Главное отличие распределенного межсетевого экрана от персонального заключается

Обновлено: 15.01.2025

Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Митрошина Екатерина Валерьевна

В статье рассматриваются основные функции и свойствами межсетевых экранов. А также проводится сравнительный анализ межсетевых экранов с целью выявления наиболее оптимального класса при построении архитектуры безопасности в РИУС.

Текст научной работы на тему «Сравнительный анализ межсетевых экранов в распределенных информационно - управляющих системах»

Митрошина Екатерина Валерьевна, студентка, 5 курс электротехнического факультета Пермский национальный исследовательский политехнический университет

СРАВНИТЕЛЬНЫЙ АНАЛИЗ МЕЖСЕТЕВЫХ ЭКРАНОВ В РАСПРЕДЕЛЕННЫХ ИНФОРМАЦИОННО - УПРАВЛЯЮЩИХ СИСТЕМАХ

Аннотация: В статье рассматриваются основные функции и свойствами межсетевых экранов. А также проводится сравнительный анализ межсетевых экранов с целью выявления наиболее оптимального класса при построении архитектуры безопасности в РИУС.

Ключевые слова: Межсетевой экран, маршрутизатор, трафик.

Abstract: This article describes the main features and properties of firewall. Also here is conducting a comparing analyses to identify the most suitable class during an architecture security formation ICS.

Keywords: Firewall, router, traffic.

При построении распределенных информационно - управляющих систем (РИУС) особое внимание следует уделять защите сети управления технологическими процессами. Сеть управления отслеживает и контролирует все внутренние узлы. Ключевым элементом защиты периметра сети является межсетевой экран. Применение межсетевого экрана позволяет избежать ряда атак при построении высокопроизводительных, безопасных и надежных систем автоматизации предприятий и корпоративной сети в целом.

Межсетевые экраны (МЭ) - это устройства или системы, контролирующие поток сетевого трафика между сетями, которые используют различные силы и средства обеспечения безопасности. МЭ располагаются между защищаемым внутренним сегментом сети и внешней сетью Интернет, а также могут применяться в средах, которые не требуют подключения к Интернету. Так, например, во многих корпоративных сетях применяют МЭ, чтобы ограничить соединения в пределах внутренних сетей, обслуживая более критичные области, тем самым предотвращая несанкционированный доступ к соответствующим системам и ресурсам [1].

Согласно стандарту NIST Special Publication 800-82 (2 издание) существует три общих класса межсетевых экранов, рассмотрим каждый из них.

1. Межсетевые экраны с фильтрацией пакетов.

Самый основной тип межсетевого экрана называется фильтром пакетов [1]. Пакетные фильтры - это межсетевые экраны, которые функционируют на третьем, то есть сетевом уровне модели OSI и принимают решение о разрешении прохождения трафика в сеть на основании информации, которая находится в заголовке пакета. Распространенность этих межсетевых экранов связана с тем, что именно эта технология фильтрации в большинстве случаях используется в маршрутизаторах с функцией экранирования. Создается специальный набор правил с определенными параметрами, с помощью которых можно задавать достаточно гибкую схему разграничения доступа. При поступлении пакета на любой из интерфейсов маршрутизатора, он сначала определяет, может ли он доставить пакет по назначению и только потом маршрутизатор сверяется с набором правил, проверяя, должен ли он пересылать этот пакет [2].

2. Межсетевые экраны с проверкой трафика «потоком».

Межсетевые экраны с проверкой трафика «потоком» - это те же фильтры пакетов, которые включают параметры данных модели OSI на четвертом уровне, то есть на сетевом уровне. Они определяют, являются ли пакеты установления связи разрешенными, а также оценивают содержание пакетов на транспортном

уровне. Таким образом, в качестве параметров, используемых при анализе сетевых пакетов, могут быть:

- тип протокола (например: TCP, ICMP, UDP );

- номера портов получателей и отправителей (для TCP и UDP трафика);

- другие параметры заголовка пакета (например, флаги TCP-заголовка) [2]. 3. Межсетевые экраны прикладного уровня с функциями прокси шлюза.

