Задачи, возникающие при подключении ЛВС к Интернет.

Способы их решения

Содержание

Введение. 2

Задачи, возникающие при подключении к сети Интернет. 3

Обеспечение информационной безопасности. 3

Фильтрация информационных потоков. 4

Защита от компьютерных вирусов и "троянских коней". 5

Шифрованные виртуальные каналы для связи с удаленными филиалами и пользователями через Интернет. 5

Защита от сетевых атак. 6

Сигнализация при угрозах нарушения безопасности. 7

Контроль использования ресурсов. 8

Подсчет объемов потребляемого Интернет-трафика – биллинг. 8

Эффективное использование Web. 8

Работа в Интернет при малом количестве выданных Интернет-адресов. 9

Блокирование нежелательных почтовых рассылок. 10

Контроль неделового использования Интернет. 11

Анализ существующих решений. 14

Межсетевые экраны.. 14

Биллинговые системы.. 16

Обоснование разработки. 18

Список использованных источников информации. 20

Введение

Сегодня Интернет – единственное действительно всеобщее пространство, позволяющее передавать, хранить, обрабатывать информацию, имеющее развитую инфраструктуру, набор дружественных протоколов и интерфейсов, и доступное, практически, всюду.

За последний десяток лет весь мир пережил и продолжает переживать глобализацию компьютерных коммуникаций. Масштабы роста сети Интернет наглядно показывает статистика количества пользователей этой сети.

1)      Аудитория в России:

·          Если в 1998г. количество пользователей Интернета в России было немногим более миллиона человек, то в начале 2001 их стало уже пять миллионов, в 2002 это число превысило шесть миллионов человек. В настоящий момент Интернетом в России пользуются 8,8 млн. человек (8% от всего количества россиян).

·          На начало 2002 г. количество регулярных пользователей Интернета (т.н. “ядро аудитории”) составляло 5,1 млн. человек. Это 3,9% населения страны в возрасте от десяти лет и старше.

·          Средняя продолжительность работы пользователей в онлайне в ноябре-декабре 2002г. увеличилась по сравнению с началом года на 10% и достигла 474 минут в неделю (больше часа в день).

·          В настоящий момент 66,3% российских пользователей Интернет обитает в Петербурге (1,2 млн.) и Москве (1,7 млн.). В Центральном округе РФ без учета Москвы насчитывается еще 1,4 млн. пользователей.

2)      Аудитория в Великобритании:

·          Постоянными пользователями Интернета являются уже почти 40% жителей Великобритании.

·          К концу 2002 г. доступ в Интернет имело 10,4 млн. семей или 43% от общего их числа. Это в 4 раза больше, чем в конце 1998 г., когда статистическое управление Великобритании впервые провело исследование активной аудитории Интернета.

Здесь использованы данные, опубликованные следующими организациями: РОЦИТ (Региональная Общественная Организация "Центр Интернет-Технологий"), Компания КОМКОН, Фонд "Общественное мнение", Компания МИС-информ, Агентство Reuters.

Можно смело утверждать, что использование информационных технологий, средств автоматизации и цифровых коммуникаций является стандартом де-факто для любой компании, фирмы или организации, желающей оставаться конкурентно-способной в своей отрасли. Однако прошли те времена, когда для автоматизации предприятия было достаточно иметь налаженную коммуникационную систему внутри этого предприятия. Теперь для успешного существования в современном мире обязательной становится интеграция с внешними ресурсами, и как следствие этого выход корпоративной сети в глобальные сети, будь то информационные, вычислительные, финансовые или даже военные сети.

Задачи, возникающие при подключении к сети Интернет

            При подключении локальной сети к Интернет, необходимо решить множество различных по своему характеру задач. Все эти задачи можно разделить на следующие классы:

1.      Обеспечение информационной безопасности

2.      Контроль использования ресурсов

Стоит отметить, что эти классы не являются полностью независимыми. Например, технология NAT может решать как задачу скрытия внутренних IP-адресов, так и задачу более экономного использования выделенных IP-адресов.

Рассмотрим подробней задачи, входящие в эти классы.

Обеспечение информационной безопасности

Необходимо отметить, что с развитием сети Интернет обострились проблемы информационной безопасности. Связано это в первую очередь с тем, что сеть Интернет разрабатывалась как открытая, предназначенная для всех, система. Вопросам безопасности при проектировании стека протоколов TCP/IP, являющихся основой Интернет, уделялось очень мало внимания.

Какие объекты в информационных системах могут подвергаться угрозам? В первую очередь информация. Ее можно а) украсть; б) уничтожить; в) изменить; г) заблокировать; д) скомпрометировать. Но информация сама по себе пассивна, для того, чтобы влиять на нее, нужно воздействовать на носитель или систему, в которой информация "живет".

Стоимость информации определяется затратами, связанными с нарушением информационной безопасности. Для большинства современных компаний эта величина имеет большой порядок, так как большинство корпоративных операций уже сейчас подвержено автоматизации. Если для какой-то фирмы затраты при нарушении информационной безопасности не являются критическими, значит, данная организация еще не достаточно автоматизировала свои информационные процессы и это ее ожидает в будущем, если она хочет оставаться конкурентно-способной в своей сфере.

Согласно последним данным, опубликованным Институтом Компьютерной Безопасности [Computer Security Issues & Trends, 2002 CSI Computer Crime and Security Survey], на первом месте по количеству зафиксированных инцидентов стоят вирусные атаки. На втором месте - кражи лэптопов. На третьем - действия нарушителей внутри сети. На четвертом месте, со значительным отрывом, идет проникновение в сеть извне. Что касается заявленного финансового ущерба, то здесь данные не столь достоверны - с учетом того, что слишком многое можно списать на вошедших в моду хакеров и сорвавшихся с цепи сетевых червей. С другой стороны, далеко не все пострадавшие заявляют о нанесенном ущербе, боясь испортить репутацию компании. Разброс цифр очень велик - так, для удаленных атак заявленная сумма ущерба колеблется от 100 долларов до 10 миллионов на каждую атаку, при средней величине в $500, для вирусных атак - от 100 долларов до 20 миллионов, а усредненная цифра - чуть больше 200 долларов.

Существует огромное количество способов классификации нарушений информационной безопасности. С точки зрения практики можно выделить задачи, которые должны быть решены при подключении корпоративной сети к публичным сетям. Эти задачи описаны ниже.

Фильтрация информационных потоков

С точки зрения потоков информации подключение к Интернет не является симметричным. Обычно, пользователи локальной сети используют публичные ресурсы по таким протоколам как HTTP, FTP, NNTP, SMTP, POP3, DNS. В то же время для публичного доступа в корпоративной сети обычно открыто малое количество ресурсов – обычно, это Web-сервер компании или почтовый сервер. В то же время в локальной сети находится много ресурсов, предназначенных для использования только внутри данной сети, а доступ к ним внешних лиц приводит к нарушению безопасности.

Таким образом, должно быть определено, какие информационные потоки разрешаются между публичной и корпоративной сетью, а какие запрещаются. Обычно эту задачу решают при помощи различных видов межсетевых экранов (МСЭ) – пакетных фильтров, шлюзов сеансового уровня, посредников прикладного уровня и инспекторов состояния.

Защита от компьютерных вирусов и "троянских коней"

Любой руководитель компании может вспомнить, сколько времени его информационная система бездействовала после очередного сбоя в результате активизации полученного по почте вредоносного кода. Прямые и потенциальные расходы от этого могут быть действительно велики – от простой потери времени на излечение персональных компьютеров до полной потери важной корпоративной информации. Вирусы и “троянские кони” могут быть засланы в локальную сеть как просто вандалами, так и злоумышленниками, пытающимися при их помощи получить доступ к конфиденциальной информации.

Конечно, можно установить на каждый персональный компьютер по антивирусной программе, но можно решить эту задачу эффективней – разместив на границе с публичной сетью антивирусный фильтр, отсекающий все попытки вирусных атак. Такое решение намного проще по сравнению с установкой персональных антивирусных программ. К тому же обычно такое решение выгодней с экономической точки зрения – не требуется покупать лицензию для всех компьютеров.

Шифрованные виртуальные каналы для связи с удаленными филиалами и пользователями через Интернет

Необходимо отметить изменения, произошедшие в структуре корпоративных сетей в последние годы. Если еще несколько лет назад границы таких сетей можно было четко очертить, то сейчас это практически невозможно. Раньше такая граница проходила через все маршрутизаторы или иные устройства (например, модемы), через которые осуществлялся выход во внешние сети.

Теперь зачастую компании, имеющие несколько филиалов или удаленных офисов, предпочитают связывать их локальные сети через Интернет. Это экономнее, чем строить собственную распределенную сеть. Однако, как сделать так, чтобы информацию, переданную по публичным каналам связи, не мог перехватить злоумышленник? Помимо того, полноправным пользователем защищаемой сети является сотрудник, находящийся за пределами защищаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все межсетевые экраны построены так, что защищаемые пользователи и ресурсы должны находиться под сенью их защиты, т.е. с внутренней стороны, что является невозможным для мобильных пользователей.

Защита информации в процессе передачи по открытым каналам связи основана на выполнении следующих функций:

  • аутентификация взаимодействующих сторон;
  • криптографическое закрытие передаваемых данных;
  • подтверждение подлинности и целостности доставленной информации;
  • защита от повтора, задержки и удаления сообщений;
  • защита от отрицания фактов отправления и приема сообщений.

Перечисленные функции во многом связаны друг с другом, и их реализация основана на криптографической защите передаваемых данных.

Наиболее распространенным решением является использование технологии виртуальных частных сетей (virtual private network, VPN). В этом случае обеспечивается создание логических туннелей между локальными сетями, соединенными публичной сетью. То есть два граничных устройства, принадлежащих разным локальным сетям эмулируют соединение точка-точка между собой. Обе локальные сети оказываются как бы объединенными, то есть не требуется никаких дополнительных настроек ни рабочих станций и серверов, ни других маршрутизаторов. Глобальная сеть Интернет используется в качестве магистрали виртуальной частной сети (см. рис.1).

Организация VPN-туннеля между двумя локальными сетями

Рис.1

Защита от сетевых атак

В начале ноября 1988 года Сеть была атакована так называемым сетевым червем, впоследствии получившим название “вирус Морриса” – по имени его создателя, студента Корнельского университета. Данный сетевой червь имел способность к самораспространению в локальных и глобальных компьютерных сетях, проникая в систему, используя бреши в их защите, и передавая свой код на следующую машину. В результате общие затраты на восстановление после атаки составили 98 миллионов долларов.

История знает много громких случаев нарушения безопасности хакерами, которые, используя недостатки защиты существующих систем, получают права доступа к конфиденциальной информации. Это и финансовые нарушения (например, взлом Ситибанка в 1994 году с кражей 373 тыс. долларов), и промышленный шпионаж, и просто вандализм. Еще свежи в памяти нашумевшие в 2002 году распределенные атаки на отказ в обслуживании (DDOS), которые принесли нескольким информационным гигантам многомиллиардные потери.

Можно подумать, что подобные проблемы грозят только крупным корпорациям. Действительно, обычно организация и проведение сетевых атак требует высокого уровня профессионализма злоумышленника, но, зачастую, пренебрежение данными угрозами может привести к возможности провести атаку человеку, не обладающему какими-то особенными знаниями. Достаточно понять какой ущерб будет нанесен фирме, если, например, финансовая информация обо всех сделках компании, всех партнерах и другая бизнес-информация будет похищена и передана конкурентам.

Обнаруживать, блокировать и предотвращать атаки можно несколькими путями. Один из таких способов состоит в использовании “систем обнаружения атак” (Intrusion Detection System). Данные системы позволяют обнаружить атаку в процессе ее реализации, то есть в режиме реального времени. Недостаток средств данного класса состоит в том, что атака может быть реализована повторно и повторно заблокирована и т.д. Это приводит к повторной трате вычислительных и сетевых ресурсов. Есть несколько способов решения данной проблемы – например, интеграция данных систем с межсетевыми экранами. В этом случае, при обнаружении атаки IDS устанавливает в межсетевом экране дополнительные правила, блокирующие в последствии пакеты от атакующих узлов. Другой способ состоит в предотвращении атак до их реализации – путем поиска уязвимостей и избавления от них.

Сигнализация при угрозах нарушения безопасности

Согласно словам самого успешного бизнесмена на Земле Билла Гейтса плохие новости должны приходить раньше хороших. И чем раньше станет известно о нарушении безопасности, тем эффективней будет результат от противодействий. Таким образом, подсистема безопасности должна оповещать ответственные лица о возникновении угрозы безопасности. Обычно для этих целей используется посылка уведомляющего письма по электронной почте, запись в файл или электронный регистрационный журнал. Также могут использоваться звуковые и световые сигналы. Иногда подобные уведомления могут печататься на локальном принтере или отсылаться как сообщение ICQ.

Наиболее совершенным является получение сообщения SMS на сотовый телефон. В этом случае, где бы ни находился администратор безопасности, он будет уведомлен практически мгновенно.

Контроль использования ресурсов

При подключении к Интернет возникает необходимость контроля нескольких видов ресурсов. Это информационные и людские ресурсы. В основном, контроль нужен из финансовых соображений. Подключение к Интернет и использование информационных ресурсов этой глобальной сети не является бесплатным. Провайдеры устанавливают гибкие системы тарифов. Обычно организация оплачивает на месяц некоторый гарантированный объем трафика, а по прошествии месяца по повышенным расценкам оплачивает превышение трафика. У большинства московских провайдеров дополнительный трафик стоит в пределах 0,03 – 0,1 доллара за мегабайт. Поэтому неделовой трафик будет приносить расходы организации. Кроме того, использование информационных ресурсов не во благо компании отбирает часть рабочего времени сотрудников.

В соответствии с вышесказанным можно выделить задачи контроля ресурсов, которые рассмотрены в следующих пунктах.

Подсчет объемов потребляемого Интернет-трафика – биллинг

Данная технология позволяет точно узнать, сколько расходуется трафика ежедневно и ежечасно, какие услуги является наиболее используемыми – Web, электронная почта или другие, какие локальные подсети являются основными потребителями Интернета с детализацией до отдельного компьютера, какие внутренние открытые ресурсы являются популярными у внешней части Интернета и т.д.

Биллинговыми системами пользуются провайдеры, ведущие учет трафика, потребленного клиентами, офисы, подключенные к Интернет, появившиеся в последнее время в большом количестве домашние сети и конечные пользователи. Такие системы также могут использоваться для контролирования информационных потоков внутри локальных сетей.

Эффективное использование Web

К способам увеличения эффективности использования Web-трафика можно отнести следующие современные технологии:

1.            кэширование страниц

Очень часто при совместном использовании Интернет, разные пользователи запрашивают одну и ту же информацию. Кэширование Web-страниц позволит избежать повторной загрузки ресурсов, экономя трафик и ускоряя последующую выдачу страниц (так как страница не скачивается снова из Интернета, а берется с локального диска). Кэширование Web может быть прозрачным для пользователей – это реализуется путем перенаправления на маршрутизаторе потока Web-запросов на локальный кэширующий сервер.

2.            вырезание из Web трафика запросов на ненужные ресурсы

Иногда Web-страницы содержат много ненужной информации. Например, это могут быть рекламные баннеры. В отличие от телевидения использование Интернет можно сделать более эффективным. Для этого нужно исключать из трафика протокола HTTP запросы на ресурсы баннерных сетей. Эта возможность также экономит трафик и ускоряет загрузку Web-страниц.

Работа в Интернет при малом количестве выданных Интернет-адресов

Обычно в корпоративной сети для внутренних коммуникаций используются частные адреса (специальные диапазоны частных адресов в IPv4 или адреса для локального использования в IPv6), назначаемые самой организацией, а для коммуникаций через Internet - глобальные адреса, уникальность которых обеспечивается такими органами как IANA или другими уполномоченными организациями.

Организациям, желающим предоставлять свои ресурсы во всеобщее пользование в Интернет, выделяется блок реальных IP-адресов, в отличие от специальных диапазонов, предназначенных для локальных сетей. В связи с дефицитом реальные IP-адреса в настоящее время выдаются малыми блоками, получить блок размером даже в 64 адреса для обычной компании достаточно сложно. Да и стоимость эксплуатации больших блоков выше.

Но как тогда сделать так, чтобы компьютеры в локальной сети имели доступ к публичным ресурсам Интернета? Ведь все маршрутизаторы на пути между общающимися узлами должны знать маршрут в обоих направлений. Данную проблему решает использование технологии “трансляции сетевых адресов” (Network Address Translation - NAT). Данная технология позволяет использовать малое количество реальных IP адресов большим количеством локальных компьютеров. Обычно трансляция адресов осуществляется на граничном маршрутизаторе, который “знает маршруты до локальных компьютеров”. При средней интенсивности трафика одного реального IP-адреса может вполне хватать для работы 100 компьютеров. Таким образом, данная технология позволяет существенно экономить ресурс Интернет-адресов.

Провайдеры Интернет не поддерживают маршруты к частным диапазонам адресов, поэтому их использование автоматически исключает возможность атаки на узел с частным адресом извне корпоративной сети, что существенно повышает безопасность сети. Таким образом, технология NAT обеспечивает скрытие внутренних адресов от внешних пользователей, так что внешний пользователь не может ни изучить внутренний адрес из перехваченного пакета, ни даже использовать его для непосредственной отправки пакета внутреннему узлу, если он каким-то образом все же получил сведения о внутреннем адресе.

Блокирование нежелательных почтовых рассылок

В последнее время стали учащаться случаи жалоб пользователей Сети Интернет на то, что в их адрес приходит все больше и больше непрошеной корреспонденции рекламного характера. Такие письма называются в Сети спамом.

Спам в современном Интернете является предосудительным занятием и в законодательстве ряда стран предусмотрены те или иные виды ответственности за подобного рода деятельность. Например, в США один из крупнейших провайдеров Интернет America Online (AOL) каждый месяц выдвигает по несколько судебных исков к спамерам, которые занимаются систематической рассылкой рекламы в адреса ее клиентов. Чем же так плох спам? Зачастую пользователи просто не обращают внимания на сетевую рекламу, удаляя такие сообщения из своих почтовых ящиков. На самом деле пагубность таких рассылок заключается в том, что спамеру это практически ничего не стоит, зато дорого обходится всем остальным, как получателю спама, так и его провайдеру. Большое количество рекламной корреспонденции может привести к излишней нагрузке на каналы и почтовые серверы провайдера, из-за чего обычная почта, которую, возможно, очень ждут получатели, будет проходить значительно медленнее. Спамер практически ничего не платит за то, что передает почту. За все расплачивается получатель спама, оплачивающий своему провайдеру время в Сети, затрачиваемое на получение не запрошенной корреспонденции с почтового сервера.

По собственному опыту автор может сказать, что для фирмы, достаточно активно взаимодействующей с публичными ресурсами, соотношение количества спама к количеству полезных писем может достигать значения 2 к 1 и выше. Конечно, не доставляет никакого удовольствия заниматься вручную фильтрацией пришедших писем, тем более что можно нечаянно удалить полезное письмо. Поэтому, было разработано много различных способов автоматической фильтрации сообщений. Один из способов – проведение контекстного анализа электронного письма на наличие общеупотребительных в рекламных письмах фраз, выражений. Другой способ – ведение списков SMTP-серверов, разрешающих бесконтрольную рассылку писем через них – это могут быть сервера, специально созданные для целей рассылки спама, а могут быть просто некорректно настроенные сервера. Такой способ используется в системах Realtime Blackhole List (http://mail-abuse.org/), ORBZ (www.orbz.org), SPEWS (www.spews.org), и др.

Данной проблемой в России занимаются несколько организаций. Наиболее известная из них - Открытый Форум Интернет-Сервис-Провайдеров (www.ofisp.org).

Контроль неделового использования Интернет

В связи с практически безграничным ростом ресурсов Интернета возникает ряд дополнительных параметров контроля и управления доступом в Интернет со стороны сотрудников организации. На Западе проблема так называемого неделового использования Интернета на рабочем месте стала настолько распространенной, что получила специальное название - киберслэкинг (CyberSlacking).

Злоупотребление Интернетом всегда снижает производительность труда служащих, часть рабочего времени которых уходит на просмотр развлекательных ресурсов, загрузке музыкальных и видеороликов, общению во всевозможных чатах, конференциях и посредством IM. Помимо этого, значительно увеличивается Интернет-трафик, что приводит, с одной стороны, к увеличению расходов организации (ISP берут плату при превышении лимита загруженных данных, либо по-мегабайтную оплату), а с другой - к снижению производительности корпоративной сети. Не следует забывать и об опасности внесения "вовнутрь" компьютера и сети всевозможных вирусов и "троянских коней", причем самых свежих модификаций.

Статистика

Можно привести следующую статистику касаемо этого вопроса:

·          согласно данным ФБР и Института компьютерной безопасности США, 97% организаций столкнулись со злоупотреблениями сотрудников в области использования Интернет. По данным eMarketer.com, 32% пользователей, “блуждающих” по Интернет, не имеют никакой конкретной цели и “ходят по Сети просто так”;

  • потери, вследствие непроизводительного использования Интернет (в США), составляют до 96000 долларов в год на одного сотрудника. Можно рассчитать эти потери и самому – просто умножив часовую зарплату сотрудника на количество рабочих дней в году. Цифры получаются немалые, которые дополняются расходами на сетевой трафик;
  • 80% компаний сталкиваются с тем, что их сотрудники передают личные данные, используя корпоративную электронную почту;
  • 28% пользователей осуществляют покупки в Интернет в рабочее время;

·          основной объем порнотрафика (70%) передается именно в рабочие часы (с 9 утра до 5 вечера);

·          За последний год до 90% организаций, имеющих доступ в Интернет, сталкивались с случаями передача конфиденциальной информации за пределы компании. Для защиты от такого рода напастей недостаточно применять обычные антивирусные системы и межсетевые экраны.

Стоимость киберслэкинга

Чтобы приблизительно оценить ежемесячные дополнительные расходы компании на Интернет, проведем небольшой расчет. Пусть в организации, подключенной по выделенному каналу, с Интернет работает 10 сотрудников. Предположим, что ежедневно пять из них тратят около двух часов в Интернет "не по делу". Сделаем еще несколько допущений: средняя заработная плата сотрудников – 350 долларов в месяц, рабочая неделя составляет 40 часов, а за дополнительный Internet-трафик компания платит 5 центов за каждый мегабайт. Рабочий час сотрудника, согласно сделанным предположениям, стоит порядка 2 долларов. Тогда из-за неделового использования Сети компания потеряет 2 х 5 (число сотрудников) х 2 (часа в день) х 5 (рабочих дней в неделе) х 4 (недель в месяце) = 400 долларов в месяц. В среднем, при скоростном подключении к Интернет за час работы можно загрузить 10 и более мегабайт. Из расчета 10 Мбайт в час получаем дополнительный трафик 10 х 2 х 5 х 5 х 4 = 2000 мегабайт в месяц. По среднерыночным ценам такой дополнительный трафик обойдется компании еще в 100 долларов ежемесячно. Итак, потери от всего лишь 5 сотрудников можно оценить в 500 долларов и это для такой маленькой компании. Таким образом, становится очевидно, что бороться со злоупотреблением Интернет нужно. Осталось только решить, каким образом.

Способы контроля

Выход из такой ситуации - регламентация, регулирование и контроль над доступом и использованием каждым сотрудником сетевых ресурсов: отслеживание трафика каждого пользователя, создание отчетов об использовании ресурсов Интернета и других сетей, осуществление управления доступом. Конкретная реализация контроля зависит от внутренней политики организации и от корпоративной культуры, например:

·          руководители организации могут разрешать своим сотрудникам свободный доступ в Интернет лишь во время перерыва;

·          в рабочее время надо работать, поэтому доступ к спортивным, новостным и развлекательным Web-ресурсам запрещен;

·          доступ разрешен лишь к отдельным страницам и службам;

·          разрешен неограниченный доступ, но генерируются отчеты;

·          для каждого конкретного пользователя разрешен конкретный вид доступа.

Запрет или разрешение, в данном случае, носит не административный, а технический характер и осуществляется блокированием того или иного ресурса, сетевого протокола или службы. В случае применения административных мер контроль осуществляется с использованием отчетов, которые:

·          позволяют оценить использование Интернет/интранет в количественном и процентном соотношении, например, сколько процентов от общего количества загруженных данных приходится на того или иного пользователя;

·          предоставляют детальную информацию, например, какой конкретно HTML-документ был просмотрен, какая информация была загружена каким пользователем, в какое время и т.д.

Анализ существующих решений

Межсетевые экраны

Каждый из популярных в настоящее время брандмауэров нельзя отнести к какому-то конкретному типу. Современные межсетевые экраны являются либо комплексными, либо сочетают в себе функции систем Firewall нескольких типов – экранирующего маршрутизатора, шлюза сеансового уровня, прикладного шлюза, а также шлюза экспертного уровня. Любой из них разработан на основе определенной концепции и уникального подхода.

Одним из наиболее эффективных средств разграничения межсетевого доступа является программный комплекс Firewall-1, разработанный компанией Check Point Software Technologies.

Положение компании CheckPoint как мирового лидера в области интегрированных продуктов безопасности позволяет комплексно решить задачу совершенствования системы безопасности на основе продуктов CheckPoint, а также продуктов третьих фирм, поддерживающих открытые стандарты. Предложенная компанией CheckPoint в 1997 году платформа интеграции продуктов безопасности на основе открытых стандартов OPSEC (Open Platform for Secure Enterprise Connectivity) сегодня поддерживается более чем 200 производителями, многие из которых являются членами OPSEC Alliance. Популярность платформы OPSEC позволяет включать в систему безопасности предприятия лучшие в своей области продукты, которые дополняют возможности продуктов CheckPoint и обеспечивают высокую степень интеграции с FireWall-1/VPN-1 на основе стандартных протоколов и API.

В таблице 1 приведены известные решения разных фирм в области информационной безопасности и их основные характеристики. Видно, что серьезные продукты представляют также компании Cisco (Secure PIX Firewall), Symantec (Symantec Enterprise Firewall), WatchGuard (Firebox 1000) и Aker Security Solutions (Aker). К сожалению, отечественные разработки пока не могут конкурировать с этими продуктами.

Таблица 1

Основные характеристики межсетевых экранов

Характеристика / Средство

PIX Firewall 520

Firebox 1000

Firewall-1

Aker

Symantec Firewall

ССПТ-1 НПО РТК

Континент-К

Застава-Джет

ViPNet Office Firewall

Наличие аппаратной реализации

+

+

+

+

+

+

Наличие программной реализации

+

+

+

+

+

  • для Windows NT/2000

+

+

+

  • для Solaris

+

+

  • для Linux

+

+

  • для FreeBSD

+

Количество сетевых интерфейсов

  • два

+

  • три и более

+

+

+

+

+

+

+

+

Технология функционирования

  • пакетная фильтрация

+

+

+

+

+

+

+

+

+

  • использование proxy

+

+

+

+

+

  • контекстная проверка

+

+

+

+

Эффективность управления

  • наличие GUI

+

+

+

+

+

+

+

+

+

  • шифрование управл. трафика

+

+

+

+

+

+

+

  • централизованное управление несколькими брандмауэрами

+

+

+

+

+

  • проверка на непротиворечивость базы правил

+

+

+

+

Аутентификация

  • администратора

+

+

+

+

+

+

+

+

+

  • пользователей

+

+

+

+

+

+

  • интеграция с имеющейся базой учетных записей

+

+

+

+

Трансляция IP-адресов

+

+

+

+

+

+

+

Поддержка шифрования (VPN):

  • между брандмауэрами

+

+

+

+

+

+

+

  • между удаленным клиентом и брандмауэром

+

+

+

+

+

+

+

HTTP-фильтрация, включая блокирование мобильного кода

+

+

+

+

Защита от типовых атак (IP-spoofing, Denial of Service и др.)

+

+

+

+

+

+

+

+

+

Обнаружение сканирования портов

+

+

+

+

Аудит и сигнализация

  • регистрация событий

+

+

+

+

+

+

+

+

+

  • сигнализация

+

+

+

+

+

+

  • генерация отчетов

+

+

+

+

Наличие сертификатов:

  • Гостехкомиссии России

+

+

+

+

+

+

+

+

+

  • ICSA

+

+

+

+

Биллинговые системы

Выделяют две главные задачи биллинговых систем: сбор статистики об использовании сетевого трафика и автоматический учет денежных средств за потребленные услуги.

Перечислим обычные возможности биллинговых систем:

·          ведение детального учета трафика по портам, протоколам, автономным системам, интерфейсам на маршрутизаторе и др.;

·          возможность работы в “неразборчивом” (promiscuous) режиме, то есть установка не на маршрутизатор, а внутри non-switched сети;

·          управление через Web-интерфейс.

Можно также выделить необязательные, но иногда требуемые функции:

·          правильная обработка данных при использовании трансляции адресов (NAT) или кэширующих прокси-серверов;

·          деление на российский/зарубежный трафик (по маскам сетей);

·          установка квот на расход трафика (в т.ч. т.н. ”мягких” квот);

·          поддержка IP-телефонии;

·          съем статистики с нескольких маршрутизаторов.

Структурно биллинговые системы включают как минимум три основных компонента:

    1. модуль сбора статистических данных с сетевых устройств, осуществляющих маршрутизацию IP потоков, или напрямую из сетевых пакетов в “неразборчивом” режиме;
    2. модуль хранения и преобразования статистической информации;
    3. модуль выборки данных о трафике со стороны администратора и конечных пользователей системы.

В таблице 2 приведены некоторые биллинговые системы и их характеристики.

Таблица 2

Характеристики биллинговых систем

Характеристики / Средство

FreeSide

TMeter

NeTAMS

NetUP UTM

LANbilling

i-Stat

Билл-Мастер

Поддержка ОС:

·          Linux

+

+

+

+

+

+

·          FreeBSD

+

+

+

+

·          Solaris

+

·          Windows

+

+

Используемые СУБД:

·          Informix

+

·          MySQL

+

+

+

+

+

·          PostgreSQL

+

+

·          Oracle

+

Работа в “неразборчивом” режиме

+

+

+

+

+

+

Поддержка Cisco NetFlow

+

+

+

+

+

Разделение на российский/зарубежный трафик

+

+

Контроль баланса клиентов

+

+

+

+

+

Система квотирования

+

+

+

Стоимость, долл.

0

0

0

200

240

2000

3000-

Обоснование разработки

Анализ продуктов, решающих вышеперечисленные задачи, приводит к тому, что в настоящий момент есть два пути.

Первый состоит в использовании интегрируемых продуктов, например, использовать платформу OPSEC фирмы CheckPoint. В настоящий момент многофункциональный корпоративных межсетевой экран можно приобрести примерно за 3 тыс.долларов. Но в то же время следует заметить, что стоимость наиболее развитых Firewall начинается от 10 тыс.долларов. Несомненно, что данные решения представляют весь спектр защитных функций, которые только могут понадобиться в корпоративных сетях. Однако, для малых и средних фирм это решение не подходит, так как является слишком дорогим.

Второй путь состоит в использовании продуктов различных фирм, разработанных для решения каждой задачи отдельно. Но такие продукты будут плохо интегрироваться, то есть будут требовать отдельной настройки, что также выльется в приличную общую стоимость. Также плохая интегрированность таких продуктов может вылиться в то, что они будут мешать друг другу, и тогда, при поиске причины неисправности нужно будет пересмотреть настройки каждого компонента.

Кроме того, оба описанных пути решения включают необходимость обучения технического персонала для работы с каждым устанавливаемым продуктом.

В настоящий момент не существует такого решения, которое интегрированно решало бы все описанные выше задачи и было доступным (в пределах 1 тыс. долларов) большинству подключающихся к Интернету организаций.

Впрочем, для разных категорий объектов подходят свои методы защиты, и не имеет смысла на каждый жилой дом ставить зенитку и систему противоракетной обороны. И в задачи охранника жилого дома входит борьба с хулиганами и ворами, но никак не отражение атаки коммандос и не отлов профессиональных разведчиков.

Необходимо отметить программное решение компании Astaro – Astaro Secure Linux (www.astaro.com). Оно позволяет интегрированно решить практически все вышеперечисленные задачи. Но это программное решение, а, следовательно, для его использование необходимы дополнительные усилия и расходы по подбору аппаратной платформы и установке ПО.

Аппаратная реализация является наиболее эффективным решением. Такое устройство будет узко специализировано только под решение данных задач, и его нужно будет только установить в нужное место сети и один раз настроить для правильного функционирования.

Для того чтобы каждый программный компонент, решающий свою задачу, не разрабатывать самому, можно взять уже разработанное ПО, распространяемое со свободной лицензией GNU. Наиболее известной разработкой, распространяемой с этой лицензией, является ядро операционной системы Linux. В настоящее время Linux является серьезной платформой, разрабатываемой тысячами программистов по всему свету, и поддерживаемой такими информационными гигантами, как IBM, Hewlett Packard, Sun Microsystems. Сейчас Linux перенесен на огромное количество аппаратных платформ и используется не только как сетевая ОС, но и в высокопроизводительных кластерах (например, IBM eServer) и различных специализированных контроллерах. Все это возможно благодаря уникальной модульной структуре ядра Linux, позволяющей настраивать его для эффективной работы под каждую уникальную задачу.

Таким образом, себестоимость устройства, построенного на основе ПО с лицензией GNU, будет намного меньше, чем у фирм, которые полностью сами разрабатывают свои продукты.

Разработка ПО будет включать две важные задачи. Во-первых, это такая настройка операционной системы Linux, чтобы она включала настроенное нужным образом ядро (то есть без лишних функциональных возможностей, а только с теми, которые нужны) и только нужные системные компоненты.

Вторая задача будет состоять в разработке ПО, которое будет интегрировать выбранные программные компоненты. Это не простая задача, так как нужно обеспечить интуитивно понятный интерфейс для пользователя. Все компоненты системы должны настраиваться через этот единый интерфейс.

Существует мнение, что “не стоит класть все яйца в одну корзину”. Поэтому, нужно обеспечить модульную структуру разрабатываемого устройства, так что при желании можно было бы активизировать только нужные функции. Тогда можно подключить несколько таких устройств, каждое из которых решало бы свое множество задач. Например, одно устройство можно установить на “горло” сети (между локальной сетью и Интернетом) и настроить на нем функции пакетной фильтрации, NAT и биллинга. Этот минимальный набор функций не скажется сильно на скорости маршрутизации. Внутри сети можно установить другое такое устройство, которое будет реализовывать другие функции – создание виртуальной частной сети, кэширование и контроль Web-трафика, антивирусный фильтр и фильтр спама для электронной почты и систему обнаружения вторжений.

Список использованных источников информации

  1. Зима В. М, Молдовян А. А., Молдовян Н. А. Безопасность глобальных сетевых технологий. BHV-Санкт-Петербург, 320 с., 2002
  2. Медведовский И.Д.и др. Аспекты защиты. Атака из Internet. Солон, 368 с., 2002
  3. Виктор Олифер. Совершенствование системы безопасности предприятия на основе продуктов компании CheckPoint Software Technologies. (www.citforum.ru/internet/securities/sec_checkp.shtml), Корпорация Uni
  4. Виктор Олифер. Направления развития средств безопасности предприятия. (www.citforum.ru/internet/securities/napravl_razv.shtml), Корпорация Uni
  5. Thomas H. Ptacek, Timothy N. Newsham. Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection. (http://www.snort.org/docs/idspaper/), Secure Networks, Inc., 1998
  6. Snort. Network Intrusion Detection System. (http://www.snort.org/)
  7. А. В. Лукацкий . Firewall - не панацея. (www.citforum.ru/internet/securities/fw_pan.shtml), Научно-инженерное предприятие "Информзащита"
  8. Биллинговая система i-Stat (http://istat.altay.ru/)
  9. Биллинговая система NetUP UTM (www.netup.ru)
  10. Биллинговая система NeTAMS. Network Traffic Accounting and Management System. (www.netams.com)
  11. Astaro Security Linux (www.astaro.org)