Когда для входящих Интернетовских сервисов нет прокси-сервера , но требуется пропускать его через брандмауэр, администратор брандмауэра должен использовать конфигурацию или "заплатку", которая позволит использовать требуемый сервис. Когда прокси-сервер разрабатывается производителем, то "заплатка" должна быть отключена.
Средний-высокий
Все входящие интернетовские сервисы должны обрабатываться прокси-сервером на брандмауэре. Если требуется использование нового сервиса, то его использование должно быть запрещено до тех пор, пока производитель брандмауэра не разработает для него прокси-сервер и он не будет протестирован администратором брандмауэра. Только по специальному разрешению руководства можно разрабатывать свой прокси-сервер или закупать его у других производителей.
Гибридные шлюзы объединяют в себе два описанных выше типа брандмауэра и реализуют их последовательно, а не параллельно. Если они соединены последовательно, то общая безопасность увеличивается, с другой стороны, если их использовать параллельно, то общая безопасность системы будет равна наименее безопасному из используемых методов. В средах со средним и высоким риском, гибридные шлюзы могут оказаться идеальной реализацией брандмауэра.
Ниже приводятся рейтинги различных типов брандмауэров.
4 | рекомендованный вариант |
3 | эффективный вариант |
2 | Допустимый вариант |
1 | Минимальная безопасность |
0 | Неприемлемо |
Table 6.1. Риски безопасности брандмауэра
Архитектура брандмауэра (если один из типов, указанных ниже, реализован) | Среда с высоким риском, например банк | Среда со средним риском, например университет | Среда с низким риском, например мелкий магазин |
Фильтрация пакетов | 0 | 1 | 4 |
Прикладные шлюзы | 3 | 4 | 2 |
Гибридные шлюзы | 4 | 3 | 2 |
Брандмауэры могут быть сконфигурированы в виде одной из нескольких архитектур, что обеспечивает различные уровни безопасности при различных затратах на установку и поддержание работоспособности. Организации должны проанализировать свой профиль риска и выбрать соответствующую архитектуру. Следующие разделы описывают типичные архитектуры брандмауэра и приводят примеры политик безопасности для них.
Это такой хост, который имеет более одного интерфейса с сетью, причем каждый интерфейс с сетью подключен физически к отдельному сегменту сети. Самым распространенным примером является хост, подключенный к двум сегментам.
Брандмауэр на основе хоста, подключенного к двум сегментам сети - это брандмауэр с двумя сетевыми платами, каждая из которых подключена к отдельной сети. Например, одна сетевая плата соединена с внешней или небезопасной сетью, а другая - с внутренней или безопасной сетью. В этой конфигурации ключевым принципом обеспечения безопасности является запрет прямой маршрутизации трафика из недоверенной сети в доверенную - брандмауэр всегда должен быть при этом промежуточным звеном.
Маршрутизация должна быть отключена на брандмауэре такого типа, чтобы IP-пакеты из одной сети не могли пройти в другую сеть.
Примечание переводчика. Такая конфигурация, наверное, является одной из самых дешевых и распространенных при коммутируемом подключении ЛВС организации к Интернету. Берется машина, на которую устанавливается FreeBSD, и на ней запрещается маршрутизация, кроме того соответствующим образом конфигурируется встроенный в ядро пакетный фильтр (ipfw).
При архитектуре типа экранированный хост используется хост (называемый хостом-бастионом), с которым может установить соединение любой внешний хост, но запрещен доступ ко всем другим внутренним, менее безопасным хостам. Для этого фильтрующий маршрутизатор конфигурируется так, что все соединения с внутренней сетью из внешних сетей направляются к хосту-бастиону.
Если шлюз с пакетной фильтрацией установлен, то хост-бастион должен быть сконфигурирован так, чтобы все соединения из внешних сетей проходили через него, чтобы предотвратить прямое соединение между сетью организации и Интернетом.
Архитектура экранированной сети по существу совпадает с архитектурой экранированного хоста, но добавляет еще одну линию защиты, с помощью создания сети, в которой находится хост-бастион, отделенной от внутренней сети.
Экранированная подсеть должна внедряться с помощью добавления сети-периметра для того, чтобы отделить внутреннюю сеть от внешней. Это гарантирует, что даже при успехе атаки на хост-бастион, атакующий не сможет пройти дальше сети-периметра из-за того, что между внутренней сетью и сетью-периметром находится еще один экранирующий маршрутизатор.
Хотя брандмауэры обычно помещаются между сетью и внешней небезопасной сетью, в больших организациях или компаниях брандмауэры часто используются для создания различных подсетей в сети, часто называемой интранетом. Брандмауэры в интранете размещаются для изоляции отдельной подсети от остальной корпоративной сети. Причиной этого может быть то, что доступ к этой сети нужен только для некоторых сотрудников, и этот доступ должен контролироваться брандмауэрами и предоставляться только в том объеме, который нужен для выполнения обязанностей сотрудника. Примером может быть брандмауэр для финансового отдела или бухгалтерии в организации.
Решение использовать брандмауэр обычно основывается на необходимости предоставлять доступ к некоторой информации некоторым, но не всем внутренним пользователям, или на необходимости обеспечить хороший учет доступа и использования конфиденциальной и критической информации.
Для всех систем организации, на которых размещены критические приложения или которые предоставляют доступ к критической или конфиденциальной информации, должны использоваться внутренние брандмауэры и фильтрующие маршрутизаторы для обеспечения строгого управления доступом и аудирования. Эти средства защиты должны использоваться для разделения внутренней сети организации рвди реализации политик управления доступом, разработанных владельцами информации (или ответственными за нее).
Брандмауэр, как и любое другое сетевое устройство, должен кем-то управляться. Политика безопасности должна определять, кто отвечает за управление брандмауэром.
Должны быть назначены два администратора брандмауэра (основной и заместитель) ответственным за информационную безопасность (или кем-либо из руководства) и они должны отвечать за работоспособность брандмауэра. Основной администратора должен производить изменения в конфигурации брандмауэра, а его заместитель должен производить любые действия только в отсутствие основного, чтобы не возникало противоречивых установок.
Каждый администратор брандмауэра должен сообщить свой домашний телефонный номер, номер пейджера, сотового телефона или другую информацию, необходимую для того, чтобы связаться с ним в любое время.
Обычно рекомендуется иметь двух опытных человек для ежедневного администрирования брандмауэра. При такой организации администрирования брандмауэр будет работать практически без сбоев. Информация о каждом администраторе должна быть обязательно в письменном виде, чтобы быстро связаться с ними при возникновении проблем.
Безопасность сайта важна для повседневной деятельности организации. Поэтому требуется, чтобы администратор брандмауэра по-настоящему понимал принципы сетевых технологий и их реализации. Например, так как большинство брандмауэров сделано для работы с TCP/IP, необходимо серьезное понимание всех особенностей этого протокола. Более подробно о знаниях и навыках, необходимых для технических специалистов, смотрите в разделе "Администрирование ЛВС".
Человек, назначенный администратором брандмауэра, должен иметь большой опыт работы с сетевыми технологиями, чтобы брандмауэр был правильно сконфигурирован и корректно администрировался. Администратор брандмауэра должен периодически посещать курсы по брандмауэрам и теории и практике сетевой безопасности или другим способом поддерживать высокий профессиональный уровень.
Брандмауэры - первая линия обороны, видимая для атакующего. Так как брандмауэры в общем случае тяжело атаковать напрямую из-за их назначения, атакующие часто пытаются получить логин администратора на брандмауэре. Имена и пароли административных логинов должны быть серьезно защищены.
Наилучшим методом защиты от такой формы атаки является серьезная физическая безопасность самого брандмауэра и администрирование брандмауэра только с локального терминала. Но в повседневной жизни часто требуется некоторая форма удаленного доступа для выполнения некоторых операций по администрированию брандмауэра. В любом случае удаленный доступ к брандмауэру по небезопасным сетям должен осуществляться с использованием усиленной аутентификации. Кроме того, для предотвращения перехвата сеансов должно использоваться сквозное шифрование всего трафика удаленного соединения с брандмауэром.
Низкий риск
Любой удаленный доступ по небезопасным сетям для администрирования брандмауэра должен использовать усиленную аутентификацию, такую как одноразовые пароли и смарт-карты.
Средний риск
Предпочтительным методом администрирования брандмауэра является работа с локального терминала. Физический доступ к терминалу брандмауэра должен быть разрешен только администратору брандмауэра и администратору архивных копий.