Защита информации в компьютерных системах.
Когда заходит речь об аппаратной защите в целом, недостаточно было бы упомянуть о данных средствах только лишь относительно определённого компьютера или же конкретного программного обеспечения.
Помимо этого, термин «аппаратная защита» подразумевает комплексный подход для решения ряда задач и проблем, стоящих перед системным администратором, по правильной настройке достаточно защищённой внутренней локальной сети, имеющей выход в глобальную сеть Интернет. Исходя из этого, аппаратную защиту можно классифицировать на следующие виды:
—аппаратная защита программного обеспечения;
—локальная аппаратная защита (аппаратная защита компьютера и информации);
—аппаратная защита сети (аппаратная защита внутренней локальной сети с одним или несколькими выходами в Интернет).
Аппаратная защита сети
На сегодняшний день многие достаточно развитые компании и организации имеют внутреннюю локальную сеть. Развитие ЛВС прямо пропорционально росту компании, неотъемлемой частью жизненного цикла которой является подключение локальной сети к бескрайним просторам Интернета. Вместе с тем сеть Интернет неподконтрольна (в этом несложно убедиться), поэтому компании должны серьезно позаботиться о безопасности своих внутренних сетей. Подключаемые к WWW ЛВС в большинстве случаев очень уязвимы к неавторизированному доступу и внешним атакам без должной защиты. Такую защиту обеспечивает межсетевой экран (брандмауэр или firewall).
Брандмауэры
Брандмауэры существуют двух видов: программные и аппаратные. Однако помимо этого их делят ещё и на типы: брандмауэр сетевого уровня (фильтры пакетов) и прикладного уровня (шлюзы приложений). Фильтры пакетов более быстрые и гибкие, в отличие от брандмауэров прикладного уровня. Последние направляют специальному приложению-обработчику все приходящие пакеты извне, что замедляет работу.
Для программных брандмауэров необходим отдельный компьютер на базе традиционных операционных систем Unix либо Windows NT. Такой брандмауэр может служить единой точкой входа во внутреннюю сеть. Слабость и ненадёжность подобной защиты заключается не столько в возможных нарушениях корректной работы самого программного брандмауэра, сколько в уязвимости используемых операционных систем, на базе которых функционирует межсетевой экран.
Аппаратные брандмауэры построены на базе специально разработанных для этой цели собственных операционных систем. Далее приступим к рассмотрению именно аппаратных брандмауэров.
Правильная установка и конфигурация межсетевого экрана — первый шаг на пути к намеченной цели. Чтобы выполнить установку аппаратного брандмауэра нужно подключить его в сеть и произвести необходимое конфигурирование. В простейшем случае, брандмауэр — это устройство, предотвращающее доступ во внутреннюю сеть пользователей извне. Он не является отдельной компонентой, а представляет собой целую стратегию защиты ресурсов организации. Основная функция брандмауэра — централизация управления доступом. Он решает многие виды задач, но основными являются анализ пакетов, фильтрация и перенаправление трафика, аутентификация подключений, блокирование протоколов или содержимого, шифрование данных.
Методика построения защищённой сети и политика безопасности. В процессе конфигурирования брандмауэра следует пойти на компромиссы между удобством и безопасностью. До определённой степени межсетевые экраны должны быть прозрачными для внутренних пользователей сети и запрещать доступ других пользователей извне. Такая политика обеспечивает достаточно хорошую защиту.
Важной задачей является защита сети изнутри. Для обеспечения хорошей функциональной защиты от внешней и внутренней угрозы, следует устанавливать несколько брандмауэров. Именно поэтому на сегодняшний день широкое распространение получили именно аппаратные межсетевые экраны. Довольно часто используется специальный сегмент внутренней сети, защищённый извне и изолированный от остальных, так называемая демилитаризованная зона (DMZ). Иногда брандмауэры разных типов объединяют. Различная конфигурация брандмауэров на основе нескольких архитектур обеспечит должный уровень безопасности для сети с разной степенью риска. Допустим, последовательное соединение брандмауэров сетевого и прикладного уровня в сети с высоким риском может оказаться наилучшим решением.
Существует довольно-таки много решений относительно более-менее безопасных схем подключения брандмауэров для проектирования правильной защиты внутренней сети. В данном случае рассмотрены только самые оптимальные в отношении поставленной задачи виды подключений.
Довольно часто подключение осуществляется через внешний маршрутизатор. В таком случае снаружи виден только брандмауэр, именно поэтому подобная схема наиболее предпочтительна с точки зрения безопасности ЛВС.
Брандмауэр также может использоваться в качестве внешнего маршрутизатора. Программные брандмауэры создаются на базе последних и интегрируются в них. Это наиболее комплексное и быстрое решение, хотя и довольно дорогостоящее. Такой подход не зависит от типа операционной системы и приложений.
В случае, когда сервера должны быть видимы снаружи, брандмауэром защищается только одна подсеть, подключаемая к маршрутизатору. Для повышения уровня безопасности интранета больших компаний возможно комбинированное использование брандмауэров и фильтрующих маршрутизаторов для обеспечения строгого управления доступом и проведения должного аудита сети. В подобных случаях используются такие методы, как экранирование хостов и подсетей.
