Садердинов А.А. Информационная безопасность предприятия
Подождите немного. Документ загружается.
1750, и серии 2600. Основные преимущества их заключа ются в
гибком, мультисервисном доступе, защите инвестиций.
Для подключения сети предприятия к Internet можно ис-
пользовать все существующие серии маршрутизаторов Cisco.
8.13. Защита внутренних информационных ресурсов
корпоративной сети [^]
Вну тренние корпоративные серверы компании, как прави ло,
представляю т собой приложения под управлением операционной
системы Windows NT/2000, Netware или семейства UNIX. По этой
причине корпоративные серверы становятся потенциально уязви-
мыми для различного рода атак. Так, на пример, широко распро-
страненные серверы под управлением ОС Windows NT/ 2000 нахо-
дя тся выше стека про токолов сервера
рис 9 Комплексное решение на базе маршрутизаторов Cisco серии 1700 и 2600
NT. Между тем, данная ОС не проводит мониторинг и реги страцию
событий в сети, не выявляет подозрительную активность в ней и не
блокирует множество вхо дящих и исхо дящих соединений.
Недостаток функций контроля доступа и обнаружения вто р-
жений делают ОС корпоративных серверов, а соответственно и их
приложения, уяхвимыми для различного рода атак, например, для
DoS»aTaK (Ping Flood, SYN Flood, IP Packet Fragmentation, TCP and
UDP Port Spoofing, Session Highjacking, Oversized IP Packet Attacks),
а также для внедрения « троянских коней» и злонамеренного по д-
бора пароля.
Даже если сервер компании защищен стандар тными сред-
ствами, это не предо твратит попы ток нарушения безопасности са-
мой операционной системы. Ес ли атакующий, используя
«DoS»aтaкy, б локирует сервер, автоматически блокируется и при-
ложение. Как результат, компания начинает нести убытки, связан-
ные с нарушением работоспособности своей сети. Именно поэтому
далее пойдет речь об использовании специальных механизмов для
защиты внутренних серверов компании от внешних атак.
Простейшим способом защиты серверов является установ ка
firewall Cisco PIX компании Cisco или WatchGuard Firebox компа-
нии Rainbow Technologies между серверами и Internet (см. рис. 10).
рис. 10. Классическая схема защиты корпоративных се рве ров
При правильной конфигурации большинство firewall могут
защитить внутренние серверы от внешних злоу мышленников, а
некоторые из них могут даже выявлять и предотвращать ата ки типа
«отказ в обслуживании». Тем не менее, этот подхо д не лишен неко-
торых недостатков. Когда корпоративные серверы защищены од-
ним единственным межсетевым экраном, все правила контро ля
доступа и все верифицированные данные оказываю тся сосредото-
ченными в одном месте. Таким образом, firewall становится «узким
местом» и по мере возрастания нагрузки значительно теряет в про-
изводительности. Конечно, firewall может быть допо лнен про-
граммным обеспечением, балансирующим нагрузку (например,
FloodGate компании Checkpoint) и многопроцессорными модулями,
но эти шаги только усложнят систему и повысят ее стоимость.
8.14. Межсетевой экран PIX Firewall [^]
Межсетевой экран Private Internet Exchange (PIX) компании
Cisco привносит новый уровень безопасности в сочетании с пр о-
стотой использования в корпоративные сети. PIX может полностью
закрыть вашу внутреннюю сеть от внешне го мира, обеспечивая
полную безопасность. В отличие от типичны х серверов - «посред-
ников» (proxy), которые выполняют обработку каждо го сетевого
пакета в отдельности, существенно за гружая при этом центральный
процессор, PIX использует специальную, не UNIX-подобную, опе-
рационную систему реального времени, и обеспечивает большую
производительность.
