Назад в библиотеку

Защита информационных систем с помощью брандмауэров: 

усовершенствованные руководящие принципы, 

технологии и политики безопасности брандмауэров

Автор статьи: Radack Sh.

Перевод статьи: Кирьянов В.

Источник: Отдел компьютерной безопасности, Лаборатория информационных технологий, Национальный институт стандартов и технологий.

Межсетевые экраны являются важнейшими программными и программно–аппаратными средствами, которые помогают организациям защитить свои сети и системы, пользователям защитить свои компьютеры от вражеских атак, взломов и вредоносного программного обеспечения. Межсетевые экраны контролируют поток сетевого трафика между сетями и между хостами, которые используют различные политики безопасности.

Первоначально межсетевые экраны устанавливались по периметру сети, где внешние угрозы со стороны злоумышленников могли быть обнаружены и предотвращены. Эти ранние брандмауэры предоставляли не полную защиту для внутренних систем организации, они не могли распознавать все виды и все формы угроз. Например, атаки с одного внутреннего хоста на другой, часто не проходили через сетевые брандмауэры.

Сети в настоящее время в большинстве случаев предназначены для обеспечения защиты на входе в локальную сеть, а также внутри компьютерной сети. Современные средства защиты обнаруживают как внешние, так и внутренние атаки. Межсетевые экраны теперь можно использовать для ограничения подключения отдельных хостов внутри сети, которые обрабатывают личную информацию, позволяют проводить операции с конфиденциальной информацией, такие как бухгалтерский учет и кадровые задачи. Межсетевые экраны могут обеспечить дополнительный уровень безопасности, предотвращая несанкционированный доступ к системам и информации, они могут защитить мобильные устройства, которые периодически подключаются к защищаемой сети. Чтобы помочь организациям эффективно использовать современные технологии брандмауэра, техническая лаборатория  Национального института стандартов и технологий (NIST) недавно пересмотрела статью по руководству технологиями брандмауэра и по разработке политики безопасности брандмауэра.

NIST Special Publication 80041, 1я редакция, Руководство по брандмауэрам и политики брандмауэра: Рекомендации Национального института стандартов и технологий.

Авторы Karen Scarfone and Paul Hoffman, сотрудники NIST, заменили 1–ю редакцию Special Publication (SP) 800–41, более раннее руководство по брандмауэрам, которое было выдано в 2002 году. Обновленный доклад содержит обзор технологии брандмауэров  и помогает организациям планировать и осуществлять эффективные средства защиты с помощью данных устройств.

Пересмотренное издание поясняет технические особенности брандмауэров, типы межсетевых экранов, которые доступны для использования организациями; возможности по обеспечению безопасности этими устройствами. Издание содержит советы организациям по размещению брандмауэров в сетевой архитектуре, советы по выбору, внедрению, тестированию и управлению брандмауэрами. Так же новое издание содержит другие вопросы, такие как разработка политики безопасности брандмауэра, а также рекомендации по ограничению сетевых потоков, которые должны быть запрещены.

Приложениях к докладу содержат полезные вспомогательные материалы, в том числе глоссарий и списки аббревиатур и сокращений, используемых в тексте доклада. Кроме того, в приложениях приводятся списки интернет–ресурсов, которые предоставляют информацию об эффективном использовании межсетевых экранов в качестве компонента комплексного подхода к защите информации и информационных систем.

Пересмотренное приложение по брандмауэрам и политикам брандмауэра можно получить на веб–странице NIST:http://csrc.nist.gov/publications/PubsSPs.html

Роль брандмауэров в сетевой структуре

Существует несколько типов технологий брандмауэров, которые могут быть наиболее точно описаны и разбиты на подгруппы по своим свойствам. Один из способов распределения брандмауэров на группы является разбиение на четыре слоя сетевых коммуникаций, которые описаны в Управлении стандартами протоколов (TCP/IP):

Прикладной уровень, самый верхний слой, отправляет и получает данные для приложений, таких как системы доменных имен (DNS), протокол передачи гипертекста (HTTP), и протокол передачи почты (SMTP). Сам слой приложения состоит из слоев протоколов, таких как форматирование сообщений и обработка сообщений.