Этот класс межсетевых экранов проверяет пакеты на прикладном уровне, а также фильтрует трафик по правилам определенных приложений [1]. Межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, например, как Telnet и FTP, с целью защиты ряда уязвимых мест. Подобное приложение называется ргоху-службой, а хост, на котором работает proxy - служба, - шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все исходящие и входящие пакеты на прикладном уровне [3].

После того как шлюз приложений обнаруживает сетевой сеанс, он останавливает его и вызывает уполномоченное приложение, необходимое для завершения процедуры. Шлюзы прикладного уровня позволяют обеспечить надежную защиту, так как взаимодействие с внешним миром реализуется через некоторые уполномоченные приложения, полностью контролирующие весь исходящий и входящий трафик [4]. Сравнительный анализ

При выборе межсетевых экранов необходимо учитывать некоторые аспекты функционирования автоматизированной системы управления. Межсетевые экраны должны предоставлять механизмы для соблюдения политики безопасности. Например, блокировать все коммуникации, за исключением специально разрешенных коммуникаций между устройствами в незащищенных локальных сетях и в защищенных АСУ; обеспечивать безопасную аутентификацию всех пользователей, стремящихся получить доступ к АСУ;

обеспечивать авторизацию пункта назначения; записывать информационный поток для мониторинга и анализа трафика и обнаружения вторжений.

Рассмотрим основные группы межсетевых экранов, изученные ранее, и сравним их между собой по нескольким критериям, проанализировав достоинства и недостатки каждой группы:

1) Стоимость и реализация.

Пакетные фильтры имеют небольшую цену и простоту реализации, по сравнению с межсетевыми экранами прикладного уровня. Несмотря на это, межсетевые экраны с пакетной фильтрацией имеют ряд существенных недостатков, а данный критерий сравнения не является определяющим при выборе межсетевого экрана в РИУС.

2) Производительность сети.

Производительность сети играет не маловажную роль при эксплуатации РИУС, так как в АСУ необходимо выполнение требования реального времени. Таким образом, наибольшая производительность сети наблюдается в межсетевых экранах с пакетной фильтрацией и проверкой трафика «потоком», т.к анализируется только заголовок пакета, тем самым скорость передачи пакетов значительно выше, чем у межсетевых экранов прикладного уровня.

3) Анализ трафика.

Так как межсетевые экраны с пакетной фильтрацией анализируют только заголовок пакета, за пределами рассмотрения остается поле данных, которое в свою очередь может содержать информацию, противоречащую политике безопасности. Также пакетный фильтр может пропустить в защищаемую сеть TCP-пакет от узла, с которым в настоящий момент не открыто никаких активных сессий, а межсетевые экраны с проверкой трафика «потоком» такую возможность исключают. В целом, недостаток пакетных фильтров заключается в том, что они не умеют анализировать трафик на прикладном уровне, на котором совершается множество атак - проникновение вирусов, отказ в обслуживании и т.д. Что касается МЭ прикладного уровня, то здесь присутствует возможность анализа

содержимого, однако невозможно анализировать трафик от неизвестного приложения.

4) Аутентификация трафика.

Подводя итоги, можно сделать вывод, что использование межсетевых экранов является неотъемлемой частью в построении архитектуры безопасности АСУ. В среде АСУ, межсетевые экраны наиболее часто устанавливаются между сетью АСУ и корпоративной сетью. При правильной настройке, они могут значительно ограничить нежелательный доступ к хост - компьютерам и контроллерам системы управления и от них, тем самым улучшая безопасность.

При выборе межсетевого экрана нельзя ссылаться в пользу только какого-либо из названных экранов, так как некоторые недостатки одних МЭ являются критичными для РИУС, но с другой стороны благодаря присущим им достоинствам могут лучше справляться с поставленными задачами. Тем самым лучше всего использовать несколько межсетевых экранов, таким образом, выстраивая эшелонированную оборону всей сети. Целесообразно использовать комбинацию из МЭ с фильтрацией пакетов, затем МЭ прикладного уровня. Также по совокупности эта комбинация из МЭ не является дорогостоящей, ведь в большинстве случаев пакетный фильтр встроен в маршрутизатор, расположенный на границе сети.

