Безопасность и Internet

         

Сервера уровня соединения


Сервер уровня соединения представляет из себя транслятор TCP соединения.

Пользователь образует соединение с определенным портом на брандмауэре, после чего

последний производит соединение с местом назначения по другую сторону от брандмауэра. Во

время сеанса этот транслятор копирует байты в обоих направлениях, действуя как провод.

Как правило, пункт назначения задается заранее, в то время как источников может быть

много ( соединение типа один - много). Используя различные порты, можно создавать

различные конфигурации.

Такой тип сервера позволяет создавать транслятор для любого определенного пользователем

сервиса, базирующегося на TCP, осуществлять контроль доступа к этому сервису, сбор

статистики по его использованию.



Схемы подключения


Для подключения брандмауэров используются различные схемы. Брандмауэр может

использоваться в качестве внешнего роутера, используя поддерживаемые типы устройств для

подключения к внешней сети (см ). Иногда используется схема, изображенная на , однако пользоваться ей следует только в крайнем случае, поскольку требуется очень аккуратная настройка роутеров и небольшие ошибки могут образовать серьезные дыры в защите.

Если брандмауэр может поддерживать два Ethernet интерфейса (так называемый dual-homed

брандмауэр), то чаще всего подключение осуществляется через внешний маршрутизатор (см рис. 4).

При этом между внешним роутером и брандмауэром имеется только один путь, по которому

идет весь трафик. Обычно роутер настраивается таким образом, что брандмауэр является

единственной видимой снаружи машиной. Эта схема является наиболее предпочтительной с

точки зрения безопасности и надежности защиты.

Другая схема представлена на рис. 5.

При этом брандмауэром защищается только одна

подсеть из нескольких выходящих из роутера. В незащищаемой брандмауэром области часто

располагают серверы, которые должны быть видимы снаружи (WWW, FTP и т.д.). Некоторые

брандмауэры предлагают разместить эти сервера на нем самом - решение, далеко не лучшее с

точки зрения загрузки машины и безопасности самого брандмауэра

Существуют решения (см ),которые позволяют организовать для серверов,

которые должны быть видимы снаружи, третью сеть; это позволяет обеспечить контроль за

доступом к ним, сохраняя в то же время необходимый уровень защиты машин в основной сети.

При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не

могли случайно или умышленно открыть дыру в локальную сеть через эти сервера.

Для повышения уровня защищенности возможно использовать в одной сети несколько

брандмауэров, стоящих друг за другом.



Сильнее угроза — крепче защита


Елена Полонская

Мы протестировали 16 инструментов для защиты компьютеров и компьютерных сетей от интернет-червей, вирусов, шпионских программ и хакеров.

Целью нынешних интернетовских злоумышленников уже давно перестал быть ваш компьютер. Сегодня их цель — вы сами. Преступники, пользующиеся украденными номерами кредитных карточек и идентификационной информацией, широко используют вирусы и интернет-червей, чтобы заманить в ловушку свои жертвы. Вирусы — это только одна из возможных угроз. В некоторых спамовых сообщениях электронной почты используются так называемые "рыболовные" схемы, направленные на то, чтобы заставить получателя такого письма раскрыть конфиденциальную банковскую информацию или сообщить номер кредитной карточки. Поддельные рекламодатели создают ложные всплывающие окна, которые, используя слабые места операционной системы, устанавливают на компьютере жертвы шпионские программы.

Поскольку в сферу внимания информационной безопасности все чаще попадают более серьезные вещи, чем обычные вирусы, специалисты по компьютерной защите ввели термин malware — "злонамеренное программное обеспечение", которым обозначают любой код, наносящий вред компьютеру или его обладателю. Для сопротивления посягателям на частную информацию пользователя необходима глубокая и хорошо продуманная система обороны, состоящая из нескольких барьеров между злонамеренным ПО и системой. В этом обзоре мы рассмотрим:

межсетевые экраны, вирусные сканеры, инструментарий для удаления программ-шпионов пакеты для обеспечения безопасности.

Надеемся, представленный материал поможет вам подобрать себе подходящий арсенал.



Система генерации отчетов


Система Internet Scanner&153; обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

К концу 1998 года планируется завершить русификацию системы Internet Scanner, и в частности системы генерации отчетов.

Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

по сканируемым устройствам; по типу и версии операционной системы; по сетевым сервисам; по номерам портов; по именам пользователей; по уязвимостям; по IP-адресам; по DNS-именам; по степени риска.


Система RealSecure? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию о обнаруженных атаках, отсортированную по различным признакам, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

Вся информация в создаваемых отчетах может быть отсортирована по различным признакам:

по приоритету (степени риска) атаки; по IP-адресу отправителя; по IP-адресу получателя; по именам контролируемых событий.




Система System Security Scanner? обладает очень мощной подсистемой генерации отчетов, позволяющей легко создавать различные формы отчетов. Возможность детализации данных о сканировании облегчает чтение подготовленных документов как руководителями организации, так и техническим специалистами.

Создаваемые отчеты могут содержать как подробную текстовую информацию об уязвимостях и методах их устранения, так и графическую информацию, позволяющую наглядно продемонстрировать уровень защищенности узлов Вашей корпоративной сети.

К концу 1998 года планируется завершить русификацию системы System Security Scanner, и в частности системы генерации отчетов.



Система обработки статистики


МЭ содержит мощную систему сбора и анализа статистики. Учет ведется по

адресам клиента и сервера, имени пользователя, времени сеанса, времени

соединения, количеству переданных/принятых данных, действия администратора

по управлению пользователями, действий пользователей по авторизации

и изменения пароля. Система обработки производит анализ статистики

и предоставляет администратору подробный отчет. За счет использования

специальных протоколов МЭ позволяет организовать удаленное оповещение

об определенных событиях в режиме реального времени.



Система подсказки


Система Internet Scanner&153; обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или изменения и обновления, устраняющие найденные проблемы.

К концу 1998 года планируется завершить русификацию системы Internet Scanner (системы подсказки, документации, системы генерации отчетов и т.п.).


Система RealSecure? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом осуществлять обнаружение атак на узлы Вашей корпоративной сети. Объемная база данных содержит подробную информацию обо всех обнаруживаемых системой атаках.




Система System Security Scanner? обладает мощной системы подсказки, которая поможет Вам эффективно и надлежащим образом проводить анализ защищенности Вашей корпоративной сети. Секция описания уязвимостей содержит не только подробную информацию об уязвимости и пошаговых инструкциях по ее устранению, но и гипертекстовые ссылки на Web- и FTP-сервера производителей программного обеспечения, на которых можно получить последние версии ПО или patch'и и hotfix'ы, устраняющие найденные проблемы



Системные требования


Требования к аппаратному обеспечению:

Процессор - Pentium 133 МГц; ОЗУ - 64 Мб + 8 Мб на каждые 1000 сканируемых узлов; НЖМД - не менее 10 Мб + 2.5 Мб на каждые 100 сканируемых узлов; Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring (в последнем случае нет возможности проводить скрытое сканирование, UDP-bomb и SYN-flood); Монитор - 800х600, не менее 256 цветов.

Требования к программному обеспечению:

Операционная система Windows NT 4.0 с SP3 и выше, SunOS - 4.1.3 и выше; Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше; HP UX - 10.10 и выше; AIX - 4.1.5 и выше; Linux - ядро 2.0.24 и выше; Файловая система - желательно NTFS(для ОС Windows NT); Дополнительные сведения - для использования системы необходимы права администратора рабочей станции (желательно права администратора домена). Для повышения производительности установку лучше производить на Windows NT WorkStation (для ОС Windows NT).


Требования к аппаратному обеспечению: Процессор - Pentium Pro 200 МГц (рекомендуется Pentium II 300 МГц); ОЗУ - 64 Мб (рекомендуется 128 Мб); НЖМД - не менее 100 Мб (для базы данных и регистрационного журнала) + 10 Мб для ПО модуля слежения; Сетевой интерфейс - Ethernet, Fast Ethernet, Token Ring, FDDI.

Требования к программному обеспечению: Операционная система Windows NT 4.0 с SP3; Solaris - 2.4/2.5 + Motif; Linux - 1.3 + X Window R11; Дополнительные сведения - для использования системы требуются права администратора рабочей станции.




Требования к аппаратному обеспечению:

Процессор - Pentium 75 МГц; ОЗУ - 16 Мб (рекомендуется 32); НЖМД - не менее 10 Мб (для ОС Unix) и не менее 20 Мб (для ОС Windows); Монитор - 800х600, не менее 256 цветов. Требования к программному обеспечению: Операционная система Windows 95 и выше; Windows NT 3.0 и выше; SunOS - 4.1.3 и выше; Solaris - 2.3 и выше + Motif 1.2.2 и выше + X11R5 и выше; HP UX - 9.05 и 10.x; AIX - 2.3.5, 4.1 и 4.2; Linux - 1.2.13 и выше; IRIX - 6.2, 6.3 и 6.4. Дополнительные сведения - для использования системы права администратора рабочей станции не требуются.



Системы и методы обнаружения вторжений: современное состояние и направления совершенствования


УДК 004.056.53
А.А. Корниенко, ПГУПС, И.М. Слюсаренко «InfoSoftCom»



Системы сбора статистики и предупреждения об атаке


Еще одним важным компонентом брандмауэра является система сбора

статистики и предупреждения об атаке. Информация обо всех событиях - отказах, входящих,

выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени

соединения и т.д. - накапливается в файлах статистики. Многие брандмауэры позволяют гибко

определять подлежащие протоколированию события, описать действия брандмауэра при атаках

или попытках несанкционированного доступа - это может быть сообщение на консоль, почтовое

послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на

экран консоли или администратора может помочь, если попытка оказалась успешной и

атакующий уже проник в систему. В состав многих брандмауэров входят генераторы отчетов,

служащие для обработки статистики. Они позволяют собрать статистику по использованию

ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с

которых проводились попытки несанкционированного доступа и т.д.



Snare


System Intrusion Analysis and Reporting Environment представляет собой размещаемую на хосте систему обнаружения вторжений, предназначенную для систем с Linux. Альянс InterSect Alliance (), который объединяет консультантов, специализирующихся на вопросах защиты, разработала и выпустила Snare в ноябре 2001 года.

Snare использует технологию динамически загружаемых модулей для взаимодействия с ядром Linux во время исполнения. За счет использования только тех модулей, которые необходимы для выполнения конкретной задачи, Snare снижает нагрузку на хостовую систему. А поскольку Snare загружается динамически, пользователям не нужно перезагружать систему или перекомпилировать ядро, как это бывает с некоторыми усовершенствованиями Linux.



Снижение производительности


Несмотря на то, что подсоединение к сетям общего пользования или выход из корпоративной сети осуществляется по низкоскоростным каналам (как правило, при помощи dialup-доступа на скорости до 56 Кбит или использование выделенных линий до 256 Кбит), встречаются варианты подключения по каналам с пропускной способностью в несколько сотен мегабит и выше (ATM, T1, E3 и т.п.). В таких случаях межсетевые экраны являются самым узким местом сети, снижая ее пропускную способность. В некоторых случаях приходится анализировать не только заголовок (как это делают пакетные фильтры), но и содержание каждого пакета ("proxy"), а это существенно снижает производительность межсетевого экрана. Для сетей с напряженным трафиком использование межсетевых экранов становится нецелесообразным.

В таких случаях на первое место надо ставить обнаружение атак и реагирование на них, а блокировать трафик необходимо только в случае возникновения непосредственной угрозы. Тем более что некоторые средства обнаружения атак (например, RealSecure) содержат возможность автоматической реконфигурации межсетевых экранов.

Компромисс между типами межсетевых экранов - более высокая гибкость в пакетных фильтрах против большей степени защищенности и отличной управляемости в шлюзах прикладного уровня. Хотя на первый взгляд кажется, что пакетные фильтры должны быть быстрее, потому что они проще и обрабатывают только заголовки пакетов, не затрагивая их содержимое, это не всегда является истиной. Многие межсетевые экраны, построенные на основе прикладного шлюза, показывают более высокие скоростные характеристики, чем маршрутизаторы, и представляют собой лучший выбор для управления доступом при Ethernet-скоростях (10 Мбит/сек).



Snort


Snort () считается одним из наиболее популярных свободно распространяемых инструментальных средств защиты. По оценкам Марти Реуша, ведущего разработчика Snort, данным приложением пользуется от 250-500 тыс. человек. Это программное обеспечение имеет группу активных сторонников и весьма детальную документацию.

Snort — упрощенная система обнаружения сетевых вторжений, способная выполнять в реальном времени анализ трафика и пакетов, зарегистрированных в IP-сетях. Выпущенная в 1998 году, Snort помогает выявить потенциальные нарушения защиты, выполняя протокольный анализ пакетов, а также поиск с сопоставлением по шаблону в информационном наполнении. Эта система способна выявлять работу зондов и обнаруживать различные нарушения защиты, такие как переполнение буфера, скрытое сканирование портов и атаки с использованием общего интерфейса шлюзов.

Snort работает на различных платформах, в том числе на FreeBSD, Linux, MacOS, Solaris и Windows.



Совершенствование системы безопасности


Виктор Олифер,

Положение компании CheckPoint как мирового лидера в области интегрированных продуктов безопасности позволяет комплексно решить задачу совершенствования системы безопасности на основе продуктов CheckPoint, а также продуктов третьих фирм, поддерживающих открытые стандарты платформы OPSEC.

Сегодня компания CheckPoint выпускает продукты нескольких линий, обеспечивающие защиту сети в различных аспектах, а также выполняющие функции управления сетью:

FireWall-1 - комплекс модулей, составляющих ядро любой системы безопасности на продуктах CheckPoint. Помимо функций межсетевого экрана на основе запатентованной технологии Stateful Inspection, поддерживает аутентификацию пользователей, трансляцию адресов, контроль доступа по содержанию и аудит. Включает систему централизованного управления на основе правил политики, которая может управлять работой не только модулей FireWall-1, но и продуктов VPN-1, FloodGate-1. VPN-1 - набор продуктов для организации виртуальных частных сетей как со стороны центральной сети, так и со стороны удаленных пользователей. Продукты VPN-1 тесно интегрированы с FireWall-1. RealSecure - средства обнаружения вторжений в реальном времени. Экспертная база атак составляет более 160 образцов. Интегрированы с FireWall-1 - есть возможность автоматической реконфигурации правил экрана FireWall-1 при обнаружении вторжения. FloodGate - средства управления качеством обслуживания. Обеспечивают гибкое распределение полосы пропускания для различных классов трафика, а также отдельных соединений. Поддерживают централизованное управление на основе правил, интегрированных с правилами FireWall-1/VPN-1. MetaIP - система управления инфраструктурой IP-адресов предприятия. Интегрирует службы DHCP, DNS и аутентификации, дополняя их собственным сервисом UAM отображения имен пользователей на IP-адреса. Сервис UAM может быть использован межсетевыми экранами FireWall-1, за счет чего обеспечивается контроль доступа на уровне пользователей в динамической среде DHCP.

Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более, чем 200 производителями, многие из которых являются членами OPSEC Alliance.

Популярность платформы OPSEC позволяет включать в систему безопасности предприятия лучшие в своей области продукты, которые дополняют возможности продуктов CheckPoint и обеспечивают высокую степень интеграции с FireWall-1/VPN-1 на основе стандартных протоколов и API.

Продукты компании CheckPoint и ее партнеров позволяют построить Защищенную Виртуальную Сеть (Secure Virtual Network), использующую все преимущества транспорта и сервисов Internet и защищающую в то же время все компоненты корпоративной сети.

