П.2. Термины и определения в области межсетевых экранов

В руководящем документе Гостехкомиссии России “Руководящий документ. Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации” [55] определен ряд терминов в области построения межсетевых экранов (МЭ).

Руководящий документ вводит следующие основные термины и определения.

Администратор МЭ – лицо, ответственное за сопровождение МЭ.

Дистанционное управление компонентами МЭ – выполнение функций по сопровождению МЭ (компоненты) администратором МЭ с узла (рабочей станции) сети, на котором не функционирует МЭ (компонента) с использованием сетевых протоколов.

Критерии фильтрации – параметры, атрибуты, характеристики, на основе которых осуществляется разрешение или запрещение дальнейшей передачи пакета (данных) в соответствии с заданными правилами разграничения доступа (правилами фильтрации). В качестве таких параметров могут использоваться служебные поля пакетов (данных), содержащие сетевые адреса, идентификаторы, адреса интерфейсов, портов и другие значимые данные, а также внешние характеристики, например, временные, частотные характеристики, объем данных и т.п.

Локальное (местное) управление компонентами МЭ – выполнение функций по сопровождению МЭ (компоненты) администратором МЭ (компонента) с использованием интерфейса МЭ.

Межсетевой экран (МЭ) – это локальное (однокомпонентное) или функционально-распределенное программное (программно-аппаратное) средство (комплекс), реализующее контроль за информацией, поступающей в АС и (или) выходящей из АС. МЭ обеспечивает защиту АС посредством фильтрации информации, т.е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС на основе заданных правил, проводя таким образом разграничение доступа субъектов из одной АС к объектам другой АС. Каждое правило запрещает или разрешает передачу информации определенного вида между субъектами и объектами. Как следствие, субъекты из одной АС получают доступ только к разрешенным информационным объектам из другой АС. Интерпретация набора правил выполняется последовательностью фильтров, которые разрешают или запрещают передачу данных (пакетов) на следующий фильтр или уровень протокола.

Правила фильтрации – перечень условий, по которым с использованием заданных критериев фильтрации осуществляется разрешение или запрещение дальнейшей передачи пакетов (данных) и перечень действий, производимых МЭ по регистрации и (или) осуществлению дополнительных защитных функций.

Межсетевой экран может строиться с помощью экранирующих агентов, которые обеспечивают установление соединения между субъектом и объектом, а затем пересылают информацию, осуществляя контроль и (или) регистрацию. Использование экранирующих агентов позволяет предоставить дополнительную защитную функцию – сокрытие от субъекта истинного объекта. В то же время, субъекту кажется, что он непосредственно взаимодействует с объектом. Обычно экран не является симметричным, для него определены понятия “внутри” и “снаружи”. При этом задача экранирования формулируется как защита внутренней области от неконтролируемой и потенциально враждебной внешней.

Сетевые адреса – адресные данные, идентифицирующие субъекты и объекты и используемые протоколом сетевого уровня модели международной организации по стандартизации взаимодействия открытых систем (ISO OSI). Сетевой протокол выполняет управление коммуникационными ресурсами, маршрутизацию пакетов, их компоновку для передачи в сети. В этих протоколах решается возможность доступа к подсети, определяется маршрут передачи и осуществляется трансляция сообщения. Управление доступом на сетевом уровне позволяет отклонять нежелательные вызовы и дает возможность различным подсетям управлять использованием ресурсов сетевого уровня. Поэтому в данных протоколах возможно выполнение требований по защите в части проверки подлинности сетевых ресурсов, источника и приемника данных, принимаемых сообщений, проведения контроля доступа к ресурсам сети.

Трансляция адреса – функция МЭ, скрывающая внутренние адреса объектов (субъектов) от внешних субъектов.

Транспортные адреса – адресные данные, идентифицирующие субъекты и объекты и используемые протоколом транспортного уровня модели ISO OSI. Протоколы транспортного уровня обеспечивают создание и функционирование логических каналов между программами (процессами, пользователями) в различных узлах сети, управляют потоками информации между портами, осуществляют компоновку пакетов о запросах и ответах.

Централизованное управление компонентами МЭ – выполнение с одного рабочего места (рабочей станции, узла) всех функций по сопровождению МЭ (его компонент), только со стороны санкционированного администратора, включая инициализацию, останов, восстановление, тестирование, установку и модификацию правил фильтрации данных, параметров регистрации, дополнительных защитных функций и анализ зарегистрированных событий.

Экранирование – функция МЭ, позволяющая поддерживать безопасность объектов внутренней области, игнорируя несанкционированные запросы из внешней области. В результате экранирования уменьшается уязвимость внутренних объектов, поскольку первоначально сторонний нарушитель должен преодолеть экран, где защитные механизмы сконфигурированы наиболее тщательно и жестко. Кроме того, экранирующая система, в отличие от универсальной, может и должна быть устроена более простым и, следовательно, более безопасным образом, на ней должны присутствовать только те компоненты, которые необходимы для выполнения функций экранирования. Экранирование дает также возможность контролировать информационные потоки, направленные во внешнюю область, что способствует поддержанию во внутренней области режима конфиденциальности. Помимо функций разграничения доступа, экраны осуществляют регистрацию информационных обменов.

