Профили защиты межсетевых экранов фстэк
В прошлый раз мы рассмотрели требования ФСТЭК РФ к персональным файрволам — межсетевым экранам уровня узла (тип «В»), устанавливаемым на рабочих станциях защищаемой сети. Продолжим разговор и рассмотрим требования к решениям для защиты веб-серверов
Напомним, что межсетевой экран уровня веб-сервера (тип «Г») может применяться на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.
возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности информации: сетевой протокол, который используется для взаимодействия; атрибуты, указывающие на фрагментацию пакетов; транспортный протокол, который используется для взаимодействия, порты источника и получателя в рамках сеанса (сессии); разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код…
Требования к межсетевым экранам типа Г выложены здесь. Поскольку для типа Г, как уже говорилось, класс 4 максимальный, то рассмотрим именно его.
МЭ должен обеспечивать нейтрализацию следующих угроз безопасности информации:
-
несанкционированный доступ к информации веб-сервера в результате установления сетевых соединений веб-сервером, не предусмотренных технологией обработки информации;
возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности информации: сетевой протокол, который используется для взаимодействия;
атрибуты, указывающие на фрагментацию пакетов; транспортный протокол, который используется для взаимодействия, порты источника и получателя в рамках сеанса (сессии); разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код…
В МЭ должны быть реализованы следующие функции безопасности:
- контроль и фильтрация;
- идентификация и аутентификация;
- регистрация событий безопасности (аудит);
- обеспечение бесперебойного функционирования и восстановление;
- тестирование и контроль целостности;
- управление (администрирование);
- взаимодействие с другими средствами защиты информации.
МЭ типа Г четвертого класса должен обеспечивать:
-
возможность осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций передачи контролируемой МЭ информации к веб-серверу и от веб-сервера. возможность обеспечить, чтобы в межсетевом экране фильтрация распространялась на все операции перемещения через МЭ информации к веб-серверу и от веб-сервера. Интересный пункт. Судя по определению требования касаются МЭ, предназначенного для защиты конкретно веб-сервера и дополнительного к основному МЭ. Если так, а по определению «межсетевые экраны типа «Г» должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста» — то зачем это и иные истекающие из этого положения в Профиле? Не логично слить эти пункты или отредактировать назначение МЭ?;
Интересно сравнить разнице требований между четвертым и шестым классами:
- сигналы о нарушении безопасности появляются в 5м классе. Продукт без уведомлений о нарушениях смотрится странно;
- выборочный просмотр данных аудита также появляется в пятом классе. Пользователям такого продукта предлагается искать нужное в тоннах записей вручную?
- в пятом классе появляется требование о виртуализации;
- базовая конфиденциальность обмена данными (FDP_UCT.1) должна быть только в 4м классе, как и возможность взаимодействовать с иными системами защиты (базовая согласованность данных функциональных возможностей безопасности между функциональными возможностями безопасности — FPT_TDC.1) и требования о наличии доверенных каналов и маршрута передачи (FPT_ITC.1 и FPT_TRP.1) — каналов связи с веб-сервером и удаленным пользователем соответственно. FDP_UCT.1 включает в себя требование о возможности блокирования неразрешенного информационного потока по протоколу передачи гипертекста одним или несколькими способами. Это не нужно для 5го и 6го классов? Просьбы пользователей о проверке данных передаваемых на веб-сервер и с него встречаются постоянно, как и требование о наличии защищенных о перехвата злоумышленниками каналов передачи данных. Странно, что эти требования отсутствуют для 5го и 6го классов;
Также требования к МЭ присутствуют в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Напомним, что согласно этому документу в МЭ должны применяться антивирусная защита, защита от спама и систему обнаружения (предотвращения) вторжений. МЭ должен поддерживать кластеризацию. В свою очередь средства защиты от вторжений должны иметь возможность анализа трафика, обновления правил и централизованного управления. Правила должны иметь возможность редактирования.
Благодарю всех пользователей (особенно imbasoft), высказавших ценные замечания по предыдущей статье
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, 12 сентября 2016 г. ФСТЭК России утверждены методические документы, содержащие профили защиты межсетевых экранов.
Указанные документы содержат детализацию требований, предъявляемых к функциям безопасности межсетевых экранов, а также взаимосвязи этих требований и предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации при проведении ими работ по сертификации межсетевых экранов на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.