Рассмотрим, каким образом система, построенная на продуктах CheckPoint и OPSEC-совместимых продуктах третьих фирм, удовлетворяет современным требованиям.



Создание сценариев для устранения найденных проблем


Система System Security Scanner? обладает уникальной возможностью по созданию скриптов (fix script), корректирующих или устраняющих обнаруженные в процессе анализа защищенности проблемы. Кроме того, в процессе создания fix-скрипта система S3 также создает скрипт, позволяющий отменить изменения, сделанные fix-скриптом. Это может потребоваться в том случае, если сделанные изменения нарушили нормальное функционирование отдельных хостов корпоративной сети.



Список литературы


Городецкий В.И., Котенко И.В., Карсаев О. В., Хабаров А.В. Многоагентные технологии комплексной защиты информации в телекоммуникационных системах. ISINAS – 2000. Труды. – СПб., 2000. J. Allen, A. Christie, W. Fithen, J. McHuge, J. Pickel, E. Stoner, State of Practice of intrusion detection technologies // Technical Report CMU/SEI-99-TR-028. Carnegie Mellon Software Engineering Institute. 2000, D. Denning, An Intrusion Detection Model. // IEEE Transactions on Software Engineering, v. SE-13, № I, 1987, pp. 222-232, R. Heady, G. Luger, A. Maccabe, M. Servilla. The Architecture of a Network Level Intrusion Detection System. // Technical report, Department of computer since, University of New Mexico, August 1990. D. Anderson et al. Next Generation Intrusion Detection Expert System (NIDES). // Software Design, Product Specification and Version Description Document, Project 3131, SRI International, July 11, 1994. С.А. Терехов. Байесовы сети // Научная сессия МИФИ – 2003, V Всеросийская научно - техническая конференция «нейроинформатика-2003»: лекции по нейроинформатике. Часть 1.-М.:МИФИ, 2003.-188с H. Debar, M. Becker,D. Siboni. A neural network component for intrusion detection systems // In proceeding of the 1992 IEEE Computer Society Symposium on Research in Security and Privacy, pages 240 – 250, Oakland, CA, USA, May 1992. K. Cheng. An Inductive engine for the Acquisition of temporal knowledge. // Ph. D. Thesis, Department of computer science, university of Illinois at Urbana-Champain 1988. P. A. Porras, P.G. Neumann, EMERLAND: Event Monitoring Enabling Response to Anomalous Live Disturbance // Proceeding of the IEEE Symposium on Research in Security and Privacy, Oakland, CA, May 1997. K. Ilgun, R.A. Kemmerer, P.A. Porras, State Transition Analysis: A Rule-Based Intrusion Detection System // IEEE Trans. Software Eng. vol. 21, no. 3, Mar. 1995. K. Ilgun, USTAT: A Real-time Intrusion Detection System for UNIX // Proceeding of the IEEE Symposium on Research in Security and Privacy. T. Heberlein, G Dias, K. Levitt, B. Mukherjee, J. Wood. A network security monitor. // In Proceeding of the 1990 IEEE Symposium on Research in Security and Privacy, pages 296 – 304. T.D. Garvey, T.F. Lunt, Model-based Intrusion Detection // Proceeding of the 14 th Nation computer security conference, Baltimore, MD, October 1991. J.P. Anderson, Computer Security Threat Monitoring and Surveillance // James P. Anderson Co., Fort Washington, PA, April. 1980. Sandeep Kumar, Eugene H. Spafford. An application of pattern matching in intrusion detection // Technical Report CSD-TR-94-013, The COAST Project, Dept. Of Computer Sciences, Purdue University, West Lafayette, IN, USA, 17 june 1994. Vern Paxon. Bro: A system for detection network intruders in real time // Proceeding of the 7 th USENIX Security Symposium, San Antonio, TX, USA, January 1998.



Сравните и противопоставьте системы


Саттерфилд: Автономный анализ (offline analysis) трафика с целью генерации тревог практически бесполезен. Министерство обороны США, являясь пионером в области обнаружения атак, придерживалось этого подхода. Однако времена меняются. Обработка нажатий клавиш уже не отвечает требованиям масштабируемости. Обнаружение и генерация тревог в реальном масштабе времени существенно необходимы. Хотя и об автономном анализе данных не надо забывать.

Клаус: Как я упомянул раньше, современные системы обнаружения атак - это реальная сетевая информация и инструментальные средства с некоторым встроенным интеллектом. Проанализированы ли данные в реальном масштабе времени или после свершения события, - различие только в своевременности реагирования. Система RealSecure обеспечивает обнаружение и реагирование на атаки в реальном масштабе времени. Мы также обеспечиваем средства управления данными для проведения автономного анализа. Анализ данных "постфактум" очень полезен при наличии обученного персонала. Требуемый состав персонала для эксплуатации системы обнаружения атак очень трудно определить, поскольку это зависит от объема данных, требующих анализа. Важно, чтобы системы обнаружения атак поддерживали этот процесс, предоставляя эффективные средства управления данными.

Карри: Если вы серьезно относитесь к защите, вы должны работать в реальном масштабе времени. Нападавший может войти, сделать то, что он должен и уйти в течение нескольких минут или даже секунд. Вы должны быть способны действовать мгновенно, чтобы среагировать на нападение. Автономный анализ нужен, если вы хотите знать, что вы делали в последний вторник. К сожалению, вы не имеете достаточно времени, чтобы проводить такой анализ. Хорошо то, что эта задача может быть легко автоматизирована и не требует большого числа людей.

Спаффорд: Тревога в реальном масштабе времени - это когда вы можете среагировать и устранить результат атаки, слушая сигнал тревоги. Автономный анализ часто снижает производительность контролируемых машин (за счет обработки и хранения большого объема регистрационных данных - примечание переводчика), однако также позволяет "сделать шаг назад", вновь рассмотреть событие и, возможно, "откатить" изменения, сделанные в результате реагирования. Если действие не привело к ожидаемым результатам, если тревога не сработала, то нет никакой разницы между автономным анализом и анализом в реальном масштабе времени! Вы называете ваш продукт системой обнаружения атак? Некоторые специалисты различают атаку (intrusion) и злоупотребление (misuse). Некоторые называют эти средства не системы обнаружения атак, а системы мониторинга сети. Каково ваше определение системы обнаружения атак?

Ранум: Мы называем нашу систему универсальным инструментом анализа трафика. Она имеет свойство программируемости, так что вы можете сами "сказать" ей, что надо обнаруживать. Если вы хотите обнаруживать, скажем, атаку SYN Flood, то вы можете сами запрограммировать функцию чтения SYN-пакетов и функцию реагирования в случае нахождения в них статистических аномалий. Также просто вы можете запрограммировать модель анализа роста WAN или подсчета посещений Web-сервера. Я думаю, что обнаружение атак - это одна из задач, которую вы можете решить с помощью нашей универсальной системы. Мы считаем, что люди устали от приобретения систем, которые реализуют только одну функцию. Даже, если она реализована хорошо.

Карри: Компания IBM предлагает обслуживание, которое объединяет предложение систем обнаружения атак в реальном режиме времени (компания IBM предлагает систему RealSecure компании ISS - примечание переводчика), круглосуточный текущий контроль обученным персоналом и опытную группу экспертов, реагирующих на нарушения и инциденты безопасности. Мы различаем термины "злоупотребление" и "атака", но давайте не будем сейчас останавливаться на этом. Мы полагаем, что система обнаружения атак - больше чем несколько датчиков, развернутых в сети. Вы нуждаетесь в сообщающейся системе, которая позволяет вам собирать информацию от датчиков на центральной консоли. Вы нуждаетесь в системе, хранящей эту информацию для более позднего анализа, и в средствах, чтобы такой анализ провести. Вы нуждаетесь в средствах, контролирующих эти датчики постоянно и мгновенно реагирующих в случае тревоги. Атака может быть завершена за минуты и даже секунды. В заключение, и возможно это наиболее важно, вы нуждаетесь в группе выделенных экспертов в области защиты, которые знают, как использовать все эти средства для всесторонней защиты от постоянно растущих угроз. Все эти компоненты вместе образуют реальную и эффективную систему обнаружения атак. Если вы реализуете ее без какого-либо из этих компонентов, то вы только вводите себя в заблуждение.

Саттерфилд: Все сводится к семантике. "Обнаружение атак" - термин, используемый для описания конечной цели деятельности. Вы должны обнаружить, когда кто-то делает что-то, что дает ему доступ к чему-то, к чему у него доступа быть не должно. В действительности, технология обнаружения атак обеспечивает способность обнаружить что-то, что пользователь хочет обнаружить. Думайте об этом, как о микроскопе или телескопе для потока данных. Фактически, обнаружение злоупотреблений - только один из вариантов использования технологии обнаружения атак. Базовая технология позволяет вам просматривать сетевой пакет, только пакет, и ничего кроме пакета. Дальше вы можете увидеть что-нибудь другое, если увеличите "размер изображения".

Мониторинг - это хорошо. Обнаружение атак гораздо более эффективно, если осуществляется 24 часа в сутки, 7 дней в неделю. Стоимость таких услуг значительна. Мы полагаем, что компании, которые собираются предлагать эти услуги, хотят делать большой бизнес. Это обеспечит намного более высокое качество защиты ресурсов заказчиков, чем, если бы они сами реализовали у себя комплекс мер по обнаружению атак. Поставщики услуг могут выбирать технологии, позволяющие масштабировать и дублировать свои решения, тем самым, снижая издержки и свои, и заказчиков. Наблюдайте за выбором системы обнаружения атак крупными поставщиками услуг. Это будет показателем качества предлагаемых на рынке систем обнаружения атак.

Клаус: Опасно игнорировать термин "злоупотребление". Единственное различие, которое я делаю между "обнаружением атак" и "обнаружением злоупотреблений" - исходит ли нарушение снаружи сети (это атака) или изнутри сети (это злоупотребление). Оба потенциально разрушительны. Система RealSecure может быть развернута как снаружи межсетевого экрана, так и после него, что позволяет обнаружить как внешних злоумышленников, так и внутренних участников злоупотреблений. И она может реагировать на оба события. Еще можно сказать о различии между терминами так: "злоупотребление" определяет действие, которое нарушает стратегию использования сети (например, посещение порносайтов), в то время как, "атака" определяет действие, которое указывает на то, что кто-то атакует и ставит под угрозу защиту сети. Оба этих действия важны для администратора защиты и системы обнаружения атак, подобно RealSecure, могут обнаружить и помочь предотвратить оба этих действия.

Спаффорд: Для нас, атака - это подмножество злоупотребления. Посторонние атакуют систему, чтобы неправильно использовать ее. Однако авторизованные пользователи также могут злоупотреблять системой. Сетевой мониторинг полезен для управления и оптимизации сети. Он также может использоваться для обнаружения атак и злоупотреблений. Однако он не может обеспечить вам контроль приложений, работающих на хосте.


Девид Карри (David A. Curry) - старший аналитик по безопасности Internet в службе реагирования и помощи компании IBM (IBM Internet Emergency Response Service - IBM-ERS). Участник технической группы, отвечающей за управление инцидентами и реагирование на них для заказчиков IBM-ERS. Он также отвечает за создание бюллетеня Security Vulnerability Alert и разработку планов тестирования шлюзов заказчиков.

Карри начинал как системный программист Unix. Работал системным программистом в университете Purdue, исследовательском центре NASA, лаборатории SRI и т.п. Автор нескольких книг по программированию для операционной системы Unix и обеспечению ее информационной безопасности.

Кристофер Клаус (Christopher Klaus) - основатель и технический директор компании Internet Security Systems. Автор системы анализа защищенности на сетевом уровне Internet Scanner. Он обеспечивает консультационную поддержку в области безопасности многих государственных учреждений и компаний, входящих в список Fortune 500. Руководитель групп компании ISS, разрабатывающей системы Internet Scanner, System Security Scanner и RealSecure.

Маркус Ранум (Marcus J. Ranum) - президент компании Network Flight Recorder и руководитель исследовательской группы корпорации V-ONE. Автор многих межсетевых экранов, включая DEC Seal, TIS Gauntlet и TIS Internet Firewall Toolkit. Контролировал и защищал сети, построенные на основе UNIX в течение 13 лет, включая настройку и управление доменом whitehouse.gov.

Ранум - частый лектор и участник конференций по информационной безопасности.

Ли Саттерфилд (Lee Sutterfield) - один из основателей и исполнительный вице-президент компании WheelGroup. Получил признание в Центре информационной войны Военно-воздушных сил США. Имеет 15-тилетний опыт работы в области защиты информации.

Юджин Спаффорд (Eugene Spafford) - профессор, директор лаборатории COAST в университете Purdue. В университете занимался вопросами увеличения надежности компьютерных систем, что привело к занятию вопросами защиты информации. Автор большого числа публикаций в области обеспечения информационной безопасности. В течение последних лет служил консультантом многих государственных и коммерческих организаций, включая ФБР, АНБ, Министерство Энергетики, Военно-воздушные силы США и т.д. Является одним из авторов системы анализа защищенности на уровне операционной системы COPS, системы обнаружения атак Tripwire, IDIOT и многих других.


Сравнительные характеристики


Ниже приведены основные преимущества и недостатки пакетных фильтров и серверов

прикладного уровня относительно друг друга.

К положительным качествам пакетных фильтров следует отнести следующие:

относительно невысокая стоимость

гибкость в определении правил фильтрации

небольшая задержка при прохождении пакетов

Недостатки у данного типа брандмауэров следующие :

локальная сеть видна ( маршрутизируется ) из INTERNET

правила фильтрации пакетов трудны в описании, требуются очень хорошие знания

технологий TCP и UDP

при нарушении работоспособности брандмауэра все компьютеры за ним становятся

полностью незащищенными либо недоступными

аутентификацию с использованием IP-адреса можно обмануть использованием IP-спуфинга

(атакующая система выдает себя за другую, используя ее IP-адрес)

отсутствует аутентификация на пользовательском уровне

К преимуществам серверов прикладного уровня следует отнести

следующие:

локальная сеть невидима из INTERNET

при нарушении работоспособности брандмауэра пакеты перестают

проходить через брандмауэр, тем самым не возникает угрозы

для защищаемых им машин

защита на уровне приложений позволяет осуществлять большое количество дополнительных

проверок, снижая тем самым вероятность взлома с использованием дыр в программном

обеспечении

аутентификация на пользовательском уровне

может быть реализована система немедленного

предупреждения о попытке взлома.

Недостатками этого типа являются:

более высокая, чем для пакетных фильтров стоимость;

невозможность использовании протоколов RPC и UDP;

производительность ниже, чем для пакетных фильтров.



Средства аутентификации пользователей


МЭ позволяет использовать различные средства аутентификации пользователей,

как системы одноразовых паролей, так и пароли условно-постоянного действия.

Использование последних для доступа через открытые сети крайне не

рекомендуется, ввиду их легкой компрометации. Из систем одноразовых

паролей поддерживаются все основные виды смарт-карт и софтверных

реализаций. В наших условиях наиболее употребительной системой может

стать S/Key, ввиду доступности. смарт-карты на данный момент не могут

импортироваться в соответствии с законодательством.



