Недостатки применения межсетевых экранов

ежсетевые экраны используются при организации защищенных виртуальных частных сетей. Несколько локальных сетей, подключенных к глобальной, объединяются в одну защищенную виртуальную частную сеть. Передача данных между этими локальными сетями является невидимой для пользователей, а конфиденциальность и целостность передаваемой информации должны обеспечиваться при помощи средств шифрования, использования цифровых подписей и т.п. При передаче данных может шифроваться не только содержимое пакета, но и некоторые поля заголовка.

Межсетевой экран не в состоянии решить все проблемы безопасности корпоративной сети. Помимо описанных выше достоинств межсетевых экранов имеется ряд ограничений в их использовании, а также существуют угрозы безопасности, от которых межсетевые экраны не могут защитить. Отметим наиболее существенные ограничения в применении межсетевых экранов:

  • большое количество остающихся уязвимых мест. Межсетевые экраны не защищают от черных входов (люков) в сети. Например, если можно осуществить неограниченный доступ по модему в сеть, защищенную межсетевым экраном, атакующие могут эффективно обойти межсетевой экран;
  • неудовлетворительная защита от атак сотрудников компании. Межсетевые экраны обычно не обеспечивают защиты от внутренних угроз;
  • ограничение в доступе к нужным сервисам. Самый очевидный недостаток межсетевого экрана заключается в том, что он может блокировать ряд сервисов, которые применяют пользователи, — Telnet, FTP и др. Для решения подобных проблем требуется проведение хорошо продуманной политики безопасности, в которой будет соблюдаться баланс между требованиями безопасности и потребностями пользователей;
  • концентрация средств обеспечения безопасности в одном месте. Это позволяет легко осуществлять администрирование работы межсетевого экрана;
  • ограничение пропускной способности.

Следует отметить, что межсетевые экраны позволяют организовать комплексную защиту корпоративной сети от несанкционированного доступа, основанную как на традиционной синтаксической (IP-пакетной) фильтрации контролируемых потоков данных, осуществляемой большинством ОС семейства Windows и UNIX, так и на семантической (контентной), доступной только коммерческим специальным решениям.

 

В настоящее время все выпускаемые межсетевые экраны можно классифицировать по следующим основным признакам:

  • по исполнению:
    • - аппаратно-программный,
    • - программный;
  • по функционированию на уровнях модели OSI:
    • - шлюз экспертного уровня,
    • - экранирующий шлюз (прикладной шлюз),
    • - экранирующий транспорт (шлюз сеансового уровня),
    • - экранирующий маршрутизатор (пакетный фильтр);
  • по используемой технологии:
    • - контроль состояния протокола,
    • - на основе модулей-посредников (proxy);
  • по схеме подключения:
    • - схема единой защиты сети,
    • - схема с защищаемым закрытым и не защищаемым открытым сегментами сети,
    • - схема с раздельной защитой закрытого и открытого сегментов сети.

Довольно распространенная на сегодня защита корпоративной сети на основе маршрутизатора со списком доступа основывается на использовании специализированных маршрутизаторов. Данная схема обладает высокой эффективностью и достаточной степенью безопасности. В качестве такого решения получили широкое распространение маршрутизаторы компании Cisco серий 12000, 7600. Для подключения сети предприятия к Интернету можно также использовать предшествующие серии маршрутизаторов этой фирмы.

Защита корпоративной сети на основе операционных систем, усиленных функциями пакетной фильтрации, построена на том, что системное программное обеспечение выполняет функции маршрутизации, фильтрации, сервисного обслуживания и др. По уровню надежности, безопасности и производительности наиболее предпочтительны решения на основе UNIX-подобной операционной системы.

Распределенные межсетевые экраны сочетают в себе средства контроля сетевого доступа со встроенными средствами выявления несанкционированного доступа и работают в режиме ядра, проверяя каждый пакет информации по мере его поступления из сети. Такие виды деятельности, как попытки взлома и несанкционированного доступа, блокируются этим экраном до перехода на уровень приложений сервера.

К основным преимуществам распределенных межсетевых экранов относятся:

  • обеспечение безопасности входящего и исходящего трафика;
  • обеспечение масштабируемой архитектуры путем распространения защиты с помощью межсетевого экрана на многочисленные серверы;
  • устранение традиционного межсетевого экрана как единственного места сбоев;
  • обеспечение недорогого, простого в реализации и управлении решения безопасности.

Межсетевой экран:

  • защищает передаваемую информацию независимо от средств и среды передачи данных (спутниковые каналы, оптические линии связи, телефонные соединения, радиорелейные линии);
  • выполняет защиту любых приложений, не требуя их изменений;
  • прозрачен для конечных пользователей;
  • позволяет реализовать масштабируемые системы защиты с возможностью дальнейшего их наращивания и усложнения по мере роста организаций и совершенствования требований политики безопасности;
  • защищает отдельные сетевые информационные системы и приложения независимо от топологии сетей, которые они используют;
  • защищает информационную систему предприятия от атак из внешней среды;
  • защищает информацию от перехвата и изменения не только на внешних открытых соединениях, но и во внутренних сетях корпорации;
  • может быть легко переконфигурирован по мере развития корпоративной политики информационной безопасности, добавления ресурсов, обновления технологий, роста сети корпорации.

 

Безопасность информации.

Сервисы безопасности, которые предотвращают нежелательный доступ, можно разбить на две категории:

  1. Первая категория определяется в терминах сторожевой функции. Эти механизмы включают процедуры входа, основанные, например, на использовании пароля, что позволяет разрешить доступ только авторизованным пользователям. Эти механизмы также включают различные защитные экраны (firewalls), которые предотвращают атаки на различных уровнях стека протоколов TCP/IP, и, в частности, позволяют предупреждать проникновение червей, вирусов, а также предотвращать другие подобные атаки.
  2. Вторая линия обороны состоит из различных внутренних мониторов, контролирующих доступ и анализирующих деятельность пользователей.

 

Одним из основных понятий при обеспечении безопасности информационной системы является понятие авторизации - определение и предоставление прав доступа к конкретным ресурсам и/или объектам.

В основу безопасности информационной системы должны быть положены следующие основные принципы:

1. Безопасность информационной системы должна соответствовать роли и целям организации, в которой данная система установлена.

2. Обеспечение информационной безопасности требует комплексного и целостного подхода.

3. Информационная безопасность должна быть неотъемлемой частью системы управления в данной организации.

4. Информационная безопасность должна быть экономически оправданной.

5. Ответственность за обеспечение безопасности должна быть четко определена.

6. Безопасность информационной системы должна периодически переоцениваться.

7. Большое значение для обеспечения безопасности информационной системы имеют социальные факторы, а также меры административной, организационной и физической безопасности.

Очевидно нельзя полагаться на один вид защиты для обеспечения безопасности информации. Не существует и единственного продукта, реализующего все необходимые способы защиты для компьютеров и сетей. К сожалению, многие разработчики претендуют на то, что только их продукт может справиться с этой задачей. На самом деле это не так. Для всесторонней защиты информационных ресурсов требуется множество различных продуктов. Об этом и пойдет речь в следующих разделах.