Секре т высокой производительности межсетевого экрана PIX
заключаемся в особой схеме защиты, базирующейся на алгоритме
адаптивной безопасности (adaptive security algorithm - ASA), кото-
рый эффективно скрывае т адреса пользова телей от хакеров. Устой-
чивый, ориентированный на соедине ния алгоритм адаптивной
безопасности обеспечивает безопасность, поскольку базируется на
адресах отправителя и получателя, последовательности нумерации
пакетов TCP, номерах портов и добавочны х ф лагах TCP. Э та ин-
формация сохраняе тся в таблице, и все вхо дящие паке ты сравни-
ваются с записями в э той таблице. Доступ через PIX разрешен
только в том случае, если соответствующее соединение успешно
прошло идентификацию . Этот мето д обеспечивает прозрачный
доступ для внутренних пользователей и авторизованных внешних
пользователей, полностью защищая при этом внутреннюю сеть от
несанкционированного доступа.
Cisco PIX также обеспечивает существенное преимущество в
производительности по сравнению с межсетевыми экрана-ми-
»посредниками» (proxy) на базе ОС UNIX за счет техноло гии
«сквозного посредника» (Cut-Through Proxy). Как и обыч-ные сер-
веры - «посредники» PIX контролирует установление соединения
на прикладном уровне. После того, как пользова тель был успешно
идентифицирован в соответствии с полити кой обеспечения безо-
пасности, PIX обеспечивает контроль по тока данных между або-
нентами на уровне сессии. Такая технология позволяет межсетево-
му экрану PIX работать значительно быстрее, чем обычные м ежсе-
тевые экраны — «посредники».
В добавление к высокой производительности, встроенная опе-
рационная система реального времени также увеличивает уровень
безопасности. В о тличие от ОС UNIX, исхо дный текст которых
широко доступен, Cisco PIX — выделенная система, специально
разработанная для обеспечения безопасности.
Для повышения надежности межсетевой экран PIX может быть
установлен со специальными опциями обеспечения горячего резер-
вирования функции защиты сети предприятия. Если два межсете-
вых экрана PIX установлены и работают в па раллельном режиме и
один из них выходит из строя, то в этом случае второй PIX будет в
прозрачном режиме выполнять все функции по обеспечению безо-
пасности.
Межсетевой экран Cisco PIX, как уже было сказано, обладает
высокой производительностью . Так, он может по ддерживать более
256 тысяч одновременных соединений и, соответственно, обесп е-
чивает по ддержку сотен и тысяч пользователей без уменьшения
производительности, пропускная способность полностью загру-
женного межсетевого экрана PIX - до 170 Мб/с. Это значительно
больше, чем у любого межсетевого экрана, базирующегося на ОС
UNIX или ОС Microsoft Windows NT.
Простота использования объясняет низкую стоимость его экс-
плуатации и сопровождения. Пользователи, не имеющие специаль-
ной подготовки, могут настроить PIX менее чем за 5 мину т. Для
упрощения дальнейшей настройки у PIX имеется весьма простая в
использовании графическая оболочка Security Manager.
Cisco предлагает также а даптер шифрования Cisco PIX Private
Link encryption card. С его помощью можно передавать зашифро-
ванные пакеты IP через такие публичные сети IP, как Интернет.
Адаптер PIX Private Link может быть установлен в PIX для защиты
соединения с использованием стандартной технологии IPSec и про-
токолов IETF типа Идентификационного Заголовока (Authentication
Header -АН) и Упакованных Защищенных Данных (Encapsulating
Security Payload -ESP).
Межсетевой экран Cisco PIX позволяет в том числе расши рять и
изменять сети IP и при этом не возникает проблемы с не хваткой
адресов IP Технология трансляции сетевых адресов Network Ad-
dress Translation (NAT) делает возможным использование как су-
ществующих адресов, так и резервных пространств адресов для
частных се тей. PIX также может быть настроен для совместного
использования транслируемы х и не транслируемых адресов, позво-
ляя использовать как адресное пространство для частны х сетей IP,
так и зарегистрированные адреса IP.
Ниже кратко перечислены основные возможности PIX
• Строгая, ориентированная на соединения сис тема безо -
пасности, предотвращает доступ неавторизованных поль-
зователей к ресурсам внутренней сети.