Статистика самых распространенных атак


В 1998 году NIST проанализировал 237 компьютерных атак, информация о которых была опубликована в Интернет. Этот анализ дал следующую статистику:

29% атак были организованы из-под Windows.
Урок: Не стоит считать опасной только Unix. Сейчас наступило время атак типа "укажи и кликни". в 20% атак атакующие смогли удаленно проникнуть в сетевые элементы (то есть маршрутизаторы, коммутаторы, хосты, принтеры и межсетевые экраны).
Урок: атаки, в ходе которых атакующий получает неавторизованный доступ к удаленным хостам не так уж редки. в 3% атак веб-сайты атаковали своих посетителей.
Урок: поиск информации в WWW больше не является полностью безопасным занятием. в 4% атак производилось сканирование Интернета на наличие уязвимых хостов.
Урок: Имеется много средств автоматического сканирования, с помощью которых могут быть скомпрометированы хосты. Системные администраторы (сами или с чьей-то помощью) должны регулярно сканировать свои системы (а не то это сделает кто-то другой). 5% атак оказались успешными атаками против маршрутизаторов и межсетевых экранов.
Урок: сами компоненты инфраструктуры Интернетеа уязвимы к атакам (правда благодаря профессионализму производителям компьютеров и программ для них, большинством этих атак были атаки удаленного блокирования компьютеров и сканирования, и только небольшая часть из них были удаленным проникновением в компьютеры.)



Страх «черного хода»


Поскольку исходные тексты открыты, некоторые компании опасаются, что хакеры будут создавать «черные ходы» в свободно распространяемом инструментарии, через которые они смогут проникать в системы. Робичаукс по этому поводу заметил: «Это одно из самых серьезных препятствий на пути широкого распространения открытого программного обеспечения. Однако вовсе не значит, что такое опасение обоснованно и имеет под собой реальную почву. Тем не менее, некоторые компании требуют, чтобы все свободно распространяемое программное обеспечение, используемое в их подразделениях, было создано «с нуля», без каких-либо готовых или загруженных пакетов».



Строгая защита


В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния. ASA отслеживает адреса источника и назначения, порядковые номера TCP соединений, номера портов и дополнительные TCP флаги для каждого пакета. Эта информация заносится в таблицу и все входящие и выходящие пакеты сравниваются со значениями в таблице. Это дает возможность прозрачной работы с Интернет внутренним пользователям и в то же время защищает внутреннюю сеть от несанкционированного доступа. Кроме того, в PIX используется встроенная система реального времени, которая по уровню защиты превосходит стандартные открытые системы вроде UNIX.



Структура современных систем обнаружения вторжения


Системы обнаружения вторжения (СОВ) – это системы, собирающие информацию из различных точек защищаемой компьютерной системы (вычислительной сети) и анализирующие эту информацию для выявления как попыток нарушения, так и реальных нарушений защиты (вторжений) [, ]. Структура СОВ представлена на рис. 1.

До недавнего времени наиболее распространенной структурой СОВ была модель, предложенная Дороти Деннинг (D. Denning) [].

В современных системах обнаружения логически выделяют следующие основные элементы: подсистему сбора информации, подсистему анализа и модуль представления данных [].

Подсистема сбора информации используется для сбора первичной информации о работе защищаемой системы. Подсистема анализа (обнаружения) осуществляет поиск атак и вторжений в защищаемую систему. Подсистема представления данных (пользовательский интерфейс) позволяет пользователю(ям) СОВ следить за состоянием защищаемой системы.


Рис. 1. Структура системы обнаружения вторжения

Подсистема сбора информации аккумулирует данные о работе защищаемой системы. Для сбора информации используются автономные модули – датчики. Количество используемых датчиков различно и зависит от специфики защищаемой системы. Датчики в СОВ принято классифицировать по характеру собираемой информации. В соответствии с общей структурой информационных систем выделяют следующие типы:

датчики приложений – данные о работе программного обеспечения защищаемой системы; датчики хоста – функционирование рабочей станции защищаемой системы; датчики сети – сбор данных для оценки сетевого трафика; межсетевые датчики – содержат характеристики данных, циркулирующих между сетями.

Система обнаружения вторжения может включать любую комбинацию из приведенных типов датчиков.

Подсистема анализа структурно состоит из одного или более модулей анализа – анализаторов. Наличие нескольких анализаторов требуется для повышения эффективности обнаружения. Каждый анализатор выполняет поиск атак или вторжений определенного типа. Входными данными для анализатора является информация из подсистемы сбора информации или от другого анализатора. Результат работы подсистемы – индикация о состоянии защищаемой системы. В случае, когда анализатор сообщает об обнаружении несанкционированных действий, на его выходе может появляться некоторая дополнительная информация. Обычно эта информация содержит выводы, подтверждающие факт наличия вторжения или атаки.

Подсистема представления данных необходима для информирования заинтересованных лиц о состоянии защищаемой системы. В некоторых системах предполагается наличие групп пользователей, каждая из которых контролирует определенные подсистемы защищаемой системы. Поэтому в таких СОВ применяется разграничение доступа, групповые политики, полномочия и т.д.



Свободно распространяемые средства защиты: за и против


Сравним свободно распространяемые и коммерческие инструментальные средства по затратам, качеству и технической поддержке.

Затраты. Одно из основных преимуществ свободно распространяемых инструментальных средств — их меньшая по сравнению с коммерческими продуктами стоимость. Такие системы распространяются бесплатно или по очень низким ценам, а, кроме того, они либо вообще не предусматривают лицензионных выплат, либо выплаты эти значительно меньше, чем для коммерческих продуктов. Однако некоторые пользователи на собственном опыте убедились, что утверждение «вы получаете то, за что заплатили» в полной мере применимо к свободно распространяемому инструментарию.

Однако Бадди Бакстер, технический менеджер EDS по инфраструктурным решениям для кредитных союзов, полагает, что если продукт стоит дороже, это вовсе не означает, что он будет в большей степени защищен. По его словам, EDS может установить систему защиты на основе программного инструментария Astaro, которая будет стоить вчетверо дешевле коммерческого продукта компании Check Point Software Technologies.

Качество. Директор по технологиям компании Guardent Джерри Бреди подтвердил, что некоторые свободно распространяемые инструментальные средства защиты не хуже (а то и лучше) их коммерческих аналогов. Например, по его словам, сканер уязвимых мест защиты Nessus обеспечивает лучшие возможности распределенной обработки, удаленного запуска и планирования, чем многие коммерческие продукты. «Благодаря использованию свободно распространяемой методологии вы можете в большей степени сосредотачиваться на тех вещах, которые действительно важны. Для Nessus вопросы распространения намного менее приоритетны, чем вопросы качества кода», — подчеркнул он.

Однако ему возражает Маркус Ранум, эксперт по вопросам защиты и глава компании NFR Security: «Не думаю, что программы имеют высокое качество уже потому, что распространяются свободно. На самом деле, качественным продукт делает именно его целенаправленная разработка. А открытость этого никак не гарантирует».


С ним согласен и Спаффорд: «Надежность продукта определяется в первую очередь его качеством и поддержкой. Был ли он хорошо спроектирован? Придерживались ли его разработчики четкой дисциплины и не добавили ли к нему чересчур много функций? Многое свободно распространяемое программное обеспечение создается людьми, не имеющими надлежащего опыта, инструментальных средств, времени или ресурсов для того, чтобы сделать это настолько тщательно, как того требует действительно высоко надежная среда».

Сторонники свободно распространяемых решений утверждают, что открытый код изучает очень много специалистов, поэтому они способны обнаружить проблемы намного быстрее, чем ограниченный круг разработчиков, создающих коммерческий продукт той или иной компании. «Поисками и исправлением ошибок в общедоступном программном обеспечении могут заниматься намного больше людей», — сказал Майк Куртис, директор по исследованиям компании Redsiren Technologies, предоставляющей услуги обеспечения информационной безопасности.

Кроме того, как заметил Куртис, разработчики свободно распространяемых программ могут быстрее реагировать на обнаруженные изъяны в защите, чем коммерческие компании просто в силу меньшей загруженности и отсутствия бюрократических препон. «Разработчики свободно распространяемых решений в большей степени заинтересованы в том, чтобы исправить обнаруженные ошибки, чем добавить новые возможности для следующей версии», — считает он.

Однако с ним не согласен Ранум: «Исходя из собственного опыта, могу подтвердить, что очень немногие специалисты действительно тщательно изучают код. Они, как правило, просто просматривают файлы с описанием. Созданный мною первый открытый пакет инструментальных средств для межсетевого экрана в той или иной степени использовали около 2 тыс. сайтов, но лишь десять человек сообщили о нем свое мнение или прислали заплаты, исправляющие ошибки. Так что я бы не стал уповать на открытость программного обеспечения», — сказал он.

Многие сторонники закрытых исходных текстов считают, что для поиска ошибок в программе важнее качество, а не число изучающих ее людей. Они утверждают, что эксперты по программному обеспечению компании-производителя, работающие над своими продуктами, выполняют работу более качественно, чем те, кто изучает свободно распространяемые пакеты.



К его мнению присоединяется и Спаффорд. « Во многих компонентах свободно распространяемого программного обеспечения были найдены ошибки после того, как их долгие годы использовали и изучали сотни тысяч раз. Ошибки не были обнаружены просто потому, что те, кто просматривал этот код, не имели необходимых навыков, позволяющих это сделать. Во многих случаях пользователи изучают код, чтобы адаптировать его к своим нуждам, а не для того, чтобы детально его проанализировать», — заметил он.

Поддержка. Сторонники коммерческого программного обеспечения утверждают, что их производители, в отличие от организаций, занимающихся свободно распространяемыми решениями, предлагают клиентам услуги поддержки и другие ресурсы, которыми можно воспользоваться в случае каких-либо проблем. Однако такой подход позволяет усилить позиции и тем, кто предлагает услуги поддержки пользователям свободно распространяемого программного обеспечения защиты.

«Служба поддержки дает более надежные гарантии клиенту и позволяет оказать ему помощь. Вы можете определить соглашение об уровне обслуживания и предоставить производителю возможность самому выбирать нужный инструментарий и помогать клиентам адаптироваться к изменениям в технологии», — заметил Бреди.

Другие вопросы. Некоторые сторонники закрытых исходных текстов считают, что из-за доступности свободно распространяемого кода хакерам намного проще разобраться, каким образом можно преодолеть такую защиту. Однако апологеты свободно распространяемых решений утверждают, что это не так, поскольку хакерам по силам взломать защиту, организованную с помощью коммерческих продуктов. В то же время, они отмечают, что свободно распространяемые инструментальные средства защиты проще настроить, поскольку имеются их исходные тексты.


T.Rex


T.Rex () — это свободно распространяемый программный межсетевой экран, который компания Freemont Avenue Software выпустила в 2000 году. Он работает на платформах AIX, Linux и Solaris, и сейчас его применяют около 31 тыс. пользователей.



Типичный пример реализации системы защиты при доступе к Internet


Структура сети и ее вклад в политику защиты

При построении системы защиты очень важен выбор структуры сети. Правильный выбор структуры сети обычно облегчает разработку политики безопасности и управлении firewall и повышает устойчивость защиты. Во многих случаях неудачное размещение какого-либо сетевого объекта может создать трудности при контроле некоторых видов трафика и детектировании попыток взлома сети. Примерная схема сети компании, реализующей полнофункциональное подключение к Internet, приведена на рисунке. В некоторых случаях (где часть сервисов предоставляет провайдер) отдельные элементы схемы могут отсутствовать. Практически, реализация данной схемы не зависит от величины компании, важно только наличие или отсутствие соответствующих сетевых сервисов.

Распределенная DMZ и минимизация внутренних угроз

Одним из примеров решения по выбору структуры сети является размещение общедоступных серверов - Web, FTP, SMTP, DNS в распределенной демилитаризованной зоне. С одной стороны, эти серверы должны быть доступны для всего внешнего мира, с другой - необходимо строго контролировать попытки доступа к ним. В достаточно крупной компании администратор не может контролировать все подключения к этим серверам, так как это заняло бы как минимум весь рабочий день. С другой стороны, именно эта часть системы подвержена наибольшему риску оказаться объектом атаки как по причине своей очевидной доступности, так и из-за массы известных и регулярно обнаруживаемых новых ошибок в реализации программ, обеспечивающих эти типы сервиса. Даже при безупречном программном обеспечении существуют некоторые возможности прервать работу публичных серверов, используя особенности реализации стека TCP/IP. Так или иначе, даже если администраторы сети постоянно следят за всеми публикациями об обнаруженных ошибках и устанавливают все выпускаемые "заплатки", нет никакой гарантии, что некто не сможет получить доступ к открытым серверам. Пока единственной гарантией может служить только полная изоляция сервера.

Поэтому все доступные извнесерверы обычно размещают в специально отведенной только для них зоне так, чтобы в худшем случае под угрозой оказался только один участок сети. Еще более предпочтительным вариантом является подключение каждого из открытых серверов на отдельный сетевой интерфейс firewall. Это дает возможность со стопроцентной уверенностью контролировать весь трафик такого сервера и гарантирует защиту одного открытого сервера от другого в случае нарушения безопасности одного из них. В случае размещения всех серверов в одной сети такой возможности не существует, и, получив доступ к одной из машин, нарушить работу остальных достаточно просто.


Proxy - помощник или конкурент?

Все системы firewall обычно делятся на два основных класса - packet-filtering и application proxy. Системы первого типа свои функции выполняют на уровне протокола TCP/IP. Вторые обычно являются набором прокси-программ для каждого из поддерживаемых типов сервисов. Firewall-1 имеет свойства каждого из этих классов, и, казалось бы, наличие дополнительного прокси-сервера для HTTP и FTP является избыточным. Однако такой прокси-сервер позволяет в некоторых случаях сильно упростить политику безопасности, а также исключить ряд неприятных возможностей доступа извне к машинам внутренних сетей.

Firewall-1 имеет ряд полезных функций по контролю соединений HTTP и FTP: запрещение доступа к спискам URL, вырезание тегов Java и ActiveX из загружаемых страничек, антивирусная проверка файлов, ограничение доступа по паролю и т. п. Однако такая проверка обычно выполняется для стандартного протокола HTTP, который использует порт 80. Безусловно, существует возможность описания и других портов, но это становится не очень удобным, а иногда такой вариант и просто неприемлем, так как очень многие русскоязычные сайты используют для разных кодировок произвольные порты. В таком случае приходится либо открывать для доступа в глобальную сеть все старшие порты TCP/IP, либо постоянно добавлять тот или иной порт для новых сайтов. Кроме того, ряд сайтов использует тот же номер порта, что и доступные http-прокси вне локальной сети предприятия. В случае необходимости применения ограничений на HTTP вариант с внешними прокси сводит на нет все усилия администратора.

Также достаточно неприятным моментом является возможность доступа к машинам локальной сети предприятия с использованием стандартных средств протокола FTP - обратного соединения. В случае если firewall позволяет пользователям работать напрямую по протоколу FTP, для передачи данных обычно используется соединение, открываемое машиной, находящейся вне внутренней сети, к машине, запросившей файл. Причем в зависимости от реализации firewall, такое обратное соединение может быть открыто либо только к машине, инициировавшей ftp-сессию (такая проверка есть в Firewall-1), либо вообще к любой машине.

Установка прокси-сервера на отдельном сетевом сегменте системы firewall позволяет решить эти проблемы. Так как все пользователи обращаются к прокси-серверу по единственному порту TCP, есть возможность применения всех средств контроля протоколов FTP и HTTP в одном месте - между пользователями и прокси-сервером. В случае с протоколом FTP, установка прокси исключает возможность использования обратного соединения, так как всю работу по FTP прокси-сервер выполняет сам. Заметим, что использование только прокси-сервера в качестве центрального элемента защиты во многих случаях просто невозможно.



