Адміністратору безпеки мережі для конфігурація комплексу FireWall-1 необхідно виконати наступний ряд дій: *

Визначити об'єкти, що беруть участь у процесі обробки інформації. Тут маються на увазі користувачі і групи користувачів, комп'ютери і їхні групи, маршрутизатори і різні під сеті локальної мережі організації. *

Описати мережні протоколи і сервіси, з якими будуть працювати додатка. Утім, звичайно достатнім виявляється набір з більш ніж 40 описів, що поставляються із системою FireWall-1. *

Далі, за допомогою введених понять описується політика розмежування доступу в наступних термінах: “Групі користувачів А дозволений доступ до ресурсу Б с допомогою чи сервісу протоколу З, але про цьому необхідно зробити позначку в реєстраційному журналі”. Сукупність таких записів компілюється в здійсненну форму блоком керування і далі передається на виконання в модулі фільтрації.

Модулі фільтрації можуть розташовуватися на комп'ютерах - чи шлюзах виділених серверах - чи в маршрутизаторах як частина конфігураційної інформації. В даний час підтримуються наступні два типи маршрутизаторів: Cisco IOS 9.x, 10.x, а також BayNetworks (Wellfleet) OS v.8.

Модулі фільтрації переглядають усі пакети, що надходять на мережні інтерфейси, і, у залежності від заданих правил, чи пропускають відкидають ці пакети, з відповідною записом у реєстраційному журналі. Слід зазначити, що ці модулі, працюючи безпосередньо з драйверами мережних інтерфейсів, обробляють весь потік даних, розташовуючи повною інформацією про передані пакети.

ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ

Розглянемо процес практичної реалізації політики безпеки організації за допомогою програмного пакета FireWall-1. (мал. 3) .

Малюнок 3

Малюнок 3 Реалізація політики безпеки FireWall.

1. Насамперед, як уже відзначалося, розробляються і затверджуються на рівні керівництва організації правила політики безпеки.

2. Після твердження ці правила треба втілити в життя. Для цього їх потрібно перевести в структуру типу “відкіля, куди і яким способом доступ дозволений чи, навпаки, заборонений. Такі структури, як ми вже знаємо, легко переносяться в бази правил системи FireWall-1.

3. Далі, на основі цієї бази правил формуються списки доступу для маршрутизаторів і сценарії роботи фільтрів на мережних шлюзах. Списки і сценарії далі переносяться на фізичні компоненти мережі, після чого правила політики безпеки “набирають сили”.

4. У процесі роботи фільтри пакетів на шлюзах і серверах генерують запису про всі події, що їм наказали відслідковувати, а, також, запускають механізми “тривоги”, що вимагають від адміністратора негайної реакції.

5. На основі аналізу записів, зроблених системою, відділ комп'ютерної безпеки організації може розробляти пропозиції по зміні і подальшому розвитку політики безпеки.

Розглянемо простий приклад реалізації наступних правил:

1. З локальних мереж підрозділів, можливо вилучених, дозволяється зв'язок з будь-якою локальною мережею організації після аутентифікації, наприклад, по UNIX-паролі.

2. Усім забороняється доступ до мережі фінансового департаменту, за винятком генерального директора і директора цього департаменту.

3. З Internet дозволяється тільки відправляти й одержувати пошту. Про всі інші спроби зв'язку необхідно робити докладний запис.

Усі ці правила природним образом представляються засобами графічного інтерфейсу Редактора Правил FireWall-1 (мал. 4).

Малюнок 4

Малюнок 4 Графічний інтерфейс Редактора Правил FireWall-1 .

Після завантаження правил, FireWall-1 для кожного пакета, переданого по мережі, послідовно переглядає список правил до перебування елемента, що відповідає поточному випадку.

Важливим моментом є захист системи, на якій розміщений адміністративно-конфігураційний модуль FireWall-1. Рекомендується заборонити засобами FireWall-1 усі види доступу до даної машини, чи принаймні строго обмежити список користувачів, яким це дозволено, а також ужити заходів по фізичному обмеженню доступу і по захисту звичайними засобами ОС UNIX.

КЕРУВАННЯ СИСТЕМОЮ FIREWALL-1

На мал. 5 показані основні елементи керування системою FireWall-1.

Малюнок 5

Малюнок 5 Основні елементи керування системою FireWall-1.

Ліворуч розташовані редактори баз даних про об'єкти, що існують у мережі і про чи протоколи сервісах, за допомогою яких відбувається обмін інформацією. Праворуч угорі показаний редактор правил доступу.

Праворуч унизу розташовується інтерфейс контролю поточного стану системи, у якому для всіх об'єктів, що заніс туди адміністратор, відображаються дані про кількість дозволених комунікацій (галочки), про кількість відкинутих зв'язків (знак “цегла”) і про кількість комунікацій з реєстрацією (іконка олівець). Цегельна стіна за символом об'єкта (комп'ютера) означає, що на ньому встановлений модуль фільтрації системи FireWall-1.

ЩЕ ОДИН ПРИКЛАД РЕАЛІЗАЦІЇ ПОЛІТИКИ БЕЗПЕКИ

Розглянемо тепер випадок, коли первісна конфігурація мережі міняється, а разом з нею міняється і політика безпеки.

Нехай ми вирішили установити в себе в організації кілька загальнодоступних серверів для надання інформаційних послуг. Це можуть бути, наприклад, сервери World Wide Web, FTP чи інші інформаційні сервери. Оскільки такі системи відособлені від роботи всієї іншої мережі організації, для них часто виділяють свою власну під сеті, що має вихід у Internet через шлюз (мал. 6).

Малюнок 6

Малюнок 6 Схема шлюзу Internet.

Оскільки в попередньому прикладі локальна мережа була вже захищена, те усе, що нам треба зробити, це просто дозволити відповідний доступ у виділену під сеті. Це робиться за допомогою одного додаткового рядка в редакторі правил, що тут показана. Така ситуація є типової при зміні конфігурації FireWall-1. Звичайно для цього потрібно зміна однієї чи невеликого числа рядків у наборі правил доступу, що, безсумнівно, ілюструє міць засобів конфігурації і загальну продуманість архітектури FireWall-1.

АУТЕНФіКАЦіЯ КОРИСТУВАЧІВ ПРИ РОБОТІ З FTP

Solstice FireWall-1 дозволяє адміністратору установити різні режими роботи з інтерактивними сервісами FTP і telnet для різних користувачів і груп користувачів. При встановленому режимі аутентифікації, FireWall-1 заміняють стандартні FTP і telnet демони UNIX на свої власні, розташовуючи їх на шлюзі, закритому за допомогою модулів фільтрації пакетів. Користувач, що бажає почати інтерактивну сесію по FTP чи telnet