• Технология сквозного «посредника» позволяет как вхо дящие,
так и исхо дящие соединения, базируясь на таких протоколах
безопасности, как Terminal Access Controller Access Control Sys-
tem (TACACS)+ или Remote Access Dial-In User Service (RA-
DIUS).
• До шести сетевых интерфейсов для расширенной политики
защиты .
• Графический интерфейс администратора Security Manager
предназначен для настройки до 100 межсетевых э кранов PDC с
единой консоли
• Динамическая и статическая трансляции а дресов.
• Поддержка Простого Протоко ла Сетевого Управления (Sim-
ple Network Management Protocol - SNMP).
• Учетная информация с использованием журнала системны х
событий (syslog).
• Прозрачная поддержка таких основных сетевых сервисов,
как Wbrld Wide Wfeb (WWW), File Transfer Protocol (FTP), Tel-
net, Archie, Gopher.
• Поддержка приложений мультимедиа, включая Progressive
Networks RealAudio & ReadVideo, Xing StreamWorks, White
Pines CU-SeeMe, Vocal Tec Internet Phone, VDOnet VDOLive,
Microsoft NetShow и VXtreme Wfeb Theater.
• Безопасная встроенная система реального времени. Устраня-
ется необходимость обновления ПО рабочих стан ций и мар-
шрутизаторов.
• Полный доступ к ресурсам сети Интернет для незареги-
стрированных пользователей внутренней сети.
• Совместимость с маршрутизаторами, базирующимися на ПО
Cisco IOSTM.
• Поддержка видеоконференций, использующих прото кол
Н.323, включая Microsoft NetMeeting, Intel Internet Video Phone
и White Pine Meeting Point.
• Несколько возможных комплектов программного и ап-
паратного обеспечения.
• Средства централизованно го администрирования.
• Информирование с использованием пейджера или элек-
тронной почты.
• Поддержка интерфейсов Ethernet, Fast Ethernet, Token Ring и
FDDI.
• Поддержка виртуальных частных сетей (Virtual Private Net-
work) с использованием стандартной техно логии IPSec. Высо-
кая производительность.
• Интеграция с та кими решениями компании Cisco, как
сервер идентификации CiscoSecure.
8.15. WatchGuard Firebox System [^]
Возможности Firebo x™
Система WatchGuard Firebox предоставляет вероятно сле -
дующие, самые богатые (табл.2) возможности в своем классе:
Программное обеспечение межсетевого экрана управля ет
поступающим и исхо дящим Интернет-трафиком. Про-
ксирование (transparent proxy) и динамическая пакетная
фильтрация (Stateful Dynamic Packet Filtering) работаю т на
уровне приложений и проверяют не только заголовки IP
пакетов, но собирают и исследуют полный поток данных,
чтобы обнаружить и удалить опасные вложения прежде,
чем те попаду т в вашу сеть. Например, SMTP proxy защи-
щает сервер электронной почты о т вирусов типа Nimda и
Code Red, фильтруя трафик по MIME-типам, названию и
расширению файлов, а также по опасному содержанию
ключевым словам (русская ко дировка Win поддерживает-
ся). Программное обеспечение WatchGuard включает proxy
для SMTP, HTTP, DNS, и FTP.
Улучшенная поддержка VPN упрощает управление VPN-
каналами и позволяет администрировать большее количе-
ство VPN-маршрутов с меньшими затратами. VPN Manager
использует те хно логию Instant VPN, которая упрощает со-
здание VPN туннелей до трех простых шагов. VPN про-
граммное обеспечение позволяет конфигурировать полити-
ку безопасности VPN- туннелей к вашим деловым партне-
рам, ограничивая их доступ к вну тренним сетям, и дает бе -
зопасный VPN-Extranets. Программное обеспечение Mobile
User VPN дает командированным служащим безопасную
связь с офисом. Mobile User VPN входит в комплект по-
ставки. Firebox моделей 1000, 2500, 4500, и может вклю-
чаться также дополнительно для Firebox 700 и Firebox SO-
HO.
