Сергей Петренко - Политики безопасности компании при работе в Интернет

• для журналирования доступа через VPN используется RADIUS.

4.3.5. Настройки внутренних межсетевых экранов

Этот уровень контролирует сетевой доступ между внутренними зонами безопасности. Данные зоны были созданы для разделения внутренних ресурсов, на основе их уровня безопасности и важности информации, а также для управления потоками информации во внутренней сети компании. В качестве внутренних межсетевых экранов используется Cisco Secure PIX 535 с программным обеспечением PIX OS v.6.3.3. Два межсетевых экрана функционируют в режиме «горячего» резервирования (failover).

Характеристика Cisco PIX. Межсетевой экран PIX компании Cisco Systems относится к классу пакетных фильтров, использующих технологию контроля состояния (stateful inspection). Он позволяет контролировать доступ как из Интернета во внутреннюю сеть, так и наоборот.

Для настройки PIX можно использовать графическую оболочку Cisco PDM v.3.0, что облегчает и упрощает этот процесс. В отличие от обычных пакетных фильтров с помощью PIX можно осуществлять аутентификацию пользователей. Для этого используются протоколы TACACS+ и RADIUS, которые позволяют применять для аутентификации как обычные UNIX-пароли, так и систему одноразовых паролей S/Key.

Cisco Secure PIX Firewall позволяет поддерживать до 500 тыс. одновременных TCP/IP-соединений и обеспечивать общую пропускную способность до 1700 Мбит/с. PIX построен на базе сетевой операционной системы Cisco PIX OS, что гарантирует полную совместимость по протоколам и средствам мониторинга и управления с оборудованием Cisco, масштабируемость сетей, построенных на базе Cisco, привычный для администраторов Cisco-маршрутизаторов интерфейс.

Использование межсетевого экрана Cisco PIX позволяет обеспечить:

• управление информационными потоками на основе технологии контроля состояния защиты сетевых соединений, что позволяет ограничить доступ неавторизованных пользователей к сетевым ресурсам;

• аутентификацию пользователей с использованием стандартных протоколов TACACS+ и RADIUS;

• поддержку более 500 тыс. одновременных соединений;

• поддержку нескольких сетевых интерфейсов (интерфейсов демилитаризованной зоны) для организации открытых для пользователей интернет-сервисов типа WWW, электронной почты и др.;

• поддержку протокола Oracle SQLfNet для защиты приложений «клиент-сервер»;

• дублирование и «горячее» резервирование;

• трансляцию сетевых адресов (NAT) согласно RFC 1631;

• трансляцию портов (PAT), позволяющую расширить пул адресов компании: через один IP-адрес можно отображать 64 тыс. адресов (16 384 одновременно);

• отображение перекрывающихся IP-адресов в одно адресное пространство с помощью псевдонимов сетевых адресов;

• возможность отмены режима трансляции адресов для зарегистрированных IP-адресов, что позволяет пользователям использовать их настоящие адреса;

• прозрачную поддержку всех распространенных TCP/IP-сервисов – WWW, FTP, Telnet и т. д.;

• поддержку мультимедийных типов данных с использованием трансляции адресов и без нее, включая Progressive Networks\' RealAudio, Xing Technologies\' Streamworks, White Pines\' CuSeeMe, Vocal Tec\'s Internet Phone, VDOnet\'s VDOLive, Microsoft\'s NetShow, VXtreme\'s Web Theater 2;

• поддержку приложений для работы с видеоконференциями, совместимыми с Н.323 спецификацией, включая Internet Video Phone (Intel) и Net-Meeting (Microsoft);

• возможность фильтрации потенциально опасных Java-апплетов;

• поддержку нескольких уровней входа в систему;

• поддержку прерываний (trap) SNMP-протокола;

• протоколирование и регистрацию сетевой активности;

• поддержку Management Information Base (MIB) для syslog;

• аудит использования URL и обменов по FTP-протоколу;

• поддержку удаленного вызова процедур (RPC);

В основе работы PIX лежит алгоритм адаптивной защиты (ASA), который обеспечивает защиту соединений с контролем состояния.

Межсетевой экран PIX Firewall обеспечивает высокий уровень безопасности при использовании ASA. Каждый раз при установлении соединения наружу или вовнутрь через PIX Firewall информация о соединении сохраняется в таблице, которая содержит адреса источника и получателя, номера портов, информацию о TCP-последовательностях и дополнительные флаги сессии, такие, как SYN, АСК, FIN. Эта информация о сессии составляет так называемый «объект-соединение». Весь трафик данного соединения сверяется с данным объектом. Этот объект существует до завершения соединения.

Для безопасности ASA использует и содержит адреса источника и получателя, номера портов, информацию о TCP-последовательностях и дополнительные флаги сессии, а также результат применения хеш-функции к заголовку IP-пакета. Это хеширование является своего рода подписью клиента, установившего соединение, – данный код однозначно идентифицирует клиента. Таким образом, для подмены клиента злоумышленникам необходимо получить не только IP-адрес машины, но и номера портов, дополнительные флаги сессии, а также номер ТСР-последовательности. Последнее – невозможно, так как межсетевой экран PIX Firewall создает случайные номера TCP-последовательности для каждой сессии. Межсетевой экран PIX Firewall поддерживает аутентификацию и авторизацию с использованием сквозного механизма cut-through proxy, а также учет с использованием системного журнала и PIX Device Manager.