Брандмауэр-системы. Элементы. Часть 1

В современном мире информации не обойтись без должной защиты. Особенно в ней нуждаются разного рода организации. Информация о производстве, бизнес-планы, буквально все может представлять огромный интерес, как для злоумышленников, так и для конкурентов. Поэтому необходима должная защита информации, и именно от вторжения. Тот, кому "нельзя", не должен до нее добраться. Что необходимо использовать для достижения такого результата? Ответ прост – брандмауэр-системы. Причем грамотно настроенные. Так вот, давайте и попробуем разобраться в том, как же должны функционировать эти системы.

Настройка брандмауэр-системы является процедурой не из легких. Попробуем понять основные принципы, по которым работают системы. Рассмотрим определение брандмауэра, взятое из википедии: "Межсетевой экра?н или брандмауэр (жарг. файрвол или файервол, от англ. firewall) — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, т.к. их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определенные в конфигурации". Брандмауэр-система же представляет собой набор модулей, которые занимаются тем, чем и обычный сетевой экран.

В первой статье цикла о брандмауэр-системах мы начнем рассматривать элементы, из которых, собственно, и состоят эти системы. Итак, приступим. В состав брандмауэр-системы (далее - системы) входят три основных элемента:
. Пакетный фильтр;
. Шлюз прикладного уровня;
. Диспетчер безопасности.
Мы же рассмотрим не только основные, но и затронем несколько второстепенных.

Компоненты

Прежде чем приступить к рассмотрению самих элементов, остановимся подробнее на компонентах, необходимых для нормального функционирования системы (рис.1).

. Интегрирующий модуль.
Этот модуль отвечает за интеграцию всех компонентов системы в единую структуру и является одним из самых необходимых, т.к. обеспечивает стабильную совместную работу всех компонентов.

. Аналитический модуль.
По названию модуля можно сделать вывод. Модуль занимается анализом заголовков, данных, поступающих их пакетного фильтра и т.д. После результаты направляются в модуль принятия решений.

. Модуль принятия решений.
Этот модуль занимается анализом данных, поступивших из аналитического, и делает вывод на основе списков правил и разрешений. Модуль сопоставляет данные, в результате чего становится ясно, возможен пропуск пакета через систему или нет.

. Модуль обработки событий безопасности.
Основная работа этого модуля, это обработка всех событий, происходящих в сети и компьютерной системе, касающихся непосредственно безопасности. Все события обрабатываются, записываются в журнал, и функция предупреждения передает информацию о том или ином событии в диспетчер
безопасности.

. Модуль аутентификации.
Модуль аутентификации отвечает за идентификацию и аутентификацию процессов/пакетов, которые пытаются пройти через систему и при этом имеют правила и права доступа.

. Набор правил.
Набор правил содержит всю необходимую информацию, по которой делаются выводы о пропуске пакета или нет.

. Регистрационный журнал.
Журнал событий, говоря по-простому. Все, что происходит, записывается в этот журнал для последующего анализа администратором и ввода/вывода правил и т.д.

. Диспетчер безопасности.
Модуль представляет собой интерфейс, позволяющий работать администраторам с наборами правил, анализировать/сопровождать действия системы, просматривать события регистрационного журнала.

. Модуль защиты брандмауэра.
Этот модуль следит за защищенностью брандмауэра и обеспечивает ее. Модуль содержит в себе три механизма. Первый – тест целостности, он обеспечивает защиту файлов брандмауэра от изменения, повреждения, правки и т.д. Второй – механизм аутентификации, этот механизм следит за тем, чтобы только уполномоченные лица могли вносить изменения в систему и ее работу. Третий – механизм функциональной безопасности. Слежение за работоспособностью системы и предотвращение ее отключения/отказа вследствие, скажем, переполнения журнала и т.д.

Проектирование элементов

Программное обеспечение, используемое при проектировании брандмауэр-систем, должно использоваться качественное и специализированное. Система должна выполнять только свою функцию – защиту от угроз сети. Не следует делать из нее еще и маршрутизатор или что-то другое.

Каждая программа имеет бреши, поэтому и программы, используемые в системах, могут быть "дырявыми" – от этого никто не застрахован. Для построения следует использовать только последние версии программного обеспечения и обязательно устанавливать заплатки, при обнаружении брешей. Интеграция брандмауэр-системы в компьютерную также очень важна. От этого на прямую зависит грамотная работа системы, без сбоев и с минимальным количеством ложных срабатываний.

Также необходимо использовать раздельное управление системой безопасности. Лучше всего, когда оно осуществляется по средствам отдельного компьютера, например, ноутбука. Администратор без проблем может подключиться к системе и сделать необходимые настройки, или выполнить анализ, или просмотреть журнал.

