[an error occurred while processing this directive]
1999 г

Информационная безопасность

Информационная безопасность
Разграничение доступа
Авторизация и аутентификация
Трансляция сетевых адресов
Проверка содержания потоков данных
Безопасность операционной системы
Управление списками доступа маршрутизаторов
Обнаружение попыток неавторизованного доступа

Технологии Интернет изменяют не только подходы организаций к ведению бизнеса, но и их отношение к обеспечению сетевой безопасности. Границы корпоративных сетей теперь не определяются установленным оборудованием. Сейчас эти границы определяются в основном той политикой безопасности, которой придерживаются участники информационного обмена. Для того, чтобы такая политика безопасности была эффективной, она должна включать в себя широкий спектр технологий обеспечения информационной безопасности, которые управляют доступом к информационным ресурсам, контролируют целостность и подлинность информации и сетевых соединений, проходящих как через Интернет, так и через внутренние сети организации и ее партнеров. Check Point Software Technologies предлагает комплексное решение, соответствующее этим новым и постоянно возрастающим требованиям.

Комплект продуктов сетевой безопасности, называемый Check Point FireWall-1, обеспечивает контроль доступа в сетях Интернет, Интранет, Экстранет, а также удаленного доступа с расширенными функциями авторизации и установления подлинности пользователей. FireWall-1 позволяет транслировать сетевые адреса (NAT) и сканировать потоки данных на наличие недопустимой информации и вирусов. Широкий набор основных и сервисных функций дает возможность реализовать интегрированное решение по обеспечению сетевой и информационной безопасности, полностью отвечающее современным требованиям любых организаций, как крупных, так и небольших. Набор продуктов, называемых Check Point «Открытой платформой безопасного взаимодействия предприятий» [OPSEC - Open Platform for Secure Enterprise Connectivity] - основывается на концепции объединения технологий защиты информации вокруг единого средства представления информационной безопасности предприятия в виде единой, комплексной политики безопасности. Такой подход позволяет реализовать более тесную интеграцию продуктов других производителей на базе FireWall-1. Это обеспечивает централизованное слежение за функционированием этих систем, управление ими и конфигурирование.

Только FireWall-1 позволяет организации создать единую, интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продукт имеет и массу дополнительных возможностей, таких, как управление списками доступа аппаратных маршрутизаторов,

Имея тысячи инсталляций в различных организациях по всему миру, Check Point FireWall-1 является самым распространенным и наиболее оттестированным продуктом сетевой защиты на сегодняшний день.

Основываясь на технологии инспекции пакетов с учетом состояния протокола, являющейся передовым методом контроля сетевого трафика, разработанного и запатентованного компанией Check Point, FireWall-1 обеспечивает наивысший уровень безопасности. Данный метод обеспечивает сбор информации из пакетов данных, как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются.. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.

Тем самым, пользователь выигрывает в производительности и получает возможности гибко наращивать систему, быстро и надежно защитить новые приложения и протоколы, не прибегая при этом к разработке приложений посредников.

Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT. Виртуальная машина INSPECT составляет основу технологии Check Point FireWall-1.

Check Point FireWall-1 использует распределенную архитектуру клиент-сервер, что обеспечивает уникальные возможности по наращиванию системы, а также централизованному управлению развернутым комплексом.

Поддержка компонентами продукта платформ Windows 95, Windows NT, UNIX, маршрутизаторов, коммутаторов, устройств удаленного доступа (через OPSEC партнеров Check Point) и возможность межплатформенного взаимодействия обеспечивает наилучшую в отрасли гибкость и удобство при развертывании систем.

Что необходимо принять во внимание?

Check Point Software Technologies предоставляет наборы программных средств, ориентированные на небольшие, среднего уровня и большие компании, обеспечивая комплексную систему информационной безопасности для всей сети предприятия в соответствии с тем, как определены границы этой сети.

Более подробная техническая информация по соответствующим разделам представлена ниже:

Немного о взломщиках.

На сегодня известно, хорошо изучено и документировано достаточно много различных атак, но, тем не менее, новые атаки появляются практически каждый день. Поэтому небольшим организациям, использующим доморощенне системы защиты сетей, практически невозможно поддерживать их в адекватном состоянии. Компания Check Point Software Technologies, занимающаяся только разработкой системы сетевой защиты и имеющая необходимую инфраструктуру для обнаружения и анализа новых методов взлома систем сетевой безопасности, в состоянии поддерживать свой продукт на должном уровне. Уникальная быстрота реакции и простота внедрения новых способов защиты во многом достигается благодаря использованию технологии инспекции пакетов с учетом состояния протоколов и гибких возможностей языка INSPECT.

Некоторые наиболее типичные атаки и способы защиты от них описаны ниже.

Что такое Stateful Inspection?

Stateful inspection или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Он разработан и запатентован компанией Check Point Software Technologies.

Данная технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы. В результате достигаются уникальные показатели производительности, высокая гибкость решений и возможность быстро и достаточно просто адаптировать систему под новые нужды. Все большее количество производителей систем защиты используют эту технологию в своих решениях. Этот факт хорошо отражает цитата из отчета Giga Information Group в издании Gigawire за 17 марта 1997 года - "We believe that stateful inspection will be adopted by a broad segment of the computer industry as the standard way to provide gateway security in the future".

Исторически эволюция средств firewall проходила от пакетных фильтров общего назначения, затем стали появляться программы посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection.

Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали.

Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пакетным фильтрам не доступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности.

Программы-посредники обрабатывают только данные уровня приложения, что зачастую, порождает различные возможности для взлома системы.

Запатентованная реализация stateful inspection в продукте Check Point FireWall-1 обеспечивает максимально возможный уровень контроля и безопасности. FireWall-1 контролирует соединения на уровнях от 3 до 7 сетевой модели OSI, тогда как proxy посредники могут контролировать только с 5 по 7 уровень.

Тем самым Check Point FireWall-1 имеет уникальную информацию о содержимом сетевых пакетов, соединениях и приложениях. Эти совокупные данные о состоянии соединения, контекста приложения, топологии сети вместе с правилами политики безопасности используются для обеспечения политики безопасности масштаба предприятия. Дополнительная защита обеспечивается и самому компьютеру с FireWall-1, так как данное программное обеспечение перехватывает, анализирует, предпринимает необходимые действия в отношении всех соединений и лишь затем пропускает эти информационные пакеты в операционную систему компьютера шлюза, что избавляет операционную систему от несанкционированного доступа.

Реализация технологии stateful inspection компании Check Point ориентирована на работу в высокоскоростных сетях передачи данных, и по результатам различных тестов практически не вносит замедления в работу таких сетей. Основанный на виртуальном процессоре INSPECT, Check Point FireWall-1 показывает существенно лучшие результаты, чем лидирующие продукты, в основе которых лежат программы-посредники (proxy). Данное утверждение неоднократно подтверждалось различными, независимыми тестами, как, например, Data Communications, 21 марта 1997 года.

В реализации технологии stateful inspection компании Check Point используются динамические таблицы для хранения информации о контексте соединений как активных, так и существовавших ранее. Содержимое этих таблиц, проверяется при обработке попытки соединения. Такой подход обеспечивает прекрасную производительность и гарантирует, что соединение будет обработано с учетом самой последней информации о состоянии коммуникаций. Таблицы состояний расположены в ядре операционной системы и не могут быть повреждены или перезаписаны, как, например, файлы на диске. В случае же перезагрузки системы FireWall-1 начинает формировать новые таблицы, что предотвращает возможность оперировать поврежденными данными. Очистка таблиц эквивалентна полному запрещению соединений, что гарантирует безопасность сети в таких случаях. [View TECH NOTE]

Что такое OPSEC?

Open Platform for Secure Enterprise Connectivity [OPSEC] - это концепция, предложенная Check Point, в основе которой лежит идея создания единой, базовой платформы для интегрирования и управления всеми аспектами информационной безопасности предприятия путем подключения различных дополнительных компонент посредством стандартных интерфейсов. Различные производители приложений в области информационной безопасности теперь могут встраивать свои системы в рамках OPSEC, используя опубликованные программные интерфейсы приложений (API), стандартные для индустрии протоколы и язык INSPECT. Будучи встроенными таким образом, все приложения могут управляться и настраиваться с административной консоли оператора безопасности с использованием общего редактора политики безопасности.

Как можно создать единую политику безопасности для различных платформ?

Check Point FireWall-1 реально использует распределенную архитектуру клиент-сервер, что позволяет создавать политику безопасности в центре управления и затем автоматически распространять ее на все точки инспекции трафика. В дополнение к этому, поддерживается многопользовательский доступ к управлению системой безопасности в соответствии с назначенными привилегиями. Средства управления достаточно просты и наглядны, имеют интуитивный графический интерфейс пользователя, существенно упрощающий понимание политики безопасности.

Созданная же политика безопасности конвертируется системой в инспекционный сценарий на языке INSPECT, который затем распространяется на все необходимые узлы проверки трафика в сети. Так как язык INSPECT не зависит от платформы, любая система потенциально может выполнять функции firewall.

Какая платформа наилучшим образом подходит для FireWall-1?

Это достаточно часто задаваемый вопрос, но на него, к сожалению, нельзя однозначно ответить. При выборе платформы необходимо учитывать множество факторов, как-то специфические сетевые конфигурации, размеры защищаемой сети, требуемая производительность и реальные знания персонала организации.

Check Point Software Technologies считает, что все точки доступа к сети должны быть защищены в соответствии с требованиями используемой платформы и решаемых задач. Но использование для этих целей специально спроектированных аппаратно - программных комплексов во многих случаях не оправдано. Поэтому Check Point FireWall-1 поддерживает различные платформы и операционные системы, включая NT и UNIX, маршрутизаторы, коммутаторы и другие сетевые устройства. Важно, что все эти устройства используют одно и то же программное обеспечение и могут управляться с использованием общего графического интерфейса пользователя из административного центра. Основным параметром при выборе платформы может стать количество сетевых интерфейсов, поддерживаемых ей. Например, платформы только с двумя сетевыми интерфейсами не могут поддерживать демилитаризованную зону сети, поэтому такие платформы категорически не рекомендуется использовать из соображений безопасности.

Нужно ли планировать демилитаризованную зону сети (DMZ)?

DMZ (De-Militarized Zone) - это специальная защищенная часть сети, подключенная непосредственно к устройству разграничения доступа. Обычно это сеть, связанная с дополнительным сетевым интерфейсом на компьютере, - шлюзе с запушенным на нем приложением безопасности. Использование такого решения обеспечивает прохождение любого трафика DMZ через устройство разграничения доступа и контроля, что позволяет реализовать необходимые методы защиты, направленные против атак взломщиков.

Без DMZ, располагая серверы публичного доступа в защищаемой сети, мы подвергаем всю сеть потенциальной опасности: взломщики могут воспользоваться особенностями программного обеспечения сервера, получить доступ к нему, а затем и ко всей сети.

Заметим, что доступ взломщика к ресурсам внутренней сети не будут детектироваться firewall, так как доступ осуществляется в пределах защищенной сети.

При расположении же серверов публичного доступа в DMZ такие случаи будут детектироваться и пресекаться потому, что доступ из DMZ во внутреннюю сеть контролируется firewall. Таким образом, такой подход позволяет создавать наиболее безопасные конфигурации.

© ООО "Корпорация "ЮНИ", 1998


[an error occurred while processing this directive]