Этот документ содержит обзорпроблем, связанных с безопасностьюв Интернете. Он также краткоописывает все компонентыбрандмауэра и основные причины,приводящие к необходимостииспользовать брандмауэры.Описывается несколько типовполитик сетевого доступа итехническая реализация этихполитик. В конце документ содержитбиблиографию по данной теме.
Целью этого документа являетсяпомощь пользователям понятьприроду проблем, связанных сбезопасностью в Интернете, и то,какие типы брандмауэров могутрешить эти проблемы. Пользователимогут использовать этот документкак руководство при проектированииили приобретении брандмауэра.
Интернет - это объединение вмасштабе всей планеты группы сетей,которое использует единый протоколдля передачи данных. Большое числоорганизаций сейчас присоединяютсяк Интернету для того, чтобывоспользоваться преимуществами иресурсами Интернета. Бизнесмены игосударственные организациииспользуют Интернет в самыхразличных целях - включая обменэлектронной почтой,распространение информации средизаинтересованных лиц и проведениеисследований. Многие организациисегодня присоединяют существующиелокальные сети к Интернету , чтобырабочие станции этих ЛВС моглиполучить прямой доступ к сервисамИнтернета.
Присоединение к Интернету можетдать огромные преимущества, хотяпри этом нужно серьезно учестьвопросы, связанные с безопасностьюсоединения. Существуют достаточносерьезные риски безопасности,связанные с Интернетом, которыезачастую являются неочевидными дляпользователей-новичков. Вчастности, в мире наблюдаетсядеятельность злоумышленников, приэтом имеется много уязвимых мест,которые могут ее облегчить.Действия злоумышленников труднопредсказать и порой ее бываеттрудно обнаружить и прекратить.Многие организации уже потерялимного времени и понеслизначительные финансовые потерииз-за деятельностизлоумышленников; некоторыморганизациям был нанесен урон ихрепутации, когда стало известно опроникновениях в их сети.
Эта публикация будетрассматривать вопросы, связанные сбезопасностью, которые нужноучесть как организациям,собирающимся присоединиться кИнтернету , так и организациям, ужеприсоединенным к Интернету. Вчастности, это документ подробнорассматривает брандмауэры дляИнтернета, как один из механизмов иметодов, используемых для защитывнутренних сетей от угроз,связанных с Интернетом. Этотдокумент рекомендует организациямиспользовать технологиюбрандмауэров и другие, связанные сними, средства, для фильтрациисоединений и управления доступом всети.
Цель этого документа - объяснить,как работают брандмауэры, и какиешаги необходимы для их реализации.Пользователи могут использоватьэто документ как помощь припроектировании или приобретениибрандмауэра.
В-основном, эта публикация длятехнических администраторов, тоесть для тех, кто может отвечать зареализацию или поддержаниесоединений с Интернетом. Она такжебудет полезна и для другогоруководящего состава, кто хочетузнать больше о безопасностисоединения с Интернетом.
Предполагается знание некоторыхоснов в областях компьютернойбезопасности и сетей передачиданных. Тем не менее, этот документявляется введением; болеедетальная информация обехопасности в Интернете ибрандмауэрах может быть найдена влитературе, указанной вбиблиографии.
Этот документ начинается с обзораИнтернета и его основных сервисов.Детально описываются проблемыбезопасности, связанные сИнтернетом, связанные с различнымисервисами TCP/IP, а также другиефакторы, которые приводят кнебезопасности работы в Интернете.Глава 2 описывает брандмауэры, ихпреимущества и недостатки, и послеэтого, различные компонентыбрандмауэра, включая средстваусиленной аутентификации иполитику сетевого доступа. Глава 3описывает различные конфигурациибрандмауэров, которыеиллюстрируют, как компонентыбрандмауэра соединяются друг сдругом, и могут быть использованыдля реализации различных политик.Глава 4 рассматривает вопросынадзора, административные вопросыи другие действия, которые должныпредпринять организации для защитысвоих систем, присоединенных кИнтернету. Приложение А содержитсписок литературы и другихисточников инфомации обрандмауэрах и безопасности вИнтернете. Приложение В содержитнабор часто задаваемых вопросов обрандмауэрах, который доступен врежиме online.
Интернетовские брандмауэры частоназываются в литературебезопасными Интернетовскимишлюзами. Этот документ используеттермин брандмауэр дляобозначения безопасногоИнтернетовского шлюза.
Брандмауэр, согласно данномудокументу, включает ряд элементов,таких как политика, внесениеизменений в структуру сети, а такжетехнические средства иорганизационные меры. Этотдокумент будет использовать терминсистема брандмауэра дляобозначения хостов илимаршрутизаторов, реализующихбрандмауэр.
Сеть, защищаемая брандмауэром,называется защищенной подсетьюили защищенной ЛВС.
