall-1 розглядається кілька типових випадків використання таких систем, особливо стосовно до питань забезпечення безпеки Internet-підключень. Розглянуто також кілька унікальних особливостей Solstice FireWall-1, що дозволяють говорити про його лідерство в даному класі додатків.
2.1.1 Призначення систем, що екранують, і вимоги до них
Проблема міжсіткового екранування формулюється в такий спосіб. Нехай маємо дві інформаційні системи чи дві безлічі інформаційних систем. Екран (firewall) – це засіб розмежування доступу клієнтів з однієї безлічі систем до інформації, що зберігається на серверах в іншій безлічі.
Малюнок 1
Малюнок 1.Екран FireWall.
Екран виконує свої функції, контролюючи всі інформаційні потоки між цими двома безлічами інформаційних систем, працюючи як деяка “інформаційна мембрана”. У цьому змісті екран можна уявляти собі як набір фільтрів, що аналізують проходячу через них інформацію і, на основі закладених у нього алгоритмів, приймає рішення: чи пропустити цю інформацію чи відмовити в її пересиланні. Крім того, така система може виконувати реєстрацію подій, зв'язаних із процесами розмежування доступу. Зокрема, фіксувати всі “незаконні” спроби доступу до інформації і, додатково, сигналізувати про ситуації, що вимагають негайної реакції, тобто здіймати тривогу.
Звичайно екранують системи роблять несиметричними. Для екранів визначаються поняття “усередині” і “зовні”, і завдання екрана полягає в захисті внутрішньої мережі від “потенційно ворожого” оточення. Найважливішим прикладом потенційно ворожої зовнішньої мережі є Internet.
Розглянемо більш докладно, які проблеми виникають при побудові систем, що екранують. При цьому ми будемо розглядати не тільки проблему безпечного підключення до Internet, але і розмежування доступу усередині корпоративної мережі організації.
По-перше, очевидна вимога до таких систем, це забезпечення безпеки внутрішньої (що захищаються) мережі і повний контроль над зовнішніми підключеннями і сеансами зв'язку.
По-друге, екрануюча система повинна мати могутні і гнучкі засоби керування для простого і повного втілення в життя політики безпеки організації і, крім того, забезпечення простої реконфігурації системи при зміні структури мережі.
По-третє, екрануюча система повинна працювати непомітно для користувачів локальної мережі і не утрудняти виконання ними легальних дій.
По-четверте, екрануюча система повинна працювати досить ефективно і встигати обробляти весь вхідний і вихідний трафік у “пікових” режимах. Це необхідно для того, щоб firewall не можна було, образно говорячи, “закидати” великою кількістю викликів, що привели б до порушення її роботи.
По-п'яте. Система забезпечення безпеки повинна бути сама надійно захищена від будь-яких несанкціонованих впливів, оскільки вона є ключем до конфіденційної інформації в організації.
По-шосте. В ідеалі, якщо в організації є кілька зовнішніх підключень, у тому числі й у віддалених філіях, система керування екранами повинна мати можливість централізовано забезпечувати для них проведення єдиної політики безпеки.
По-сьоме. Система Firewall повинна мати засіб авторизації доступу користувачів через зовнішні підключення. Типової є ситуація, коли частина персоналу організації повинна виїжджати, наприклад, у відрядження, і в процесі роботи їм, тим немение, потрібно доступ, принаймні, до деяких ресурсів внутрішньої комп'ютерної мережі організації. Система повинна вміти надійно розпізнавати таких користувачів і надавати їм необхідний доступ до інформації.
2.1.2 Структура системи SoltsticeFirewall-1
Класичним прикладом, на якому хотілося б проілюструвати усі вищевикладені принципи, є програмний комплекс Solstice FireWall-1 компанії Sun Microsystems. Даний пакет неодноразово відзначався нагородами на виставках і конкурсах. Він має багато корисних особливостей, що виділяють його серед продуктів аналогічного призначення. Розглянемо основні компоненти Solstice FireWall-1 і функції, що реалізуються (мал. 2).
Центральним для системи FireWall-1 є модуль керування всім комплексом. З цим модулем працює адміністратор безпеки мережі. Слід зазначити, що продуманість і зручність графічного інтерфейсу модуля керування відзначалася в багатьох незалежних оглядах, присвячених продуктам даного класу.
Малюнок 2.Основні компоненти Solstice FireWall-1 .
Адміністратору безпеки мережі для конфігурування комплексу FireWall-1 необхідно виконати наступний ряд дій:
· Визначити об'єкти, що беруть участь у процесі обробки інформації. Тут маються на увазі користувачі і групи користувачів, комп'ютери і їхні групи, маршрутизатори і різні подсітки локальної мережі організації.
· Описати сіткові протоколи і сервіси, з якими будуть працювати додатки. Утім, звичайно достатнім виявляється набір з більш ніж 40 описів, що поставляються із системою FireWall-1.
· Далі, за допомогою введених понять описується політика розмежування доступу в наступних термінах: “Групі користувачів А дозволений доступ до ресурсу Б з допомогою сервісу чи протоколу 3, але при цьому необхідно зробити позначку в реєстраційному журналі”. Сукупність таких записів компілюється в здійсненну форму блоком керування і далі передається на виконання в модулі фільтрації.
Модулі фільтрації можуть розташовуватися на комп'ютерах - чи шлюзах виділених серверах - чи в маршрутизаторах як частина конфігураційної інформації. В даний час підтримуються наступні два типи маршрутизаторів: Cisco IOS 9.x, 10.x, а також BayNetworks (Wellfleet) OS v.8.
Модулі фільтрації переглядають усі пакети, що надходять на сіткові інтерфейси, і, у залежності від заданих правил, чи пропускають відкидають ці пакети, з відповідною записом у реєстраційному журналі. Слід зазначити, що ці модулі, працюючи безпосередньо з драйверами мережних інтерфейсів, обробляють весь потік даних, розташовуючи повною інформацією про передані пакети.
2.1.3 Керування системою Firewall-1
На мал. 4 показані основні елементи керування системою FireWall-1.
Малюнок 5
Малюнок 5.Основні елементи керування системою FireWall-1.
Ліворуч розташовані редактори баз даних про об'єкти, що існують у мережі і про чи протоколи сервісах, за допомогою яких відбувається обмін інформацією. Праворуч угорі показаний редактор правил доступу.
Праворуч унизу розташовується інтерфейс контролю поточного стану системи, у якому для всіх об'єктів, що заніс туди адміністратор, відображаються дані про кількість дозволених комунікацій (галочки), про кількість відкинутих зв'язків (знак “цегла”) і про кількість комунікацій з реєстрацією (іконка олівець). Цегельна стіна за символом об'єкта (комп'ютера) означає, що на ньому встановлений модуль фільтрації системи FireWall-1.
Розглянемо тепер випадок, коли первісна конфігурація мережі міняється, а разом з нею міняється і політика безпеки.
Нехай ми вирішили установити в себе в організації кілька загальнодоступних серверів для надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP чи інші інформаційні сервери. Оскільки такі системи відособлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну підмережу, що має вихід у Internet через шлюз (мал. 6).
Малюнок 6. Схема шлюзу Internet.