vrashchaet otvet doverennomu klientu.
Mnogie hosty Unix prinimayut pakety s marshrutizaciej istochnika i budut peredavat' ih po puti, ukazannomu v pakete. Mnogie marshrutizatory takzhe prinimayut pakety s marshrutizaciej istochnika, v to vremya kak nekotorye marshrutizatory mogut byt' skonfigurirovany takim obrazom, chto budut blokirovat' takie pakety.
Eshche bolee prostym sposobom maskirovki pod klienta yavlyaetsya ozhidanie togo momenta vremeni, kogda klientskaya sistema budet vyklyuchena, i posleduyushchaya maskirovka pod nee. Vo mnogih organizaciyah sotrudniki ispol'zuyut personal'nye |VM s setevoj matematikoj TCP/IP dlya podklyucheniya k hostam s Unixom i ispol'zuyuyut mashiny s Unix kak servery LVS. P|VM chasto ispol'zuyut NFS dlya polucheniya dostupa k direktoriyam i fajlam na servere(NFS ispol'zuet tol'ko IP-adresa dlya autentifikacii klientov). Atakuyushchij mozhet skonfigurirovat' po okonchanii raboty svoj P|VM takim obrazom, chto on budet imet' to zhe samoe imya i IP-adres, chto i drugaya mashina, a zatem iniciirovat' soedinenie s Unixovskim hostom, kak esli by on byl doverennym klientom. |to ochen' prosto sdelat' i imenno tak postupayut atakuyushchie-sotrudniki organizacii.
|lektronnuyu pochtu v Internete osobenno legko poddelat', i ej voobshche nel'zya doveryat', esli v nej ne primenyayutsya rasshireniya, takie kak elektronnaya podpis' pis'ma[NIST94a]. Naprimer, davajte rassmotrim vzaimodejstvie mezhdu hostami Interneta pri obmene pochtoj. Vzaimodejstvie proishodit s pomoshch'yu prostogo protokola, ispol'zuyushchego tekstovye komandy. Zloumyshlennik mozhet legko vvesti eti komandy vruchnuyu, ispol'zuya TELNET dlya ustanovleniya seansa s portom SMTP( prostoj protokol peredachi pochty). Prinimayushchij host doveryaet tomu, chto zayavlyaet o sebe host-otpravitel', poetomu mozhno legko ukazat' lozhnyj istochnik pis'ma, vvedya adres elektronnoj pochty kak adres otpravitelya, kotoyrj budet otlichat'sya ot istinnogo adresa. V rezul'tate, lyuboj pol'zovatel', ne imeyushchij nikakih privilegij, mozhet fal'sificirovat' elektronnoe pis'mo.
V drugih servisah, takih kak DNS, takzhe mozhno zamaskirovat'sya pod druguyu mashinu, no sdelat' eto neskol'ko slozhnee, chem dlya elektronnoj pochty. Dlya etih servisov do sih por sushchestvuyut ugrozy, i ih nado uchityvat' tomu, kto sobiraetsya pol'zovat'sya imi.
Hosty tyazhelo podderzhivat' v bezopasnom sostoyanii i eto zanimaet mnogo vremeni. Dlya uproshcheniya upravleniya hostami i bol'shego ispol'zovaniya preimushchestv LVS, nekotorye organizacii ispol'zuyut takie servisy, kak NIS(Network Information Service) i NFS(Network File system). |ti servisy mogut sil'no umen'shit' vremya na konfigurirovanie hostov, pozvolyaya upravlyat' ryadom baz dannyh, takih kak fajly parolej, s pomoshch'yu udalennogo dostupa k nim i obespechivaya vozmozhnost' sovmestnogo ispol'zovaniya fajlov i dannyh. K sozhaleniyu, eti servisy nebezopasny po svoej prirode i mogut ispol'zovat'sya dlya polucheniya dostupa gramotnymi zloumyshlennikami. Esli skomprometirovan central'nyj server, to drugie sistemy, doveryayushchie central'noj sisteme, takzhe mogut byt' legko skomprometirovany.
Nekotorye servisy, takie kak rlogin, pozvolyayut hostam "doveryat'" drug drugu dlya udobstva raboty pol'zovatelej i oblegcheniya sovmestnogo ispol'zovaniya sistem i ustrojstv. Esli v sistemu bylo soversheno proniknovenie ili ee obmanuli s pomoshch'yu maskarada, i etoj sisteme drugie sistemy, to dlya zloumyshlennika ne sostavit truda poluchit' dostup k drugim sistemam. Naprimer, pol'zovatel', zaregistrirovannyj na neskol'kih mashinah, mozhet izbavit'sya ot neobhodimosti vvodit' parol', skonfigurirovav sebya na etih mashinah tak, chto oni budut doveryat' podklyucheniyu s osnovnoj sistemy pol'zovatelya. Kogda pol'zovatel' ispol'zuet rlogin dlya podklyucheniya k hostu, to mashina, k kotoroj podklyuchayutsya, ne budet sprashivat' parol', a podklyuchenie budet prosto razresheno. Hotya eto i ne tak uzh ploho, tak kak parol' pol'zovatelya ne peredaetsya i ne smozhet byt' perehvachen, eto imeet tot nedostatok, chto esli zloumyshlennik proniknet na osnovnuyu mashinu pod imenem pol'zovatelya, to zloumyshlennik legko smozhet vospol'zovat'sya rlogin dlya proniknoveniya v scheta pol'zovatelya na drugih sistemah. Po etoj prichine ispol'zovanie vzaimnogo doveriya hostov drug k drugu ne rekomenduetsya[Bel89][Ches94].
