Для предотвращения неавторизованной модификации конфигурации брандмауэра должна иметься некоторая форма гарантий целостности. Обычно для рабочей конфигурации системы вычисляются контрольные суммы или криптографические хэш-функции, которые хранятся потом на защищенном носителе. Каждый раз, когда конфигурация брандмауэра модифицируется авторизованным на это человеком (обычно администратором брандмауэра), необходимо обновить контрольные суммы файлов и сохранить их на сетевой файловой системе или на дискетах. Если проверка целостности системы покажет, что конфигурация брандмауэра была изменена, то сразу станет ясно, что система была скомпрометирована.
Данные для проверки целостности брандмауэра должны обновляться при каждой модификации конфигурации брандмауэра. Файлы с этими данными должны храниться на носителе, защищенном от записи или выведенном из оперативного использования. Целостность системы на брандмауэре должна регулярно проверяться, чтобы администратор мог составить список файлов, которые были модифицированы, заменены или удалены.
Важно, чтобы правила работы с брандмауэром и параметры его конфигурации были хорошо документированы, своевременно обновлялись и хранились в безопасном месте. Это будет гарантировать, что при невозможности связаться с администратором брандмауэра или при его увольнении, другой опытный человек сможет после прочтения документации быстро осуществить администрирование брандмауэра. В случае проникновения такая документация также поможет восстановить ход событий, повлекших за собой этот инцидент с безопасностью.
Физический доступ к брандмауэру должен строго контролироваться во избежание несанкционированных изменений конфигурации брандмауэра или его состояния, а также для того, чтобы нельзя было наблюдать за работой брандмауэра. Кроме того, должна иметься пожарная и другая сигнализация и система создания архивных копий, позволяющие гарантировать бесперебойную работу брандмауэра.
Брандмауэр организации должен находиться в отдельном помещении, доступ в которое разрешен только ответственному за сетевые сервисы, администратору брандмауэра и администратору архивных копий брандмауэра.
Комната, в которой находится брандмауэр, должна быть оборудована пожарной сигнализацией и кондиционером для того, чтобы можно было гарантировать ее нормальное состояние. Размещение и состояние огнетушителей должны регулярно проверяться. Если имеются источники бесперебойного питания, то брандмауэр должен быть обязательно подключен к одному из них.
Уведомление об инциденте - это процесс, посредством которого определенные аномальные события фиксируются в журналах и сообщаются администратору брандмауэра. Требуется политика, в которой определялись бы типы записей в журналах об особых событиях и порядок действий при появлении подобных записей. Это должно быть согласовано с общим порядком действий при инциденте с безопасностью. Следующие правила уместны для всех сред.
Брандмауэр должен конфигурироваться так, чтобы создавались ежедневные, еженедельные и ежемесячные отчеты, для того чтобы при необходимости можно было проанализировать сетевую активность.
Журналы брандмауэра должны анализироваться каждую неделю для выявления следов атак.
Администратора брандмауэра должен уведомляться в любое время об атаке с помощью электронной почты, пейджера, или других средств, чтобы он мог сразу же предпринять необходимые контрмеры.
Брандмауэр должен обнаруживать попытки сканирования или зондирования, чтобы не происходило утечки защищаемой информации за пределы брандмауэра. Аналогичным образом он должен блокировать работу всех типов программ, которые, как известно, представляют угрозу безопасности сети (таких как ActiveX и Java) для усиления безопасности сети.
При выявлении факта проникновения, брандмауэр должен быть отключен и переконфигурирован. Если необходимо отключить брандмауэр, может понадобиться также отключиться от Интернета или перейти на запасной брандмауэр - внутренние системы не должны быть подключены к Интернету напрямую. После переконфигурации брандмауэр должен быть включен снова и запущен в работу. Требуются правила восстановления брандмауэра до рабочего состояния после проникновения.
Если произошло проникновение, администратор брандмауэра отвечает за переконфигурацию брандмауэра для защиты всех использовавшихся уязвимых мест. Брандмауэр должен быть восстановлен в исходное состояние, чтобы сеть находилась под защитой. На время восстановления должен использоваться запасной брандмауэр.
Часто необходимо произвести обновление программного обеспечения брандмауэра и его аппаратной части для того, чтобы его производительность была оптимальной. Администратор брандмауэра должен быть осведомлен о всех аппаратных и программных ошибках, а также о доработках программ, осуществляемых производителем брандмауэра. Если обновление необходимо, следует принять определенные предосторожности, чтобы сохранялся высокий уровень безопасности. Ниже приведены примеры политик безопасности для обновлений:
Для оптимизации производительности брандмауэра следует выполнять все рекомендации производителя в отношении мощности процессора и объема оперативной памяти.
Администратор брандмауэра должен производить оценку возможностей каждой новой версии программного обеспечения брандмауэра на предмет необходимости установки доработок. Все модификации исполняемого кода (патчи), рекомендованные производителем брандмауэра, должны делаться оперативно .
Аппаратные и программные компоненты должны получаться из источников, рекомендованных производителем. Все доработки специфических программ брандмауэра должны получаться у самого производителя. Для получения программ не должен использоваться NFS. Рекомендуемыми методами являются использование CD-ROMа, проверенного на вирусы, или FTP-сервера на сайте производителя.
Администратор брандмауэра должен быть подписан на список рассылки производителя брандмауэра или другим способом получать информацию от производителя о всех требуемых доработках. Перед применением доработки к брандмауэру администратор должен удостовериться у производителя, что доработка нужна. После доработки брандмауэр должен быть протестирован на предмет правильности работы перед началом эксплуатации.
Из-за постоянного появления новых технологий и тенденции организаций вводить новые сервисы, политика безопасности для брандмауэра должна регулярно пересматриваться. Если сеть изменилась, это надо делать обязательно.
Большинство брандмауэров предоставляют большие возможности по протоколированию трафика и сетевых событий. Некоторыми из событий, имеющих отношение к безопасности, которые должны фиксироваться в журналах брандмауэра, являются: аппаратные и дисковые ошибки, подключения и отключения пользователей, продолжительности соединений, использование привилегий администратора, входящий и выходящий почтовый трафик, попытки установления TCP-соединений, типы входящего и выходящего трафика прокси-серверов.
Все организации должны использовать как минимум политику для уровня с низким риском. Для среднего риска надо добавить части с пометкой "Средний риск", а для высокого - части с пометкой "Высокий риск" и "Средний риск".
Низкий риск
Пользователь
Все пользователи, которым требуется доступ к Интернету, должны делать это, используя одобренное организацией программное обеспечение и через Интернет-шлюзы организации.
Между нашими частными сетями и Интернетом установлен брандмауэр для защиты наших компьютеров. Сотрудники не должны пытаться обойти его при соединении с Интернетом с помощью модемов или программ для сетевого тунеллирования.
Некоторые протоколы были блокированы или их использование ограничено. Если вам требуется для выполнения ваших обязанностей какой-то протокол, вы должны обратиться к начальнику вашего отдела и ответственному за безопасное использование Интернета.
Начальник отдела
Должен быть помещен брандмауэр между сетью компании и Интернетом для того, чтобы предотвратить доступ к сети компании из ненадежных сетей. Брандмауэр должен быть выбран ответственным за сетевые сервисы, он же отвечает за его сопровождение.
Все остальные формы доступа к Интернету (такие как модемы) из сети организации, или сетей, подключенных к сети организации, должны быть запрещены.
Все пользователи, которым требуется доступ к Интернету, должны делать это с помощью одобренных организацией программ и через шлюзы с Интернетом.
Сотрудник отдела автоматизации
Все брандмауэры при аварийном завершении должны делать невозможным доступ ни к каким сервисам, и требовать прибытия администратора брандмауэра для восстановления доступа к Интернету.
Маршрутизация источника должна быть запрещена на всех брандмауэрах и внешних маршрутизаторах.
Брандмауэр должен отвергать трафик из внешних интерфейсов, который имеет такой вид, будто он прибыл из внутренней сети.
Брандмауэр должен вести детальные системные журналы всех сеансов, чтобы их можно было просмотреть на предмет выявления нештатных ситуаций в работе.
Для хранения журналов должен использоваться такой носитель и место хранения, чтобы доступ к ним ограничивался только доверенным персоналом.
Брандмауэры должны тестироваться перед началом работы и проверяться на предмет правильности конфигурации.
Брандмауэр должен быть сконфигурирован так, чтобы он был прозрачен для выходящих соединений. Все входящие соединения должны перехватываться и пропускаться через брандмауэр, если только противное решение явно не принято ответственным за сетевые сервисы.
Должна постоянно вестись подробная документация на брандмауэр и храниться в безопасном месте. Такая документация должна включать как минимум схему сети организации с IP-адресами всех сетевых устройств, IP-адреса машин у провайдера Интернета, таких как внешние сервера новостей, маршрутизаторы, DNS-сервера и т.д., и другие параметры конфигурации, такие как правила фильтрации пакетов и т.д. Такая документация должна обновляться при изменении конфигурации брандмауэра.
Средний риск
Пользователь
Для удаленного доступа к внутренним системам организации требуется усиленная аутентификация с помощью одноразовых паролей и смарт-карт.
Начальник отдела
Администраторы брандмауэра и другие руководители, ответственные за компьютерную безопасность, должны регулярно пересматривать политику сетевой безопасности (не реже чем раз в три месяца). При изменении требований к работе в сети и сетевым сервисам политика безопасности должна быть обновлена и утверждена заново. При необходимости внесения изменений администратора брандмауэра отвечает за реализацию изменений на брандмауэре и модификацию политики.
Структура и параметры внутренней сети организации не должны быть видимы из-за брандмауэра.
Сотрудник отдела автоматизации
Брандмауэр должен быть сконфигурирован так, чтобы по умолчанию все сервисы, которые не разрешены, были запрещены. Должен производиться регулярный аудит его журналов на предмет выявления попыток проникновения или неверного использования Интернета.
Брандмауэр должен практически сразу уведомлять системного администратора при возникновении ситуации, требующей его немедленного вмешательства, такой как проникновение в сеть, отсутствие места на диске и т.д.
Брандмауэр должен работать на специальном компьютере - все программы, не относящиеся к брандмауэру, такие как компиляторы, редакторы, коммуникационные программы и т.д., должны быть удалены или доступ к ним должен быть заблокирован.
Высокий риск
Пользователь
Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.
Ваш браузер был сконфигурирован так, что доступ к ряду сайтов запрещен. О всех попытках получить доступ к этим сайтам будет доложено вашему начальнику.
Начальник отдела
Использование Интернета в личных целях с систем организации запрещено. Весь доступ к Интернету протоколируется. Сотрудники, нарушающие данную политику, будут наказаны.
Сотрудник отдела автоматизации
Весь доступ к Интернету должен протоколироваться.
Соединение с Интернетом делает доступными для внутренних пользователей разнообразные сервисы, а для внешних пользователей - большое число машин в организации. Должна быть написана политика (на основе анализа и учета вида деятельности организации и задач, стоящих перед ней), которая четко и ясно определяет, какие сервисы разрешено использовать, а какие - запрещено, как для внутренних, так и для внешних пользователей.
Имеется большое число Интернетовских сервисов. В 4 главе описывались самые популярные сервисы, такие как FTP, telnet, HTTP и т.д. Другие популярные сервисы кратко описаны здесь.
r-команды BSD Unix, такие как rsh, rlogin, rcp и т.д., предназначены для выполнения команд пользователями Unix-систем на удаленных ситсемах. Большинство их реализаций не поддерживают аутентификации или шифрования и являются очень опасными при их использовании через Интернет.
Протокол почтового отделения (POP) - это протокол клиент-сервер для получения электронной почты с сервера. POP использует TCP и поддерживает одноразовые пароли для аутентификации (APOP). POP не поддерживает шифрования - читаемые письма можно перехватить.
Протокол чтения сетевых новостей (NNTP) использует TCP и является протоколом с многоэтапной передачей информации. Хотя NNTP относительно прост, недавно имел место ряд атак на распространенные программы NNTP. NNTP-сервера не должны работать на той же машине, что и брандмауэр. Вместо этого надо использовать имеющиеся стандартные прокси-сервисы для NNTP.
Finger и whois выполняют похожие функции. Finger используется для получения информации о пользователях системы. Часто он дает больше информации, чем это необходимо - в большинстве организаций finger должен быть отключен или его использование должно быть ограничено с помощью брандмауэра. Whois очень похож на него и должен быть также отключен или ограничен.
Протоколы удаленной печати в Unix lp и lpr позволяют хостам печатать, используя принтеры, присоединенные к другим хостам. Lpr - это протокол с использованием очереди запросов на печать, а lp использует rsh для этого. Обычно их обоих стоит отключить с помощью брандмауэра, если только его производитель не сделал прокси-сервера для них.
Сетевая файловая система (NFS) позволяет делать дисковые накопители доступными для пользователей и систем в сети. NFS использует очень слабую форму аутентификации и считается небезопасным при использовании его в недоверенных сетях. NFS должен быть запрещен с помощью брандмауэра.
Живое аудио (real audio) позволяет получать оцифрованный звук по сетям TCP/IP. Кроме него был разработан еще ряд сервисов для использования мультимедийных возможностей WWW.
Какие сервисы надо разрешать, а какие - запрещать, зависит от потребностей организации. Примеры политик безопасности для некоторых сервисов, которые могут потребоваться в типовой организации, приведены в таблице 5.2
Ниже приведена таблица учета административных проблем, связанных с доступом к Интернету
Сервис | Протоколы | Что нужно сделать | Почему это надо сделать |
---|---|---|---|
Пользователи должны иметь по одному адресу электронной почты |
|
||
SMTP | Сервис электронной почты для организации должен осуществляться с помощью одного сервера |
|
|
POP3 | POP-пользователи должны использовать APOP-аутентификацию. |
|
|
IMAP | Рекомендовать переход на IMAP. |
|
|
Новости USENET | NTTP | Блокировать на брандмауэре |
|
WWW | HTTP | Направлять на www.my.org |
|
* | Все другие | маршрутизировать |
Table 6.2 Образец политики безопасности для Интернета
Политика | |||||
---|---|---|---|---|---|
Сервис | Изнутри наружу | Извне внутрь | Образец политики | ||
Состояние | Аутентификация | Состояние | Аутентификация | ||
FTP | Да | Нет | Да | Да | Доступ к FTP должен быть разрешен изнутри снаружу. Должна использоваться усиленная аутентификация для доступа снаружи к FTP. |
Telnet | Да | Нет | Да | Да | Доступ по Telnet должен быть разрешен изнутри наружу. При доступе снаружи должна использоваться усиленная аутентификация. |
Rlogin | Да | Нет | Да | Да | rlogin на внутренние машины организации с внешних хостов требует письменного разрешения ответственного за сетевые сервисы и использования усиленной аутентификации. |
HTTP | Да | Нет | Нет | Нет | Все WWW-сервера, предназначенные для использования внешними пользователями, должны быть размещены за брандмауэром. Входящий HTTP через брандмауэр должен быть запрещен. |
SSL | Да | Нет | Да | Да | Требуется использовать в сеансах SSL клиентские сертификаты при прохождении SSL-сеансов через брандмауэр. |
POP3 | Нет | Нет | Да | Нет | POP-сервер организации должен быть размещен внутри за брандмауэром. Брандмауэр будет пропускать POP-трафик только к POP-серверу. Требуется использовать APOP. |
NNTP | Да | Нет | Нет | Нет | Внешний доступ к NNTP-серверу запрещен. |
Real Audio | Нет | Нет | Нет | Нет | Сейчас нет коммерческой необходимости поддерживать живое аудио через брандмауэр. Если такой сервис требуется, надо связаться с ответственным за сетевые сервисы. |
Lp | Да | Нет | Нет | Нет | Входящие запросы на lp-сервис должны блокироваться на брандмауэре |
Finger | Да | Нет | Нет | Нет | Входящие запросы на finger-сервис должны блокироваться на брандмауэре |
Gopher | Да | Нет | Нет | Нет | Входящие запросы на gopher-сервис должны блокироваться на брандмауэре |
Whois | Да | Нет | Нет | Нет | Входящие запросы на whois-сервис должны блокироваться на брандмауэре |
SQL | Да | Нет | Нет | Нет | Соединения внешних хостов с внутренними БД должны быть утверждены ответственным за сетевые сервисы и использовать утвержденные прокси-сервисы. |
Rsh | Да | Нет | Нет | Нет | Входящие запросы на rsh-сервис должны блокироваться на брандмауэре |
Другие, такие как NFS | Нет | Нет | Нет | Нет | Доступ к любым другим сервисам, не указанным выше, должен быть запрещен в обоих направлениях, чтобы использовались только те Интернет-сервисы, которые нам нужны, и о безопасности которых имеется информация, а остальные были запрещены. |
Организация может захотеть поддерживать некоторые сервисы без усиленной аутентификации. Например, для загрузки внешними пользователями открытой информации может использоваться анонимный сервер FTP. В этом случае эти сервисы должны находиться на другой машине, чем брандмауэр, или в сети, которая не соединена с корпоративной сетью организации, содержащей критические данные. Ниже в таблице показан метод описания такой политики для FTP.
Table 6.3 Обобщенная политика безопасности
Политика | Авторизованный FTP-сервис | Анонимный FTP-сервис |
Поместить сервер снаружи брандмауэра | Нет | Да |
Поместить сервер в служебную сеть, не содержащую критических данных | Нет | Да |
Поместить сервер в защищенную сеть | Да | Нет |
Поместить сервер на брандмауэр | Нет | Нет |
Сервис будет доступен с любой машины в Интернете | Нет | Да |