Спецификация профилей защиты межсетевых экранов для каждого типа межсетевого экрана и класса защиты межсетевого экрана приведена в таблице.
Тип межсетевого экрана
Межсетевой экран типа "А"
Межсетевой экран типа "Б"
Межсетевой экран типа "В"
Межсетевой экран типа "Г"
Межсетевой экран типа "Д"
Идентификаторы профилей защиты приводятся в формате ИТ.МЭ."тип""класс".ПЗ, где обозначение "тип" может принимать значение "А", которое определяет, что межсетевой экран относится к межсетевому экрану типа "А", значение "Б", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Б", значение "В", которое определяет, что межсетевой экран относится к межсетевому экрану типа "В", значение "Г", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Г", значение "Д", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Д", а обозначение "класс" может принимать значения от 1 до 6, соответствующие классу защиты межсетевого экрана.
В соответствии с подпунктом 13.1 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, 12 сентября 2016 г. ФСТЭК России утверждены методические документы, содержащие профили защиты межсетевых экранов.
Указанные документы содержат детализацию требований, предъявляемых к функциям безопасности межсетевых экранов, а также взаимосвязи этих требований и предназначены для организаций, осуществляющих в соответствии с законодательством Российской Федерации работы по созданию средств защиты информации, заявителей на осуществление сертификации продукции, а также для испытательных лабораторий и органов по сертификации, выполняющих работы по сертификации средств защиты информации на соответствие обязательным требованиям по безопасности информации при проведении ими работ по сертификации межсетевых экранов на соответствие Требованиям к межсетевым экранам, утвержденным приказом ФСТЭК России от 9 февраля 2016 г. N 9.
Спецификация профилей защиты межсетевых экранов для каждого типа межсетевого экрана и класса защиты межсетевого экрана приведена в таблице.
Тип межсетевого экрана
Межсетевой экран типа "А"
Межсетевой экран типа "Б"
Межсетевой экран типа "В"
Межсетевой экран типа "Г"
Межсетевой экран типа "Д"
Идентификаторы профилей защиты приводятся в формате ИТ.МЭ."тип""класс".ПЗ, где обозначение "тип" может принимать значение "А", которое определяет, что межсетевой экран относится к межсетевому экрану типа "А", значение "Б", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Б", значение "В", которое определяет, что межсетевой экран относится к межсетевому экрану типа "В", значение "Г", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Г", значение "Д", которое определяет, что межсетевой экран относится к межсетевому экрану типа "Д", а обозначение "класс" может принимать значения от 1 до 6, соответствующие классу защиты межсетевого экрана.
В составе межсетевого экрана нового поколения UserGate применяется система обнаружения вторжений (СОВ) собственной разработки, созданная внутри компании без использования открытого кода. Сигнатуры системы обнаружения вторжений разрабатываются и верифицируются собственной командой аналитиков центра мониторинга и реагирования UserGate.
Введение
С каждым годом атаки на инфраструктуры компаний становятся всё более изощрёнными и поэтому классические межсетевые экраны оказываются недостаточно эффективной защитой, поскольку опираются на набор статических правил и просто ограничивают трафик между устройствами или сегментами сети, не отправляя уведомлений. Возникает потребность в использовании систем обнаружения вторжений.
Система обнаружения вторжений выявляет факты неавторизованного доступа в инфраструктуру: детектирует проникновение в сеть, распознаёт вредоносную активность и формирует оповещение о нарушении безопасности.
Сегодня речь пойдёт о системе обнаружения и предотвращения вторжений в составе межсетевых экранов нового поколения UserGate, которая разработана без использования открытого кода. Все применяемые в ней сигнатуры создаются и верифицируются центром мониторинга и реагирования UserGate.
Выводы
Система обнаружения вторжений в межсетевых экранах UserGate позволяет обезопасить корпоративную сеть от всевозможных сетевых атак.
Немаловажным фактором является то, что система обнаружения вторжений UserGate — это собственная разработка компании без использования открытого кода. Кроме того, все применяемые сигнатуры разрабатываются и верифицируются собственной командой аналитиков центра мониторинга и реагирования UserGate (уже разработано более 6000 сигнатур), а при создании правил используются данные от различных центров реагирования на компьютерные инциденты, включая ФинЦЕРТ и НКЦКИ.
Отличительной особенностью NGFW UserGate помимо широких функциональных возможностей являются встроенные механизмы интеграции с другими инструментами безопасности от этого же разработчика, в частности — с UserGate Management Center и UserGate Log Analyzer. Это позволяет организовать интегрированную систему защиты, обладающую единой системой управления. Также очень важно то, что продукт выпускается как в виде готовых аппаратно-программных комплексов, так и в виде виртуального устройства (что очень актуально с ростом популярности виртуализации).
Итак, произошло долгожданное событие и ФСТЭК РФ в дополнение к ранее выпущенным Профилям антивирусной защиты выпустил (точнее выложил на сайте) и требования к межсетевым экранам. В том числе программным для установки на рабочие станции. К сожалению выложены не все документы — традиционно выложены Профили четвертого, пятого и шестого класса защиты. Остальные классы защиты описываются в документах с грифом ДСП и широкой публике недоступны.
-
межсетевой экран уровня сети (тип «А») – межсетевой экран, применяемый на физической границе (периметре) информационной системы или между физическими границами сегментов информационной системы. Межсетевые экраны типа «А» могут иметь только программно-техническое исполнение;
Межсетевые экраны, соответствующие 6 классу защиты, применяются в государственных информационных системах 3 и 4 классов защищенности*, в автоматизированных системах управления производственными и технологическими процессами 3 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 3 и 4 уровней защищенности персональных данных***.
Межсетевые экраны, соответствующие 5 классу защиты, применяются в государственных информационных системах 2 класса защищенности*, в автоматизированных системах управления производственными и технологическими процессами 2 класса защищенности***, в информационных системах персональных данных при необходимости обеспечения 2 уровня защищенности персональных данных**
Межсетевые экраны, соответствующие 4 классу защиты, применяются в государственных информационных системах 1 класса защищенности*, в авто матизированных системах управления производственными и технологическими процессами 1 класса защищенности**, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищенности персональных данных***, в информационных системах общего пользования II класса****.
Межсетевые экраны, соответствующие 3, 2 и 1 классам защиты, применяются в информационных системах, в которых обрабатывается информация, содержащая сведения, составляющие государственную тайну.
* Устанавливается в соответствии с Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 г. No17.
** Устанавливается в соответствии с Требованиями к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды, утвержденными приказом ФСТЭК России от 14 марта 2014 г. No 31.
*** Устанавливается в соответствии Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными постановлением Правительства Российской Федерации от 1 ноября 2012г., No 1119.
**** Устанавливается в соответствии с Требованиями о защите информации, содержащейся в информационных системах общего пользования, утвержденными приказом ФСБ России и ФСТЭК России от 31августа 2010 г. No 416/489.
Можно предсказать, что как в случае с антивирусами сертифицированных продуктов для классов защиты ниже четвертого не будет. Поэтому рассмотрим Профиль защиты для четвертого класса защиты. Нужно сказать, что требования для всех типов достаточно похожи, поэтому для примера требований возьмем Профиль типа В (если будет интерес, можно будет добавить отличия для иных типов). Данный профиль доступен здесь
Что есть межсетевой экран согласно Профилю?
программное средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков.
Согласно Профилю МЭ должен противодействовать следующим угроза безопасности информации:
-
несанкционированный доступ к информации, содержащейся в информационной системе в связи с наличием неконтролируемых сетевых подключений к информационной системе;
- контроль и фильтрация;
- идентификация и аутентификация;
- регистрация событий безопасности (аудит);
- обеспечение бесперебойного функционирования и восстановление;
- тестирование и контроль целостности;
- управление (администрирование);
- взаимодействие с другими средствами защиты информации — сертифицированными на соответствие требованиям безопасности информации по соответствующему классу защиты.
-
МЭ должен «осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций перемещения контролируемой МЭ информации к узлам информационной системы и от них». При этом фильтрация должна распространяться «на все операции перемещения через МЭ информации к узлам информационной системы и от них». Если первая часть требований вполне логична, то вторая утопична, так как требует раскрытия файрволом всех протоколов и любых недокументированных возможностей перемещения информации (например передачи информации вредоносными программами через DNS).