Sistemy upravleniya dostupom v hostah chasto slozhny v nastrojke i tyazhelo proverit', pravil'no li oni rabotayut. V reuzl'tate nepravil'no skonfigurirovannye mery zashchity mogut privesti k proniknoveniyu zloumyshlennikov. Neskol'ko krupnyh proizvoditelej Unix vse eshche prodayut svoi sistemy s sistemoj upravleniya dostupom, skonfigurirovannoj tak, chto pol'zovatelyam predostavlen maskimal'nyj ( to est' naimenee bezopasnyj) dostup, kotoryj mozhet privesti k neavtorizovannomu dostupu, esli ne budet proizvedena perekonfiguraciya.
Ryad incidentov s
bezopasnost'yu proizoshel v
Internete otchasti iz-za togo, chto
zloumyshlenniki obnaruzhili
uyazvimye mesta( pozdnee ih
obnaruzhili pol'zovateli, gruppy
komp'yuternoj bezopasnosti i sami
proizvoditeli) . Tak kak bol'shaya
chast' sovremennyh variantov Unix
pozaimstvovala svoj setevoj kod iz
versii BSD, i tak kak ishodnyj kod
etoj versii shiroko dostupen,
zloumyshlenniki smogli izuchit' ego
na predmet oshibok i uslovij, pri
kotoryh ih mozhno ispol'zovat' dlya
polucheniya dostupa k sistemam.
Otchasti oshibki sushchestvuyut iz-za
slozhnosti programm i nevozmozhnosti
proverit' ih vo vseh sredah, v
kotoryh oni dolzhny rabotat'. Inogda
oshibki legko obnaruzhivayutsya i
ispravlyayutsya, no byvaet i tak, chto
nado, kak minimum, perepisat' vse
prilozhenie, chto yavlyaetsya poslednim
sredstvom( programma sendmail tomu
primer).
Bezopasnost' na urovne hostov ploho shkaliruetsya: po mere togo, kak vozrastaet chislo hostov v seti, vozmozhnosti po obespecheniyu garantij bezopasnosti na vysokom urovne dlya kazhdogo hosta umen'shayutsya. Uchityvaya to, chto adminstrirovanie dazhe odnoj sistemy dlya podderzhaniya bezopasnosti v nej mozhet okazat'sya slozhnym, upravlenie bol'shim chsislom takih sistem mozhet legko privesti k oshibkam i upushcheniyam. Vazhno takzhe pomnit', chto zachastuyu vazhnost' raboty sistemnyh administratorov ne ponimaetsya i eta rabota vypolnyaetsya koe-kak. V rezul'tate nekotorye sistemy mogut okazat'sya menee bezopasnymi, chem drugie, i imenno eti sistemy stanut slabym zvenom, kotoroe v konechnom schete privedet k poyavleniyu uyazvimogo mesta v sisteme bezopasnosti.
Esli obnaruzhivaetsya uyazvimost' v setevom PO, seti, kotoraya ne zashchishchena brandmauerom, nuzhno srochno ispravit' oshibku na vseh sistemah, gde ona obnaruzhena. Kak uzhe govorilos' v punkte 1.3.2, nekotorye uyazvimye mesta pozvolyayut poluchit' legkij dostup s pravami superpol'zovatelya Unix. Organizaciya, imeyushchaya mnogo Unix-hostov, budet osobenno uyazvima k atakam zloumyshlennikov v takoj situacii. Zadelyvanie uyazvimyh mest na mnogih sistemah za korotkij promezhutok vremeni prosto nevozmozhno, i esli isopl'zuyutsya razlichnye versii OS, mozhet okazat'sya voobshche nevozmozhnym. Takie seti budutt prosto-taki naprashivat'sya na ataki zloumyshlennikov.
Kak uzhe otmechalos' v predydushchih razdelah, ryad sluzhb TCP i UDP ploho obespechivayut bezopasnost' v sovremennoj srede v Internete. Pri millionah pol'zovatelej, podklyuchennyh k Internetu, i pri tom, chto pravitel'stva i promyshlennost' zavisyat ot Interneta, nedostatki v etih sluzhbah, a takzhe legkodostupnost' ishodnogo koda i sredstv dlya avtomatizacii proniknoveniya v sistemy mogut sdelat' seti uyazviymi k proniknoveniyam v nih. Tem ne menee, nastoyashchij risk pri ispol'zovanii Interneta trudno ocenit', i neprosto skazat', naskol'ko uyazvima set' k atakam zloumyshlennikov. Takoj statistiki ne vedetsya.
Koordinacionnyj Centr po grupp rassledovaniya proisshestvij s komp'yuternoj bezopasnost'yu(CERT/CC) vedet nekotoruyu statistiku o chisle incidentov, kotorye oni rassledovali posle ego sozdaniya v 1988 godu. CHisla v etoj statistike uvelichivayutsya skachkoobrazno kazhdyj god, no sleduet pomnit', chto i chislo mashin v Internete takzhe rastet. V nekotoryh sluchayah CERT schitaet neskol'ko proniknovenij odnogo i togo zhn tipa odnim proisshestviem, poetomu odno proisshestvie mozhet sostoyat' iz neskol'kih soten proniknovenij v ryad sistem. Trudno skazat', naskol'ko proporcional'ny chislo incidentov i chislo proniknovenij. |ta problema takzhe oslozhnyaetsya tem, chto chem bol'she lyudej znayut o sushchestvovanii grupp po rassledovaniyu incidentov, tem bol'she veroyatnost' togo, chto oni soobshchat o proisshestvii, poetomu na samom dele neponyatno, to li proishodit vse bol'she proisshestvij, to li soobshchaetsya o vse bol'shem ih procente.
