Автоматическое создание ACL
Модуль управления маршрутизатором может приобретаться и как автономный модуль, только для управления маршрутизатором, и вместе с полным решением проблемы безопасности предприятия - FireWall-1 (FireWall-1 enterprise security solution).
© ООО , 1998
Безопасность операционной системы
Брандмауэры защищают сети от внешних угроз, обеспечивая строгое управление доступом, надежную аутентификацию пользователей и возможности для шифрования данных. Часто, тем не менее, серьезные угрозы в сетевой безопасности возникают из-за внутренних пользователей. Поскольку возможности firewall по обеспечению сетевой безопасности широко известны, обеспечению необходимой внутренней безопасности операционной системы с установленным firewall уделяется сравнительно небольшое внимание.
В связи с этим, злоупотребление привилегиями операционной системы подвергает риску безопасность сети. Пользователи с доступом к основной операционной системе могут подвергнуть опасности доступность и целостность firewall и открыть сетевые ресурсы как для внутренних, так и для внешних атак.
Для обеспечения надлежащей степени безопасности для firewall-приложений и ограждения от угроз со стороны пользователей операционной системы необходимо применение укрепленных операционных систем. Укрепленная операционная система может обезопасить firewall, ограничивая доступ к критически важным процессам, файлам конфигурации, файлам данных и административным утилитам.
Выбирая защищенное решение firewall, важно выбрать одну из поддерживаемых коммерческих операционных систем. В отличие от других защищенных операционных систем, коммерчески поддерживаемые операционные системы допускают работу совместно с firewall других приложений сервера.
Check Point понимает потребность рынка в защищенном firewall решении, поддерживающем коммерческие операционные системы, и предлагает продукт SeOS Secured!
Firewall-1 SeOS Secured! увеличивает степень безопасности операционной системы, он полностью интегрирован с FireWall-1, и специально разработан для защиты консоли управления FireWall-1 от несанкционированного доступа и поддержки безопасного функционирования firewall одновременно с другими приложениями.
© ООО , 1998
Блокирование Java и ActiveX
Возможности FireWall-1 по сканированию и анализу потоков данных позволяют эффективно бороться с различными атаками, связанными с использованием Java и ActiveX. Администратор безопасности может контролировать прохождение кода Java и ActiveX в соответствии с определенными условиями, как, например, сетевой адрес компьютера клиента и сервера, запрашиваемый URL или зарегистрированное имя пользователя.
FireWall-1 может производить следующие действия над обнаруженным кодом Java и ActiveX:
Удаление Java-аплетов, встречающихся в тексте HTML-страницы
Удаление Java-аплетов из всех потоков между сервером и клиентом, даже если информация архивирована или компрессирована
Блокирование Java-атак путем запрещения подозрительных обратных соединений
Удаление ActiveX-аплетов, встречающихся в тексте HTML-страницы
Удаление кода JavaScript, встречающегося в тексте HTML-страницы
Централизованное управление
Центр управления безопасностью маршрутизаторов фирмы Check Point может быть приобретен как отдельный продукт исключительно для управления списками доступа (ACL) маршрутизаторов или вместе с полным решением проблемы безопасности предприятия FireWall-1 (FireWall-1 enterprise security solution). В каждом случае, удобство конфигурирования имеет различную степень оправданности. Более важно использовать возможность Check Point FireWall-1 настраивать и управлять ACL многочисленных маршрутизаторов с одной центральной консоли. Если требуются изменения конфигурации, то они производятся один раз на центральной консоли управления, и затем новые ACL автоматически генерируются системой и автоматически распределяются по нужным маршрутизаторам, расположенным в сети предприятия.
Внедряя управление безопасностью маршрутизаторов в линию своих продуктов, Check Point FireWall-1 обеспечивает организации возможность определять единственную политику безопасности предприятия, которая управляет всеми аспектами сетевой безопасности. FireWall-1 позволяет организации централизованно управлять модулями FireWall-1 также, как модулями маршрутизаторов 3Com, Bay Networks и Cisco, используя единственную базу правил политики безопасности с общим пользовательским интерфейсом управления.
Check Point RealSecure начнет поставляться не позднее третьего квартала 1998 года
Check Point RealSecure постоянно анализирует данные из пакетов, проходящих по корпоративной сети. Продукт распознает признаки множества различных методов атак, включая атаки на сетевом уровне и опасные приложения Java и ActiveX, вредоносных действий или нежелательного использования ресурсов сети. Механизм распознавания атак RealSecure (запатентованный ISS) без промедления оповещает администраторов сети о любой подозрительной активности, делает запись в журнале сообщений и имеет возможность автоматически прервать данную сессию. События классифицируются и обобщаются в порядке важности, позволяя быстро оценить сложившуюся ситуацию. Предусмотрен режим “проигрывания” событий для детального анализа или для использования в качестве доказательства преступления. Распределенная архитектура позволяет вам устанавливать мониторы по всей сети компании, что даст возможность видеть и останавливать атаки с единой консоли управления из центра управления сетью.
Чем обмениваются сети предприятия?
Разграничение доступа защищает организацию от потенциальных угроз благодаря четкому специфицированию и контролю за тем, какие информационные потоки и коммуникации могут проходить через пограничный шлюз сети организации. Ключевой особенностью устройств, обеспечивающих контроль доступа, является их полная осведомленность обо всех коммуникациях, сетевых сервисах и приложениях. Первые реализации средств защиты на основе пакетных фильтров (обычно выполняются на маршрутизаторах) не имеют данных о состоянии приложения, не могут обрабатывать трафик UDP и динамических протоколов. Средства защиты сетей второго поколения - основанные на использовании приложенийпосредников (proxy) - требуют, зачастую, очень мощных компьютеров и достаточно медленно адаптируются к появлению новых сетевых служб Интернет, которые появляются регулярно. В противовес этому, технология stateful inspection, реализованная в Check Point FireWall-1, дает шлюзу полную информацию о коммуникациях, что совместно с объектно-ориентированным подходом в описании сетевых ресурсов и сервисов позволяет быстро и легко адаптировать систему к новым услугам Интернет. FireWall-1 предоставляет исчерпывающие возможности по контролю доступа для более чем 160 предопределенных сервисов Интернет и имеет средства для удобного специфицирования новых сервисов пользователя.
