Межсетевой экран Aker, предоставляет средства защиты как небольших сетей, подключенных к Сети, так и практически неограниченного числа подключенных к Internet локальных сетей, объединенных в виртуальную корпоративную сеть (VPN).
О развитии Internet в России и основных тенденциях написано много и подробно и вряд ли стоит повторяться. Однако хотелось бы отметить несколько моментов, имеющих непосредственное отношение к теме данной статьи:
- сегодня очень быстро растет число компаний, в том числе мелких и средних, имеющих у себя выделенный канал для доступа к Сети;
- все чаще в Internet появляется информация, имеющая коммерческую стоимость (базы данных, рекламные сервера и т.д.);
- использование коммуникаций Сети становится одним из наиболее распространенных способов обмена информацией между отделами или офисами одной организации;
- резко увеличивается число различных сервисов (в основном связанных с передачей звука и изображения) и приложений, отклоняющихся от привычных схем использования основных протоколов и распределения портов (базирующихся на протоколе UDP и использующих во время работы большое число дополнительных портов и соединений);
- небывалый доселе рост числа молодых и нахальных хакеров, чувствующих свою безнаказанность как из-за весьма слабо развитого законодательства в этой области, так и из-за трудностей с предоставлением в следственные органы строгих доказательств противоправных действий.
Рынок межсетевых экранов в России
В отличие от периода двух-трех летней давности, когда слово firewall, брандмауэр или межсетевой экран было знакомо только специалистам в этой области, сегодня на российском рынке предлагается уже десяток таких систем для различных платформ. Главным образом это продукты, из США, Канады, Израиля. Данные системы делятся на два основных типа - пакетные фильтры с контролем состояния (Firewall-1, PIX и т.д.) и межсетевые экраны, построенные на серверах-посредниках (proxy) прикладного уровня (Gauntlet, SecurIT FIREWALL). Эти продукты довольно сильно отличаются друг от друга по возможностям, поддерживаемым платформам, ценам. Однако у подавляющего большинства из них есть два основных сходства.
n Все они созданы в странах, где действует жесткое экспортное ограничение на длину ключа, используемого в криптографических модулях (а иногда экспортные варианты просто не содержат этих модулей). Криптографические модули используются, как правило, для поддержки системы удаленного администрирования межсетевого экрана и для организации виртуальной корпоративной сети (VPN).
n Стоимость систем определяется уровнем жизни и спросом на эти продукты в тех странах, где они производятся. Однако учитывая таможенные сборы и допустимый с точки зрения руководителей компаний уровень затрат на защиту информации, стоимость межсетевых экранов в России часто оказывается несоизмеримо высокой.
Теперь несколько слов о криптографии в России. Законодательство в этой сфере трудно назвать четким и понятным. В Федеральном Законе «Об информации, информатизации и защите информации» статья 21 гласит, что режим защиты коммерческой тайны устанавливает ее владелец, а при этом (статья 22) «риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения, лежит на собственнике (владельце) этих систем и средств». Указ Президента РФ от 3 апреля 1995 г. N 334 «О мерах по соблюдению законности в области разработки производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» в пункте 4 говорит, что «в интересах информационной безопасности Российской Федерации и усиления борьбы с организованной преступностью запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации…». В соответствии с Гражданским кодексом существует приоритет Федерального законодательства над любыми Указами.
Разобраться во всем этом, не будучи юристом, довольно сложно. На практике же использование в коммерческих структурах и для личного пользования систем, использующих криптографические методы но не прошедших сертификацию ФАПСИ распространено весьма широко (взять хотя бы браузер Internet Explorer c поддержкой SSL или версии операционной системы Cisco IOS с поддержкой 40-разрядного DES).
Недавно на российском рынке появился межсетевой экран Aker, по моему мнению, весьма любопытный продукт, подходящее по экономичности, гибкости и простоте решением для задачи защиты сетей, на платформе Windows, подключенных к Сети.
