Сетевые экраны

Наиболее важным средством защиты сетей являются сетевые экраны (или межсетевые экраны, файрволы или брандмауэры) и прокси-сервера. Основная функция сетевого экрана - экранирование сетевого трафика с целью недопущения несанкционированного доступа между компьютерными сетями. Прокси-серверы используются для обработки запросов пользователей по внутренней сети и транслирование их к внешней сети и наоборот. В таких запросах, как правило, различают сети, пользующихся доверием, и такие, которые не пользуются (например, сеть Интернет).

Сетевой экран - это программное или аппаратное решение, осуществляющее контроль и фильтрацию сетевых пакетов, проходящих через него на разных уровнях модели OSI в соответствии с заданными правилами.

Сетевые экраны изобрели чрезвычайную популярность благодаря тем преимуществам, которые они в себе несут:

- средство реализации корпоративных политик безопасности;

 возможность ограничивать доступ к определенным службам (например, в службу telnet, которая нужна обычным пользователям);

 использование сетевого экрана как средства аудита. Собирать информацию можно не только о трафике, прошедшем, но и о том, что был заблокирован, таким образом предупреждая возможные будущие атаки на систему. Впрочем, сетевые экраны являясь лишь звеном в общей системе защиты информационной системы имеют недостатки:

 сетевые экраны не могут блокировать нежелательную информацию, которая попадает к информационной системе через авторизованные каналы. Таким образом, если шпионское ПО поступило к системе через разрешенный канал, оно не сможет быть остановлено сетевым экраном;

эффективность сетевых экранов определяется эффективностью правил, которые положены в основу функционирования сетевого экрана. Поэтому нужно подойти со всей ответственностью к формулировке правил фильтрации трафика;

сетевые экраны не смогут предупредить атаки пользователей, пользующихся авторизованными каналами информации;

 сетевые экраны не смогут противодействовать атакам, если есть возможность пустить информационный поток в обход экрана.

 Распределение сетевых экранов можно провести в соответствии с классификационными признаками, например, в соответствии с местом нахождения сетевого экрана в сети, в зависимости от расположения механизма контроля в модели OSI, или в зависимости от возможности слежения за активными соединениями.

Одной из наиболее распространенных классификации является классификация сетевых экранов согласно охвату контролируемых территорий [1]:

1) прикладной шлюз или традиционный сетевой экран. Это программное или аппаратное решение, контролирует как входящие, так и исходящие потоки данных между подключенными сетями. Фактически при установлении соединения пользователя с сетью снаружи проходит два соединения: одно с сетевым экраном, а другое сетевого экрана с сетью извне. Данный вид сетевых экранов еще называют прокси-серверами или прокси-шлюзами. В случае осуществления атаки на систему пользователя, фактически атака будет осуществляться на прокси-сервер. Впрочем наряду с преимуществами в защите информации, прокси-сервера имеют и недостатки, а именно: уменьшение быстродействия, поскольку каждое соединение представляет собой два соединения и уменьшение прозрачности, когда некоторое ПО не может полноценно функционировать с сетью.

2) пакетные фильтры или персональные сетевые экраны. Установка данного типа сетевых проходит на конечные системы и защищают они только систему на которой установлены, а не целые сети. Данный тип сетевых экранов осуществляет фильтрацию трафика, основываясь на следующей информации:

- IP - адрес источника;

- IP - адрес получателя;

- используемый протокол;

- выходной порт;

- порт назначения;

- тип сообщения.

Эффективность сетевых экранов измеряется правильностью построения правил, на них возложенных, поэтому при построении правил нужно придерживаться следующих инструкций:

- построение правил должна осуществляться от наиболее конкретных к общим.

Поскольку проверка идет по правилам до первого соответствия, то неправильное построение правил может создать условия, когда более общий набор правил накроет более конкретные правила;

- размещение правил, используемых чаще должно быть в верхней части списка.

 Поскольку проверка идет до первого совпадения, то размещение активных правил в конце списка может существенно уменьшить быстродействие работы информационной системы.

Сканеры уязвимостей

Сканеры уязвимостей - это программные или аппаратные решения, назначены для диагностики и мониторинга сетевых компьютерных систем. Они позволяют сканировать сети, информационные системы и приложения на предмет выявления потенциальных угроз в системе организации безопасности, оценивать и обезвредить уязвимости. Типы сканеров уязвимостей:

- сканеры портов;

- сканеры, исследующие топологию компьютерной сети;

- сканеры, исследующие уязвимости сетевых сервисов;

- сетевые черви;

- CGI - сканеры, позволяющие выявить уязвимые скрипты.

Работа сканера уязвимости распределяется на шаги:

1) выявление активных IP - адресов, открытых портов, активных операционных систем и приложений;

2) создание отчета по безопасности;

3) попытка выявления уровня возможного вмешательства в операционную систему или приложения;

4) возможно использование уязвимости для создания сбоя в системе (только для вредных сканеров).

Говоря о сканеры уязвимостей следует заметить, что они могут служить как инструментом обнаружения угроз, так и инструментом взлома информационной системы, поэтому четвертый шаг используют сканеры, которые созданы для осуществления атаки на информационную систему.

К сканеров уязвимостей относятся следующие решения: Microsoft Baseline Security Analyzer (MBSA), Security Administrator's Integrated Network Tool (SAINT), Сканер уязвимостей (веб-сервис) (QualysGuard), Сканер для исследования сетевых уязвимостей (X-scan), оценка уязвимостей на уровне приложений (ISS Internet Scanner) и другие.