В дополнение к перечисленным возможностям FireWall-1 позволяет регулировать доступ к ресурсам сети, учитывая время. Это дает возможность существенно детализировать процессы работы с ресурсами сети, создавая правила, обеспечивающие доступ к ресурсам в определенные промежутки времени (могут учитываться минуты, часы, дни месяца, дни недели, месяц, год). К примеру, организация может решить ограничить доступ в Интернет для просмотра Web в рабочее время и разрешить в не рабочие часы. Другой пример - запретить доступ к критическим серверам на время проведения полного сохранения информации серверов.
Что необходимо принять во внимание?
Check Point Software Technologies предоставляет наборы программных средств, ориентированные на небольшие, среднего уровня и большие компании, обеспечивая комплексную систему информационной безопасности для всей сети предприятия в соответствии с тем, как определены границы этой сети.
Более подробная техническая информация по соответствующим разделам представлена ниже:
Виртуальные частные сети
Высоконадежные системы
Что такое OPSEC?
Open Platform for Secure Enterprise Connectivity [OPSEC] - это концепция, предложенная Check Point, в основе которой лежит идея создания единой, базовой платформы для интегрирования и управления всеми аспектами информационной безопасности предприятия путем подключения различных дополнительных компонент посредством стандартных интерфейсов. Различные производители приложений в области информационной безопасности теперь могут встраивать свои системы в рамках OPSEC, используя опубликованные программные интерфейсы приложений (API), стандартные для индустрии протоколы и язык INSPECT. Будучи встроенными таким образом, все приложения могут управляться и настраиваться с административной консоли оператора безопасности с использованием общего редактора политики безопасности.
Что такое Stateful Inspection?
Stateful inspection или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Он разработан и запатентован компанией Check Point Software Technologies.
Данная технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды. Все большее количество производителей систем защиты используют эту технологию в своих решениях. Этот факт хорошо отражает цитата из отчета Giga Information Group в издании Gigawire за 17 марта 1997 года - "We believe that stateful inspection will be adopted by a broad segment of the computer industry as the standard way to provide gateway security in the future".
Исторически эволюция средств firewall проходила от пакетных фильтров общего назначения, затем стали появляться программы посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection.
Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали.
Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.
Пакетным фильтрам не доступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности.
Программы-посредники обрабатывают только данные уровня приложения, что зачастую, порождает различные возможности для взлома системы.
Запатентованная реализация stateful inspection в продукте Check Point FireWall-1 обеспечивает максимально возможный уровень контроля и безопасности. FireWall-1 контролирует соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy посредники могут контролировать только с 5 по 7 уровень.
Тем самым Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контекста приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия. Дополнительная защита обеспечивается и самому компьютеру с FireWall-1, так как данное программное обеспечение перехватывает, анализирует, предпринимает необходимые действия в отношении всех соединений и лишь затем пропускает эти информационные пакеты в операционную систему компьютера шлюза, что избавляет операционную систему от несанкционированного доступа.
Реализация технологии stateful inspection компании Check Point ориентирована на работу в высокоскоростных сетях передачи данных, и по результатам различных тестов практически не вносит замедления в работу таких сетей. Основанный на виртуальном процессоре INSPECT, Check Point FireWall-1 показывает существенно лучшие результаты, чем лидирующие продукты, в основе которых лежат программы-посредники (proxy). Данное утверждение неоднократно подтверждалось различными, независимыми тестами, как, например, Data Communications, 21 марта 1997 года.
В реализации технологии stateful inspection компании Check Point используются динамические таблицы для хранения информации о контексте соединений как активных, так и существовавших ранее. Содержимое этих таблиц, проверяется при обработке попытки соединения. Такой подход обеспечивает прекрасную производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны, как, например, файлы на диске. В случае же перезагрузки системы FireWall-1 начинает формировать новые таблицы, что предотвращает возможность оперировать поврежденными данными. Очистка таблиц эквивалентна полному запрещению соединений, что гарантирует безопасность сети в таких случаях. []
Client Authentication
Client Authentication позволяет администратору предоставлять привилегии доступа определенным IP адресам, пользователи, которых, прошли соответствующие процедуры установления подлинности. В противовес User Authentication, Client Authentication не ограничена только определенными службами, и может обеспечить аутентификацию любого приложения, как стандартного, так и специфичного.
Client Authentication системы FireWall-1 не является прозрачным для пользователя, но, в тоже время, не требуется какого-либо дополнительного программного обеспечения или модификации существующего. Для такого вида установления подлинности администратор может указать, как каждый из пользователей должен будет авторизоваться, какой сервер и какие службы будут доступны, сколько времени, в какие часы и дни и сколько сессий может быть открыто.
Content Security - механизм проверки информационных потоков
Обширные возможности проверки информационных потоков, предлагаемые FireWall-1, расширяют функции инспекции данных до наивысшего уровня обеспечения информационной безопасности. Это позволяет защитить пользователей от различных рисков, включая компьютерные вирусы и вредоносные аплеты Java и ActiveX, что достигается благодаря точной настройке механизма контроля доступа в Интернет. Механизм проверки информационных потоков полностью интегрирован с другими возможностями FireWall-1, что обеспечивается благодаря единому централизованному управлению при помощи общего графического интерфейса. Помимо встроенных функций проверки информации, FireWall-1 обеспечивает открытый программный интерфейс приложения API для подключения OPSEC-совместимых приложений, проверяющих информационные потоки, других производителей. Благодаря инициативе Check Point, называемой OPSEC, организации могут свободно выбирать наиболее полно отвечающие их требованиям приложения для проверки содержимого потоков данных. Check Point проводит сертификацию таких приложений, что гарантирует полную совместимость таких приложений с продуктом FireWall-1.
