Многие организации присоединили или хотят присоединить свои локальные сети к Интернету, чтобы их пользователи имели легкий доступ к сервисам Интернета. Так как Интернет в целом не является безопасным, машины в этих ЛВС уязвимы к неавторизованному использованию и внешним атакам. Брандмауэр - это средство защиты, которое можно использовать для управления доступом между надежной сетью и менее надежной. Брандмауэр - это не одна компнента, а стратегия защиты ресурсов организации, доступных из Интернета. Брандмауэр выполняет роль стражи между небезопасным Интернетом и более надежными внутренними сетями.
Основная функция брандмауэра - централизация управления доступом. Если удаленные пользователи могут получить доступ к внутренним сетям в обход брандмауэра, его эффективность близка к нулю. Например, если менеджер, находящийся в командировке, имеет модем, присоединенный к его ПЭВМ в офисе, то он может дозвониться до своего компьютера из командировки, а так как эта ПЭВМ также находится во внутренней защищенной сети, то атакующий, имеющий возможность установить коммутируемое соединение с этой ПЭВМ, может обойти защиту брандмауэра. Если пользователь имеет подключение к Интернету у какого-нибудь провайдера Интернета, и часто соединяется с Интернетом со своей рабочей машины с помощью модема, то он или она устанавливают небезопасное соединение с Интернетом, в обход защиты брандмауэра.
Брандмауэры часто могут быть использованы для защиты сегментов интранета организации, но этот документ в-основном будет описывать проблемы, связанные с Интернетом. Более подробная информация о брандмауэрах содержится в "NIST Special Publication 800-10"Keeping Your Site Comfortably Secure: An Introduction to Internet Firewalls.""
Брандмауэры обеспечивают несколько типов защиты:
Каждая из этих функций будет описана далее.
Как и для любого средства защиты, нужны определенные компромиссы между удобством работы и безопасностью. Прозрачность - это видимость брандмауэра как внутренним пользователям, так и внешним, осуществляющим взаимодействие через брандмауэр. Брандмауэр прозрачен для пользователей, если он не мешает им получить доступ к сети. Обычно брандмауэры конфигурируются так, чтобы быть прозрачными для внутренних пользователей сети (посылающим пакеты наружу за брандмауэр); и с другой стороны брандмауэр конфигурируется так, чтобы быть непрозрачным для внешних пользователей, пытающихся получить доступ к внутренней сети извне. Это обычно обеспечивает высокий уровень безопасности и не мешает внутренним пользователям.
Брандмауэры на основе маршрутизаторов не обеспечивают аутентификации пользователей. Брандмауэры, в состав которых входят прокси-сервера, обеспечивают следующие типы аутентификации:
Имя/пароль
Это самый плохой вариант, так как эта информация может быть перехвачена в сети или получена путем подглядывания за ее вводом из-за спины и еще тысячей других способов
Одноразовые пароли
Они используют программы или специальные устройства для генерации нового пароля для каждого сеанса. Это означает, что старые пароли не могут быть повторно использованы, если они были перехвачены в сети или украдены другим способом.
Электронные сертификаты
Они используют шифрование с открытыми ключами
В хорошей политике должно быть написано, может ли брандмауэр маршрутизировать пакеты или они должны передаваться прокси-серверам. Тривиальным случаем брандмауэра является маршрутизатор, который может выступать в роли устройства для фильтрации пакетов. Все, что он может - только маршрутизировать пакеты. А прикладные шлюзы наоборот не могут быть сконфигурированы для маршрутизации трафика между внутренним и внешним интерфейсами брандмауэра, так как это может привести к обходу средств защиты. Все соединения между внешними и внутренними хостами должны проходить через прикладные шлюзы (прокси-сервера).