Принцип работы Aker
Межсетевой экран Aker (http://www.alpha.ru/Products/Aker) можно отнести к классу пакетных фильтров с контролем состояния (stateful inspection packet filter), хотя ряд сервисов (Telnet, HTTP, HTTPS, Gopher, FTP и SMTP) могут поддерживаться и при помощи proxy серверов. Экран функционирует на платформе FreeBSD, однако при инсталляции ядро ОС модифицируется. Для управления межсетевым экраном можно использовать интерфейс командной строки или удаленное рабочее место администратора, реализованное под NT или Windows 95. Нормальная работа Aker требует компьютера Pentium/133 Мгц с 32 Мбайт памяти (при активном применении VPN память необходимо увеличить). Число поддерживаемых сетевых интерфейсов ограничивается только возможностями системы (незанятыми слотами и прерываниями). Можно выделить следующие основные модули Aker:
- управление межсетевым экраном;
- аутентификация пользователей;
- пакетный фильтр;
- модуль трансляции адресов (NAT);
- организация сетей VPN;
- proxy-серверы;
- сбор и обработка статистики;
- модуль реакции на события;
- модуль контроля трафика.
Управление межсетевым экраном
Управлять межсетевым экраном Aker можно локально или дистанционно через графический пользовательский интерфейс. Оба эти способа предоставляют одинаковые возможности.
Рис. 1. Межсетевой экран Aker |
С одного рабочего места администратора (рис. 1) можно управлять несколькими межсетевыми экранами. Для связи с экраном удаленный агент организует защищенное соединение, поэтому для управления можно использовать открытые каналы Internet. Для использования удаленного агента необходимо в списке разрешенных хостов явно прописать хост где запускается удаленный агент. Администрирование межсетевого экрана разрешается только со строго ограниченного набора хостов.
Права доступа администратора на межсетевой экран можно контролировать. Для этого при задании нового администратора можно разрешить ему управлять межсетевым экраном, настраивать статистику, управлять пользователями экрана. Это позволяет разделить управление экраном среди нескольких людей и может стать полезной опцией при администрировании межсетевых экранов отделений большой компании, когда полное руководство осуществляет один человек, а анализ статистики и управление ею выполняет представитель отделения.
Правила пользования экраном описаны в справочной системе. При необходимости можно вызвать контекстную подсказку. Все сообщения выдаются на русском языке.
Аутентификация пользователей
В том или ином виде аутентификацию поддерживают все межсетевые экраны. Для одних требуется регистрация всех пользователей в базе данных экрана, для других нужно, чтобы пользователи были зарегистрированы на хосте где запускается межсетевой экран. Оба способа не позволяют применять базу данных пользователей, как правило присутствующую в локальной сети. В межсетевом экране Aker выбрано более универсальное и простое решение - вместо регистрации пользователей непосредственно в межсетевом экране, их подлинность проверяется на серверах локальных сетей, работающих под управлением Unix или NT.
Рис. 2. Параметры аутентификации |
Хосты, на которых располагается информация пригодная для аутентификации пользователей Aker, называются аутентификаторами. Это могут быть хосты под управлением Unix или NT, на которых запускается агент аутентификации. Агент поставляется в комплекте с межсетевым экраном Aker, а его основное назначение - обеспечить защищенное взаимодействие между межсетевым экраном и удаленной базой данных пользователей (рис. 2).
Aker позволяет задать режим, при котором будут опрашиваться несколько аутентификаторов в заданном порядке. Если этот режим установлен, межсетевой экран опрашивает все аутентификаторы по списку, пока не получит утвердительный ответ или пока не исчерпает весь список. Если режим сброшен, то поиск закончится на первом же аутентификаторе, который пришлет подтверждение или сообщение о неверном пароле.
Режим опроса можно применять при работе нескольких отделов компании через один межсетевой экран, когда в каждом из отделов имеется своя база данных пользователей. Aker - единственный на сегодняшний день межсетевой экран, позволяющий применять для аутентификации пользователей уже существующие базы пользователей. Aker поддерживает аутентификацию пользователей для протоколов Telnet, HTTP, HTTPS, Gopher, FTP.
Пакетный фильтр
Рис. 3. Объекты Aker |
Фильтрация пакетов - это основная и наиболее важная из задач, решаемых межсетевым экраном. Важную роль здесь играют гибкость и удобство описаний правил доступа. Aker использует пакетный фильтр с контролем состояния (stateful inspection), что позволяет упростить создание правил доступа, поскольку нет необходимости описывать их в обе стороны - в обратную строну это сделает сам межсетевой экран, создавая динамические записи.