Транспортный уровень отвечает за возможность диалога между приложениями на разных машинах. Этот уровень обеспечивает преобразование данных (кодирование, компрессия и т. п.) прикладного уровня в поток информации для транспортного уровня. Так же может обеспечить коммуникационные надежности услуг. Протокол  TCP (протокол с гарантией доставки) и UDP (протокол без гарантия доставки) обычно используются на этом уровне.

Интернет–протоколы или сетевой слой маршрутизации пакетов через сети, используе протоколы, включая Интернет–протокол версии 4 (IPv4), IP версии 6 (IPv6), протокол управления сообщениями (ICMP), и протокол управления групповой (multicast) передачи данных в сетях (IGMP).

Уровень аппаратных средств или канальный уровень является самым низким слоем. Обеспечивает управление взаимодействием компонентами сети на физическом уровне. Протокол Ethernet является протоколом канального уровня.

Данные слои работают сообща для обеспечения передачи данных между узлами. Когда пользователь хочет передавать данные по сети, данные передаются от высшего слоя через промежуточные слои до самого низкого уровня. На каждом новом слое происходит добавивлне необходимой информациик ппакету. Самый нижний слой передает накопленные данные физический канал. Затем данные, полученные в точке доступа проходит вверх от самого нижнего слоя к самому верхнему.

Основные и простые брандмауэры работают на одном или нескольких слоях, обычно нижних, в то время как более продвинутые брандмауэры работают на всех слоях. Раннее угрозы были наиболее распространены в нижних слоях сетевого трафика, но теперь угрозы являются на уровне приложенийвстречаются не менне часто. Межсетевые экраны по–прежнему необходимы для предотвращения значительной части угроз в нижних слоях сетевых коммуникаций, но брандмауэры, которые функционируют на большем количестве слоев, могут выполнять более комплексные процедуры. Межсетевые экраны, которые являются эффективными на прикладном уровне, могут потенциально защитить необходимые приложения и протоколы и предоставляемые услуги, которые ориентированы на пользователя. Например, брандмауэр, который работает только в нижних слоях, как правило, не может идентифицировать отдельных пользователей, но брандмауэр с возможностями прикладного уровня может предоставлять услуги безопасности, такие как процедура аутентификации пользователей и регистрация событий по конкретным пользователям.

Firewall–технологии

Технология Брандмауэр часто сочетается с другими технологиями, такими как возможность маршрутизации и трансляции сетевых адресов (NAT). Межсетевые экраны могут также включать функции фильтрации и технологии обнарожения и предотвращения вторжений (IDS/IPS).

Брандмауэры более старшего поколенияпрежде всего выполняли функции пакетных фильтров. Это устройства, которые обеспечивают возможность управления доступом для хост адресов и сеансов связи. Эти устройства не следили за состоянием каждого потока трафика, проходящего через фаервол. В результате они не могут связывать множественные запросы в рамках одного сеанса друг к другу. Технология «Фильтр пакетов» продолжает работать в большинстве современных брандмауэров, наряду с другими методами брандмауэра. В отличие от более продвинутых фильтров, пакетные фильтры не анализировали содержимое пакетов. Их функциональность контроля доступа регулируется набором директив, указанных в качестве набора правил. Возможности фильтрации пакетов встроены в большинстве операционных систем и в устройств, способные к маршрутизации, такие как сетевой маршрутизатор, который использует списки контроля доступа. Пакетные фильтры работают на сетевом уровне, и могут фильтровать как входящий, так и исходящий трафик.

