Гибридные шлюзы объединяют в себе два описанных выше типа брандмауэра и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким риском, гибридные шлюзы могут оказаться идеальной реализацией брандмауэра. 6. 4. 4. Рейтинг
Ниже приводятся рейтинги различных типов брандмауэров.
4
рекомендованный вариант
3
эффективный вариант
2
Допустимый вариант
1
Минимальная безопасность
0
Неприемлемо
Table 6. 1. Риски безопасности брандмауэра
Архитектура брандмауэра (если один из типов, указанных ниже, реализован) Среда с высоким риском, например банк
Среда со средним риском, например университет
Среда с низким риском, например мелкий магазин
Фильтрация пакетов
0
1
4
Прикладные шлюзы
3
4
2
Гибридные шлюзы
4
3
2
6. 5. Архитектуры брандмауэра
Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Следующие разделы описывают типичные архитектуры брандмауэра и приводят примеры политик безопасности для них. 6. 5. 1. Хост, подключенный к двум сегментам сети
Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам. Брандмауэр на основе хоста, подключенного к двум сегментам сети - это брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая - с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную - брандмауэр всегда должен быть при этом промежуточным звеном. Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть. Примечание переводчика. Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к Интернету. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw). 6. 5. 2. Экранированный хост
При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону. Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом. 6. 5. 3. Экранированная подсеть
Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети. Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор. 6. 6. Интранет
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации. Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации. Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее). 6. 7. Администрирование брандмауэра
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром. Должны быть назначены два администратора брандмауэра (основной и заместитель) ответственным за информационную безопасность (или кем-либо из руководства) и они должны отвечать за работоспособность брандмауэра. Основной администратора должен производить изменения в конфигурации брандмауэра, а его заместитель должен производить любые действия только в отсутствие основного, чтобы не возникало противоречивых установок. Каждый администратор брандмауэра должен сообщить свой домашний телефонный номер, номер пейджера, сотового телефона или другую информацию, необходимую для того, чтобы связаться с ним в любое время. 6. 7. 1. Квалификация администратора брандмауэра
Обычно рекомендуется иметь двух опытных человек для ежедневного администрирования брандмауэра. При такой организации администрирования брандмауэр будет работать практически без сбоев. Информация о каждом администраторе должна быть обязательно в письменном виде, чтобы быстро связаться с ними при возникновении проблем. Безопасность сайта важна для повседневной деятельности организации. Поэтому требуется, чтобы администратор брандмауэра по-настоящему понимал принципы сетевых технологий и их реализации. Например, так как большинство брандмауэров сделано для работы с TCP/IP, необходимо серьезное понимание всех особенностей этого протокола. Более подробно о знаниях и навыках, необходимых для технических специалистов, смотрите в разделе "Администрирование ЛВС". Человек, назначенный администратором брандмауэра, должен иметь большой опыт работы с сетевыми технологиями, чтобы брандмауэр был правильно сконфигурирован и корректно администрировался. Администратор брандмауэра должен периодически посещать курсы по брандмауэрам и теории и практике сетевой безопасности или другим способом поддерживать высокий профессиональный уровень. 6. 7. 2. Удаленное администрирование брандмауэра
Брандмауэры - первая линия обороны, видимая для атакующего. Так как брандмауэры в общем случае тяжело атаковать напрямую из-за их назначения, атакующие часто пытаются получить логин администратора на брандмауэре. Имена и пароли административных логинов должны быть серьезно защищены. Наилучшим методом защиты от такой формы атаки является серьезная физическая безопасность самого брандмауэра и администрирование брандмауэра только с локального терминала. Но в повседневной жизни часто требуется некоторая форма удаленного доступа для выполнения некоторых операций по администрированию брандмауэра. В любом случае удаленный доступ к брандмауэру по небезопасным сетям должен осуществляться с использованием усиленной аутентификации. Кроме того, для предотвращения перехвата сеансов должно использоваться сквозное шифрование всего трафика удаленного соединения с брандмауэром. Низкий риск
Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты. Средний риск
Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий. Когда требуется удаленный доступ для администрирования брандмауэра, он должен осуществляться только с других хостов внутренней сети организации. Такой внутренний удаленный доступ требует усиленной аутентификации, такой как одноразовые пароли и смарт-карты. Удаленный доступ по небезопасным сетям, таким как Интернет, требует использования сквозного шифрования всего трафика соединения и усиленной аутентификации. Высокий риск
Все администрирование брандмауэра должно осуществляться только с локального терминала - работа с брандмауэром путем удаленного доступа запрещена. Физический доступ к терминалу брандмауэра разрешен только администратору брандмауэра и администратору архивных копий. 6. 7. 3. Зарегистрированные пользователи
Брандмауэры никогда не должны использоваться как сервера общего назначения. Единственными зарегистрированными пользователями на брандмауэре могут быть только администратор брандмауэра и администратор архивных копий. Кроме того, только эти администраторы должны иметь привилегии для модификации загрузочных модулей программ на нем. Только администратор брандмауэра и администраторы архивных копий должны иметь логины на брандмауэре организации. Любая модификация системных программ на брандмауэре должна осуществляться администратором или администратором архивных копий с разрешения ответственного за сетевые сервисы (или начальника отдела автоматизации). 6. 7. 3. 1. Архивные копии брандмауэра
Для обеспечения возможности восстановления после сбоя или стихийного бедствия, брандмауэр, как и любой другой сетевой хост, должен иметь политику относительно создания архивных копий. Для всех файлов данных, а также системных файлов конфигурации должен иметься некоторый план создания архивных копий. Для брандмауэра (его системных программ, конфигурационных файлов, баз данных и т. д. ) должны создаваться ежедневные, еженедельные и ежемесячные архивные копии, чтобы в случае сбоя можно было восстановить данные и файлы конфигурации. Архивные копии должны храниться в безопасном месте на носителе, с которого можно только считать информацию, чтобы их случайно не затерли, которое должно быть заперто, чтобы носители были доступны только соответствующим сотрудникам. Другой альтернативой будет иметь запасной брандмауэр, сконфигурированный как основной, и поддерживаемый в холодном резерве, чтобы в случае сбоя основного, запасной мог быть включен и использован вместо него, пока основной брандмауэр восстанавливается. По крайней мере один брандмауэр должен быть сконфигурирован и держаться в холодном резерве, чтобы в случае сбоя брандмауэра, он мог быть включен вместо него для защиты сети. 6. 8. Доверительные взаимосвязи в сети
Коммерческие сети часто требуют взаимодействия с другими коммерческими сетями. Такие соединения могут осуществляться по выделенным линиям, частным глобальным сетям, или общественным глобальным сетям, таким как Интернет. Например, многие правительства штатов используют выделенные линии для соединения с региональными офисами в штате. Многие компании используют коммерческие глобальные сети для связи своих офисов в стране. Участвующие в передаче данных сегменты сетей могут находиться под управлением различных организаций, у которых могут быть различные политики безопасности. По своей природе сети таковы, что общая сетевая безопасность равна безопасности наименее безопасного участка сети. Когда сети объединяются, должны быть определены взаимосвязи по доверию во избежание уменьшения безопасности всех других сетей. Надежные сети определяются как сети, у которых имеется одинаковая политика безопасности или в которых используются такие программно-аппаратные средства безопасности и организационные меры, которые обеспечивают одинаковый стандартный набор сервисов безопасности. Ненадежные сети - это те сети, не реализован такой стандартный набор сервисов безопасности, или где уровень безопасности является нестабильным или неизвестным. Самой безопасной политикой является позволять соединение только с надежными сетями. Но бизнес может потребовать временного соединения с деловыми партнерами или удаленными сайтами, при котором будут использоваться ненадежные сети. Высокий риск
Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Должны разрешаться соединения только с теми внешними сетями, для которых был произведен анализ и установлено, что в них имеются необходимые программно-аппаратные средства безопасности и применяются необходимые организационные меры. Все соединения с утвержденными сетями должны проходить через брандмауэры организации. Средний риск - низкий риск
Все соединения сети организации с внешними сетями должны быть утверждены ответственным за сетевые сервисы. Все соединения с утвержденными внешними сетями должны проходить через брандмауэр организации. Чтобы уменьшить вред от такого большого уязвимого места, все соединения с внешними сетями и логины пользователей, работающих с ними, должны периодически проверяться, и удаляться, если они больше не нужны. Системные журналы соединений с внешними сетями должны просматриваться еженедельно. Все логины, использующие такие соединения, которые больше не используются в течение месяца, должны быть отключены. Ответственный за сетевые сервисы должен опрашивать начальников отделов каждый квартал на предмет необходимости таких соединений. Если соединение с той или иной сетью больше не нужно, и ответственный за сетевые сервисы извещен об этом, все логины и параметры, связанные с этим соединением, должны быть удалены в течение одного рабочего дня. 6. 9. Виртуальные частные сети (VPN)
