Межсетевые экраны (1/1)

Здравствуйте!

В данной лекции мы поговорим о межсетевых экранах, о том зачем они нужны, какими они должны быть и где они должны устанавливаться. Рассмотрим определение межсетевого экрана, поговорим о нюансах этого определения. Рассмотрим известные  типы межсетевых экранов и поговорим о существующем недостатке в идеологии нынешних межсетевых экранов. Приведем пример разграничения доступа с помощью дискреционного механизма и пример разграничения доступа с помощью механизма управления потоками на основе меток безопасности. И на основании рассмотренного предложим вариант устранения существующего недостатка МЭ.

Итак, согласно определению Межсетевой Экран (МЭ) – это локальное или функционально-распределенное программное (или программно-аппаратное) средство, реализующее контроль за информацией, которая поступает в автоматизированную систему и/или выходит из нее.

Межсетевой Экран обеспечивает защиту автоматизированной системы посредством фильтрации информации. То есть анализа данной информации по совокупности критериев и принятия решения о ее распространении в (или из) АС на основе заданных правил. Таким образом проводится разграничение доступа субъектов из одной автоматизированной системы к объектам другой. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной автоматизированной системы получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров. Эти фильтры разрешают или запрещают передачу данных (или пакетов) на следующий фильтр или уровень протокола.

Из этого определения следует, МЭ различаются по типу реализации (локальные или функционально-распределенные средства), но не различаются по типу контроля.

Действительно, из определения следует, что достаточно реализовать только разграничение доступа субъектов одной АС к объектам другой АС. При этом отсутствует всякое упоминание контроля потоков информации, т. е. предполагается наличие дискреционного механизма разграничения доступа, но отсутствует мандатный механизм. Это, конечно, странно, т. к. хорошо известны ограничения дискреционного механизма – его целесообразно применять для защиты локальных ресурсов, но эффективность его проблематична для глобальных сетей.

Рассмотрим известные типы МЭ:

1. Межсетевые экраны на основе фильтрации пакетов (ФП) анализируют значения полей «адрес» и «порт» в заголовке IP-пакета и на основании заранее определенных правил пропускают или отклоняют пакет. Ясно, что на основе межсетевых экранов фильтрации пакетов ничего напоминающего мандатный механизм реализовать невозможно. Однако простота, дешевизна и незначительное влияние на производительность сети позволяет найти место для применения экранов этого типа.
2. Межсетевые экраны на основе технологии контекстной проверки (КП) просматривают пакеты на сетевом уровне и анализируют некоторые данные в пакете по отношению к применяемым сервисам. В политике информационной безопасности, реализуемой с применением этого типа МЭ, обычно требование доступности является более значимым, чем целостность и конфиденциальность. В связи с этим для принятия жестких мер защиты информации такие МЭ не всегда подходят.
3. Межсетевые экраны на основе технологии «посредника» являются промежуточным звеном передачи пакетов между сервером и клиентом. Явно определяется допустимое подмножество команд для конкретного протокола, а все прочие будут отклонены. При этом МЭ с посредником в общем случае не проверяют содержащиеся в пакете данные. То есть в этом случае наиболее последовательно реализуется дискреционная модель, но все равно – даже не предусмотрена возможность реализации мандатной модели.

В целом из рассмотренного можно сделать следующий вывод - большинство из известных МЭ являются локальными средствами, с той или иной степенью полноты реализующими дискреционный механизм разграничения доступа. Как результат, при применении МЭ фиксируется «место» принятия решения о доступе, но невозможно зафиксировать «место» порождения данных, их семантику и, следовательно, отсутствует возможность анализа потоков.

Как Вы думаете можно ли выяснить намерения человека по цвету его носков? Очевидно, что не всегда. Аналогично, далеко не всегда по адресу источника пакета можно сделать вывод о том, содержит или нет этот пакет фрагмент разрушающего программного воздействия.

Для преодоления выявленных ограничений давайте изучим возможность реализации функционально-распределенного программно-аппаратного средства с поддержкой мандатного механизма управления потоками.

Рассмотрим пример дискреционного разграничения доступа. Пусть дискреционным механизмом определено, что субъект S1 имеет доступ к объектам F1 и F2, а субъект S2 имеет доступ только к объекту F2. В этом случае ничто не помешает S1 скопировать сведения из F1 в F2. При этом S2, обладая доступом к F2, фактически получает доступ к сведениям из F1. Таким образом, защита информации посредством дискреционного механизма не является полной. Необходимо с учетом возможности доступа S2 контролировать также поток от F1 к F2, организованный S1, т. е. необходимо введение мандатного механизма.

Отсутствие мандатного механизма является, на мой взгляд, основной допускаемой в настоящее время ошибкой, от преодоления которой зависит эффективность защиты. Действительно, принятие решения о доступе субъекта к объекту связано с характеристиками субъекта и объекта, но очень слабо связано с тем, откуда субъект запрашивает сведения из объекта и с помощью каких средств он это делает.

Теперь рассмотрим пример мандатного разграничения доступа. Известны механизмы управления потоками на основе меток безопасности, включающих как иерархические, так и неиерархические признаки. Данные метки ассоциируются с объектами и субъектами АС, и решение о возможности доступа (организации потока) принимается на основе анализа меток. Проиллюстрировать данный механизм можно следующим образом.

Рассмотрим описание, приведенное на слайде (ID (I; P1, P2,...Pn)), где

ID – идентификатор или субъекта (Si), или объекта (Fi);

I –  иерархический признак;

Pi — неиерархический признак.

Пусть иерархические признаки описывают подмножества степеней зрелости:

1 – белый, зеленый, желтый, красный

2 – белый, зеленый, желтый

3 – белый, зеленый

4 – белый

Неиерархические признаки описывают семантику (тематику) сведений, содержащихся в объекте:

1 – манго

2 – яблоки

3 – груши

Пусть для объектов и субъектов заданы правила, приведенные на слайде (S1 (2; 1, 2, 3), S2 (1; 2, 3), F1 (3; 2, 3), F2 (4; 1, 2))

Субъекту S2 доступны сведения о яблоках и грушах (неиерархические признаки 2 и 3) всех степеней зрелости — белых, зеленых, желтых и красных (иерархический признак 1), но недоступны никакие сведения о манго, даже самых незрелых.

Субъекту S1, напротив, доступны сведения о всех фруктах, информация о которых имеется в системе, но лишь в той мере, пока они зреют. Сведения о созревших фруктах («красных»  - иерархический признак 1) субъекту S1 не доступны.

При этом S1 имеет доступ и к F1, и к F2. Для S2 доступен F1, но недоступен F2, хотя допуск S2 значительно выше грифа F2. Дело в том, что по совокупности неиерархических признаков S2 имеет право доступа к сведениям, касающимся яблок и груш, но не имеет права доступа к сведениям о манго, которые содержатся в F2.

Пусть S1 в процессе обработки F1 и F2 создает объект F3, который при этом может быть описан следующим образом:

F3 (3; 1, 2, 3).

Таким образом, хотя допуск S2 позволяет иметь доступ к сведениям, имеющим гриф как у F3, но S2 не получит доступа к F3, т. к. множество неиерархических признаков S2 уже аналогичного для F3.

Очевидно, что такой механизм позволит контролировать потоки. Необходимым условием при этом является наличие меток безопасности и средств их обработки.

Таким образом, ставя перед собой задачу обеспечения необходимого уровня защиты информации в защищенной ЛВС при доступе в том числе и из открытой внешней сети, необходимо разработать механизмы, которые позволяют осуществлять:

• назначение меток субъектам и объектам АС;
• хранение (привязку) меток в ассоциированном с субъектами и объектами виде;
• сопровождение (обработку и преобразование) меток в жизненном цикле информации.

Подводя итог, отметим, что достижение необходимого уровня безопасности возможно при реализации концепции функционально-распределенного МЭ с поддержкой семантического анализа данных на основе мандатного механизма.

Спасибо за внимание, до встречи на следующей лекции!