Служба DNS — двуликий Янус

При построении системы защиты предприятия, имеющего доступ к открытым сетям, важным принципом является сокрытие информации о внутреннем устройстве сети от внешних лиц. Один из источников такой информации — служба имен DNS. Классическим решением этой задачи может служить установка двух отдельных серверов DNS — одного для обслуживания запросов внутренних пользователей, другого для запросов имен извне (некоторые системы защиты предоставляют средства, объединяющие эти два DNS-сервера на одном компьютере, но функциональность этих средств, как правило, ограничена). Внутренний сервер должен содержать всю информацию о внутренней сети предприятия, а для разрешения запросов об именах внешних машин обращаться к внешнему серверу организации, который содержит записи, необходимые только для поддержания функционирования сервера имен, и имена публичных серверов (SMTP, Web, FTP). Такая структура позволяет создать полноценную службу DNS внутри организации, а на все внешние запросы DNS сообщать информацию только о доступных всем серверах.

Адресная трансляция

При подключении к Internet организация обычно получает в свое распоряжение одну сеть класса С, что позволяет использовать 254 уникальных адреса для компьютеров в сети предприятия (наличие внутри сети маршрутизаторов сокращает это число). Кроме очевидной проблемы с количеством, использование выделенных Internet-адресов достаточно сильно снижает гибкость при распределении адресов, создает массу трудностей при смене провайдера услуг Internet, обеспечивает потенциальную возможность доступа извне к любой машине, имеющей такой адрес. Не случайно в пространстве IP-адресов существуют области, специально зарезервированные для внутреннего использования. При применении этих адресов администратор сети имеет возможность назначать внутренним машинам адреса из сетей любого класса по своему усмотрению. Это снимает все ограничения на количество IP-адресов во внутренней сети и вместе с тем затрудняет задачу доступа к таким адресам из внешнего мира. В простейшем случае с помощью NAT (Network Address Translation) возможно организовать работу всей компании с использованием единственного зарегистрированного IP-адреса.

Для организации работы таких сетей с Internet используется механизм трансляции адресов (NAT). Обычно эти функции (NAT) выполняет либо маршрутизатор, либо система firewall - эти устройства подменяют адреса в заголовках проходящих через них IP-пакетов. Check Point Firewall-1 имеет достаточно гибкие возможности по организации NAT. В простейшем случае администратору достаточно поставить галочку, разрешая трансляцию адресов, и указать, в какой реальный адрес (или начиная с какого) и как (Static/Hide) транслировать адрес данной машины, сети или набора адресов.

Если же требуется более сложная конфигурация, Firewall-1 позволяет в ручном режиме задать правила трансляции в зависимости от адресов источника или назначения и типа протокола, которому принадлежит пакет.



Удаленный доступ в схеме "корпорация и провайдер"

Во многих организациях необходимо обеспечить возможность работы удаленных или мобильных пользователей с каким-либо ресурсом внутренней сети компании по телефонной линии через модем или через ближайшего к ним провайдера. Оба случая требуют особого внимания к аутентификации пользователей и защите передаваемых данных.

Хорошим решением в таких случаях могут стать средства Firewall-1 SecuRemote. Этот пакет может быть установлен на компьютерах удаленных пользователей для защиты от прослушивания и изменения конфиденциальной информации и обеспечения безопасности процедур входа и регистрации при загрузке или аутентификации. SecuRemote использует средства с открытым ключом, причем использование их возможностей может быть ограничено лишь отдельными видами трафика, тогда как остальной обмен (например, выход в глобальную сеть) может передаваться в открытом виде. Аутентификация firewall поддерживает целый ряд программных и аппаратных средств других производителей - ActiveCard, Axent/ AssureNet, Funk Software, Security Dynamics/RSA, VASCO Data Security. При реализации удаленного доступа мы рекомендуем устанавливать устройства удаленного доступа на отдельный интерфейс системы firewall. Как отмечалось выше, это позволяет полностью контролировать как доступ к серверам удаленного доступа, так и все процессы авторизации пользователей (обычно в крупных системах используются внешние серверы авторизации).

Схема с полностью скрытым шлюзом (и VPN)

Как бы ни была построена сеть компании и система защиты, главным является сам firewall.

Как правило, большинство ограничений и проверок выполняются именно этой машиной, и firewall имеет интерфейсы во все основные сети предприятия. Защита самого firewall по этой причине является одной из важных задач в обеспечении безопасности сети. Для решения этой задачи используются два основных элемента. Во-первых, выключение на компьютере всех, не относящихся к firewall служб и запрещение любого трафика, адресатом или инициатором которого мог бы быть firewall. Модули Firewall-1 устанавливаются сразу за драйверами сетевых адаптеров до операционной системы, что позволяет оградить firewallот различных атак, направленных на стек TCP/IP. Во-вторых, для затруднения неавторизованного доступа к firewall используют адреса из пространства, зарезервированного самим firewall. Для попытки подключения к такой машине необходимо узнать ее IP-адрес, что практически невозможно при отсутствии доступа к расположенным поблизости от firewall маршрутизаторам. Если такой адрес все же стал известен, для доставки пакета с таким "нелегальным" адресом назначения через открытую сеть потребуются определенные усилия.

Организация такой схемы защиты предполагает наличие маршрутизатора между firewall и внешней сетью для использования зарезервированных адресов на всех интерфейсах firewall, а также для фильтрации нежелательных пакетов с его внешнего интерфейса.

Конечно, необходимо обеспечить защиту внешнего маршрутизатора, но эта задача несоизмеримо проще. Как правило, предоставляемые маршрутизаторами средства фильтрации прекрасно приспособлены для защиты самого устройства и в меньшей степени пригодны для реализации полнофункциональной защиты предприятия. Для облегчения задачи создания правил фильтрации можно использовать Firewall-1 Router Extension, который поддерживает генерацию и установку списков фильтрации на маршрутизаторы Bay Networks, Cisco, 3Com. Этот механизм полностью интегрирован в политику безопасности Firewall-1, его средства управления и мониторинга.



Протоколы администрирования сетевых устройств

Большинство сетевых устройств управляется и конфигурируется по протоколам telnet или SNMP v1, причем многие не имеют возможности задавать список адресов станций управления.

Авторизация построена на передаче секретной строки текста, причем эта передача идет в незакодированном виде. Таким образом, любой пользователь, находящийся в одном сегменте с администратором, может узнать полную конфигурацию или даже получить доступ к управлению устройствами. При построении системы защиты имеет смысл постараться привести структуру сети к такому виду, чтобы возможность этих действий была сведена к минимуму. Одним из решений, не требующих замены или модернизации сетевых устройств для поддержки какого-либо из протоколов с защитой информации, является вынесение всех администраторов и интерфейсов сетевых устройств, через которые ведется управление, в одну сеть или в одну виртуальную локальную сеть. Связь выделенной для управления части сети с остальными частями внутренней сети и внешним миром должна быть защищена firewall с блокировкой всего SNMP, telnet и др. трафика в направлении этой сети.

Вирусы в сети и способы борьбы с ними

Кроме стандартных способов борьбы с вирусами, таких как сканирование дисковых разделов, где хранятся файлы, и почтовых ящиков, в Firewall-1 имеется возможность проводить проверку всего входящего и выходящего SMTP, FTP и HTTP-трафика на наличие в нем вирусов и архивов с зараженными файлами.

Специально для этих целей создан протокол CVP (Content Vectoring Protocol), который поддерживают продукты многих компаний-изготовителей антивирусных средств (Symantec, EliaShim, McAfee, Integralis, Cheynne). Антивирусный сервер представляет собой отдельный компьютер с работающим на нем антивирусным программным обеспечением. Firewall передает ему все проходящие через него файлы, а проверенные или вылеченные направляет затем пользователю.


Транслирующие сервера - набор поддерживаемых сервисов


Proxy TCP

Основной функцией этого proxy является поддержка коммуникаций между

интерфейсами межсетевого экрана. Для выполнения этой функции proxy может

консультироваться с Oracle. Поскольку этот сервер является базовым, он не

поддерживает аутентификации пользователей, преимущественно предназначен для

работы в прозрачном режиме. Администратор имеет возможность контролировать

использование этого proxy по следующим параметрам:

устанавливать максимальное время неактивности, после которого разрывается

соединение.

устанавливать время действия аутентификации для прозрачного режима работы

Proxy TCP запускается через Guardian после проверки последним

правомочности запрошенного соединения.

Proxy FTP.

Этот сервер поддерживает протокол FTP и позволяет:

производить аутентификацию пользователя

интерпретировать команды протокола FTP

включать прозрачный режим

Proxy Telnet

Служит для поддержки протокола удаленного интерактивного доступа Telnet.

Позволяет:

производить аутентификацию пользователя

включать прозрачный режим

менять пароль пользователя

Proxy HTTP

Этот сервер служит для поддержки на межсетевом экране протокола HTTP и имеет следующие

возможности:

аутентификация пользователя на использование протокола и запроса

включение прозрачного режима

изменять пароль пользователя

интерпретировать команды HTTP протокола

Proxy Gopher

Служит для поддержки протокола Gopher на межсетевом экране и позволяет:

осуществлять аутентификацию пользователя для использование gopher-запроса

включать прозрачный режим

UDP relay

Очень сходен с TCP proxy, за исключением того, что вместо TCP соединения

оперирует виртуальными UDP соединениями. Служит для поддержки некоторых

протоколов, таких как DNS, Archie. При запуске консультируется с Oracle для

определения правомочности пришедшего запроса.

Netacl

Служит для разрешения удаленного администрирования межсетевого экрана. Поддерживает все виды

аутентификации пользователей (по адресам, условно-постоянным и одноразовым


паролям, смарт-картам).

Система электронной почты.

Система состоит их двух частей - получателя почты и отправителя. Получатель

стартует через guardian при попытке удаленной машины. Не требует аутентификации

пользователя. Для дополнительного режима безопасности работает в ограниченном

участке файловой системы (UNIX chroot). Производит анализ управляющих

заголовков сообщений на предмет несанкционированных адресов.

Отправитель почты запускается при первоначальной загрузке системы как сервер

и через определенные промежутки времени проверяет пришедшую через приемник

почты, которую оправляет по назначению. В отличие от стандартных почтовых

программ в состав отправителя не включены:



Include mailer

File mailer

Program mailer

local mailer

Такая схема обеспечивает прием и передачу только корректных сообщений,

содержащих все необходимые заголовки в правильном формате.

Системный журнал.

Сервер системного журнала стартует при начальной загрузке системы и служит для

обработки сообщений, записываемых в системных журнал. Распределение сообщений в

соответствии с приоритетами осуществляется по правилам, описанных в

конфигурационном файле. Для предотвращения записи ложных сообщений, порт, по

которому работает этот сервер недоступен со стороны сети.

Уведомление администратора о событиях

Данная подсистема позволяет в реальном времени отслеживать события, связанные с

попытками нарушения политики безопасности. Имеется возможность пользоваться

различными механизмами уведомления, например по электронной почте, пэджеру или

путем вывода сообщения в специальное окно на консоли межсетевого экрана.

Система анализа статистики

Данная система позволяет осуществлять гибкий анализ статистики межсетевого экрана. Конкретные

возможности:



Суммарный анализ трафика

Анализ трафика по протоколам

Анализ переданного/принятого количества пакетов по функциям

Анализ трафика по рабочим станциям

приходящий трафик

Исходящий трафик

10 наиболее популярных удаленных машин.

Система администрирования межсетевого экрана

Содержит в своем составе развитый графический интерфейс, который позволяет:



работать с базой данных по пользователям

работать с базой данных по сервисам

управлять базой правил сетевого доступа


Трансляция адресов


Поскольку МЭ является фильтром на уровне приложений, все соединения

проходящие через него имеют обратный адрес самого МЭ, что полностью

скрывает внутреннюю структуру защищенной сети.



Tripwire


Спаффорд из университета Пурди и тогдашний студент Джин Ким разработали систему обнаружения вторжений Tripwire Academic Source, которую с момента ее выпуска в 1992 году загрузили более миллиона пользователей. Компания Tripwire (), которую основал Ким, позже полностью переделала эту программу, превратив ее в коммерческий продукт с закрытыми исходными текстами. Tripwire предлагает бесплатную версию для Linux, но продает коммерческие версии для платформ Unix и Windows NT.



Удобство использования и управления


Производители свободно распространяемого программного обеспечения, как правило, первостепенное внимание уделяют функциональности, а не удобству использования и управления. Как следствие, такие приложения иногда сложно развертывать и ими нелегко управлять. Например, как отметил Реуш, «установка Snort и управление этой системой может оказаться довольно трудным, особенно, если у вас нет достаточного опыта в написании инструментальных средств для Unix».

Пескаторе так объяснил сложившуюся ситуацию: «В случае со свободно распространяемыми инструментальными средствами большая часть знаний накапливается в головах людей, их использующих, в то время как производители коммерческих решений вынуждены помещать эти знания в продукт. Я не думаю, что когда-либо свободно распространяемые инструментальные средства защиты станут массовыми. Большинство людей предпочитают более простой подход».

Все это формирует небольшой, но быстро растущий рынок для интеграторов систем защиты и поставщиков услуг, таких как Guardent, Redsiren и Silico Defense. Эти компании могут предлагать инструментарий управления и, тем самым, скрыть от пользователей сложность свободно распространяемых продуктов, а также предоставлять гарантированный уровень обслуживания и поддержки.

Astaro стремится создать полную инфраструктуру защиты, которая объединяет многочисленные свободно распространяемые технологии в единый, простой в использовании интерфейс. Эрнст Келтинг, президент американского отделения Astaro, подчеркнул: «Пользователи не хотят работать с программным обеспечением, для которого не предлагаются услуги поддержки. Мы берем на себя эту нагрузку и освобождаем клиентов от возможных трудностей».



Угрозы и их последствия


Остановимся подробнее на тех опасностях и проблемах, которые подстерегают организацию при работе с подобными сетями, например Internet.

Существует достаточно много различных аналитических разработок по оценке рисков, которые в основном сводятся к трем категориям:

несанкционированный доступ к ресурсам сети; нелегальное ознакомление с информацией; отказ в предоставлении ресурса сети.

Как это ни парадоксально, но для компаний, активно использующих Internet в повседневной деятельности, влияние третьего фактора риска может быть очень существенным.

Наиболее опасными и, к сожалению, самыми распространенными являются непреднамеренные ошибки операторов информационных систем. Результатом такой ошибки может стать брешь в системе защиты, потеря данных, останов или выход из строя системы. Один из путей минимизации рисков, связанных с этим типом угроз, — максимальная автоматизация рабочего процесса, контроль за точным соблюдением инструкций и повышение квалификации персонала.

Заметим, что ущерб от краж и подлогов, совершенных с использованием компьютеров, находится всего лишь на втором месте. Мы хотим особо подчеркнуть, что основная опасность исходит непосредственно от персонала предприятия, причем угрозу создают как преднамеренные, так и непреднамеренные действия.

Основное отличие внешних угроз — это их непредсказуемость. К внешним угрозам мы относим не только попытки проникновения в сети предприятия с использованием слабостей в реализации той или иной стратегии защиты и администрирования, но и такие «мирные» угрозы, как сбой электропитания, обрыв информационного кабеля и т. д. По статистике, ущерб, нанесенный хакерами, намного меньше ущерба, связанного с выходом из строя отдельных элементов инфраструктуры.

Далее мы попытаемся дать несколько практических советов по реализации сетевой инфраструктуры, обратим ваше внимание на некоторые аспекты администрирования системы защиты, которые направлены на минимизацию упомянутых выше рисков.



Управление доступом на уровне пользователей


Наряду с субъектами-сетями межсетевыми экранами FireWall-1 поддерживаются такие субъекты доступа как пользователи и группы пользователей . Для таких субъектов в правилах доступа в качестве действия экрана определяется метод аутентификации, в результате чего трафик данного пользователя проходит через экран только том случае, когда пользователь докажет свою аутентичность.

Наиболее полно возможности управления безопасностью на уровне пользователей проявляются в продуктах FireWall-1/VPN-1 при установке в корпоративной сети такого продукта компании CheckPoint, как MetaIP. Сервис UAM, работающий в системе MetaIP, постоянно следит за процессами аутентификации пользователей и процессами получения компьютерами IP-адресов от DHCP серверов. В результате сервис UAM имеет данные о том, какие пользователи в настоящее время авторизовано работают в сети и какие IP-адреса они используют. При обработке очередного IP-пакета экран FireWall-1 может запросить у сервиса UAM информацию о пользователе, работающем с данным IP-адресом, и применить затем к пакету правило доступа, относящееся к этому пользователю. Таким образом, администратор безопасности может работать с правилами, написанными для пользователей, а не для IP-адресов, и в такой же форме получать отчеты о событиях, происходящих в сети. Это значительно повышает безопасность сети, так как администратор получает достоверные данные о том, какой пользователь выполнял действия с защищаемыми ресурсами сети.

Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать такую полезную для пользователя возможность, как единый логический вход в сеть. Пользователь избавляется от необходимости при каждом новом обращении к ресурсу через межсетевой экран повторять процедуру аутентификации - за него это делает экран, обращаясь прозрачным образом к сервису UAM.


В новых условиях требуются изменения и в отношении субъектов доступа - наряду с подсетями ими все чаще становятся группы пользователей и даже отдельные пользователи. Это связано, во-первых, с тем, что через Internet и другие глобальные сети с корпоративной сетью сегодня связываются различные категории пользователей, и им необходимо предоставить различный доступ к внутренним ресурсам. Во-вторых, ориентация на пользователей является следствием применения межсетевых экранов для контроля трафика между внутренними подсетями, что добавляет к субъектам межсетевого доступа большую армию сотрудников данного предприятия. В результате от межсетевого экрана требуется распознавание большого числа групп пользователей, в которые входят:

Сотрудники подразделений предприятия, работающие во внутренней сети Удаленные и мобильные сотрудники предприятия Сотрудники предприятий-партнеров по бизнесу, в том числе удаленные и мобильные Клиенты предприятия, получающие услуги по Internet Потенциальные клиенты, просматривающие рекламные материалы предприятия через Internet.

Каждая из этих категорий пользователей отличается правами доступа, причем категории могут включать и подкатегории, а некоторым пользователям (например, руководителям или администраторам) нужен индивидуальный доступ.

Классифицировать эти группы пользователей только на основании их IP-адреса, как это традиционно делали межсетевые экраны, практически невозможно, учитывая применение таких методов управления IP-адресами как DHCP, NAT и туннелирование. Поэтому контроль доступа на уровне пользователей требует поддержки в межсетевых экранах собственных средств работы с учетной информацией пользователей и средств аутентификации. Кроме того, очень желательна тесная интеграция этих средств с применяемыми в сетях системами администрирования и аутентификации пользователей.

Пользователь, прошедший аутентификацию на межсетевом экране, становится объектом правил доступа, разработанных либо для него лично, либо для группы пользователей, куда он входит. Кроме детализации прав доступа, работа на уровне пользователей позволяет повысить эффективность аудита событий, связанных с безопасностью. Такой аудит дает информацию о том, кто, когда и с помощью каких средств (протоколов и приложений) получал доступ к ресурсам предприятия.

Управление безопасностью на уровне пользователей не исключает использования IP-адресов при принятии решений о доступе и отслеживании активности пользователей. Более того, выполнение детального аудита невозможно без информации о том, какому пользователю принадлежит IP-адрес, указанный в пакетах, с помощью которых выполнялся тот или иной доступ к ресурсам. В условиях динамического назначения и изменения адресов эта задача требует от системы безопасности дополнительной работы по установлению соответствия между пользователями и используемыми ими IP-адресами.



Уровни детализации отчетов


Подсистема генерации отчетов позволяет создавать документы нескольких уровней детализации:

Executive - для высшего руководства компании; Line Management - для руководителей или менеджеров среднего звена; Technician - для технических специалистов.

Отчеты уровня Executive содержат краткую информацию об обнаруженных в корпоративной сети проблемах. В случае необходимости от кратких отчетов можно перейти к подробному описанию каждой обнаруженной уязвимости. Отличительной особенность данного уровня отчетов является возможность проведения сравнительного анализа уровня защищенности сети, в разные промежутки времени, а также анализа тенденций изменения состояния безопасности Вашей корпоративной сети.

Отчеты уровня Line Management содержат более подробную, чем в отчетах уровня Executive, информацию о найденных уязвимостях с указанием степени их риска.

Отчеты уровня Technician содержат не только подробную информацию о найденных уязвимостях, но и подробные поэтапные инструкции по устранению обнаруженных проблем. В некоторых случаях указываются ссылки на сервера производителей программного обеспечения, содержащие patch'и и т.п. (например, ссылки на статьи Microsoft Knowledge Base). Кроме указанных трех типов отчетов администратор может создавать свои собственные формы отчетов при помощи программного обеспечения Seagate Crystal Report 6.0.



Усеченное окружение


Из состава системы исключены все программы, являющиеся серверной частью

сетевых сервисов

Изменены режимы доступа к ключевым файлам и командам

Ликвидированы все ссылки на использование сетевых информационных сервисов

типа NIS

Уничтожены все бюджеты пользователей, кроме системных и администратора.

Исключены все виды компиляторов и загрузчиков

Все серверные программы работают в усеченном отрезке файловой системы

(UNIX chroot)



В каком направлении будут развиваться


Карри: Я думаю, что решение с одиночным датчиком (модулем слежения), установленным на одном компьютере, являлось лучшим на момент его принятия. Следующий большой шаг - обнаружение распределенных атак путем приема данных от множества датчиков, разнесенных по сети предприятия, и группирование этих данных в единое изображение, отражающее общую картину нападений на сеть (первые такие решения уже стали появляться, например, системы RealSecure или NetRanger - примечание переводчика). Единственный способ делать это сегодня - вручную (с момента публикации появилась первая система, обобщающая данные от систем обнаружения атак и других средств защиты в единую картину, демонстрирующую общий уровень безопасности сети, уже предлагается на рынке. Это система SAFEsuite Decisions компании ISS - примечание переводчика), и я предполагаю, что необходимость в человеческом контроле будет еще нужна в течение некоторого времени. Я думаю, что в течение ближайших 18-24 месяцев произойдет постепенное слияние рынка межсетевых экранов и систем обнаружения атак. Вы будете видеть несколько продуктов, все более или менее взаимозаменяемых в их ядре.

Саттерфилд: Технологии обнаружения атак развиваются быстрее молнии. Направление развития - удешевление инфраструктуры. Никто не хочет много тратить на защиту. Состязание в технологиях обнаружения атак будет выиграно теми, кто предложит заказчикам наиболее дешевое решение.

Клаус: Будет наблюдаться развитие трех (потенциально находящихся в противоречии) областей: развертывание, технологичность и качество обнаружения атак. В области развертывания мы будем видеть расширение числа мест обнаружения атак: на сетевом уровне (на межсетевых экранах, на коммутаторах, на маршрутизаторах), на уровне операционной системы (на серверах, на рабочих станциях) и на прикладном уровне (в СУБД или на сервере SAP, например). Для технологичности, , мы будем видеть, что системы станут более простыми в функционировании и более "приборо-подобными", чтобы встроить их в сетевую инфраструктуру без внесения в последнюю серьезных изменений. В области качества обнаружения атак мы увидим, что логика распознавания атак начнет включать модели построения поведенческих профилей и отклонений от этого профиля. Будет намного больше "интеллекта" в определении того, что является неправильным использованием ресурса или атакой. Общее число атак с ростом сетевых технологий неизбежно увеличится.

Ранум: Я думаю, мы увидим объединение сигнализирующих и экспертных систем обнаружения атак. Эти системы будут интегрированы в средства сетевого управления. Мы, специалисты в области защиты, должны прекратить решать отдельные проблемы сетевого управления. Поиск ошибок, обнаружения атак и т.п. - все это разные аспекты одной и той же проблемы - проблемы сетевого управления.

Спаффорд: Исследования в этой области все еще идут. Мы до сих пор не очень хорошо понимаем, за ЧЕМ надо наблюдать, КАК надо наблюдать и ЧТО делать после обнаружения? Я думаю, что следующая проблема, которая встанет перед коммерческими системами обнаружения атак - автоматизированное реагирование на некоторые виды нарушений. Мы видим, что появляются системы, заменяющие правила межсетевых экранов и маршрутизаторов (яркий пример такой системы - RealSecure - примечание переводчика). Системы станут больше отвечать термину "активная обороноспособность", потому что функции обнаружения и реагирования будут объединены в одном ядре системы. Такие системы станут распространенными в следующие 2-3 года (необходимо отметить, что такие системы уже получили широкое распространение. Сейчас очень трудно встретить систему, которая бы только обнаруживала атаки, но никак не реагировала на них - примечание переводчика).

Саттерфилд: Научно-исследовательские институты выполнили неплохую работу. Фактически, именно эти исследования дали первый опыт в области обнаружения атак нашей компании. Однако, институты слишком инерционны, чтобы направить новые исследования в нужную сторону. Они очень много усилий вкладывают в область обнаружения атак. Сейчас намечается постепенный возврат к "аномальному" подходу, значение которого было недооценено несколько лет назад. Я думаю, что в реализации обнаружения аномального поведения уже не будет допущено столько ошибок. Мы учтем уроки, полученные в результате исследований систем обнаружения злоупотреблений (misuse). Мы начинаем работать с некоторыми институтами и надеемся, что это будет взаимовыгодное сотрудничество. Время покажет.

Ранум: Практически все исследования систем обнаружения атак проводятся в области применения экспертных систем, поскольку они наиболее интересны с технической точки зрения и более вероятно, что работа в этой области действительно принесет нечто полезное. Большая проблема, которую я вижу, это игнорирование задач, связанных с сетевым управлением, а ведь "реальная защита равна сетевому управлению". Современные системы не имеют интуитивного интерфейса или настолько громоздки, что их очень трудно использовать. Я думаю, что хорошие идеи из области научных исследований переместятся в коммерческие системы.

Карри: Пару десятилетий изучение технологий обнаружения атак было прерогативой исследовательских лабораторий. До сих пор коммерческий сектор не обращал внимания на эти исследования и занимался повторным изобретением колеса. Но поскольку важность защиты продолжает расти, промежуток между исследовательскими проектами и коммерческими изделиями постоянно сокращается.

Спаффорд: Могу назвать несколько исследовательских лабораторий, которые за последние несколько лет провело успешную работу в области обнаружения атак. Это UC Davis, Haystack Labs и LANL. Эти работы привели к успешному созданию большого числа систем, среди которых можно назвать ASIM, Stalker, NADIR и др.

В лаборатории COAST рассмотрели ограничения и основные проблемы, связанные с областью обнаружения атак. Мы не начинаем с вопроса: "Хорошо, система дает нам X. Мы хотим Y. Что надо сделать, чтобы система, дающая X, давала нам Y?" Вместо этого, мы решаем задачи, связанные с обнаружением атак и злоупотреблений целиком, от начала до конца, и пробуем найти эффективные решения. Например, Юджин Ким (Gene Kim) и я начали разработку системы Tripwire с вопроса: "Что является характерным практически для каждой попытки злоупотребления или атаки?" Ответ: обращение (исследование) к локальным файлам или их изменение ("взлом"). Таким образом, мы разработали систему, которая хранит "слепок" файла и обнаруживает злоупотребление этим файлом. Другой пример, разработка Сандипом Кумаром (Sandeep Kumar) и мной системы обнаружения атак IDIOT (Intrusion Detection In Our Time). Мы проанализировали, что реально можно обнаружить в системе, а затем разработали инструмент, который смог бы обнаруживать это наиболее эффективно. Результат - система обнаружения атак на уровне хоста (host-based), которая практически не снижает производительности и имеет очень широкую область применения. Чему мы научились в процессе этой работы, так это тому, что большинство коммерческих систем не хранит информацию обо всех действиях также эффективно, как это сделано в системе IDIOT. Теоретически возможно обнаружить большое количество различных форм злоупотреблений, но операционные системы не обеспечивают нас поддержкой, позволяющей контролировать каждое действие. В результате большинство современных систем требуют оснащения защищаемых систем специальной аппаратурой для сбора необходимой информации. Как следствие, это приводит к снижению производительности и эффективности системы, а также к увеличению хранимых и обрабатываемых контрольных данных.

Сегодня лаборатория COAST сосредоточила свое внимание на четырех направлениях технологии обнаружения атак. Во-первых, определение информации, которая должна храниться в журналах регистрации, и способа их сбора для наиболее эффективного управления любой системой обнаружения атак. Во-вторых, определение наилучшей структуры и формата хранения регистрационных данных, чтобы они могли быть быстро обработаны, не требуя больших объемов памяти для хранения и обработки. В-третьих, перемещение обработки контрольных данных с центральной консоли ближе к фактическому источнику этих данных. Это реализуется в нашем проекте агента обнаружения атак AAFID (демо-версия данного агента может быть загружена с Web-сервера лаборатории - примечание переводчика). И, в-четвертых, определение того, как результаты исследований в первых трех направлениях могут быть реализованы в программном обеспечении.

Я думаю, что успех некоторых из рекламируемых сейчас систем обнаружения атак поощрит разработчиков операционных систем создать открытый интерфейс для интеграции с механизмами регистрации данных. Меня также волнует, что с системами обнаружения атак может произойти то, что произошло с межсетевыми экранами, когда на рынке появилось большое число "экспертов" в области безопасности и фирм с небольшими модификациями существующих технологий. В чем состоит проблема? В потере и непонимании основных принципов. Например, термин "firewall" ("межсетевой экран") появился приблизительно 7 лет назад. Фактически, насколько нам удалось обнаружить, термин "firewall" появился в 1991 году, в книге "Practical Unix Security" (признаю, что это моя оплошность, т.к. я ввел этот термин). Однако последний месяц ознаменовался первым появлением формальной модели межсетевого экрана, выполненной одним из моих студентов - Кристофом Шуба (Christoph Schuba). Люди были так заняты продажей межсетевых экранов, предоставлением обучающих программ для межсетевых экранов и их рекламой, что пренебрегли исследованиями того, что в действительности должен представлять собой межсетевой экран. Интересно то, что когда мы сравнили все коммерческие межсетевые экраны с моделью Кристофа, все они имели отсутствующие компоненты. Я вижу нечто подобное и в области обнаружения атак. Имеется потребность в таких системах. Давление на производителей систем обнаружения атак приведет к тому, что научные исследования и разработка соответствующей теории не будут выполнены. Уже сейчас акцент разработки в значительной степени смещается, и она ведется без понимания основополагающих принципов. Рынок средств защиты (а также средств управления) недостаточно поддерживает соответствующие исследования, проводимые в академических кругах, и в то же время многие университеты стимулируют перспективных студентов для выполнения этой работы.

Таким образом, я думаю, что и продавцы, и заказчики систем обнаружения атак должны поддерживать научно-исследовательские институты для проведения базисных исследований вместо постоянной модификации одних и тех же идей снова и снова (что и происходит сейчас). Мы нуждаемся в радикально новых идеях в этой (и других) областях.



Варианты установки системы RealSecure


Существует три основных участка, в которых может быть установлен модуль слежения системы RealSecure?:

После межсетевого экрана (в "демилитаризованной зоне" (DMZ)).


Основная цель такой установки - предотвращение атак на системы и устройства, установленные внутри DMZ. Это особенно важно для межсетевого экрана, как точки поступления внешних данных в вашу внутреннюю сеть. При добавлении RealSecure? в DMZ Вы дополнительно защищаете внешний периметр корпоративной сети от потенциальных атак.

До межсетевого экрана (в intranet).


Основная цель указанной установки - обнаружение изменений настроек межсетевого экрана и контроль трафика, проходящего через него. Модуль слежения, установленный до межсетевого экрана гарантирует:

что межсетевой экран функционирует должным образом; он не скомпрометирован и его настройки несанкционированно не изменялись; что не используются обходные пути через межсетевой экран, для атаки на внутреннюю сеть.

Также можно использовать эту конфигурацию совместно с предыдущей для проверки эффективности Вашего межсетевого экрана. Например, путем сравнения числа атак, обнаруженных до и после межсетевого экрана. На ключевых сегментах корпоративной сети.

Большинство атак на узлы сети реализуется изнутри и многие организации принимают меры по уменьшению ущерба от таких атак путем установки системы RealSecure? на критичных сегментах сети.

К другим вероятным местам размещения модулей слежения системы RealSecure? можно отнести:

размещение на главной сетевой магистрали (backbone) - для исследования межсегментного трафика; размещение сразу после модемной стойки - для защиты от НСД по коммутируемым каналам; и т.п.



Виртуальные сети


Ряд брандмауэров позволяет также организовывать виртуальные корпоративные сети ( Virtual

Private Network), т.е. объединить несколько локальных сетей, включенных в INTERNET в одну

виртуальную сеть. VPN позволяют организовать прозрачное для пользователей соединение

локальных сетей, сохраняя секретность и целостность передаваемой информации с помощью

шифрования. При этом при передаче по INTERNET шифруются не только данные

пользователя, но и сетевая информация - сетевые адреса, номера портов и т.д.



Вирусы и атаки


Практически ни один межсетевой экран не имеет встроенных механизмов защиты от вирусов и, в общем случае, от атак. Как правило, эта возможность реализуется путем присоединения к МСЭ дополнительных модулей или программ третьих разработчиков (например, система антивирусной защиты ViruSafe для МСЭ CyberGuard Firewall или система обнаружения атак RealSecure для МСЭ CheckPoint Firewall-1). Использование нестандартных архиваторов или форматов передаваемых данных, а также шифрование трафика, сводит всю антивирусную защиту "на нет". Как можно защититься от вирусов или атак, если они проходят через межсетевой экран в зашифрованном виде и расшифровываются только на оконечных устройствах клиентов?

В таком случае лучше перестраховаться и запретить прохождение через межсетевой экран данных в неизвестном формате. Для контроля содержимого зашифрованных данных в настоящий момент ничего предложить нельзя. В этом случае остается надеяться, что защита от вирусов и атак осуществляется на оконечных устройствах. Например, при помощи системных агентов системы RealSecure.



Внешний периметр: межсетевые экраны


Первую линию обороны от хакеров, интернет-червей, программ-шпионов и прочих врагов держит межсетевой экран.

Во многих компаниях, и даже в некоторых домашних сетях доступ к интернету осуществляется через общее широкополосное соединение. Для того чтобы выяснить уровень защиты, обеспечиваемый аппаратными межсетевыми экранами, мы протестировали две модели маршрутизаторов со встроенными точками доступа: Linksys Wireless-G Broadband Router WRT54G и Microsoft Wireless-G Base Station MN-700. В состав этих маршрутизаторов в качестве побочного продукта для обработки интернет-трафика входит простейший межсетевой экран.

Используя трансляцию сетевых адресов (Network Address Translation, NAT) и протокол динамической конфигурации хоста (Dynamic Host Configuration Protocol, DHCP), маршрутизатор распределяет среди компьютеров сети частные IP-адреса, скрывая их таким образом от внешних компьютеров, которые "видят" только IP-адрес самого маршрутизатора. Маршрутизатор открывает интернет-порты только в том случае, если его так настроить, или если компьютер сети запрашивает данные из интернета (например, обращается к веб-странице).

Маршрутизаторы препятствуют атакам, при которых хакеры используют средства сканирования портов для поиска уязвимых объектов. Если ни одна из систем сети не запрашивала пакеты данных, маршрутизатор просто отбрасывает входящие пакеты. Оба продукта позволяют открыть определенные порты и назначить им IP-адреса предназначенных для этого компьютеров. Этот процесс, известный как пересылка порта (port forwarding), позволяет выделить отдельные серверы для игр в онлайне и посещения веб-сайтов, не открывая доступ к остальным компьютерам сети. В модуле от Microsoft есть еще одна приятная функция: по умолчанию в нем включено WEP-шифрование; для защиты беспроводного трафика генерируется специальный ключ.



Внутренняя защита: антивирусы


Несмотря на то, что межсетевые экраны успешно блокируют ряд вирусов, зондирующих сетевые порты, и задерживают некоторые попытки их массового саморазмножения по электронной почте, в системе все равно необходим антивирусный сканер, который бы останавливал большинство инфекций, попадающих в компьютер через электронную почту и файлы, скачиваемые из интернета. Обезвредить эту инфекцию может только антивирусный сканер. Кроме сканеров, входящих в состав описанных выше пакетов по обеспечению безопасности, мы рассмотрели два самостоятельных продукта: Grisoft AVG Anti-Virus Professional и Eset NOD322.

Таблица - эффективность антивирусных сканеров

Все эти продукты удовлетворяют минимальным требованиям по "отлову" основных злонамеренных программ, встречающихся в интернете — тех, что хотя бы дважды упоминаются членами WildList Organization (www.wildlist.com), всемирным обществом разработчиков антивирусных программ. Ведь далеко не каждым вирусом действительно можно заразиться через Сеть: из примерно 100000 существующих вирусов в настоящее время всего около 250 встречаются в "диком" интернете; остальные существуют только в "лабораторных" условиях. Оказалось, что качество работы разных сканеров чувствительно зависит от типа вирусов. Например, все отобранные для обзора продукты хорошо справляются с вирусами и червями, действующими в 32-разрядной среде Windows — наиболее распространенным сегодня типом сетевой "инфекции". В этом случае качество распознавания очень высоко — от 90,4 до 100% (см. таблицу "Эффективность антивирусных сканеров").

Однако с троянскими программами, которые распространяются не сами по себе, а посредством других программ, в том числе вирусов и "червей", дело обстоит похуже: если сканеры McAfee и Norton задерживают соответственно 99% и 95% "троянцев", то AVG — всего 23,5%, что вряд ли можно считать достаточной защитой. Кроме того, троянские программы не включаются в список WildList, отчего за ними труднее следить. Наконец, очень желательно, чтобы антивирусный сканер не поднимал ложную тревогу, подозревая в наличии вируса обычные файлы. В этом смысле лучше всего обстоят дела у PC-cillin, где тест прошел без ложных срабатываний; на другом конце шкалы — Eset NOD32 2, с 32 из 20000 файлов. Конечно, это настолько мало, что даже не стоит пересчитывать в процентах, но и одного такого случая достаточно, если в результате вместо вируса будет удален нужный файл.



Восполняя пробелы: программы-антишпионы


Спору нет, межсетевые экраны и антивирусные сканеры играют значительную роль в защите компьютерной системы. Однако иногда они пропускают программы, порожденные специфическим спросом, а именно программы-шпионы. Впрочем, в эту категорию входят не только обычные сканеры мыши и клавиатуры, но и, например, "угонщики браузера" — род adware (программ для распространения рекламы), задачей которого является изменение записей системного реестра без ведома пользователя так, чтобы вместо обращения к домашней странице или стандартному поисковому серверу (например, при ошибочном вводе URL) браузер переходил на страницу с рекламной информацией.

Многие такие "угонщики", называемые также программами принудительной загрузки, используя недостаточную защиту системы, часто самоинсталлируются при посещении веб-страницы. Например, печально известная утилита Surfbar (она же Junkbar и Pornbar) использует тот факт, что Internet Explorer допускает загрузку исполняемых файлов на компьютер пользователя. Затем она заменяет начальную страницу браузера на www.surferbar.com, заваливает рабочий стол сотней-другой ссылок на порносайты и устанавливает панель с еще несколькими десятками ссылок того же рода. Другие программы-"угонщики" спрашивают разрешения на начало работы, но таким способом, чтобы обманом вынудить пользователя согласиться.

"Чистые" программы-шпионы прослеживают использование интернета — обычно для того, чтобы определить, какие что пользователь делает в онлайне, и предложить ему соответствующую рекламу. Как правило, программы-шпионы сопровождают условно-бесплатные и бесплатные программы. Часто настоящая стоимость таких "бесплатных" программ скрыта в их лицензионном соглашении: не читая его, пользователь соглашается на удаленный мониторинг своего компьютера службами, собирающими маркетинговые данные или рассылающими направленную рекламу. Разные страны сейчас разрабатывают законы против такой деятельности, однако пока что лучшей защитой являются сканеры-антишпионы.

Мы исследовали пять специальных "антишпионских" пакетов:


Auria Spyware Eliminator, InterMute SpySubtract Pro 2, Lavasoft Ad-aware 6 Plus, Network Associates McAfee AntiSpyware, Spybot Search & Destroy.

Также были рассмотрены возможности по "отлову" программ-шпионов с помощью антивирусных сканеров и других утилит, входящих в состав следующих пакетов:

Network Associates McAfee Internet Security Suite 6, Panda Platinum Internet Security 3, Symantec Norton Internet Security 2004, Trend Micro PC-cillin Internet Security 2004.

К сожалению, даже лучшие из них распознают едва больше половины из всех предложенных им образцов шпионских утилит. В настоящее время лучшей стратегией является использование сразу нескольких сканеров.

Сканер Norton идентифицировал лишь две из предложенных семи шпионских утилит, PC-cillin и Panda — по одной. При установке антивирусов на уже инфицированный компьютер был обнаружен исполняемый файл, порождавший инфекцию Surfbar, но удалить уже установленную панель ссылок и пиктограммы порносайтов, а также вернуть на место первоначальную домашнюю страницу не удалось. Утилита McAfee Privacy Service точно распознает попытки изменить реестр и настоятельно советует пользователю не поддаваться на провокации, но не обнаруживает в оперативной памяти процессы, порождающие эти действия. Таким образом, не успеет пользователь отразить одну атаку, как накатывает следующая, и его жизнь превращается в сплошную череду предупреждений и отказов, до тех пор пока он наконец не решит, что лучше один раз инфицировать компьютер, чем постоянно отрываться от дел.

Таблица - эффективность сканеров шпионских программ

В отличие от антивирусов, обнаруживающих инфицированные путем сравнения их с сигнатурами злонамеренных программ из базы данных, антишпионские сканеры опираются главным образом на ключи системного реестра. Самые надежные результаты в тестах показали Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus, но Spybot лучше удалял поврежденные файлы и восстанавливал значения реестра.

Сканер McAfee AntiSpyware обнаружил три из семи инфекций — Gator, Huntbar и MyFast Access, — но полностью удалить смог только две последние. Слабее всех оказался InterMute SpySubtract Pro 2, обнаруживший только один образец программы-шпиона — широко известную панель Gator.

Хорошую защиту в реальном времени обеспечивает компонент Ad-watch из Lavasoft Ad-aware 6 Plus. Он преграждал путь всем "угонщикам браузеров", пытавшимся изменить параметры доступа к интернету. (Правда, Ad-watch не входит в распространяемую бесплатно упрощенную версию Ad-aware.)

К сожалению, как выяснилось, ни один из протестированных сканеров не обеспечивает 100-процентного распознавания и удаления инфекции. Лучше всего справляются с задачей Spybot Search & Destroy и Lavasoft Ad-aware 6 Plus. В Ad-aware лучше организован мониторинг шпионских утилит и удобнее интерфейс, зато Search & Destroy лучше находит и чистит инфицированные файлы.


Возможность работы по протоколу ODBC


Вся информация об обнаруженных атаках сохраняется в базе данных. Это позволяет эффективно организовать всю информацию и обеспечить быстрый доступ к данным при создании различных отчетов. При помощи подсистемы настройки возможно подключение любой базы данных, имеющей ODBC-драйвер. Эта возможность позволит использовать именно ту систему управления базами данных, которая применяется в Вашей организации (например, Microsoft SQL Server, Microsoft Access и т.п.). Кроме того, данная возможность позволяет Вам использовать всю информацию о сетевом трафике в Ваших собственных системах.



Возможности системы Internet Scanner


Система Internet Scanner&153; обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:

большое число проводимых проверок; задание степени глубины сканирования; тестирование межсетевых экранов и Web-серверов; централизованное управление процессом сканирования; параллельное сканирование до 128 сетевых устройств и систем; запуск процесса сканирования по расписанию; возможность работы из командной строки; мощная система генерации отчетов; использование протокола ODBC; различные уровни детализации отчетов; различные форматы отчетов; функционирование под управлением многих операционных систем; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.



Возможности системы RealSecure


Система RealSecure? является одним из лучших решений для защиты Вашей корпоративной сети и следующих ключевых возможностей:

большое число распознаваемых атак; задание шаблонов фильтрации трафика; централизованное управление модулями слежения; фильтрация и анализ большого числа сетевых протоколов, в т.ч. TCP, UDP и ICMP; фильтрация сетевого трафика по протоколу, портам и IP-адресам отправителя и получателя; различные варианты реагирования на атаки; аварийное завершение соединения с атакующим узлом; управление межсетевыми экранами и маршрутизаторами; задание сценариев по обработке атак; генерация управляющих SNMP-последовательностей для управления системами HP OpenView(r), IBM NetView(r) и Tivoli TME10(r); запись атаки для дальнейшего воспроизведения и анализа; поддержка сетевых интерфейсов Ethernet, Fast Ethernet и Token Ring; отсутствие требования использования специального аппаратного обеспечения; работа с различными Cryptographic Service Provider; установление защищенного соединения между компонентами системами, а также другими устройствами; наличие всеобъемлющей базы данных по всем обнаруживаемым атакам; отсутствие снижения производительности сети; работа с одним модулем слежения с нескольких консолей управления; мощная система генерация отчетов; использование протокола ODBC; различные форматы отчетов; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.



Возможности системы SYSTEM SECURITY SCANNER


Система System Security Scanner? обеспечивает высокий уровень анализа защищенности за счет проведения всесторонних проверок и следующих ключевых возможностей:

большое число проводимых проверок; задание шаблонов для различных групп сканируемых узлов; централизованное управление процессом сканирования; параллельное сканирование нескольких узлов корпоративной сети; централизованное обновление компонентов системы на удаленных узлах; создание сценариев для устранения найденных проблем; запуск процесса сканирования по расписанию; возможность работы из командной строки; мощная система генерации отчетов; различные форматы отчетов; функционирование под управлением многих операционных систем; мощная система подсказки; простота использования и интуитивно понятный графический интерфейс; невысокие системные требования к программному и аппаратному обеспечению.



В последнее время увеличилось число


В последнее время увеличилось число публикаций (в основном, зарубежных), посвященных такому новому направлению в области защиты информации, как адаптивная безопасность сети. Это направление состоит из двух основных технологий - анализ защищенности (security assessment) и обнаружение атак (intrusion detection). Именно первой технологии и посвящена данная статья.
Сеть состоит из каналов связи, узлов, серверов, рабочих станций, прикладного и системного программного обеспечения, баз данных и т.д. Все эти компоненты нуждаются в оценке эффективности их защиты. Средства анализа защищенности исследуют сеть и ищут "слабые" места в ней, анализируют полученные результаты и на их основе создают различного рода отчеты. В некоторых системах вместо "ручного" вмешательства со стороны администратора найденная уязвимость будет устраняться автоматически (например, в системе System Scanner). Перечислим некоторые из проблем, идентифицируемых системами анализа защищенности:
"люки" в программах (back door) и программы типа "троянский конь"; слабые пароли; восприимчивость к проникновению из незащищенных систем; неправильная настройка межсетевых экранов, Web-серверов и баз данных; и т.д.
Технология анализа защищенности является действенным методом реализации политики сетевой безопасности прежде, чем осуществится попытка ее нарушения снаружи или изнутри организации.
Очень часто пишут об уникальных возможностях систем анализа защищенности (сканерах), подводя читателей к убеждению, что эти системы являются панацеей от всех бед, и что они позволяют обнаруживать все вновь обнаруживаемые уязвимости. Но когда пользователи сталкиваются с ситуацией, которую можно описать заданным мне недавно вопросом: "Я вчера прочитал в Bugtraq про новую уязвимость в моей операционной системе. Почему сетевой сканер безопасности ее не обнаруживает?", то они начинают обвинять системы анализа защищенности во всех своих бедах. А ответ на заданный вопрос очень прост. В базе данных уязвимостей системы анализа защищенности этой уязвимости пока нет. Это один из аспектов, присущий всем системам анализа защищенности. Они предназначены для обнаружения только известных уязвимостей, описание которых есть у них в базе данных. В этом они подобны антивирусным системам, которым для эффективной работы необходимо постоянно обновлять базу данных сигнатур. Все эти вопросы привели к тому, что я решил поделиться практическим опытом работы с различными системами анализа защищенности и написать о том, как вообще работают сканеры безопасности, что они могут, а что нет. Помимо своего практического опыта, при написании данной статьи я использовал материалы компании Internet Security Systems, Inc., Cisco Systems и Network Associates.
Функционировать такие средства могут на сетевом уровне (network-based), уровне операционной системы (host-based) и уровне приложения (application-based). Наибольшее распространение получили средства анализа защищенности сетевых сервисов и протоколов. Связано это, в первую очередь, с универсальностью используемых протоколов. Изученность и повсеместное использование таких протоколов, как IP, TCP, HTTP, FTP, SMTP и т.п. позволяют с высокой степенью эффективности проверять защищенность информационной системы, работающей в данном сетевом окружении. Вторыми по распространенности являются средства анализа защищенности операционных систем (ОС). Связано это также с универсальностью и распространенностью некоторых операционных систем (например, UNIX и Windows NT). Однако из-за того, что каждый производитель вносит в операционную систему свои изменения (ярким примером является множество разновидностей ОС UNIX), средства анализа защищенности ОС анализируют в первую очередь параметры, характерные для всего семейства одной ОС. И лишь для некоторых систем анализируются специфичные для нее параметры. Средств анализа защищенности приложений на сегодняшний день не так много, как этого хотелось бы. Такие средства пока существуют только для широко распространенных прикладных систем, типа Web-броузеры (Netscape Navigator, Microsoft Internet Explorer), СУБД (Microsoft SQL Server, Sybase Adaptive Server) и т.п.
Помимо обнаружения уязвимостей, при помощи средств анализа защищенности можно быстро определить все узлы корпоративной сети, доступные в момент проведения тестирования, выявить все используемые в ней сервисы и протоколы, их настройки и возможности для несанкционированного воздействия (как изнутри корпоративной сети, так и снаружи). Также эти средства вырабатывают рекомендации и пошаговые меры, позволяющие устранить выявленные недостатки.
Поскольку наибольшее распространение получили средства, функционирующие на уровне сети (системы SATAN, Internet Scanner, CyberCop Scanner, NetSonar и т.д.), то основное внимание будет уделено именно им.


С помощью таких программ, как WinNuke, Papa Smurf и Teardrop злоумышленники могут атаковать ваши компьютеры и нанести вам ущерб. Согласно опросу за 1999 год Института Компьютерной Безопасности и ФБР о компьютерных преступлениях 57 процентов опрошенных организаций сообщили, что считают соединения их сетей с Интернет "местом, откуда часто организуются атаки". 30 процентов опрошенных сообщило, что имели место случаи проникновения в их сети, а 26 процентов сказали, что в ходе атак происходила кража конфиденциальной информации. Федеральный центр по борьбе с компьютерными преступдениями в США - FedCIRC сообщил, что в 1998 году атакам подверглось около 130000 государственных сетей с 1100000 компьютерами.
Для защиты от атак в киберпространстве системным администраторам требуется серьезное понимание методов, используемых атакующими для проникновения в компьютеры. Вы не можете бороться с врагом, если не знаете, как устроено оружие, которым он пользуется. В данном бюллетене описываются приемы атакующих и методы защиты от них.

Выбор оптимальной совокупности признаков оценки защищаемой системы


В настоящие время используется эвристическое определение (выбор) множества параметров измерений защищаемой системы, использование которого должно дать наиболее эффективное и точное распознавание вторжений. Сложность выбора множества можно объяснить тем, что составляющие его подмножества зависят от типов обнаруживаемых вторжений. Поэтому одна и та же совокупность параметров не будет адекватной для всех типов вторжений.

Любую систему, состоящую из привычных аппаратных и программных средств, можно рассматривать как уникальный комплекс со своими особенностями. Это является объяснением возможности пропуска специфичных для защищаемой системы вторжений теми СОВ, которые используют один и тот же набор параметров оценки. Наиболее предпочтительное решение – определение необходимых параметров оценки в процессе работы. Трудность эффективного динамического формирования параметров оценки состоит в том, что размер области поиска экспоненциально зависит от мощности начального множества. Если имеется начальный список из N параметров, актуальных для предсказываемых вторжений, то количество подмножеств этого списка составляет 2N. Поэтому не представляется возможным использование алгоритмов перебора для нахождения оптимального множества. Одно из возможных решений – использование генетического алгоритма [].



Задание пользовательских сценариев обработки атаки


Для задания специфичных реакций на атаки, в системе RealSecure? существует возможность определения своих собственных обработчиков (например, уведомление администратора об атаке по пейджеру). Обработчик атаки должен быть любым исполняемым файлом, который может запускаться из командной строки.



Задание шаблонов для сканирования


Администратор безопасности, проводящий анализ защищенности Вашей корпоративной сети, может задавать те проверки, которые должны проводиться для выбранных узлов. Для облегчения работы в большой и распределенной корпоративной сети существует возможность задания параметров сканирования как для отдельных хостов, так и для групп сканируемых хостов. Таким образом администратор может задать общие характеристики сканирования для группы хостов и произвести более точную настройку для индивидуального хоста. Все вновь созданные шаблоны могут быть сохранены для последующего использования.



президент по системам защиты компании


Симон Перри, вице- президент по системам защиты компании Computer Associates, считает, что уровень использования свободно распространяемых средств защиты будет расти, хотя и не в крупных корпорациях. По его словам, организации, которые разрабатывают свободно распространяемое программное обеспечение, не имеют достаточных ресурсов или инструментальных средств управления, необходимых для интеграции, требуемой для обеспечения защиты при использовании множества различных платформ, как это происходит в крупных компаниях.
Интересной тенденцией на рынке свободно распространяемых систем защиты может стать разработка бизнес-моделей, которые объединяют открытые тексты со специализированным аппаратным обеспечением, коммерческими инструментальными средствами переднего плана и/или гарантиями уровня обслуживания. Например, Бреди отметил, что производители могли бы объединить свои знания аппаратной оптимизации со свободно распространяемой технологией для создания таких продуктов, как сетевые приставки, поддерживающие защищенные быстрые соединения.
Кокс подчеркнул, что «темпы внедрения свободно распространяемых исходных текстов будут расти, поскольку модель разработки поддерживает быстро меняющуюся структуру Internet и защиты. Оперативной реакции на требования к функциональности, новые атаки и исправление ошибок трудно добиваться в среде с закрытыми исходными текстами».
Тем не менее, Пескаторе считает, что доля доходов от всех продуктов защиты, получаемая от продажи коммерческих услуг поддержки свободно распространяемых инструментальных средств к 2007 году вырастет с 1% всего лишь до 2%. В частности, это объясняется тем, что многие компании будут использовать бесплатный инструментарий, а не коммерческие пакеты с открытыми исходными текстами.
Одна из опасностей, связанных с инструментарием, распространяемым в исходных текстах, связана с тем, что пользователи могут поддаться ложному чувству полной безопасности, рассчитывая на то, что этот код анализировало множество специалистов. По мнению Дэна Гира, разработчика Kerberos и директора по технологии компании @Stake, предлагающей услуги по организации защиты, «предоставление продукта в исходных текстах не означает, что в нем нет ошибок, просто вероятность наличия ошибки в таком продукте несколько меньше. Но это не панацея».
Джордж Лоутон () — независимый журналист.
George Lawton. Open Source Security: Opportunity or Oxymoron? IEEE Computer, March 2002. IEEE Computer Society, 2002, All rights reserved. Reprinted with permission.


Ознакомившись с описанными проблемами, многие могут сделать вывод, что межсетевые экраны не могут обеспечить защиту корпоративной сети от несанкционированного вмешательства. Это не так. Межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной безопасности. Они обеспечивают лишь первую линию обороны. Не стоит покупать межсетевой экран только потому, что он признан лучшим по результатам независимых испытаний. При выборе и приобретении межсетевых экранов необходимо тщательно все продумать и проанализировать. В некоторых случаях достаточно установить простейший пакетный фильтр, свободно распространяемый в сети Internet или поставляемый вместе с операционной системой, например squid. В других случаях межсетевой экран необходим, но применять его надо совместно с другими средствами обеспечения информационной безопасности.


В идеальном случае защита от нападений из интернета не должна быть многоуровневой. В почти идеальном случае можно было бы обойтись одним пакетом по обеспечению безопасности или хотя бы комплектом программ одного производителя. К сожалению, ни один из протестированных пакетов не закрывает все уязвимые места достаточно надежно. В частности, ни один из них не обеспечивает надежное обнаружение и удаление шпионских программ.
В целом, лучшим из рассмотренных пакетов можно признать Trend Micro PC-cillin Internet Security 2004 — за лучший антивирусный сканер и один из лучших межсетевых экранов. В комбинации с бесплатным Spybot Search & Destroy он обеспечил бы достаточную безопасность. Для усиления защиты от шпионских программ можно воспользоваться Lavasoft Ad-aware 6 Plus (все три программы хорошо сочетаются друг с другом и работают без конфликтов). Возможностей межсетевого экрана PC-cillin должно быть достаточно для большинства пользователей. Если же захочется чего-то покрепче, можно отключить межсетевой экран PC-cillin и установить Zone Labs ZoneAlarm Pro 4.5 (например, упрощенную бесплатную версию).
К сожалению, ни один из рассмотренных пакетов не содержит по-настоящему надежной утилиты по борьбе со спамом. Для этого приходится устанавливать дополнительные продукты.


Использовать такого рода средства надо. Но хочу еще раз заметить, что не стоит считать их панацеей от всех бед. Они ни в коем случае не заменяют специалистов в области безопасности. Они всего лишь автоматизируют их работу, помогая быстро проверить сотни узлов, в т.ч. и находящихся на других территориях. Они помогут вам обнаружить практически все известные уязвимости и порекомендовать меры, их устраняющие. Они автоматизируют этот процесс, а с учетом возможности описания своих собственных проверок, помогут эффективно применять их в сети любой организации, учитывая именно вашу специфику.
Надо помнить, что сканер - это всего лишь часть эффективной политики безопасности сети, которая складывается не только из применения различных технических мер защиты (средств анализа защищенности, систем обнаружения атак, межсетевых экранов и т.п.), но и из применения различных организационных и законодательных мер.

Запись атаки для дальнейшего анализа


Данная возможность позволяет просматривать предварительно записанные действия, выполняемые злоумышленником при атаке. Это позволит не только понять и проанализировать действия нарушителя, но и наглядно продемонстрировать руководству организации потенциальные угрозы. Воспроизведение атаки для анализа может быть осуществлено как в реальном времени, так и с любой заданной скоростью.



Запуск процесса сканирования по расписанию


Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы Internet Scanner&153; по расписанию. Для этого можно использовать службу AT (для ОС Windows NT) или утилиту CRON (для ОС UNIX).


Для периодического (в заданное время) проведения анализа защищенности существует возможность запуска системы System Security Scanner? по расписанию. Для этого можно использовать утилита CRON. При помощи данной утилиты администратор может не только запускать систему S3 для проведения локального или удаленного сканирования, но и создавать отчеты по результатам сканирования.

Для ОС Windows NT задание графика запуска осуществляется из графического интерфейса системы S3.



Защищенное и эффективное управление инфраструктурой IP-адресов предприятия


Функции управления инфраструктурой IP-адресов реализуются в нескольких продуктах компании Check Point.

Межсетевые экраны FireWall-1 поддерживают трансляцию адресов по распространенным в Internet алгоритмам NAT, скрывая внутренние IP-адреса в пакетах, отправляемых в Internet. Сервис NAT модулей FireWall-1 поддерживает два режима трансляции: статический и динамический. При статической трансляции адреса пакетов заменяются в соответствии с правилами, определяемыми с помощью нрафического редактора правил политики FireWall-1. Администратор может создать таблицу трансляции адресов на основе адресов источника, назначения и сервиса (задаваемого, например, номером TCP/UDP порта или другим способом, принятым при определении объектов FireWall-1). При динамической трансляции адресов внутренние адреса автоматически заменяются одним адресом, имеющим глобальное значение в Internet. Функции NAT позволяют скрыть значения внутренних адресов сети и/или использовать в качестве внутренних частные адреса, к которым маршрутизация из Internet не поддерживается, что во мнгоих случаях надежно защищает корпоративную сеть от внешних атак.

Продукты VPN-1 позволяют скрыть внутренние адреса сети за счет инкапсуляции оригинальных пакетов от внутренних узлов сети в новый пакет, адрес источника которого соответствует адресу внешнего интерфейса шлюза VPN-1 Gateway. Так как адреса внутренних узлов надежно защищены при передаче через Internet за счет VPN-технологии, которая также гарантирует аутентичность и целостность каждого передаваемого пакета, то такой способ обмена существенно сокращает вероятность атаки на внутренние взлы сети по их IP-адресам.

Meta IP является комплексной системой управления IP-адресами, тесно интегрированной с межсетевыми экранами FireWall-1. Помимо уже описанного сервиса UAM, отображающего имена пользователей на IP-адреса и служащего основой для эффективной работы экранов FireWall-1 на уровне пользователей, система Meta IP выполняет также ряд функций, крайне полезных в крупной корпоративной сети.

Meta IP позволяет создать отказоустойчивую систему управления IP-адресами и DNS-именами, продолжающую эффективно работать при отказах отдельных DHCP и DNS серверов, поддерживающую динамическое обновление записей в зонах DNS при распределении IP-адресов с помощью службы DHCP и управляемую централизованно.


Инфраструктура IP-адресов современного предприятия, ведущего бизнес с помощью Internet, является для системы безопасности одновременно и ресурсом, который нужно защищать, и источником данных, на основе которых система безопасности выполняет свои основные обязанности - управляет доступом к другим ресурсам сети, обнаруживает атаки и т.д.

Защита IP-адресов предприятия состоит в скрытии их от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе. Обычно для этой цели в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями. Провайдеры Internet не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на хост с частным адресом извне корпоративной сети, что существенно повышает безопасность сети.

Для обеспечения взаимодействия сети с частными адресами с внешним миром в Internet разработана техника трансляции адресов NAT, поддержка которой является прямой обязанностью системы безопасности. Реализация некоторых режимов NAT (например, организация соединений по инициативе внешних хостов или двойной NAT, решающий проблему пересечения адресного пространства внутренних и внешних адресов) требует помощи службы DNS, поэтому для защиты адресного пространства средства безопасности должны быть тесно интегрированы с этой службой.

Защиту IP-адресов обеспечивают также VPN-шлюзы, скрывающие за счет инкапсуляции истинный адрес отправителя и отправляющие пакет во внешнюю сеть от адреса своего внешнего интерфейса.

Перспективные средства защиты IP-адресов должны учитывать возможность использования адресации по стандарту IPv6, плавный переход на который ожидается в ближайшем будущем.

Интеграция средств безопасности с основными службами сети, управляющими IP-адресацией, нужна и для выполнения первыми основных функций по контролю доступа. Традиционное использование средствами защиты IP-адресов в качестве идентификаторов субъектов доступа сегодня существенно затрудняется динамическим характером назначения адресов, поддерживаемым службой DHCP. Для того, чтобы сопоставить IP-адрес с пользователем, средства защиты должны получать информацию от двух сетевых служб: аутентификации и DHCP.

Наличие службы DHCP влияет и на работу транслятора адресов, который должен при установлении внешних соединений с внутренними хостами корректно заменять DNS-имена на внутренние IP-адреса хостов. Эта проблема может решаться стандартным образом, если служба DNS поддерживает режим Dynamic DNS, в противном случае сервис NAT должен решать ее самостоятельно.

В результате для эффективной работы в новых условиях средства безопасности сети должны уметь координировать свою работу с основными службами управления IP-адресами (DHCP, DNS), а также обеспечивать поддержку новых протоколов, связанных с IP-адресацией (например, IPv6, Mobile IP) в случае необходимости.




Система Meta IP включает:

Реализацию DNS-сервера в среде Windows NT, основанную на последней версии BIND 8.1.2 и дополненную инетрфейсом со службой WINS Microsoft. Эта реализация поддерживает наиболее полную на настоящее время версию стандарта Dynamic DNS для среды Windows NT. Коммерческую реализацию версии DHCP-сервера организации Internet Software Consortium для среды Windows NT, дополненную сервисом регистрационных сообщений для службы Dynamic DNS, а также возможностью автоматического восстановления работоспособности при отказе DHCP-сервера. В Meta IP преодолены недостатки стандарта DHCP, не предусматривающего никаких мер при отказах DHCP-серверов. Вместо традиционного и неэффективного решения этой проблемы за счет расщепления пула отдаваемых в аренду IP-адресов, в системе Meta IP серверы DHCP делятся на первичные и резервные. Резервный DHCP-сервер постоянно отслеживает процесс раздачи IP-адресов первичным DHCP-сервером, а в случае отказа первичного сервера берет на себя его функции, не нарушая логики работы службы DHCP. Сервис UAM, тесно интегрированный с FireWall-1, и агентов UAT, работающих в службах аутентификации операционных систем. Централизованную систему управления, обеспечивающую защищенное конфигурирование и управление любым из сервисов DNS, DHCP или UAM в корпоративной сети. Система управления использует в каждой территориально обособленной части корпоративной сети отдельной сервис управления (Manager Service), который собирает в LDAP-совместимой базе всю необходимую информацию об управляемых в данной части сети серверах DNS, DHCP и UAM, а также о администраторах системы Meta IP и их правах доступа к управляемым серверам. Сервис управления обеспечивает репликацию данных между всеми LDAP-базами корпоративной сети, так что управление ведется на основе общей согласованной информации, а отказ отдельного LDAP-сервера не ведет к потере данных. Meta IP включает реализацию LDAP-совместимой базы, но может работать и с любой стандартной службой каталогов, поддерживающей протокол LDAP - например, Microsoft Active Directory, Novell NDS, Netscape Directory Server.

Все коммуникации между сервисом управления и управляемыми службами выполняются с помощью защищенных каналов. Администраторы управляют системой Meta IP с помощью графической консоли, которая имеет две реализации - для среды Win32 и виде Java-апплета, способного работать в любой системе с помощью поддерживающего Java браузера. С помощью Meta IP можно управлять также стандартными DNS-серверами.

Отказоустойчивость, интеграция служб DNS и DHCP в среде Windows NT, а также централизованное и согласованное управление многочисленными серверами DNS и DHCP, работающими на любой платформе, делают систему Meta IP необходимым компонентом сетевой инфраструктуры корпоративного уровня.


Защита данных при передаче через публичные сети


Спектр VPN-продуктов, выпускаемых компанией CheckPoint, позволяет на основе открытых стандартов защитить передаваемые данные для всех типов коммуникаций, использующих публичные сети, а также для наиболее ответственных соединений внутри корпоративной сети:

Для защиты соединений "сеть-сеть" как в рамках intranet (то есть соединений между сетями предприятия), так и в рамках extranet (соединений сетей предприятия с сетями партнеров по бизнесу) могут использоваться продукты VPN-1 Gateway или VPN-1 Appliance.

VPN-1 Gateway представляет собой программное решение, объединяющее функции межсетевого экрана FireWall-1 с VPN-функциями на основе платформ Windows NT или Unix. Линия продуктов VPN-1 Appliance представляет собой несколько моделей специализированных аппаратно-программных устройств, разработанных компанией CheckPoint совместно с компанией Nokia.

Как VPN-1 Gateway, так и устройства VPN-1 Appliance, поддерживают стандарты IPSec, IKE, цифровые сертификаты X.509 и инфраструктуру публичных ключей PKI. Реализация протоколов IPSec в VPN-продуктах компании CheckPoint прошла сертификацию ICSA, что гарантирует возможность установления защищенных extranet-каналов с предприятиями-партнерами, пользующимися стандартными IPSec-продуктами. Помимо IPSec, данные продукты поддерживают защиту передаваемых данных на основе распространенного в Internet протокола SKIP, а также с помощью фирменного протокола FWZ. Для аутентификации пользователей могут применяться все схемы, описанные выше в разделе 3.

Устройства линии VPN-1 Appliance объединяют функциональные возможности VPN-1 Gateway с развитыми методами IP-маршрутизации от компании Nokia. Устройства VPN-1 Appliance предназначены для организации защищенных каналов в крупных и средних организациях, в которых особенно необходимы высокая производительность и надежность, обеспечиваемые специально спроектированной аппаратной платформой. Устройство VPN-1 Appliance очень удобно использовать в удаленных офисах предприятия, в которых часто отсутствует квалифицированный персонал. Разработанное компанией Nokia и основанное на Web приложение Network Voyager позволяет конфигурировать и управлять шлюзом VPN-1 Appliance с помощью стандартного Web-браузера из любой точки сети. Первое место и награда "Blue Ribbon", присужденные VPN-1 Appliance журналом Network World в апреле 1999 года по результатом тестирования шлюзов VPN от шести ведущих производителей, свидетельствуют о больших перспективах этой новой линии продуктов CheckPoint.

Удаленные и мобильные сотрудники предприятия могут поддерживать защищенные связи с сетями своего предприятия с помощью клиентского программного обеспечения VPN-1 SecuRemote и VPN-1 SecureClient. VPN-1 SecuRemote поддерживает станадрты IPSec, IKE и цифровые сертификаты, что позволяет устанавливать VPN-соединения не только с шлюзами своего предприятия, но и с шлюзами предприятий-партнеров в рамках extranet. Продукт VPN-1 SecureClient добавляет к VPN-возможностям SecuRemote функции контроля доступа на основе той же технологии Stateful Inspection которая применяется в продуктах FireWall-1/VPN-1. Использование VPN-1 SecureClient усиливает защиту предприятия за счет того, что установление VPN-соединения разрешается удаленному компьютеру только в том случае, когда его конфигурация безопасности соответствует установленной администратором предприятия.

С помощью продукта VPN-1 SecureServer можно обеспечить полную функциональность защиты FireWall-1/VPN-1 для отдельного ответственного сервера предприятия, что может быть полезно в незащищенных удаленных офисах, а также для обеспечения дополнительных мер безопасности для определенного сервера внутренней подсети предприятия.

Все продукты VPN компании CheckPoint работают с различными системами и средствами поддержки инфраструктуры публичных ключей от ведущих производителей, что позволяет предприятию без проблем организовывать защиту данных при установлении соединений с предприятиями-партнерами.


Средства контроля доступа защищают внутренние ресурсы сети от преднамеренного и непреднамеренного разрушения или использования. Широкое использование Internet и других публичных сетей для организация различных связей предприятия делает необходимым защищать информацию также и при ее передаче. Эта задача решается средствами создания виртуальных частных сетей (VPN) в публичных сетях с коммутацией пакетов. Средства VPN организуют в публичных сетях защищенные каналы, по которым передаются корпоративные данные. Технология VPN предусматривает комплексную защиту передаваемых данных: при создании VPN-канала проверяется аутентичность двух сторон, создающих канал, а затем каждый пакет переносит цифровую подпись отправителя, удостоверяющую аутентичность и целостность пакета. Для защиты от несанкционированного доступа пакеты могут шифроваться, причем для скрытия адресной информации, раскрывающей внутреннюю структуру сети, пакеты могут шифроваться вместе с заголовком и инкапсулироваться во внешний пакет, несущий только адрес внешнего интерфейса VPN-шлюза.

Предыдущие поколения VPN-шлюзов (защищающих данные всех узлов сети) и VPN-клиентов (защищающих данные отдельного компьютера) во многом использовали фирменные алгоритмы и протоколы защиты данных (для аутентификации сторон, реализации цифровой подписи и шифрования). Сегодня ситуация изменилась - основой для организации защищенных VPN-каналов стал комплекс стандартов Internet, известный под названием IPSec. Стандартам IPSec свойственна гибкость: в них оговорены обязательные для аутентификации и шифрования протоколы и алгоритмы, что обеспечивает базовую совместимость IPSec-продуктов, и в то же время разработчику продукта не запрещается дополнять этот список другими протоколами и алгоритмами, что делает возможным постоянное развитие системы безопасности. Для аутентификации сторон и генерации сессионных ключей в IPSec предусмотрена возможность использования цифровых сертификатов и инфраструктуры PKI, что делает решение IPSec масштабируемым и согласованным с другими средствами защиты, например, контроля доступа. Протоколы IPSec прошли успешную широкомасштабную проверку в экстрасети ANX автомобильных концернов Америки, и поддержка IPSec сегодня стала обязательным условием для перспективных VPN-продуктов.

Средства VPN предприятия должны эффективно поддерживать защищенные каналы различного типа:




с удаленными и мобильными сотрудниками (защищенный удаленный доступ) с сетями филиалов предприятий (защита intranet) с сетями предприятий-партнеров (защита extranet)

Для защиты удаленного доступа важно наличие клиентских частей VPN для основных клиентских операционных систем, которые сегодня пока не поддерживают протоколы IPSec в стандартной поставке. От шлюза VPN в этом варианте требуется хорошая масштабируемость для поддержания сотен, а возможно и тысяч защищенных соединений.

При защите extranet основным требованием является соответствие реализации VPN-продуктов стандартам IPSec, что с большой степенью уверенности подтверждается наличием у продукта сертификата ICSA.

Предприятие может снять с себя часть забот по защите данных, воспользовавшись услугами провайдера по организации VPN. Провайдер настраивает параметры защищенных каналов для своих клиентов в соответствии с их требованиями, а при необходимости дополняет услуги VPN услугами межсетевого экрана, также настраиваемого по заданию пользователя.

В том случае, когда VPN-шлюз поддерживает удаленное защищенное управление, провайдер может взять на себя услуги по конфигурированию и эксплуатации шлюза, установленного на территории пользователя.


Защита локальной сети при подключении к Internet


Информация предоставлена

Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ),

разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.

Gauntlet представляет собой наиболее эффективный с точки

зрения защиты вариант МЭ - фильтр на уровне приложений, при этом

обеспечивает максимальную прозрачность при использовании, возможность

создания VPN и простое управление всем этим. Этот МЭ позволяет

пользоваться только теми протоколами, которые описал оператор и

только в случае их безопасного использования. Безопасность

обеспечивается при работе через МЭ в обоих направлениях в соответствии

с политикой безопасности, определенной для данной организации.

Продукт доступен в предустановленном виде на Pentium машинах,

а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других

UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день

является стандартом де-факто для построения МЭ на уровне приложений.

Система Gauntlet получила сертификат Национального Агентства

Компьютерной Безопасности США и была проверена Агентством Национальной

безопасности США.

Данный продукт предоставляет возможность безопасного и строго

аутентифицированного доступа по следующим протоколам:

telnet, rlogin

ftp

smtp, pop3

http, shttp, ssl

gopher

X11

printer

rsh

Sybase SQL

RealAudio

Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения,

которое можно использовать для протоколов, не нуждающихся в авторизации

пользователя, например NNTP. В наличии имеется также возможность организовывать

"сырые" соединения для пользователей с подтверждениями полномочий.

По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.

В дополнение к фильтрации на уровне приложений, МЭ требует внесения

определенных изменений в базовую операционную систему. Эти изменения включают:

для использования в варианте виртуальных сетей добавлен пакетный фильтр


режим роутера выключен полностью. Информация между сетями передается

только посредством транслирующих серверных программ (proxy)

систему определения атак с подменой адресов

поддержка VPN

поддержка прозрачного режима для proxy

выключена обработка пакетов со специальными признаками

добавлена возможность заносить в журнал все попытки соединения с МЭ

по несконфигурированным видам сервиса

Дополнительные возможности системы включают в себя особые фильтры, позволяющие

организовать на самом МЭ определенные информационные сервисы, такие как

электронная почта

DNS

ftp

WWW

Этот МЭ - единственный из существующих, позволяющий защитить

пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные

сетевые вирусы, причем независимо от платформы.

Gauntlet разработан по принципу "белого ящика", что на практике означает

его распространение вместе с исходными текстами. Кроме того, наиболее

простые и эффективные приемы написания программ значительно упрощают

анализ исходных текстов.

При изначальной разработке МЭ особое внимание уделялось следующим

принципам:

Минимализм. Простое лучше сложного. Разработка велась четко по принципу

"сверху вниз". В результате был получен минимальный по объему а наиболее

эффективный по производительности программный интерфейс, легко позволяющий

реализовать proxy для протокола, не входящего в базовый комплект.

Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает

вероятность скрытых ошибок.

Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок

администратора. Неправильная директива интерпретируется как глобальное

запрещение данного сервиса. Кроме того, таким образом введено умолчание

- запрещено. Введение любого нового сервиса обязательно влечет за собой

его увязывание с политикой безопасности.

На МЭ не должно быть пользователей. Единственный пользователь,

имеющий возможность только локальной работы - администратор.

Записывать в журнал все, что возможно. Избыточность статистической

информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и

с точки зрения оценки производительности и т.д.

Работа МЭ легко контролируется. Наличие единой базы пользователей и

эффективного интерфейса для работы с ней легко позволяют осуществлять

контроль пользователей, их блокировку, изменение атрибутов и т. д.

Простая и логичная конфигурация. Основной конфигурационный файл МЭ

имеет текстовый формат, его логическая структура довольно очевидна

и не составляет препятствия для системного администратора.