bigpo.ru
добавить свой файл
  1 2 3
Организация комплексной защиты корпоративной сети

Для защиты информационных ресурсов и обеспечения оптимальной работы распределенных корпоративных информационных систем необходимо применение комплексной системы информационной безопасности, которая позволит эффективно использовать достоинства межсетевых экранов и компенсировать их недостатки с помощью других средств безопасности.

Полнофункциональная защита корпоративной сети должна обеспечить:

  • безопасное взаимодействие пользователей и информационных ресурсов, расположенных в экстранет- и интранет-сетях, с внешними сетями, например с Интернетом;

  • технологически единый комплекс мер защиты для распределенных и сегментированных локальных сетей подразделений предприятия;

  • наличие иерархической системы защиты, предоставляющей адекватные средства обеспечения безопасности для различных по степени закрытости сегментов корпоративной сети.

Характер современной обработки данных в корпоративных системах Интернет/интранет требует наличия у межсетевых экранов следующих основных качеств:

  • мобильность и масштабируемость относительно различных аппаратно-программных платформ;

  • возможность интеграции с аппаратно-программными средствами других производителей;

  • простота установки, конфигурирования и эксплуатации;

  • управление в соответствии с централизованной политикой безопасности.

В зависимости от масштабов организации и принятой на предприятии политики безопасности могут применяться различные межсетевые экраны. Для небольших предприятий, использующих до десятка узлов, подойдут межсетевые экраны с удобным графическим интерфейсом, допускающие локальное конфигурирование без применения централизованного управления. Для крупных предприятий предпочтительнее системы с консолями и менеджерами управления, которые обеспечивают оперативное управление локальными межсетевыми экранами, поддержку виртуальных частных сетей.

Увеличение потоков информации, передаваемых по Интернету компаниями и частными пользователями, а также потребность в организации удаленного доступа к корпоративным сетям являются причинами постоянного совершенствования технологий подключения корпоративных сетей к Интернету.

Следует отметить, что в настоящее время ни одна из технологий подключения, обладая высокими характеристиками по производительности, в стандартной конфигурации не может обеспечить полнофункциональной защиты корпоративной сети. Решение данной задачи становится возможным только при использовании технологии межсетевых экранов, организующей безопасное взаимодействие с внешней средой.

Рассмотрим более подробно технологии межсетевого экранирования.

Защита корпоративной сети от несанкционированного доступа из Интернет

При подключении сети предприятия к Интернету можно защитить корпоративную сеть от несанкционированного доступа с помощью одного из следующих решений:

  • аппаратно-программный или программный межсетевой экран;

  • маршрутизатор со встроенным пакетным фильтром;

  • специализированный маршрутизатор, реализующий механизм защиты на основе списков доступа;

  • операционная система семейства UNIX или, реже, MS Windows, усиленная специальными утилитами, реализующими пакетную фильтрацию.

Защита корпоративной сети на основе межсетевого экрана позволяет получить высокую степень безопасности и реализовать следующие возможности:

  • семантическая фильтрация циркулирующих потоков данных;

  • фильтрация на основе сетевых адресов отправителя и получателя;

  • фильтрация запросов на транспортном уровне на установление виртуальных соединений;

  • фильтрация запросов на прикладном уровне к прикладным сервисам;

  • локальная сигнализация попыток нарушения правил фильтрации;

  • запрет доступа неизвестного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась;

  • обеспечение безопасности от точки до точки: межсетевой экран, авторизация маршрута и маршрутизатора, туннель для маршрута и криптозащита данных и др.

Следует отметить, что межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.

В настоящее время все выпускаемые межсетевые экраны можно классифицировать по следующим основным признакам:

  • по исполнению:

  • по функционированию на уровнях модели OSI:

    • - шлюз экспертного уровня,

    • - экранирующий шлюз (прикладной шлюз),

    • - экранирующий транспорт (шлюз сеансового уровня),

    • - экранирующий маршрутизатор (пакетный фильтр);

  • по используемой технологии:

    • - контроль состояния протокола,

    • - на основе модулей-посредников (proxy);

  • по схеме подключения:

    • - схема единой защиты сети,

    • - схема с защищаемым закрытым и не защищаемым открытым сегментами сети,

    • - схема с раздельной защитой закрытого и открытого сегментов сети.