Некоторые люди не могут понять,следует ли рассматривать протоколыTCP/IP как протоколы или как сервисы.Можно, например, доказывать, что TELNETявляется протоколом, сервисом иликомандой. Там, где это нужно, вдокументе используется терминпротокол, в остальных случаяхиспользуется термин сервис.
В этом документе прикладнымишлюзами называются ряд систембрандмауэров в противоположностьхостам-бастионам.
Насколько это возможно, этотдокумент избегает использованиятаких терминов, как хакер и кракер,и использует вместо этого менеетендециозные терминызлоумышленник и атакующий.
Интернет стал жизненнонеобходимой и постоянно растущейсетью, которая изменила образжизнедеятельности многих людей иорганизаций. Тем не менее, из-заИнтернета возникло много серьезныхпроблем с безопасностью. Многиеорганизации были атакованы илизондированы злоумышленниками(Злоумышленники часто проверяютсети организаций на возможностьпроникновения в них путемметодического сканирования системв них на наличие уязвимых мест.Злоумышленники часто используютсредства автоматическогозондирования, то есть программы,которые сканируют все хосты,присоединенные к сети организации.Эта деятельность называется иногдазондирование сети организации ) чтопривело к большим потерям вовремени и ущербу репутации. Внекоторых случаях, организациивынуждены были временноотсоединиться от Интернета, ипотратить значительные средствадля решения возникших проблем сконфигурацией хостов и сети. Сетиорганизаций, которые неосведомленыили игнорируют эти проблемы,подвергают себя большому рискубыть атакованными сетевымизлоумышленниками. Даже теорганизации, в которыхбезопасности уделяется внимание,могут подвергаться риску из-запоявления новых уязвимых мест всетевом программном обеспеченииили упорства некоторыхзлоумышленников.
Данное положение дел сложилось поряду причин. Одной из основныхпричин может быть то, что приразработке Интернет требованиябезопасности не учитывались, таккак гланым требованием приреализации Интернета былотребование удобства при обменеинформацией при проведении научныхисследований. Тем не менее,феноменальный успех Интернета всочетании с появлением большогочисла категорий пользователей ,включая пользователей , у которыхотсутствует понятие этики,усугубило существующие недостаткив обеспечении безопасности дотакой степени, что сети, открытыедля доступа со стороны Интернета,стали подвергаться рискупроникновений в них и нанесения имразрушений. Другими причинамиявляются следуюшие:
К счастью, существуют простые инадежные решения, которые могутбыть использованы для улучшениябезопасности сети организации.Система брандмауэра является однимиз способов, который доказал своювысокую эффективность приповышении общей безопасности сети.Система брандмауэра - это наборсистем и маршрутизаторов,добавленных в сеть в местах еесоединения с Интернетом и политикидоступа, определяющей правила ихработы. Брандмауэр заставляет всесетевые соединения проходить черезшлюз, где они могут бытьпроанализированы и оценены с точкизрения безопасности, ипредоставляет другие средства,такие как меры усиленнойаутентификации вместо паролей.Кроме того, брандмауэр можетограничить доступ к тем или инымсистемам или доступ к Интернету отних, блокировать определенныесервсиы TCP/IP, или обеспечить другиемеры безопасности. Хорошосконфигурированная системабрандмауэра может выполнять рольпресс-службы организации и помочьсформировать у пользователейИнтернета хорошее впечатление оборганизации.
Самой простой политикой сетевогодоступа, которая может бытьреализована с помощью брандмауэра,является предоставление доступа отвнутренних к внешним системам изапрет, полный или частичный,доступа от внешних к внутреннимсистемам. Но использованиебрандмауэра не должно позволятьадминистраторам забыть онеобходимости обеспечениябезопасности отдельных систем.Существует большое число средствдля системных администраторов,позволяющих повысить безопасностьсистем и обеспечить улучшыенныевозможности по протоколированию.Такие средства могут проверятьпароли, журналы с информацией осоединениях, обнаруживатьизменения системных файлов илиобеспечивать другие мерыбезопасности, которые помогутадминистраторам обнаружитьдеятельность злоумышленников ипроникновения в их системы.
Мы рекомендуем организациямперед присоединением к Интернетуразработать политику, которая быясно указывала, какие сервисыИнтернета будут использоваться, икак они будут использоваться. Этаполитика должна быть простой,четкой и понятной, со встроеннымимеханизмами по ее изменению.Организации должны рассмотретьвозможность использования систембрандмауэров как часть плана пореализации этой политики. (Образецтакой политики приведен вприложении). Также рекомендуетсяиспользовать меры усиленнойаутентификации: смарткарты илидругие механизмы одноразовыхпаролей как составную частьбрандмауэров при аутентификациисоединений с системами сети.