NIST schitaet, chto Internet, hotya i yavlyaetsya ochen' poleznoj i vazhnoj set'yu, v to zhe samoe vremya ochen' uyazvim k atakam. Seti, kotorye soedineny s Internetom, podvergayutsya nekotoromu risku togo, chto ih sistemy budut atakovany ili podvergnuty nekotoromu vozdejstviyu so storony zloumyshlennikov, i chto risk etogo znachitelen. Sleduyushchie faktory mogut povliyat' na uroven' riska:
CHem bol'she sistem v seti, tem trudnee kontrolirovat' ih bezopasnost'. Analogichno, esli set' soedinena s Internetom v neskol'kih mestah, to ona budet bolee uyazvima chem set' s odnim shlyuzom. V to zhe samoe vremya, to, naskol'ko gotova k atake organizaciya, ili to, naskol'ko ona zavisit ot Interneta, mozhet uvelichit' ili umen'shit' risk. Set', imeyushchaya privlekatel'nyj dlya zloumyshlennikov profil', mozhet podvergnut'sya bol'shemu chislu atak s cel'yu polucheniya informacii, hranyashchejsya v nej. Hotya, stoit skazat', chto "molchalivye" malo poseshchaemye seti takzhe privlekatel'ny dlya zloumyshlennikov, tak kak im legche budet skryt' svoyu aktivnost'.
NIST zayavlyaet, chto seti,
kotorye ispol'zuyut
rekomendovannye procedury i mery
zashchity dlya povysheniya komp'yuternoj
bezopasnosti, budut podvergat'sya
znachitel'no men'shemu risku atak.
Brandmauery v sochetanii s
odnorazovymi parolyami, kotorye
ustojchivy k ih perehvatu, mogut
uvelichit' obshchij uroven'
bezopasnosti seti i sdelat'
ispol'zovanie Interneta
dostatochno bezopasnym. Sleduyushchie
glavy soderzhat bolee detal'noe
opisanie brandmauerov i togo, kak
oni mogut ispol'zovany dlya zashchity
ot mnogih ugroz i uyazvimyh mest,
opisannyh v etoj glave.
Mozhno najti reshenie ryad problem s bezopasnost'yu v Internete, opisannyh v glave 1, ili, po krajnej mere, sdelat' ih menee opasnymi, esli ispol'zovat' sushchestvuyushchie i horosho izvestnye tehnologii i mery zashchity na urovne hostov. Brandmauer mozhet znachitel'no povysit' uroven' bezopasnosti seti organizacii i sohranit' v to zhe vremya dostup ko vsem resursam Internete. |ta glava daet obzor brandmauerov, kotoryj vklyuchaet v sebya opisanie togo, kak oni ustranyayut opasnost' uyazvimyh mest, opisannyh v glave 1, ot chego ne zashchishchayut brandmauery i komponenty, sostavlyayushchie brandmauer. |ta glava osoboe vnimanie obrashchaet na ispol'zovanie usilennoj autentifikacii i vazhnost' politiki bezopasnosti pri opredelenii togo, kak brandmauer budet realizovyvat' shemu zashchity.
Risunok 2.1 Primer brandmauera s marshrutizatorom i prikladnym shlyuzom
Navernoe, luchshe vsego nachat' s opisaniya togo, chto NE yavlyaetsya brandmauerom: brandmauer - eto ne prosto marshrutizator, host ili gruppa sistem, kotorye obespechivayut bezopasnost' v seti. Skoree, brandmauer - eto podhod k bezopasnosti; on pomogaet realizovat' politiku bezopasnosti, kotoraya opredelyaet razreshennye sluzhby i tipy dostupa k nim, i yavlyaetsya realizaciej etoj politiki v terminah setevoj konfiguracii, neskol'kih hostov i marshrutizatorov, i drugih mer zashchity, takih kak usilennaya autentifikaciya vmesto staticheskih parolej. Osnovnaya cel' sistemy brandmauera - upravlenie dostupom K ili IZ zashchishchaemoj seti. On realizuet politiku setevogo dostupa, zastavlyaya prohodit' vse soedineniya s set'yu cherez brandmauer, gde oni mogut byt' proanalizirovany i razresheny libo otvergnuty.
Sistema brandmauera mozhet byt' marshrutizatorom, personal'nym komp'yuterom, hostom, ili gruppoj hostov, sozdannoj special'no dlya zashchity seti ili podseti ot nepravil'nogo ispol'zovaniya protokolov i sluzhb hostami, nahodyashchimisya vne etoj podseti. Obychno sistema brandmauera sozdaetsya na osnove marshrutizatorov verhnego urovnya, obychno na teh, kotorye soedinyayut set' s Internetom, hotya mozhet byt' sozdana i na drugih marshrutizatorah, dlya zashchity tol'ko chasti hostov ili podsetej.
Osnvonoj prichinoj ispol'zovaniya brandmauerov yavlyaetsya tot fakt, chto bez brandmauera sistemy podseti podvergayutsya opasnosti ispol'zovaniya uyazvimyh mest sluzhb, takih NFS i NIS, ili skanirovaniya i atak so storony hostov v Internete. V srede bez brandmauera setevaya bezopasnost' celikom zavisit ot bezopasnosti hostov i vse hosty dolzhny v etom sluchae vzaimodejstvovat' dlya dostizheniya odinakovo vysokogo urovnya bezopasnosti. CHem bol'she podset', tem trudnee podderzhivat' vse hosty na odnom urovne bezopasnosti. Oshibki i upushcheniya v bezopasnosti stali rasprostranennymi, proniknoveniya proishodyat ne v rezul'tate hitroumnyh atak, a iz-za prostyh oshibok v konfigurirovanii i ugadyvaemyh parolej.
Podhod s ispol'zovaniem brandmauera imeet mnogochislennye preimushchestva dlya setej i pomogaet povysit' bezopasnost' hostov. Sleduyushchie razdely kratko opisyvayut vygody ispol'zovaniya brandmauera.
Brandmauer mozhet znachitel'no povysit' setevuyu bezopasnost' i umen'shit' riski dlya hostov v podseti putem fil'tracii nebezopasnyh po svoej prirode sluzhb. V rezul'tate podset' budet podvergat'sya gorazdo men'shemu chislu opasnostej, tak kak tol'ko cherez brandmauer smogut projti tol'ko bezopasnye protokoly.
Naprimer, brandmauer mozhet zapretit', chtoby takie uyazvimye sluzhby, kak NFS, ne ispol'zovalis' za predelami etoj podseti. |to pozvolyaet zashchitit'sya ot ispol'zovaniya etih sluzhb postoronnimi atakuyushchimi, no prodolzhat' ispol'zovat' ih vnutri seti, ne podvergayas' osoboj opasnosti. Poetomu mozhno budet spokojno ispol'zovat' takie udobnye sluzhby, kak NFS i NIS, special'no razrabotannye dlya umen'sheniya zatrat na administrirovanie v lokal'noj seti.
Brandmauery takzhe mogut obespechit' zashchitu ot atak s ispol'zovaniem marshrutizacii, takih kak marshrutizaciya istochnika i popytok izmenit' marshruty peredachi dannyh s pomoshch'yu komand perenapravleniya ICMP. Brandmauer mozhet zablokirovat' vse pakety s marshrutizaciej istochnika i perenapravlenya ICMP, a zatem informirovat' administratorov ob incidentah.
Brandmauer takzhe predostavlyaet vozmozhnosti po upravleniyu dostupom k hostam seti. Naprimer, nekotorye hosty mogut byt' sdelany dostizhimymi iz vneshnih setej, v to vremya kak dostup k drugim sistemam izvne budet zapreshchen. Set' mozhet zapretit' dostup k svoim hostam izvne, za isklyucheniem osobyh sluchaev, takih kak pochtovye servera ili informacionnye servera.
|ti svojstva brandmauerov trebuyutsya pri politike upravleniya dostupom, postroennoj po principu: ne predostavlyat' dostup k hostam ili sluzhbam, k kotorym dostup ne trebuetsya. Drugimi slovami, zachem davat' dostup k hostam i sluzhbam, kotorye mogut ispol'zovat'sya atakuyushchimi, kogda na samom dele on ne nuzhen ili ne trebuetsya? Esli, naprimer, pol'zovatelyu ne nuzhno, chtoby kto-to v seti mog poluchit' dostup k ego rabochej stancii, to brandmauer kak raz i mozhet realizovat' etot vid politiki.
Brandmauer mozhet na samom dele okazat'sya nedorogim dlya organizacii iz-za togo, chto bol'shinstvo ili vse izmeneniya v programmah i dopolnitel'nye programmy po bezopasnosti budut ustanovleny na sisteme brandmauera, a ne raspredeleny po bol'shomu chislu hostov. V chastnosti, sistemy odnorazovyh parolej i drugie dopolnitel'nye programmy usilennoj autentifikacii mogut byt' ustanovleny tol'ko na brandmauere, a ne na kazhdoj sisteme, kotoroj nuzhno obrashchat'sya k Internetu.
Drugie podhody k setevoj bezopasnosti, takie kak Kerberos[NIST94c] trebuyut modifikacii programm na kazhdoj sisteme v seti. Poetomu, hotya Kerberos i drugie tehnologii takzhe dolzhny rassmatrivat'sya iz-za ih preimushchestv i mogut okazat'sya naibolee podhodyashchimi, chem brandmauery v opredelennyh situaciyah, vse-taki brandmauery proshche v realizacii, tak kak special'nye programmy trebuyutsya tol'ko na brandmauere.
Konfidencial'nost' ochen' vazhna dlya nekotoryh organizacij, tak kak to, chto obychno schitaetsya bezobidnoj informaciej, mozhet na samom dele soderzhat' poleznye podskazki dlya atakuyushchego. Ispol'zuya brandmauer, nekotorye seti mogut zablokirovat' takie sluzhby, kak finger i domennuyu sluzhbu imen. finger daet informaciyu o pol'zovatelyah, takuyu kak vremya poslednego seansa, chitalas' li pochta, i drugie dannye. No finger mozhet dat' atakuyushchemu informaciyu o tom, kak chasto ispol'zuetsya sistema, rabotayut li sejchas v etoj sisteme pol'zovateli, i mozhet li byt' sistema atakovana, ne privlekaya pri etom vnimaniya.
Brandmauery takzhe mogut byt' ispol'zovany dlya blokirovaniya informacii DNS o sistemah seti, poetomu imena i IP-adresa hostov v seti ne stanut izvestny hostam v Internete. Nekotorye organizacii uzhe ubedilis' v tom, chto blokiruya etu informaciyu, oni skryvayut tu informaciyu, kotoraya byla by polezna dlya atakuyushchego.
Esli vse dostup k Internetu i iz Interneta osushchestvlyaetsya cherez brandmauer, to brandmauer mozhet protokolirovat' dostup i predostavit' statistiku ob ispol'zovanii seti. Pri pravil'no nastroennoj sisteme signalov o podozritel'nyh sobytiyah (alarm), brandmauer mozhet dat' detal'nuyu informaciyu o tom, byli li brandmauer ili set' atakovany ili zondirovany.