Установление подлинности пользователя с помо-ujbioUser
Authentication позволяет применять гибкую по литику дос-
тупа к сети, которая может основываться на оце-еках ин-
дивидуумов или групп, например, служащих, о тде лах или
командах. Установление подлинности пользователя также
позволяет контролировать и делать о тчеты по ис-
пользованию Интернета по льзователями или группами.
Система Firebox может применять для аутентификации как
встроенные возможности WatchGuard, так и Windows NT®,
RADIUS™, SecurlD® или CRYPTOCard®.
NAT скрывает вну тренние IP адреса, увеличивая безо-
пасность сети, и позволяет использовать для внутренних
хостов запрещенные в Internet диапазоны IP-адресов («се-
рые адреса» согласно RFC 1918), э то «экономит» реальные,
предоставленные провайдером адреса для более эффектив-
ного их использования.
URL-фильтрование позволяет компании увеличивать про-
изводительность труда и сокращать издержки, ограничивая
доступ в Интернет для пользователей или групп пользова-
телей, используя базу данны х CyberPatrol® либо свою соб-
ственную.
8.16. Централизованное управление защитой [^]
Графический интерфейс пользователя (GUI) делает разработку
политики безопасности и управление ею чем -то про стым и интуи-
тивно понятным. WatchGuard Control Center позволяет управлять
межсетевым экраном с одного места изнутри или снаружи сети,
либо даже с лаптопа:
• Secure Management Software позволяет благополучно конфи-
гурировать политику безопасности изнутри и снару жи защи-
щенной сети. Конфигурирование и управление извне возможно,
потому что Firebox использует сильное шифрование (3DES),
чтобы гарантировать безопасность сессии управления. Можно
управлять безопасностью сети отовсюду в любое время без до-
полнительных настроек и в то же время конфиденциально.
• Centralized Logging и Failover Capability дает надежно за-
шифрованные логи, гарантирует доступность данных о трафике
и позволяет видеть все ваши устройства с одного администр а-
торского места. Firebox System по ддерживает Syslog (UDP) и
экспорт ло гов в другие приложения типа WebTrends™.
• Monitoring and Reporting позволяет тщательно исследо вать
весь трафик в графическом или текстовом виде. Гиб кая система
позволяет генерировать отчеты по типу трафи ка, IP адресам на-
значения, группам пользователей, откло ненным пакетам, IP ад-
ресам источника и многим другим критериям.
Сервис LiveSecurity™
Следует обязательно иметь в виду, что поставка каждого меж-
сетевого экрана WatchGuard FireBox System непременно включает
в себя годовую подписку на сервис LiveSecurity. LiveSecurity под-
держивается командой экспер тов сетевой бе зопасности, которые
постоянно контролируют и идентифицируют появляющиеся угро-
зы, для информационной системы предприятия. Это позволяет п о-
лучать модернизацию программного обеспечения, вирусные пре-
дупреждения, советы
Таблица 2
WatchGuard® Firebo x™
Модель для лю-
бого офиса
Рекомендовано
для
Исполъзуемые
линии:
Firebox™ 4500
Головные офисы
корпораций и
большие пред'
приятия
• 5,000 пользо-
вателей
• линии класса
Т-З/Е-3
или несколько
Т-1/Е-1
Требуется по-
точная скорость
поддержки VPN
Firebox™ 2500
Средние и Круп-
ные предприятия
• 5,000 пользо-
вателей
• линии класса
Т-З/Е-3
или несколько
Т-1/Е-1
Высокий объем
трафика
Firebox™ 1000
Средний бизнес
и филиалы
• 1000 пользоваЛ
телей
• ISDN или Т-1
линии
Лицензий
Производитель-
шость:
- Stateful Dynamic
Packet Filtering
- HTTP Proxy
- 3DES шифрова-
\ния
Аппаратный крип-
тоускоритель
Branch Office VPN
