Рецензия
C. Hare, K. Siyan. Internet Firewalls and Network Security. Second Edition. New Riders Publishing. 1996. 631 p. $46.
Так называется книга, выпущенная издательством New Riders Publishing корпорации Prentice Hall.* Написанная на основе многолетнего опыта работы ее авторов с сетями, она адресована сетевым администраторам и подготовленным пользователям. Однако книгу можно рекомендовать всем, кто по роду своей деятельности имеет отношение к вопросам обеспечения безопасности сетей. Для более эффективного использования материала, приведенного в книге, необходимо знать операционную систему Unix.
Книга состоит из двух частей. В качестве вводного материала первой части - “Основы сетевой безопасности” - предложен обзор сетевых протоколов комплекта TCP/IP. И это вполне логично, поскольку в книге речь идет о безопасности сетей, подключенных к Internet и поддерживающих эти протоколы. Затем читатель знакомится с уровнями безопасности систем. Эти уровни (они определены в соответствующих стандартах) описывают различные типы физической защиты, аутентификации пользователей и степени доверенности программного обеспечения. Причем представлены два комплекта уровней безопасности. Один из них разработан Министерством обороны США, другой - правительством Канады.
Изложены принципы использования паролей и обращения с файлами, их содержащими. Приведен листинг программы, указывающей, сколько дней осталось до истечения срока действия пароля пользователя.
Читатель получает самые общие сведения о методах криптографической защиты. Описана популярная система аутентификации Kerberos (“Цербер”), эффективность которой проверена временем.
Изложены принципы работы систем одноразового пароля (one-time password - OTP). Указано, что такие системы используются для защиты подсистем аутентификации от внешних атак. Кстати, идея одноразового пароля была предложена Лесли Лампортом еще в начале 80-х годов, но, как видим, не потеряла своей актуальности и сегодня.
Рассмотрено использование двух таких систем. Наиболее широко распространенная система аутентификации S/KEY фирмы Bellcore, разработанная в 1991 г., является первой реализацией систем OTP. Представлена также система OPIE, предназначенная для работы в среде Unix-подобных систем.
Читатель знакомится с деятельностью ряда экспертных групп по безопасности, в частности Команды скорой компьютерной помощи (CERT).
Значительное внимание в первой части уделено вопросам формирования политики сетевой безопасности организации. Отмечено, в частности, что в процессе разработки этого документа необходимо четко определить, какие ресурсы и услуги необходимо защищать и от каких угроз. Важными составляющими этого процесса являются также: определение ответственности пользователей и системных администраторов, планирование процедур восстановления системы после изменений, сделанных злоумышленником. Указано, что создание такого документа служит первым шагом к приобретению брандмауэра (или разработке собственного, если в организации имеются специалисты соответствующей квалификации). Но это уже тема второй части книги, которая так и называется - “Защитные маршрутизаторы и брандмауэры”.
Начинается эта часть с определения понятия зоны риска. Она включает все сети, поддерживающие TCP/IP и непосредственно доступные из Internet. Хост-машины, расположенные в пределах зоны риска, уязвимы к атакам. Далее следует описание самых доступных средств защиты сетей - маршрутизаторов, выполняющих фильтрацию пакетов. Их задача - анализировать информацию, содержащуюся в заголовке IP-пакета (адреса отправителя и получателя, а также номер порта), с целью выявления и фильтрации потенциально опасных пакетов.
Для лучшего понимания функционирования маршрутизатора в сетевой коммуникации использована эталонная модель взаимосвязи открытых систем, разработанная Международной организацией по стандартизации (ISO). Кроме того, читатель знакомится с принципами фильтрации пакетов на IBM PC-совместимых ПК. В качестве примера использованы два программных пакета: KarlBridge и Drawbridge. Приведены рекомендации по их конфигурированию.
Далее изложены основные принципы построения брандмауэров. Как справедливо отмечают авторы, этот термин в литературе трактуется очень широко. В общем виде брандмауэр представляет собой набор аппаратных и/или программных компонентов, настроенных так, чтобы реализовать определенные правила управления доступом к сети. Однако в самом упрощенном смысле брандмауэр - это маршрутизатор, через который проходит весь трафик между двумя сетями.
Описаны архитектурные компоненты, на базе которых создаются брандмауэры: двудомный хост (ПК, содержащий две сетевые интерфейсные платы: одна подключена к внутренней сети, другая - к внешней) и бастион-хост (компьютерная система, устанавливаемая между внутренней [защищенной] и внешней сетями). Рассмотрены также шлюзы прикладного уровня, использующие программу-представитель (proxy), которая по поручению пользователя запрашивает услугу, а затем, действуя от имени этого клиента, устанавливает соединение для ее получения.
Отмечено, что работа всех типов брандмауэров основана на использовании информации разных уровней эталонной модели. Их эффективность зависит от доступной им информации, то есть от уровня.
Описано функционирование ряда коммерческих брандмауэров: FireWall-1, ANS InterLock, Gauntlet фирмы TIS, а также брандмауэра Black Hole (“Черная дыра”) фирмы Milkyway Networks Corporation (Канада).
Подробно описаны возможности использования для построения брандмауэров комплекта инструментальных средств TIS Firewall Toolkit, распространяемого бесплатно.
Третью часть книги составляют приложения. В них приведены краткие сведения о ряде программных пакетов, выполняющих различные защитные функции, с адресами источников их получения в сети Internet; помещен список американских и канадских компаний, поставляющих изделия, реализующие функции безопасности, а также дополнительная справочная информация по системе OPIE.
Еще одним приложением является компакт-диск. Он содержит демонстрационные программы ряда поставщиков брандмауэров, документы RFC, имеющие отношение к вопросам безопасности, а также пакет SATAN, который является эффективным средством сканирования систем с целью выявления уязвимых мест. * Книгу можно приобрести в представительстве корпорации Prentice Hall в Москве. Телефон: (095) 251-4504.
Юрий Толкачев