Для описания правил необходимо сначала составить описание объектов. В Aker используются следующие типы объектов: хост, сеть, набор (хостов или сетей), протокол (группа протоколов), аутентификатор (рис. 3). Это позволяет облегчить процесс создания правил и внесения изменений в них при коррекции параметров защищаемой сети. Например, при изменении IP адреса хоста достаточно поправить его описание в одном месте, не меняя правил, в которых он задействован (рис. 4).
При описании политики доступа помимо уже упомянутых объектов Aker позволяет использовать временные таблицы, имя сетевого интерфейса, типы протоколов и ряд других параметров, характерных для стека TCP/IP.
Рис. 4. Список правил фильтрации |
В правилах можно описать, что делать с пакетом, если он удовлетворяет указанным условиям: пропустить, не пропустить или отбросить. Разница между последними двумя заключается в том, будет межсетевой экран отсылать сообщение (ICMP destination unreacheble) отправившему пакет хосту или нет.
Кроме того, для каждого правила можно задать порядок действия системы при появлении пакета, удовлетворяющего данному правилу - просто записать в файл статистики, послать сообщение оператору и т.д.
Трансляция адресов
Транслятор адресов (NAT) преобразует адрес источника пакета при его перемещении из внутренней сети наружу, что позволяет скрыть реальные внутренние адреса локальной сети и расширить внутреннее адресное пространство за счет использования резервных адресов.
Aker позволяет использовать два вида трансляции: «один-в-один» и «один-в-много». Первая используется для доступа с внутренних хостов, которые не маршрутизируются (не видимы) из глобальной сети. При этом во время перехода через межсетевой экран все адреса источника пакета заменяются на один специально заданный адрес внешнего сетевого интерфейса Aker. Второй вид используется для определения видимых снаружи серверов (например, WWW- или FTP-сервера компании). При этом с каждым сервером жестко связывается один из адресов из адресного пространства внешнего сетевого интерфейса. Одновременно сохраняются все возможности контроля доступа к этим хостам.
Модуль трансляции адресов позволяет также создать список объектов, адреса которых не будут транслироваться, даже если для них задана трансляция «один-в-один». Использование механизма трансляции адресов позволяет сохранить адресное пространство локальной сети после подключения к Internet.
Организация защищенных корпоративных сетей
Одна из функций, поддерживаемых межсетевым экраном Aker - это организация защищенных корпоративных сетей. Она позволяет создать между двумя или более межсетевыми экранами защищенный канал и обеспечить целостность передаваемой по нему информации и защиту ее от подсматривания.
Рис. 5. Шифрование. Протокол SKIP |
При организации VPN важную роль играют алгоритмы шифрования, электронной подписи и механизмы раздачи ключей. Как правило, все экспортные варианты межсетевых экранов, созданных в США, Канаде или Израиле используют длину ключа от 40 до 56 разрядов, что абсолютно не обеспечивает должного уровня защиты. Aker не страдает от экспортных ограничений. На данный момент для шифрования используются алгоритмы DES (56 разрядов) или 3DES (Triple DES) (112 разрядов), а для контроля целостности алгоритмы MD5 с ключом длиной 32 разрядов или алгоритм SHA с ключом длиной до 40 разрядов. При задании защищенного канала необходимо описать канал в прямом направлении и в противоположном - при этом можно использовать различные алгоритмы для различных направлений.
Для обмена используемых ключей Aker предоставляет две возможности - ручной обмен или обмен с использованием протокола SKIP. В первом способе при замене ключа необходимо одновременно заменить его на всех хостах, между которыми организован защищенный канал (рис. 5).
При использовании SKIP это производится автоматически каждый час. Для шифрования пакетов и ключей можно также использовать алгоритмы DES и 3DES (рис. 6).
Рис. 6. Шифрование. Алгоритм DES и 3DES |
Следует учесть, что даже эти весьма стойкие алгоритмы в следующей версии Aker будут существенно улучшены. Так, для обмена ключей с использованием SKIP будет использоваться протокол RSA с длиной ключа 1024 протокола, а для шифрования трафика симметричный протокол blowfish с длиной ключа 256 протокола. Такими характеристиками сейчас не может похвастаться ни один межсетевой экран.
Сбор и анализ статистики
Сбор и анализ статистики - это одна из наиболее важных функций межсетевого экрана, поскольку позволяют вовремя распознать попытки атак или взломов и принять необходимые меры по их предотвращению. Aker содержит в своем составе модуль для анализа собранной статистики, позволяющий делать выборки по наиболее важным для администратора событиям и системным сообщениям (рис. 7).
Рис. 7. Фильтрация статистики |
При выборе параметров выборки можно задавать тип пакетов (прошедшие через фильтр, отброшенные и т.д.), тип протокола, модуль, сообщения которого интересны администратору, адреса источника и назначения, диапазон дат. Сообщения можно сортировать по IP адресам или по объектам, а выбранную информацию можно сохранять в файле ASCII. Созданные фильтры можно сохранять для дальнейшего использования. Модуль позволяет также производить действия с файлом статистики - удалять старые записи, уплотнять базу статистики и т.д.
Proxy серверы
В состав межсетевого экрана Aker входят proxy серверы для Telnet, SMTP и WWW сервисов Их можно использовать без какой-либо модификации клиентов и серверов, что делает их пригодными для любых компьютеров, поддерживающих протокол TCP/IP.
Межсетевой экран Aker поддерживает прозрачные proxy серверы для служб Telnet и SMTP и непрозрачные для служб, доступных через WWW браузер (FTP, Gopher, HTTP и HTTPS). Для использования непрозрачных proxy серверов необходим клиент, поддерживающий работу через proxy. К таким клиентам относятся Netscape Navigator и Internet Explorer. Прозрачные proxy можно использовать для контроля доступа снаружи к внутренним сетям и наоборот. Непрозрачные proxy могут использовать только хосты внутренней сети.
Причина выбора непрозрачных proxy для WWW-служб связана с тем, что их можно использовать для особого вида аутентификации, называемой Proxy Authentication, которая действует, только если браузеры настроены для работы через proxy. При такой аутентификации браузер сразу же в начале сеанса запрашивает пароль пользователя и использует его, пока не завершит свою работу. Альтернативой этой форме аутентификации остается только доменная аутентификация, когда при обращении к новому WWW адресу у пользователя будет запрашиваться новый пароль.
SMTP
Proxy-сервер SMTP протокола позволяет обеспечить высокий уровень защиты для почтовой службы. Можно выделить его следующие основные возможности:
- фильтрация сообщений по содержанию, полям отправителя и получателя. Для каждого фильтра можно использовать до трех правил фильтрования, применяя операции «логическое И» или «логическое ИЛИ» для связи между ними;
- копирование всех писем, в том числе и не удовлетворяющих правилам фильтрации, на заданный адрес (или несколько различных адресов) - весьма важная возможность для тех организаций, где необходим строгий контроль почтового обмена;
- защита внутреннего SMTP сервер от массовых атак, базирующихся на переполнении буфера, использовании нестандартных символов, попытках запуска программ и т.д.;
- ограничение длины передаваемых сообщений.
Рис. 8. Правила SMTP |
Пример описания правила доступа для SMTP proxy приведен на рис. 8.
Помимо этого, SMTP proxy позволяет осуществлять перекрестные DNS проверки хоста-отправителя при приеме почты, фильтровать письма с неполным заголовком, контролировать тайм-ауты различных стадий обработки заголовков письма и данных, что несомненно повышает уровень безопасности для службы SMTP.
WWW
WWW-протоколы (HTTP, HTTPS, Gopher и FTP) являются одними из наиболее часто используемых в Сети. В межсетевом экране Aker все они могут поддерживаться как при помощи пакетного фильтра, так и при помощи proxy сервера. Второй вариант гораздо более предпочтителен, поскольку обеспечивает аутентификацию на уровне пользователя и возможность фильтрации URL как отдельных конструкций. Для
Рис. 9. Профиль WWW-доступа |
Telnet
Рис. 10. Контекст TELNET |
Протокол Telnet широко используется для доступа на компьютеры внутри локальной сети, однако в ряде случаев (например, управление сетевыми устройствами типа маршрутизаторов и т.д.) может применяться и для доступа через межсетевой экран. Proxy сервер протокола Telnet позволяет обеспечить контроль доступа по этому протоколу с аутентификацией пользователей (рис. 10).
Помимо этого, proxy сервер позволяет задать период неактивности соединения, а также необходимость проведения перекрестной DNS проверки.
Система реакции на события
Межсетевой экран Aker содержит в своем составе подсистему реакции на события. При возникновении события (несанкционированный доступ, подмена адресов и т.д.) администратор может описать порядок реагирования межсетевого экрана. Администратор может выбрать эти события из списка (рис. 11) и задать один или несколько видов реакции на него, в том числе:
Рис. 11. Настройка реакции: Демонстрационный интерфейс |
- запись в файл статистики;
- посылка SNMP-прерывания;
- посылка почты администратору;
- вывод окна предупреждения (при активном удаленном сеансе администрирования);
- запуск программы, которой можно передать ряд параметров, в том числе номер сообщения, его текст и т.д.
Контроль текущих соединений
В состав Aker входит модуль, позволяющий просматривать все текущие соединения (как по TCP, так и UDP), а также состояние этих соединений (рис. 12).
В результате, администратор может наблюдать за всеми проходящими через межсетевой экран соединениями и в случае необходимости прерывать их.
Следует отметить еще несколько интересных возможностей межсетевого экрана Aker.
Рис. 12. Активные TCP соединения |
- При установке экрана не требуется вносить каких-либо изменений в ПО клиентов и серверов, поэтому его можно использовать для любых платформ, поддерживающих стек TCP/IP.
- Такие операции как создание резервных копий и восстановление с них могут быть проделаны из удаленного графического интерфейса.
- Наличие интерфейса командной строки позволяет создавать скрипты для автоматизации работы различных функций межсетевого экрана - отправление обработанных статистических выборок и многое другое.
- Aker поддерживает протокол SNMP и возможность мониторинга и управления по этому протоколу. Одной из функций, которую обеспечивает Aker, является защита хостов от так называемых SYN атак, которые способны загрузить системные ресурсы компьютера, не давая им возможности или работать по сети, или вообще нормально функционировать.
- Межсетевой экран Aker устойчив к атакам типа Land, Tear Drop, Tear Drop 2, Ping o?Death, Tear Drop, Tear Drop 2 and Land.
- Удаленный интерфейс к межсетевому экрану Aker полностью руссифицирован, включая все системные сообщения.
- Стоимость межсетевого экрана зависит от числа компьютеров в защищаемой им сети, что позволяет экономить ресурсы в случае небольших и средних сетевых конфигураций.
Заслон хакеру
Aker - коммерческий межсетевой экран для свободно распространяемой FreeBSD, весьма популярной сегодня в России. Для этой ОС существует большое количество средств разграничения доступа - fwtk, ipfilter (автор - Darren Reed), screend, ipfw, tcpwrapper и ряд других. При наличии хорошей квалификации в области UNIX и сетевых протоколов с помощью этих систем можно обеспечить защиту локальной сети и самого межсетевого экрана. Однако Aker позволяет собрать воедино все хорошие качества этих систем. Кроме того, при использовании Aker обеспечивается квалифицированная поддержка, обновление, удобный графический интерфейс управления на русском языке в среде Windows. В отличие от большинства межсетевых экранов, в которых используются UNIX- системы, для управления Aker не требуется глубокого знания UNIX.
Другой особенностью Aker является то, что он использует для аутентификации пользователей готовые базы описания пользователей под NT или UNIX, так что администратору нет необходимости специально заводить пользователей на межсетевом экране.
Aker позволяет создавать защищенные корпоративные сети, используя при этом стойкие алгоритмы для контроля целостности и сокрытия информации. Не связанный с использованием ресурсоемких X Window приложений для самого межсетевого экрана, Aker нормально функционирует на весьма слабых по нынешним временам компьютерах. Для его работы не нужны монитор, клавиатура, мышь - даже резервное сохранение и восстановление осуществляется через удаленный интерфейс.
Об авторе
Михаил Ганев — сотрудник компании «Реком-Альфа» (Москва). С ним можно связаться по электронной почте по адресу ganev@alpha.ru