Защита информационных систем с помощью брандмауэров: усовершенствованные руководящие принципы, технологии и политики безопасности брандмауэров

Авторы: Radack Sh.

Перевод с англ.: Карнаух О.В., перевод 1, 2, 3 разделов статьи

Описание: Методы защиты информации.

Источник (англ.): Отдел компьютерной безопасности, Лаборатория информационных технологий, Национальный институт стандартов и технологий.

Межсетевые экраны являются важнейшими программными и программно–аппаратными средствами, которые помогают организациям защитить свои сети и системы, пользователям защитить свои компьютеры от вражеских атак, взломов и вредоносного программного обеспечения. Межсетевые экраны контролируют поток сетевого трафика между сетями и между хостами, которые используют различные политики безопасности.

Сети в настоящее время в большинстве случаев предназначены для обеспечения защиты на входе в локальную сеть, а также внутри компьютерной сети. Современные средства защиты обнаруживают как внешние, так и внутренние атаки. Межсетевые экраны теперь можно использовать для ограничения подключения отдельных хостов внутри сети, которые обрабатывают личную информацию, позволяют проводить операции с конфиденциальной информацией, такие как бухгалтерский учет и кадровые задачи. Межсетевые экраны могут обеспечить дополнительный уровень безопасности, предотвращая несанкционированный доступ к системам и информации, они могут защитить мобильные устройства, которые периодически подключаются к защищаемой сети. Чтобы помочь организациям эффективно использовать современные технологии брандмауэра, техническая лаборатория Национального института стандартов и технологий (NIST) недавно пересмотрела статью по руководству технологиями брандмауэра и по разработке политики безопасности брандмауэра.

NIST Special Publication 800–41, 1–я редакция, Руководство по брандмауэрам и политики брандмауэра: Рекомендации Национального института стандартов и технологий.

Авторы Karen Scarfone and Paul Hoffman, сотрудники NIST, заменили 1–ю редакцию Special Publication (SP) 800–41, более раннее руководство по брандмауэрам, которое было выдано в 2002 году. Обновленный доклад содержит обзор технологии брандмауэров и помогает организациям планировать и осуществлять эффективные средства защиты с помощью данных устройств.

Пересмотренное издание поясняет технические особенности брандмауэров, типы межсетевых экранов, которые доступны для использования организациями; возможности по обеспечению безопасности этими устройствами. Издание содержит советы организациям по размещению брандмауэров в сетевой архитектуре, советы по выбору, внедрению, тестированию и управлению брандмауэрами. Так же новое издание содержит другие вопросы, такие как разработка политики безопасности брандмауэра, а также рекомендации по ограничению сетевых потоков, которые должны быть запрещены.

Приложениях к докладу содержат полезные вспомогательные материалы, в том числе глоссарий и списки аббревиатур и сокращений, используемых в тексте доклада. Кроме того, в приложениях приводятся списки интернет–ресурсов, которые предоставляют информацию об эффективном использовании межсетевых экранов в качестве компонента комплексного подхода к защите информации и информационных систем.

Пересмотренное приложение по брандмауэрам и политикам брандмауэра можно получить на веб–странице NIST:http://csrc.nist.gov/publications/PubsSPs.html

Роль брандмауэров в сетевой структуре

Существует несколько типов технологий брандмауэров, которые могут быть наиболее точно описаны и разбиты на подгруппы по своим свойствам. Один из способов распределения брандмауэров на группы является разбиение на четыре слоя сетевых коммуникаций, которые описаны в Управлении стандартами протоколов (TCP/IP):

Прикладной уровень, самый верхний слой, отправляет и получает данные для приложений, таких как системы доменных имен (DNS), протокол передачи гипертекста (HTTP), и протокол передачи почты (SMTP). Сам слой приложения состоит из слоев протоколов, таких как форматирование сообщений и обработка сообщений.

Транспортный уровень отвечает за возможность диалога между приложениями на разных машинах. Этот уровень обеспечивает преобразование данных (кодирование, компрессия и т. п.) прикладного уровня в поток информации для транспортного уровня. Так же может обеспечить коммуникационные надежности услуг. Протокол TCP (протокол с гарантией доставки) и UDP (протокол без гарантия доставки) обычно используются на этом уровне.

Интернет–протоколы или сетевой слой маршрутизации пакетов через сети, используе протоколы, включая Интернет–протокол версии 4 (IPv4), IP версии 6 (IPv6), протокол управления сообщениями (ICMP), и протокол управления групповой (multicast) передачи данных в сетях (IGMP).

Уровень аппаратных средств или канальный уровень является самым низким слоем. Обеспечивает управление взаимодействием компонентами сети на физическом уровне. Протокол Ethernet является протоколом канального уровня.

Данные слои работают сообща для обеспечения передачи данных между узлами. Когда пользователь хочет передавать данные по сети, данные передаются от высшего слоя через промежуточные слои до самого низкого уровня. На каждом новом слое происходит добавивлне необходимой информациик ппакету. Самый нижний слой передает накопленные данные физический канал. Затем данные, полученные в точке доступа проходит вверх от самого нижнего слоя к самому верхнему.

Основные и простые брандмауэры работают на одном или нескольких слоях, обычно нижних, в то время как более продвинутые брандмауэры работают на всех слоях. Раннее угрозы были наиболее распространены в нижних слоях сетевого трафика, но теперь угрозы являются на уровне приложенийвстречаются не менне часто. Межсетевые экраны по–прежнему необходимы для предотвращения значительной части угроз в нижних слоях сетевых коммуникаций, но брандмауэры, которые функционируют на большем количестве слоев, могут выполнять более комплексные процедуры. Межсетевые экраны, которые являются эффективными на прикладном уровне, могут потенциально защитить необходимые приложения и протоколы и предоставляемые услуги, которые ориентированы на пользователя. Например, брандмауэр, который работает только в нижних слоях, как правило, не может идентифицировать отдельных пользователей, но брандмауэр с возможностями прикладного уровня может предоставлять услуги безопасности, такие как процедура аутентификации пользователей и регистрация событий по конкретным пользователям.

Список использованной литературы

1. R.M. Bentley, “Validating the Pentium 4 Microprocessor,” Proc. Int’l Conf. Dependable Systems and Networks (DSN-2001), IEEE CS Press, Los Alamitos, Calif., 2001, pp. 193-198.
2. E. Schnarr and J. Larus, “Fast Out-of-Order Processor Simulation Using Memoization,” Proc. 8th Int’l Conf. Architectural Support for Programming Languages and Operating Systems (ASPLOS-VIII), ACM Press, New York, 1998, pp. 283-294.