Vazhno sobirat' statistiku ispol'zovaniya seti i dokazatel'stva zondirovaniya po ryadu prichin. Prezhde vsego nuzhno znat' navernyaka, chto brandmauer ustojchiv k zondirovaniyu i atakam, i opredelit', adekvatny li mery zashchity brandmauera. Krome togo, statistika ispol'zovaniya seti vazhna v kachestve ishodnyh dannyh pri provedenii issledovanij dlya formulirovaniya trebovanij k setevomu oborudovaniyu i programmam i analize riska.
I nakonec, samoe vazhnoe - brandmauer predostavlyaet sredstva realizacii i pretvoreniya v zhizn' politiki setevogo dostupa. Fakticheski, brandmauer obespechivaet upravlenie dostupom dlya pol'zovatelej i sluzhb. Poetomu, politika setevogo dostupa mozhet byt' realizovana s pomoshch'yu brandmauera, v to vremya kak bez nego, takaya politika zavisit celikom ot dobroj voli pol'zovatelej. Organizaciya mozhet zaviset' ot svoih pol'zovatelej, no ne dolzhna zaviset' ot dobroj voli vseh pol'zovatelej Interneta.
Pomimo opisannyh vyshe preimushchestv ispol'zovaniya brandmauerov, imeet mesto ryad nedostatkov pri ih ispol'zovanii i ryad problem, ot kotoryh brandmauery ne mogut zashchitit'. Brandmauer ne yavlyaetsya panaceej ot vseh problem bezopasnosti, svyazannyh s Internetom.
Samym ochevidnym nedostatkom brandmauera yavlyaetsya to, chto on mozhet blokirovat' ryad sluzhb, kotorye ispol'zuyut pol'zovateli, takie kak TELNET, FTP, X Windows, NFS i dr. Tem ne menee, eti nedostatki ne prisushchi tol'ko brandmaueram; setevoj dostup takzhe mozhet ogranichivat'sya pri zashchite na urovne hostov v sootvetstvii s politikoj bezopasnosti. Horosho produmannaya politika bezopasnosti, v kotoroj najden balans mezhdu trebovaniyami bezopasnosti i potrebnostyami pol'zovatelej, mozhet sil'no pomoch' pri reshenii problem iz-za ogranichenij v dostupe k sluzhbam.
Nekotorye seti mogut imet' topologiyu, kotoraya ne pozvolyaet primenit' brandmauer, ili ispol'zovat' sluzhby, takie kak NFS, takim obrazom, chto ispol'zovanie brandmauera potrebuet ser'eznyh ogranichenij pri rabote v seti. Naprimer, v seti mozhet trebovat'sya ispol'zovanie NFS i NIS cherez osnovnye marshrutizatory. V takoj situacii stoimost' ustanovki brandmauera nuzhno sravnit' s ushcherbom, kotoryj poneset organizaciya ot ataki, ispol'zuyushchej uyazvimye mesta, zashchishchaemye brandmauerom, to est' provesti analiz riska, a zatem prinyat' reshenie na osnovanii ego rezul'tatov. Mogut okazat'sya bolee umestnymi drugie resheniya, takie kak Kerberos, no eti resheniya takzhe imeyut svoi nedostatki. [NIST94c] soderzhit dopolnitel'nuyu informaciyu o Kerberos i drugih potencial'nyh resheniyah.
Vo-vtoryh, brandmauery ne zashchishchayut ot chernyh vhodov(lyukov) v seti. Naprimer, esli mozhno osushchestvit' neogranichennyj dostup po modemu v set', zashchishchennuyu brandmauerom, atakuyushchie mogut effektivno obojti brandmauer[ Iiaf91] . Sejchas skorosti modemov dostatochny dlya togo, chtoby sdelat' vozmozhnym ispol'zovanie SLIP(Serial Line IP) i PPP(Point-to-Point Protocol); SLIP ili PPP-soedinenie vnutri zashchishchennoj seti po suti yavlyaetsya eshche odnim soedineniem s set'yu i potencial'nym uyazvimym mestom. Zachem nuzhen brandmauer, esli razreshen neogranichennyj dostup po modemu?
Brandmauery obychno ne obespechivayut zashchity ot vnutrennih ugroz. Hotya brandmauer mozhet zashchishchat' ot polucheniya postoronnimi licami kriticheskih dannyh, on ne zashchishchaet ot kopirovaniya svoimi sotrudnikami dannyh na lentu ili disketu i vynosa ee za predely seti. Poetomu, bylo by oshibkoj dumat', chto nalichie brandmauera zashchishchaet ot atak iznutri ili atak, dlya zashchity ot kotoryh nuzhen ne brandmauer. Navernoe, ne stoit vkladyvat' znachitel'nye resursy v brandmauer, esli est' drugie sposoby ukrast' dannye.
S brandmauerom takzhe svyazan ryad drugih problem:
Nesmotrya na eti nedostatki NIST rekomenduet, chtoby organizacii zashchishchali svoi resursy s pomoshch'yu brandmauerov i drugih sredstv bezopasnosti.
Osnovnymi komponentami brandmauera yavlyayutsya:
Sleduyushchie razdely opisyvayut bolee detal'no kazhduyu iz etih komponent.
Imeetsya dva vida politiki setevogo dostupa, kotorye vliyayut na proektirovanie, ustanovku i ispol'zovanie sistemy brandmauera. Politika verhnego urovnya yavlyaetsya problemnoj konceptual'noj politikoj, kotoraya opredelyaet, dostup k kakim servisam budet razreshen ili yavno zapreshchen iz zashchishchaemoj seti, kak eti servisy budut ispol'zovat'sya, i pri kakih usloviyah budet delat'sya isklyuchenie i politika ne budet soblyudat'sya. Politika nizhnego urovnya opisyvaet, kak brandmauer dolzhen na samom dele ogranichivat' dostup i fil'trovat' servisy, kotorye ukazany v politike verhnego urovnya. Sleduyushchie razdely kratko opisyvayut eti politiki.
Politika dostupa k servisam dolzhna fokusirovat'sya na problemah ispol'zovaniya Interneta, opisannyh vyshe, i, sudya po vsemu, na vsem dostupe k seti izvne( to est' politika dostupa po modemam, soedinenij SLIP i PPP). |ta politika dolzhna byt' utochneniem obshchej politiki organizacii v otnoshenii zashchity informacionnyh resursov v organizacii. CHtoby brandmauer uspeshno zashchishchal ih, politika dostupa k servisam dolzhna byt' realistichnoj i soglasovyvat'sya s zainteresovannymi licami pered ustanovkoj brandmauera. Realisticheskaya politika - eto takaya politika, v kotoroj najden balans mezhdu zashchitoj seti ot izvestnyh riskov, no v to zhe vremya obespechen dostup pol'zovatelej k setevym resursam. Esli sistema brandmauera zapreshchaet ili ogranichivaet ispol'zovanie nekotoryh servisov, to v politike dolzhna byt' yavno opisana strogost', s kotoroj eto delaetsya, chtoby predotvratit' izmenenie parametrov sredstv upravleniya dostupom siyuminutnym obrazom. Tol'ko podderzhivaemaya rukovodstvom realisticheskaya politika mozhet obespechit' eto.
Brandmauer mozhet realizovyvat' ryad politik dostupa k servisam, no tipichnaya politika mozhet zapreshchat' dostup k seti iz Interneta, i razreshat' tol'ko dostup k Internetu iz seti. Drugoj tipichnoj politikoj mozhet byt' razreshenie nekotorogo dostupa iz Interneta, no tol'ko k izbrannym sistemam, takim kak informacionnye servera i pochtovye servera. Brandmauery chasto realizuyut politik dostupa k servisam, kotorye pozvolyayut pol'zovatelyam seti rabotat' iz Interneta s nekotorymi izbrannymi hostami, no etot dostup predostavlyaetsya, tol'ko esli on sochetaetsya s usilennoj autentifikaciej.
Ona specifichna dlya konkretnogo brandmauera. Ona opredelyaet pravila, ispol'zuemye dlya realizacii politiki dostupa k servisam. Nel'zya razrabatyvat' etu politiku, ne ponimaya takie voprosy, kak vozmozhnosti i ogranicheniya brandmauera, i ugrozy i uzyavimye mesta, svyazannye s TCP/IP. Kak pravilo, realizuetsya odna iz dvuh bazovyh politik proekta:
Brandmauer, kotoryj realizuet pervuyu politiku, propuskaet vse servisy v set' po umolchaniyu, nsli tol'ko etot servis ne byl yavno ukazan v politike upravleniya dostupom kak zapreshchennyj. Brandmauer, kotoryj realizuet vtoruyu politiku, po umolchaniyu zapreshchaet vse servisy, no propuskaet te, kotorye ukazany v spiske razreshennyh servisov. Vtoraya politika sleduet klassicheskoj modeli dostupa, ispol'zuemoj vo vseh oblastyah informacionnoj bezopasnosti.
Pervaya politika menee zhelatel'na, tak kak ona predostavlyaet bol'she sposobov obojti brandmauer, naprimer, pol'zovateli mogut poluchit' dostup k novym servisam, ne zapreshchaemym politikoj( ili dazhe ne ukazannyh v politike), ili zapustit' zapreshchennye servisy na nestandartnyh portah TCP/UDP, kotorye ne zapreshcheny politikoj. Opredelennye servisy, takie kak X Windows , FTP, ARCHIE i RPC, slozhno fil'trovat' [Chap92],[Ches94], i dlya nih luchshe podhodit brandmauer, realizuyushchij pervuyu politiku. Vtoraya politika strozhe i bezopasnee, no ee tyazhelee realizovat' i ona mozhet povliyat' na rabotu pol'zovatelej v tom otnoshenii, chto ryad servisov, takie, kak opisannye vyshe, mogut okazat'sya blokirovannymi ili ispol'zovanie ih budet ogranicheno.
Vzaimosvyaz' mezhdu konceptual'noj politikoj dostupa k servisam i sootvetstvuyushchej ej vtoroj chast'yu opisana vyshe. |ta vzaimosvyaz' sushchestvuet iz-za togo, chto realizaciya politiki dostupa k servisam sil'no zavisit ot vozmozhnostej i ogranichenij sistemy brandmauera, a takzhe uyazvimyh mest, imeyushchihsya v razreshennyh internetovskih servisah. Naprimer, mozhet okazat'sya neobhodimym zapretit' servisy, razreshennye politikoj dostupa k servisam, esli uyazvimye mesta v nih ne mogut effektivno kontrolirovat'sya politikoj nizhnego urovnya i, esli bezopasnost' seti vazhnee vsego. S drugoj storony, organizaciya, kotoraya sil'no zavisit ot etih servisov pri reshenii svoih zadach, mozhet prinyat' eto bolee vysokij risk i razreshit' dostup k etim servisam. |ta vzaimosvyaz' privodit k tomu, chto formulirovanie oboih politik stanovitsya iterativnym processom.
Politika dostupa k servisam - samyj vazhnyj komponent iz chetyreh, opisannyh vyshe. Ostal'nye tri komponenta ispol'zuyutsya dlya realizacii politiki. ( I, kak otmechalos' vyshe, politika dostupa k servisam dolzhna otrazhat' obshchuyu politiku bezopasnosti organizacii). |ffektivnost' sistemy brandmauera pri zashchite seti zavisit ot tipa ispol'zuemoj realizacii ego, ot pravil'nosti procedur raboty s nim, i ot politiki dostupa k servisam.
Razdely 1.3, 1.3.1 i 1.3.2 opisyvali incidenty v Internete, proizoshedshie otchasti iz-za uyazvimosti tradicionnyh parolej. Uzhe mnogo let pol'zovatelyam rekomenduetsya vybirat' takie paroli, kotorye bylo by tyazhelo ugadat' i ne soobshchat' ih nikomu. Tem ne menee, dazhe esli pol'zovatel' sleduet etomu sovetu( a mnogie i etogo ne delayut), to tot fakt, chto zloumyshlenniki mogut nablyudat' za kanalami v Internete i perehvatyvat' peredayushchiesya v nih paroli, delaet tradicionnye paroli ustarevshimi.
Razrabotan ryad mer usilennoj autentifikacii, takih kak smart-karty, biometricheskie mehanizmy, i programmnye mehanizmy, dlya zashchity ot uyazvimosti obychnyh parolej. Hotya oni i otlichayutsya drug ot druga, vse oni odinakovy v tom otnoshenii, chto paroli, generiruemye ustrojstvom usilennoj autentifikacii, ne mogut byt' povtorno ispol'zovany atakuyushchim, kotoryj perehvatyvaet traffik soedineniya. Tak kak problema s parolyami v Internete yavlyaetsya postoyannoj, brandmauer dlya soedineniya s Internetom, kotoryj ne imeet sredstv usilennoj autentifikacii ili ne ispol'zuet ih, bessmyslenen.
Ryad naibolee populyarnyh ustrojstv usilennoj autentifikacii,
ispol'zuemyh segodnya, nazyvayutsya sistemami s odnorazovymi parolyami.
Smart-karta, naprimer, generiruet otvet, kotoryj host ispol'zuet vmesto
tradicionnogo parolya. Tak kak smart-karta rabotaet sovmestno s programmoj
ili oborudovaniem na hoste, generiruemye otvety unikal'ny dlya kazhdogo ustanovleniya
seansa. Rezul'tatom yavlyaetsya odnorazovyj parol', kotoryj, esli perehvatyvaetsya,
ne mozhet byt' ispol'zovan zloumyshlennikom dlya ustanovleniya seansa s hostom
pod vidom pol'zovatelya. [NIST94a] i [NIST91a] bolee detal'no opisyvayut
ustrojstva usilennoj autentifikacii i sredstva zashchity na ih osnove.
Risunok 2.2 Ispol'zovanie usilennoj autentifikacii v brandmauere dlya predvaritel'noj autentifikacii trafika TELNET, FTP
Tak kak brandmauery mogut centralizovat' upravlenie dostupom v seti, oni yavlyayutsya logichnym mestom dlya ustanovki programm ili ustrojstv usilennoj autentifikacii. Hotya mery usilennoj autentifikacii mogut ispol'zovat'sya na kazhdom hoste, bolee praktichnym yavlyaetsya ih razmeshchenie na brandmauere. Risunok 2.2 pokazyvaet, chto v seti bez brandmauera, ispol'zuyushchego mery usilennoj autentifikacii, neautentificirovannyj traffik takih prilozhenij kak TELNET ili FTP, mozhet napryamuyu prohodit' k sistemam v seti. Esli hosty ne ispol'zuyut mer usilennoj autentifikacii, zloumyshlennik mozhet popytat'sya vzlomat' paroli ili perehvatyvat' setevoj trafik s cel'yu najti v nem seansy, v hode kotoryh peredayutsya paroli. Risunok 2.2 takzhe pokazyvaet set' s brandmauerom, ispol'zuyushchim usilennuyu autentifikaciyu, pri kotoroj seansy TELNET ili FTP, ustanavlivaemye so storony Interneta s sistemami seti, dolzhny prohodit' proverku s pomoshch'yu usilennoj autentifikacii pered nachalom raboty. Sami sistemy seti mogut prodolzhat' trebovat' staticheskie paroli pered dostupom k sebe, no eti paroli nel'zya budet ispol'zovat', dazhe esli ih perehvatit', tak kak mery usilennoj autentifikacii i drugie komponenty brandmauera ne pozvolyat zloumyshlenniku proniknut' ili obojti brandmauer.
CHasti 2.4.4 i 3 soderzhat dopolnitel'nuyu informaciyu ob
ispol'zovanii mer usilennoj autentifikacii s brandmauerami. Smotri [NIST94b]
dlya polucheniya bolee podrobnoj informacii ob ispol'zovanii mer usilennoj
autentifikacii na hostah.
Fil'traciya IP-paketov obychno vypolnyaetsya s pomoshch'yu marshrutizatora s fil'traciej paketov, osushchestvlyayushchego ee, kogda pakety peredayutsya mezhdu interfejsami marshrutizatora. Fil'truyushchij marshrutizator obychno mozhet fil'trovat' IP-pakety na osnove gruppy polej iz sleduyushchih polej paketa:
Ne vse fil'truyushchie marshrutizatory sejchas fil'truyut po TCP/UDP-portu otpravitelya, no mnogie proizvoditeli nachali vklyuchat' takuyu vozmozhnost'. Nekotorye marshrutizatory proveryayut, s kakogo setevogo interfejsa marshrutizatora prishel paket, i zatem ispol'zuyut etu informaciyu kak dopolnitel'nyj kriterij fil'tracii. Nekotorye versii Unix imeyut vozmozhnost' fil'tracii paketov, no daleko ne vse.
Fil'traciya mozhet byt' ispol'zovana razlichnym obrazom dlya blokirovaniya soedinenij ot ili k otdel'nym hostam ili setyam, i dlya blokirovaniya soedinenij k razlichnym portam. Organizacii mozhet ponadobit'sya blokirovat' soedineniya ot specificheskih adresov, takih kak hosty ili seti, kotorye schitayutsya vrazhdebnymi ili nenadezhnymi. Ili zhe organizaciya mozhet zahotet' blokirovat' soedineniya ot vseh adresov, vneshnih po otnosheniyu k organizacii( s nebol'shimi isklyucheniyami, takimi kak SMTP dlya polucheniya pochty).
Dobavlenie fil'tracii po portam TCP i UDP k fil'tracii po IP-adresam daet bol'shuyu gibkost'. Napomnim glavu 1, v kotoroj govorilos', chto servera, takie kak demon TELNET, svyazany obychno s konkretnymi portami, takimi kak port 23 dlya TELNET. Esli brandmauer mozhet blokirovat' soedineniya TCP ili UDP k ili ot opredelennyh portov, to mozhno realizovat' politiku, pri kotoroj opredelennye vidy soedinenij mogut byt' osushchestvleny tol'ko s konkretnymi hostami, no ne s drugimi. Naprimer, organizaciya mozhet zahotet' blokirovat' vse vhodyashchie soedineniya dlya vseh hostov, krome neskol'kih sistem, vhodyashchih v sostav brandmauera. Dlya etih sistem mogut byt' razresheny tol'ko opredelennye servisy, takie kak SMTP dlya odnoj sistemy, i TELNET ili FTP dlya drugoj. Pri fil'tracii po portam TCP i UDP eta politika mozhet byt' legko realizovana marshrutizatorom s fil'traciej paketov ili hostom s vozmozhnost'yu fil'tracii paketov.
Risunok 2.3 Primer fil'tracii paketov dlya TELNET i SMTP
Dlya primera rassmotrim politiku, v kotoroj razreshayutsya tol'ko opredelennye soedineniya s set'yu s adresom 123.4.*.* Soedineniya TELNET razreshayutsya tol'ko s odnim hostom, 123.4.5.6, kotoryj mozhet byt' prikladnym TELNET-shlyuzom seti, a SMTP-soedineniya razreshayutsya tol'ko s dvumya hostami, 123.4.5.7 i 123.4.5.8, kotorye mogut byt' dvumya pochtovymi shlyuzami seti. NNTP(Network News Transfer Protocol) razreshaetsya tol'ko ot vzaimodejstvuyushchego s set'yu servera novostej, 129.6.48.254, i tol'ko s NNTP-serverom seti, 123.4.5.9, a protokol NTP(setevogo vremeni) razreshen dlya vseh hostov. Vse drugie servisy i pakety blokiruyutsya. Primer nabora pravil priveden nizhe:
Tip | Adres otpravitelya | Adres poluchatelya | Port istochnika | Port poluchatelya | Dejstvie |
tcp |
* |
123.4.5.6 |
>1023 |
23 |
razreshit' |
tcp |
* |
123.4.5.7 |
>1023 |
25 |
razreshit' |
tcp |
* |
123.4.5.8 |
>1023 |
25 |
razreshit' |
tcp |
129.6.48.254 |
123.4.5.9 |
>1023 |
119 |
razreshit' |
udp |
* |
123.4.*.* |
>1023 |
123 |
razreshit' |
* |
* |
* |
* |
* |
zapretit' |
Pervoe pravilo pozvolyaet propuskat' pakety TCP iz Interneta ot lyubogo istochnika, imeyushchie port otpravitelya bol'she chem 1023, k adresu 123.4.5.6, esli soedinenie ustanavlivaetsya s portom 23. Port 23 - eto port, svyazannyj s serverom TELNETa, a vse klienty TELNETa dolzhny ispol'zovat' neprivilegirovannye porty bol'she, chem 1024. Vtoroe i tret'e pravilo rabotayut analogichno, krome togo, chto razreshayutsya adresa naznacheniya 123.4.5.7 i 123.4.5.8 i port 25 - SMTP. CHetvertoe pravilo propuskaet pakety k NNTP-serveru seti, no tol'ko ot adresa 129.6.48.254 k adresu 123.4.5.9 s portom naznacheniya 119( 129.6.48.254 - edinstvennyj NNTP-server, ot kotorogo set' poluchaet novosti, poetomu dostup k seti v otnoshenii NNTP ogranichen tol'ko etoj sistemoj). Pyatoe pravilo razreshaet traffik NTP, kotoryj ispol'zuet UDP, a ne TCP, ot lyubogo istochnika k lyuboj sisteme v seti. Nakonec, shestoe pravilo blokiruet vse ostal'nye pakety - esli etogo pravila ne bylo by, marshrutizator mog blokirovat', a mog i ne blokirovat' drugie tiy paketov. |to ochen' prostoj primer fil'tracii paketov. Nastoyashchie pravila pozvolyayut osushchestvit' bolee slozhnuyu fil'traciyu i yavlyayutsya bolee gibkimi.
Reshenie o tom, kakie protokoly ili gruppy portov fil'trovat', zavisit ot politiki setevogo dostupa, to est' ot togo, kakie sistemy dolzhny imet' dostup k Internetu i kakie tipy dostupa razresheny. Opisannye nizhe servisy potencial'no uyazvimy k atakam i obychno blokiruyutsya na brandmauere pri vhode v set' ili vyhode iz nee[Chap92],[Garf92].