Конкурентоспособные российские разработки. Межсетевые экраны
В области Hi-Tec нашу страну мировым лидером назвать сложно. Более того, я уверен, что большинство специалистов не имеют ни малейшего понятия о том, что российские предприятия производят конкурентноспособное оборудование в области компьютерных сетей. Это и не удивительно, все знают имена таких гигантов, как Cisco и Lucent, производящих качественное, а, следовательно, и дорогостоящее оборудование. Пока российские компании не могут на равных тягаться с этими технологическими монстрами, однако интересные разработки есть и у нас в стране. В этой статье речь пойдет о так называемых межсетевых экранах.
Межсетевые экраны
Еще в середине ХХ века вопросами информационной безопасности в нашей стране занимались исключительно специальные службы. В условиях тоталитарного контроля государства над обществом граждане просто не могли иметь конфиденциальной информации.
Теперь ситуация изменилась. Это связано как с либерализацией экономики, так и с бурным развитием телекоммуникационных услуг. Сегодняшний бизнес трудно представить без корпоративных компьютерных сетей и того огромного богатства информационных ресурсов, которое дает Internet. Следовательно, вопросы безопасности компьютерных сетей стоят практически перед каждой конкретной организацией.
Неотъемлемой частью информационной безопасности любой корпоративной сети является межсетевой экран. Задачи, решаемые межсетевыми экранами, различны - это и фильтрация пакетов, и анализ виртуальных ТСР-соединений, и даже защита от сетевых атак.
В данной статье будет рассмотрена разработка российских инженеров НПО РТК специализированный сетевой процессор - "ССПТ - 1М", сетевой экран третьего класса защищенности, с отсутствием недекларируемых возможностей (требования государственной технической комиссии).
Итак, сетевой экран "ССПТ - 1М" представляет собой электронное устройство с встроенной операционной системой и программным обеспечением, которое предназначено для анализа и экранирования трафика в локальных компьютерных сетях, использующих технологию Ethernet. Подавляющее большинство корпоративных локальных сетей построено именно на Ethernet-технологии. Это обусловлено гибкостью настроек подобных сетей и дешевизной их компонентов.
ССПТ - 1М применяется для разделения сегментов сети Ethernet с целью обеспечения их защиты от несанкционированного доступа посредством пакетной фильтрации. Устройство имеет многопортовый интерфейс для подключения защищаемых сегментов сети. Количество интерфейсов: от 2 до 6 портов Ethernet 10baseT/UTP/100baseTX/1000baseTX в зависимости от исполнения ССПТ - 1М.
В основу ССПТ - 1М легла операционная система FreeBSD семейства UNIX. Этот факт, безусловно, относится к достоинствам разработки в силу того, что FreeBSD является весьма проработанной и открытой ОС. Кроме того, она представляет собой некоммерческий продукт, что существенно снижает стоимость устройства, по сравнению с аналогами, использующими специализированные операционные системы.
В архитектуру устройства положен принцип конвейерной реализации функциональных компонент и параллельной обработки поступающих сетевых пакетов, чем достигается не только высокая производительность, но и гибкость масштабируемых решений, созданных на базе данного сетевого процессора.
Особенности ССПТ - 1М
Ключевой особенностью ССПТ - 1М является запатентованная стелс - технология, которая достигается отсутствием IP- и MAC-адресов на фильтрующих интерфейсах экрана (ССПТ - 1М работает в прозрачном режиме). Благодаря этому устройство становится невидимым для любых внешних сканирующих и направленных воздействий. Этот факт позволяет использовать его в соответствующей сетевой инфраструктуре без изменения политики маршрутизации или правил коммутации. Другими словами, процесс внедрения сетевого процессора проходит безболезненно для уже существующей сети, кроме того, обеспечена недоступность ССПТ - 1М для сетевых атак и взлома программного обеспечения.
Прозрачный режим работы предполагает следующее:
- интерфейсы, подключаемые к защищенным сегментам сети, работают в режиме приема и обработки всего трафика, проходящего в этих сегментах;
- в пакете, который прошел обработку и должен быть передан на выходной интерфейс, не изменяется ни одно из полей в заголовках кадров Ethernet, в том числе и МАС - адрес отправителя.
Это означает, что включение ССПТ - 1М в сеть не требует перераспределения адресного пространства логических сетевых адресов.
На рисунке 1 приводится иллюстрация прозрачного режима работы.