Действительно ли этот вариант трансляции полностью динамичный?
Этот вопрос достаточно част, и ответ на него утвердительный. Действительно, механизм, реализованный в Check Point FireWall-1, позволяет неограниченному количеству адресов динамически отображаться на единственный IP-адрес.
Хотя нам известны отдельные реализации, где подстановка адресов выполняется по схеме выбора свободного из диапазона назначенных. Для таких реализаций в случае нехватки свободного адреса дальнейшие коммуникации невозможны.
Динамическая мода
Динамическая мода трансляции адресов обеспечивает доступ пользователей к сети Интернет, экономя зарегистрированное адресное пространство и скрывая внутренние адреса ресурсов сети. Динамическая мода использует единственный IP-адрес для отображения всех соединений, проходящих через защищенную точку доступа.
Так как этот IP-адрес, используемый в динамической моде только для выходных соединений, не используется ни для каких реальных ресурсов, не возможна подмена адреса или взлом.
Фильтрация HTTP
Ресурсы, адресуемые через URI, определяют метод доступа, например, GET, POST и так далее, сервер, где ресурс расположен, путь доступа непосредственно к этому ресурсу на сервере и, возможно, специфический запрос к нему. Все приведенные выше способы обработки потоков информации могут быть применены к таким ресурсам, описания которых созданы с использованием символов шаблона. Возможно также размещение этих описаний во внешнем файле.
Информационная безопасность
Технологии Интернет изменяют не только подходы организаций к ведению бизнеса, но и их отношение к обеспечению сетевой безопасности. Границы корпоративных сетей теперь не определяются установленным оборудованием. Сейчас эти границы определяются в основном той политикой безопасности, которой придерживаются участники информационного обмена. Для того, чтобы такая политика безопасности была эффективной, она должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и ее партнеров. Check Point Software Technologies предлагает комплексное решение, соответствующее этим новым и постоянно возрастающим требованиям.
Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1, обеспечивает в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями . FireWall-1 позволяет и на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших. Набор продуктов, называемых Check Point «Открытой платформой безопасного взаимодействия предприятий» [OPSEC - Open Platform for Secure Enterprise Connectivity] - основывается на концепции объединения технологий защиты информации вокруг единого средства представления информационной безопасности предприятия в виде единой, комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе FireWall-1. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.
Только FireWall-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия.
Продукт имеет и массу дополнительных возможностей, таких, как , Имея тысячи инсталляций в различных организациях по всему миру, Check Point FireWall-1 является самым распространенным и наиболее оттестированным продуктом сетевой защиты на сегодняшний день.
Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наивысший уровень безопасности. Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются.. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.
Тем самым, пользователь выигрывает в производительности и получает возможности гибко наращивать систему, быстро и надежно защитить новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.
Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1.
Check Point FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом.
Поддержка компонентами продукта платформ Windows 95, Windows NT, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает наилучшую в отрасли гибкость и удобство при развертывании систем.
Элементы защиты от несанкционированного доступа
IP Spoofing - способ воздействия на элементы сетевой инфраструктуры или получения не авторизованного доступа. В этом случае взломщик подменяет IP адреса в пакетах с целью сделать их похожими на пакеты от более привилегированного источника. Для примера, пакеты, порожденные в Интернет, могут выглядеть как локальные пакеты. FireWall-1 защищает от подобного рода воздействий, легко распознает такие попытки и сообщает о них оператору.
Denial of Service Attack - использует слабости TCP протокола. В момент инициализации TCP-соединения клиент посылает пакет - запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/ACK-подтверждением, адресованным клиенту, адрес которого сервер берет из IP заголовка полученного запроса. Получив такое подтверждение, клиент посылает уведомление о начале передачи данных – пакет, в TCP заголовке которого установлен флаг ACK. Если адрес клиента подменен (spoofed), например, на несуществующий в Интернет, то такой вариант установления связи не может быть завершен, и попытки будут продолжаться, пока не исчерпается лимит по времени. Эти условия составляют основу данного вида атак.
Решения, основанные на применении программ-посредников, сами по себе не в состоянии защитить от атак SYN flooding. Таким образом, шлюз может быть атакован для создания условий отказа в обслуживании. Пакетные фильтры тоже не в состоянии защитить от подобного рода атак, так как они не имеют необходимой информации о состоянии соединений и не могут проводить инспекцию пакетов с учетом этого состояния. FireWall-1 предлагает встроенную защиту от подобных атак, располагая всеми необходимыми средствами для анализа состояния соединений и используя механизм SYNDefender.
Ping of Death - практически каждая операционная система, а также некоторые маршрутизаторы, имеют различные ограничения, связанные с конкретной реализацией TCP/IP протокола. Выявление этих ограничений часто связано с появлением новых видов атак. Так, большинство ОС чувствительны к PING (ICMP), размер поля данных которых больше, чем 65508. В результате, ICMP-пакеты после добавления необходимых заголовков становятся больше чем 64k (длинна заголовка составляет 28 байт) и, как правило, не могут правильно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок.
FireWall-1, обладая механизмом Stateful Inspection, может осуществлять защиту от таких атак, для чего необходимо определить объект типа протокол и добавить правило, которое запрещает прохождение ICMP пакетов, длиннее 64K.
