Современные информационные технологии/ Информационная безопасность
Дубчак О. В., Мосур О.М.
Національний авіаційний університет(НАУ), Україна
МІЖМЕРЕЖНІ ЕКРАНИ ЯК ЗАСІБ ПРОГРАМНОГО
ЗАХИСТУ ІНФОРМАЦІЇ В КОМП’ЮТЕРНИХ СИСТЕМАХ І МЕРЕЖАХ
Вступ В останні десятиліття обсяги інформації,
що зберігається й обробляється в комп'ютерних
системах і мережах (КСМ), щомиті збільшуються. Дані,
що циркулють у КСМ, можуть піддаватися різноманітним погрозам: конфіденційності, пов'язаним з несанкціонованим
ознайомленням з інформацією; цілісності, що відноситься до несанкціонованої модифікації або знищення інформації; доступності, що стосується порушення можливості використання КСМ або оброблюваної в ній інформації; спостережливості, пов'язаним
з порушенням ідентифікації й контролем за діями користувачів, керованістю КСМ.
Актуальність Для рішення проблеми захисту
інформаційних ресурсів від погроз створено галузь засобів інформаційної безпеки, мета якої
- перешкоджання неконтрольованого поширення даних, запобігання їх втрати
або відсутності доступу до них. У зв'язку із цим сформовано типові процедури
побудови захищеної КСМ і розроблено достатню кількість спеціалізованих
програмних засобів захисту, найпоширенішими серед яких є міжмережні екрани або брандмауери.
Постановка завдання Призначення МЕ, у першу чергу, -
захист від зовнішніх атак, але можливе їх використання й усередині КСМ. За час
свого розвитку МЕ пройшли шлях від простих фільтрів пакетів до складних
модульних систем, що підтримують об'єктну модель розподіленої системи захисту.
Мета
даної роботи – розгляд тенденцій розвитку і порівняння
характеристик міжмережних екранів як засобу організації убезпеченого функціонування КСМ.
Як
відомо [2,3], програмні МЕ можуть працювати під керуванням стандартних операційних систем. Найпоширенішими є продукти
для різних версій UNIX і Windows NT/2000, які виробляються такими компаніями, як Check Point, Symantec, Microsoft,
Jet Infosystems тощо. Невід'ємна складова останніх версій програмних МЕ - засоби активного
контролю спроб порушення політики безпеки
ззовні й зсередини мережі. Ці функції звичайно
реалізуються за допомогою набору програм-агентів, установлюваних в обраних мережних вузлах
- як на серверах, так і на робочих станціях. Серед нових функцій МЕ можна
відзначити появу в деяких з них засобів виявлення потенційних пошкоджень у захисті мережі й засобів моделювання
вторгнень.
МЕ можна представити у
вигляді сукупності послідовно з'єднаних фільтрів, кожний з яких реалізує підмножину правил контролю для заданого
рівня стека TCP/IP, і комплекту додаткових автономних функціональних модулів, необхідних для підвищення рівня захисту мережі.
Як
зазначалося вище, архітектура МЕ розвивалася від простих фільтрів пакетів до
«інтелектуальних» систем, що аналізують трафік на усе більш високих рівнях
мережної моделі. Зараз у більшості сучасних моделей МЕ функції фільтрації
трафіка забезпечено для всіх рівнів.
МЕ з пакетними фільтрами приймають рішення
щодо пропускання чергового пакета IP на основі інформації з його заголовка,
стану прапорів або номера портів TCP.
Подібні фільтри мають порівняно невисоку вартість і невелику часову затримку при проходженні
пакетів. До недоліків слід віднести «видимість» локальної мережі з Internet,
складність опису правил фільтрації, необхідність достатньо високих знань
протоколів TCP і UDP. Можливість аутентифікації на користувальницькому рівні
відсутня, а аутентифікацію за допомогою IP-адреси можна обійти, підставляючи під час атаки іншу IP-адресу.
Фільтри пакетів переглядають тільки деякі поля пакетів IP, тому їх не можна
визнати достатнім засобом захисту.
Компанія Check Point Software запропонувала й широко застосовує у
своїх продуктах фільтри з контекстною
перевіркою сеансів між клієнтами й серверами. МЕ цього типу аналізують
пакети на мережному рівні й приймають рішення на основі інформації щодо даних у
пакеті. Всі пакети діляться на три категорії: такі, що пропускаються безперешкодно, відповідно до правил безпеки; такі, що не задовольняють правилам безпеки й відкидаються; такі, для яких не
визначено конкретні правила безпеки. Останні пакети фільтруються крізь МЕ, як
крізь звичайний фільтр пакетів. Також припускається централізована аутентифікація користувачів.
Шлюзи рівня з'єднання працюють як транслятор
з'єднання TCP. Користувач
зв'язується з конкретним портом на МЕ, що встановлює з'єднання з адресатом за
межами демілітаризованої зони. Після відкриття сеансу всі пакети передаються в
обох напрямках без додаткового аналізу. Такий варіант брандмауера дозволяє
організувати «транслятор» для конкретних сервісів на базі протоколу TCP/IP і
здійснювати повний контроль за доступом до цього сервісу, а також збирання
необхідної статистики щодо його використання. Зазвичай його використовують для
побудови віртуальних приватних мереж (Virtual Private Network, VPN) і
встановлення зв'язку з їх допомогою між віддаленими об’єктами через
загальнодоступну мережу Internet, що дозволяє значно скоротити витрати на
оренду виділених каналів.
Шлюзи прикладного рівня забезпечують контроль
за роботою конкретних сервісів — telnet, ftp, HTTP тощо, причому запускаються
безпосередньо під керуванням МЕ й обробляють увесь призначений їм трафік. З їх
допомогою вдається повністю сховати від зовнішніх погроз структуру внутрішньої
мережі, а також можлива централізована
аутентифікація користувачів, як і у фільтрах з контекстною перевіркою. У
створювані правила доступу можна включати ім'я користувача, дозволений період
часу доступу до певного сервісу, комп'ютер, з якого зазначений користувач має
право звертатися до сервісу, схеми аутентифікації. Таким чином, шлюзи
прикладного рівня забезпечують найбільш високий рівень захисту, але вони є й
найбільш дорогим продуктом. До того ж їхня продуктивність нижче, ніж у простих
фільтрів пакетів. Оскільки такі шлюзи працюють на рівні додатків, то затримки
на обробку трафіка можуть істотно сповільнити швидкість доступу в Internet.
Тому для їхнього застосування знадобляться додаткові засоби для підвищення
потужності сервера, на якому функціонує МЕ. Крім того, шлюз
додатків потребує для кожного мережного сервісу окремий модуль, що
підключається, тобто,
кожну нову версію будь-якого додатка слід завантажити в МЕ. Відмітимо, що в
шлюзах зазначеного типу доводиться відкривати для зовнішнього доступу порти IP,
які відповідають установленим на них прикладним системам, що робить їх
потенційно уразливими.[3]
Крім основної функції -
фільтрації трафіка, МЕ виконують, як правило, і додаткові щодо: ідентифікації
користувачів, хостів і маршрутів; гарантованості цілісності даних під час
передачі їх крізь МЕ за допомогою криптографічних методів; контролю точного виконання правил безпеки й
вчасного виявлення й припинення спроб вторгнення – все має бути реалізовано у
надійному МЕ.
Висновок Програмні МЕ вимагають високого рівня
кваліфікації обслуговуючого персоналу. Деякі програмні МЕ не розповсюджуються
без надання платних послуг щодо їх настроювання, обслуговування їх також
вимагає значних витрат для постійного відстеження уразливостей і їх ліквідації.
Правила допуску персоналу в приміщення, в якому встановлений
програмний МЕ, мають бути більш суворими, адже до універсальної
апаратної платформи можна зробити підключення й через зовнішні порти (USB, LPT,
RS-232), і убудовані приводи (CD, Floppy), а, розкривши платформу, можна
підключитися через дисковий інтерфейс (IDE, SATA або SCSI). [1] При цьому
відкрита операційна система дозволяє без проблем установити різні шкідливі
програми.
Література:
1. http://itc.ua/node
2. http://www.pcweek.ua/themes
3. http://www.osp.ru/lan