Sakaru Pasaule - Žurnāls par
modernām komunikācijām

  
  


Atpakaļ Jaunais numurs Arhīvs Par mums Meklēšana

Ugunssiena bez caurumiem

   

Izmantojot internetu un dažādus datu pārraides tīklus, mūsu komunicēšanās iespējas ir ievērojami palielinājušās

 

Izmantojot internetu un dažādus datu pārraides tīklus, mūsu komunicēšanās iespējas ir ievērojami palielinājušās. Pasaule ir kļuvusi daudz mazāka, un daudzas barjeras informācijas apmaiņā ir nojauktas. Tas ievērojami atvieglo dzīvi, bet mēs esam pieejami ne tikai tiem, kuri vēlas ar mums sadarboties vai uzzināt par mums vairāk, bet arī tiem, kuri dažādu iemeslu dēļ vēlas mums kaitēt.

Uzbrukumi caur internetu un citiem datu pārraides tīkliem ir realizējami samērā vienkārši, un sekas var būt visai būtiskas. Sākot no neliela interneta ātruma samazinājuma un beidzot ar vērtīgas informācijas noplūdi, kā arī uzņēmuma vārda un prestiža zudumu. Būtiski ir apzināties, ka uzbrukumus var veikt arī ne visai profesionāli cilvēki, kuru mērķis nav tieši jūsu uzņēmums. Uzbrukumu var realizēt, izmantojot gatavu programmu, kas iegūta no interneta, un pats uzbrucējs var pat īsti neapzināties, kādas darbības šis programmnodrošinājums veic. Turklāt šī tendence pastiprinās. Agrāk praktiski visus uzbrukumus veica cilvēki, kam bija zināšanas programmēšanā un tīklu darbībā, tagad lielu kaitējumu var radīt pilnīgs diletants. Tādēļ katram uzņēmumam būtu jārūpējas par savu informācijas drošības sistēmu. Ir lietas, kurām ir jābūt obligāti un bez kurām nedrīkstētu pieslēgties ārējiem tīkliem, to skaitā internetam. Runa ir par ugunsmūriem.

 

Kas ir ugunssiena

 

Tā ir iekārta, kas kontrolē datu plūsmu un izveido tīklā vairākas atsevišķas drošības zonas: iekšējā tīkla, ārējā tīkla (internets), demilitarizētā zonā (publiski pieejami serveri – www, e-pasts (SMTP), ftp utt.). Katrā uzņēmumā atkarībā no tīkla uzbūves un funkcijām drošības zonu skaits un funkcijas var atšķirties. Tomēr lietas būtība nemainās – ugunsmūris kontrolē informācijas plūsmu no viena drošības segmenta uz citu. Lai saprastu, kā šī kontrole var būt realizēta un kādas iespējas tas dod, piedāvāju apskatīt iekārtu Cyberguard.

Ugunsmūris ir specializēts dators. Tam kā jebkurai šāda veida iekārtai ir operacionālā sistēma (OS), kas nodrošina iekārtas darbību. Ugunsmūra darbības uzdevumi ir visai specifiski, un gadījumos, kad OS ir kādi vājie punkti, tos var izmantot, lai grautu vesela uzņēmuma drošību. Standarta OS šiem mērķiem ir maz piemērotas. Daudzas no tajās iekļautajām funkcijām ir pilnīgi liekas ugunsmūrim, bet daudzas - pat bīstamas sistēmas drošībai. Protams, ir iespējams censties lāpīt šīs OS, bet laika gaitā tiek atklāti jauni ielaušanās paņēmieni un tas noved pie jauniem drošības pārkāpumiem un jaunas lāpīšanas.

