Безопасность и Internet - статьи
       

Защита локальной сети при подключении к Internet


Информация предоставлена "Р-Альфа"

Система Gauntlet является Межсетевым Экраном (далее по тексту МЭ),

разработанным фирмой TIS. Это продукт предоставляет возможность безопасного доступа и сетевых операций между закрытой, защищенной сетью и публичной сетью типа Internet.

Защита локальной сети при подключении к Internet

Gauntlet представляет собой наиболее эффективный с точки

зрения защиты вариант МЭ - фильтр на уровне приложений, при этом

обеспечивает максимальную прозрачность при использовании, возможность

создания VPN и простое управление всем этим. Этот МЭ позволяет

пользоваться только теми протоколами, которые описал оператор и

только в случае их безопасного использования. Безопасность

обеспечивается при работе через МЭ в обоих направлениях в соответствии

с политикой безопасности, определенной для данной организации.

Продукт доступен в предустановленном виде на Pentium машинах,

а также как отдельный пакет для BSD/OS,SunOS4*,HP-UX,IRIX и других

UNIX-систем. Открытый продукт фирмы - FWTK - на сегодняшний день

является стандартом де-факто для построения МЭ на уровне приложений.

Система Gauntlet получила сертификат Национального Агентства

Компьютерной Безопасности США и была проверена Агентством Национальной

безопасности США.

Данный продукт предоставляет возможность безопасного и строго

аутентифицированного доступа по следующим протоколам:

  • telnet, rlogin

  • ftp

  • smtp, pop3

  • http, shttp, ssl

  • gopher

  • X11

  • printer

  • rsh

  • Sybase SQL

  • RealAudio

    • Кроме того, МЭ имеет средство для поддержания "сырого" TCP соединения,

    которое можно использовать для протоколов, не нуждающихся в авторизации

    пользователя, например NNTP. В наличии имеется также возможность организовывать

    "сырые" соединения для пользователей с подтверждениями полномочий.

    По набору поддерживаемых протоколов этот МЭ уверенно лидирует на рынке.

    В дополнение к фильтрации на уровне приложений, МЭ требует внесения

    определенных изменений в базовую операционную систему. Эти изменения включают:

  • для использования в варианте виртуальных сетей добавлен пакетный фильтр


  • режим роутера выключен полностью. Информация между сетями передается

    только посредством транслирующих серверных программ (proxy)


  • систему определения атак с подменой адресов


  • поддержка VPN


  • поддержка прозрачного режима для proxy


  • выключена обработка пакетов со специальными признаками


  • добавлена возможность заносить в журнал все попытки соединения с МЭ

    по несконфигурированным видам сервиса


    • Дополнительные возможности системы включают в себя особые фильтры, позволяющие

    организовать на самом МЭ определенные информационные сервисы, такие как

  • электронная почта


  • DNS


  • ftp


  • WWW


    • Этот МЭ - единственный из существующих, позволяющий защитить

    пользователей сети от заражения их программ просмотра WWW программами на языке JAVA, написанные неизвестными авторами без контроля и представляющими из себя потенциальные

    сетевые вирусы, причем независимо от платформы.

    Gauntlet разработан по принципу "белого ящика", что на практике означает

    его распространение вместе с исходными текстами. Кроме того, наиболее

    простые и эффективные приемы написания программ значительно упрощают

    анализ исходных текстов.

    При изначальной разработке МЭ особое внимание уделялось следующим

    принципам:

  • Минимализм. Простое лучше сложного. Разработка велась четко по принципу

    "сверху вниз". В результате был получен минимальный по объему а наиболее

    эффективный по производительности программный интерфейс, легко позволяющий

    реализовать proxy для протокола, не входящего в базовый комплект.

    Облегчает последующие тестирование. крайне важно - такой подход сильно уменьшает

    вероятность скрытых ошибок.


  • Запрещено все, что не разрешено. Принцип, защищающий МЭ от ошибок

    администратора. Неправильная директива интерпретируется как глобальное

    запрещение данного сервиса. Кроме того, таким образом введено умолчание

    - запрещено. Введение любого нового сервиса обязательно влечет за собой

    его увязывание с политикой безопасности.


  • На МЭ не должно быть пользователей. Единственный пользователь,

    имеющий возможность только локальной работы - администратор.


  • Записывать в журнал все, что возможно. Избыточность статистической

    информации о работе МЭ крайне полезна, не только с точки зрения безопасности, а и

    с точки зрения оценки производительности и т.д.


  • Работа МЭ легко контролируется. Наличие единой базы пользователей и

    эффективного интерфейса для работы с ней легко позволяют осуществлять

    контроль пользователей, их блокировку, изменение атрибутов и т. д.


  • Простая и логичная конфигурация. Основной конфигурационный файл МЭ

    имеет текстовый формат, его логическая структура довольно очевидна

    и не составляет препятствия для системного администратора.



    • Содержание раздела