Какие инструменты для повышения безопасности паролей рекомендуется использовать межсетевые экраны

Обновлено: 04.07.2024

Правильные ответы выделены зелёным цветом.
Все ответы: В курс включены сведения, необходимые всем специалистам в области информационной безопасности.

Меры информационной безопасности направлены на защиту от:

В качестве аутентификатора в сетевой среде могут использоваться:

Протоколирование само по себе не может обеспечить неотказуемость, потому что:

(1) регистрационная информация, как правило, имеет низкоуровневый характер, а неотказуемость относится к действиям прикладного уровня

(2) регистрационная информация имеет специфический формат, непонятный человеку

(3) регистрационная информация имеет слишком большой объем

(1) его эффективность не удовлетворяет наложенным ограничениям

Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:

Уголовный кодекс РФ не предусматривает наказания за:

(1) создание, использование и распространение вредоносных программ

(2) ведение личной корреспонденции на производственной технической базе

(3) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Уровень безопасности A, согласно "Оранжевой книге", характеризуется:

Главная цель мер, предпринимаемых на административном уровне:

(1) сформировать программу безопасности и обеспечить ее выполнение

(2) выполнить положения действующего законодательства

Что из перечисленного не относится к числу основных аспектов информационной безопасности:

Аутентификация на основе пароля, переданного по сети в открытом виде, плоха, потому что не обеспечивает защиты от:

На межсетевой экран целесообразно возложить функции:

(3) идентификации/аутентификации удаленных пользователей

Согласно стандарту X.700, в число функций управления конфигурацией входят:

На законодательном уровне информационной безопасности особенно важны:

(3) меры по обеспечению информационной независимости

Контейнеры в компонентных объектных средах предоставляют:

(1) общий контекст взаимодействия с другими компонентами и с окружением

Самыми опасными источниками внутренних угроз являются:

Действие Закона "О лицензировании отдельных видов деятельности" распространяется на:

(1) деятельность по использованию шифровальных (криптографических) средств

(2) деятельность по рекламированию шифровальных (криптографических) средств

(3) деятельность по распространению шифровальных (криптографических) средств

Согласно рекомендациям X.800, неотказуемость может быть реализована на:

В число целей политики безопасности верхнего уровня входят:

(1) решение сформировать или пересмотреть комплексную программу безопасности

(2) обеспечение базы для соблюдения законов и правил

В число возможных стратегий нейтрализации рисков входят:

Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

Затраты организаций на информационную безопасность:

В число основных понятий ролевого управления доступом входит:

(2) выборочное выполнение команд прикладного протокола

(3) контроль объема данных, переданных по TCP-соединению

Принцип усиления самого слабого звена можно переформулировать как:

(3) принцип выявления главного звена, ухватившись за которое, можно вытянуть всю цепь

В законопроекте "О совершенствовании информационной безопасности" (США, 2001 год) особое внимание обращено на:

В число классов требований доверия безопасности "Общих критериев" входят:

В число этапов жизненного цикла информационного сервиса входят:

В число этапов процесса планирования восстановительных работ входят:

В число основных принципов архитектурной безопасности входят:

(1) применение наиболее передовых технических решений

Что из перечисленного относится к числу основных аспектов информационной безопасности:

(1) доступность - возможность за приемлемое время получить требуемую информационную услугу

(2) неотказуемость - невозможность отказаться от совершенных действий

(3) конфиденциальность – защита от несанкционированного доступа к информации

При использовании сервера аутентификации Kerberos пароли по сети:

Реализация протоколирования и аудита преследует следующие главные цели:

(1) обнаружение попыток нарушений информационной безопасности

(2) недопущение попыток нарушений информационной безопасности

На межсетевые экраны целесообразно возложить следующие функции:

(2) антивирусный контроль компьютеров внутренней сети

В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:

(1) апробированность всех процессов и составных частей информационной системы

Туннелирование может применяться для достижения следующих целей:

(1) передача через сеть пакетов, принадлежащих протоколу, который в данной сети не поддерживается

Нужно ли включать в число ресурсов по информационной безопасности серверы с законодательной информацией по данной тематике:

(1) да, поскольку обеспечение информационной безопасности - проблема комплексная

(2) нет, поскольку информационная безопасность - техническая дисциплина

(3) не имеет значения, поскольку если что-то понадобится, это легко найти

Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на игровую программу могут быть наложены следующие ограничения:

(1) запрет на чтение каких-либо файлов, кроме конфигурационных

(2) запрет на изменение каких-либо файлов, кроме конфигурационных

Большинство людей не совершают противоправных действий потому, что это:

Согласно "Оранжевой книге", политика безопасности включает в себя следующие элементы:

В число целей программы безопасности верхнего уровня входят:

(2) определение ответственных за информационные сервисы

(3) определение мер наказания за нарушения политики безопасности

В число универсальных сервисов безопасности входят:

(2) управление информационными системами и их компонентами

Сложность обеспечения информационной безопасности является следствием:

(1) комплексного характера данной проблемы, требующей для своего решения привлечения специалистов разного профиля

(2) наличия многочисленных высококвалифицированных злоумышленников

При использовании описанного в курсе подхода к разграничению доступа в объектной среде разграничивается доступ к:

(2) методам объектов (с учетом значений фактических параметров вызова)

Криптография необходима для реализации следующих сервисов безопасности:

Системы анализа защищенности помогают предотвратить:

Доступность достигается за счет применения мер, направленных на повышение:

Согласно стандарту X.700, в число задач управления входят:

Необходимость объектно-ориентированного подхода к информационной безопасности является следствием того, что:

(1) с программно-технической точки зрения, информационная безопасность - ветвь информационных технологий и должна развиваться по тем же законам

(2) объектно-ориентированный подход популярен в академических кругах

(3) объектно-ориентированный подход поддержан обширным инструментарием

Среди нижеперечисленных выделите главную причину существования многочисленных угроз информационной безопасности:

(1) отсутствие целостной концепции безопасности при проектировании базового программного обеспечения

(2) просчеты при реализации базового программного обеспечения

(3) недостаточное тестирование базового программного обеспечения

Согласно рекомендациям X.800, выделяются следующие сервисы безопасности:

В число целей программы безопасности нижнего уровня входят:

(1) обеспечение надежной защиты конкретного информационного сервиса

(2) обеспечение экономичной защиты группы однородных информационных сервисов

(3) координация деятельности в области информационной безопасности

Управление рисками включает в себя следующие виды деятельности:

В число направлений повседневной деятельности на процедурном уровне входят:

Для обеспечения информационной безопасности сетевых конфигураций следует руководствоваться следующими принципами:

(1) выработка и проведение в жизнь единой политики безопасности

Программно-технические меры безопасности подразделяются на:

(1) превентивные, препятствующие нарушениям информационной безопасности

В число граней, позволяющих структурировать средства достижения информационной безопасности, входят:

Выберите вредоносную программу, которая открыла новый этап в развитии данной области:

Оценка рисков позволяет ответить на следующие вопросы:

(1) защита от несанкционированного доступа к информации

(3) комплекс мероприятий, направленных на обеспечение информационной безопасности

Протоколирование само по себе не может обеспечить неотказуемость, потому что:

(1) регистрационная информация может быть рассредоточена по разным сервисам и разным компонентам распределенной ИС

(2) целостность регистрационной информации может быть нарушена

(3) должна соблюдаться конфиденциальность регистрационной информации, а проверка неотказуемости нарушит конфиденциальность

Эффективность информационного сервиса может измеряться как:

(3) количество одновременно обслуживаемых пользователей

Туннелирование может использоваться на следующем уровне эталонной семиуровневой модели:

Любой разумный метод борьбы со сложностью опирается на принцип:

(1) становится известно о средствах использования уязвимости

Уголовный кодекс РФ не предусматривает наказания за:

(3) нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети

Уровень безопасности B, согласно "Оранжевой книге", характеризуется:

(2) отражает подход организации к защите своих информационных активов

(3) описывает способы защиты руководства организации

Что из перечисленного не относится к числу основных аспектов информационной безопасности:

Аутентификация на основе пароля, переданного по сети в зашифрованном виде, плоха, потому что не обеспечивает защиты от:

Статистический метод выявления атак хорош тем, что он:

Согласно стандарту X.700, в число функций управления отказами входят:

Самым актуальным из стандартов безопасности является:

Действие Закона "О лицензировании отдельных видов деятельности" не распространяется на:

(1) деятельность по технической защите конфиденциальной информации

(2) образовательную деятельность в области защиты информации

(3) предоставление услуг в области шифрования информации

Согласно рекомендациям X.800, целостность с восстановлением может быть реализована на:

В число целей политики безопасности верхнего уровня входят:

(1) формулировка административных решений по важнейшим аспектам реализации программы безопасности

(3) обеспечение базы для соблюдения законов и правил

В число возможных стратегий нейтрализации рисков входят:

Укажите наиболее существенные с точки зрения безопасности особенности современных российских ИС:

(1) низкая пропускная способность большинства коммуникационных каналов

(2) сложность администрирования пользовательских компьютеров

(3) отсутствие достаточного набора криптографических аппаратно-программных продуктов

В число основных понятий ролевого управления доступом входит:

Экранирование на сетевом и транспортном уровнях может обеспечить:

(2) выборочное выполнение команд прикладного протокола

(3) контроль объема данных, переданных по TCP-соединению

Выявление неадекватного поведения выполняется системами управления путем применения методов, типичных для:

Из принципа разнообразия защитных средств следует, что:

(1) в разных точках подключения корпоративной сети к Internet необходимо устанавливать разные межсетевые экраны

(2) каждую точку подключения корпоративной сети к Internet необходимо защищать несколькими видами средств безопасности

Деление на активные и пассивные сущности противоречит:

В следующих странах сохранилось жесткое государственное регулирование разработки и распространения криптосредств на внутреннем рынке:

В число классов функциональных требований "Общих критериев" входят:

В число этапов жизненного цикла информационного сервиса входят:

В число этапов процесса планирования восстановительных работ входят:

В число основных принципов архитектурной безопасности входят:

(2) применение нестандартных решений, не известных злоумышленникам

Что из перечисленного относится к числу основных аспектов информационной безопасности:

(2) целостность - актуальность и непротиворечивость информации, защищенность информации и поддерживающей инфраструктуры от разрушения и несанкционированного изменения

(3) стерильность - отсутствие недекларированных возможностей

При использовании версии сервера аутентификации Kerberos, описанной в курсе:

Реализация протоколирования и аудита преследует следующие главные цели:

(1) обеспечение возможности воспроизведения последовательности событий

(2) обеспечение возможности реконструкции последовательности событий

(3) недопущение попыток воспроизведения последовательности событий

На межсетевые экраны целесообразно возложить следующие функции:

(3) верификация прикладного программного обеспечения

В число архитектурных принципов, направленных на обеспечение высокой доступности информационных сервисов, входят:

(1) управляемость процессов, контроль состояния частей

Туннелирование может применяться для достижения следующих целей:

Нужно ли включать в число ресурсов по информационной безопасности серверы с информацией органов лицензирования и сертификации по данной тематике:

(1) да, поскольку наличие лицензий и сертификатов при прочих равных условиях является важным достоинством

(2) нет, поскольку реально используемые продукты все равно не могут быть сертифицированы

(3) не имеет значения, поскольку если информация о лицензиях или сертификатах понадобится, ее легко найти

Предположим, что при разграничении доступа учитывается семантика программ. В таком случае на просмотрщик файлов определенного формата могут быть наложены следующие ограничения:

Критерии выбора межсетевого экрана обычно делятся на три основные области:

  • функции безопасности,
  • удобство управления,
  • производительность.

Функциональные элементы системы безопасности влияют на эффективность системы защиты и способность вашей команды управлять рисками, связанными с работой различных приложений в сети. С точки зрения удобства управления самый большой вопрос состоит в том, где должна располагаться политика управления приложениями, насколько сложной она является, и насколько трудно ею управлять вашим специалистам? В отношении производительности все просто: способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для предприятия пропускную способность?
Каждая организация будет выдвигать свои требования и приоритеты среди критериев выбора межсетевого экрана. Чтобы помочь в этом, мы решили четко сформулировать 10 обязательных функций межсетевого экрана нового поколения:

  1. Идентификация и контроль приложений по любому порту
  2. Идентификация и контроль попыток обхода защиты
  3. Расшифрование исходящего SSL и управляющего SSH трафика
  4. Контроль функций приложений и их подприложений
  5. Управление неизвестным трафиком
  6. Сканирование с целью выявления вирусов и вредоносных программ во всех приложениях, по всем портам
  7. Обеспечение одинакового уровня визуализации и контроля приложений для всех пользователей и устройств
  8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений
  9. Обеспечение той же пропускной способности и производительности при полностью включенной системе безопасности приложений
  10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе

1. Ваш новый межсетевой экран должен обеспечивать постоянную идентификацию и управление приложениями на всех портах.

Требования. Требование простое — необходимо исходить из того, что каждое приложение может работать по любому порту, поэтому ваш новый межсетевой экран по умолчанию должен постоянно классифицировать трафик по приложению по всем портам. Это требование нужно предъявлять ко всем современным средствам защиты. Проблема классификации трафика по всем портам будет снова возникать при обсуждении всех оставшихся требований. В противном случае мы по-прежнему будем наблюдать обход средств контроля на основе портов с помощью все тех же приемов, которые существуют много лет: хакер перемещает приложение на другой порт и сетевое средство защиты перестает его видеть. С этим пора разобраться в вашей сети.

Комментарий из жизни: в реальных продуктах идентификация и управление приложениями — это три разных операции: определять приложения, блокировать приложения и безопасно разрешать приложения. Бывает, что производитель может верно определять конкретное приложение, но может не уметь его блокировать. Современные приложения настроены работать, для того, чтобы обходить блокировки, то есть если вы его заблокировали одним способом, то приложение начинает пользоваться вторым, третьим и так далее, пока вообще есть хоть один вариант — современные приложения очень инвазивны. Это говорит о том, что блокировка приложений должна тщательно проверяться при тестировании. Определение приложения — это всего лишь начало пути. Если вы разрешили приложение, но не проверили его контент, то это опять же небезопасно, поэтому для безопасного разрешения нужно еще проверить контент, например, сигнатурами IPS, антивируса, ant-spyware, DLP и другими. Также трафик браузеров часто сверяют с категориями URL, по которым ходят сотрудники и автоматизированные приложения.

2. Ваш межсетевой экран нового поколения должен идентифицировать и контролировать инструменты, позволяющие обходить средства обеспечения безопасности.

Реальный пример. Сегодня программисты специально пишут приложения, чтобы они обходили межсетевые экраны. Это им нужно для так называемого User Experience.

Сейчас существует достаточный набор приложений в вашей сети которые можно использовать для целенаправленного обхода политик безопасности, защищающих вашу организацию. Как вы это контролируете?
К инструментам обхода средств безопасности относятся приложения двух классов — приложения, изначально разрабатываемые для обхода средств защиты (например, внешние прокси и зашифрованные туннельные приложения (не VPN)), и приложения, которые можно адаптировать для выполнения этой задачи (например, инструменты управления удаленным сервером/рабочим столом).

Внешние прокси и зашифрованные туннельные приложения (не VPN), оснащенные рядом методик маскировки, специально используются для обхода средств обеспечения защиты. Поскольку эти приложения изначально создаются для обхода средств безопасности и поэтому способствуют рискам для бизнеса и защиты, они не имеют для вашей сети никакой бизнес-ценности.

Несут ли стандартные приложения в сети какой-то риск? Ведь и приложения для удаленного доступа, и многие зашифрованные туннельные приложения могут использоваться администраторами и сотрудниками. Однако эти же инструменты все чаще используются злоумышленниками на разных этапах в их сложных атаках. Примером такого инструмента в 2017 году является Cobalt Strike. Если организации не смогут контролировать использование этих инструментов обхода средств безопасности, они не смогут успешно выполнять политики безопасности и подвергнут себя всем рискам, для защиты от которых эти средства безопасности предназначены.

Требования. Ваш новый межсетевой экран должен проверять тип трафика по реальному контенту который передается внутри пакетов. Мир изменился: даже на входе в театр сейчас стоят рамки металлоискателей: показать свой номер ряда и кресла уже недостаточно. То же самое и в корпоративных сетях: нужно проверять содержимое сетевых пакетов, а не их заголовки. Ваш новый межсетевой экран должен уметь определять приложения по содержимому поля данных, причем на любых портах.

3. Ваш межсетевой экран нового поколения должен обеспечивать расшифровку и проверку SSL, а также контролировать управление SSH.

Требования. Возможность расшифрования SSL — это основополагающий фактор выбора решения по защите сети. И не только из-за того, что речь идет о значительной части корпоративного трафика, но и из-за того, что эта возможность повышает эффективность других ключевых функций, которые без расшифрования SSL будут неполными или неполноценными. К другим ключевым факторам можно отнести выявление и расшифрование SSL на любом порте, как на входе в сеть, так и на выходе; управление политиками расшифрованным трафиком, а также набор аппаратных и программных средств, необходимых для перешифрования SSL в рамках десятков тысяч одновременных подключений SSL с предсказуемой производительностью. Еще одним важным требованием является возможность идентификации и контроля за использованием SSH. Если говорить конкретно, то контроль за SSH подразумевает возможность определения для чего используется протокол SSH: переадресация портовтуннелирование трафика (локальная, удаленная, X11) или предназначенное использование по назначению (SCP, SFTP и доступ к оболочкеshell). Сведения о целях и характере использования SSH можно затем преобразовать в правила политики безопасности.

4. Безопасное разрешение приложений. Ваш межсетевой экран должен осуществлять контроль за работой приложений.

Требования. Ваш межсетевой экран нового поколения должен постоянно осуществлять классификацию каждого приложения, отслеживая все изменения, которые могут указывать на использование той или иной функции этого приложения. Концепция «однократной» классификации трафика не является выходом из положения, поскольку при этом игнорируется тот факт, что различные приложения могут использовать одни и те же сетевые сессии или выполнять несколько функций. Если в данной сессии будет идентифицирована другая функция или приложение, межсетевой экран должен зафиксировать этот факт в таблицах состояния сессий и выполнить проверку на основе политики. Непрерывный мониторинг состояния с целью выявления различных функций, которые может поддерживать каждое приложение, а также связанных с ними рисков, — это важнейшее требование к вашему межсетевому экрану нового поколения.

Безопасное разрешение приложений. Для безопасной работы приложений и технологий, а также для обеспечения основанных на них бизнес-процессов, специалистам сетевой безопасности требуется внедрить не только соответствующие политики, но и средства, контролирующие их соблюдение. Такими средствами являются межсетевые экраны нового поколения.

5. Ваш межсетевой экран нового поколения должен осуществлять систематическое управление неизвестным трафиком.

Требования. Ваш межсетевой экран нового поколения по умолчанию должен классифицировать весь трафик на всех портах — это тот критерий, который должен обязательно учитываться при разработке архитектуры и модели управления средствами безопасности.
Существует два поведения при написании правил межсетевого экрана.
Позитивная модель (блокирование по умолчанию всего неизвестного) подразумевают классификацию всего трафика, чтобы мы блокировали только неизвестный, тогда как негативная модель (разрешение по умолчанию всего неизвестного) подразумевают классификацию только определенного трафика, поскольку, если мы не знаем какой-то протокол или приложение, то мы просто его пропускаем.
Классификация всего трафика и выявление неизвестного — это только первая задача для вашего межсетевого экрана. Ваш межсетевой экран нового поколения должен обеспечить видимость всего неизвестного трафика, на всех портах. Он должен уметь быстро выполнять анализ этого трафика и определять его природу —

  1. внутреннее или самописное приложение,
  2. коммерческое приложение без готовой сигнатуры или
  3. угроза.

Кроме того, межсетевой экран должен уметь:

  • создавать пользовательскую сигнатуру для трафика,
  • собирать и отправлять PCAP трафика коммерческого приложения в лабораторию для проведения дальнейшего анализа или проведения аналитического исследования, которое позволит определить, не является ли трафик угрозой.

6. Ваш межсетевой экран нового поколения должен проверять угрозы в файлах на всех портах, определяя все приложения.

7. Ваш межсетевой экран нового поколения должен обеспечивать непрерывный контроль над всеми пользователями, независимо от их местоположения или типа устройства.

Реальный пример. Ваши пользователи все чаще работают вне офиса, получая доступ к корпоративной сети со своих смартфонов или планшетов по VPN. Значительная часть ваших сотрудников имеет возможность работать удаленно. Работая за столиком в кафе, у себя дома или на встречах у клиентов — ваши сотрудники считают само собой разумеющимся, что они могут подключаться к своим рабочим приложениям через WIFI или LTE/3G. Независимо от местоположения пользователя или даже самого приложения, межсетевой экран должен применять один и тот же стандарт контроля доступа. Если ваш межсетевой экран обеспечивает визуализацию и контроль приложений только в пределах стен организации, но не за ними, он в может упустить трафик, представляющий огромный риск.

8. Упрощение, а не усложнение системы безопасности сети благодаря добавлению функции контроля приложений.

Реальный пример. Многие организации постоянно создают новые сервисы для сотрудников, реализуют новые политики и вводят новые средства управления, в то время как их специалисты в области информационной безопасности уже сильно перегружены, управляя текущим множеством процессов защиты. Другими словами, если ваши сотрудники не справляются со своими текущими задачами, то добавление устройств и управление новыми сервисами, а также соответствующими политиками и обработкой новой информации, не позволит разгрузить ваших специалистов, равно как и не ускорит процесс обработки инцидентов. Чем сложнее политика (например, межсетевой экран на базе портов разрешает трафик через порт 80, система предотвращения вторжений выявляет/блокирует угрозы и приложения, шлюз для веб-защиты выполняет контроль URL-запросов), тем тяжелее этой политикой управлять. А какую политику в отношении WebEx используют ваши специалисты по безопасности? Как они определяют и решают конфликты политики на различных устройствах? Если предположить, что для типичных межсетевых экранов на основе портов определены базы правил, включающие тысячи всевозможных правил, то при добавлении тысяч сигнатур приложений в рамках десятков тысяч портов сложность будет возрастать в десятки раз. Поэтому разрешив какое-то новое приложение в своей сети, необходимо сразу же позаботиться о его безопасности и это должно быть реализовано в рамках одного правила межсетевого экрана.

Требования. Работа вашей организации основана на приложениях, пользователях и файлах, поэтому ваш межсетевой экран нового поколения должен позволять использовать политики, напрямую поддерживающие все ваши бизнес-инициативы. Упростить защиту – это мечта любого сотрудника. Политика межсетевого экрана, основанная на портах и IP-адресах, а затем добавленная сверху политика для управления приложениями внутри портов, системами обнаружения вторжений поверх всех правил и защиты от вредоносного ПО внутри конкретных приложений, только усложнит процесс управления на базе политик и, в конечном счете станет препятствием развитию бизнеса. Требуйте функционал безопасности в устройствах контроля за приложениями нового поколения.

9. При полной активации функций управления приложениями ваш межсетевой экран нового поколения должен обеспечивать такую же пропускную способность и производительность, как прежде.

Реальный пример. Многие организации стремятся добиться оптимального баланса между производительностью и безопасностью. Не секрет, что активация дополнительных функций безопасности на вашем межсетевом экране означает, что пропускная способность устройства будет существенно снижена. Если ваш межсетевой экран нового поколения разработан правильно, вам не потребуется переживать за это.

Требования. При рассмотрении этого требования также становится очевидным значение архитектуры, только в несколько ином ключе. Поспешный выбор межсетевого экрана работающего только на транспортном уровне c портами TCP и UDP или множества других средств обеспечения информационной безопасности от разных производителей обычно выливается в чрезмерное количество защит на каждом из сетевых уровней, механизмов сканирования и политик, что приводит к снижению производительности. Межсетевой экран должен быть сделан под эти задачи еще при разработке архитектуры ПО. Более того, если считать, что вам требуется выполнять ресурсоемкие вычислительные задачи (такие как расшифрование SSL, идентификация приложений, предотвращение угроз на всех портах) в среде высокоинтенсивного трафика, не допускающей малейшие задержки в работе критически важной инфраструктуры, ваш межсетевой экран нового поколения должен быть оснащен специальными выделенными аппаратными компонентами для выполнения таких задач.

10. Поддержка абсолютно одинаковых функций межсетевого экрана как в аппаратном, так и виртуальном форм-факторе.

Реальный пример. Стремительное распространение виртуализации и облачных технологий приводит к появлению новых задач в области безопасности, и с помощью старых межсетевых экранов, для которых характерна несогласованная работа внутренних компонентов, разрозненность механизмов управления ими и отсутствия интеграции с виртуализированной средой, решить эти задачи сложно или вообще невозможно.

Чтобы защитить входящий и исходящий трафик ЦОД, трафик внутри виртуальных сред вашей организации ваш межсетевой экран нового поколения должен предлагать абсолютно одинаковый функционал как в аппаратных, так и виртуальных форм-факторах.

Требования. Постоянное создание и настройка различных стандартных и нестандартных приложений в среде виртуального ЦОД еще больше усложняет задачи идентификации и контроля приложений. Сегодня это невозможно сделать на основе правил выполняемых на основе двух критериев: порт и IP-адрес.
Кроме тех девяти функций, которые уже описаны ранее, следующая обязательная функция межсетевого экрана нового поколения: важно, чтобы ваш межсетевой экран нового поколения поддерживал всестороннюю интеграцию со средой виртуализации. Это позволит создавать политики безопасности, основанные на приложениях, даже для динамической среды современного центра обработки данных, где не прекращается процесс создания и изменения виртуальных машин и приложений в них.
Создание межсетевого экрана для систем виртуализаци — единственный способ, который гарантирует поддержку развития современных центров обработки данных, обеспечивает гибкость администрирования и защиту от рисков и позволяет соблюдать стандарты и нормативы, такие как стандарты PCI DSS или ЦБ РФ.

Межсетевые экраны должны обеспечивать безопасную работу приложений — и всецело поддерживать ваш бизнес

Межсетевой экран (МЭ) — это специализированный аппаратный или программный комплекс межсетевой зашиты, названый также брандмауэром или системой firewall. МЭ разрешает поделить в принципе сеть на части (две или более) и создать список правил, определяющих пункты прохода пакетов с информацией через черту из одной части большой сети в другую. В принцип, эта черта проводится между локальной (корпоративной) сетью и глобальной сетью Internet. Такое разделение есть первым шагом к решению проблем защиты информации в сетях.

Функции МЭ

Для сопротивления несанкционированному межсетевому доступу МЭ должен находится между защищаемой сетью предприятия, являющейся внутренней, и потенциально опасной внешней сетью (рис. 1). При этом все действия между этими сетями должны проходить только через МЭ. Физически МЭ входит в состав защищаемой сети. А также использовать допустимые методы защиты информации.

МЭ, который защищает множество узлов локальной сети, должен реализовать:

  • целью разграничения доступа сотрудников защищаемой сети к внешним ресурсным фондам;
  • цель ограничения доступа внешних (по отношению к защищаемой сети) особей к внутренним ресурсным фондам корпоративной сети.

принцип мэ

На сегодня принцип не существует единой классификации МЭ. Но есть параметры по которым классифицируют МЭ по следующим основным признакам.

По используемой МЭ технологии:

  • на ядре модулей посредников (proxy).
  • контроль статуса протокола (stateful inspection);

По принципу роботы на уровнях модели OSI:

  • шлюз на сеансовом уровне (экранирующий транспорт);
  • пакетный фильтр (экранирующий маршрутизатор — screening router);
  • шлюз на экспертном уровне
  • прикладной шлюз (application gateway).

По исполнению:

Фильтрация информационных каналов реализуется в выборочном пропускании пакетов через экран, возможно, с исполнением некоторых модификаций. Фильтрация реализуется на основе списка заранее загруженных в МЭ правил, которые утверждены политикою безопасности предприятия. Поэтому МЭ удобно использовать как последовательность фильтров, обрабатывающих информационные каналы (рис. 2).

По схеме подключения:

  • цепь с разграниченной защитой закрытого и открытого сегментов сети;
  • цепь с защищаемым закрытым и не защищаемым открытым сегментами сети;
  • цепь единой защиты сети.

фильтры

Каждый из фильтров создан для толкования отдельных правил фильтрации путем:

1) разбора информации по конкретным правилам параметров, к примеру по имени пакету от отправителя;
INPUT -p TCP -o eth1 -ip xxx.xxx.xxx.xxx -j DROP

2) принятия на источнике пунктов одного из последующих действий:

INPUT -j DROP

см.руководство

    • отделка пакетов от имени параметров получателя и вернуть результат приема отправителю;

    см.руководство

      • пропустить пакеты, для дальнейшего игнорирования следующих фильтров.

      если пакет прошел хоть одно правило, он больше не проходит фильтры по дефолту

      Пункты фильтрации могут указывать и дополнительные сферы производительности, которые относятся к задачам посредничества, к примеру регистрация событий, преобразование данных и др. Конечно пункты фильтрации создают список параметров, по которым реализуется:

      • реализация дополнительных защитных функций;
      • запрещение или разрешение последующей транспортировки данных.

      В качестве параметров рассмотрена информационного потока данных могут использоваться следующие критерии:

      • внешние параметры канала информации, к примеру, частотные параметры, временные, объем данных;
      • прямое содержимое пакетов данных, например проверяемое на содержание вирусов;
      • служебные или специальные поля пакетов данных, имеющие идентификаторы, сетевые адреса, адреса интерфейсов, номера портов и другие значимые данные.

      Используемые параметры осмотра зависят от уровня OSI, на которых используется фильтрация. Чем выше уровень модели OSI, на котором МЭ фильтрует пакеты, тем выше и уровень защиты корпоративной сети.

      Выполнение функций посредничества

      Программы-посредники, блокируя передачу потока пакетов, могут исполнять следующие задачи:

      Программы-посредники могут реализовывать проверку подлинности передаваемых и получаемых пакетов. Это актуально для программ (Java, Controls или ActiveX). Проверка подлинности программ и пакетов реализуется в контроле цифровых подписей.

      Дополнительные возможности МЭ

      Аутентификация и идентификация сотрудников иногда реализуется при вводе обычного параметра пароля и имени. Но эта схема уязвима потому, что с точки принципа безопасности — данные могут быть захвачены и воспользоватся злоумышленником. Данные нужно отправлять через общедоступные схемы соединений в зашифрованном виде(поточные шифры или блочное шифрование или shema_Rabina). Это показано на рис. 3. Это разрешит проблему от несанкционированного доступа путем захвата сетевых пакетов.

      сетевой экран1

      Надежно и удобно применять цифровые сертификаты, которые выдаются доверенными органами(центр распределения ключей). Большинство программ-посредников создаются таким образом, чтобы сотрудник прошел аутентификацию только в начале сеанса работы с МЭ.

      Трансляция сетевых адресов. Для создания многих атак злодею необходимо знать адрес жертвы. Для скрытия адреса и топологию всей сети, МЭ реализуют важную функцию — передача внутренних сетевых адресов (network address translation) (рис. 4).

      сетевой экран адреса

      Передача внутренних сетевых адресов осуществляется двумя способами — статически и динамически. В первом варианте адрес агрегата всегда привязывается к одному адресу МЭ, из которого передаются все исходящие пакеты. Во втором варианте IP-адрес МЭ есть одним единственным активным IP-адресом, который будет попадает во внешнюю опасную сеть. В результате все исходящие из локальной сети данные оказываются отправленными МЭ, что исключает прямую связь между авторизованной локальной сетью и являющейся потенциально опасной внешней сетью.

      Обязательной реакцией на обнаружение попыток исполнения несанкционированных деяний должно быть уведомление администратора, т. е. выдача предупредительных сигналов. Нельзя считать эффективным элементом межсетевой защиты, который не может посылать предупредительные сигналы при выявлении нападения.

      Типы сетевого экрана

      Пакетные фильтры. Такие брандмауэры принимают решения о том что делать с пакетом, отбросить или пропустить. Он просматривает флаги, IP-адреса, номера TCP портов для анализа. Существует алгоритм анализа пакета:

      Действие тип пакета адрес источника порт источника адрес назначения порт назначения флаги

      • малая стоимость
      • гибкость в использовании правил фильтрации
      • маленькая задержка для пакетов
      • Локальная сеть маршрутизируется из INTERNET
      • Нужны хорошие знания для написания правил фильтрации
      • аутентификации с реализацией IP-адреса можно обмануть спуфингом
      • При нарушении работы брандмауэра, все устройства за ним становятся незащищенными или недоступными
      • нету аутентификации на пользовательском уровне
      • Название сервиса
      • Название пользователя
      • Допустимый временной отрезок использования сервиса
      • Компьютеры с которых можно использовать сервис
      • Схемы аутентификации

      Сервера уровня соединения. Такие сервера являют собой транслятора ТСР соединения. Пользователь создает соединения с конкретным портом на сетевом экране, после чего экран соединяет уже с местом назначения. Транслятор копирует байты в обоих направлениях, работая как провод. Такой вид сервера разрешает использовать транслятор для любого определенного пользователем сервиса, основывающегося на TCP, создавая контроль доступа к этому сервису, сбор статистики по его реализации.

      Плюсы серверов прикладного уровня:

      • локальная сеть невидима из Internet
      • При нарушении работы брандмауэра, пакеты не проходят через него, тем самым не создает угрозы для внутринаходящихся машин
      • есть аутентификация на пользовательском уровне
      • защита на уровне приложения разрешает создавать большое количество проверок, тем самым снижая вероятность взлома сетевого экрана
      • Высокая стоимость
      • Нельзя использовать протоколы UDP и RPC
      • Задержка пакетов больше, чем в пакетных фильтрах

      Виртуальные сети

      Множество брандмауэров разрешают организовать виртуальные корпоративные сети VPN (Virtual Private Network). VPN разрешает организовать прозрачное для пользователей соединение, сохраняя целостность и секретность передаваемых данных с помощью шифрования. При транспортировки по Internet шифруются не только данные пользователя, но и данные пакетов (адреса, порта и др).

      Администрирование

      Простота администрирования является одним из основных параметров в реализации надежной и эффективной системы защиты. Одна ошибка при написании правил может превратить защиту в решето. В большинстве брандмауэров внедрены утилиты, которые облегчают набор правил. Они проверяют и синтаксические и логические ошибки. Также брандмауэр может собирать статистику о атаках, о трафике и др.

      Классы защищенности брандмауэров

      Существуют три группы на которых делят АС по обработке конфиденциальной информации:

      • Многопользовательские АС, они обрабатывают данные различных уровней конфиденциальности
      • Многопользовательские АС, где пользователи имеют одинаковый доступ к обрабатываемой информации, которые находятся на носителях разного уровня доступа
      • Однопользовательские АС, пользователь имеет полный доступ ко всем обрабатываемой информации, которая находится на носителях разного уровня конфиденциальности

      Проблемы безопасности МЭ

      МЭ не может решать все проблемы и погрешности в корпоративной сети. Кроме описанных выше достоинств, есть ущемление в их эксплуатации и угрозы безопасности, от которых МЭ не могут защитить. Наиболее существенные описаны ниже:

        • отсутствие защиты от вирусов. Обычные МЭ не могут защитить от особей, которые загружают зараженные вирусами программы для ПК из интернета или при передаче таких программ в приложенных в письме, поскольку эти программы могут быть зашифрованы или сжаты большим числом способов;
        • возможное ограничение пропускной скорости. Обычные МЭ являются потенциально узким узлом в сети, так как все пакеты передаваемые из внешней сети во внутреннюю должны проходить через МЭ;

        есть смысл ставить несколько МЭ в разных местах, что позволит уменьшить количество правил на каждом из них и увеличит пропускную скорость передачи.

        • отсутствие эффективной защиты от опасного содержимого (управляющие элементы ActiveX, апплеты Java, сценарии JavaScript и т.п.).
        • Эффективным было бы не только запрещение, но и упреждение атак, т.е. предотвращение предпосылок совершения вторжений. Для организации предотвращение атак необходимо реализовывать средства поиска уязвимостей и обнаружения атак, которые будут вовремя раскрывать и рекомендовать меры по изъятию «слабых мест» в системе защиты.
        • Общепринятые МЭ являются по существу средствами, только блокирующими атаки. Впринципи они защищают от атак, которые уже находятся в процессе осуществления.
        • МЭ к сожалению не может защитить от некомпетентности и погрешности пользователей и администраторов;

        Для защиты информационных ресурсных фондов поделенных корпоративных систем нужно применить комплексный подход защиты информационной безопасности, которая разрешит эффективно применить достоинства МЭ и компенсировать недостатки с помощью других средств безопасности.

        Читайте также: