О сертификации межсетевых экранов

Инструмент защиты от нежелательного трафика


Будучи заинтересованным человеком в области сертификации СЗИ, решил изложить некоторые мысли по сертификации межсетевых экранов. В статье уделено внимание проблемам, которые почему-то очень неохотно решаются в настоящий момент. Если эта тема вам тоже интересна и вы хотите ее обсудить, добро пожаловать под кат.

Межсетевые экраны – комплексное программное или аппаратное обеспечение, позволяющее на должном уровне безопасности контролировать количество и качество сетевых пакетов, проходящих через него. Межсетевой экран осуществляет анализ сетевого трафика, исходя из определенного набора правил, в соответствии с которыми осуществляется фильтрация всех данных.

Таким образом, основная задача МЭ (файервола, сетевого экрана, брандмауэра) – защита автономных узлов или общих компьютерных сетей от несанкционированного постороннего доступа, который может использовать данные в своих целях либо нанести непоправимый вред владельцу сети. Именно поэтому межсетевые экраны еще называют фильтрами, которые не пропускают не подходящие под прописанные в конфигурации критерии пакеты данных. Фильтрация сетевого трафика может осуществляться на любом уровне модели OSI. В качестве критериев может быть использована информация с разных уровней: номера портов, содержимое поля данных, адрес отправителя/получателя.

Государственные органы контроля информационных технологий определяют межсетевой экран более конкретно — как один из компонентов обширной системы информационной безопасности, включающей в себя ряд дополнительных характеристик для обеспечения ее эффективной работы. Межсетевой экран не является обязательным для приобретения владельцем сети. Не смотря на то, что он в полной мере отвечает за сохранность конфиденциальной информации, в настоящий момент подобная система защиты в РФ не распространена на должном уровне. В идеале она должна быть внедрена в каждую внутреннюю сеть, чтобы круглосуточно контролировать входящие/исходящие потоки информации. Система мониторинга защиты информации в некоторой степени заменяет в настоящий момент дополнительные средства защиты сети, однако этого не достаточно для определения личной системы безопасности как совокупности аппаратных обеспечений высокого уровня.

Распространенность МЭ


Давно всем известно, что защита всегда должна быть комплексной, и даже корректно настроенный МЭ со всем необходимым набором правил не дает пользователю абсолютную защиту. Поэтому использование МЭ должно производиться с использованием антивирусных программ, которые обнаруживают и нейтрализуют различные вредоносные программы, детектируют зараженные файлы, изолируют подозрительные файлы, контролируют исполняемые процессы в системе. Комплексность такого подхода решает проблемы, возникающие в связи со специализацией средств информационной защиты, когда каждое средство способствует предотвращению лишь определенных угроз безопасности.

В зависимости от типа МЭ возможна изоляция и защита приложений, машин и сервисов внутренней сети от поступающего из внешней сети Интернет нежелательного трафика, запрещение или ограничение доступа хостов внутренней сети к внешним web-сервисам и поддержка преобразования сетевых адресов, что позволяет использовать во внутренней сети приватные IP адреса. Межсетевые экраны фильтруют весь входящий/исходящий трафик, которые проходит через личную систему каждого пользователя. В зависимости от ряда дополнительных характеристик могут принадлежать к определенному классу защищенности, для этого необходимо получить сертификат.

МЭ может в процессе работы «руководствоваться» одним или несколькими наборами установок, благодаря которым проходит проверка и фильтрация каждого сетевого пакета. Данный процесс осуществляется как на входе, так и на выходе пакетов через каналы сетевого соединения. По результатам проверки трафик может как получить доступ к дальнейшему прохождению, так и блокироваться. При этом в установках самого брандмауэра есть настройки, указывающие на конкретные характеристики сетевых пакетов, подлежащих проверке во время фильтрации. Тип протокола при этом не является ограничением, равно как адрес хоста и порт назначения или источника.

Межсетевые экраны значительно увеличивают уровень безопасности локальной сети. Но этим их функциональность не ограничивается, МЭ выполняют различные задачи, которые необходимы пользователю или организации на данный момент.

Характеристики эффективного МЭ


В настоящее время рынок межсетевых экранов представлен множеством разных моделей с отличающимся между собой функционалом. Сетевое средство защиты интересует как пользователей, так и разработчиков, поставщиков (заинтересованного в больших объемах продаж круга лиц). До момента вступления в силу закона «О персональных данных», продать аппаратное обеспечение было значительно проще, так как обязательный сертификат продукта не требовался. В настоящее время ситуация несколько усложнилась, уже нельзя не включить требуемые параметры защиты в аппаратное обеспечение, а продать его по высокой стоимости как продукт высокого уровня безопасности. Применение каждого типа межсетевого экрана, используемого для защиты персональных данных, четко регламентируется, как и каждая его отдельно взятая характеристика. Все нормативные акты беспрепятственно информируют пользователей и разработчиков, каким в конечном итоге должен быть межсетевой экран, принадлежащий к одному из пяти классов защищенности.

Законодательные органы в конечном итоге приходят к выводу, что для эффективной защиты личных данных нужно использовать исключительно сертифицированные аппаратные средства защиты. Это напрямую касается и межсетевых экранов. Покупая непроверенный продукт, пользователь имеет все шансы получить подделку. Например, брандмауэр с минимальным набором характеристик можно купить по более низкой стоимости.

Проблемы в сфере сертификации МЭ


Несмотря на четкое определение понятия «межсетевой экран», свойства которого сводятся к фильтрации нежелательной информации, которая может пересечь сетевую границу, разработчики не всегда создают функциональное средство, отвечающее параметрам сертификации. Это может быть по причине недобросовестности продавца, а также при некомпетентности разработчика, допустившего ошибку (одну или несколько) во время создания аппаратного обеспечения.

Регулятор определяет основные показатели, которым должен соответствовать каждый МЭ, относящийся к определенному сертифицированному классу. Существуют нормативные акты, в которых четко прописаны требования к предлагаемым пользователям средствам защиты.

Разработчик может назвать межсетевым экраном любое аппаратное обеспечение, но оно не будет сертифицировано до того момента, пока не будет отвечать всем параметрам, отображенным в этих и ряде дополнительных положений и официальных документов.

Обязательны предварительные испытания программного продукта, прежде чем он поступит в продажу. Выдача соответствующего сертификата контролирующим органом – основное подтверждение соответствия МЭ РД.
Однако многие специалисты акцентируют внимание на устаревшем подходе к изучению данного вопроса, Руководящие документы не менялись, в них не вносились коррективы на протяжении длительного промежутка времени. Это значит, что состояние дел в сфере информационных технологий в настоящий момент несколько отличается от того, которое было десятилетие назад. Тем не менее, подобная скептическая точка зрения не препятствует стремлению многих разработчиков и поставщиков к получению сертификата.

Сертифицированные МЭ относятся к одному из пяти классов защищенности персональной информации. Подобная классификация предназначена для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.

Чем выше класс межсетевого экрана, тем больше требований, предъявляемых к нему, тем жестче общепринятые анализируемые характеристики. Все нормы прописаны в Руководящем документе «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», утвержденном 25.07.1997 года. До настоящего момента ФСТЭК не вносил никаких поправок в документ, что свидетельствует о неком игнорировании инноваций, внедренных разработчиками в межсетевые экраны в частности.

Каждое средство защиты, которое с момента появления документа сертифицировалось в ФСТЭК, внесено в Государственный реестр. Документ доступен для ознакомления каждому, что позволяет покупателю МЭ получить предварительную приблизительную картину касаемо продукта, внесенного в реестр или его аналога, еще до покупки. Стоит заметить, что в некоторых кодах аппаратного обеспечения в документе есть пропуски, не все единицы были вовремя внесены в общий список. Это может привести к искажению информации.

В настоящее время не все разработчики межсетевых экранов могут сертифицировать свой продукт, так как он имеет несоответствие требованиям РД Российской Федерации. Одной из самых распространенных причин, по которой можно получить отказ в сертификации – отсутствие функции, позволяющей производить фильтрацию трафика на транспортном и сетевом уровнях (имеется в виду, как комплексный подход, так и рассмотрение каждого уровня отдельно). Такие МЭ контролируют сетевые пакеты исключительно на прикладном уровне, что в значительной степени снижает эффективность функционирования межсетевого экрана как комплексного аппаратного обеспечения. Такой продукт легок в разработке, не требует при этом значительных временных и материальных затрат. Брандмауэр с такими «узкими» характеристиками имеет шанс на сертификацию на отсутствие НДВ, однако при проведении сертификации само понятие «межсетевой экран» не рассматривается.

Отсюда следует вывод, что в соответствии с требованиями по сертификации средств защиты информации – межсетевой экран должен быть сертифицирован, как межсетевой экран определенного класса — на соответствие РД ФСТЭК. Так как сертификация на отсутствие НДВ или возможность применения в АС/ИСПДн/ИС в данном случае не дает корректную оценку рассматриваемому СЗИ, в качестве межсетевого экрана.

Если заказчику не столь важно строгое соответствие МЭ определенному классу защищенности, что должно быть отображено в сертификате, он не запрашивает при покупке данный документ. Это актуально в некоторых отраслях, которые используют средства защиты информации, не прошедшие проверку ранее.

Если продукт проходит сертификацию по ТУ, отображающим четкие требования руководящих документов касаемо управления входящими/исходящими информационными потоками, его функционал проверяется. В настоящее время ФСТЭК не считает подобные межсетевые экраны сертифицированным как продукты общеопределенных классов защиты информации.

Для заказчика важно обращать внимание на вышеперечисленные нюансы еще до приобретения межсетевого экрана, не надеясь исключительно на порядочность и компетентность производителя. Заранее нужно ознакомиться с нормативными документами, позволяющие понять механизм проверки МЭ на соответствие нормам.

При возникновении подозрений в наличии функций, прописанных в сертификате, можно обратиться в ФСТЭК для проведения повторной сертификации продукта, которая подтвердит его подлинность или опровергнет ее. Дополнительно изучите особенности действующей системы сертификации, чтобы в дальнейшем не было проблем с продуктом. На пользователе аппаратного обеспечения лежит основной груз ответственности.

В случае сбоя функционирования МЭ или его неэффективности, что произошло по причине отсутствия нужных функций, вопросы возникнут не к разработчику брандмауэра, а к администратору МЭ или покупателю продукта, вовремя не проверившему его подлинность.

Производить сертификацию средств защиты информации (в частности межсетевые экраны) могут исключительно специальные аккредитованные и федеральные государственные органы по сертификации. После поступления заявки на испытание системы бразды правления передаются в испытательные центры, которые имеют необходимый уровень сертификации, а также специфическую материально техническую базу, позволяющую производить подобные испытания аппаратных систем защиты информации. В отдельных случаях, возможно проводить испытания МЭ на базе заявителя, но этот процесс происходит с разрешения федерального органа под его строгим контролем. Подлинность выданного сертификата может быть проверена в других лабораториях, если у регулятора возникли сомнения касаемо правдоподобности результатов исследования.

Вместо заключения


В качестве основы построения системы межсетевой защиты информации используются межсетевые экраны. На сегодняшний день существует не одна сотня семейств межсетевых экранов, что приводит к усложнению проведения процедуры сертификации в связи с определением уровня межсетевого экрана по отношению к РД ФСТЭК России. Набор методик, который применяется в настоящее время и является — типовым и, как правило, он разрабатывается отдельно для каждого испытуемого межсетевого экрана в отдельной испытательной лаборатории. Подобные методики сертификационных испытаний носят схематичный характер, и это приводит к усложнению оптимизации действий по оценке соответствия применяемых средств межсетевой защиты и компьютерных сетей.
Share post
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 20

    0
    Скоро выйдут требования к разным классам и типам МЭ и профилями защиты по 15408.
      0
      И как эти требования будут коррелировать с действующими РД?
        0
        Пока неизвестно, все выпущенные до этого требования+ПЗ покрывали те классы СЗИ, по которым не было РД. Я думаю, что РД МЭ просто отменят. На замену РД СВТ тоже делается целый набор требований к средствам разных классов.
      +1
      Вот скажите, есть такая штука — ViPnet. У меня есть серьёзные сомнения относительно корректности его исполнения.

      Во-первых, случается, что он отказывает. Не знаю, была ли это ошибка пользователя, или же ошибка в ПО, но я наблюдал на пограничном шлюзе пакеты (незашифрованные) с «виртуальными адресами» вместо пакетов с портом назначения udp 55777. Их заблокировано (файерволл знал, что наружу не могут выходить пакеты с тамики адресами назначения), но если бы это был просто NAT без фильтра — он их выпустил бы.

      Во-вторых, сами эти виртуальные адреса — 11.x.x.x. Вообще-то, согласно IANA, данный блок адресов выдан Минобороны США (DoD). Как минимум, здесь происходит некорректное использование глобально-уникальных адресов — видимо, какая-то светлая, но недоученная голова в Инфотексе решила, что раз 10… можно, то и за 11… тоже сойдёт.
      Но это само по себе не так страшно, как в комбинации с предыдущим. Если бы пакеты не были остановлены файерволлом, данные, которые мы так хотели надёжно зашифровать, отправлялись бы открытым текстом прямо как по заказу. Другими словами, некорректный «захват» блока — не мелочь, а грубейшее нарушение дизайна системы.

      Куда можно пожаловаться, чтобы сертификаты у них отобрали (желательно, навсегда)?
        0
        Во-первых, случается, что он отказывает. Не знаю, была ли это ошибка пользователя, или же ошибка в ПО, но я наблюдал на пограничном шлюзе пакеты (незашифрованные) с «виртуальными адресами» вместо пакетов с портом назначения udp 55777

        Это и есть не шифрованный трафик. Не знаю какие там были настройки у вас, но то, что вы видели на фаерволе — это трафик к узлам без випнет клиентов. Он по идеологии не может быть шифрован, клиент тогда не получит данные, если оно будет шифровано. Тут вопрос к настройки координатора. Если там туннели типо permit any ip, что вы хотите?

        Во-вторых, сами эти виртуальные адреса — 11.x.x.x.

        Этот диапазон настраивается на координаторах и на клиентах. По моей практике, обычно это зона из локальной сети предприятия в котором стоит крипошлюз. Ведь по сути, координатор выступает VPN сервером и его клиенты получают адреса. В терминологии випнета — это «виртуальные адреса»
          +1
          Это и есть не шифрованный трафик.

          Vipnet… я хоть и не спец в нём (да и давно это было), но как мне помниться, это как раз шифрованный трафик, инкапсулированный в UPD 55777, который передается между координаторами для «своих» клиентов, у которых vipnet клиента нет.
            0
            Это же випнет. Как и все прочее сертифицированное.
            Вам же написали в посте, что производитель, а особенно регулятор ни в чем не виноват:
            В случае сбоя функционирования МЭ или его неэффективности, что произошло по причине отсутствия нужных функций, вопросы возникнут не к разработчику брандмауэра, а к администратору МЭ или покупателю продукта, вовремя не проверившему его подлинность.
              0
              udp 55777, кстати порт тоже может быть изменен — да, шифрованный трафик между узлами сети Випнет.
              Но товарищ merlin-vrn, писал о другом. Об открытом трафике с внутреними адресами координатора.

              я хоть и не спец в нём (да и давно это было)

              Ну наверное так. :)
                0
                Именно так. Вместо зашифрованных пакетов с персональными данными людей, инкапсулированных в udp с портом 55777, я видел то, что должно было быть зашифровано и инкапсулировано, с адресами назначения 11...., т.е. для АНБ США.
              0
              Это был трафик к т.н. «виртуальным адресам».
              Вы бы документацию випнета почитали, что ли.

              Это адреса, которые назначаются конечным клиентам, и по которым эти клиенты внутри системы идентифицируются. Трафик с такими адресами — открытый. При передаче пакеты с такими адресами шифруются, инкапсулируются в пакеты udp с портом назначения 55777 и реальными адресами, возможно, серыми — через NAT это тоже работает, и передаётся другой ноде через открытую сеть. Другими словами, vipnet — это велосипед на тему ipsec tunnel mode с nat-t. (У него есть и другой режим — не udp, так же как и у ipsec — без nat-t).

              Так вот, на шлюзе я видел незашифрованные пакеты, вместо зашифрованных, инкапсулированных в транспортные udp. Явно отказ vpn при передаче.

              Если диапазон виртуальных адресов настраивается, два вопроса: почему у него заведомо некорректное значение по умолчанию, и почему как-то вообще ни разу не доводилось видеть его замены, вплоть до сети масштаба 200 аппаратных шлюзов випнет и отказоустойчивым кластером из двух координаторов в центре, которую проектировала известная московская фирма (которая, кстати, есть на Хабре)?
                0
                Это был трафик к т.н. «виртуальным адресам».

                такое используется, при доступе с открытой сети к защищенным узлам, либо с ПО випнет, либо просто в DMZ за координатором.

                Вы бы документацию випнета почитали, что ли.

                Судя по нижеизложенному, вы не понимаете как работает випнет.

                Это адреса, которые назначаются конечным клиентам, и по которым эти клиенты внутри системы идентифицируются.

                Именно внутри системы, т.е. внутри каждого узала. Вы же вкурсе надеюсь, что виртуальные адреса одного и того же узла(АП1) на двух других узлах(АП2 и АП3) различаются?

                Явно отказ vpn при передаче.

                Прям явный? в пакетых были данные? Может это был поиск узла по всем известным адресам?

                почему у него заведомо некорректное значение по умолчанию,

                С вашей точки зрения? Какие должны быть? Что бы сразу работало по умолчанию?
                Я их не оправдываю с выбором. 11.0.0.0/8. Но имхо — это наименьшее зло.

                и почему как-то вообще ни разу не доводилось видеть его замены, вплоть до сети масштаба 200 аппаратных шлюзов випнет и отказоустойчивым кластером из двух координаторов в центре,

                может потому, что надо читать документацию по-лучше? Ну или просто цели такой не стояло.
            0
            Граждане, как пользователь энного количества сертифицированных продуктов скажу вам:
            В случае сбоя функционирования МЭ или его неэффективности, что произошло по причине отсутствия нужных функций, вопросы возникнут не к разработчику брандмауэра, а к администратору МЭ или покупателю продукта, вовремя не проверившему его подлинность.

            не надо пытаться воздействовать на других как политическая… Троцкий.
            Для не знающих напомню, что обычные изделия одной мягкой фирмы тоже сертифицированы.
              0
              Не знаю, что там сертифицировано, но например система безопасности домена Windows не сертифицирована как система предотвращения несанкционированного доступа. Зато сертифицирован Dallas Lock. То есть, вы делаете домен, а потом ставите Dallas Lock и он заменяет окошки входа в систему и некоторые другие, также заменяет функции управления безопасностью. На конечной рабочей станции, судя по всему, он представляет из собой GINA-библиотеку вместо MS GINA (см. в technet, что это такое и как в винде устроен вход в систему).

              И конечно Dallas Lock — так себе по функционалу управления и возможностям, особенно — по сравнению с AD. Кое-что в нём удивляет. Но он хотя бы на первый взгляд работает как заявлено.
                0
                А уж если у вас более одного домена (дерево, лес) — готовтесь плясать с бубном. Техподдержка не смогла ответить на вопросы, предложили экспериментировать самим.
                0
                Мне интересно, вот мы, как интегратор, часто продаём МЭ, например Cisco ASA. Причём можно продать её просто так, а можно (если заказчик требует) ещё заплатить конторе, которая сертифицирует железки. Так эта контора реально что-то тестирует, или производит обмен бумажек на деньги?
                  0
                  Обмен. Была где-то статья про сертификацию.
                  Если коротко: все как обычно.
                    0
                    Насколько мне известно, контора заливает сертифицированную прошивку.
                      0
                      Процедура сертификации достаточно строго регламентирована. К тому же результаты испытаний проверяются органом по сертификации, и при выявлении несоответствия действующего функционала заявленным требованиям — никто «обмен бумажек на деньги» не произведет — изделие будет отправлено обратно на доработку. Испытательных лабораторий в РФ не так много — никто не станет портить себе репутацию и отношения со ФСТЭК/ФСБ/МО, чтобы просто срубить по-быстрому деньжат.
                      0
                      Странно, что в статье ничего не сказано про сертификацию ФСБ для МЭ. Сертификация ФСТЭК и ФСБ — разные вещи, но многие заказчики не хотят в это вникать, для них обычно подойдет «любая бумажка». Тем временем, МЭ с сертификатами ФСБ стоят дороже, но требуются только в серьезных госорганах, например Администрация Президента, ФСБ, МВД и тд. Интеграторы часто пользуются блаженным неведением заказчика и «толкают» более дорогую, но ненужную железку.

                      Only users with full accounts can post comments. Log in, please.