Что такое NetSafe V2.0?
NetSafe Galaxy и NetSafe Star
Возможности NetSafe V2.0
Дополнительные возможности
Литература

Стало общеизвестным фактом, что обладание нужной информацией - это ключ к успеху в бизнесе, поэтому вполне закономерно, что Internet из игрушки превратился в такой же заурядный атрибут бизнеса, как телефон или факсимильный аппарат. Сегодня уже 65% всех пользователей Internet - это коммерческие организации, которые, открыв для себя информационные богатства "сети сетей", очень быстро, однако, обнаружили, что их конфиденциальная информация открыта для званых и незваных гостей. Призывы к обеспечению безопасности и изолированности внутрикорпоративной сети при подключении к Internet - это уже не просто добрый совет или рекомендация, это необходимость, к сожалению, еще не всеми осознанная.

Стандартным приемом обеспечения сетевой безопасности при подключении к Internet стала организация брандмауэров или firewall, представляющих собой "нечто", разделяющее две сети. Это "нечто" должно обеспечивать выполнение следующих условий:

  • весь поток информации из локальной сети в глобальную и, наоборот, проходит только через брандмауэр;
  • допускается передача информации только определенных типов, в соответствии с проводимой стратегией обеспечения безопасности;
  • сам брандмауэр закрыт от нежелательного доступа.

Как правило, брандмауэры ставят в точке соприкосновения глобальной сети и внутренней сети организации. Сети больших корпораций могут включать в себя внутренние брандмауэры, используемые для изоляции отдельных подсетей общей сети. Согласно данным из обзора, выполненного Институтом Безопасности Сетей (CSI), менее половины сетей, имеющих прямой доступ в Internet, защищены брандмауэрами, однако 70% организаций, не использующих сегодня брандмауэры при подключении к Internet, в ближайшем будущем намерены установить их.

Что такое NetSafe V2.0?

Для пользователей компьютеров всей серии RM фирма Siemens-Nixdorf предложила собственную концепцию реализации брандмауэра - систему NetSafe V2.0. Разрабатывая этот продукт, его создатели ориентировались на два основных требования: полнота и модульность. Система ориентирована на широкий круг пользователей - от больших корпораций до маленьких фирм - и способна всем своим клиентам предложить решение, отвечающее конкретным требованиям к безопасности и возможностям бюджета.

Система NetSafe V2.0 работает под управлением ОС SINIX версии 5.42 или старше; при этом минимальной рабочей конфигурацией является RISC-платформа RM200С c процессором MIPS 4600/133, объемом памяти 32 Мбайт и 2 Гбайт жестким диском. В качестве транспортного уровня может использоваться:

  • последовательное соединение (скорость передачи до 38.4 Kbps) по протоколам SLIP и PPP;
  • ISDN ISO (64 Kbps);
  • Ethernet (10 Мбит и 100 Мбит);
  • Token Ring (4 и 16 Мбит);
  • FDDI.

NetSafe Galaxy и NetSafe Star

Изначально спроектированная как модульная система, NetSafe позволяет организовать две общепринятые схемы организации брандмауэров:

  • "демилитаризованная зона/бастион" (NetSafe-Galaxy);
  • "двудомный шлюз" (dual-homed gateway) (NetSafeStar).

Для реализации схемы "демилитаризованная зона/бастион" (рис.1) требуется два маршрутизатора-фильтра и, в качестве "бастиона", станция RM с установленной системой NetSafe. Такой подход обеспечивает наиболее высокий уровень надежности и секретности, основан на совершенных технологиях защиты и включает такие дополнительные возможности, как предупреждение о попытках несанкционированного доступа и учет потока передаваемой информации. Цена реализации NetSafeGalaxy несколько выше, а система предназначена для защиты сетей средних и крупных организаций.

Picture 1

Рисунок 1.
Схема построения защиты по принципу "демилитаризованная зона/бастион".

Существование изолированного сегмента или "демилитаризованной зоны" позволяет более аккуратно, с точки зрения обеспечения безопасности, реализовать общедоступные информационные службы (WWW, FTP3/4): узлы, которые должны быть непосредственно подсоединены к Internet, расположены перед "бастионом"; вся остальная часть сети защищена брандмауэром и не имеет прямого информационного доступа извне к внутренней сети.

В качестве маршрутизаторов-фильтров могут использоваться любые конструкции, обеспечивающие:

  • фильтрацию пакетов ISO уровня 3 (IP) и уровня 4 (TCP/UDP) с использованием Списка Управления Доступом (Access Control List), что позволяет контролировать/фильтровать входящую и исходящую информацию, определяя список запрещенных и разрешенных сетевых служб;
  • защиту от подмены IP-адресов и перенаправления пакетов.

Архитектурное решение NetSafeStar, двудомный шлюз [1], наиболее подходит для небольших и средних организаций и для своей реализации требует только одну станцию серии RM с двумя коммуникационными контроллерами. NetSafeStar можно применять и для разделения общей сети пользователя на несколько изолированных подсетей.

Узлы, реализующие общедоступные информационные службы, могут располагаться как перед, так и за брандмауэром. В первом случае вычислительные системы, на которых установлены эти службы, не защищены брандмауэром, во втором - приходится мириться с существованием прямого информационного соединения внутренней и внешней сетей.

Picture 2

Рисунок 2.
Схема построения защиты по принципу "двудомный шлюз".

Возможности NetSafe V2.0

Система NetSafe реализована в виде набора модулей, способных реализовать необходимую стратегию обеспечения сетевой безопасности.

Список Управления Сетевым Доступом. Данный модуль выполняется под управлением демона inetd и запрещает или разрешает определенным узлам сети доступ к протоколам высшего уровня (например FTP, Telnet и т.д.). Все некорректные или подозрительные попытки соединения регистрируются и могут вызывать сигнал тревоги.

Защита от подмены адреса IP. Подмена IP-адреса это способ, при помощи которого внешняя система может стать какбы частью внутренней сети пользователя и тем самым получить доступ к защищенным ресурсам компьютеров. NetSafe включает в себя защиту против таких попыток.

Безопасность протокола SMTP. Сервер брандмауэра включает в себя почтовый фильтр, контролирующий всю входящую и исходящую почту перед тем, как передать ее дальше. Можно задать максимально допустимое число получателей и максимальный размер сообщения. Чтобы противостоять широко известным методам проникновения, анализируется также конверт сообщения.

Proxy-модули. Система Netsafe предусматривает использование proxy-серверов для обработки протоколов Telnet и FTP. Реализован также общий proxy-сервис для приложений, использующих протоколы TCP и UDP. Такой обобщенный подход дает возможность пользователю применять для передачи информации через брандмауэр протоколы защиты данных, неизвестные Netsafe.

Утилита администратора. Любая составляющая системы NetSafe может быть легко сконфигурирована с помощью специальной утилиты администратора, напоминающей утилиту sysadm. Допускается также редактирование файлов конфигурации с помощью текстового редактора, например vi. В ходе разработки системы было принято решение не использовать для реализации интерфейса утилиты администратора среду X/Windows из-за невозможности обеспечить должный уровень безопасности.

Утилиты регистрации событий и статистики. Любой модуль системы NetSafe регистрирует все выполняемые им действия с помощью утилиты syslog, входящей в состав ОС SINIX. Предусмотрена возможность тиражирования регистрационной информации на любую UNIX-машину внутренней сети, а оператор брандмауэра будет оповещен о всех важных событиях, происходящих в сети. Для получения итоговых отчетов вся регистрационная и статистическая информация автоматически собирается и обрабатывается. Отчеты хранятся в заранее известных файлах сервера брандмауэра, а структура формата этих файлов допускает импорт данных в электронную таблицу Microsoft Excel. Файлы отчетов могут автоматически пересылаться оператору.

Разделение DNS. Внутренняя и внешние таблицы DNS хранятся раздельно на сервере брандмауэра, что защищает узлы внутренней сети от любопытных и пытливых умов.

Утилита контроля модификации файлов. Данный модуль отслеживает все изменения содержимого наиболее важных файлов и сообщает о них оператору брандмауэра или лицу, ответственному за обеспечение безопасности. Более того, отслеживаются изменения в составе наиболее важных каталогов, особенно тех, которые содержат активно используемые системные компоненты. Ведется также регистрация таких событий, как запуск системы и выполнение заданий.

Трансляция адресов. "Изюминка" системы NetSafe состоит в том, что адреса узлов внутренней сети невидимы для других узлов сети Internet. Польза от этого заключается не только в повышении надежности брандмауэра - теперь появляется возможность использовать для внутренней сети официально незарегистрированные IP-адреса, при этом владельцы неофициальных адресов имеют доступ к большинству узлов сети Internet. Для организации защиты средствами NetSafeStar требуется только один IP-адрес, в случае с NetSafe-Galaxy необходимо все же нескольких официальных IP-адресов.

Дополнительные возможности

Использование NetSafe совместно с пакетом NetServe 2.0 позволяет реализовать еще несколько дополнительных возможностей.

Сервер Usenet. NetSafe включает в себя сервер новостей (NNTP/NNRP), который может взаимодействовать как с аналогичным сервером внутренней сети, так и с серверами Internet. Таким образом, нет необходимости в прямом информационном соединении внутреннего сервера новостей с внешними серверами Internet.

Proxy-шлюз, основанный на сервере CERN HTTP V3.0. Для удобства своих пользователей система NetSafe имеет HTTP-сервер, разработанный в CERN. Сервер используется как proxy-шлюз между пользователями внутренней сети и любым сервером WWW сети Internet. В функции этого модуля входит кэширование информации, загруженной из Internet, что сокращает время ожидания для пользователей внутренней сети при повторных обращениях к данным. Аналогичным образом этот модуль может быть использован и для других протоколов: FTP, Gopher, WAIS и т.п.

Литература

[1] М. Ганев. Стражи порядка. Открытые системы, # 3, 1996.