mobile User VPNs
Интерфейсы
неограниченно
197 Mbps
60 Mbps
100 Mbps
Есть
До 1000*
До 1000*
3RJ-4510/100
Ethernet
неограниченно
197 Mbps
52 Mbps
70 Mbps
Есть
До 1000*
До 1000*
3RJ-45 10/100
Ethernet
неограниченно
185 Mbps
43 Mbps
55 Mbps
Есть
До 1000*
До 1000*
3RJ-45 10/100
Ethernet
Особенности
• Stateful Packet
Filtering
• Security Proxies
(SMTP, HTTP,
DNS, FTP)
• Mobile User
• Branch Office
VPN
• Static and
Dynamic NAT
• Stateful Packet
Filtering
• Security Proxies
(SMTP, HTTP,
DNS, FTP)
• Mobile User
VPN
• Branch Office
VPN
• Static and
Dynamic NAT
• Stateful Packet
Filtering
• Security Proxies]
(SMTP, HTTP,
DNS, FTP)
• Mobile User
VPN
• Branch Office
VPN
• Static and
Dynamic NAT
Утилиты, по-
ставляемые с
Firebox
• One-to-one
NAT
• User
Authentication
• URL Filtering
• Scan and Spoof
Detection
• Port and Site
Blocking
• Synflood
Protection
* Anti-virus
• QuickSetup
Wizard
• Security Policy
Manager
• VPN Manager
(4-node)
• Real-time
Monitoring
• HostWatch
• Historical
Reporting
• Secure
Encrypted Logging
• Colorized
Logging
• Notification
• One-to-one
NAT
• User
Authentication
• URL Filtering
• 5сдл ял*/ £/?0о/
Detection
• Port and Site
Blocking
• Synflood
Protection
• Anti-virus
• QuickSetup
Wizard
• Security Policy
Manager
• VPN Manager
(4-node)
• Real-time
Monitoring
• HostWatch
• Historical
Reporting
• Secure
Encrypted Logging
• Colorized
Logging
* Notification
• One-to-one
NAT
• User
Authentication
• URL Filtering
• Saw c«d/ 5/Ю0/
Detection
9 Port and Site
Blocking
• Synflood
Protection
* Anti-virus
• QuickSetup
Wizard
• Security Policy
Manager
• VPN Manager
(4-node)
• Real-time
Monitoring
• HostWatch
• Historical
Reporting
• Secure
Encrypted Logging
* Colorized
Logging
* Notification
LiveSecurity
Service
• Подписка на
1 год
• Подписка на
1 год
• Подписка на
7 год J
и обучающие программы, техническую поддержку. В итоге удает-
ся поддерживать систему безопасности всегда на совре менном
уровне.
8.17. Схема децентрализованной защиты корпора-
тивных серверов [^]
Альтернативой предыдущей (централизованной) схеме за-
щиты является установка продукта Cisco PIX компании Cisco или
W&tchGuard Firebo x компании Rainbow Technologies перед каждым
сервером (см. рис. 11). В этом варианте в резуль тате того, что fire-
wall становится выделенным ресурсом сервера, разрешается про-
блема «узкого места» и уменьшается влияние отказа отдельного
межсетевого экрана на общее состояние сети.
Однако и данный по дхо д имеет ряд существенных недо -
статков. Система из десяти серверов потребовала бы десяти ли-
цензированны х конфигураций firewall, работающих на десяти ап-
паратных платформах с десятью операционными системами, тре-
бующими администрирования и обслуживания. Соот ветственно, на
порядок возрастают величина издержек, сложность администриро-
вания и частота отказов. Даже если учесть, что влияние отказа от-
дельного firewall сокращается в результа те демонтажа лишь одной
системы вместо десяти,
Рис. 11 Схема де централизованной защиты корпоративных се рверов
среднее время наработки на о тказ для десяти про дуктов firewall
оказывается в десять раз ху же, чем для одно го Например, если в
сервере происходит отказ аппаратного обеспечения, в среднем,
один раз в двадцать месяцев, то при испо льзовании десяти серверов
этот промежуток времени сократиться до двух.
Наиболее подходящим решением этой проблемы является
размещение средств безопасности на одной платформе с сервером,
который они будут защищать. Эта достигается через использование