Интересно, что в разделе FW_ARP_EXT.2 уточняется, что МЭ должен иметь возможность по блокированию неразрешенного информационного потока по протоколу передачи гипертекста — о иных протоколах нет указаний. Должен ли МЭ блокировать передачу информации по ним? Кстати вполне возможно, что данный пункт попал в документ из Профиля типа Г — там достаточно много внимания уделяется именно этому протоколу;
К сожалению в открытую часть не попали схемы, указывающие, где должен располагаться сертифицированный МЭ типа В. Но даже из списка функционала видно, что защита домашних машин пользователей, мобильных пользователей, а также защита мобильных устройств ФСТЭК'ом на данный момент не рассматривается.
В связи с тем, что МЭ, предназначенные для защиты рабочих станций и попадающие под тип В часто имеют функционал защиты от вторжений, интересно иметь требования и к этому функционалу. В рассмотренных Профилях таких требований нет, но они есть в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Согласно данному документу МЭ:
-
антивирусная защита и защита от спама должны применяться на средствах межсетевого экранирования (требования АВЗ.1 и ОЦЛ.4);
Итого, что мы имеем? На первый взгляд базовая функциональность персонального файрвола описана. Но:
-
Несмотря на то, что данный тип МЭ должен применяться в составе информационной системы — требований по централизованному управлению нет. Требуется только обеспечить доверенный канал управления в составе среды функционирования. Напомним, что в профилях антивирусных решений есть отдельные профили для централизованно управляемых решений и для отдельно стоящих;
источник картинки
И тут потребителей ожидает засада. До выхода Профилей для защиты рабочих станций можно было использовать сертифицированный антивирус, в составе которого шел файрвол — как компонент антивируса тоже сертифицированный. Теперь так нельзя. Получается или производителям антивируса платить еще одну стоимость сертификации (и отбивать ее конечно) — а дальнейшем возможно и еще одну за СОВ или пользователям покупать три отдельных продукта — и тем самым требовать от руководства увеличения бюджета. Возможности для производителей антивирусов расширить сертификат не предусмотрено, а значит вариантов не так много:
- закладывать в бюджет средства и на сертифицированный антивирус и на сертифицированный МЭ;
- продлить ранее купленный сертифицированный антивирус на много лет вперед, так как ранее закупленные МЭ могут продолжать использоваться;
- надеяться, что ФСТЭК одумается.
До 1 декабря осталось немного, интересно, кто успеет провести сертификацию
Основные функциональные возможности системы обнаружения вторжений в межсетевых экранах UserGate
UserGate обеспечивает защиту информационной инфраструктуры, выявляя во входящем и исходящем трафике признаки использования уязвимостей или осуществления вредоносной активности. Так, например, распознаются признаки протоколов бот-сетей, сигнатуры вредоносных программ, а также действия пользователей, противоречащие корпоративной политике компании (например, использование торрентов).
Эвристические алгоритмы позволяют выявить новые или изменённые способы атак, повышая уровень защищённости.
В UserGate реализовано два основных режима работы: IDS и IPS. В режиме IPS UserGate обнаруживает атаки и блокирует нежелательный сетевой трафик (обрывает соединение). В режиме IDS продукт работает пассивно — осуществляет мониторинг и в случае атаки оповещает специалистов по информационной безопасности.
С точки зрения интеграции в инфраструктуру UserGate может работать с зеркальным трафиком со SPAN-порта коммутатора, а также с транзитным трафиком в режиме «L3» или «L2 / L3 bridge».
Рисунок 1. Работа с зеркальным трафиком со SPAN-порта коммутатора
Рисунок 2. Работа с транзитным трафиком в режиме «L3» или «L2 / L3 bridge»
В модуле обнаружения вторжений межсетевого экрана UserGate можно создавать различные профили, состоящие из наборов сигнатур для защиты конкретных сервисов, а также задавать политики обнаружения, определяющие действия для выбранного типа трафика (IP, ICMP, TCP, UDP), который будет проверяться UserGate в соответствии с назначенными профилями.
База данных правил и сигнатур предоставляется и обновляется разработчиками UserGate при наличии соответствующей лицензии.
Принцип конфигурации системы обнаружения вторжений в UserGate — следующий: сначала создаётся профиль, а затем в него добавляются необходимые сигнатуры.
