Pull to refresh

О сертификации межсетевых экранов

Reading time 8 min
Views 23K

Инструмент защиты от нежелательного трафика


Будучи заинтересованным человеком в области сертификации СЗИ, решил изложить некоторые мысли по сертификации межсетевых экранов. В статье уделено внимание проблемам, которые почему-то очень неохотно решаются в настоящий момент. Если эта тема вам тоже интересна и вы хотите ее обсудить, добро пожаловать под кат.

Межсетевые экраны – комплексное программное или аппаратное обеспечение, позволяющее на должном уровне безопасности контролировать количество и качество сетевых пакетов, проходящих через него. Межсетевой экран осуществляет анализ сетевого трафика, исходя из определенного набора правил, в соответствии с которыми осуществляется фильтрация всех данных.

Таким образом, основная задача МЭ (файервола, сетевого экрана, брандмауэра) – защита автономных узлов или общих компьютерных сетей от несанкционированного постороннего доступа, который может использовать данные в своих целях либо нанести непоправимый вред владельцу сети. Именно поэтому межсетевые экраны еще называют фильтрами, которые не пропускают не подходящие под прописанные в конфигурации критерии пакеты данных. Фильтрация сетевого трафика может осуществляться на любом уровне модели OSI. В качестве критериев может быть использована информация с разных уровней: номера портов, содержимое поля данных, адрес отправителя/получателя.

Государственные органы контроля информационных технологий определяют межсетевой экран более конкретно — как один из компонентов обширной системы информационной безопасности, включающей в себя ряд дополнительных характеристик для обеспечения ее эффективной работы. Межсетевой экран не является обязательным для приобретения владельцем сети. Не смотря на то, что он в полной мере отвечает за сохранность конфиденциальной информации, в настоящий момент подобная система защиты в РФ не распространена на должном уровне. В идеале она должна быть внедрена в каждую внутреннюю сеть, чтобы круглосуточно контролировать входящие/исходящие потоки информации. Система мониторинга защиты информации в некоторой степени заменяет в настоящий момент дополнительные средства защиты сети, однако этого не достаточно для определения личной системы безопасности как совокупности аппаратных обеспечений высокого уровня.

Распространенность МЭ


Давно всем известно, что защита всегда должна быть комплексной, и даже корректно настроенный МЭ со всем необходимым набором правил не дает пользователю абсолютную защиту. Поэтому использование МЭ должно производиться с использованием антивирусных программ, которые обнаруживают и нейтрализуют различные вредоносные программы, детектируют зараженные файлы, изолируют подозрительные файлы, контролируют исполняемые процессы в системе. Комплексность такого подхода решает проблемы, возникающие в связи со специализацией средств информационной защиты, когда каждое средство способствует предотвращению лишь определенных угроз безопасности.

В зависимости от типа МЭ возможна изоляция и защита приложений, машин и сервисов внутренней сети от поступающего из внешней сети Интернет нежелательного трафика, запрещение или ограничение доступа хостов внутренней сети к внешним web-сервисам и поддержка преобразования сетевых адресов, что позволяет использовать во внутренней сети приватные IP адреса. Межсетевые экраны фильтруют весь входящий/исходящий трафик, которые проходит через личную систему каждого пользователя. В зависимости от ряда дополнительных характеристик могут принадлежать к определенному классу защищенности, для этого необходимо получить сертификат.

МЭ может в процессе работы «руководствоваться» одним или несколькими наборами установок, благодаря которым проходит проверка и фильтрация каждого сетевого пакета. Данный процесс осуществляется как на входе, так и на выходе пакетов через каналы сетевого соединения. По результатам проверки трафик может как получить доступ к дальнейшему прохождению, так и блокироваться. При этом в установках самого брандмауэра есть настройки, указывающие на конкретные характеристики сетевых пакетов, подлежащих проверке во время фильтрации. Тип протокола при этом не является ограничением, равно как адрес хоста и порт назначения или источника.

Межсетевые экраны значительно увеличивают уровень безопасности локальной сети. Но этим их функциональность не ограничивается, МЭ выполняют различные задачи, которые необходимы пользователю или организации на данный момент.