Замечания
Брандмауэр не является абсолютной гарантией защиты внутренней сети от удалённых атак, несмотря на то, что осуществляет сетевую политику разграничения доступа к определённым ресурсам. Во множестве случаев достаточно вывести из строя лишь один межсетевой экран, защищающий определённый сегмент, чтобы отключить всю сеть от внешнего мира и при этом нанести достаточный ущерб, вызвав большие сбои в работе организации или компании.
Не стоит игнорировать тот факт, что брандмауэры никогда не решали внутренних проблем, связанных с физическим доступом к серверам и рабочим станциям неуполномоченных лиц, слабыми паролями, вирусами с дискет пользователей и многим другим.
Но из всего вышесказанного отнюдь не следует, что их использование абсолютно бессмысленно и неэффективно. Наоборот, применение брандмауэров — необходимое условие обеспечения безопасности сети, однако нужно помнить, что всех проблем они не решат.
Несколько советов.
В условиях поставленных задач, различных между собой, необходимо рассматривать соответственно различные возможные варианты решения, основанные именно на программно-аппаратных методах защиты.
Построение правильной топологии сети решит многие проблемы, связанные с возникновением потенциальных точек уязвимости и сведёт уже существующие к минимуму.
Обратите внимание на размещение сервера (серверов) и ограничьте физический доступ пользователей к нему. Предпринимайте меры по защите отдельных рабочих станций. Особое внимание уделите тем компьютерам, на которых хранится важная информация.
Используйте стойкие к перебору пароли. Пароль должен содержать не менее 8 символов в верхнем и нижнем регистре, цифры и неалфавитные символы.
Контролируйте запущенные процессы и периодически проверяйте журнал подключений сервера.
И последнее: никогда не переоценивайте защищенность собственной сети или системы — идеальной защиты не существует.
Следует заметить, что все три вида аппаратной защиты могут интегрироваться и редко упоминаются без взаимосвязи. Между ними нет чётких границ. Систематизация правил аппаратной защиты ещё раз доказывает прямую сопряжённость с программными методами её реализации. В комплексном подходе к решению такого класса задач для предотвращения проникновения во внутреннюю сеть и уничтожения/копирования информации, необходимо специализированно объединять уже существующие методы с возможно новыми решениями в этой области. Проблема обеспечения безопасности компьютерной информации пока не может быть решена полностью даже при идеальной с точки зрения системного администратора настройке сети, но комбинированное применение программно-аппаратных средств защиты от НСД в сочетании с криптозащитой позволяет свести риск к минимуму.
Как работает драйвер
Рассмотрим работу Lan2net Firewall на примере шлюза, т.е. компьютера с двумя сетевыми картами. Одна из сетевых карт подключена к Интернет, другая к локальной сети. Способ подключения и тип сетевой карты значения не имеет.
На рисунке схематично показаны сервер, внешний и внутренний адаптеры. A, B, C, D — направления установления соединения.
Фильтрация или модификация может быть осуществлена на любом из направлений A, B, C, D.
К каждому из этих направлений привязаны свои правила. Соединение определяет адаптер, которому принадлежит правило. Направление определяется параметром <Направление> пользователя. Таким образом, Соединение + Пользователь определяет, к какому из направлений привязаны правила.
NAT — Network Address Translation
Трансляция сетевых адресов — это способ, с помощью которого хостам локальной сети разрешается доступ к хостам внешней сети, с использованием единственного зарегистрированного IP-адреса. NAT-трансляция всегда происходит на внешнем адаптере. Lan2net скрывает детали настройки NAT.
Пример №1.
Сервер (локальная машина) соединяется с хостом 213.180.194.129 на порт 80. Т.е. открываем главную страницу www.yandex.ru. Направление С.
Первое, что должно быть сделано, это аутентификация. Драйвер определит, какому пользователю принадлежит запрос. Для данного примера это будет исходящий пользователь, привязанный к соединению <Интернет>, с подходящим параметрами аутентификации (например <локальные адреса>). Если пользователь не найден, сетевой пакет будет отброшен, соединение не установится. Далее, драйвер находит правила этого пользователя (с каждым пользователем связаны правила). Если драйвер находит разрешающее правило, запрос на соединение будет отправлен дальше. Драйвер будет ожидать ответ от сервера с параметрами пакета, соответсвующими ответу сервера. Ответ хоста 213.180.194.129 будет опознан драйвером как ответ на запрос с локальной машины. Соединение будет установлено. Весь траффик этого соединения будет записан на локального пользователя. Эта схема гарантирует правильный подсчет траффика и запись траффика на того пользователя, который инициировал соединение.
Пример №2
Хост из Интернет сканирует порты.
Запросы на соединения от сканера портов будут попадать на направление D. Допустим, к этому направлению не привязан ни одни пользователь. То есть, нет входящих пользователей, связанных с соединением Интернет. В такой ситуации все соединения будут отброшены, так как запрос на соединение не пройдет аутентификацию. Эти отброшенные соединения будут приписаны к пользователю system.