Довольно распространенная на сегодня защита корпоративной сети на основе маршрутизатора со списком доступа основывается на использовании специализированных маршрутизаторов. Данная схема обладает высокой эффективностью и достаточной степенью безопасности. В качестве такого решения получили широкое распространение маршрутизаторы компании Cisco серий 12000, 7600. Для подключения сети предприятия к Интернету можно также использовать предшествующие серии маршрутизаторов этой фирмы.

Защита корпоративной сети на основе операционных систем, усиленных функциями пакетной фильтрации, построена на том, что системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др. По уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе UNIX-подобной операционной системы.

Организация внутренней политики безопасности корпоративной сети

В современных условиях более 50% различных атак и попыток доступа к информации осуществляется изнутри локальных сетей. Корпоративную сеть можно считать действительно защищенной от несанкционированного доступа только при наличии в ней как средств защиты точек входа со стороны Интернета, так и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети наилучшим образом обеспечивают решения на основе распределенных или персональных межсетевых экранов.

Внутренние корпоративные серверы компании, как правило, представляют собой приложения под управлением операционной системы Windows NT/2000, NetWare или, реже, семейства UNIX. По этой причине корпоративные серверы становятся потенциально уязвимыми к различного рода атакам.

Простейший способ защиты серверов — установка между серверами и Интернетом межсетевого экрана, например Firewall-1 компании Checkpoint. При правильной конфигурации большинство межсетевых экранов может защитить внутренние серверы от внешних злоумышленников, а некоторые выявляют и предотвращают атаки типа «отказ в обслуживании». Тем не менее этот подход не лишен некоторых недостатков. Когда корпоративные серверы защищены одним-единственным межсетевым экраном, все правила контроля доступа и данные оказываются сосредоточенными в одном месте. Таким образом, межсетевой экран становится узким местом и по мере нарастания нагрузки значительно теряет в производительности.

Альтернатива предыдущей схеме — приобретение дополнительных серверов и установка межсетевого экрана Firewall-1 компании Checkpoint или Cisco PIX компании Cisco перед каждым сервером. В результате того, что межсетевой экран становится выделенным ресурсом сервера, решается проблема узкого места и уменьшается влияние отказа отдельного межсетевого экрана на общее состояние сети. Однако и данный подход нельзя назвать идеальным, поскольку резко увеличиваются затраты компании на приобретение оборудования. К тому же возрастают трудозатраты на администрирование и обслуживание сети.

Наиболее удачным решением проблемы защиты корпоративных серверов представляется размещение средств безопасности на одной платформе с сервером, который они будут защищать. Эта задача выполняется путем использования распределенных или персональных межсетевых экранов, например CyberwallPLUS компании Network-1 Security Solution. Данные решения существенно дополняют функциональные возможности традиционных (периметровых) межсетевых экранов и могут использоваться для защиты как внутренних, так и Интернет-серверов.

В отличие от традиционных межсетевых экранов, представляющих собой, как правило, локальные «контрольные точки» контроля доступа к критическим информационным ресурсам корпорации, распределенные межсетевые экраны являются дополнительным программным обеспечением, которое надежно защищает корпоративные серверы, например Интернет-сервер.

Сравним традиционный и распределенный межсетевые экраны по нескольким показателям.

Эффективность. Традиционный межсетевой экран часто располагается по периметру, обеспечивая лишь один слой защиты. Персональный межсетевой экран функционирует на уровне ядра операционной системы и надежно защищает корпоративные серверы, проверяя все входящие и исходящие пакеты.

Простота установки. Традиционный межсетевой экран должен устанавливаться как часть конфигурации корпоративной сети. Распределенный межсетевой экран представляет собой программное обеспечение, которое устанавливается и удаляется в считанные минуты.

Управление. Традиционный межсетевой экран управляется сетевым администратором. Распределенный межсетевой экран может управляться либо сетевым администратором, либо пользователем локальной сети.

Производительность. Традиционный межсетевой экран является устройством обеспечения межсетевого обмена с фиксированным ограничением производительности по пакетам в секунду и не подходит для растущих серверных парков, соединенных друг с другом коммутированными местными сетями. Распределенный межсетевой экран позволяет наращивать серверные парки без ущерба принятой политике безопасности.

Стоимость. Традиционные межсетевые экраны, как правило, являются системами с фиксированными функциями и достаточно высокой стоимостью. Распределенные межсетевые экраны представляют собой программное обеспечение, стоимость которого, как правило, составляет от 20 до 10% от стоимости традиционных экранов. К примеру, распределенный межсетевой экран CyberwallPLUS компании Network-1 Security Solution стоит 6 тыс. долл., в то время как цена межсетевого экрана Cisco PIX 535 компании Cisco составляет порядка 50 тыс. долл.

Распределенные межсетевые экраны сочетают в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работают в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Такие виды деятельности, как попытки взлома и несанкционированного доступа, блокируются этим экраном до перехода на уровень приложений сервера.

К основным преимуществам распределенных межсетевых экранов относятся:

  • обеспечение безопасности входящего и исходящего трафика;

  • обеспечение масштабируемой архитектуры путем распространения защиты с помощью межсетевого экрана на многочисленные серверы;

  • устранение традиционного межсетевого экрана как единственного места сбоев;

  • обеспечение недорогого, простого в реализации и управлении решения безопасности.

Таким образом, межсетевые экраны CyberwallPLUS обеспечивают дополнительный уровень защиты платформ под управлением операционной системы Windows NT/2000, на которых установлены корпоративные приложения, например Интернет-сервер. Кроме того, межсетевой экран CyberwallPLUS может предотвратить применение известных типов атак для вторжений на критичные серверы компании и сообщить администратору безопасности о подозрительной деятельности в сети.

Итак, межсетевой экран:

  • защищает передаваемую информацию независимо от средств и среды передачи данных (спутниковые каналы, оптические линии связи, телефонные соединения, радиорелейные линии);

  • выполняет защиту любых приложений, не требуя их изменений;

  • прозрачен для конечных пользователей;

  • позволяет реализовать масштабируемые системы защиты с возможностью дальнейшего их наращивания и усложнения по мере роста организаций и совершенствования требований политики безопасности;

  • защищает отдельные сетевые информационные системы и приложения независимо от топологии сетей, которые они используют;

  • защищает информационную систему предприятия от атак из внешней среды;

  • защищает информацию от перехвата и изменения не только на внешних открытых соединениях, но и во внутренних сетях корпорации;

  • может быть легко переконфигурирован по мере развития корпоративной политики информационной безопасности, добавления ресурсов, обновления технологий, роста сети корпорации.

Реализации межсетевых экранов

В настоящее время большое количество как иностранных, так и отечественных компаний предлагают различные аппаратно-программные и программные реализации межсетевых экранов. Ниже приводится краткое описание некоторых выпускаемых сегодня продуктов ведущих иностранных производителей.

Компания NetScreen Technologies предлагает широкий спектр продуктов, начиная от устройств, обеспечивающих доступ отдельных пользователей к корпоративной сети предприятия по защищенному каналу, и заканчивая моделями, предназначенными для внедрения в структуры больших предприятий и создания систем безопасности с высокой пропускной способностью. Каждый продукт серии NetScreen представляет собой комбинацию межсетевого экрана и устройства VPN (virtual private network).

Серия продуктов NetScreen-5 позволяет создавать межсетевой экран с пропускной способностью 70 Мбит/с для модели NetScreen-5XT и 20 Мбит/с для модели NetScreen-5XP, а также VPN с пропускной способностью 20 и 13 Мбит/с соответственно. В отличие от NetScreen-5XP, поддерживающей до пяти портов 10Base-T, модель NetScreen-5XT обеспечивает пять интерфейсов Fast Ethernet.

Оба продукта способны поддерживать до 2 тыс. туннелей VPN и до 2 тыс. одновременных соединений TCP. Они комплектуются операционной системой NetScreen ScreenOS 4.0, которая используется для настройки физических и виртуальных интерфейсов в соответствии с требованиями безопасности.

Продукты серии NetScreen-5 идеальным образом подходят для установки между домашним компьютером пользователя и Web или для обеспечения защищенного доступа к локальной сети предприятия.

Для внедрения на мелких и средних предприятиях компанией NetScreen Technologies разработаны продукты серий NetScreen-25, -50, -100, -200. Они позволяют создавать межсетевые экраны с пропускной способностью от 100 до 550 Мбит/с. К тому же данные при шифровании по протоколу Triple DES со 168-битным ключом передаются между узлами по туннелю виртуальной частной сети на скоростях от 20 до 200 Мбит/с. Эти серии продуктов поддерживают от четырех до восьми портов Fast Ethernet.

Семейство устройств NetScreen-500, NetScreen-1000 и NetScreen-5000 отличается исключительной пропускной способностью, поэтому является наилучшим решением для внедрения на крупных предприятиях. Модель NetScreen-500 обеспечивает пропускную способность почти 750 Мбит/с, а также VPN со скоростью 240 Мбит/с.

Модель NetScreen-5200 позволяет реализовать межсетевой экран с пропускной способностью 4 Гбит/с и VPN с 2 Гбит/с. Она поддерживает до восьми портов Gigabit Ethernet или два порта Gigabit Ethernet и 24 Fast Ethernet. Модель NetScreen-5400 обеспечивает скорость в 12 Гбит/с для межсетевого экрана и 6 Гбит/с для VPN. Она поддерживает до 78 портов Gigabit Ethernet и Fast Ethernet.

Оба продукта способны поддерживать до 25 тыс. туннелей VPN и до миллиона одновременных соединений TCP. Они комплектуются операционной системой NetScreen ScreenOS 3.1. Кроме того, продукты компании NetScreen Technologies поддерживают протокол RADIUS (Remote Authentication Dial-In User Service — служба дистанционной аутентификации пользователей по коммутируемым линиям) и имеют собственную базу данных для аутентификации пользователей, подающих запрос на удаленный доступ.

Компания WatchGuard Technologies предлагает модели, предназначенные для внедрения как на мелких и средних, так и на крупных предприятиях. Для использования на предприятиях малого и среднего бизнеса предлагаются продукты серии Firebox III (4500, 2500, 1000, и 700). Модели Firebox 4500 и 2500 представляют собой аппаратные межсетевые экраны под управлением ОС Linux с защищенным ядром. Пропускная способность межсетевых экранов составляет 197 Мбит/с в режиме пакетной фильтрации и 60 Мбит/с — в режиме посредника (прозрачный proxy) на прикладном уровне. Каждый межсетевой экран имеет три сетевых интерфейса 10/100 Мбит/с Fast Ethernet.

Оба межсетевых экрана могут поддерживать до 3 тыс. туннелей VPN, но модель FireBox 4500 позволяет достичь более высоких по сравнению с FireBox 2500 скоростей шифрования информации по алгоритму TripleDES — 100 и 55 Мбит/с соответственно.

Для небольших и средних предприятий и удаленных офисов компания выпускает продукты Firebox SOHO 6, Firebox SOHO 6/tc и Firebox 700.

Firebox 700 способен обслуживать одновременно до 250 пользователей. Это межсетевой экран, поддерживающий как пакетную фильтрацию, так и фильтры — посредники приложений. Специалисты WatchGuard оценивают производительность Firebox 700 в 131 Мбит/с в режиме пакетной фильтрации и в 43 Мбит/с в режиме посредника. Firebox 700 позволяет создавать виртуальную частную сеть с 150 туннелями одновременно и выполнять шифрование TripleDES со скоростью 5 Мбит/с.

Firebox SOHO 6 поддерживает функционирование пакетных фильтров с пропускной способностью 75 Мбит/с. Он также поддерживает виртуальную частную сеть с пятью туннелями и пропускной способностью 20 Мбит/с (модификация SOHO/tc) при использовании шифрования TripleDES.

Для обеспечения высокоскоростной пропускной способности крупных информационных компаний разработана модель Firebox Vclass, позволяющая получить пропускную способность до 600 Мбит/с. Продукт способен поддерживать до 20 тыс. туннелей VPN. В режиме шифрования достигается скорость 300 Мбит/с.

Компания Cisco Systems предлагает серию межсетевых экранов Cisco PIX Firewall, обеспечивающих высокий уровень безопасности, производительности и надежности. Модельный ряд межсетевых экранов представлен следующими продуктами: PIX 506E, 515E, 525 и 535.

Межсетевые экраны Cisco PIX 506E и 515Е являются модернизациями моделей Cisco PIX 506 и 515 соответственно. Данные модели предназначены для использования в корпоративных сетях небольших компаний, а также для обеспечения безопасности удаленных клиентов корпоративных сетей предприятий. Модель 506Е имеет производительность 20 Мбит/с, а 515Е — 188 Мбит/с. Шифрование потока данных может осуществляться как с использованием алгоритма DES с 56-битным ключом, так и TripleDES с 168-битным ключом. Пропускная способность Cisco PIX 506E при шифровании DES — 20 Мбит/с, TripleDES — 16 Мбит/с. Скорость шифрования для модели 515Е на алгоритме TripleDES равна 63 Мбит/с. Модель 515Е поддерживает до 2 тыс. туннелей VPN.

Для использования на предприятиях среднего и крупного масштаба компания Cisco выпускает модели 525 и 535. Пропускная способность модели 525 составляет 370 Мбит/с. Данная модель может одновременно обслуживать до 280 тыс. сеансов. Модель Cisco PIX 535 имеет производительность 1 Гбит/с и поддерживает VPN с пропускной способностью 100 Мбит/с. Кроме того, эта модель поддерживает до 2 тыс. туннелей VPN и до 500 тыс. одновременных соединений TCP.

В качестве метода защиты в межсетевых экранах компании Cisco используются разновидность алгоритма контекстной проверки Adaptive Security Algorithm (ASA) и внутренняя операционная система PIX OS, позволяющие обеспечить высокую надежность и безопасность со стороны возможных Интернет-атак.

Компанией eSoft, Inc. в ноябре 2002 года представлена новая серия продуктов InstaGate xSP, которая пришла на смену более ранним моделям InstaGate EX2 и InstaGate PRO. Под маркой InstaGate xSP компанией eSoft выпускаются InstaGate xSP Branch Office для небольших и распределенных офисов и InstaGate xSP Business для средних и больших офисов. Продукты серии xSP поставляются с пакетом приложений SoftPak, что позволяет пользователям быстро и легко создавать надежную систему безопасности всего периметра корпоративной сети. Серия продуктов xSP полностью совместима с существующими моделями InstaGate и позволяет создавать виртуальные частные сети на базе IPSec и PPTP. InstaGate xSP Branch Office поддерживает до 10 пользователей и 10 туннелей VPN, а InstaGate xSP Business до 100 пользователей и 100 туннелей VPN. Продукты этой серии отличаются относительно невысокой стоимостью.

Компания 3Com предлагает на рынок два типа межсетевых экранов: SuperStack 3, предназначенные для штаб-квартир корпораций и крупных офисов, а также для клиентов, которым требуется высокопроизводительный доступ к виртуальной частной сети, и OfficeConnect — для небольших офисов с числом сотрудников менее ста, домашних офисов и работающих на дому специалистов.

По оценкам производителей, SuperStack 3 поддерживает неограниченное число пользователей корпоративной сети и обеспечивает до 1000 туннелей VPN. Пропускная способность данной модели при шифровании алгоритмом TripleDES составляет 45 Мбит/с.

Модельный ряд OfficeConnect представлен моделями OfficeConnect Internet Firewall 25 и OfficeConnect Internet Firewall DMZ. Модель OfficeConnect Internet Firewall DMZ, используя порт DMZ, позволяет обеспечить безопасный внешний доступ к ресурсам сети. OfficeConnect Internet Firewall DMZ поддерживает до 100 пользователей, а OfficeConnect Internet Firewall 25 — 25 пользователей. Совместно с межсетевыми экранами OfficeConnect Internet Firewall DMZ и OfficeConnect Internet Firewall 25 используется фильтр Web-сайтов OfficeConnect Web Site Filter, обеспечивающий фильтрацию доступа к нежелательным Web-сайтам. Все межсетевые экраны компании 3Com имеют сертификат ICSA. Семейство межсетевых экранов компании 3Com сочетает исключительную простоту в использовании с гибкостью выбора решений. Межсетевые экраны компании 3Com легко устанавливаются и обеспечивают чрезвычайно высокий уровень защиты. Установка в режиме plug-and-play исключает сложные и длительные процедуры настройки и администрирования без ущерба для строгости, полноты и детальности стратегии безопасности.

Таким образом, применение межсетевых экранов является ключевым элементом в построении высокопроизводительных, безопасных и надежных информационно-аналитических систем и систем автоматизации предприятий, финансовых систем, распределенных баз данных, систем удаленного доступа работников к внутренним ресурсам корпоративных сетей, сегментов корпоративной сети и корпоративной сети в целом.

Литература








<< предыдущая страница