ТЕХНОЛОГИЯ МЕЖСЕТЕВОГО ЭКРАНИРОВАНИЯ КАК ОДНА ИЗ СОСТАВЛЯЮЩИХ ЭШЕЛОНИРОВАННОЙ ОБОРОНЫ КОРПОРАТИВНОЙ СЕТИ

Межсетевое экранирование, наряду с системой обнаружения и предотвращения вторжений, является одним из основных элементов эшелонированной обороны корпоративной сети.

По руководящему документу ФСТЭК Р 50.1.056-2005 «Техническая защита информации» [1] межсетевым экраном называется «однокомпонентное или функционально распределённое устройство, реализующее контроль за информацией, поступающей в ИС и/или исходящей из автоматизированной системы». Также в устной речи системных, сетевых администраторов и администраторов безопасности употребляются слова «Firewall» (англ.) и «Брандмауэр» (нем.).

Межсетевой экран разделяет общую сеть на несколько частей (как правило, на две) и реализует набор правил, которые определяют условия перемещения пакетов с информацией через периметр из одной части сети в другую. Обычно эта граница, называемая периметром сети, проводится между корпоративной (локальной) сетью организации и глобальной сетью Интернет. МЭ должен быть установлен во всех точках периметра сети. Если в какой-то точке МЭ не установлен, то все остальные МЭ мало полезны.

Обычно межсетевые экраны защищают внутреннюю сеть предприятия от вторжений из глобальной сети Интернет, хотя они могут использоваться и для защиты от нападений из корпоративной интрасети, к которой подключена локальная сеть предприятия. Внутри сети МЭ применяются тогда, когда может понадобиться защита особо ценных ресурсов: сведений, содержащих, например, государственную или коммерческую тайну.

Для множества предприятий установка средств межсетевого экранирования является необходимым условием обеспечения защищённости интранета (внутренней локальной сети).

Для обеспечения защиты от несанкционированного доступа межсетевой экран МЭ должен располагаться, как было сказано ранее, между защищаемой сетью организации и потенциально враждебной внешней сетью (рисунок 1). При этом все операции между этими сетями должны проходить только через установленный межсетевой экран.

Рисунок 1. Расположение межсетевого экрана на периметре сети

Межсетевой экран решает основные задачи:

1. ограничивает доступ внешних пользователей, находящихся за пределами корпоративной к внутренним ресурсам. Такими пользователям являются партнеры, поставщики, удаленные пользователи, хакеры и даже сотрудники самой компании (инсайдеры), которые пытаются проникнуть в систему и получить доступ к серверам БД, защищаемых межсетевым экраном;
2. разграничивает доступ пользователей защищаемой сети к внешним ресурсам. Каждый сотрудник получает возможность работать с теми ресурсами, которые ему необходимы. Примером такого разграничения может служить доступ в Интернет.

Существует несколько видов классификации по различным признакам, но в рамках данной статьи ограничимся лишь классификацией по функционированию на уровнях модели OSI, так как она даёт более полное представление о технологии межсетевого экранирования.

Управляемый коммутатор (канальный уровень).

Они позволяют привязывать MAC-адреса сетевых карт компьютеров к определённым портам коммутаторов и осуществлять фильтрацию информации на основе MAC-адресов сетевых карт отправителя и получателя, реализуя VLAN. Однако область фильтрующего действия может распространяться только до ближайшего маршрутизатора. К недостаткам стоит отнести и то, что злоумышленнику не составит труда определить и подменить MAC-адрес сетевой платы. К тому же такие МЭ не способны регулировать доступ в Интернет. Применяются в основном в малых сетях для защиты интранета.

Пакетный фильтр (сетевой уровень).

Работают на сетевом уровне модели OSI и широко используются для защиты небольших сетей с простой структурой. Представляет собой маршрутизатор и работающую на компьютере или сервере программу, сконфигурированную для фильтрования входящих и исходящих пакетов на основе информации, содержащейся в заголовке IP пакетов. В первую очередь анализируется информация сетевого уровня, в частности: IP адрес отправителя и получателя. Более продвинутые пакетные фильтры могут анализировать информацию о номерах TCP/UDP портов отправителя и получателя.

К достоинствам стоит отнести низкую цену (обычно МЭ встроены в роутер с межсетевым экраном) и гибкость в определении правил фильтрации.

Среди недостатков можно отметить, что такие фильтры не защищают от вирусов и атак типа «отказ в обслуживании». Локальная сеть маршрутизируется и видна из Интернета.

Шлюз сеансового уровня.

Такие МЭ следят за квитированием (обменом пакетов) между клиентом и сервером, анализируя заголовки сеансового уровня. Обмен должен начинаться запросом от клиента, который посылает пакет, в заголовке которого установлен флаг SYN. В ответ веб-сервер посылает пакет с флагом ACK и затем уже сам посылает ещё 1 пакет с установленным флагом SYN. Для экономии времени часто вместо двух пакетов посылается 1 с флажками и SYN и ACK. Также клиент в ответ посылает пакет подтверждения с флагом ACK и числом на единицу больше полученного. МЭ сеансового уровня считает запрос допустимым, если реализуется такая процедура и при этом после установки соединения межсетевой экран просто перенаправляет пакеты туда и обратно, не проводя какой-либо фильтрации. При этом он поддерживает таблицу установленных соединений и пропускает данные, соответствующие сеансам из данной таблицы. Подобные МЭ обычно способны бороться с DoS-атаками, представляющие собой атаки типа «отказ в обслуживании».

Межсетевые экраны сеансового уровня обладают хорошим достоинством: они позволяют организовать NAT (Network Address Translation – сетевая трансляция адресов). Имеются 2 основных режима NAT:

1. Динамический режим или на уровне портов (PAT). При этом МЭ имеет один единственный IP адрес. Все обращения в Интернет и запросы из Интернета идут на единственный IP-адрес. При этом разным компьютерам локальной сети соответствуют разные порты данного IP-адреса, что обеспечивает взаимодействие с разными компьютерами локальной сети и исключает прямой контакт между внутренней и внешней сетью. Данный режим используется для клиентских компьютеров, которым необходим выход в Интернет;
2. Статический режим. Интерфейсу МЭ присваивается сразу несколько IP-адресов, в соответствии с числом Интернет-серверов корпоративной сети. И при обращении к ним извне происходит трансляция белого внешнего адреса одного из присвоенных МЭ серый адрес веб сервера и наоборот. Данный режим предназначен для обращения к серверам, расположенным внутри корпоративной сети;

Однако, такие МЭ после установления соединения передают пакеты без какой-либо фильтрации, что представляет угрозу.

Прикладной шлюз.

МЭ прикладного уровня (прикладной шлюз) позволяет проводить усиленную аутентификацию и работает с сервером аутентификации. Такой шлюз будет проверять содержимое пакета, если для данного приложения разработан посредник. При анализе пакета подвергается проверке вредоносный код, наличие несанкционированных недопустимых команд, правильность формата данных, недопустимые сценарии.

Межсетевые экраны прикладного уровня бывают прозрачные и непрозрачные.

Прозрачные МЭ – это классические прокси сервера, которые раньше широко использовались для ускорения связи с Интернетом, за счёт того, что обращения к веб-серверам кэшировались на прокси сервере и если кто-то из пользователей обращался к этой же странице, то она бралась не из Интернета, а из памяти этого прокси-сервера.

При использовании непрозрачного МЭ компьютер необходимо явным образом настроить на работу с ним, их IP адрес и порт. При этом они позволяют обеспечивать большую безопасность через дополнительную аутентификацию.

МЭ прикладного уровня защищает от вирусов, так как ведётся контроль на уровне приложений, а централизованная аутентификация и развитые средства аудита значительно повышают уровень безопасности всей сети.

Однако, у таких МЭ более низкая производительность по сравнению с остальными за счёт необходимости анализа большей информации.

Межсетевые экраны экспертного уровня (инспекторы состояний).

Такие экраны объединяют все возможности 3 МЭ кроме канального. Также, как и МЭ с фильтрацией пакетов, они анализируют информацию на сетевом уровне, фильтруя пакет на основе IP адресов и портов отправителя и получателя. Они выполняют функции МЭ сеансового уровня, определяя относят ли пакеты к соответствующим сеансам и дальше выполняют функции МЭ прикладного уровня, анализируя содержимое пакетов на прикладном уровне, но имеют важное отличия от МЭ прикладного уровня – если МЭ прикладного уровня устанавливает 2 соединения: один от клиента до экрана и от экрана до сервера, то здесь возможны прямые соединения. При этом МЭ экспертного уровня используют специальные алгоритмы распознавания и обработки данных на уровня приложения, сравнивая пакеты с определёнными шаблонами, что также обеспечивает высокое качество фильтрации и в силу прозрачности для пользователя они очень популярны.

В заключении стоит отметить, какой бы хорошей ни была технология межсетевого экранирования, она не обеспечивает достаточный уровень защищенности в корпоративной сети, т.к. не существует стандартных решений, одинаково применяемых в разных условиях. Поэтому для защиты сети необходимо применять и комбинировать межсетевое экранирование с системами обнаружения вторжений, SIEM-системами и другими существующими методами защиты, то есть организовывать комплексную защиту.

Список литературы:

1. Р 50.1.056-2005 Техническая защита информации. Основные термины и определения;
2. Википедия [электронный ресурс] – URL: https://ru.wikipedia.org/wiki/Межсетевой_экран, Режим доступа: свободный. Дата обращения: 08.01.2018.
3. ВашЭксперт [Электронный ресурс]. – URL: https://vasexperts.ru/blog/bezopasnost/firewall-ili-dpi-instrumenty-zashhity-raznogo-naznacheniya/, режим доступа: свободный. Дата обращения: 08.01.2019.
4. Шаньгин В.Ф. Информационная безопасность. – М.: ДМК Пресс, 2014. – 702 с.: ил.