Для обеспечения безопасного информационного обмена c сетями общего пользования (например, Internet), сегментирования корпоративной сети по степени важности информационных ресурсов и обеспечения информационной защиты сетевого узла Internet, ОАО «ЭЛВИС-ПЛЮС» предлагает в качестве основного средства защиты программно-аппаратный комплекс Межсетевой экран «ЗАСТАВА» собственной разработки. ОАО ЭЛВИС+ является одним из российских лидеров в решении задач сетевой информационной безопасности. Эта деятельность ОАО ЭЛВИС+ ведется на основе лицензии Государственной Технической Комиссии при Президенте РФ на деятельность в области защиты информации (серия ЛГ 0009 номер 000429 регистрационный номер 227 от 15 августа 1996 г.), действительной на всей территории Российской Федерации.
Межсетевой экран (МЭ) «ЗАСТАВА» программный комплекс, предназначенный для контроля за информацией, поступающей в корпоративную информационную систему (КИС) и/или выходящей из КИС, и защиты КИС от несанкционированного доступа посредством фильтрации информации на сетевом уровне (анализа информации по совокупности критериев и принятия решения о ее распространении в/из КИС). МЭ предназначен для работы в операционных системах Solaris 2.5, 2.5.1 и 2.6. МЭ устанавливается на отдельном, специально выделенном компьютере (рабочая станция SunSPARC или Intel x86), который отделяет защищаемую КИС от остальной сети.
Межсетевой экран «ЗАСТАВА» разработан компанией ЭЛВИС-ПЛЮС в общей линии продуктов защиты информации «ЗАСТАВА». Продукт представляет собой комбинированную систему, обеспечивающую функциональность межсетевого экрана с расширенной пакетной фильтрацией и защиту IP-трафика на основе протокола SKIP (Simple Key management for Internet Protocol).
МЭ обеспечивает:
фильтрацию на основе сетевых адресов отправителя и получателя;
фильтрацию служебных протоколов, служащих для диагностики и управления работой сетевых устройств;
фильтрацию с учетом входного и выходного сетевого интерфейса как средство проверки подлинности сетевых адресов;
фильтрацию с учетом любых значимых полей сетевых пакетов;
фильтрацию запросов на транспортном уровне на установление виртуальных соединений. При этом учитываются транспортные адреса отправителя и получателя;
фильтрацию запросов на прикладном уровне к прикладным сервисам. При этом учитываются прикладные адреса отправителя и получателя;
фильтрацию с учетом даты/времени.
Решение по фильтрации принимается независимо для каждого сетевого пакета.
МЭ обеспечивает возможность идентификации и аутентификации входящих и исходящих запросов методами, устойчивыми к пассивному и/или активному прослушиванию сети. Идентификация и аутентификация обеспечивается программными средствами с поддержкой протокола SKIP.
МЭ обеспечивает:
возможность регистрации и учета фильтруемых пакетов. В параметры регистрации включаются адрес, время и результат фильтрации;
регистрацию и учет запросов на установление виртуальных соединений;
локальную сигнализацию попыток нарушения правил фильтрации;
идентификацию и аутентификацию администратора защиты при его локальных запросах на доступ;
возможность идентификации и аутентификации по идентификатору (коду) и паролю условно-постоянного действия;
запрет доступа неидентифицированного субъекта или субъекта, подлинность которого при аутентификации не подтвердилась.
При удаленных запросах администратора на доступ идентификация и аутентификация обеспечивается методами, устойчивыми к пассивному и/или активному перехвату информации. Идентификация и аутентификация обеспечивается программными средствами с поддержкой протокола SKIP.
МЭ обеспечивает регистрацию следующих событий:
вход (выход) администратора защиты в систему (из системы) либо загрузку и инициализацию системы и ее программный останов. Регистрация выхода из системы не проводится в моменты аппаратурного отключения МЭ. В параметрах регистрации указываются:
дата, время и код регистрируемого события; результат попытки осуществления регистрируемого события успешная или неуспешная;
идентификатор администратора защиты, предъявленный при попытке осуществления регистрируемого события;
МЭ содержит средства контроля регистрационной информации;
МЭ обеспечивает регистрацию запуска программ и процессов (заданий, задач);
МЭ обеспечивает регистрацию действия администратора защиты по изменению правил фильтрации;
МЭ обеспечивает локальную сигнализацию попыток нарушения правил фильтрации.
МЭ обеспечивает возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации.
МЭ содержит средства контроля за целостностью своей программной и информационной части по контрольным суммам. В МЭ предусмотрена процедура восстановления после сбоев и отказов оборудования, которая обеспечивает восстановление свойств МЭ.
Межсетевой экран «ЗАСТАВА» представляет собой программный продукт, который устанавливается на вычислительную платформу с несколькими (как правило пятью) Ethernet-интерфейсами и обеспечивает сегментирование и независимую политику безопасности (набор правил фильтрации) для различных компьютеров в различных сегментах сети. На Рис.1 показано, как при помощи межсетевого экрана обеспечивается сегментирование корпоративной сети на демилитаризованную зону для открытого доступа внешних пользователей, закрытую зону Extranet, где располагаются внутренние корпоративные пользователи и сервера, и зону корпоративного обмена Intranet, в которой располагаются информационные ресурсы (почтовые сервера, сервера баз данных, сервера делопроизводства, информационные и аналитические сервера), предназначенные для совместного использования внутренними и внешними пользователями компании, а также абонентами филиалов, дочерних предприятий, партнеров и т. п. Политика доступа между сегментами настраивается как независимый набор правил фильтрации для каждой пары интерфейсов (сегментов корпоративной сети). В данном примере можно предполагать следующую модельную настройку политики безопасности:
Рис. 1 Сегментирование корпоративной сети
Внешние открытые пользователи имеют доступ в демилитаризованную зону, например, на корпоративный Web-сервер, по строго определенному набору коммуникационных протоколов (фильтр 1). Фильтр 2 предусматривает аналогичный режим работы с ресурсами демилитаризованной зоны для внутренних пользователей.
Пользователи корпоративной сети имеют доступ к информации высокой критичности, расположенной в Intranet-сегменте (фильтр 3), а также могут, используя proxy-сервисы межсетевого экрана, безопасно выходить в открытые сети (фильтр 4).
Доступ к информационным ресурсам Intranet-сегмента из внешних сетей производится по защищенному каналу (фильтр 5). Информационные ресурсы Intranet-сегмента могут использоваться мобильными и удаленными корпоративными пользователями, другими подразделениями компании, дочерними и зависимыми предприятиями, партнерами и т. д. с учетом политики безопасности, разработанной индивидуально для каждого абонента с возможностью объединения в классы и группы.
Администрирование межсетевого экрана производится дистанционно, обязательно под защищенному каналу.
Централизованная архитектура системы защиты с использованием МЭ «ЗАСТАВА» соответствует «каскадной» схеме построения системы информационной безопасности. При определенной настройке политики безопасности для атакующей из внешней (Internet) сети стороны наиболее важный ресурс (например, закрытый сегмент корпоративной сети) может оказаться достижимым только после успешной компрометации ресурсов демилитаризованной зоны. Атаки на собственно межсетевой экран малоэффективны, поскольку как правило межсетевой экран настраивается на сброс адресованных к нему пакетов для всех узлов кроме, административной станции.
МЭ состоит из:
потокового модуля фильтрации, загружаемого в стек IP;
набора правил фильтрации, задающих политику информационной безопасности по отношению к входящим/исходящим пакетам;
набора вспомогательных утилит, позволяющих транслировать во внутреннее представление правила фильтрации;
набора специальных средств, предназначенных для формирования SNMP прерываний при возникновении особых ситуаций;
специализированного средства, обеспечивающего удаленный сбор статистики по протоколу SNMP;
системы конфигурирования, в том числе с удаленного рабочего места.
Правила фильтрации формируются при помощи графического интерфейса пользователя или при помощи утилиты командной строки. В основе формирования правил фильтрации лежит простой язык программирования.
МЭ формирует системный протокол (лог) двумя способами. Первый (основной) способ использует встроенные в МЭ средства по формированию системного лога. МЭ «ЗАСТАВА» имеет возможность записывать необходимую информацию в системный лог в раздел kernel и уровнем warning. Дальнейшая обработка информации от МЭ происходит стандартным образом, путем соответствующей настройки демона системного лога.
Второй способ формирования лог-информации основан на использовании двух специальных действий, входящих в язык МЭ, и предназначенных для выдачи исходного IP пакета в специальное устройство. В составе МЭ поставляется специальная программа визуализации пакетов, полученных из указанного специального устройства.
МЭ обладает возможностью удаленного мониторинга на основе интерфейса протокола SNMP к системе. Используя протокол SNMP, можно удаленно получать доступ к статистике, формируемой МЭ и решать задачи сигнализации о потенциально опасных ситуациях в системе путем формирования SNMP-прерывания при возникновении определенных событий.
В МЭ предусмотрено наличие двух интерфейсов пользователя. Первый интерфейс реализован с помощью командной строки и предназначен, в первую очередь, для использования при удаленном управлении через медленные каналы связи.
Второй интерфейс представляет из себя графическое приложение, работающее в Java-среде. В МЭ предусмотрено наличие SKIP-модуля. SKIP-модуль позволяет организовать защищенные удаленное управление и мониторинг, а также защищенное взаимодействие с другими сегментами корпоративной сети.
Для оптимизации технического решения информационной защиты по параметрам надежности и стоимости, ОАО «ЭЛВИС-ПЛЮС» предлагает для использования программно-аппаратный комплекс (ПАК) Межсетевой экран «ЗАСТАВА». Рекомендуемая аппаратная платформа для ПАК «ЗАСТАВА» Sun SPARC Ultra 5 Workstation или Ultra 10 Workstation производства компании Sun Microsystems. В случае, когда допустимо некоторое снижение надежности технического решения, в качестве аппаратной платформы возможно использование платформы Intel производства третьих производителей.