Распределённый брандмауэр

Распределённые брандмауэры часто реализуются как приложения, работающие в режиме ядра на самом нижнем уровне стека OSI операционной системы. Они фильтруют весь сетевой трафик, вне зависимости от того, идёт он из Интернета или внутренней сети, рассматривая оба источника как потенциально опасные. Брандмауэр защищает отдельную машину аналогично тому, как периметральный брандмауэр защищает всю сеть. Принцип работы распределённого брандмауэра опирается на три компонента:

• Язык, описывающий политику — определяет, какие соединения разрешены или запрещены;
• Системы управления, например, SMS от Microsoft или ASD;
• IPSEC, механизм шифрования сетевого уровня для IP-протоколов (TCP, UDP и др.).

Основная идея заключается в следующем: компилятор переводит язык политики в внутренний формат, управляющее ПО распространяет эти файлы политики по всем защищаемым хостам, а сами хосты принимают или отвергают входящие пакеты на основании политики и криптографически подтверждённой идентичности отправителя.

• Централизованная система управления политиками;
• Система передачи политик на конечные устройства;
• Реализация политик непосредственно на стороне клиента.

Политика безопасности распределённых брандмауэров формируется централизованно, а реализация ограничений происходит непосредственно на конечных устройствах (хостах, маршрутизаторах и пр.). Централизованное управление позволяет равномерно внедрять и распространять политики безопасности, настраивать серверы и компьютеры пользователей, что способствует эффективному использованию ограниченных ресурсов. Благодаря централизованному сбору отчётов и обновлений поддержание актуальности политики становится практически выполнимым. Такое построение даёт два главных преимущества: удалённые пользовательские компьютеры можно защитить, а критически важные серверы — оградить от вторжений вредоносного кода и не позволить использовать их как стартовую площадку для последующих атак.

Способы распространения политик или правил безопасности могут зависеть от конкретной реализации: политика может либо напрямую доставляться конечным системам, либо загружаться ими по необходимости.

При «вытягивающем» подходе хост при запуске опрашивает центральный сервер управления, проверяет его доступность, регистрируется и запрашивает необходимые политики для реализации. Сервер в ответ предоставляет хосту его набор политик безопасности.

«Проталкивающий» подход используется при обновлении политик на сервере управления: когда администратор изменяет политики, обновления немедленно рассылаются на защищаемые хосты. Такой способ гарантирует, что на всех машинах в любой момент действует самая свежая версия политики. Язык политики определяет, какие входящие и исходящие соединения разрешены на любом компоненте домена политики сети, причём решения могут приниматься как на уровне отдельных пакетов или соединений, так и на прикладном уровне стека OSI.

Обычные брандмауэры контролируют входные точки и предполагают, что все находящиеся внутри периметра доверенные, а внешние — потенциально враждебные. Распределённые брандмауэры, напротив, разрешают только необходимый трафик на защищаемую машину и блокируют всё остальное, предотвращая несанкционированные вторжения. Политики, переданные от центрального сервера управления, должны реализовываться непосредственно хостом. При этом управляющий администратор уже не вмешивается в исполнение политики на каждом отдельном устройстве — хост допускает трафик только согласно установленным у него правилам.

Сквозное шифрование предъявляет традиционным брандмауэрам проблему, так как у них, как правило, нет ключей для анализа защищённого трафика. Распределённые брандмауэры применяют способ реализации сквозного IPSEC — специализированного криптографического протокола, стандартизированного IETF. Он обеспечивает шифрование сетевого уровня: конфиденциальность пакетов, аутентификацию, целостность данных, защиту от повторной передачи и автоматическое управление ключами^[1]. Особенность такого построения — то, что внутренний трафик, не проходящий через периметральный брандмауэр, не может быть им контролирован. Соответственно, пользователи внутри организации могут атаковать друг друга, минуя привычные механизмы защиты. К тому же большинство крупных сетей имеют множество точек входа и внутренние брандмауэры для изоляции. Это затрудняет администрирование, нарушает единообразие политики, ведь отсутствует унифицированный механизм управления. В сквозном IPSEC каждому входящему пакету сопоставляется сертификат, а права доступа к пакету определяются на основании разрешений, связанных с этим сертификатом^[1]. Если имя сертификата не совпадает, либо нет защиты IPSEC, пакет отбрасывается как неавторизованный. Поскольку права доступа строго привязаны к сертификатам, допустимое множество для «внутренних» машин легко ограничить, например, выдав новые сертификаты. Если обновление не осуществлять, машина будет обладать меньшими привилегиями^[1].

Распределённые брандмауэры позволяют защищать хосты, находящиеся вне топологических границ сети. С помощью средств управления можно администрировать отдельные машины, а политики задавать в терминах идентификаторов хостов, и тогда каждая машина обеспечивает выполнение политики самостоятельно. Обычный брандмауэр контролирует лишь трафик, проходящий через него, и не влияет на обмен данными внутри защищаемой сети. Это создаёт опасность, когда злоумышленник уже находится внутри или может обойти брандмауэр, создав новую неавторизованную точку входа. Для традиционных брандмауэров протоколы, такие как RealAudio, сложно фильтруются, поскольку брандмауэру недоступна информация, которой обладают конечные точки^[1]. Рост скоростей передачи данных и усложнение протоколов приводят к тому, что традиционные брандмауэры становятся «узким горлышком», поскольку объём обрабатываемого трафика растёт быстрее, чем вычислительные мощности брандмауэров, несмотря на закон Мура.

Распределённые брандмауэры эффективно блокируют попытки соединения с неразрешёнными сервисами. Обычно они просто отбрасывают такие запросы непосредственно на хосте, но могут отправлять ответ с требованием аутентификации, раскрывая факт существования узла. В отличие от обычных брандмауэров, основанных только на пакетной фильтрации, которые плохо справляются с некоторыми техниками скрытого сканирования портов, распределённые брандмауэры умеют собирать пакеты от сканеров в полноценные соединения и затем их отклонять.

Данные атаки могут быть предотвращены на стороне хоста за счёт правил, отбрасывающих пакеты с поддельными внутренними адресами. Также возможно применение криптографических методов проверки подлинности источника при условии, что доверенное хранилище необходимых учётных данных само не было скомпрометировано.

Механизмы и язык политик распределённых брандмауэров позволяют принимать решения на уровне приложений, эффективно противодействуя различным угрозам, проявляющимся на промежуточном или прикладном уровне коммуникаций. При работе с такими технологиями, как Java, брандмауэр способен предотвращать угрозы при условии, что содержимое анализируемых пакетов может быть семантически интерпретировано средствами проверки политик. Сетевой контроль состояния пакетов хорошо вписывается в подобную архитектуру и позволяет реализовать более гибкую (мелкозернистую) фильтрацию. Отличие от классических систем — их эффективность не нарушается даже при шифровании содержимого через VPN или при сокрытии зловреда за пределами периметра.

Распределённые брандмауэры способны фиксировать попытки вторжений, однако централизованный сбор подобных событий затруднён. Каждый хост регистрирует подозрительные действия и должен передавать отчёт в общий центр для анализа и корреляции попыток. Сама фиксация события реализуема — многие системы уже ведут такие журналы. Однако организация коллективного сбора проблематична, особенно при нестабильной связи с центральным сервером. Также есть риск проведения координированных атак, которые могут превратиться в отказ в обслуживании для управляющего сервера.

Независимость распределённого брандмауэра от топологической структуры сети позволяет применять политики к любой машине, независимо от её положения (внутри или вне домена политики). Решения принимаются на основе аутентификации, что не зависит от топологии сети. Даже если конечная точка (хост) скомпрометирована пользователем или злоумышленником, общий уровень безопасности сети не снижается: VPN предотвращают атаки типа «прослушка» на обмен трафиком, в котором взломанная машина не участвует. Однако при полном захвате конечного хоста эффективность политики резко падает, возможно размещение бэкдоров, и при отсутствии периметрального брандмауэра никто не сможет остановить нежелательный трафик. Более того, вредоносное ПО может реализовать туннелирование трафика других приложений, которое невозможно заблокировать без знания ключей шифрования, а после успешной атаки доверие к защитным механизмам на этом хосте утрачивается.

На первый взгляд, главный недостаток распределённых брандмауэров — их зависимость от дисциплины пользователей. Однако подобный подход уменьшает угрозу внутренних атак, упрощая ограничение доступа к ресурсам только для реально нуждающихся групп. Такой механизм позволяет, например, разрешить доступ к файловому серверу только требуемым пользователям, а не всем сотрудникам. Для предотвращения несанкционированного изменения политики целесообразно использовать цифровые подписи и периодические проверки ключей в труднодоступных для изменения местах. Для особо строгой защиты проверка политики может быть реализована внутри защищённой сетевой карты.