Брандмауэры с функцией stateful inspection повышают возможность фильтрации пакетов, отслеживание состояния соединения и блокируют пакеты, которые отклоняются от соответсвий политике брандмауэра. Эти брандмауэры должны выполнять свои функции на транспортном уровне; перехватывать пакеты на сетевом уровне, а также осуществлять проверку на предмет соблюдения существующих правил брандмауэра. Брандмауэры также отслеживают каждое соединение в таблице состояний, который содержит такую информацию, как IP–адрес источника, IP–адрес назначения, номера портов и информацию о состоянии подключения.

Брандмауэры на уровне приложений содержат динамические возможности анализа протокола. Некоторые производители описывают эту функцию, как глубокий анализа пакетов. Более глубокий анализ протоколов улучшает стандартные анализ протоколов путем предоставления базовых обнаружения вторжений и технологии для анализа протоколов на прикладном уровне и выявления подозрительных событий. Эти брандмауэры могут разрешить или запретить доступ, основываясь на том, что приложение работает через сеть. Приложение брандмауэра может определить, является ли сообщение электронной почты с содержит вложений, которые запрещены политикой данной организации, определить протоколы, которые используются неправильно, блокировать соединения, которые не разрешены, и разрешить или запретить доступ к веб–страницам. Межсетевые экраны с динамической фильтрацией и с анализом состояний протоколов предоставляет расширенные возможности для обнаружения и предотвращения атак, но они не являются полными обнаружения вторжений и системы предотвращения (IDPSs). Брандмауэр, который имеет возможность шлюза прокси–приложений сочетает контроль доступа нижнего уровня с функцией верхнего уровня. Эти брандмауэры содержат прокси–агент, который действует в качестве посредника между двумя хостами, между которыми происходит обмен данными. Прокси–агент никогда не позволяет прямую связь между хостами. Каждая успешная попытка соединения приводит к созданию двух отдельных соединений; одно соединение между клиентом и сервером, и другое соединение между прокси–сервером и адресом назначения.  С точки зрения двух узлов, соединение является прямым. Т. к. внешние хосты общаться только с прокси–агентом и внутренние IP–адреса не будут видимы для внешнего мира. Прокси–агент взаимодействует напрямую с набором правил брандмауэра, чтобы определить, является ли конкретный сетевой трафик разрешеным для пропуска его через межсетевой экран.

Некоторые прокси–агенты могут потребовать проверку подлинности каждого пользователя сети. Этот процесс аутентификации может включать в себя идентификацию пользователя (ID) и пароль, аппаратный или программный токен, адрес источника и биометрию. Как брандмауэры приложений, прокси шлюз работает на прикладном уровне и может проверять фактическое содержание сетевого трафика.

Выделенные проксисерверы сохраняют контроль прокси–трафика, но они, как правило, имеют гораздо более ограниченные возможности межсетевого экрана, чем приложения шлюза прокси. Многие выделенные прокси–серверы используются для конкретного приложения, а некоторые предназначены для выполнения анализа и проверки простых прикладных протоколов. Эти серверы обычно развертываются по традиционным платформ брандмауэров. Прокси–сервер может фильтровать или вести журнал входящего трафика, который поступает на основной брандмауэр, а затем пересылает трафик по всей внутренней системе. Прокси–сервер может также обрабатывать исходящий трафик непосредственно с внутренних систем, фильтровать его или вести журнал трафика, передавать трафик для доставки исходящих подключений. В последнее время, использование прокси-серверов для входящих данных значительно снизился, поскольку они должны имитировать возможности главного сервера. Большинство прокси серверов используются в настоящее время для контроля исходящего трафика.

Firewall–устройства могут иметь содержать в себе для шифрования и дешифрования конкретного сетевого трафика между защищенной сетью и внешними сетями. Эта функция осуществляется с помощью виртуальных частных сетей (VPN), которые используют дополнительные протоколы для шифрования трафика и обеспечения аутентификации и проверки целостности пользователя. Общие архитектуры VPN являются шлюз–шлюз и хост–шлюз. Шлюз–шлюз архитектуры подключения нескольких фиксированных площадок по линиям общественного счет использования VPN–шлюзов. Примером этой задачи является подключение филиалов к штаб–квартире организации. Архитектура хост–шлюз обеспечивает безопасное подключение к сети для отдельных пользователей, обычно удаленных пользователей, которые физически расположены за пределами организации, например, у себя дома или в гостинице.

Функциональность VPN–профилей шлюз–шлюз и хост–шлюз  часто является частью самого брандмауэра. С помощью VPN–канала данные передаются в зашифрованном виде, тем самым предотвращая брандмауэр от осмотра из внешней сети. VPN политика организации может указать ресурсы, к которым пользователям и группам пользователей предоставлены права доступа.

Межсетевым экранам на входе в выделенную сеть часто приходится выполнять клиентские проверки для входящих соединений с удаленными пользователями и разрешить или запретить доступ на основе этих проверок. Этот процесс проверки, который обычно называют контроль доступа к сети (NAC) или защита доступа к сети (NAP), позволяет получить доступ на основе учетных данных пользователя и результатов в процессе проверки, заверив, что компьютер пользователя соответствует политике организации в отношении использования, настройкам для обеспечения безопасности и конфигурациям в целом.

Унифицированное управление угрозами (UTM)  система, которая объединяет несколько функций безопасности в единую, в том числе брандмауэр, система обнаружения и предотвращения вредоносных программ и зондирование и блокирование подозрительных сетевых вторжений. Этот подход может уменьшить сложность настройки и поддержания политики всей системы, которая развертываются в том же месте в сети. UTM требует присутствия всех необходимых функций для удовлетворения всех целей в области безопасности.

Брандмауэры вебприложений установлены на входе в веб–сервер для обнаружения вредоносных программ на компьютере пользователей, которые получают доступ информации в Интернете, или предотвращения попыток запросить личную информацию от пользователей. Эти межсетевые экраны, скорее всего, будет отличаться от традиционных брандмауэров. Они являются относительно новой технологией с постоянно изменяющимися возможностями и параметрами.

Межсетевые экраны для виртуальных инфраструктур являются еще одним новым направлением технологий брандмауэра. Эти брандмауэры способны контролировать виртуализированные сети, что позволяет более одной операционной системы, работающей на одном компьютере одновременно, общаться друг с другом, как если бы они были соединены стандартном Ethernet. Сетевая активность, которая проходит непосредственно между виртуализированными операционными системами в рамках хоста не может контролироваться с помощью внешнего брандмауэра. Некоторые системы виртуализации предлагают встроенные брандмауэры или позволяют сторонним программным брандмауэрам контролировать процессы в качестве плагинов.

Брандмауэры для серверов и персональные брандмауэры для портативных персональных компьютеров обеспечивают дополнительный уровень защиты от сетевых атак. Это программные брандмауэры, кторые установлены на портативных устройствах, защищают и проводят мониторинг и контроль входящего и исходящего сетевого трафика для конкретного хоста. Они могут обеспечить более гибкую защиту, чем сетевые брандмауэры для удовлетворения потребностей конкретных хостов. Брандмауэры на основе хоста доступны как часть серверных операционных систем. Многие брандмауэры также могут выступать в качестве систем предотвращения вторжений (IPSS), принять меры для предотвращения повреждение хоста.

NIST Рекомендации организаций по вопросам использования брандмауэров и политиками брандмауэра.

NIST рекомендует организациям повысить эффективность и безопасность их информационных систем, принимая следующие действия:

Создайте политику для брандмауэра, определяющую, как брандмауэры должны обращаться со входящим и исходящим сетевым трафиком.

Политики брандмауэра, которые описаны в разделе 4 доклада, определяют, как организационные брандмауэры должны обращаться со входящим и исходящим сетевым трафиком для конкретных IP–адресов и диапазонов адресов; протоколы, приложения и типы контента на основе политики информационной безопасности организации. Организации должны проводить анализ рисков, чтобы определить приемлемые типы сетевого трафика и как они должны быть защищены, с указанием типов трафика, которые могут проходить через брандмауэр и при каких обстоятельствах. Например, организация может разрешить только необходимые Протоколы Интернета (IP) протоколы для передачи, соответствующий источник и IP–адрес назначения, который будет использоваться,  протокол управления передачей (TCP) и протокол пользовательских дейтаграмм (UDP), порты, которые будут доступны и некоторые Интернет–протоколы управления сообщениями (ICMP), типы и коды, которые будут использоваться. Как правило, весь входящий и исходящий трафик, который явно не разрешен политикой брандмауэра, должен быть заблокирован, т. к. такой трафик не нужен организации. Эта практика позволит снизить риск нападения, а также может уменьшить объем трафика, передаваемого в сетях организации.

Определить все требования, которые следует учитывать при выборе того, какие брандмауэры требуются для реализации данной политики.

При планировании и выборе брандмауэра, организации должны определить сетевые участки, кторые должны быть защищены, и рассмотреть типы технологий брандмауэра, которые будут наиболее эффективны для защиты требуемых типов трафика. Организации должны также принимать во внимание такие вопросы, как производительность и интеграция брандмауэра в существующую сеть и инфраструктуру безопасности. Конструкция брандмауэра должна принимать во внимание любые требования, касающиеся физической среды и персонала, а также любых потребностей, таких как планы принятия новых технологий IPv6 или виртуальных частных сетей (VPN).

Создание набора правил, который реализует политику брандмауэра для поддерживая производительности межсетевого экрана.

Наборы правил для брандмауэров должны быть как можно более конкретными для сетевого трафика, кторый будет контролироваться. Организации должны определить типы сетевого трафика, которые необходимы, в том числе протоколы, которые сам брандмауэр,возможно, будет использовать для управления. Детали создания наборов правил будет варьироваться в зависимости от типа брандмауэра и конкретного продукта брандмауэра, но производительность многих брандмауэров может быть улучшена за счет оптимизации наборов правил брандмауэра. Например, некоторые брандмауэры проверяют трафик против правил в последовательном порядке, пока не будет найдено совпадение; для этих брандмауэров правила, которые имеют самые высокие шансы на соответствующие схемы движения, должны быть размещены в верхней части списка, если это возможно.

Управление архитектуроой брандмауэра, политиками, программным обеспечением и другими компонентами в течение всего срока выполнений задач межсетевого экрана.

Различные типы брандмауэров в сетях организации могут по–разному влиять на политику безопасности, которую брандмауэры должны соблюдать. Правила политики должны отслеживаться и изменяться по мере изменения требований организации, например, когда новые приложения или хосты реализуются в сети. Работа компонентов брандмауэра должна быть проверена и соотнесена с потенциальными проблемами ресурсов, которые будут определены и решены, т. е. чтобы не снижалась производительность. Журналы событий и системы оповещения также следует постоянно контролировать для обнаружения угроз, как успешные, так и неудачные. Наборы правил и политики для Firewall должны управляться через формальные процессы управления изменениями, чтобы избежать влияния на безопасность и на бизнес–операции.  Правила и испытания должны проводиться периодически, чтобы обеспечить постоянное соблюдение политики организации. Брандмауэр должен быть обновлен последней версией поставщиков обновлений для устранения любых обнаруженных уязвимостей.

Смежные Публикации

Для получения информации о стандартах NIST и руководящих принципах, связанных с использованием межсетевых экранов, а также других публикаций, связанных с безопасностью, см. веб–страницу NIST: http://csrc.nist.gov/publications/index.html.

Оговорка

Любое упоминание о коммерческих продуктах или ссылка на коммерческие организации предназначены только для информации. Это не означает рекомендации или одобрения NIST и не подразумевает, что указанные продукты являются обязательно лучшими для конкретной цели.