Это механизм маршрутизации, посредством которого путь к машине-получателю пакета определяется отправителем, а не промежуточными маршрутизаторами. Маршрутизация источника в основном используется для устранения проблем в сетях, но также может быть использована для атаки на хост. Если атакующий знает, что ваш хост доверяет какому-нибудь другому хосту, то маршрутизация источника может быть использована для создания впечатления, что пакеты атакующего приходят от доверенного хоста. Поэтому из-за такой угрозы безопасности маршрутизаторы с фильтрацией пакетов обычно конфигурируются так, чтобы отвергать пакеты с опцией маршрутизации источника. Поэтому сайт, желающий избежать проблем с маршрутизацией источника, обычно разрабатывает политику, в которой их маршрутизация запрещена.
Это имеет место, когда атакующий маскирует свою машину под хост в сети объекта атаки (то есть пытается заставить цель атаки думать, что пакеты приходят от доверенной машины во внутренней сети). Политика в отношении маршрутизации пакетов должна быть четкой, чтобы можно было корректно построить обработку пакетов, если есть проблемы с безопасностью. Необходимо объединить аутентификацию на основе адреса отправителя с другими способами, чтобы защитить вашу сеть от атак подобного рода.
Существует несколько различных реализаций брандмауэров, которые могут быть созданы разными путями. В таблице 6.1 кратко характеризуются несколько архитектур брандмауэров и их применимость к средам с низким, средним и высоким рискам.
Брандмауэры с фильтрацией пакетов используют маршрутизаторы с правилами фильтрации пакетов для предоставления или запрещения доступа на основе адреса отправителя, адреса получателя и порта. Они обеспечивают минимальную безопасность за низкую цену, и это может оказаться приемлемым для среды с низким риском. Они являются быстрыми, гибкими и прозрачными. Правила фильтрации часто нелегко администрировать, но имеется ряд средств для упрощения задачи создания и поддержания правил.
Шлюзы с фильтрацией имеют свои недостатки, включая следующие:
Прикладной шлюз использует программы (называемые прокси-серверами), запускаемые на брандмауэре. Эти прокси-сервера принимают запросы извне, анализируют их и передают безопасные запросы внутренним хостам, которые предоставляют соответствующие сервисы. Прикладные шлюзы могут обеспечивать такие функции, как аутентификация пользователей и протоколирование их действий.
Так как прикладной шлюз считается самой безопасным типом брандмауэра, эта конфигурация имеет ряд преимущество с точки зрения сайта со средним уровнем риска:
Брандмауэры прикладного уровня должны конфигурироваться так, чтобы весь выходящий трафик казался исходящим от брандмауэра (то есть чтобы только брандмауэр был виден внешним сетям). Таким образом будет запрещен прямой доступ ко внутренним сетям. Все входящие запросы различных сетевых сервисов, таких как Telnet, FTP, HTTP, RLOGIN, и т.д., независимо от того, какой внутренний хост запрашивается, должны проходить через соответствующий прокси-сервер еа брандмауэре.
Прикладные шлюзы требуют прокси-сервера для каждого сервиса, такого как FTP, HTTP и т.д., поддерживаемого брандмауэром. Когда требуемый сервис не поддерживается прокси, у организации имеется три варианта действий:
Низкий риск
Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.
Средний-высокий
Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.
Гибридные шлюзы объединяют в себе два описанных выше типа брандмауэра и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким риском, гибридные шлюзы могут оказаться идеальной реализацией брандмауэра.
Ниже приводятся рейтинги различных типов брандмауэров.
4 | рекомендованный вариант |
3 | эффективный вариант |
2 | Допустимый вариант |
1 | Минимальная безопасность |
0 | Неприемлемо |
Table 6.1. Риски безопасности брандмауэра
Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Следующие разделы описывают типичные архитектуры брандмауэра и приводят примеры политик безопасности для них.
Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.
Брандмауэр на основе хоста, подключенного к двум сегментам сети - это брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая - с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную - брандмауэр всегда должен быть при этом промежуточным звеном.
Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.
Примечание переводчика. Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к Интернету. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw).
При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.
Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.
Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.
Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.
Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации.
Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром.
Должны быть назначены два администратора брандмауэра (основной и заместитель) ответственным за информационную безопасность (или кем-либо из руководства) и они должны отвечать за работоспособность брандмауэра. Основной администратора должен производить изменения в конфигурации брандмауэра, а его заместитель должен производить любые действия только в отсутствие основного, чтобы не возникало противоречивых установок.
Каждый администратор брандмауэра должен сообщить свой домашний телефонный номер, номер пейджера, сотового телефона или другую информацию, необходимую для того, чтобы связаться с ним в любое время.
Обычно рекомендуется иметь двух опытных человек для ежедневного администрирования брандмауэра. При такой организации администрирования брандмауэр будет работать практически без сбоев. Информация о каждом администраторе должна быть обязательно в письменном виде, чтобы быстро связаться с ними при возникновении проблем.
Безопасность сайта важна для повседневной деятельности организации. Поэтому требуется, чтобы администратор брандмауэра по-настоящему понимал принципы сетевых технологий и их реализации. Например, так как большинство брандмауэров сделано для работы с TCP/IP, необходимо серьезное понимание всех особенностей этого протокола. Более подробно о знаниях и навыках, необходимых для технических специалистов, смотрите в разделе "Администрирование ЛВС".
Человек, назначенный администратором брандмауэра, должен иметь большой опыт работы с сетевыми технологиями, чтобы брандмауэр был правильно сконфигурирован и корректно администрировался. Администратор брандмауэра должен периодически посещать курсы по брандмауэрам и теории и практике сетевой безопасности или другим способом поддерживать высокий профессиональный уровень.
Брандмауэры - первая линия обороны, видимая для атакующего. Так как брандмауэры в общем случае тяжело атаковать напрямую из-за их назначения, атакующие часто пытаются получить логин администратора на брандмауэре. Имена и пароли административных логинов должны быть серьезно защищены.
Наилучшим методом защиты от такой формы атаки является серьезная физическая безопасность самого брандмауэра и администрирование брандмауэра только с локального терминала. Но в повседневной жизни часто требуется некоторая форма удаленного доступа для выполнения некоторых операций по администрированию брандмауэра. В любом случае удаленный доступ к брандмауэру по небезопасным сетям должен осуществляться с использованием усиленной аутентификации. Кроме того, для предотвращения перехвата сеансов должно использоваться сквозное шифрование всего трафика удаленного соединения с брандмауэром.
Низкий риск
Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты.
Средний риск
Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.
Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как Интернет, требует использования сквозного шифрования всего трафика соединения и усиленной аутентификации.
Высокий риск
Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий.
Брандмауэры никогда не должны использоваться как сервера общего назначения. Единственными зарегистрированными пользователями на брандмауэре могут быть только администратор брандмауэра и администратор архивных копий. Кроме того, только эти администраторы должны иметь привилегии для модификации загрузочных модулей программ на нем.
Только администратор брандмауэра и администраторы архивных копий должны иметь логины на брандмауэре организации. Любая модификация системных программ на брандмауэре должна осуществляться администратором или администратором архивных копий с разрешения ответственного за сетевые сервисы (или начальника отдела автоматизации).
Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также системных файлов конфигурации должен иметься некоторый план создания архивных копий.
Для брандмауэра (его системных программ, конфигурационных файлов, баз данных и т.д.) должны создаваться ежедневные, еженедельные и ежемесячные архивные копии, чтобы в случае сбоя можно было восстановить данные и файлы конфигурации. Архивные копии должны храниться в безопасном месте на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам.
Другой альтернативой будет иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен и использован вместо него, пока основной брандмауэр восстанавливается.
По крайней мере один брандмауэр должен быть сконфигурирован и держаться в холодном резерве, чтобы в случае сбоя брандмауэра, он мог быть включен вместо него для защиты сети.