Сетевой процессор выполняет пакетную фильтрацию по полям заголовков пакетов на нескольких уровнях сетевого взаимодействия:
- уровень кадров Ethernet - кадры Ethernet II, IEEE 802.3/LLC;
- уровень ARP (RARP) протокола;
- межсетевой уровень - протоколы IP, IPX;
- уровень служебного протокола ICMP;
- транспортный уровень - протоколы TCP, UDP;
- прикладной уровень - фильтрация по адресам прикладных сервисов (номерам портов), содержащихся в заголовках соответствующих протоколов транспортного уровня.
Управление ССПТ - 1М, настройка параметров функционирования и правил фильтрации могут быть выполнены следующими способами:
- с системной консоли, используя командный интерфейс администратора. Системная консоль - это монитор и клавиатура, подключаемые непосредственно к ССПТ - 1М;
- с управляющего компьютера, подключаемого к ССПТ - 1М по последовательному порту RS - 232. Может быть использован как командный интерфейс администратора, так и Web-интерфейс администратора.
- с управляющего компьютера, подключаемого к управляющему сегменту Ethernet.
Может быть использован как командный, так и Web-интерфейс администратора.
На рисунке 2 приведен пример включения ССПТ - 1М в компьютерную сеть.
Основным режимом работы сетевого процессора является мультипротокольная фильтрация пакетного трафика, проходящего через магистральные интерфейсы. Разработанная платформа позволяет минимизировать стоимость внедрения систем информационной безопасности за счет применения специальных режимов фильтрации, производительность которых легко масштабируется в зависимости от объема и сложности решаемых задач.
Применяемая в сетевом процессоре технология распределения вычислений в режиме фильтрации пакетного трафика позволяет объединить их с помощью управляющего интерфейса в кластер межсетевых экранов. Это обеспечивает высокую производительность обработки пакетов в сочетании с надежностью и горячим резервированием сетевых магистральных интерфейсов.
Применяемая технология кластеризации сетевых вычислений снижает затраты на создание надежной системы защиты информации в высокоскоростных компьютерных сетях и позволяет эффективно управлять всеми компонентами системы с использованием стандартных протоколов межсетевого взаимодействия.
Сетевой процессор имеет средства анализа сетевых потоков для подготовки отчетов, которые реализуются на выделенных вычислительных устройствах и составляются на основе различных оперативных и статистических данных о результатах транзакций, на уровне пакетов и регистрации действий администратора или пользователей. Зарегистрированные данные о прохождении пакетов через ССПТ - 1М могут передаваться на выделенный сервер обработки лог-файлов, запросы к которому позволяют сформировать исчерпывающую картину прохождения трафика через систему информационной безопасности.
Управление сетевым трафиком осуществляется на основе правил фильтрации, с помощью которых администратором сети задаются списки разрешенных узлов доступа, формируемые с помощью иерархически организованных таблиц правил фильтрации. Параметры таблиц могут изменяться в режиме on-line, что обеспечивает возможность гибкой настройки системы информационной безопасности для работы с различными сетевыми приложениями, в том числе со средствами обнаружения вторжений. Непосредственно на сетевом процессоре правила фильтрации содержат до 8 таблиц. Однако на управляющем компьютере, подключенном через отдельный интерфейс, таблиц правил фильтрации может быть сколько угодно. Этот факт позволяет быстро и безболезненно провести перенастройку работы сетевого экрана. Кроме того, сами правила могут быть настроены очень тонко - на каждое правило существуют временные установки. Таким образом, можно создать правила, которые будут действовать в выходные дни, или определенное правило может действовать один час в течение месяца, или правила могут работать по расписанию. Это очень удобно, для чего это нужно - можно пояснить на примере. Не секрет, что многие сотрудники компаний, имеющих компьютерную сеть с выходом в Internet, могут после завершения рабочего дня оставить компьютер включенным и установить "закачку" какой-либо информации. Будь то музыка или новые фильмы - Internet содержит огромное количество подобных информационных ресурсов. ССПТ - 1М позволяет по окончании рабочего дня полностью отключить входящий Internet-трафик. Допустим, в вашей компании рабочий день начинается в 9.00 и заканчивается в 18.00, и сетевой экран можно настроить таким образом, что с 18.00 до 9.00 все пакеты из Internet будут блокироваться.
Еще одним примером могут служить видеоконференции. Как известно, для передачи видеоизображения требуются приличные скорости. К примеру, ваш Internet-канал позволяет проводить видеоконференции. Однако скорости, что называется, "на пределе". Сетевой экран можно настроить таким образом, что на время проведения видеоконференции весь канал будет предоставлен именно тому узлу, через который и ведется передача информации. Всем остальным пользователям сети на время проведения конференции придется довольствоваться очень "маленьким" каналом.
В режиме кластеризации система фильтрации может обрабатывать трафик IP-пакетов со скоростью до 1 Гбит/с.
Стелс-технология
А теперь давайте поразмышляем, каковы преимущества ССПТ - 1М перед другими сетевыми экранами. Безусловно, основным преимуществом является невидимость сетевого экрана. ССПТ - 1М, установленный в корпоративной сети, не имеет IP- и MAC-адресов. Для администрирования работы сетевого экрана использован отдельный управляющий интерфейс.
К остальным портам устройства подключены магистральные интерфейсы. Таким образом, никакой другой компьютер сети (в том числе и Internet), кроме подключенного к управляющему интерфейсу, не может внести изменений в алгоритмы работы ССПТ - 1М.
Например, если бы была возможность администрирования сетевого процессора, просто подключаясь к нему с правами администратора (логин - пароль), то злоумышленник, тем или иным образом узнав эти параметры, смог бы полностью нарушить всю систему информационной безопасности сети.
В данном случае, ему необходимо иметь физический доступ к ССПТ - 1М, что существенно усложняет его задачу. Ведь получение такой возможности равносильно получению физического доступа к любому узлу сети. В данном случае, можно предложить следующую аналогию. Без применения стелс-технологии сетевой экран можно сравнить с дверью. И целью злоумышленника является подбор ключа к этой двери. Для опытного медвежатника (хакера) эта задача не является сверхсложной. В случае применения стелс-технологии, сетевой экран уже являет собой стену, а сломать стену - задача гораздо более трудоемкая.
Кроме того, существенно упрощена процедура внедрения сетевого экрана в существующую сеть, с ее сложными алгоритмами маршрутизации трафика. Если бы сетевой экран имел свой MAC-адрес, то появилась бы задача пересмотра всей маршрутной политики сети, а это сложная и дорогостоящая процедура.
Более того, пересмотр маршрутной политики сети требует пересмотра политики информационной безопасности. Это, соответственно, еще более повышает стоимость внедрения сетевого экрана, не обладающего стелс-технологией.
Администрирование
Для управления сетевым процессором создан Web-интерфейс администратора. Разработанное приложение будет интуитивно понятно опытному системному администратору. На рисунке 3 показана страница регистрации пакетов.
На рисунках 4 и 5 представлены таблицы МАС- и IP-правил фильтрации.
Кроме представленных на рисунках 4 и 5, существует возможность настройки правил фильтрации по протоколам ARP, IPX, ICMP, TCP, UDP. Как видно из рисунков 3,4,5, работа с графическим интерфейсом администратора является достаточно несложной и интуитивно понятной. Графический Web-интерфейс администратора можно назвать удобным и симпатичным.
В принципе, безусловно, проработка системы правил фильтрации является достаточно сложным делом, однако процесс внедрения фильтров в систему существенно облегчен и понятен. Многие системные администраторы, привыкшие к работе с командной строкой UNIX, могут сказать, что данный интерфейс является лишним.
В принципе, в системе предусмотрена работа и с командной строкой, причем как с управляющего интерфейса, так и с помощью системной консоли.
Заключение
Ни в коем случае нельзя считать установку сетевого экрана в компьютерной сети достаточной для ее полноценной информационной защиты. К примеру, несанкционированная установка модема на одном из узлов может полностью нарушить всю систему защиты, то есть появляется потайной ход в вашу сеть. И сетевой экран любого производителя не сможет противостоять прохождению трафика через этот незарегистрированный dial-up канал.
Но безапелляционно отказываться от использования сетевого экрана не стоит. Он обеспечивает необходимую безопасность сети, однако и ограничиваться лишь им одним нельзя. Вообще, любая система информационной безопасности должна планироваться для каждой конкретной сети отдельно. И начинать необходимо с разработки политики безопасности, которая и позволит определить необходимый и достаточный уровень информационной защиты данной конкретной сети. Возможно, в каких-то сетях будет достаточно и установки одного сетевого экрана. В других, более крупных сетях, необходимо будет проводить комплексную политику тотальной защиты информации.
Автор: Антон Карабешкин
Источник: www.comprice.ru
|