[ZEBR_TAG_a name="stealth the firewall"
Как можно создать единую политику безопасности для различных платформ?
Check Point FireWall-1 реально использует распределенную архитектуру клиент-сервер, что позволяет создавать политику безопасности в центре управления и затем автоматически распространять ее на все точки инспекции трафика. В дополнение к этому, поддерживается многопользовательский доступ к управлению системой безопасности в соответствии с назначенными привилегиями. Средства управления достаточно просты и наглядны, имеют интуитивный графический интерфейс пользователя, существенно упрощающий понимание политики безопасности.
Созданная же политика безопасности конвертируется системой в инспекционный сценарий на языке INSPECT, который затем распространяется на все необходимые узлы проверки трафика в сети. Так как язык INSPECT не зависит от платформы, любая система потенциально может выполнять функции firewall.
Какая платформа наилучшим образом подходит для FireWall-1?
Это достаточно часто задаваемый вопрос, но на него, к сожалению, нельзя однозначно ответить. При выборе платформы необходимо учитывать множество факторов, как-то специфические сетевые конфигурации, размеры защищаемой сети, требуемая производительность и реальные знания персонала организации.
Check Point Software Technologies считает, что все точки доступа к сети должны быть защищены в соответствии с требованиями используемой платформы и решаемых задач. Но использование для этих целей специально спроектированных аппаратно - программных комплексов во многих случаях не оправдано. Поэтому Check Point FireWall-1 поддерживает различные платформы и операционные системы, включая NT и UNIX, маршрутизаторы, коммутаторы и другие сетевые устройства. Важно, что все эти устройства используют одно и то же программное обеспечение и могут управляться с использованием общего графического интерфейса пользователя из административного центра. Основным параметром при выборе платформы может стать количество сетевых интерфейсов, поддерживаемых ей. Например, платформы только с двумя сетевыми интерфейсами не могут поддерживать демилитаризованную зону сети, поэтому такие платформы категорически не рекомендуется использовать из соображений безопасности.
Контроль и разграничение доступа
Технологии Интернет позволяют создать экономически выгодную глобальную коммуникационную инфраструктуру, которая обеспечит доступ в мировых масштабах работникам компании, покупателям, производителям оборудования, поставщикам и ключевым партнерам по бизнесу. Это является существенным расширением возможностей обмена совместно используемой информацией, однако увеличивает риск подвергнуть свою корпоративную сеть новым рискам и угрозам.
Как организация может противостоять неавторизованному доступу и защитить свои ресурсы и информацию? Контроль доступа - фундаментальный элемент любой политики безопасности, непосредственно ориентированный на решение этой задачи.
Немного о взломщиках.
На сегодня известно, хорошо изучено и документировано достаточно много различных атак, но, тем не менее, новые атаки появляются практически каждый день. Поэтому небольшим организациям, использующим доморощенне системы защиты сетей, практически невозможно поддерживать их в адекватном состоянии. Компания Check Point Software Technologies, занимающаяся только разработкой системы сетевой защиты и имеющая необходимую инфраструктуру для обнаружения и анализа новых методов взлома систем сетевой безопасности, в состоянии поддерживать свой продукт на должном уровне. Уникальная быстрота реакции и простота внедрения новых способов защиты во многом достигается благодаря использованию технологии инспекции пакетов с учетом состояния протоколов и гибких возможностей языка INSPECT.
Некоторые наиболее типичные атаки и способы защиты от них описаны ниже.
Атака SYN Flooding
Нужно ли планировать демилитаризованную зону сети (DMZ)?
DMZ (De-Militarized Zone) - это специальная защищенная часть сети, подключенная непосредственно к устройству разграничения доступа. Обычно это сеть, связанная с дополнительным сетевым интерфейсом на компьютере, - шлюзе с запушенным на нем приложением безопасности. Использование такого решения обеспечивает прохождение любого трафика DMZ через устройство разграничения доступа и контроля, что позволяет реализовать необходимые методы защиты, направленные против атак взломщиков.
Без DMZ, располагая серверы публичного доступа в защищаемой сети, мы подвергаем всю сеть потенциальной опасности: взломщики могут воспользоваться особенностями программного обеспечения сервера, получить доступ к нему, а затем и ко всей сети.
Заметим, что доступ взломщика к ресурсам внутренней сети не будут детектироваться firewall, так как доступ осуществляется в пределах защищенной сети.
При расположении же серверов публичного доступа в DMZ такие случаи будут детектироваться и пресекаться потому, что доступ из DMZ во внутреннюю сеть контролируется firewall. Таким образом, такой подход позволяет создавать наиболее безопасные конфигурации.
© ООО , 1998
Защита вашей сети от взломщиков
Защита вашей сети от взломщиков и неавторизованного доступа - одна из наиболее важных задач корпоративной политики безопасности. Продукт RealSecure компании Check Point - средство распознавания и реагирования на атаки в реальном масштабе времени для FireWall-1, которое обеспечивает исключительный уровень защиты. Продукт позволяет вам динамически детектировать подозрительные действия в сети и оперативно предотвращать неавторизованный доступ к данным и системным ресурсам компании независимо от того, где расположен источник опасности относительно периметра сети.
В процессе своей работы в реальном времени отслеживает попытки взлома и нежелательного использования сетевых ресурсов.
Реагирует на неавторизованные или подозрительные действия посредством записи в лог-файл или запрещения действий.
Представляет события в сети в виде упорядоченных, удобных, настраиваемых, интуитивно понятных отчетов.
Осуществляет мониторинг корпоративных сетей из единого центра.
Выполняет защиту от атак Java и Active/X.
Имеет средства динамического реконфигурирования маршрутизаторов и firewall на основе предопределенных шаблонов.
