Контроль та розмежування доступу

Технології Інтернет дозволяють створити економічно вигідну глобальну комунікаційну інфраструктуру, яка забезпечить доступ у світових масштабах працівникам компанії, покупцям, виробникам обладнання, постачальникам та ключовим бізнес-партнерам. Це є істотним розширенням можливостей обміну спільно використовуваною інформацією, проте збільшує ризик піддати свою корпоративну мережу новим ризикам та загрозам.

Чим обмінюються мережі підприємства?

Розмежування доступу захищає організацію від потенційних загроз завдяки чіткій специфікації та контролю за тим, які інформаційні потоки та комунікації можуть проходити через прикордонний шлюз мережі організації. Ключовою особливістю пристроїв, що забезпечують контроль доступу, є їхня повна поінформованість про всі комунікації, мережеві сервіси та додатки. Перші реалізації засобів захисту на основі пакетних фільтрів (зазвичай виконуються на маршрутизаторах) не мають даних про стан програми, що не можуть обробляти трафік UDP та динамічних протоколів. Засоби захисту мереж другого покоління - засновані на використанні додатків посередників (proxy) - вимагають найчастіше дуже потужних комп'ютерів і досить повільно адаптуються до появи нових мережевих служб Інтернет, які з'являються регулярно. На противагу цьому технологія stateful inspection, реалізована в Check Point FireWall-1, дає шлюзу повну інформацію про комунікації, що спільно з об'єктно-орієнтованим підходом в описі мережевих ресурсів та сервісів дозволяє швидко та легко адаптувати систему до нових послуг Інтернету. FireWall-1 надає вичерпні можливості контролю доступу для більш ніж 160 зумовлених сервісів Інтернет і має засоби для зручного специфікування новихсервісів користувача.

Створення політики безпеки

Процес опису правил розмежування доступу в такій спроектованій системі, як Check Point FireWall-1, простий і очевидний. Всі аспекти політики інформаційної безпеки організації можуть бути специфіковані за допомогою графічного інтерфейсу FireWall-1, який неодноразово завойовував різні нагороди. Під час визначення елементів мережі застосовується объектно-ориентированный підхід.

Унікальна перевага Check Point FireWall-1 – це можливість створити єдину безпекову політику для всього підприємства в цілому. Після створення політики безпеки FireWall-1 перевіряє її на несуперечність, компілює та розподіляє по всіх вузлах контролю трафіку в мережі.

Розподілений доступ

FireWall-1 підтримує різні рівні адміністративного доступу:

  • Read/Write:повний доступ до всіх функціональних можливостей адміністративних засобів
  • User Edit:дає можливість змінювати облікові записи користувачів, інші можливості обмежені правами на читання
  • Read Only:доступ тільки для читання
  • Monitor Only:доступ на читання до засобів візуалізації статистики

Елементи захисту від несанкціонованого доступу

Рішення, що ґрунтуються на застосуванні програм-посередників, самі по собі не в змозі захистити від атак SYN flooding. Таким чином, шлюз може бути атакований для створення умов відмови в обслуговуванні. Пакетні фільтри теж не в змозі захистити від таких атак, оскільки вони не мають необхідної інформації про стан з'єднань і не можуть проводити інспекцію пакетів з урахуванням цього стану. FireWall-1 пропонує вбудований захист від подібних атак, маючи всі необхіднізасобами для аналізу стану з'єднань та використовуючи механізм SYNDefender.

Ping of Death - практично кожна операційна система, а також деякі маршрутизатори мають різні обмеження, пов'язані з конкретною реалізацією TCP/IP протоколу. Виявлення цих обмежень часто пов'язані з появою нових видів атак. Так, більшість ОС чутливі до PING (ICMP), розмір поля даних яких більший, ніж 65508. В результаті, ICMP-пакети після додавання необхідних заголовків стають більше ніж 64k (довга заголовка становить 28 байт) і, як правило, не можуть правильно оброблятися ядром операційної системи, що проявляється у вигляді випадкових катастроф або перезавантажень.

FireWall-1, володіючи механізмом Stateful Inspection, може здійснювати захист від таких атак, для чого необхідно визначити об'єкт типу протокол і додати правило, яке забороняє проходження пакетів ICMP, довше 64K.

Приклади методів захисту

Приховування Firewall - за нормальних умов будь-який користувач корпоративної мережі потенційно може отримати доступ до шлюзу з firewall. Цієї ситуації необхідно уникати, для чого потрібно вжити заходів для приховання шлюзового пристрою.

Check Point FireWall-1 дозволяє реалізувати це шляхом додавання одного простого правила до політики безпеки. Приховування шлюзу, таким чином, запобігає будь-яким спробам взаємодії будь-якого користувача або програми зі шлюзом безпеки, і робить такий шлюз невидимим. Виняток становлять лише адміністратори системи безпеки.

Застосування механізмівТрансляції Мережевих Адреса дозволяє повністю приховати або замаскувати внутрішню мережеву структуру.

Connection Accounting - FireWall-1, крім звичайної реєстрації фактуз'єднання, надає можливість отримати інтегральні дані про тривалість, кількість переданих байтів інформації та кількість переданих пакетів у даній сесії.

Ці дані записуються в реєстраційний журнал у той момент, коли сесія, що відстежується, закінчується. Додатково можна переглянути параметри активних з'єднань.

Різні можливості повідомлення - FireWall-1 включає безліч різних опцій для повідомлення операторів: від повідомлення електронною поштою до можливості надсилання SNMP-виключень (traps) для інтеграції з такими платформами мережевого управління як HP OpenView, SunNet Manager , IBM's NetView 6000. На додаток до основних механізмів повідомлень передбачена можливість створювати власні варіанти обробки ситуацій, які потребують сповіщення. Це надає можливість стикування системи захисту із пейджинговими службами або системами швидкого реагування.