CC BY
52
УДК 004.056
МЕТОДИКА ПОСТРОЕНИЯ ПОЛИТИКИ БЕЗОПАСНОСТИ МЕЖСЕТЕВЫХ ЭКРАНОВ
Д. И. Старков Научный руководитель - В. Г. Жуков
Сибирский государственный университет науки и технологий имени академика М. Ф. Решетнева
Российская Федерация, 660037, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
E-mail: Starkov-25@mail.ru
Предлагается методика построения правил фильтрации, основанная на многомерном представлении данных, полученных из сетевого трафика.
Ключевые слова: защита информации, межсетевой экран, фильтрация трафика.
FIREWALL SECURITY POLICY METHODOLOGY
D. I. Starkov Scientific Supervisor - V. G. Zhukov
Reshetnev Siberian State University of Science and Technology 31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660037, Russian Federation E-mail: Starkov-25@mail.ru
A method for constructing filtering rules based on a multidimensional representation of data obtained from network traffic is proposed.
Keywords: information protection, firewall, traffic filtering.
На сегодняшний день межсетевой экран (МЭ) является базовым средством обеспечения информационной безопасности (ИБ) внешнего периметра любой корпоративной сети или ее внутреннего сегмента. Применение фильтрующих устройств, таких как МЭ, является не только повсеместной практикой, но и обязательным требованием нормативно-правовых актов и стандартов в области обеспечения ИБ [1].
Уровень защиты, обеспечиваемый МЭ, и эффективность функционирования определяется его политикой безопасности. Процесс разработки политики МЭ, в силу его сложности, может быть подвержен ошибкам, что, в свою очередь, может привести к неверной или не эффективной реализации принятой в организации политики разграничения сетевого доступа, как следствие, является причиной снижения общего уровня ИБ в определенной сети [2].
В целях минимизации ошибок, возникающих при настройке МЭ, а также сокращения ресурсов, затрачиваемых на настройку его политики безопасности, предлагается методика построения правил фильтрации с применением средства автоматизации и рекомендаций документа «NIST SP 800-41 Guideline on Firewalls and Firewall Policy».
В качестве средства автоматизации будет применяться решение, разработанное автором [3], по построению правил фильтрации, основанное на многомерном представлении и анализе данных, получаемых путем пассивного прослушивания сетевого трафика.
Процесс формирования политики МЭ, как и настройки любого средства защиты информации, должен проходить поэтапно:
1. Планирование.
При настройке МЭ необходимо учитывать [4]:
- какие сетевые сегменты должны быть защищены;
- какие типы служебного трафика должны быть защищены;
Секция «Информационнаябезопасность»
- расположение в сети межсетевого экрана;
- какие протоколы будут использоваться для удаленного управления МЭ;
- может ли МЭ сигнализировать о нарушении политики.
Данные аспекты при возможности должны быть спланированы и утверждены заранее. Здесь необходимо определить защищаемый сетевой периметр и место расположения МЭ.
Для определения сетевого трафика, подлежащего защите, предлагается использовать технологию пассивного прослушивания сетевого трафика и возможности разработанного решения [3]. Сбор сетевого трафика можно производить как с целью формирования нового списка правил фильтрации, так и для проведения аудита уже введенного в эксплуатацию списка правил. Сбор трафика осуществляется в зависимости от назначения МЭ и в точке его будущей установки.
Весь трафик, необходимый для формирования правил фильтрации, далее необходимо подать на вход разработанного решения, где будет произведен его анализ в зависимости от трех режимов обработки, соответствующих частному случаю расположения в сети МЭ, а именно:
- МЭ, использующийся для разграничения доступа между внутренней и внешней подсетями;
- МЭ, использующийся для разграничения доступа между внутренними подсетями;
- персональный МЭ.
В зависимости от режима обработки пользователю необходимо задать данные об интерфейсах вводимого в эксплуатацию МЭ, такие как:
- IP-адрес интерфейса;
- IP-адрес сети интерфейса;
- маска подсети интерфейса;
- назначение интерфейса (интерфейс принадлежит внутренней или внешней подсети).
Результаты анализа трафика далее заносятся в хранилище данных (ХД), где они приобретают
многомерное отображение. ХД имеет гибкую структуру, перестраивая которую или используя встроенные в решение механизмы фильтрации можно отображать как единую картину поведения сети, так и детализированное её представление в различных вариациях. Так, можно быстро и гибко строить различные срезы OLAP-куба, формируя и отбирая предположительно легитимные сетевые потоки [3].
При определении легитимных сетевых потоков следует придерживаться следующих рекомендаций [4]:
- политика МЭ должна быть основана на комплексном анализе рисков;
- политика МЭ должна быть основана на блокировке всего входящего и исходящего трафика с исключениями для требуемого трафика;
- запрет IPv4 трафика во внутреннюю сеть, например с недопустимыми или частными IP-адресами;
- политика должна учитывать как входящий, так и исходящий трафик;
- организация должна определить, какие приложения, использующиеся в организации, могут отправлять трафик в свою сеть или из неё, а также создавать правила фильтрации для сторонних приложений.
Так же в документе «NIST SP 800-41 Guideline on Firewalls and Firewall Policy» представлены рекомендации по блокировке конкретного типа трафика [4]. Такой трафик также может быть отсеян посредством использования встроенных в решение фильтров [3].
2. Выработка политики.
После того, как был сформирован список сетевых потоков можно приступить к генерации правил фильтрации для конкретной модели МЭ. Решение предполагает самостоятельное описание принципа формирования правил. Для описания правил используются специальные переменные описания. В зависимости от МЭ некоторые из представленных переменных также могут быть исключены и не использоваться при формировании списка правил, а также может быть задана определенная последовательность данных параметров [3]. Полученные правила при необходимости могут быть объединены в динамическом диапазоне «TCP» и «UDP» портов, сформированы в зависимости списка разрешенных сетевых служб. Также рекомендуется упорядочивать
правила в зависимости от количества пакетов, соответствующих определенному правилу [4]. В соответствии с чем в решение присутствует возможность упорядочения списка правил [3].
Также рекомендуется документировать выработанную политику МЭ с приведением комментария для каждого правила с определением его назначения [4].
3. Тестирование.
Перед вводом в эксплуатацию МЭ должен быть протестирован на обеспечение корректного выполнения его политики [4]. Проверку выполнения правил можно выполнять с применением предлагаемого решения, путем сбора сетевого трафика, формирования списка сетевых потоков и сопоставления его с утвержденным списком. Такие проверки рекомендуется выполнять с определенной периодичностью.
4. Развертывание.
На этапе развертывания необходимо уведомить всех сотрудников о запланированном внедрении МЭ, с дальнейшим их ознакомлением о зарегистрированных проблемах, связанных с функционированием защищаемой сети.
5. Управление.
Этап управления заключается в периодическом тестировании и аудите политики МЭ.
Таким образом, применение методики, базисом которой является разработанное автором решение позволит значительно повысить эффективность процесса выработки и регламентации правил фильтрации МЭ, что в свою очередь приведет к сокращению трудозатрат, необходимых для формирования политики системы межсетевого экранирования, а также способствует снижению рисков, связанных с построением корректной политики разграничения сетевого доступа.
Библиографические ссылки
1. ГОСТ Р ИСО/МЭК 27033-1-2011 «Информационная технология (ИТ). Методы и средства обеспечения безопасности. Безопасность сетей. Часть 1. Обзор и концепции» // Национальный стандарт Российской Федерации М.: Стандартинформ, 2012. 135 с.
2. Уязвимости корпоративных информационных систем [Электронный ресурс] // URL: https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Corporate-vulnerabilities-2018-rus.pdf (дата обращения: 23.03.2019).
3. Старков Д.И. Автоматизированное построение правил фильтрации межсетевых экранов на основе списка разрешенных сетевых служб // Решетневские чтения. - 2018. - № 22. - Том 2. -С. 348-349.
4. NIST SP 800-41 Guideline on Firewalls and Firewall Policy [Электронный ресурс] // URL: https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-41r1.pdf (дата обращения: 04.03.2019).
© Старков Д. И., 2019