Характеристики эффективного МЭ


В настоящее время рынок межсетевых экранов представлен множеством разных моделей с отличающимся между собой функционалом. Сетевое средство защиты интересует как пользователей, так и разработчиков, поставщиков (заинтересованного в больших объемах продаж круга лиц). До момента вступления в силу закона «О персональных данных», продать аппаратное обеспечение было значительно проще, так как обязательный сертификат продукта не требовался. В настоящее время ситуация несколько усложнилась, уже нельзя не включить требуемые параметры защиты в аппаратное обеспечение, а продать его по высокой стоимости как продукт высокого уровня безопасности. Применение каждого типа межсетевого экрана, используемого для защиты персональных данных, четко регламентируется, как и каждая его отдельно взятая характеристика. Все нормативные акты беспрепятственно информируют пользователей и разработчиков, каким в конечном итоге должен быть межсетевой экран, принадлежащий к одному из пяти классов защищенности.

Законодательные органы в конечном итоге приходят к выводу, что для эффективной защиты личных данных нужно использовать исключительно сертифицированные аппаратные средства защиты. Это напрямую касается и межсетевых экранов. Покупая непроверенный продукт, пользователь имеет все шансы получить подделку. Например, брандмауэр с минимальным набором характеристик можно купить по более низкой стоимости.

Проблемы в сфере сертификации МЭ


Несмотря на четкое определение понятия «межсетевой экран», свойства которого сводятся к фильтрации нежелательной информации, которая может пересечь сетевую границу, разработчики не всегда создают функциональное средство, отвечающее параметрам сертификации. Это может быть по причине недобросовестности продавца, а также при некомпетентности разработчика, допустившего ошибку (одну или несколько) во время создания аппаратного обеспечения.

Регулятор определяет основные показатели, которым должен соответствовать каждый МЭ, относящийся к определенному сертифицированному классу. Существуют нормативные акты, в которых четко прописаны требования к предлагаемым пользователям средствам защиты.

Разработчик может назвать межсетевым экраном любое аппаратное обеспечение, но оно не будет сертифицировано до того момента, пока не будет отвечать всем параметрам, отображенным в этих и ряде дополнительных положений и официальных документов.

Обязательны предварительные испытания программного продукта, прежде чем он поступит в продажу. Выдача соответствующего сертификата контролирующим органом – основное подтверждение соответствия МЭ РД.
Однако многие специалисты акцентируют внимание на устаревшем подходе к изучению данного вопроса, Руководящие документы не менялись, в них не вносились коррективы на протяжении длительного промежутка времени. Это значит, что состояние дел в сфере информационных технологий в настоящий момент несколько отличается от того, которое было десятилетие назад. Тем не менее, подобная скептическая точка зрения не препятствует стремлению многих разработчиков и поставщиков к получению сертификата.

Сертифицированные МЭ относятся к одному из пяти классов защищенности персональной информации. Подобная классификация предназначена для заказчиков и разработчиков МЭ, а также сетей ЭВМ, распределенных автоматизированных систем с целью использования при формулировании и реализации требований по их защите от НСД к информации.

Чем выше класс межсетевого экрана, тем больше требований, предъявляемых к нему, тем жестче общепринятые анализируемые характеристики. Все нормы прописаны в Руководящем документе «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации», утвержденном 25.07.1997 года. До настоящего момента ФСТЭК не вносил никаких поправок в документ, что свидетельствует о неком игнорировании инноваций, внедренных разработчиками в межсетевые экраны в частности.

Каждое средство защиты, которое с момента появления документа сертифицировалось в ФСТЭК, внесено в Государственный реестр. Документ доступен для ознакомления каждому, что позволяет покупателю МЭ получить предварительную приблизительную картину касаемо продукта, внесенного в реестр или его аналога, еще до покупки. Стоит заметить, что в некоторых кодах аппаратного обеспечения в документе есть пропуски, не все единицы были вовремя внесены в общий список. Это может привести к искажению информации.

В настоящее время не все разработчики межсетевых экранов могут сертифицировать свой продукт, так как он имеет несоответствие требованиям РД Российской Федерации. Одной из самых распространенных причин, по которой можно получить отказ в сертификации – отсутствие функции, позволяющей производить фильтрацию трафика на транспортном и сетевом уровнях (имеется в виду, как комплексный подход, так и рассмотрение каждого уровня отдельно). Такие МЭ контролируют сетевые пакеты исключительно на прикладном уровне, что в значительной степени снижает эффективность функционирования межсетевого экрана как комплексного аппаратного обеспечения. Такой продукт легок в разработке, не требует при этом значительных временных и материальных затрат. Брандмауэр с такими «узкими» характеристиками имеет шанс на сертификацию на отсутствие НДВ, однако при проведении сертификации само понятие «межсетевой экран» не рассматривается.

Отсюда следует вывод, что в соответствии с требованиями по сертификации средств защиты информации – межсетевой экран должен быть сертифицирован, как межсетевой экран определенного класса — на соответствие РД ФСТЭК. Так как сертификация на отсутствие НДВ или возможность применения в АС/ИСПДн/ИС в данном случае не дает корректную оценку рассматриваемому СЗИ, в качестве межсетевого экрана.

Если заказчику не столь важно строгое соответствие МЭ определенному классу защищенности, что должно быть отображено в сертификате, он не запрашивает при покупке данный документ. Это актуально в некоторых отраслях, которые используют средства защиты информации, не прошедшие проверку ранее.

Если продукт проходит сертификацию по ТУ, отображающим четкие требования руководящих документов касаемо управления входящими/исходящими информационными потоками, его функционал проверяется. В настоящее время ФСТЭК не считает подобные межсетевые экраны сертифицированным как продукты общеопределенных классов защиты информации.

Для заказчика важно обращать внимание на вышеперечисленные нюансы еще до приобретения межсетевого экрана, не надеясь исключительно на порядочность и компетентность производителя. Заранее нужно ознакомиться с нормативными документами, позволяющие понять механизм проверки МЭ на соответствие нормам.

При возникновении подозрений в наличии функций, прописанных в сертификате, можно обратиться в ФСТЭК для проведения повторной сертификации продукта, которая подтвердит его подлинность или опровергнет ее. Дополнительно изучите особенности действующей системы сертификации, чтобы в дальнейшем не было проблем с продуктом. На пользователе аппаратного обеспечения лежит основной груз ответственности.

В случае сбоя функционирования МЭ или его неэффективности, что произошло по причине отсутствия нужных функций, вопросы возникнут не к разработчику брандмауэра, а к администратору МЭ или покупателю продукта, вовремя не проверившему его подлинность.

Производить сертификацию средств защиты информации (в частности межсетевые экраны) могут исключительно специальные аккредитованные и федеральные государственные органы по сертификации. После поступления заявки на испытание системы бразды правления передаются в испытательные центры, которые имеют необходимый уровень сертификации, а также специфическую материально техническую базу, позволяющую производить подобные испытания аппаратных систем защиты информации. В отдельных случаях, возможно проводить испытания МЭ на базе заявителя, но этот процесс происходит с разрешения федерального органа под его строгим контролем. Подлинность выданного сертификата может быть проверена в других лабораториях, если у регулятора возникли сомнения касаемо правдоподобности результатов исследования.

Вместо заключения


В качестве основы построения системы межсетевой защиты информации используются межсетевые экраны. На сегодняшний день существует не одна сотня семейств межсетевых экранов, что приводит к усложнению проведения процедуры сертификации в связи с определением уровня межсетевого экрана по отношению к РД ФСТЭК России. Набор методик, который применяется в настоящее время и является — типовым и, как правило, он разрабатывается отдельно для каждого испытуемого межсетевого экрана в отдельной испытательной лаборатории. Подобные методики сертификационных испытаний носят схематичный характер, и это приводит к усложнению оптимизации действий по оценке соответствия применяемых средств межсетевой защиты и компьютерных сетей.
Tags:
Hubs:
+14
Comments 20
Comments Comments 20

Articles