 

Specializēta OS ugunssienai

 

Cyberguard izmantoto savu OS, kas ir daudzlīmeņu drošības sistēma. OS sistēma ir sadalīta līmeņos. Augstākais līmenis ir savienots ar tīklu, un tas veic pašu informācijas filtrēšanu. Zemākais līmenis nodarbojas ar sistēmas resursu un konfigurācijas vadību. Starp līmeņiem ir šādas attiecības - augšējais līmenis nedrīkst rakstīt apakšējā un apakšējais līmenis nedrīkst lasīt no augšējā. Darbība pretējā virzienā ir atļauta. Šis princips sākumā šķiet mazliet sarežģīts, bet būtība ir tāda, ka informācija no nedrošas vides (tīkla) nevar mainīt sistēmas pamata darbību (konfigurāciju, pagaidu lielumus, statistiku), taču droša konfigurācija un vadības līmenis var izmainīt nedrošo tīkla līmeni (piemēram, aizliegt kādu savienojumu). Jāsaprot, ka šeit nav runa par lietotāju privilēģijām, jo OS līmeņi stāv pāri lietotāju piekļūšanas tiesībām. Tādēļ Cyberguard OS jaunus uzbrukumu veidus atraida, nevis tos fantastiskā vai mistiskā kārtā paredzot vai arī pēc notikušā lāpot sistēmu, bet izmantojot drošus darbības principus.

 

Filtrēšanas metodes

 

Kad OS sistēma ir droša, var sākt runāt par to, kādā veida notiek informācijas filtrēšana. Pasaule eksistē visai daudz dažādu mehānismu, ar kuriem var noteikt, kas jādara ar to vai citu datu plūsmu. Metodes var klasificēt pēc tā, līdz kuram OSI līmenim ugunsmūris spēj analizēt šīs datu plūsmas. Dziļākai analīzei, protams, vajag lielākus sistēmas resursus, bet tā nodrošina lielāku drošību un iespēju veikt filtrēšanu pēc sarežģītākiem parametriem. Būtiski, lai ugunsmūra administratoriem būtu iespēja izvēlēties, kādas aplikācijas analizēt ļoti dziļi un kādas ne, tādējādi lietderīgi patērējot sistēmas resursus. Cyberguard piedāvā izmantot filtrēšanai dinamisko filtrēšanu un aplikāciju Proxy.

Dinamiskā filtrēšana ir ļoti ātra, jo informācijas paketes tiek pārtvertas jau trešajā līmeni, bet piedāvātais drošības līmenis nav visai augsts. Savukārt aplikāciju Proxy tehnoloģija spēj nodrošināt ļoti dziļu informācijas analīzi un augstu drošības līmeni, bet darbības ātrums nav visai liels. Šī tehnoloģija darbojas 7. OSI līmenī. Konfigurējot Cyberguard ugunsmūri, administratoriem ir iespēja izvēlēties vai nu izmantot tikai dinamisko filtrēšanu, vai arī abas tehnoloģijas. Lielākā daļa ugunssienu ražotāju piedāvā tikai dinamisko filtrēšanu ar dažādiem tās uzlabojumiem, un ir visai maz kompāniju, kas nopietni attīsta aplikāciju Proxy tehnoloģiju.

 

Proxy kā filtrēšanas tehnoloģija

 

Aplikāciju Proxy darbības pamatā ir servera imitācija un atrašanās pa vidu starp klientu un īsto serveri. Visus klienta pieprasījumus no sākuma izpilda aplikāciju Proxy, un, kad ir saprotams, ka pieprasījums ir korekts un atļauts, tas vēršas pie reālā servera, pārsūtot klienta pieprasījumu. Otrā virzienā darbība notiek analoģiski - īstais serveris pārsūta informāciju aplikāciju Proxy, kas to izpilda, un, ja viss ir korekts un atļauts, tad tā tiek pārsūtīta klientam.

Ar vārdu izpilda ir jāsaprot tas, ka visu 7 OSI līmeņu dienesta informācija tiek noņemta un pārbaudīta atbilstībai standartiem. Ja tiek konstatēta neatbilstība, savienojumu pārtrauc. Rezultātā notiek nevis vienkārša atsevišķu virsrakstu lauku pārbaude un zināmu uzbrukumu meklēšana, bet gan totāla dienesta informācijas noņemšana, pārbaude un jaunas ugunsmūra veidotas dienesta informācijas pievienošana tīriem datiem. Posmā, kad visa dienesta informācija ir noņemta, ir iespējams veikt datu pārbaudi pēc satura (piemēram, vīrusu, skriptu pārbaude, e-pasta adresātu un satura kontrole). Tādējādi iegūstama sistēma, kas ir noturīga pret augsta līmeņa uzbrukumiem.

Proxy tehnoloģijai, protams, ir arī trūkumi. Pirmkārt, tai vajag visai ievērojamus resursus. Šajā ziņā mūsdienu skaitļošanas jaudas attīstās visai strauji un, izmantojot simetriski vairāku procesu apstrādi, ir iespējams iegūt labus rezultātus. Cyberguard veiktspējas testi ierindo to pirmajā trijniekā pasaulē, un ir iespējams iegādāties ļoti lielas veiktspējas iekārtas.

Otrs trūkums ir tas, ka katrai aplikācijai ir jābūt speciāli izstrādātam atbalstam, jo katrs protokols augstākajos OSI līmeņos ir atšķirīgs. Šajā ziņā Cyberguard piedāvā visai plašu klāstu – HTTP, SSL, FTP, SMTP, RealAudio u. c. Ja nepieciešams, ir iespēja pašiem uzrakstīt specifisku aplikāciju Proxy. Šim nolūkam ir gatavas sagataves.

Trešais trūkums. Parasti Proxy tehnoloģija ir saistīta ar, to ka klientiem pieprasījumi ir jāsūta tieši uz aplikāciju Proxy, tāpēc jāmodificē klienta programma. Piemēram, praktiski visās web pārlūkprogrammās ir Proxy serveru atbalsts, bet, ko darīt ar aplikācijām, kurām šādu iespēju nav? Cyberguard ugunsmūris neprasa lietotāju programmu modifikāciju. Tā pati var pārķert jebkuru tieši sūtītu savienojumu un to izanalizēt, izmantojot aplikāciju Proxy. Protams, ir iespējama sadarbība arī ar modificētam programmām, kas tieši vēršas pie ugunsmūra.

Ceturtais trūkums. Parasti aplikāciju Proxy nav izmantojami serveru aizsardzībai. Šis trūkums izriet no iepriekšējā, jo, ja klienta aplikācija ir jāmodificē, tad to varam nodrošināt tikai uzņēmumā, nevis globālā tīklā. Tā kā Cyberguard ugunsmūris var sadarboties ar dažādiem klientiem, tajā ir iestrādātā arī iespēja aizsargāt no ārienes ieejošos savienojumus uz publiski pieejamiem serveriem. Turklāt Cyberguard aplikāciju Proxy atbalsta vairākus vienādus viena servisa serverus un var starp tiem dalīt slodzi. Ja viens to tiem nebūs pieejams, automātiski notiks visu pieprasījumu pāradresācija uz darboties spējīgo. Parasti citām iekārtām šādai funkcionalitātei vajag papildu izdevumus vai arī to realizē uz atsevišķām iekārtām.

No visa iepriekš minētā secināms, ka, attīstoties skaitļošanas tehnikas jaudām un veicot Proxy tehnoloģijas uzlabojumus, ir iespējams novērst visus galvenos tās trūkumus un maksimāli izbaudīt drošības līmeni.

 

Cyberguard – produkts bez drošības caurumiem

 

Cygerguard izmanto drošu OS un filtrēšanas tehnoloģiju. To panāk, izmantojot pareizu pieeju un realizējot stingrus principus. Turklāt ugunsmūris tiek piegādāts, nokomplektēts ar nepieciešamās jaudas iekārtu, un rezultātā ir produkts, kuram līdz šim brīdim nav atrasts neviens drošības caurums.

 

Šo informāciju apliecina pats ražotājs un neatkarīgas organizācijas, kuras uzkrāj informāciju par drošības caurumiem (http://www.cert.org, http://www.ciac.org, http://www.securityfocus.com/, http://xforce.iss.net/). Reti kurš ražotājs var lepoties ar šādu statistiku . Pasaulē ir sastopami ļoti populāri produkti, kuru caurumu saraksts jau iegājis otrajā desmitā. Protams, ir iespējams, ka ugunsmūris pasaule nav pazīstams un informācija par tā drošības caurumiem ir interesanta tikai ļoti nelielai cilvēku grupai un tā nav plaši pieejama.

Cyberguard ir pasaulē ļoti pazīstams un ir uzstādīts daudzās NATO, valsts pārvaldes, milzīgās finanšu un korporatīvajās struktūrās (piemēram, to izmanto ASV un Lielbritānijas gaisa un jūras spēki, ASV Federālais izmeklēšanas birojs un Nacionālā drošības aģentūra, Anglijas banka un Austrālijas federālo rezervju banka, AT&T un Boeing).

 

Sertifikācija

 

Ugunsmūrus pasaulē sertificē vairākas organizācijas. Viena no zināmākajām ir ICSA (www.icsalabs.com). Šai sertifikācijai nav nekādu līmeņu, un parasti kompānijas, kas nopietni darbojas ugunsmūru tirgū, šo sertifikātu saņem. Daudz komplicētāka ir Common Criteria un ITSEC sertifikācija. Common Criteria ir līmeņi no EAL1 līdz EAL7, bet ITSEC attiecīgi E1 līdz E6: jo lielāks numurs, jo sertificēšanas kritēriji ir sarežģītāki un attiecīgi iekārtu piedāvātā iespējamā drošība lielāka. Prasības tiek izvirzītas dokumentācijai, produkta attīstībai un izstrādei, tiek veikta iekārtu iespējamo drošības caurumu testēšana, kā arī daudz kas cits. Par šīm sistēmām var lasīt sīkāk www.cesg.gov.uk un www.commoncriteria.org.

Cyberguard ir saņēmis ļoti augstu šo organizāciju novērtējumu. Pasaulē ir tikai vēl viens ugunsmūru produkts, kas ir saņēmis EAL4+ sertifikāciju. Citi ražotāji to nav vispār izdarījuši vai ir saņēmuši zemāka līmeņa sertifikātus. Cyberguard arī ir ICSA sertificēts un ITSEC E3. Šie atzinumi ir saņemti jau pirms laba laika. Daudzi pazīstami ražotāji to ir izdarījuši tikai nesen vai arī vēl ir testēšanas stadijā.

 

Antivīrusu pārbaude

 

Ugunsmūriem ir dažādas papildu iespējas. Nozīmīga ir antivīrusu pārbaude. Šeit var būt dažādi risinājumi. Būtiskākais, lai ugunsmūra pircējs nebūtu saistīts ar šauru antivīrusu ražotāju klāstu. Lai atrisinātu šo problēmu, Cyberguard sadarbībai ar antivīrusu serveri izmanto CVP protokolu. Protokola daļa, kas nepieciešama antivīrusu serverim, ir brīvi pieejama un tādēļ pasaulē ir visai daudz antivīrusu ražotāju, kas to atbalsta. Tādējādi Cyberguard var sadarboties ar ļoti plašu antivīrusu klāstu. Ko pārbaudīt, tas ir konfigurācijas jautājums, bet tie var būt faili no jebkura protokola, ar kura palīdzību tos var sūtīt vai saņemt (piemēram, web, ftp, e-pasts).

 

VPN, satura kontrole, rezervēšana, atskaites un vadība

 

Lielākajai daļai ugunsmūru ir iespējas organizēt šifrētus savienojumus (VPN), kontrolēt informācijas saturu (piemēram, kādiem lietotājiem kāda satura www resursi ir pieejami), ģenerēt grafiskas atskaites par dažādiem notikumiem, rezervēt galveno ugunsmūri un, protams, organizēt šifrētu vienas vai vairāku ugunsmūru grafisku vadību un uzraudzību. Šiem mērķiem Cyberguard ir iebūvējis dažādus rīkus un ir pieejami neatkarīgu ražotāju savietojami produkti. Šo iespēju aprakstam būtu nepieciešams ne viens vien raksts, un tās nemitīgi pilnveidojas, tomēr galvenais ir droši pamati, ko apliecina tas, ka Cyberguard ir produkts bez drošības caurumiem.

 

 

 

BELAM Communications

Nortel Networks oficiālais pārstāvis Baltijas valstīs

 

BELAM-RĪGA, Ģertrūdes ielā 94, tālrunis 7 013 444

BELAM-DAUGAVPILS, Stacijas ielā 85, tālrunis 54 07017

BELAM-VENTSPILS, Fabrikas ielā 4, tālrunis 36 65290

 

 

 
Design and programming by Anton Alexandrov - 2001