Компьютерная безопасность. Криптографические методы защиты - Петров А.А.
ISBN 5-89818-064-8
Скачать (прямая ссылка):
Если же говорить о том, какие удаленные атаки способен отразить брандмауэр, необходимо выделить следующие:
• противоправный анализ сетевого трафика. Очевидно, что только брандмауэр с реализованными функциями шифрования трафика молсет противостоять данным атакам;
• подмена одной из сторон информационного обмена. МЭ в данном случае не помощник;
• внедрение ложного объекта распределенной системы. В этом случае МЭ показывает неоднозначные результаты, поскольку внедрение ложного ARP-сервера он сможет предотвратить, как, впрочем, и навязывание лоленого маршрута при помощи ICMP-протокола, однако внедрение ложного DNS-сервера он предотвратить не в состоянии;
• отказ в обслуживании. Вмешательство МЭ во время этой атаки только ухудшит ситуацию, так как нарушитель выведет из строя МЭ
Применение межсетевых экранов
329
и все рабочие станции защищаемой сети будут отрезаны от внешнего мира.
В заключение следует отметить, что МЭ является рабочей станцией с установленной ОС, например FreeBSD, у которой определенным образом переделано ядро, поэтому очевидно, что он будет наследовать все уязвимости, присущие данной ОС, и большинство атак для этой системы будут применимы и для брандмауэра.
3.6.8. Применение криптографии в межсетевых экранах на примере Checkpoint Firewall-1
Межсетевой экран FireWall-1 - это программный продукт компании Checkpoint Software Technologies (распространяемый также некоторыми другими компаниями, например SunSoft), обеспечивающий комплексное решение технических проблем информационной безопасности в intranet. Fire WaIl-I предоставляет следующие возможности:
• межсетевое экранирование;
• поддержку виртуальных частных сетей;
• защиту коммуникаций между сервером и удаленным клиентом.
FireWall-1 - это проверенный продукт, завоевавший около 40% рынка межсетевых экранов, удостоенный многочисленных наград компьютерных изданий и независимых центров тестирования. В основе идеи создания FireWaIl-I - новаторская технология многоуровневой фильтрации с формированием и анализом состояния сетевых соединений, предоставляющая надежную защиту для всех без исключения сетевых протоколов в сочетании с высокой эффективностью и полной прозрачностью для легальных пользователей. Эта технология дополнена средствами централизованного администрирования (конфигурации, анализа и аудита) защитных механизмов, а также логически замкнутым набором криптографических средств.
Только FireWaIl-I позволяет организации создать единую интегрированную политику безопасности, которая распространялась бы на множество межсетевых экранов и управлялась бы с любой выбранной для этого точки сети предприятия. Продует имеет и массу дополнительных возможностей, таких как управление списками доступа аппаратных маршрутизаторов, балансировка сетевой нагрузки на серверы, а также элементы для построения систем повышенной надежности, которые тоже полностью интегрируются в глобальную политику безопасности. Работа CheckPoint FireWaIl-I открыта для пользователей и обеспечивает рекордную производительность практически для любого IP-протокола и высокоскоростной технологии передачи данных.
330 Компьютерная безопасность и практическое применение криптографии
FireWaIl-I обеспечивает максимальный уровень безопасности, его высокоэффективные характеристики основываются на технологии инспекции пакетов с учетом состояния протокола. На сегодняшний день это самый передовой метод контроля сетевого трафика, разработанный и запатентованный компанией Checkpoint. Данный метод обеспечивает сбор информации из пакетов данных как коммуникационного, так и прикладного уровня, что достигается сохранением и накоплением ее в специальных контекстных таблицах, которые динамически обновляются. Такой подход обеспечивает полный контроль даже за уровнем приложения без необходимости введения отдельного приложения-посредника (proxy) для каждого защищаемого сетевого сервиса.
Набор продуктов, называемых Checkpoint открытой платформой безопасного взаимодействия предприятий (OPSEC - Open Platform for Secure Enterprise Connectivity), основывается на концепции объединения технологий защиты информации вокруг единого средства представления информационной безопасности предприятия.
Checkpoint FireWaIl-I состоит из двух основных модулей:
• модуль управления, который включает графический интерфейс пользователя и собственно компоненты управления. Графический интерфейс позволяет работать с базами данных Checkpoint FireWall-1: базой правил, сетевыми объектами, услугами, пользователями и т.д.;
• экранирующий модуль FireWall-1, установленный на всех компонентах корпоративной сети, производящих фильтрацию сетевых потоков данных. Это могут быть серверы с одним сетевым интерфейсом (тогда модуль защищает только данный сервер) или шлюзы с несколькими интерфейсами (тогда модуль экранирует подсеть). Экранирующий модуль решает три основные задачи:
- фильтрацию сетевого трафика;
- протоколирование информации и возбуждение сигналов тревоги;
- шифрование/дешифрование информации.
