« = » - требования совпадают с требованиями к МЭ предыдущего класса.

Таблица 1. Показатели защищенности для МЭ.

В общем случае для обеспечения сетевой защиты между двумя множествами информационных систем ставится экран, который является средством разграничения доступа клиентов из одного множества систем к информации, хранящейся на серверах в другом множестве. В этом смысле межсетевые экраны можно представить как набор фильтров, анализирующих проходящую через них информацию и принимающих решение: пропустить информацию или ее заблокировать. Одновременно с этим производится регистрация событий и тревожная сигнализация в случае обнаружения угрозы. Для экранов определяются понятия "внутри" и "снаружи", причем в задачу экрана входит защита внутренней сети от потенциального враждебного окружения. Межсетевой экран может использоваться в качестве корпоративной открытой части сети, видимой со стороны Интернета. Так, например, во многих организациях межсетевые экраны используются для хранения данных с открытым доступом, как, например, информация о продуктах и услугах, файлах из баз, сообщений об ошибках и т.д.

2.3. Основные требования, предъявляемые к межсетевым экранам

1. Основное требование - обеспечение безопасности внутренней (защищаемой) сети и полный контроль над внешними подключениями и сеансами связи.

2. Экранирующая система должна обладать мощными и гибкими средствами управления для простого и полного проведения в жизнь политики безопасности организации.

3. Межсетевой экран должен работать незаметно для пользователей локальной сети и не затруднять выполнение ими легальных действий.

4. Процессор межсетевого экрана должен быть быстродействующим, работать достаточно эффективно и успевать обрабатывать весь входящий и исходящий поток в пиковых режимах, чтобы его нельзя было блокировать большим количеством вызовов и нарушить его работу.

5. Система обеспечения безопасности должна быть сама надежно защищена от любых несанкционированных воздействий, поскольку она является ключом к конфиденциальной информации в организации.

6. Система управления экранами должна иметь возможность централизованно обеспечивать проведение для удаленных филиалов единой политики безопасности.

7. Межсетевой экран должен иметь средства авторизации доступа пользователей через внешние подключения, что является необходимым в случаях работы сотрудников организации в командировках.

В результате конкуренции среди производителей межсетевых экранов и их попыток усовершенствовать свой продукт брандмауэры наделялись новыми свойствами. Поскольку межсетевой экран служит как бы воротами во внешний мир, он должен выполнять множество задач, в том числе и не связанных с обеспечением безопасности.

2.4. Основные компоненты МЭ

Выделяют три основных компонента МЭ, выполняющих функции администрирования, сбора статистики и предупреждения об атаке и аутентификации.

• Администрирование. Легкость администрирования является одним из ключевых аспектов при создании эффективной и надеж ной системы защиты. Ошибки при определении правил доступа могут образовать лазейку, через которую рано или поздно будет взломана система. Поэтому в большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил. Наличие этих утилит позволяет также производить про верки на синтаксические или логические ошибки при вводе или редактировании правил. Обычно эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все, что относится к конкретному пользователю или сервису.
• Системы сбора статистики и предупреждения об атаке. Информация обо всех событиях: отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д., - накапливается в файлах статистики. Многие МЭ позволяют гибко определять подлежащие протоколированию (протоколирование - это сбор и накопление информации о событиях, происходящих в информационной системе) события, описывать порядок действия при атаках или попытках несанкционированного доступа: сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной, и атакующий уже проник в систему. В состав многих МЭ входят генераторы отчетов, служащие для обработки статистики и позволяющие собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.
• Аутентификация. Прежде чем пользователю будет предоставлено право получить тот или иной сервис, необходимо убедиться, что он действительно тот, за кого себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены, называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации - как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, МЭ проверяет, какой способ аутентификации определен для данного пользователя, и передает управление серверу аутентификации. После получения положительного ответа МЭ формирует запрашиваемое пользователем соединение.

При аутентификации используется, как правило, принцип, по лучивший название "что он знает" - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных Unix-паролей. Эта схема является наиболее уязвимой с точки зрения безопасности, так как пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей.

Ряд МЭ поддерживают систему Kerberos - один из наиболее распространенных методов аутентификации. Главной особенностью Kerberos является то, что первичные ключи по системе не передаются вообще. Эта система была разработана в Массачусетском технологическом институте в рамках проекта Athena. Главным назначением системы является обеспечение защищенного об мена данными в сети общего пользования. Обмен данными по строен по принципу клиент/сервер. В Kerberos существует не один, а целых три сервера: идентификационный, выдачи разрешений и административный. Все ПК пользователей оснащаются клиентской частью Kerberos. Сервер может быть установлен на любом ПК или даже разнесен по многим. Ядро системы составляют сер вер идентификации и сервер выдачи разрешений. Область действия Kerberos-сервера называется realm. Все пользователи realm должны быть зарегистрированы в идентификационном сервере Kerberos, а все серверы должны иметь общий кодовый ключ с идентификационным сервером.

При взаимодействии с системой пользователь посылает свой идентификатор серверу идентификации, который проверяет наличие данного пользователя в своей базе данных. Если пользователь зарегистрирован, то ему отправляется "разрешение на получение разрешения" и код сеанса, которые зашифрованы при помощи па роля пользователя из базы данных пользователя. Данная информация расшифровывается на ПК пользователя после ввода послед ним своего пароля, который совпадает с тем, что хранится в базе данных пользователя. Таким образом, пароль по сети не передается. После того, как разрешение на обращение к серверу разрешений получено, клиент обращается за разрешением на доступ к ин формационным ресурсам. Этот запрос содержит имя пользователя, сетевой адрес его компьютера, отметку времени, срок жизни раз решения и код сеанса. Разрешение зашифровывается при помощи кода, известного идентификационному серверу и серверу выдачи разрешений. Данный код пользователю не известен. Кроме кода, разрешение шифруется и при помощи пароля пользователя. Вместе с запросом на разрешение на доступ к ресурсам пользователь посылает еще и свой идентификатор, который шифруется с использованием кода сеанса и содержит имя пользователя, его сете вой адрес и отметку времени. Сервер разрешений проверяет полу ченное разрешение на получение разрешений (сравнивает имя пользователя и его сетевой адрес, зашифрованные в разрешении, с адресом из пакета). После этого расшифровывается идентификатор и снова сравнивается имя пользователя и его сетевой адрес с теми, что пришли в пакете. Так как идентификатор пользователя используется только один раз в течение определенного времени, то перехватить и идентификатор, и разрешение довольно трудно. Сервер разрешений высылает разрешение клиенту, которое шиф­руется при помощи кода, известного серверу разрешений и ин формационному серверу. Данное разрешение содержит новый код сеанса, который используется клиентом при обращении к целевому серверу.