Обработка протокола FTP
Сервер безопасности FTP обеспечивает не только проверку подлинности пользователя, но и проверку безопасности информации, обмен которой происходит по этому протоколу. Управление осуществляется как на уровне команд FTP-протокола (PUT/GET) и внесения ограничений на возможные имена файлов, так и путем перенаправления потоков данных на внешние серверы антивирусной проверки.
© ООО , 1998
Определяемые атаки
Атаки на сеть MS Windows
WinNuke Похищение файла с паролям Удаленные атаки на Registry Неавторизованный доступ к ресурсам Атаки с использованием электронной почты Sendmail Pipe Переполнение Identd в Sendmail Атаки, связанные с декодированием прикрепленных файлов WIZ DEBUG Нешифрованные пароли POPmail Атаки Web-серверов Apache / NCSA Microsoft(r) IIS Microsoft Internet Explorer Java Запись в журнал трафика HTTP Web Сканирование сети Satan Stealth Неполное открытия TCP соединений Атаки по отказу в обслуживании Сканирование ISS Syn Flooding Ping Flooding Finger Bomb | Атаки RPC
Rexd Rwalld Admind Bootparam Statd Атаки на стандартные сервисы Finger TFTP Rlogin and Rsh Атаки FTP Cwd ~root Site Exec Нежелательный трафик По протоколу По IP адресу источника/назначения По типу сервиса в зависимости от портов источника/назначения Этот список не полный. для получения полного списка определяемых типов атак |
© ООО , 1998
Поддерживаемые схемы авторизации пользователя
FireWall-1 поддерживает разнообразные варианты авторизации пользователей:
SecurID — пользователь набирает номер, высвечивающийся на электронной карточке Security Dynamics SecurID.
S/Key — от пользователя требуется набрать соответствующую запрашиваемому номеру комбинацию S/Key ключа.
OS Password — пользователь должен набрать пароль операционной системы.
Internal — пользователь набирает специальный пароль, хранимый в FireWall-1 шлюза.
Axent — требуется ввод в соответствии с инструкциями сервера Axent.
RADIUS — требуется ввод в соответствии с инструкциями сервера RADIUS.
Для систем на базе RADIUS-серверов существует несколько реализаций, сертифицированных в рамках OPSEC и предлагаемых для использования официальными партнерами.
© ООО , 1998
Поддержка гибких решений
Продукт RealSecure, разработанный профессионалами с большим опытом, отражает взгляд изнутри на проблемы безопасности и полное понимание методов повышения безопасности и работы с данными. Открытая структура базы данных RealSecure и гибкие процедуры создания отчетов делают собираемую этим продуктом информацию чрезвычайно полезной и удобной для ее дальнейшего использования. Данные доступны в формате, наиболее подходящем для лиц, принимающих решения на всех уровнях компании, - в самом общем виде и в виде более детальных отчетов. Кроме этого, новые возможности RealSecure облегчают преобразование информации и приведение ее к виду высококачественных графических и текстовых отчетов. Некоторые компании имеют отдельный персонал для просмотра большого количества технических данных вне зависимости от того, насколько важными они могут быть. Фокусируя влияние профессионалов в области безопасности на такой же информации, но в простом и интуитивном виде, RealSecure позволяет им эффективно управлять угрозами сетевой безопасности.
Поддержка почтового протокола SMTP
SMTP-протокол был изначально разработан для обеспечения максимально гибких возможностей взаимодействия пользователей. Тогда предполагалось, что доступ к Интернет пользователи получают из различных географических регионов. Затем протокол был расширен возможностями поддержки передачи различного рода информации в виде вложений электронной почты. В результате оказалось, что достаточно сложно обеспечить максимальную прозрачность почтовых соединений и, при этом, оградить от взломщиков внутреннюю сеть организации.
FireWall-1 успешно защищает сеть организации, благодаря детальному контролю SMTP-соединений. Хочется отметить следующие возможности FireWall-1:
Скрытие в выходящей почте адреса в поле From_ путем замены его на некоторый общий адрес позволяет полностью скрыть внутреннюю сетевую структуру и реальных внутренних пользователей
Перенаправление почты, посланной какому-либо пользователю, например, пользователю root
Уничтожение почты, посланной некоторым адресатом
Удаление вложений определенного типа, например, выполняемых файлов программ
Удаление полей Received в выходящей почте, что предотвращает распространение информации о маршрутах почты внутри организации
Удаление почтовых сообщений, превышающих заданный размер
Сканирование на наличие вирусов
В дополнение, FireWall-1 поддерживает только необходимый набор команд протокола SMTP, что не явно способствует поддержанию безопасности, так как не тривиальные команды, которые можно использовать с враждебными целями, не допускаются.
Примеры методов защиты
Сокрытие Firewall - в нормальных условиях любой пользователь корпоративной сети потенциально может получить доступ к шлюзу с firewall. Этой ситуации необходимо избегать, для чего нужно предпринять меры для сокрытия шлюзового устройства.
Check Point FireWall-1 позволяет реализовать это путем добавления одного простого правила в политику безопасности. Сокрытие шлюза, таким образом, предотвращает любые попытки взаимодействия любого пользователя или приложения со шлюзом безопасности, и делает такой шлюз невидимым. Исключение составляют только администраторы системы безопасности.
Применение механизмов Трансляции Сетевых Адресов позволяет полностью скрыть или замаскировать внутреннюю сетевую структуру.
Простой пример настройки
FireWall-1 предлагает два метода настройки адресной трансляции. Первый метод - использовать автоматически создаваемые правила адресной трансляции путем задания необходимых свойств сетевых объектов.
Другой метод - создавать правила адресной трансляции непосредственно в редакторе правил трансляции. При определении правил адресной трансляции можно использовать все сетевые объекты. FireWall-1 имеет уникальную возможность проверять логическую не противоречивость созданных правил, что существенно упрощает создание сложных сценариев.