Рисунок 3. Панель управления системой обнаружения вторжений в UserGate
Количество создаваемых профилей неограниченно и зависит от количества сервисов, которые необходимо защищать. Однако рекомендуется ограничивать количество сигнатур в профиле только теми, которые необходимы для защиты сервиса. Например, для защиты сервиса работающего по протоколу TCP не стоит добавлять сигнатуры специфичные для протокола UDP.
При добавлении сигнатур в профиль можно использовать фильтры, например выбрать только сигнатуры, которые имеют очень высокий риск, протокол — TCP, категория — «botcc» (трафик, направленный к известным IP-адресам ботнетов), класс — «все».
Правила определяют трафик, к которому применяется профиль системы обнаружения вторжений, и действие, которое модуль должен предпринять при срабатывании сигнатуры.
Правила применяются сверху вниз в том порядке, в котором они указаны в консоли. Выполняется всегда только первое правило, для которого совпали указанные в нём условия. Это значит, что более точные по параметрам правила должны быть выше в списке, чем более общие.
Рисунок 4. Профили системы обнаружения вторжений в UserGate
В журнале системы обнаружения вторжений можно посмотреть, какие сигнатуры сработали. В каждой записи есть информация об узле, на котором произошёл инцидент, время, действие, сигнатура, номер уязвимости по базе CVE и другие данные.
Рисунок 5. Журнал системы обнаружения вторжений в UserGate
Отображение столбцов можно индивидуализировать в зависимости от того, какая информация требуется. Кроме того, записи журнала могут быть отфильтрованы по различным критериям. Предусмотрена и возможность экспорта в CSV-файл для дальнейшего исследования инцидентов. Также можно ознакомиться с подробным описанием каждого события.
Рисунок 6. Подробное описание события в системе обнаружения вторжений в UserGate
Кроме того, UserGate сертифицирован по требованиям безопасности информации и имеет сертификат ФСТЭК России № 3905, который подтверждает соответствие:
- требованиям по безопасности информации, устанавливающим уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий (ФСТЭК России, 2018) — по 4-му уровню доверия;
- требованиям к межсетевым экранам (ФСТЭК России, 2016);
- профилю защиты межсетевых экранов типа А четвёртого класса защиты ИТ.МЭ.А4.ПЗ (ФСТЭК России, 2016);
- профилю защиты межсетевых экранов типа Б четвёртого класса защиты ИТ.МЭ.Б4.ПЗ (ФСТЭК России, 2016);
- требованиям к системам обнаружения вторжений (ФСТЭК России, 2011);
- профилю защиты систем обнаружения вторжений уровня сети четвёртого класса защиты ИТ.СОВ.С4.ПЗ (ФСТЭК России, 2012).
Наличие сертификата ФСТЭК России позволяет использовать межсетевой экран нового поколения для защиты автоматизированных систем до класса защищённости 1Г, значимых объектов КИИ первой категории значимости, в информационных системах персональных данных первого уровня защищённости и государственных информационных системах первого класса защищённости, автоматизированных систем управления технологическими процессами первого класса защищённости и в информационных системах общего пользования второго класса.
Центр мониторинга и реагирования UserGate
Центр мониторинга и реагирования UserGate — это группа аналитиков по информационной безопасности, которая занимается исследованием сетевых угроз. Сотрудники центра регулярно ведут мониторинг появления новых угроз и анализируют техники проникновения злоумышленников в корпоративные сети.
Аналитики центра изучают множество потоков данных:
- от всевозможных платных подписок;
- из публичных и собственных «ловушек» (honeypots);
- о появлении новых вредоносных программ;
- о появлении новых записей в российских и международных базах уязвимостей;
- от технологических партнёров;
- от исследователей информационной безопасности.
Аккумулируя опыт, собранный как по результатам расследований инцидентов, так и при изучении внешних материалов, аналитики разрабатывают новые сигнатуры хакерских атак и обновляют существующие.
Центр создаёт свои сигнатуры на основе образцов вредоносного трафика, публичных демонстраций (proof-of-concept) уязвимостей, информации от различных центров реагирования на компьютерные инциденты, анализа собираемых индикаторов компрометации.
В случае необходимости специалисты центра готовы подключиться к решению задач на площадке клиента.
Читайте также: