УДК 004.054
Чежгалов В.М.
магистрант кафедры приборостроения Российский технический университет (Россия, г. Москва)
АКТУАЛЬНОСТЬ РАЗРАБОТКИ АППАРАТНО-ПРОГРАММНЫХ СРЕДСТВ ПРОВЕДЕНИЯ ИСПЫТАНИЙ МЕЖСЕТЕВЫХ ЭКРАНОВ
Аннотация: в данной статье рассматриваются особенности и возможность тестирования межсетевых экранов
Ключевые слова: информационная безопасность, межсетевые экраны, тестирование.
Межсетевой экран (МЭ) представляет собой программный, аппаратный или программно-аппаратный комплекс, реализующий функции фильтрации сетевого трафика (информационных потоков) между двумя или более автоматизированными системами по некоторому набору правил, определяемых политикой безопасности защищаемой сети. Существует множество различных классификаций МЭ. Можно выделить основные категории МЭ: пакетные фильтры (packet filter), прикладные посредники (application proxy), инспекторы состояния (stateful inspection firewalls).
Главная проблема ПО, состоит в том, что признак "хороший" для межсетевых экранов зависит от нужд покупателя, его требований по безопасности и стоимости. Чтобы специфицировать критерий оценки МЭ, необходимо чтобы они имели примерно одинаковые свойства, и цель их использования была бы то же примерно одинаковой. Такие критерии оценки межсетевых экранов уже существуют.
В большинстве случаев проверить заявленные возможности МЭ различных производителей не вызывает проблем. Тестирование состояния из-за особенностей функционирования ставит перед специалистами множество вопросов.
Так же, ситуация осложняется тем, что на сегодняшний день существует мало специальных прикладных средств, предназначенных для проведения таких тестов. Основной принцип работы тестировщика состояния заключается в следующем: ни один сетевой пакет не должен быть пропущен, если он не принадлежит к некоторому виртуальному соединению, ассоциированному МЭ с ранее установленным соединением (см. рисунок 1).
Исключение составляют пакеты, разрешенные политикой безопасности и принадлежащие текущей стадии установленного соединения.
Рисунок 1 -Алгоритм
функционирования посредника уровня соединения
Для тестирования во внутренней сети необходимо выделить сервер (это может быть web-сервер, почтовый сервер, Telnet-сервер и др.); анализатор трафика; сервер протоколирования (Syslog).
Во внешней сети необходимо выделить клиента (с установленными клиентами прикладных служб) и анализатор трафика. Сервер внутренней сети используется для обслуживания запросов клиента внешней сети. Взаимодействие может быть организовано с использованием любого протокола прикладного уровня (например, HTTP, FTP, SMTP, Telnet).
Анализаторы трафика служат для регистрации и разбора пакетов, передающихся через МЭ, а также для регистрации изменений, вносимых в пакеты межсетевым экраном. Для тестирования инспектора состояния анализаторы трафика должны поддерживать функцию генерации трафика.
Сервер Syslog во внутренней сети служит для получения, сохранения и анализа системного журнала событий МЭ.
Непосредственно перед проведением тестов необходимо выполнить следующие предварительные шаги:
• запустить анализаторы трафика во внутренней и внешней сети;
• открыть разрешенное соединение между клиентом и сервером; при этом регистрируется сетевой трафик в обоих сегментах сети;
• закрыть соединение с клиентом обычным образом на прикладном уровне;
• остановить регистрацию трафика сетевыми анализаторами.
В результате выполнения этих действий получаются «снимки» разрешенного соединения во внутреннем и внешнем сегментах. Полученные снимки будут использовать в качестве тестовых пакетов.
Очевидно преимущество данного метода: набор тестовых пакетов был получен автоматически, и данные пакеты принадлежали разрешенному политикой безопасности соединению.
Автоматическое тестирование - одно из наиболее развивающихся направлений в тестировании МЭ. Это быстрый и дешевый способ тестирования. Он не требует большой квалификации от человека, проводящего тестирование. Инструменты автоматического тестирования очень удобны. Следует отметить, что эти инструменты также активно используются пользователями МЭ для проверки надежности установки МЭ и правильности исполнения политики безопасности.
Автоматическое тестирование разделяется на активное и пассивное тестирование. Активное тестирование является навязчивым по своей природе. В активном тестировании уязвимости обнаруживаются путем использования их для проникновения в систему. Пассивное тестирование нацелено на анализ системы и обнаруживает
уязвимости, независящие от состояния системы.
472
Пассивное тестирование проверяет конфигурацию системы, анализирует пароли, проверяет права доступа для различных файлов. Активное тестирование проверяет права доступа в систему, возможность подмены адреса или изменения маршрутизации. Пассивное тестирование довольно безопасно в отличие от активного. Инструменты для активного тестирования могут довольно легко превратиться в инструменты для взлома.
Различают также локальное, сетевое и распределенное виды автоматического тестирования. Локальным тестированием является тестирование, при котором проверка ограничивается локальной машиной, на которой запущена тестирующая программа. В сетевом тестировании используются коммуникационные связи для анализа состояния удаленной системы или проверки доступности сервиса. В распределенном случае тестирующая программа запускается на разных машинах для анализа какого-либо компонента системы или для проверки синхронизации.
Из существующих инструментов автоматического тестирования наиболее распространены следующие: Internet Security Scanner, Symantec NetRecon и Cisco Secure Scanner - - многофункциональные коммерческий программы проверки защищенности (отсутствия известных уязвимых мест) компьютерных систем и сетей. Все эти инструменты тестируют работающие сконфигурированные системы, причем тестирование сконфигурированного МЭ обычно производится косвенно - путем тестирования извне всей локальной сети, защищенной данным МЭ. Тем не менее, эти инструменты могут использоваться для автоматизации сертификационного тестирования МЭ - МЭ тестируется с помощью данных инструментов многократно в различными конфигурациях, причем как извне, так и изнутри имитируемой локальной сети.
Список литературы:
1. Барабанов А.В. Стандартизация процесса разработки безопасных программных средств // Вопросы кибербезопасности. 2013. № 1(1). С.37-41.
2. Марков А.С. Модели оценки и планирования испытаний программных средств по
требованиям безопасности информации // Вестник Московского
473
государственного технического университета им. Н.Э. Баумана. Серия: Приборостроение. 2011. № SPEC. С. 90-103.
3. Марков А.С., Фадин А.А. Организационно-технические проблемы защиты от целевых вредоносных программ типа Stuxnet // Вопросы кибербезопасности. 2013. № 1(1). С.28-36.
4. Марков А.С., Цирлов В.Л., Маслов В.Г., Олексенко И.А. Тестирование и испытания программного обеспечения по требованиям безопасности информации // Известия Института инженерной физики. 2009. Т. 2. № 12. С. 2-6.
5. Законодательно-правовое и организационно-техническое обеспечение информационной безопасности АС и ИВС / И.В.Котенко, М.М.Котухов, А.С. Марков и др. - СПб: ВУС, 2000. - 190 с