Пример определения трансляции сетевых адресов в свойствах сетевого объекта.
Пример сгенерированных автоматических правил трансляции адресов по приведенным выше определениям. Заметим, что аналогичные правила можно было создать и в ручном режиме.
© ООО , 1998
Распределенный доступ
Архитектура FireWall-1 позволяет беспрепятственно наращивать возможности продукта по мере возрастания потребностей организации во внедрении различных элементов информационной безопасности. С другой стороны, административные функции FireWall-1 также ориентированы на многопользовательский доступ и предоставляют организации возможность разграничить функции администраторов системы безопасности. После авторизации администратор системы FireWall-1 наследует те права, которые установил администратор безопасности для этого FireWall-1 и которые специфицируются редактором правил. Это дает возможность администрировать несколько систем FireWall-1 с одного рабочего места одновременно.
FireWall-1 поддерживает различные уровни административного доступа:
Read/Write: полный доступ ко всем функциональным возможностям административных средств
User Edit: дает возможность изменять учетные записи пользователей, остальные возможности ограничены правами на чтение
Read Only: доступ только на чтение
Monitor Only: доступ на чтение к средствам визуализации статистики
Расширенные возможности сбора статистики и генерация предупреждений
Connection Accounting - FireWall-1, помимо обычной регистрации факта соединения, предоставляет возможность получить интегральные данные о продолжительности, количестве переданных байтов информации и количестве переданных пакетов в данной сессии.
Эти данные записываются в регистрационный журнал в тот момент, когда отслеживаемая сессия заканчивается. Дополнительно можно проследить за параметрами активных соединений.
Active Connections - в FireWall-1 администратор системы безопасности может, используя то же средство просмотра и анализа статистики - Log Viewer - отслеживать активные соединения через модули брандмауэров. Эта статистика в реальном времени обрабатывается и предоставляется оператору так же, как и обычные записи. Они заносятся в специальный файл и находятся там до тех пор, пока соединение не будет закрыто. Это позволяет использовать те же механизмы отбора событий, как и при работе с обычным файлом статистики. Заметим, что при использовании опции сбора дополнительной информации о соединениях данные интегральной статистики непрерывно обновляются, так, что администратор безопасности может отслеживать не только сам факт соединения, но и интенсивность информационного обмена по нему в реальном времени.
Различные возможности уведомления - FireWall-1 включает в себя множество различных опций для уведомления операторов: от уведомления по электронной почте до возможности посылки SNMP-исключений (traps) для интеграции с такими платформами сетевого управления как HP OpenView, SunNet Manager, IBM's NetView 6000. В дополнение к основным механизмам уведомлений предусмотрена возможность создавать собственные варианты обработки ситуаций, требующих уведомления. Это предоставляет возможность стыковки системы защиты с пэйджинговыми службами или системами быстрого реагирования.
© ООО , 1998
Сканирование URL
Возможность анализировать URL позволяет компании гибко регулировать используемую пропускную способность каналов и экономить рабочее время, ограничивая посещение сотрудниками организации нежелательных страниц WWW. Это позволяет администратору безопасности создать гибкую политику использования ресурсов Интернет, разрешив доступ только к допустимой информации WWW страниц в соответствующее время. Дополнительно, этот механизм может использоваться для накопления статистики обращений к определенным информационным ресурсам, что можно использовать при подготовке различных аналитических отчетов.
В FireWall-1 предусмотрено несколько способов определения механизмов сопоставления запрашиваемых URL:
Описание с помощью символов шаблона
Шаблоны содержатся во внешнем файле
Внешние базы данных и средства сопоставления
Каждый из этих механизмов разработан для предоставления администратору исчерпывающего и гибкого механизма настройки политики безопасности. Наиболее развитые возможности управления достигаются при применении специальных средств сторонних производителей, использующих внешние базы данных для хранения шаблонов. Обычно такие производители предоставляют возможность подписки на обновленные версии своих баз. Средства сопоставления, наиболее полно отвечающие требованиям организации, можно найти в списке сертифицированных OPSEC продуктов.
Создание политики безопасности
Процесс описания правил разграничения доступа в такой хорошо спроектированной системе, как Check Point FireWall-1, прост и очевиден. Все аспекты политики информационной безопасности организации могут быть специфицированы с использованием графического интерфейса FireWall-1, который неоднократно завоевывал различные награды. При определении элементов сети применяется объектно-ориентированный подход.
Будучи создан, объект затем используется для определения политики безопасности при помощи редактора правил. Каждое правило может оперировать любой комбинацией сетевых объектов, сетевых сервисов, а также содержит в себе определение предпринимаемых действий и способов уведомления о срабатывании данного правила. Дополнительно можно указать, на какие узлы безопасности данное правило должно распространяться. По умолчанию правила действуют на всех шлюзах с установленным FireWall-1. Поддерживаются различные платформы, включая UNIX и NT, а также различное межсетевое оборудование OPSEC партнеров компании Check Point.
Уникальное преимущество Check Point FireWall-1 - это возможность создать единую политику безопасности для всего предприятия в целом. После создания политики безопасности FireWall-1 проверяет ее на непротиворечивость, компилирует и распределяет по всем узлам контроля трафика в сети.
Статическая мода трансляции адресов
При расширении сетевой инфраструктуры организации возникает потребность в обеспечении доступа пользователей сети Интернет к ресурсам организации, например для работников компании, работающих удаленно, или стратегических партнеров.
Статическая мода трансляции адресов призвана решить данную задачу путем однозначного назначения адресу ресурса в глобальной сети его реального адреса. Этот вариант трансляции обычно используется, если администратор не хочет использовать реальные адреса на сетевых серверах, или если по историческим причинам сеть использует нелегальные (внутренние) адреса, которым необходимо сопоставить реальные адреса, чтобы пользователи Интернет могли получить доступ к ним.
В обоих случаях, как для Динамической, так и для Статической мод трансляции адресов Check Point FireWall-1 предоставляет неограниченные возможности контроля и удобство настройки в сетях предприятий.
Технические спецификации
Поддержка операционных систем: | Sun® Solaris™ 2.5, 2.6 Windows NT 4.0 |
Требования к диску и памяти: | минимум 25 MB на диске минимум 64 MB памяти |
Технология Stateful Inspection.
Stateful Inspection –архитектура firewall нового поколения, реализованная в Check Point FireWall-1, - удовлетворяет всем требованиям к безопасности, приведенным выше. Возможностей традиционных технологий firewall недостаточно для выполнения всех этих требований. Для более подробного анализа смотрите Таблицу 1 или “Сравнение технологий Firewall” на .
Таблица 1. Сравнение возможностей трех основных архитектур Firewall.
Функция |
Пакетные фильтры |
Шлюзы уровня приложения |
Stateful inspection |
Информация из пакета | Частично |
Частично |
Да |
Предыстория соединения | Нет |
Частично |
Да |
Состояние приложения | Нет |
Да |
Да |
Модифицирование информации | Частично |
Да |
Да |
[Page 1] [][]
© ООО , 1998
Точный, простой и всеобъемлющий
Check Point FireWall-1 предлагает лучшее решение для управления безопасностью на маршрутизаторах. Используя пользовательский графический интерфейс FireWall-1, администраторы могут создать фильтры на маршрутизаторах 3Com, Bay Networks и Cisco. FireWall-1 использует объектно-ориентированный подход для управления устройствами, позволяя администратору определять маршрутизаторы как сетевые объекты и использовать их в правилах политики безопасности. Однажды определенные, маршрутизирующие объекты могут многократно использоваться при определении и управлении списками доступа (ACL) на маршрутизаторах. Нет необходимости помнить каждый IP адрес сетевых интерфейсов. FireWall-1 позволяет администраторам управлять безопасностью маршрутизатора, используя логическое имя или ассоциацию. Поскольку все производимые операции - это перемещение и нажатие кнопки мыши, процесс конфигурирования безопасности маршрутизатора прост и не требует знания специализированных команд. Изменять настройки также очень легко, поскольку все изменения производятся на объектах. Если конфигурация касается многочисленных объектов, система сделает изменения во всех затронутых маршрутизаторах, так что нет необходимости делать это вручную. Однажды определенные объекты могут быть модифицированы. Путем простого нажатия кнопки "load policy " на центральной консоли управления маршрутизаторы будут быстро и легко перестроены.
Трансляция сетевых адресов
Технологии Интернет базируются на использовании IP-протокола, и для обеспечения взаимодействия через IP-сеть, каждое устройство должно иметь уникальный адрес. Это требование легко удовлетворяется в корпоративных сетях, которые ограничены внутренними сетями предприятия, не подключенными к глобальным сетям. Но когда организация подключается к глобальной сети, например Интернет, возникает требование обеспечить уникальность адресов для всей глобальной сети, то есть по всему миру. Здесь обычно возникают проблемы, связанные с ограничением на количество доступных для использования адресов. Обычно организациям выделяют диапазон адресов существенно меньший, чем необходимо, что делает невозможным присвоение каждому устройству, участвующему в сетевом обмене, реального адреса.
С другой стороны, даже если вы можете обеспечить все ресурсы и пользователей сети реальными адресами, этот вариант не является предпочтительным, так как каждый пользователь глобальной сети может потенциально взаимодействовать с вашими ресурсами. Более того, необдуманное опубликование IP-адресов ваших сетевых устройств может привести к появлению атак на эти устройства и сеть в целом.
Transparent Session Authentication
Механизм Transparent Session Authentication можно использовать для любых служб. При этом установление подлинности будет происходить для каждой сессии.
После того, как пользователь инициировал соединение непосредственно с сервером, шлюз с установленным FireWall-1 распознает, что требуется установление подлинности клиента, и инициирует соединение с Агентом Авторизации Сессий.
Агент производит необходимую авторизацию, после чего FireWall-1 разрешает данное соединение, если подлинность клиента установлена.
Требования к безопасности, обеспечиваемой Firewall
Для того, что бы надежно обеспечивать безопасность, firewall должен отслеживать и управлять всеми соединениями, проходящими через него. Для выработки окончательных решений о разрешении того или иного соединения для служб TCP/IP (то есть пропустить, запретить, аутентифицировать или зашифровать данную попытку соединения, сделать запись об этом в журнале), firewall должен уметь получать, хранить, извлекать и манипулировать информацией со всех уровней сетевой модели и из других приложений.
Не достаточно только лишь просматривать отдельные пакеты. Информация о состоянии, извлеченная из состоявшихся ранее соединений и других приложений, является основным фактором при принятии окончательного решения для текущей попытки установления соединения. В зависимости от типа проверяемого пакета, для принятия конечного решения важными могут быть как текущее состояние соединения, которому он принадлежит (полученное из его истории), так и состояние приложения, его использующего.
Таким образом, для обеспечения наивысшего уровня безопасности, firewall должен уметь считывать, анализировать и использовать следующую информацию:
Информация о соединении – информация со всех семи уровней пакета.
Состояние соединения – состояние, полученное из предыдущих пакетов. Например, исходящая команда PORT сессии FTP могла бы быть запомнена для последующей проверки входящего соединения FTP data.
Состояние приложения – информация о состоянии, полученная из других приложений. Например, когда-либо авторизованному пользователю будет разрешен доступ через firewall только для разрешенных типов сетевых протоколов.
Действия над передаваемой информацией – выполнение различных действий в зависимости от всех вышеизложенных факторов.
Управление списками доступа маршрутизаторов
Маршрутизаторы являются неотъемлемой частью сети предприятия и обычно используются для сегментации сети. При сегментации сети часто требуется, чтобы маршрутизатор находился на границе сети. В этом случае маршрутизаторы могут быть использованы в качестве “предварительных фильтров". для того, чтобы преградить путь нежелательному трафику, Фактически, они являются первым рубежом firewall, выполняя элементарную фильтрацию пакетов.
Возможности маршрутизаторов развиваются, но их интерфейсы управления обычно нет, все еще основываясь на Telnet - алфавитно-цифровом терминальном интерфейсе. Создание фильтров маршрутизаторов, таким образом, затрудняется, увеличиваются трудозатраты и вероятность ошибок. Поскольку команды маршрутизатора обычно состоят из комбинации ключевых слов и IP-адресов, требуется высокий уровень подготовки специалиста, создающего конфигурацию и фильтры. Кроме того, каждый маршрутизатор должен управляться отдельно, то есть не обеспечивается целостное представление о возможностях сети по фильтрации и затрудняется внесение изменений в конфигурации.
User Authentication
Прозрачный метод установления подлинности пользователя системы FireWall-1 предоставляет возможность определять привилегии доступа для каждого пользователя в отдельности (даже если это многопользовательская ЭВМ) для протоколов FTP, TELNET, HTTP и RLOGIN, независимо от IP-адреса клиентского компьютера. Например, если пользователь вынужден работать с серверами организации удаленно, то администратор безопасности может разрешить ему доступ во внутреннюю сеть без того, чтобы его привилегии распространялись на всех других пользователей его рабочего компьютера.
FireWall-1 выполняет проверку подлинности пользователя при помощи специального Сервера Безопасности, функционирующего на шлюзовом компьютере. FireWall-1 перехватывает все попытки авторизации пользователя на сервере и перенаправляет их соответствующему Серверу Безопасности. После того, как подлинность пользователя установлена, Сервер Безопасности FireWall-1 открывает второе соединение на необходимый сервер приложения. Все последующие пакеты сессии также перехватываются и инспектируются FireWall-1 на шлюзе.
Установление подлинности пользователей
Check Point FireWall-1 обеспечивает пользователям, в том числе и удаленным и dial-up клиентам, защищенный доступ к сетевым ресурсам организации с установлением подлинности пользователя при помощи различных схем ее проверки.
Прежде чем соединение пользователя будет разрешено, механизм установления подлинности FireWall-1 безопасно установит, что это за пользователь пытается установить соединение и как он себя авторизует. Заметим, что для этого не потребуется каких-либо изменений на серверах и в клиентских приложениях.
Средства установления подлинности пользователей полностью интегрированы в средства работы с политикой безопасности масштаба предприятия и, соответственно, могут централизованно управляться посредством графического интерфейса администратора безопасности. Используя программу просмотра статистики, можно отслеживать любые сессии установления подлинности клиента.
FireWall-1 предоставляет три метода установления подлинности пользователя:
User Authentication
Client Authentication
Transparent Session Authentication
Выявление компьютерных вирусов
Своевременное выявление компьютерных вирусов жизненно важно для безопасности предприятия. Борьба с вирусами может не быть успешной, если ограничиться только сканированием на наличие вирусов персональных данных пользователей на серверах и файловых систем их компьютеров. Наиболее надежная защита от компьютерных вирусов может быть обеспечена только в том случае, если проверка на их наличие производится во всех точках доступа в сеть предприятия.
Механизмы проверки содержимого потоков данных, реализованные в FireWall-1, предоставляют интегрированное решение для борьбы с вирусами, предлагая использование специальных антивирусных приложений, производимых партнерами CheckPoint по инициативе OPSEC. Данные приложения могут быть развернуты как непосредственно на компьютере, где установлен FireWall-1, так и на отдельном компьютере, специально предназначенным для их выполнения. Благодаря такому подходу, администратор информационной безопасности предприятия может легко реализовать оптимальную схему борьбы с компьютерными вирусами, быстро развернуть ее и администрировать весь комплекс из общего центра управления.
Вместо настройки двух совершенно независимых программных продуктов, администратор безопасности определяет правила разграничения доступа и правила проверки информационных потоков в общей политике безопасности, посредством ее редактора (FireWall-1 Security Policy Editor).
Например, организации необходимо обеспечить проверку всех вложений электронной почты на наличие компьютерных вирусов. Это легко обеспечить, проводя проверку почты проходящей через шлюз с FireWall-1. В этом случае FireWall-1 перехватит все потоки данных, отвечающие соответствующим правилам политики безопасности и, используя протокол перенаправления содержания - Content Vectoring Protocol (CVP), перенаправит их на сервер антивирусной проверки. Прежде, чем вернуть полученные данные, сервер антивирусной проверки выполнит необходимые действия по сканированию вложений почты на наличие в них вирусов и лечению зараженных данных. Получив данные обратно, FireWall-1 отправляет их получателю. Таким образом, ни одно соединение не будет организованно напрямую без соответствующей проверки.
Защита вашего IP-пространства
Возможность FireWall-1 производить трансляцию адресов позволяет полностью изолировать внутреннее адресное пространство от Интернет и предотвратить распространение информации об адресах как общедоступной. Дополнительно, эта возможность позволяет решить проблемы нехватки адресного пространства путем сокращения необходимого зарегистрированного адресного пула и использования внутренних адресов из специально отведенных адресных пространств для частных сетей.
FireWall-1 поддерживает целостность внутреннего адресного пространства, транслирует его на официально зарегистрированные адресаорганизации в Интернет для обеспечения полноценного доступа к Интернет.
В FireWall-1 имеются два основных способа отображения таких адресов - статический и динамический.