Виртуальные частные сети позволяют надежной сети взаимодействовать с другой надежной сетью по небезопасной сети, такой как Интернет. Так как некоторые брандмауэры имеют возможности создания VPN, необходимо определить политику для создания VPN. Любое соединение между брандмауэрами по общественным глобальным сетям должно использовать механизм шифрованных виртуальных частных сетей для обеспечения конфиденциальности и целостности данных, передаваемых по глобальным сетям. Все VPN-соединения должны быть утверждены ответственным за сетевые сервисы и находиться под его контролем. Также должны быть созданы соответствующие средства распределения и администрирования ключей шифрования перед началом эксплуатации VPN. VPN на основе брандмауэров могут быть созданы в виде нескольких различных конфигураций. Глава 5 содержит информацию о различных уровнях доверия и приводит образцы политик безопасности для VPN. 6. 10. Отображение имен в адреса с помощью DNS
В Интернете доменная служба имен обеспечивает средства для отображения между доменными именами и IP-адресами, например отображает имя server1. acme. com в адрес 123. 45. 67. 8. Некоторые брандмауэры могут быть сконфигурированы так, что будут являться еще и основным, вторичным или кэширующим DNS-серверами. Принятие решения относительно администрирования DNS-сервиса вообще-то не относится к области безопасности. Многие организации используют услуги третьей организации, такой как провайдер Интернета, для администрирования своей DNS. В этом случае брандмауэр может быть использован как кэширующий сервер DNS для улучшения производительности, при этом вашей организации не надо будет самой поддерживать базу данных DNS. Если организация решила иметь свою базу данных DNS, брандмауэр может функционировать еще и как DNS-сервер. Если брандмауэр должен быть сконфигурирован как DNS-сервер (основной, вторичный, кэширующий), необходимо, чтобы также были предприняты другие меры безопасности. Одним из преимуществ использования брандмауэра еще и как DNS-сервера является то, что он может быть сконфигурирован так, что будет скрывать информацию о внутренних хостах сайта. Другими словами, когда брандмауэр выступает в роли DNS-сервера, внутренние хосты получают полную информацию о внутренних и внешних данных DNS. А внешние хосты, с другой стороны, не имеют доступа к информации о внутренних машинах. Для внешнего мира все соединения с любым хостом внутренней сети кажутся исходящими от брандмауэра. Если информация о хостах скрыта от доступа извне, атакующий не будет знать имен хостов и внутренних адресов, предоставляющих те или иные сервисы Интернету. Политика безопасности для скрытия DNS-информации может иметь следующий вид: Если брандмауэр должен работать как DNS-сервер, то он должен быть сконфигурирован так, чтобы скрывать информацию о сети, чтобы данные о внутренних хостах не предоставлялись внешнему миру. 6. 11. Целостность системы
Для предотвращения неавторизованной модификации конфигурации брандмауэра должна иметься некоторая форма гарантий целостности. Обычно для рабочей конфигурации системы вычисляются контрольные суммы или криптографические хэш-функции, которые хранятся потом на защищенном носителе. Каждый раз, когда конфигурация брандмауэра модифицируется авторизованным на это человеком (обычно администратором брандмауэра), необходимо обновить контрольные суммы файлов и сохранить их на сетевой файловой системе или на дискетах. Если проверка целостности системы покажет, что конфигурация брандмауэра была изменена, то сразу станет ясно, что система была скомпрометирована. Данные для проверки целостности брандмауэра должны обновляться при каждой модификации конфигурации брандмауэра. Файлы с этими данными должны храниться на носителе, защищенном от записи или выведенном из оперативного использования. Целостность системы на брандмауэре должна регулярно проверяться, чтобы администратор мог составить список файлов, которые были модифицированы, заменены или удалены. 6. 12. Документация
Важно, чтобы правила работы с брандмауэром и параметры его конфигурации были хорошо документированы, своевременно обновлялись и хранились в безопасном месте. Это будет гарантировать, что при невозможности связаться с администратором брандмауэра или при его увольнении, другой опытный человек сможет после прочтения документации быстро осуществить администрирование брандмауэра. В случае проникновения такая документация также поможет восстановить ход событий, повлекших за собой этот инцидент с безопасностью. 6. 13. Физическая безопасность брандмауэра
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