В заключение стоит заметить, что межсетевые экраны являются необходимым, но явно недостаточным средством обеспечения информационной

безопасности, ведь они обеспечивают лишь первую линию обороны и не способны защитить от ряда уязвимостей.

1. NIST Special Publication 800-82 Rev. 2 Guide to Industrial Control Systems (ICS).

За последние несколько лет в структуре корпоративных сетей произошли определенные изменения. Если раньше границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Еще недавно такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой МЭ сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Несомненно им также требуется защита. Но все традиционные МЭ построены так, что защищаемые пользователи и ресурсы должны находиться под их защитой с внутренней стороны корпоративной или локальной сети, что является невозможным для мобильных пользователей.

Для решения этой проблемы были предложены следующие подходы:

• применение распределенных МЭ (distributed firewall);
• использование возможностей виртуальных частных сетей VPN (virtual private network) (см. гл. 10).

Распределенный межсетевой экран (distributed firewall) — централизованно управляемая совокупность сетевых мини-экранов, защищающих отдельные компьютеры сети.

Для индивидуальных пользователей представляет интерес технология персонального сетевого экранирования. В этом случае сетевой экран устанавливается на защищаемый персональный компьютер. Такой экран, называемый персональным экраном компьютера (personal firewall) или системой сетевого экранирования, контролирует весь исходящий и входящий трафик независимо от всех прочих системных защитных средств. При экранировании отдельного компьютера поддерживается доступность сетевых сервисов, но уменьшается нагрузка, индуцированная внешней активностью. В результате снижается уязвимость внутренних сервисов защищаемого таким образом компьютера, поскольку первоначально сторонний злоумышленник должен преодолеть экран, где защитные средства сконфигурированы особенно тщательно и жестко.

Эти средства не только защищают от внешних атак компьютеры, на которых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т. е. организуют защищенные каналы VPN). Именно такое решение позволило обеспечить защиту сетей с нечетко очерченными границами.

Наличие функции централизованного управления у распределенного МЭ — его главное отличие от персонального экрана. Если персональные сетевые экраны управляются только с компьютера, на котором они установлены, и идеально подходят для домашнего применения, то распределенные МЭ могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Это позволило некоторым производителям выпускать МЭ в двух версиях:

• персональной (для индивидуальных пользователей);
• распределенной (для корпоративных пользователей).

В современных условиях более 50 % различных атак и попыток доступа к информации осуществляется изнутри локальных сетей, поэтому классический «периметровый» подход к созданию системы защиты корпоративной сети становится недостаточно эффективным. Корпоративную сеть можно считать действительно защищенной от НСД только при наличии в ней средств защиты точек входа со стороны Internet и решений, обеспечивающих безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия. Решения на основе распределенных или персональных МЭ наилучшим образом обеспечивают безопасность отдельных компьютеров, корпоративных серверов и фрагментов локальной сети предприятия [64].

В предыдущих лекциях этой книги довольно часто шла речь о межсетевых экранах (и в последующих лекциях мы также будем говорить о них). Межсетевой экран ( firewall ) - это устройство контроля доступа в сеть , предназначенное для блокировки всего трафика, за исключением разрешенных данных. Этим оно отличается от маршрутизатора, функцией которого является доставка трафика в пункт назначения в максимально короткие сроки.

Существует мнение, что маршрутизатор также может играть роль межсетевого экрана. Однако между этими устройствами существует одно принципиальное различие: маршрутизатор предназначен для быстрой маршрутизации трафика, а не для его блокировки. Межсетевой экран представляет собой средство защиты, которое пропускает определенный трафик из потока данных, а маршрутизатор является сетевым устройством, которое можно настроить на блокировку определенного трафика.

Кроме того, межсетевые экраны, как правило, обладают большим набором настроек. Прохождение трафика на межсетевом экране можно настраивать по службам, IP -адресам отправителя и получателя, по идентификаторам пользователей, запрашивающих службу. Межсетевые экраны позволяют осуществлять централизованное управление безопасностью . В одной конфигурации администратор может настроить разрешенный входящий трафик для всех внутренних систем организации. Это не устраняет потребность в обновлении и настройке систем, но позволяет снизить вероятность неправильного конфигурирования одной или нескольких систем, в результате которого эти системы могут подвергнуться атакам на некорректно настроенную службу.

Определение типов межсетевых экранов

Существуют два основных типа межсетевых экранов: межсетевые экраны прикладного уровня и межсетевые экраны с пакетной фильтрацией . В их основе лежат различные принципы работы, но при правильной настройке оба типа устройств обеспечивают правильное выполнение функций безопасности, заключающихся в блокировке запрещенного трафика. Из материала следующих разделов вы увидите, что степень обеспечиваемой этими устройствами защиты зависит от того, каким образом они применены и настроены.

Межсетевые экраны прикладного уровня

Межсетевые экраны прикладного уровня, или прокси-экраны, представляют собой программные пакеты, базирующиеся на операционных системах общего назначения (таких как Windows NT и Unix) или на аппаратной платформе межсетевых экранов. Межсетевой экран обладает несколькими интерфейсами, по одному на каждую из сетей, к которым он подключен. Набор правил политики определяет, каким образом трафик передается из одной сети в другую. Если в правиле отсутствует явное разрешение на пропуск трафика, межсетевой экран отклоняет или аннулирует пакеты.

Правила политики безопасности усиливаются посредством использования модулей доступа. В межсетевом экране прикладного уровня каждому разрешаемому протоколу должен соответствовать свой собственный модуль доступа. Лучшими модулями доступа считаются те, которые построены специально для разрешаемого протокола. Например, модуль доступа FTP предназначен для протокола FTP и может определять, соответствует ли проходящий трафик этому протоколу и разрешен ли этот трафик правилами политики безопасности.

При использовании межсетевого экрана прикладного уровня все соединения проходят через него (см. рис. 10.1). Как показано на рисунке, соединение начинается на системе-клиенте и поступает на внутренний интерфейс межсетевого экрана. Межсетевой экран принимает соединение, анализирует содержимое пакета и используемый протокол и определяет, соответствует ли данный трафик правилам политики безопасности. Если это так, то межсетевой экран инициирует новое соединение между своим внешним интерфейсом и системой-сервером.

Межсетевые экраны прикладного уровня используют модули доступа для входящих подключений. Модуль доступа в межсетевом экране принимает входящее подключение и обрабатывает команды перед отправкой трафика получателю. Таким образом, межсетевой экран защищает системы от атак, выполняемых посредством приложений.

Рис. 10.1. Соединения модуля доступа межсетевого экрана прикладного уровня

Здесь подразумевается, что модуль доступа на межсетевом экране сам по себе неуязвим для атаки. Если же программное обеспечение разработано недостаточно тщательно, это может быть и ложным утверждением.

Межсетевой экран также скрывает адреса систем, расположенных по другую сторону от него. Так как все соединения инициируются и завершаются на интерфейсах межсетевого экрана, внутренние системы сети не видны напрямую извне, что позволяет скрыть схему внутренней адресации сети.

Большая часть протоколов прикладного уровня обеспечивает механизмы маршрутизации к конкретным системам для трафика, направленного через определенные порты. Например, если весь трафик, поступающий через порт 80, должен направляться на веб- сервер , это достигается соответствующей настройкой межсетевого экрана.

Несанкционированный доступ к данным, хищения информации, нарушения в работе локальных сетей уже давно превратились в серьезные угрозы для бизнеса, деятельности общественных организаций и государственных органов.

Эффективным решением для защиты от этих угроз являются межсетевые экраны (МСЭ), или файерволы. Это программное обеспечение или аппаратно-программные продукты, предназначенные для блокировки нежелательного трафика.

Разрешение или запрет доступа межсетевым экраном осуществляется на основе заданных администратором параметров. В том числе могут использоваться следующие параметры и их комбинации:

IP-адреса. При помощи Firewall можно предоставить или запретить получение пакетов с определенного адреса или задать перечень запрещенных и разрешенных IP-адресов.
Доменные имена. Возможность установки запрета на пропуск трафика с определенных веб-сайтов.
Порты. Задание перечня запрещенных и разрешенных портов позволяет регулировать доступ к определенным сервисам и приложениям. Например, заблокировав порт 80, можно запретить доступ пользователей к веб-сайтам.
Протоколы. МСЭ может быть настроен таким образом, чтобы блокировать доступ трафика определенных протоколов.

Типы межсетевых экранов

Для защиты локальных сетей от нежелательного трафика и несанкционированного доступа применяются различные виды межсетевых экранов. В зависимости от способа реализации, они могут быть программными или программно-аппаратными.

Программный Firewall — это специальный софт, который устанавливается на компьютер и обеспечивает защиту сети от внешних угроз. Это удобное и недорогое решение для частных ПК, а также для небольших локальных сетей — домашних или малого офиса. Они могут применяться на корпоративных компьютерах, используемых за пределами офиса.

Для защиты более крупных сетей используются программные комплексы, под которые приходится выделять специальный компьютер. При этом требования по техническим характеристикам к таким ПК являются довольно высокими. Использование мощных компьютеров только под решение задач МСЭ нельзя назвать рациональным. Да и производительность файервола часто оставляет желать лучшего.

Поэтому в крупных компаниях и организациях обычно применяют аппаратно-программные комплексы (security appliance). Это специальные устройства, которые, как правило, работают на основе операционных систем FreeBSD или Linux.

Функционал таких устройств строго ограничивается задачами межсетевого экрана, что делает их применение экономически оправданным. Также security appliance могут быть реализованы в виде специального модуля в штатном сетевом оборудовании — коммутаторе, маршрутизаторе и т. д.

Применение программно-аппаратных комплексов характеризуется следующими преимуществами:

Повышенная производительность за счет того, что операционная система работает целенаправленно на выполнение одной функции.
Простота в управлении. Контролировать работу security appliance можно через любой протокол, в том числе стандартный (SNMP, Telnet) или защищенный (SSH, SSL).
Повышенная надежность защиты за счет высокой отказоустойчивости программно-аппаратных комплексов.

Помимо этого, межсетевые экраны классифицируют в зависимости от применяемой технологии фильтрации трафика. По этому признаку выделяют следующие основные виды МСЭ:

прокси-сервер;
межсетевой экран с контролем состояния сеансов;
межсетевой экран UTM;
межсетевой экран нового поколения (NGFW);
NGFW с активной защитой от угроз.

Рассмотрим более подробно эти виды файерволов, их функции и возможности.

Прокси-сервер

С помощью прокси-сервера можно создать МСЭ на уровне приложения. Главным плюсом технологии является обеспечение прокси полной информации о приложениях. Также они поддерживают частичную информацию о текущем соединении.

Необходимо отметить, что в современных условиях proxy нельзя называть эффективным вариантом реализации файервола. Это связано со следующими минусами технологии:

Технологические ограничения — шлюз ALG не позволяет обеспечивать proxy для протокола UDP.
Необходимость использования отдельного прокси для каждого сервиса, что ограничивает количество доступных сервисов и возможность масштабирования.
Недостаточная производительность межсетевого экрана.

Нужно учитывать и чувствительность прокси-серверов к сбоям в операционных системах и приложениях, а также к некорректным данным на нижних уровнях сетевых протоколов.

Межсетевой экран с контролем состояния сеансов

Этот тип МСЭ уже давно стал одним из самых популярных. Принцип его работы предусматривает анализ состояния порта и протокола. На основании этого анализа файервол принимает решение о пропуске или блокировании трафика. При принятии решения межсетевой экран учитывает не только правила, заданные администратором, но и контекст, что значительно повышает эффективность работы (контекстом называют сведения, которые были получены из предыдущих соединений).

Межсетевой экран UTM

Межсетевые экраны типа UTM (Unified threat management) стали дальнейшим развитием технологии, необходимость в котором возникла в связи с ростом изощренности и разнообразия сетевых атак. Впервые внедрение таких МСЭ началось в 2004 году.

Основным плюсом систем UTM является эффективное сочетание функций:

контент-фильтра;
службы IPS — защита от сетевых атак;
антивирусной защиты.

Это повышает эффективность и удобство управления сетевой защитой за счет необходимости администрирования только одного устройства вместо нескольких.

Экран UTM может быть реализован в виде программного или программно-аппаратного комплекса. Во втором случае предусматривается использование не только центрального процессора, но и дополнительных процессоров, выполняющих специальные функции. Так, процессор контента обеспечивает ускоренную обработку сетевых пакетов и архивированных файлов, вызывающих подозрение. Сетевой процессор обрабатывает сетевые потоки с высокой производительностью. Кроме того, он обрабатывает TCP-сегменты, выполняет шифрование и транслирует сетевые адреса. Процессор безопасности повышает производительность службы IPS, службы защиты от потери данных, службы антивируса.

Программные компоненты устройства обеспечивают создание многоуровневого межсетевого экрана, поддерживают фильтрацию URL, кластеризацию. Есть функции антиспама, повышения безопасности серфинга и другие возможности.

Межсетевой экран нового поколения (NGFW)

В связи с постоянным развитием и ростом технологического и профессионального уровня злоумышленников, возникла необходимость в создании новых типов межсетевых экранов, способных противостоять современным угрозам. Таким решением стал МСЭ нового поколения Next-Generation Firewall (NGFW).

Файерволы этого типа выполняют все основные функции, характерные для обычных межсетевых экранов. В том числе они обеспечивают фильтрацию пакетов, поддерживают VPN, осуществляют инспектирование трафика, преобразование портов и сетевых адресов. Они способны выполнять фильтрацию уже не просто на уровне протоколов и портов, а на уровне протоколов приложений и их функций. Это дает возможность значительно эффективней блокировать атаки и вредоносную активность.

Экраны типа NGFW должны поддерживать следующие ключевые функции:

защита сети от постоянных атак со стороны систем, зараженных вредоносным ПО;
все функции, характерные для первого поколения МСЭ;
распознавание типов приложений на основе IPS;
функции инспекции трафика, в том числе приложений;
настраиваемый точный контроль трафика на уровне приложений;
инспекция трафика, шифрование которого выполняется посредством SSL;
поддержка базы описаний приложений и угроз с постоянными обновлениями.

Такая функциональность позволяет поддерживать высокую степень защищенности сети от воздействия сложных современных угроз и вредоносного ПО.

NGFW с активной защитой от угроз

Дальнейшим развитием технологии стало появление NGFW с активной защитой от угроз. Этот тип файерволов можно назвать модернизированным вариантом обычного межсетевого экрана нового поколения. Он предназначен для эффективной защиты от угроз высокой степени сложности.

Функциональность МСЭ этого типа, наряду со всем возможности обычных NGFW, поддерживает:

учет контекста, обнаружение на его основе ресурсов, создающих повышенные риски;
автоматизацию функций безопасности для самостоятельной установки политик и управления работой системы, что повышает быстродействие и оперативность отражения сетевых атак;
применение корреляции событий на ПК и в сети, что повышает эффективность обнаружения потенциально вредоносной активности (подозрительной и отвлекающей).

В файерволах типа NGFW с активной защитой от угроз значительно облегчено администрирование за счет внедрения унифицированных политик.

Ограниченность анализа межсетевого экрана

При использовании межсетевых экранов необходимо понимать, что их возможности по анализу трафика ограничены. Любой файервол способен анализировать только тот трафик, который он может четко идентифицировать и интерпретировать. Если МСЭ не распознает тип трафика, то он теряет свою эффективность, поскольку не может принять обоснованное решение по действиям в отношении такого трафика.

Возможности интерпретации данных ограничены в ряде случаев. Так, в протоколах IPsec, SSH, TLS, SRTP применяется криптография, что не позволяет интерпретировать трафик. Данные прикладного уровня шифруются протоколами S/MIME и OpenPGP. Это исключает возможность фильтрации трафика, на основании данных, которые содержатся на прикладном уровне. Туннельный трафик также накладывает ограничения на возможности анализа МСЭ, поскольку файервол может «не понимать» примененный механизм туннелирования данных.

В связи с этим при задании правил для межсетевого экрана важно четко задать ему порядок действий при приеме трафика, который он не может однозначно интерпретировать.

Читайте также: