Межсетевой экран проверка состояния
Текст научной работы на тему «Межсетевые экраны»
Белорусский государственный университет информатики и радиоэлектроники П. Бровки, 6 Минск 220013, Беларусь
Поступила в редакцию 26 октября 2009
Используемые межсетевым экраном механизмы служат для предотвращения или блокирования нежелательного трафика. Такими механизмами, могут быть: простой пакетный фильтр, который принимает решения в зависимости от содержания заголовка пакета; или анализатор состояния который проверяет, что данный пакет является частью законного потока; или более сложный механизм такой как прокси-сервер который устанавливается между клиентом и внешней сетью.
Ключевые слова: межсетевой экран (МСЭ), пакетный фильтр, контроль состояния, прокси-сервер.
Межсетевые экраны обеспечивают барьер между сетями и предотвращают или блокируют нежелательный или несанкционированный трафик. Единственного определения для межсетевого экрана не существует. В данной работе будем использовать следующее определение межсетевого экрана. Межсетевой экран - система или группа систем, используемая для управления доступом между доверенными и не доверенными сетями на основе предварительно сконфигурированных правил [1].
Межсетевые экраны могут управлять доступом к сети и от нее. Они могут настраиваться для предотвращения получения доступа к внутренним сетям и услугам несанкционированных пользователей. Они могут также конфигурироваться для предотвращения нежелательного доступа к внешним или несанкционированным сетям и услугам внутренних пользователей. МСЭ обеспечивает также выполнение следующих функций:
Установление подлинности пользователя: межсетевые экраны могут настраиваться для обеспечения установления подлинности пользователя. Это позволяет администраторам сетей управлять доступом определенных пользователей к определенным услугам и ресурсам. Установление подлинности также позволяет администраторам сетей отслеживать определенную деятельность пользователя и попытки получить несанкционированный доступ к защищенным сетям или услугам.
Аудит и регистрация: межсетевые экраны могут обеспечить аудит и регистрацию действий, сохранить и проанализировать эту информацию позднее. Межсетевые экраны тоже могут произвести статистику, основанную на информации, которую они собирают. Эти статистические данные очень полезны администраторами безопасности при принятии решений.
Наряду с достоинствами межсетевые экраны обладают рядом недостатков: Транспортные узкие места: в некоторых сетях межсетевые экраны создают транспортное узкое место. Они вынуждают все межсетевые трафики проходить через межсетевой экран, поэтому есть большая вероятность, что сеть станет переполненной.
Единственный пункт отказа: межсетевые экраны могут создать единственный пункт отказа. В большинстве конфигураций, где межсетевые экраны являются единственной связью между сетями, если они недоступны или конфигурируются не правильно, то никакой трафик через них не пройдет.
Повешенная ответственность администратора: межсетевой экран часто добавляет ответственность в управление сетью и делает обслуживание сети более сложным, потому что все межсетевые экраны требуют длительной административной поддержки в виде обновлений программного обеспечения и перенастройки политик безопасности.
Для управления доступом к сети, межсетевые экраны используют один из двух принципов защиты:
1. Все неопределенно разрешенное, запрещено.
2. Все неопределенно запрещённое, разрешено.
У каждого принципа есть сторонники, но первый принцип чаще всего рекомендуемый. Он базируется на предпосылке, что если определенные правила разрешения отсутствуют, то доступ запрещен.
Второй принцип имеет противоположную логику. Доступ запрещается, если для этого сформированы определенные правила. Если правил нет, то доступ полностью открыт.
Типы межсетевых экранов
Для построения межсетевого экрана используется определенный метод проверки пакета. В каждом методе используется информация от различных уровней модели взаимосвязи открытых систем. Известные три типа межсетевых экранов:
1. Пакетные фильтры (Packet filtering),
2. МСЭ с контролем состояния (Stateful packet inspection),
3. Прикладной шлюз/прокси (Application gateways/proxies).
Гибридные методы проверки пакетов комбинируют два или более из них для обеспечения повышенных возможностей и безопасности.
Пакетные фильтры (рис. 1) - самый простой метод проверки пакета. Процесс фильтрования пакета заключается в исследовании информации содержащейся в заголовке и сравнении ее с предварительно сконфигурированной группой правил или фильтрами. Каждый пакет может, исследоваться индивидуально без отношения к другим пакетам, несмотря на то, что они могут являться частью одного трафика [2].
правила межсетевого экрана
Пакет запрещен или блокирован
Рис. 1. Межсетевой экран - пакетный фильтр
Пакетные фильтры часто называют межсетевыми экранами уровня сети, потому что процесс фильтрования происходит на сетевом уровне (третий уровень) или транспортным уровне (четвертый уровень) модели OSI. Рис. 2 показывает отношение между пакетным фильтром и моделью OSI [3, 4].
Транспортный Пакетные фильтры
Рис. 2. Пакетный фильтр и уровни 081
Правила пакетной фильтрации или фильтры могут быть сконфигурированы на основе разрешения или запрета. Конфигурация правил фильтрования пакета основывается на одном или более следующих параметров:
- 1Р адрес источника,
- 1Р адрес назначения,
Пакетные фильтры функционируют быстрее, чем другие типы МСЭ, так как фильтруют пакеты на более низких уровнях модели OSI. Если они настроены правильно, то пакетные фильтры оказывают очень малое влияние на работу сети.
Пакетные фильтры могут быть установлены прозрачным образом. Они не требуют никакой дополнительной конфигурации для клиентов.
Пакетные фильтры межсетевых экранов дешевле, чем другие методы проверки пакета.
Пакетные фильтры являются независимыми от приложения, так как их решения основаны на информации, содержащейся в заголовке пакета, а не на информации, которая имеет отношение к определенному приложению.
Если порт был открыт МСЭ, то он открыт для всех проходящих трафиков через этот
Определение правил и фильтров в этом методе является сложной задачей. У администратора сети должно быть хорошее понимание услуг и протоколов для выполнения требования безопасности.
Проверка точности выполнения правил на пакетном фильтре является очень трудной задачей. Даже если правила кажутся простыми и явными, проверка их правильности путём тестирования отнимает много времени и не всегда даёт правильный результат.
МСЭ с контролем состояния
МСЭ с контролем состояния исследует информацию заголовков пакетов от сетевого уровня до прикладного уровня модели OSI и проверяет, что данный пакет является частью законного потока и используются допустимые протоколы. рис. 3 показывает отношению между МСЭ с контролем состояния и моделью OSI.
Прикладной МСЭ с контролем состоянием
Рис. 3. МСЭ с контролем состояния и уровни 081
МСЭ с контролем состояния работает следующим образом (рис. 4). Заголовки TCP пакета проверяются для определения, является ли пакет частью уже существующего и действующего потока передаваемых данных. Межсетевой экран имеет активную таблицу всех текущих сеансов и сравнивает входящие пакеты с её данными в процессе контроля доступа. Если в таблице отсутствует соответствующий вход соединения, МСЭ проверяет пакет с использованием установленного набора правил, аналогичного фильтру пакетов. Если проверка по правилам фильтрации прошла успешно и передача пакета разрешается, МСЭ создает или обновляет свою таблицу соединений. Внесенный вход соединения будет использоваться для проверки последующих пакетов вместо правил фильтрации. В качестве параметров проверки состояния используются:
- 1Р адрес источника,
- 1Р адрес назначения,
Состояние связи определяется из информации собранной на основе анализа предыдущих пакетов. Это - существенный фактор в принятии решения при новых попытках открыть соединение. МСЭ с контролем состояния сравнивает пакеты с правилами или фильтрами и затем по динамической таблице состояния, проверяет, что все пакеты - часть действительной и установленной связи.
Этот метод защищает сети от атаки лучше, чем методы экранирования пакетов, потому что он имеет возможность анализа состояния связи.
МСЭ с контролем состояния, как и пакетные фильтры, оказывают очень небольшое влияние на работу сети, они реализуется прозрачно, и являются независимыми от приложений.
МСЭ с контролем состояния более безопасны, чем пакетные фильтры. Так как производят более глубокий анализ заголовка пакета для определения состояния связи между конечными точками.
Анализируя информацию заголовка пакета, МСЭ с контролем состояния может проверить, что протоколы прикладного уровня работают правильно.
Как и пакетные фильтры, МСЭ с контролем состояния не нарушает модель клиент/сервер и разрешает прямое соединение между этими двумя конечными точками.
Правила и фильтры этого метода могут быть достаточно сложными и трудными для восприятия.
Перед каждым системным администратором рано или поздно встает вопрос об эффективности имеющихся средств сетевой защиты. Как проверить, что межсетевой экран настроен достаточно безопасно? Нужен ли потоковый антивирус и отрабатывает ли IPS? Защищена ли почта? Как правило для решения таких вопросов предлагают провести тест на проникновение (Penetration Test). Однако это либо слишком дорого, либо слишком сложно (если выполнять самому), да и не всегда нужен такой глубокий анализ. К счастью существуют online ресурсы, которые позволяют провести базовые проверки ваших средств защиты (в основном проверка межсетевого экрана и средств антивирусной защиты). Это конечно не может заменить полноценный PenTest, однако дает представление о том, насколько защищена ваша сеть от самых простых и одновременно самых распространенных типов атак.
Если вас заинтересовала данная тема, то добро пожаловать под кат…
Check Point CheckMe – Мгновенная проверка безопасности
Начать обзор хотелось бы с инструмента, который делает комплексный анализ уровня защищенности вашего межсетевого экрана (будь то UTM или NGFW). Это Check Point CheckMe.
Данный сервис включает в себя серию тестов, которая проверяет ваш компьютер и сеть на уязвимость от вымогателей, фишинга, атак нулевого дня, бот сетей, инъекций кода, использования анонимайзеров и утечки данных.
Как работает CheckMe?
- Пройдите по ссылке.
- Запустите сканирование в вашем браузере.
- Ваш браузер обменяется данными с сервисом CheckMe для анализа безопасности вашей сети (без какого-либо реального риска для вашей сети)
Какие угрозы проверяются?
CheckMe имитирует различные сценарии, которые могли бы стать отправной точкой для следующих векторов атак:
1) Угроза — ПО для вымогательства
Этот тест загружает тестовый файл вирус (EICAR-Test-File) через вашу сеть.
2) Угроза — Кража личных данных/ Фишинговые атаки
Этот тест генерирует подключения к фишинговым и вредоносным сайтам через вашу сеть.
Успешная попытка подключения свидетельствует, что вы могли бы стать жертвой фишинговой атаки и ваша личная информация может быть украдена.
CheckMe имитирует этот тест путем загрузки файла favicon.ico из следующих сайтов:
3) Угроза — Атаки нулевого дня
Этот тест, загружает файлы в различных форматах, которые часто используются в атаках нулевого дня.
CheckMe имитирует этот тест, загружая следующие файлы:
4) Угроза — Атака на браузер
Этот тест проверяет, защиту вашей сети от Cross-Site Scripting (XSS), инъекций SQL и инъекций команд.
CheckMe имитирует этот тест путем подключения к следующим тестовым сайтам:
5) Угроза — Инфицирование ботом
6) Угроза — Использование анонимайзеров
7) Угроза — Утечка конфиденциальных данных
Все тесты безопасны и не представляют никакого риска для устройств пользователя и сети!
Администратор может увидеть предупреждения в системе безопасности, которые уведомляют о моделировании испытаний.
Тест от Fortinet
Также будет интересна проверка, которую предоставляет Fortinet. Тест не такой комплексный и в общем смысле проверяет различные способы доставки тестового вируса (eicar). Проверяется возможность скачивания файла eicar в открытом виде, в виде архивов различной степени вложенности (архив в архиве — до 10 степеней вложенности). Сами архивы нескольких видов: zip, rar, tar, cab, 7zip. Также есть запароленный архив. По результатам вы сможете увидеть с каким типом угроз ваши системы не справляются.
Здесь мы также можем скачать тестовый файлик и возможны следующие варианты:
Online песочницы (sandbox)
Не буду подробно рассматривать вопрос “Что такое песочница?”, тем более, что чуть позже мы посвятим этому небольшой цикл статей. Основная задача песочниц — запустить файл и посмотреть, что после этого будет. По результатам выдается вердикт о вредоносности этого файла. Песочницы помогают бороться с зловредами, которые обычные антивирусы никак не определяют. Есть несколько online сервисов, где вы можете проверить файлы в песочнице:
Online антивирус
Здесь можно было бы привести десятки ссылок, т.к. почти каждый уважающий себя антивирус имеет online сканер. Однако почти все эти ссылки можно заменить одной — VirusTotal
Ресурс позволяет сканировать файлы и ссылки на предмет зараженности. При этом анализ производится с помощью множества антивирусов и можно видеть вердикт по каждому из них.
Очень интересен функционал проверки url. С помощью него вы сможете проверить эффективность вашего Proxy или средства защиты Web-трафика. Найдите вирусный сайт, проверьте его в virustotal, а затем посмотрите откроется ли он через ваш proxy.
Online Firewall и Port Scanners
Эти инструменты могут также пригодится при тесте своей сети:
EmailSecurityCheck
Данный ресурс позволит проверить защищенность вашего почтового сервера. Для этого будет отправлено несколько писем с тестовыми вирусными файлами, которые упакованы различными способами. Если любое из этих писем вы все же получили, то это повод задуматься над безопасностью вашего email-сервера.
Воспользовавшись приведенными сервисами можно сделать некоторые выводы относительно эффективности существующих средств защиты. Обратите внимание не только на эффективность защиты, но и на процесс обнаружения инцидентов. Вы должны быть максимально информированы о всех ИБ событиях. Достигается это либо с помощью встроенных средств (email alert, dashboard-ы устройств и т.д.) либо сторонних (SIEM или Log-managment системы).
Следующим логичным шагом будет проведение аудита сетевой безопасности. Это можно сделать как с помощью CheckPoint, так и с помощью Fortinet, причем бесплатно. Более подробно об этом можно почитать здесь и здесь. Мы уже частично описали архитектуру решений Check Point и в следующих постах опишем, как с его помощью сделать бесплатный аудит безопасности сети.
P.S. Если вы используете Check Point, но тест все равно не прошли, то здесь можно посмотреть, как усилить свою защиту, так сказать «закрутить гайки».
Критерии выбора межсетевого экрана обычно делятся на три основные области:
- функции безопасности,
- удобство управления,
- производительность.
Функциональные элементы системы безопасности влияют на эффективность системы защиты и способность вашей команды управлять рисками, связанными с работой различных приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам? В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность?
Каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора межсетевого экрана. Чтобы помочь в этом, мы решили четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:
- Идентификация и контроль приложений по любому порту
- Идентификация и контроль попыток обхода защиты
- Расшифрование исходящего SSL и управляющего SSH трафика
- Контроль функций приложений и их подприложений
- Управление неизвестным трафиком
- Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
- Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
- Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
- Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений
- Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе
1. Ваш новый межсетевой экран должен обеспечивать постоянную идентификацию и управление приложениями на всех портах.
Требования. Требование простое — необходимо исходить из того, что каждое приложение может работать по любому порту, поэтому ваш новый межсетевой экран по умолчанию должен постоянно классифицировать трафик по приложению по всем портам. Это требование нужно предъявлять ко всем современным средствам защиты. Проблема классификации трафика по всем портам будет снова возникать при обсуждении всех оставшихся требований. В противном случае мы по-прежнему будем наблюдать обход средств контроля на основе портов с помощью все тех же приемов, которые существуют много лет: хакер перемещает приложение на другой порт и сетевое средство защиты перестает его видеть. С этим пора разобраться в вашей сети.
Комментарий из жизни: в реальных продуктах идентификация и управление приложениями — это три разных операции: определять приложения, блокировать приложения и безопасно разрешать приложения. Бывает, что производитель может верно определять конкретное приложение, но может не уметь его блокировать. Современные приложения настроены работать, для того, чтобы обходить блокировки, то есть если вы его заблокировали одним способом, то приложение начинает пользоваться вторым, третьим и так далее, пока вообще есть хоть один вариант — современные приложения очень инвазивны. Это говорит о том, что блокировка приложений должна тщательно проверяться при тестировании. Определение приложения — это всего лишь начало пути. Если вы разрешили приложение, но не проверили его контент, то это опять же небезопасно, поэтому для безопасного разрешения нужно еще проверить контент, например, сигнатурами IPS, антивируса, ant-spyware, DLP и другими. Также трафик браузеров часто сверяют с категориями URL, по которым ходят сотрудники и автоматизированные приложения.
2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструменты, позволяющие обходить средства обеспечения безопасности.
Реальный пример. Сегодня программисты специально пишут приложения, чтобы они обходили межсетевые экраны. Это им нужно для так называемого User Experience.
Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов — приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).
Внешние прокси и зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки, специально используются для обхода средств обеспечения защиты. Поскольку эти приложения изначально создаются для обхода средств безопасности и поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети никакой бизнес-ценности.
Несут ли стандартные приложения в сети какой-то риск? Ведь и приложения для удаленного доступа, и многие зашифрованные туннельные приложения могут использоваться администраторами и сотрудниками. Однако эти же инструменты все чаще используются злоумышленниками на разных этапах в их сложных атаках. Примером такого инструмента в 2017 году является Cobalt Strike. Если организации не смогут контролировать использование этих инструментов обхода средств безопасности, они не смогут успешно выполнять политики безопасности и подвергнут себя всем рискам, для защиты от которых эти средства безопасности предназначены.
Требования. Ваш новый межсетевой экран должен проверять тип трафика по реальному контенту который передается внутри пакетов. Мир изменился: даже на входе в театр сейчас стоят рамки металлоискателей: показать свой номер ряда и кресла уже недостаточно. То же самое и в корпоративных сетях: нужно проверять содержимое сетевых пакетов, а не их заголовки. Ваш новый межсетевой экран должен уметь определять приложения по содержимому поля данных, причем на любых портах.
3. Ваш межсетевой экран нового поколения должен обеспечивать расшифровку и проверку SSL, а также контролировать управление SSH.
Требования. Возможность расшифрования SSL — это основополагающий фактор выбора решения по защите сети. И не только из-за того, что речь идет о значительной части корпоративного трафика, но и из-за того, что эта возможность повышает эффективность других ключевых функций, которые без расшифрования SSL будут неполными или неполноценными. К другим ключевым факторам можно отнести выявление и расшифрование SSL на любом порте, как на входе в сеть, так и на выходе; управление политиками расшифрованным трафиком, а также набор аппаратных и программных средств, необходимых для перешифрования SSL в рамках десятков тысяч одновременных подключений SSL с предсказуемой производительностью. Еще одним важным требованием является возможность идентификации и контроля за использованием SSH. Если говорить конкретно, то контроль за SSH подразумевает возможность определения для чего используется протокол SSH: переадресация портовтуннелирование трафика (локальная, удаленная, X11) или предназначенное использование по назначению (SCP, SFTP и доступ к оболочкеshell). Сведения о целях и характере использования SSH можно затем преобразовать в правила политики безопасности.
4. Безопасное разрешение приложений. Ваш межсетевой экран должен осуществлять контроль за работой приложений.
Требования. Ваш межсетевой экран нового поколения должен постоянно осуществлять классификацию каждого приложения, отслеживая все изменения, которые могут указывать на использование той или иной функции этого приложения. Концепция «однократной» классификации трафика не является выходом из положения, поскольку при этом игнорируется тот факт, что различные приложения могут использовать одни и те же сетевые сессии или выполнять несколько функций. Если в данной сессии будет идентифицирована другая функция или приложение, межсетевой экран должен зафиксировать этот факт в таблицах состояния сессий и выполнить проверку на основе политики. Непрерывный мониторинг состояния с целью выявления различных функций, которые может поддерживать каждое приложение, а также связанных с ними рисков, — это важнейшее требование к вашему межсетевому экрану нового поколения.
Безопасное разрешение приложений. Для безопасной работы приложений и технологий, а также для обеспечения основанных на них бизнес-процессов, специалистам сетевой безопасности требуется внедрить не только соответствующие политики, но и средства, контролирующие их соблюдение. Такими средствами являются межсетевые экраны нового поколения.
5. Ваш межсетевой экран нового поколения должен осуществлять систематическое управление неизвестным трафиком.
Требования. Ваш межсетевой экран нового поколения по умолчанию должен классифицировать весь трафик на всех портах — это тот критерий, который должен обязательно учитываться при разработке архитектуры и модели управления средствами безопасности.
Существует два поведения при написании правил межсетевого экрана.
Позитивная модель (блокирование по умолчанию всего неизвестного) подразумевают классификацию всего трафика, чтобы мы блокировали только неизвестный, тогда как негативная модель (разрешение по умолчанию всего неизвестного) подразумевают классификацию только определенного трафика, поскольку, если мы не знаем какой-то протокол или приложение, то мы просто его пропускаем.
Классификация всего трафика и выявление неизвестного — это только первая задача для вашего межсетевого экрана. Ваш межсетевой экран нового поколения должен обеспечить видимость всего неизвестного трафика, на всех портах. Он должен уметь быстро выполнять анализ этого трафика и определять его природу —
- внутреннее или самописное приложение,
- коммерческое приложение без готовой сигнатуры или
- угроза.
Кроме того, межсетевой экран должен уметь:
- создавать пользовательскую сигнатуру для трафика,
- собирать и отправлять PCAP трафика коммерческого приложения в лабораторию для проведения дальнейшего анализа или проведения аналитического исследования, которое позволит определить, не является ли трафик угрозой.
6. Ваш межсетевой экран нового поколения должен проверять угрозы в файлах на всех портах, определяя все приложения.
7. Ваш межсетевой экран нового поколения должен обеспечивать непрерывный контроль над всеми пользователями, независимо от их местоположения или типа устройства.
Реальный пример. Ваши пользователи все чаще работают вне офиса, получая доступ к корпоративной сети со своих смартфонов или планшетов по VPN. Значительная часть ваших сотрудников имеет возможность работать удаленно. Работая за столиком в кафе, у себя дома или на встречах у клиентов — ваши сотрудники считают само собой разумеющимся, что они могут подключаться к своим рабочим приложениям через WIFI или LTE/3G. Независимо от местоположения пользователя или даже самого приложения, межсетевой экран должен применять один и тот же стандарт контроля доступа. Если ваш межсетевой экран обеспечивает визуализацию и контроль приложений только в пределах стен организации, но не за ними, он в может упустить трафик, представляющий огромный риск.
8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений.
Реальный пример. Многие организации постоянно создают новые сервисы для сотрудников, реализуют новые политики и вводят новые средства управления, в то время как их специалисты в области информационной безопасности уже сильно перегружены, управляя текущим множеством процессов защиты. Другими словами, если ваши сотрудники не справляются со своими текущими задачами, то добавление устройств и управление новыми сервисами, а также соответствующими политиками и обработкой новой информации, не позволит разгрузить ваших специалистов, равно как и не ускорит процесс обработки инцидентов. Чем сложнее политика (например, межсетевой экран на базе портов разрешает трафик через порт 80, система предотвращения вторжений выявляет/блокирует угрозы и приложения, шлюз для веб-защиты выполняет контроль URL-запросов), тем тяжелее этой политикой управлять. А какую политику в отношении WebEx используют ваши специалисты по безопасности? Как они определяют и решают конфликты политики на различных устройствах? Если предположить, что для типичных межсетевых экранов на основе портов определены базы правил, включающие тысячи всевозможных правил, то при добавлении тысяч сигнатур приложений в рамках десятков тысяч портов сложность будет возрастать в десятки раз. Поэтому разрешив какое-то новое приложение в своей сети, необходимо сразу же позаботиться о его безопасности и это должно быть реализовано в рамках одного правила межсетевого экрана.
Требования. Работа вашей организации основана на приложениях, пользователях и файлах, поэтому ваш межсетевой экран нового поколения должен позволять использовать политики, напрямую поддерживающие все ваши бизнес-инициативы. Упростить защиту – это мечта любого сотрудника. Политика межсетевого экрана, основанная на портах и IP-адресах, а затем добавленная сверху политика для управления приложениями внутри портов, системами обнаружения вторжений поверх всех правил и защиты от вредоносного ПО внутри конкретных приложений, только усложнит процесс управления на базе политик и, в конечном счете станет препятствием развитию бизнеса. Требуйте функционал безопасности в устройствах контроля за приложениями нового поколения.
9. При полной активации функций управления приложениями ваш межсетевой экран нового поколения должен обеспечивать такую же пропускную способность и производительность, как прежде.
Реальный пример. Многие организации стремятся добиться оптимального баланса между производительностью и безопасностью. Не секрет, что активация дополнительных функций безопасности на вашем межсетевом экране означает, что пропускная способность устройства будет существенно снижена. Если ваш межсетевой экран нового поколения разработан правильно, вам не потребуется переживать за это.
Требования. При рассмотрении этого требования также становится очевидным значение архитектуры, только в несколько ином ключе. Поспешный выбор межсетевого экрана работающего только на транспортном уровне c портами TCP и UDP или множества других средств обеспечения информационной безопасности от разных производителей обычно выливается в чрезмерное количество защит на каждом из сетевых уровней, механизмов сканирования и политик, что приводит к снижению производительности. Межсетевой экран должен быть сделан под эти задачи еще при разработке архитектуры ПО. Более того, если считать, что вам требуется выполнять ресурсоемкие вычислительные задачи (такие как расшифрование SSL, идентификация приложений, предотвращение угроз на всех портах) в среде высокоинтенсивного трафика, не допускающей малейшие задержки в работе критически важной инфраструктуры, ваш межсетевой экран нового поколения должен быть оснащен специальными выделенными аппаратными компонентами для выполнения таких задач.
10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе.
Реальный пример. Стремительное распространение виртуализации и облачных технологий приводит к появлению новых задач в области безопасности, и с помощью старых межсетевых экранов, для которых характерна несогласованная работа внутренних компонентов, разрозненность механизмов управления ими и отсутствия интеграции с виртуализированной средой, решить эти задачи сложно или вообще невозможно.
Чтобы защитить входящий и исходящий трафик ЦОД, трафик внутри виртуальных сред вашей организации ваш межсетевой экран нового поколения должен предлагать абсолютно одинаковый функционал как в аппаратных, так и виртуальных форм-факторах.
Требования. Постоянное создание и настройка различных стандартных и нестандартных приложений в среде виртуального ЦОД еще больше усложняет задачи идентификации и контроля приложений. Сегодня это невозможно сделать на основе правил выполняемых на основе двух критериев: порт и IP-адрес.
Кроме тех девяти функций, которые уже описаны ранее, следующая обязательная функция межсетевого экрана нового поколения: важно, чтобы ваш межсетевой экран нового поколения поддерживал всестороннюю интеграцию со средой виртуализации. Это позволит создавать политики безопасности, основанные на приложениях, даже для динамической среды современного центра обработки данных, где не прекращается процесс создания и изменения виртуальных машин и приложений в них.
Создание межсетевого экрана для систем виртуализаци — единственный способ, который гарантирует поддержку развития современных центров обработки данных, обеспечивает гибкость администрирования и защиту от рисков и позволяет соблюдать стандарты и нормативы, такие как стандарты PCI DSS или ЦБ РФ.
Межсетевые экраны должны обеспечивать безопасную работу приложений — и всецело поддерживать ваш бизнес
Благодаря стараниям вирусописателей и хакеров тема сетевой безопасности стала актуальной не только для служб безопасности финансовых учреждений и крупных корпораций, но и для рядовых пользователей. По статистике, подключенный к Интернету компьютер каждые восемь-десять минут подвергается сетевому исследованию или атаке, а большая часть «удачных» взломов приходится на долю домашних ПК.
Защита от сетевых атак — сетевые фильтры, на основе заложенных правил разделяющие сетевой поток данных (трафик) на разрешенный и запрещенный. Разрешенный трафик пропускается, запрещенный соответственно уничтожается. Сетевые фильтры имеют как аппаратные, так и программные реализации.
Область применения аппаратных сетевых фильтров — контроль трафика в средних и крупных сетях. Для персональных компьютеров чаще применяют программный вариант защиты, что обусловлено, с одной стороны, более широким спектром прикладных возможностей программного сетевого фильтра, а с другой — более низкой себестоимостью такой защиты по сравнению с аппаратной реализацией.
Разработок в области программной сетевой защиты достаточно много, от неказистых на первый взгляд поделок энтузиастов до предложений крупных компаний, давно заработавших себе имя в программном бизнесе. Существующие программные сетевые фильтры (брандмауэры) содержат, как правило, почти одинаковый набор функций, различаясь интерфейсом и, разумеется, качеством работы. Последнее отличие далеко не очевидно, и о нем не сообщается в рекламных проспектах. Большинство же публикаций в онлайновой и офлайновой прессе касаются лишь «косметических» характеристик брандмауэров, без упоминания о качестве их работы. Так что пользователь, выбирающий себе защиту, вынужден довериться солидному брэнду, в немалой степени созданному усилиями маркетологов, или рекомендациям знакомых. Либо ему придется потрудиться, чтобы составить собственное мнение об объективных преимуществах и недостатках того или иного программного брандмауэра. Из последнего варианта и возникла тема предлагаемой вашему вниманию статьи, обобщившей опыт тестирования брандмауэров.
Для начала определим цели исследования. Основная задача персонального пользовательского брандмауэра — фильтрация трафика защищаемого компьютера, что, в свою очередь, подразумевает контроль за сетевыми подключениями из Интернета к пользовательской системе; за сетевой активностью системных сервисов и прикладных программ; за содержимым веб- и почтового трафика, поступающим на компьютер.
Если брандмауэр не справляется с этими задачами, использовать его в качестве защитного средства будет опрометчивым решением, здесь уже количество и качество дополнительных функций роли не играет. Если не решается первая задача, возможен сетевой взлом. Если вторая, то существует вероятность несанкционированной утечки данных. В третьем случае браузер и почтовый клиент вместе с текстом и картинками регулярно доставляют в пользовательскую систему ActiveX-компоненты, Java-аплеты, Java- и VBS-сценарии. Из-за этого веб-страницы становятся интерактивными, а на ПК проникают вирусы. Согласитесь, было бы весьма неразумно оставить творческие изыскания злоумышленников без пристального внимания.
Проверять, как брандмауэр умеет работать с входящим трафиком, мы будем с помощью специализированного программного обеспечения — сетевых сканеров. А для анализа качества контроля исходящих соединений используем тесты проницаемости (leak tests).
Сетевой сканер определяет, какие системные сервисы и прикладные программы на исследуемой компьютерной системе доступны для сетевого подключения. Он может применять различные методы, скрывающие факт сканирования от средств защиты исследуемой системы (stealth scan). Задача брандмауэра — не только не допустить определения сканером действующих сетевых программ, доступ к которым запрещен, но и зафиксировать сам факт сканирования. В свою очередь, сетевой сканер помогает проверить, насколько успешно брандмауэр скрывает защищаемую компьютерную систему от сетевых методов исследования, работая в режиме «невидимка» (для брандмауэров тоже есть свой «stealth-режим»).
Один из наиболее известных сетевых сканеров — Nmap.
Для анализа защиты домашнего компьютера, подключенного к глобальной сети, удобнее воспользоваться услугами онлайновых сканеров и специализированных ресурсов Интернета (DslReports, PC Flank, Shields Up. Sygate Online Service и т.п.).
Это не потребует ни установки дополнительного ПО, ни длительного изучения инструкций. Но следует учесть, что при полном сканировании системы создается значительный трафик, что, в свою очередь, может вызвать проблемы при работе на узком канале, например при модемном подключении к Интернету.
Программа Cain&Abel по принципу действия не относится к сетевым сканерам, но демонстрирует одну из методик злоумышленников, используемую для сбора информации об атакуемой системе. В результате успешно проведенной операции, названной разработчиками Arp Poison Routing (сокр. APR; иное название — APR cache poisoning), на выбранные компьютеры внедряются соответствующим образом сфальсифицированные связи сетевых и аппаратных адресов компьютерных систем. В результате весь трафик между атакованными ПК начинает пересылаться через систему злоумышленника.
Эта операция — классическое применение технологии «посредник» (man in the middle).
Анализируя транзитный трафик, Cain&Abel собирает пароли доступа к различным сетевым сервисам и иную конфиденциальную информацию. Учитывая предоставленные разработчиками дополнительные средства для декодирования зашифрованных паролей, а также то, что пароли к почтовому POP3-серверу, ICQ, FTP и многим другим службам передаются в открытом виде, легко представить серьезность угрозы для скомпрометированных подобным образом систем.
Перейдем к средствам тестирования возможностей брандмауэра по пресечению несанкционированной утечки данных с защищаемого компьютера, тестам проницаемости, назначение которых — сделать «сброс» информации в Интернет, минуя брандмауэр.
Межсетевые экраны рекомендую исследовать с помощью тестов проницаемости во всех доступных режимах работы. Только при такой проверке можно получить полное представление о возможностях персонального брандмауэра. Ведь, к сожалению, далеко не всегда то, что обещано, выполняется.
Для повышения достоверности результатов тестирования показания тестов проницаемости и брандмауэра следует проверять сниффером, программой — перехватчиком передаваемых по сети данных. Подобная контрольная проверка отфильтровывает «ложные срабатывания» тестов и брандмауэров, опровергая отчеты об удачном «задержании» или «сбросе» перехватом переданной информации или, напротив, свидетельствуя об отсутствии оной.
Основные методики проникновения сквозь защиту брандмауэра можно разделить на несколько категорий:
- Address space injection — внедрение в адресное пространство выполняющейся доверенной (доступ в Интернет разрешен) программы стороннего кода. Внедренный код начинает исполняться на правах взломанного процесса, получая, в частности, доступ в Интернет.
- Dll-injection — внедрение сторонней dll-библиотеки. Метод, аналогичный описанному выше.
- Launcher — запуск доверенной программы или системного сервиса с передачей параметров для сетевого запроса в командной строке или иным способом.
- Substitution — подмена программы, которой разрешен доступ в Интернет. Имя файла теста меняется на имя доверенной программы (например, iexplore.exe), а переименованный файл переписывается в ее каталог.
- Trojan — попытка незамаскированной передачи данных.
Сведения о наиболее известных на сегодня тестах проницаемости представлены в табл. 1.
Рассмотрев формализованные характеристики тестов, познакомимся с ними поближе.
Thermite
Некий аналог CopyCat. Во время теста запрашивает начальную страницу веб-ресурса SecurityFocus.
Ожидаемым продолжением рассказа о сканерах и тестах 1 будет иллюстрация их практического применения.
Аннотация научной статьи по компьютерным и информационным наукам, автор научной работы — Ф. О. Мохаммед
Используемые межсетевым экраном механизмы служат для предотвращения или блокирования нежелательного трафика. Такими механизмами, могут быть: простой пакетный фильтр , который принимает решения в зависимости от содержания заголовка пакета; или анализатор состояния который проверяет, что данный пакет является частью законного потока; или более сложный механизм такой как прокси-сервер который устанавливается между клиентом и внешней сетью.
Outpost Pro
Решив поддержать отечественного (или считающегося таковым) производителя, отберем для эксперимента недавно появившийся на сцене брандмауэр Outpost Pro — разработку компании Agnitum, Ltd.
Тестируемая версия брандмауэра 2.5.369(369). Стоимость одной лицензии при продаже в России — 499 руб. Всем остальным предлагается раскошелиться на 39,95 долл. Размер дистрибутива 7,42 Мбайт. Бесплатный испытательный период 30 дней.
Поскольку брандмауэры серии Outpost достаточно известны не только в российском регионе и часто становились главными героями обзоров и публикаций, то на описании основных возможностей Outpost Pro 2.5 я останавливаться не буду, сразу перейдя к отличиям версии 2.5 от предыдущей версии Outpost Pro 2.1.
Изменения в новой версии заметны. Полный их список насчитывает более 50 пунктов. Не углубляясь в технические детали, отмечу, что значительное внимание разработчиков было уделено противодействию методикам скрытой утечки данных, демонстрируемой тестами проницаемости. К интерфейсу программы добавились настройки параметров контроля скрытых процессов и расширенного контроля компонентов программ. Введен контроль raw-сокетов. Расширились функции модуля «Детектор атак». Добавлены возможности указать список портов, представляющих наиболее вероятную цель для атакующих, и назвать хосты, активность с которых не будет рассматриваться как вредоносная (может быть, это администраторские хосты?). Введена блокировка DNS-запросов с нарушенной структурой (подобным образом может маскироваться активность троянской программы).
Более подробно ознакомиться с дальнейшими изменениями в Outpost Pro 2.5 можно на сайте разработчика, а еще лучше оценить их лично, установив trial-версию брандмауэра. А мы тем временем перейдем к результатам экспериментов.
Брандмауэр тестировался в двух режимах работы: «доступ в сеть разрешен только для доверенных программ», «доступ блокирован для всех». Если брандмауэр предотвращал утечку информации, в сводной таблице результатов испытаний это обозначалось знаком «?». Если нет, знаком «?». Аналогичным образом отмечались результаты, показанные брандмауэром, при сканировании и APR-атаке. Полученные результаты тестирования представлены в табл. 2.
Теперь несколько слов о ходе тестирования.
Первое замечание к Outpost Pro касается установленных по умолчанию правил обработки сетевого трафика. Используя правило «Разрешить исходящий DHCP», можно не передавать UDP-пакеты с произвольной информацией на определенные порты (67, 68, 546, 547 — довольно большой выбор, не правда ли?) произвольного удаленного хоста, что и подтверждает эксперимент с Yalta. Другое правило, «Allow PPTP control connection», позволяет установить соединение удаленным хостом по TCP-протоколу (порт 1723), что легко проверить обычным Telnet-клиентом. В обоих случаях брандмауэр беспрепятственно пропустил «сброс информации».
В компании Agnitum, признавая в опубликованном на сервере проекта документе OFPvsLeakTests.pdf уязвимость Outpost Pro 2.5 перед методикой скрытой передачи данных, продемонстрированной в тесте DNStester, трактуют ее как не стоящую внимания, поскольку практического применения в «троянских конях» или программах-шпионах она еще не получила. Учитывая опыт компании Agnitum, полученный при разработке и сопровождении утилиты Tauscan, можно признать этот аргумент весомым. Но только на данный период времени.
В связи с испытаниями Outpost Pro тестом Wallbreaker хочу отметить следующее: если браузер MS Internet Explorer был запущен заранее, то все четыре теста, входящие в Wallbreaker, успешно нарушают защиту брандмауэра. Если же браузер не был загружен ранее, то брандмауэр определяет три попытки проникновения из четырех. Не замеченным для Outpost Pro проходит второй тест, о котором в описании сказано, что в нем вызывается Internet Explorer способом, не определяемым брандмауэрами (секретное ноу-хау автора). При счете пять пропущенных тестов против трех задержанных нельзя сказать, что Outpost Pro успешно защищается от Wallbreaker.
Вспомнив о младших версиях брандмауэров компании Agnitum (Outpost Pro 2.1, Outpost Free), отмечу, что их тестирование показывает еще более удручающие результаты.
Способов обхода фильтрации брандмауэром интерактивных элементов немало, и со временем их количество увеличивается. Поскольку эта тематика узкоспецифична, заинтересовавшимся читателям советую ознакомиться со статьей «Bypassing content filtering whitepaper» специалиста в области безопасности 3APA3A, опубликованной на сайте SECURITY.NNOV. Другим же предложу проверить свой брандмауэр (предварительно установив запрет на исполнение интерактивных элементов) набором тестов, любезно предоставленным тем же специалистом в работе «Обход средств защиты клиентских приложений», опубликованной на том же ресурсе. Для Outpost 2.5 статистика следующая: задержано два активных элемента, пропущено девять.
И возможно, повторюсь: защита должна быть комплексной.
Продолжая играть роль адвоката дьявола, упомяну еще об одном именитом новичке, появившемся на сцене осенью 2004 г., — Windows XP Firewall (SP2). Выступая оппонентом многочисленным специалистам и пользователям, поспешившим заявить о «революционном уровне защищенности Windows XP систем», отмечу, что ничего этого нет и в помине. Windows XP Firewall способен обеспечить лишь одностороннюю (!) фильтрацию сетевых соединений. Проверяются лишь входящие соединения, а исходящие ничем не ограничиваются. Помимо этого Windows XP Firewall уязвим для атаки вида «APR cache poisoning» и не фильтрует веб-трафик.
Завершая статью, хотел бы отметить, что ни одна защита не бывает совершенной. Приведенные примеры — тому подтверждение. Лучше заранее признать возможное существование уязвимости защиты, первому выявить ее слабости и работать, исправляя недостатки, чем ждать, пока кто-либо использует их в своих целях.
FireHole
Запустив браузер, тест внедряет в его адресное пространство свою dll-библиотеку. Далее команды из нее, действуя на правах доверенного процесса (аксиома психологии интернетчика — первой программой, допущенной пользователем к Интернету, будет браузер), получают доступ к Сети. Вот один из первых тестов проницаемости, продемонстрировавших этот прием.
Surfer
WB — сокращение от wall breaker. Программа включает четыре теста, различным образом эксплуатирующие MS Internet Explorer. Например, вдруг брандмауэр запутается, если WB запустит консоль командной строки, та — проводник, а проводник — браузер.
Ghost
Тест, запустив доверенную программу (браузер), перезагружает себя, меняя идентификатор процесса. Затем передает данные. Удивительно, но такого несложного трюка манипуляции процессами иногда хватает для обхода логики работы брандмауэра.
Передаваемые данные (текстовая строка) запрашиваются у пользователя. При успешном прохождении теста строка публикуется на сайте проекта.
AWFT (Atelier Web Firewall Tester)
Программа условно-бесплатная, ограничение — десять запусков. Стоимость одной лицензии 19,95 долл.
AWFT содержит серию из шести тестов, демонстрирующих различные методики неавторизованного доступа в сеть, минуя защиту брандмауэра. За каждый успешно пройденный тест (доступ в сеть получен не был) брандмауэру начисляется некоторое количество баллов. Если тест не пройден, баллы начисляются в пользу AWFT. Максимальное количество баллов — десять.
DNStester
Отмечу, что ограничение передаваемой информации, установленное в тесте (версия 1.2) равным 30 символам, искусственное. И сделано лишь затем, чтобы не перегружать DNS-сервер проекта. В действительности иллюстрируемым в тесте способом можно передавать более значительные массивы данных.
pcAudit
Передает на сервер разработчиков фотографию рабочего стола тестируемого компьютера, список файлов из папки «Мои документы», имя пользователя и текст, набранный в окне браузера. В качестве подтверждения успешности теста эти данные можно увидеть на сайте проекта. Получившаяся иллюстрация весьма наглядна. Пытаясь получить доступ в Интернет, pcAudit последовательно поражает различные процессы. Довольно забавно видеть, как драйвер клавиатуры, графический редактор Paint или блокнот Notepad пытаются устанавливать сетевые соединения.
Упоминаемые в статье проекты и ресурсы
1 Исполнительные файлы тестов следует получать с ресурсов разработчиков. В противном случае есть шанс встретиться с подделкой, не только демонстрирующей, но и использующей уязвимость защиты.
FIREWALLS
The mechanisms that used by the firewall to allow or block traffic can be simple packet filters, which make decisions based on the contents of the packet header, or stateful packet inspection which checks the state of all current connections, or more complex application proxies, which stand between the client and the outside world, acting as a middleman for some network services
CopyCat
CopyCat в корневом каталоге диска «C» создает файл exploited. txt, в который записывает содержимое документа, запрошенного в диалоге с посетителем Интернета. Следует обратить внимание, что Internet Explorer, получив документ по вызову CopyCat, сразу записывает его в свой кэш. При последующих тестах документ извлекается уже из кэша, а не из Интернета. Следовательно, для чистоты эксперимента перед тестом надо либо очищать кэш браузера, либо при каждом тесте запрашивать новые документы.
CopyCat демонстрирует следующий интересный прием: если брандмауэр настроен на полное блокирование сетевой активности, то, запустившись, тест поражает выбранный процесс. Затем ожидает, когда блокировка будет снята. Когда путь в Интернет свободен, тест выполняет свое задание. Некоторые брандмауэры способны лишь временно блокировать тест.
LeakTest
Патриарх тестов проницаемости. Сейчас он далеко не так эффективен, как пару лет назад, и на данный момент представляет скорее исторический интерес. Но в свое время он доказал несостоятельность многих персональных брандмауэров, применяя тривиальную подмену имени файла-теста на имя «доверенной программы».
Похожие темы научных работ по компьютерным и информационным наукам , автор научной работы — Ф. О. Мохаммед
Yalta
Незатейливо пытается передать UDP-пакет на произвольный порт произвольного хоста, указанные пользователем.
На тестируемой платформе под управлением MS Windows 2000 SP4 в Yalta был возможен только Classical Leak Test. А Enhanced Leak Test, демонстрирующий работу с сетью в обход стандартного TCP/IP-стека протоколов, был недоступен. Экспериментировать с ним можно на компьютерах с Windows 9x/Me.
Читайте также: