Информационная безопасность и защита информации - Мельников В.П.
ISBN 978-5-7695-4884-0
Скачать (прямая ссылка):
На основе анализа записей и событий, сделанных системой, подотдел компьютерной безопасности организации на этапах 8, 9
309
и 10 может разрабатывать предложения по изменению и дальнейшему развитию стратегии безопасности.
При этом реализуются следующие правила:
1) из локальных сетей подразделений, возможно удаленных, разрешается связь с любой локальной сетью организации после аутентификации, например по UNIX-паролю;
2) всем запрещается доступ к сети финансового департамента, за исключением генерального директора и директора этого департамента;
3) из Интернета разрешается только отправлять и получать почту. Обо всех других попытках связи необходимо делать подробную запись.
После загрузки правил FireWaIl-I для каждого пакета, передаваемого по сети, администратор последовательно просматривает список правил до нахождения элемента, соответствующего текущему случаю. При этом необходима защита системы, на которой размещен административно-конфигурационный модуль FireWall-1. Рекомендуется запретить средствами FireWaIl-I все виды доступа к данной машине или, по крайней мере, строго ограничить список пользователей, которым это разрешено, а также принять меры по физическому ограничению доступа и защите обычными средствами ОС UNIX.
Если первоначальная конфигурация сети меняется, а вместе с ней меняется и стратегия безопасности, и если организация решила установить у себя несколько общедоступных серверов для предоставления информационных услуг, например серверы World Wide Web, FTP или другие информационные серверы, то их часто выделяют в свою собственную подсеть, имеющую выход в Интернет через шлюз (рис. 5.6).
Внутренняя сеть организации
Маршрутизатор
Интернет
DMZ
Май,
FTP-сервер,
WWW-сервер
Рис. 5.6. Схема шлюза Интернет при использовании серверов:
/ —^ шлюз
310
Поскольку в предыдущем примере локальная сеть была уже защищена, то все, что нам надо сделать, это просто разрешить соответствующий доступ в выделенную подсеть. Это делается с помощью одной дополнительной строки в редакторе правил, которая здесь показана. Такая ситуация является типичной при изменении конфигурации FireWall-1. Обычно для этого требуется изменение одной или небольшого числа строк в наборе правил доступа, что, несомненно, иллюстрирует мощь средств конфигурирования и общую продуманность архитектуры FireWall-1.
При работе с FTP необходима аутентификация пользователей.
При этом Solstice FireWaIl-I позволяет администратору установить различные режимы работы с интерактивными сервисами FTP и telnet для различных пользователей и групп пользователей. При установленном режиме аутентификации FireWaIl-I заменяет стандартные FTP и telnet демоны UNIX на собственные, располагая их на шлюзе, закрытом с помощью модулей фильтрации пакетов. Пользователь, желающий начать интерактивную сессию по FTP или telnet (это должен быть разрешенный пользователь и в разрешенное для него время), может сделать это только через вход на такой шлюз, где и выполняется вся процедура аутентификации. Она задается при описании пользователей и или групп пользователей и может проводиться следующими способами:
• использование UNIX-пароля;
• применение программы S/Key генерации одноразовых паролей;
• применение карточки SecurID с аппаратной генерацией одноразовых паролей.
Особую проблему для обеспечения безопасности представляют собой UDP-протоколы, входящие в состав набора TCP/IP. С одной стороны, на их основе создано множество приложений, а с другой стороны, все они являются протоколами «без состояния», что приводит к отсутствию различий между запросом и ответом, приходящим защищаемой сети извне. Для решения этой проблемы используются гибкие алгоритмы фильтрации UDP-пакетов. Так, пакет FireWaIl-I решает эту проблему созданием контекста соединений поверх UDP-сессий, запоминая параметры запросов. Пропускаются назад только ответы внешних серверов на высланные запросы, которые однозначно отличаются от любых других UDP-пакетов, поскольку их параметры хранятся в памяти FireWall-1.
Данная возможность присутствует в немногих программах экранирования, распространяемых в настоящий момент.
Подобные механизмы задействуются для приложений, использующих RPC, и для FTP-сеансов. Здесь возникают аналогичные проблемы, связанные с динамическим выделением портов для сеансов связи, которые FireWaIl-I отслеживает аналогичным образом, запоминая необходимую информацию при запросах на таких сеансы и обеспечивая только законный обмен данными.
311
Данные возможности пакета Solstice FireWall-1 резко выделяют его среди всех остальных межсетевых экранов. Впервые проблема обеспечения безопасности решена для всех без исключения сервисов и протоколов, существующих в Интернете.
Система Solstice FireWall-1 имеет собственный встроенный объектно-ориентированный язык программирования, применяемый для описания поведения модулей — фильтров системы. Результатом работы графического интерфейса администратора системы является сгенерированный сценарий работы именно на этом внутреннем языке. Он не сложен для понимания, что допускает непосредственное программирование на нем. Однако на практике данная возможность почти не используется, поскольку графический интерфейс системы и так позволяет сделать практически все, что нужно.
