Инструменты безопасности с открытым исходным кодом

Бизнес-процессы безопасности


В некоторый момент, предпочтительно до того, как вы начнете загружать программное обеспечение, необходимо задокументировать бизнес-процессы своих межсетевых экранов. Это станет не только полезным средством планирования установки и конфигурирования, но может также помочь при необходимости обосновать перед руководством закупку оборудования или затраты рабочего времени. Документирование защитной деятельности позволит вам выглядеть более профессионально и подчеркнет пользу, которую вы приносите организации, что никогда не помешает. Это также упростит передачу эстафеты тому, кто придет вам на смену.

План документирует базовые процессы и процедуры, направленные на получение дивидендов от технологии. Установка межсетевого экрана - дело, конечно, хорошее, но без нужных процессов в нужном месте он рискует не обеспечить для организации обещанной безопасности. Следующие шаги описывают в общем виде бизнес-процесс установки и обслуживания межсетевого экрана.

  1. Разработайте политику использования сети.

    В руководстве пользователя по добропорядочному использованию компьютеров могут содержаться некоторые рекомендации, однако многие правила применения компьютеров намеренно расплывчаты и не определяют, какие приложения считаются ненадлежащими. Возможно, вам придется уточнить это у своего непосредственного начальника или у высшего руководства. Допускаются ли такие вещи, как программы мгновенного обмена сообщениями? Хотите ли вы следовать строгой политике выхода во внешний мир только посредством Web и электронной почты? Помните, что безопаснее написать правило для любого исключения, чем по умолчанию разрешить все виды деятельности. Критически важно получить ответы на эти вопросы, желательно в письменном виде, до того, как приступить к написанию правил для межсетевых экранов.

  2. Составьте карту необходимых входящих и исходящих сервисов.

    Если у вас еще нет карты сети, составьте ее сейчас. К каким портам каких серверов требуется обращаться извне? Есть ли пользователи, которым нужны специально открытые для них порты? (Совет: персоналу технической поддержки часто требуются FTP, Telnet и SSH.) Хотите ли вы создать демилитаризованную зону для общедоступных серверов или переадресовывать порты извне в ЛВС? Если у вас несколько сетевых сегментов или наборов общедоступных серверов, составление карты может занять больше времени, чем собственно настройка межсетевого экрана.
    Сейчас самый подходящий момент разобраться со всеми особыми запросами. Когда вы включите межсетевой экран и он остановит важное приложение, будет поздно.



  3. Преобразуйте политику использования сети и требуемые сервисы в правила межсетевого экрана.

    Именно теперь вы наконец приступаете к написанию правил для межсетевого экрана. Обратитесь к спискам допустимых внешних и требуемых внутренних сервисов, примите во внимание все исключения и создайте конфигурацию межсетевого экрана. Не забудьте использовать подход "запретить все", описанный во врезке, для отбрасывания всего, что не соответствует какому-либо из ваших правил.



  4. Задействуйте и проверьте функциональность и безопасность.

    Теперь можно включить межсетевой экран, откинуться на спинку кресла и ждать жалоб. Даже если ваши правила точно соответствуют политике, все равно найдутся люди, не понимающие, что использование Kazaa для загрузки фильмов противоречит политике организации. Будьте готовы проявить твердость, когда пользователи начнут просить о необоснованных исключениях. Каждое отверстие, которое вы открываете в межсетевом экране, является потенциальной угрозой безопасности.

    Когда ваши пользователи будут удовлетворены работой межсетевого экрана, проверьте, что он блокирует то, что должен блокировать. С помощью двух инструментов, рассмотренных в книге далее, можно выполнить тестирование межсетевого экрана. Имеются в виду сканер портов извне и сетевой анализатор внутри. Они сообщат вам, какие пакеты проходят, а какие нет. Это полезно и для разрешения проблем в работе приложений, предположительно конфликтующих с межсетевым экраном.



  5. Регулярно пересматривайте и тестируйте правила межсетевого экрана.



    Прекрасная работа межсетевого экрана сегодня не означает, что так же будет завтра. Могут возникнуть новые угрозы, которые потребуют написания новых правил. Правила, которые добавлялись временно, для нужд некоторого проекта, могут слишком долго оставаться в конфигурации. Необходимо периодически пересматривать правила и сопоставлять их с текущими производственными потребностями и требованиями безопасности.


    В зависимости от размера и сложности конфигурации и частоты изменений, ревизия может быть ежегодной (для межсетевых экранов с небольшим числом правил - 20 и меньше) или ежемесячной (для очень сложных конфигураций). Каждый пересмотр должен включать реальные тесты с применением упомянутой выше комбинации сканер/анализатор, с использованием средств, описанных в лекции 4, 5 и 6, для проверки того, что правила на самом деле работают так, как предполагалось.



Проектирование и применение подобного бизнес-процесса поможет вам получить значительно больше от установки межсетевого экрана, как в профессиональном, так и в техническом плане. Необходимо также разрабатывать бизнес-планы для других технологий, рассмотренных в этой книге, таких как сканирование уязвимостей и анализ работы сетей.



Флэми Тех советует:

"Запретить все!", когда речь идет о правилах межсетевого экрана!

Существует два метода настройки межсетевых экранов. Можно в качестве исходного принять положение "разрешить все" и затем задавать поведение, которое требуется блокировать, или же начать с положения "запретить все", после чего специфицировать то, что следует разрешить (допустимое поведение пользователей). Безусловно, предпочтительным является исходное положение "запретить все", поскольку при этом автоматически блокируются все потоки данных, если только они не разрешены явным образом. Подобный подход и более надежен, и более прост для поддержания безопасности.

Эта философия применяется в большинстве коммерческих межсетевых экранов. Лежащая в ее основе идея состоит в том, что если вам требуется определять, что считается плохим поведением, вы постоянно будете отставать, так как Интернет изменяется и развивается. Невозможно предсказать, какую форму может принять следующая, новая атака, поэтому вы будете уязвимы, пока она не будет опубликована, - только после этого вы сможете добавить новую строку в конфигурацию межсетевого экрана. Используя подход "запретить все", вы автоматически блокируете все, что не считается добропорядочной активностью.



Тип конфигурации " разрешить все" может иметь смысл в крайне либеральной среде, где накладные расходы на дополнительные разрешающие строки превышают ценность информации в сети (пример - некоммерческий или чисто информационный сайт). Но для большинства организаций подход "запретить все" более безопасен. Однако само по себе применение этого подхода не делает вашу сеть полностью безопасной. Атаки могут по-прежнему проходить через все проделанные вами отверстия, такие как доступ к web-серверу или электронной почте. Помните также, что даже при использовании подхода "запретить все" следует быть осторожным, чтобы не отменить его каким-либо правилом, разрешающим слишком многое и расположенным выше в вашей конфигурации.

Iptables: межсетевой экран с открытыми исходными текстами на платформе Linux


Iptables

Автор/основной контакт: Paul "Rusty" Russell

Web-сайт: http://www.netfilter.org

Платформы: Большинство платформ Linux

Лицензия: GPL

Рассмотренная версия: 1.2.8

Ресурсы:

Списки рассылки Netfilter:

Netfilter-announce. Общий список извещений для новостей или новых выпусков и обновлений. Подписка по адресу:

https://lists.netfilter.org/mailman/listinfo/netfilter-announce

Netfilter-users. Общие вопросы использования Netfilter/Iptables. Сюда следует направлять общие дискуссионные заметки и вопросы. Подписка по адресу:

https://lists.netfilter.org/mailman/listinfo/netfilter-users

Netfilter-devel. Обсуждение разработки и участия. Подписка по адресу:

https://lists.netfilter.org/mailman/listinfo/netfilter-devel
В этом разделе описано, как конфигурировать межсетевой экран при помощи Iptables - утилиты экранирования/фильтрации пакетов, встроенной в большинство систем Linux с ядром версии 2.4 и выше. Данная утилита позволяет создать межсетевой экран, используя команды операционной системы. Она произошла от более ранних проектов межсетевых экранов в Linux. Первая система, Ipfwadm, позволяла создать простой набор правил пропускания или отбрасывания пакетов на основе определенных критериев.


В ядро 2. 2 ввели Ipchains, чтобы преодолеть ограничения Ipfwadm. Утилита Ipchains работала вполне приемлемо и обладала модульной архитектурой. Однако с ростом числа людей, требующих от своих межсетевых экранов выполнения многочисленных функций (например, сервера-посредника и устройства трансляции сетевых адресов), Ipchains также стало недостаточно. Iptables представляет собой обновленный вариант этих программ и допускает многочисленные применения, ставшие привычными для современных межсетевых экранов. (Отметим, что в Iptables используется практически тот же набор понятий и терминов, что и в Ipchaines.)

Iptables является мощным, но сложным средством, и обычно рекомендуется для пользователей, знакомых с межсетевыми экранами и искусством их конфигурирования (см. врезку о написании командных файлов). Если это ваш первый межсетевой экран, я рекомендую, по крайней мере для начала, воспользоваться для создания экранирующей конфигурации одним из рассмотренных далее в этой лекции средств с автоконфигурированием. Эти средства используют Iptables (или продукт-предшественник - Ipchains) для создания межсетевого экрана согласно заданным исходным данным. Однако, прежде чем приступать к конфигурированию с помощью одного из графических инструментов, имеет смысл разобраться в основах "подкапотной механики" Iptables.


Содержание раздела