Коммерческие сети часто требуют взаимодействия с другими коммерческими сетями. Такие соединения могут осуществляться по выделенным линиям, частным глобальным сетям, или общественным глобальным сетям, таким как Интернет. Например, многие правительства штатов используют выделенные линии для соединения с региональными офисами в штате. Многие компании используют коммерческие глобальные сети для связи своих офисов в стране.
Участвующие в передаче данных сегменты сетей могут находиться под управлением различных организаций, у которых могут быть различные политики безопасности. По своей природе сети таковы, что общая сетевая безопасность равна безопасности наименее безопасного участка сети. Когда сети объединяются, должны быть определены взаимосвязи по доверию во избежание уменьшения безопасности всех других сетей.
Надежные сети определяются как сети, у которых имеется одинаковая политика безопасности или в которых используются такие программно-аппаратные средства безопасности и организационные меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети.
Высокий риск
Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации.
Средний риск - низкий риск
Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации.
Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны.
Системные журналы соединений с внешними сетями должны просматриваться еженедельно. Все логины, использующие такие соединения, которые больше не используются в течение месяца, должны быть отключены. Ответственный за сетевые сервисы должен опрашивать начальников отделов каждый квартал на предмет необходимости таких соединений. Если соединение с той или иной сетью больше не нужно, и ответственный за сетевые сервисы извещен об этом, все логины и параметры, связанные с этим соединением, должны быть удалены в течение одного рабочего дня.
Виртуальные частные сети позволяют надежной сети взаимодействовать с другой надежной сетью по небезопасной сети, такой как Интернет. Так как некоторые брандмауэры имеют возможности создания VPN, необходимо определить политику для создания VPN.
Любое соединение между брандмауэрами по общественным глобальным сетям должно использовать механизм шифрованных виртуальных частных сетей для обеспечения конфиденциальности и целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Также должны быть созданы соответствующие средства распределения и администрирования ключей шифрования перед началом эксплуатации VPN. VPN на основе брандмауэров могут быть созданы в виде нескольких различных конфигураций. Глава 5 содержит информацию о различных уровнях доверия и приводит образцы политик безопасности для VPN.
В Интернете доменная служба имен обеспечивает средства для отображения между доменными именами и IP-адресами, например отображает имя server1.acme.com в адрес 123.45.67.8. Некоторые брандмауэры могут быть сконфигурированы так, что будут являться еще и основным, вторичным или кэширующим DNS-серверами.
Принятие решения относительно администрирования DNS-сервиса вообще-то не относится к области безопасности. Многие организации используют услуги третьей организации, такой как провайдер Интернета, для администрирования своей DNS. В этом случае брандмауэр может быть использован как кэширующий сервер DNS для улучшения производительности, при этом вашей организации не надо будет самой поддерживать базу данных DNS.
Если организация решила иметь свою базу данных DNS, брандмауэр может функционировать еще и как DNS-сервер. Если брандмауэр должен быть сконфигурирован как DNS-сервер (основной, вторичный, кэширующий), необходимо, чтобы также были предприняты другие меры безопасности. Одним из преимуществ использования брандмауэра еще и как DNS-сервера является то, что он может быть сконфигурирован так, что будет скрывать информацию о внутренних хостах сайта. Другими словами, когда брандмауэр выступает в роли DNS-сервера, внутренние хосты получают полную информацию о внутренних и внешних данных DNS. А внешние хосты, с другой стороны, не имеют доступа к информации о внутренних машинах. Для внешнего мира все соединения с любым хостом внутренней сети кажутся исходящими от брандмауэра. Если информация о хостах скрыта от доступа извне, атакующий не будет знать имен хостов и внутренних адресов, предоставляющих те или иные сервисы Интернету.
Политика безопасности для скрытия DNS-информации может иметь следующий вид:
Если брандмауэр должен работать как DNS-сервер, то он должен быть сконфигурирован так, чтобы скрывать информацию о сети, чтобы данные о внутренних хостах не предоставлялись внешнему миру.