Диспетчер безопасности должен быть простым и удобным. Должен давать возможность безошибочно вводить правила и редактировать их. Для предотвращения несанкционированного доступа к диспетчеру злоумышленников, он должен быть защищен паролем. Доступ должен иметься только у администратора брандмауэр-системы.
Вот теперь давайте рассмотрим подробнее некоторые элементы систем.

Пакетный фильтр

Пакетный фильтр – элемент брандмауэр-системы, отвечающий за фильтрацию пакетов данных. Фильтрация происходит на уровне доступа к сети, сетевом и транспортном. При этом пакетный фильтр не ограничивается протоколом TCP/IP, а фильтрует все входящие пакеты данных. Анализируя информацию пакетов, фильтр сравнивает результаты анализа со списками правил. Если в правилах нет противопоказаний, то пакет пропускается без препятствий. Если же нет, то пакет стопорится, не получая пропуска.

У пакетного фильтра могут быть разные режимы работы. Это связано с тем, что на разных уровнях проверки проверяются различные части пакета, поэтому все зависит конкретно от настройки фильтра.

Приведу пример основного режима работы (рис.2). В данном режиме задействованы два модуля: интегрирующий и аналитический.

При работе в основном режиме проводятся следующие проверки:
. Проверяется адрес отправителя пакета.
. На транспортном уровне проверяются номера портов (для UDP и TCP) и направление настройки соединения (для TCP).
. На уровне доступа к сети проверяются адреса отправителя, получателя и тип протокола, используемого при соединении.
. На сетевом уровне идет проверка протокола 4-го уровня, адресов отправителя/получателя, полей checkbox и flags, сетевого адреса OSI, переадресации и ping. Все зависит от протокола, который используется.
Результаты анализа сверяются с набором правил, и делается вывод.

Регистрация информации о безопасности в пакетном фильтре.
Нарушение правил и сбои в пакетном фильтре могут фиксироваться для дальнейшего анализа администратором. Когда происходит сбой или какое-либо событие, связанное с безопасностью, то в журнал делаются следующие записи.
. Дата и время события/сбоя.
. Порядковый номер события/сбоя.
. Тип события/сбоя.
. IP-адреса и номера портов.
. Информация, содержащаяся в пакете.
При этом в зависимости от политики безопасности и настроек фильтра, журнал может работать в следующих режимах:
. Свободный режим.

В этом режиме журнал при переполнении замещает события. Т.е. при регистрации нового события самое старое удаляется. В таком режиме очень легко найти последние события, однако могут возникнуть сложности со старыми записями.
. Режим моментальной фиксации
С таком режиме при переполнении журнала новые записи не регистрируются, т.к. журнал полон. В таком случае очень легко провести незаметную атаку, предварительно переполнив журнал бесполезными регистрациями.
. Блокировка пакетного фильтра в случае переполнения.
Название режима говорит само за себя. При переполнении журнала событий пакетный фильтр просто блокируется. Таким образом, компьютер отрезается от сети, что крайне неудобно.

Методы реализации пакетных фильтров.

Итак, пакетные фильтры бывают разных видов. Отличаются они способами реализации. Например, они могут быть отдельными компонентами, полностью интегрированными компонентами, удаленными компонентами и т.д.
. Встроенный пакетный фильтр.
Примером такого фильтра может быть встроенный в маршрутизатор. Наибольшим недостатком такого рода фильтров является то, что они облегчены и не могут должным образом защитить системы. Например, от маршрутизатора требуют скорости, естественно, качественный пакетный фильтр будет тормозить маршрутизацию. Поэтому в маршрутизатор встраивают "легкий" фильтр, который не тормозит процесс, однако и безопасность он не обеспечивает должным образом.
. Пакетные фильтры – отдельные компоненты.
Отдельные компоненты являются более специализированными и полными версиями. Из этого следует, что качество защиты выше. Кроме того, они не тормозят другие компоненты, т.к. являются нейтральными.
. Пакетные фильтры в микрочипах.
Некоторые производители стали и на такой путь. Прошивка фильтра в микро чип позволяет увеличить его пропускную способность за счет увеличения производительности и позволяет облегчить интеграцию (достаточно просто подготовить место и интегрировать чип).

Области применения

Пакетные фильтры используются везде. Домашние пользователи используют их для обеспечения безопасности собственных данных. В организациях они используются для того, чтобы предотвратить доступ посторонних к данным. Без них не обойтись, а поэтому они везде.

Продолжение следует

Евгений Кучук http://sa-sec.org


Компьютерная газета. Статья была опубликована в номере 26 за 2007 год в рубрике безопасность

©1997-2024 Компьютерная газета