П.3. Краткий глоссарий иностранных терминов
по информационной безопасности

ACL (Access Control List) набор правил фильтрации пакетов на маршрутизаторах; правила доступа к данным для сервера.

ActiveX – технология программирования небольших сетевых приложений, называемых апплетами; разработана фирмой Microsoft.

Authentication token – жетон (карточка) аутентификации – миниатюрное устройство, используемое для установления личности пользователя; работает по принципу запрос-отклик на основе синхронизации по времени последовательности кодов и др. технологий.

С (Cyphertext) зашифрованный (закрытый) текст CGI (Common Gateway Interface общий шлюзовой интерфейс).

Challenge/response – метод аутентификации, предусматривающий, что сервер посылает пользователю произвольный запрос, а тот генерирует отклик при помощи одного из жетонов аутентификации.

DES (Data Encryption Standard) симметричный алгоритм шифрования с закрытым ключом, стандарт для обработки информации в государственных учреждениях США; алгоритм использует ключ длиной 56 бит и 8 бит проверки на четность и требует от злоумышленника перебора 72 квадриллионов ключевых комбинаций.

DNS (Domain Name System) система имен доменов, представляющая собой распределенную базу данных, которая преобразует имена пользователей и хостов в IP-адреса и наоборот.

DNS spoofing – присвоение имени домена другой системы путем либо искажения данных кэша службы имен интересующей взломщика системы, либо указания "действительного" домена серверу доменных имен.

DSA (Digital Signature Algorithm) алгоритм цифровой подписи, позволяющий генерировать цифровые подписи на основе арифметических операций.

Firewall – межсетевой экран (брандмауэр); является защитным межсетевым барьером, позволяющим пропускать только авторизованные пакеты.

Flame – личный выпад ("наезд") в чей-либо адрес в сети USENET.

FTP (File Transfer Protocol) протокол передачи файлов по сети.

Gopher – протокол, разработанный для того, чтобы позволить пользователю передавать текстовые и двоичные файлы между компьютерами в сети.

HTML – язык гипертекстовой разметки документов; используется для создания Web-страниц.

HTTP – протокол передачи гипертекста; базовый протокол WWW, использующийся для передачи гипертекстовых документов.

IP splicing – разновидность злонамеренного проникновения, когда взломщик вторгается в активный, уже установленный сеанс.

IP spoofing – подмена адресов – разновидность вторжения, когда взломщик пытается замаскироваться под другую систему, используя ее IP-адрес.

Java – технология программирования сетевых приложений, разработанная фирмой Sun Microsystems; среда для выполнения Java-апплетов должна быть безопасной, т.е. апплет не должен иметь возможности модифицировать что-либо вне WWW-браузера.

Kerberos – название технологии аутентификации в распределенной системе, созданной в Массачусетском технологическом институте на базе стандарта шифрования с открытым ключом DES.

MD5 (Message Digest algorithm) алгоритм, используемый для генерации цифровых подписей в тех случаях, когда, прежде чем подписать сообщение большого размера, его требуется сжать.

NNTP – протокол передачи сетевых новостей для распространения новостей в Usenet.

Р (Plaintext) открытый (общедоступный) текст.

Plug-in – набор динамически подключаемых библиотек, используемых для увеличения функциональных возможностей основной программы, такой как WWW-браузер.

Proxy – приложение-посредник, выполняемое на шлюзе, которое передает пакеты между авторизованным клиентом и внешним хостом; посредник принимает запросы от клиента на определенные сервисы Internet, a затем, действуя от имени этого клиента, устанавливает соединение для получения запрошенного сервиса.

Proxy server – сервер-посредник; брандмауэр, в котором для преобразования IP-адресов всех авторизованных клиентов в IP-адреса, ассоциированные с брандмауэром, используется процесс, называемый трансляцией адресов (address translation).

RADIUS (Remote Authentication Dial-In User Service) служба дистанционной аутентификации пользователей по коммутируемым линиям; стандарт Internet, обеспечивающий совместимость паролей различных систем аутентификации и систем управления учетными записями пользователей.

RSA (Rivest, Shamir, Adleman) асимметричный ключ шифрования.

Screening router – маршрутизатор с ограничением доступа, сконфигурированный на разрешение/запрещение трафика на основе набора правил доступа, заданных администратором.

SKIP (Simple Key management for Internet Protocol) простой алгоритм администрирования ключей для Internet.

SMTP (Simple Mail Transfer Protocol) протокол, позволяющий осуществлять почтовую транспортную службу Internet.

SNS (Secure Network Services) сетевая служба безопасности.

Spamming – посылка большого числа одинаковых сообщений; используется для организации рекламной кампании и пирамид.

SSL (Secure Sockets Layer) протокол защиты сообщений в TCP/IP-сетях, разработанный Netscape Communications; использует межконцевое шифрование трафика на прикладном уровне.

SYN-overflow – метод вывода системы из строя путем посылки ей такого числа SYN-пакетов, которое не может обработать сетевой драйвер.

TCP/IP (Transmission Control Protocol/ Internet Protocol) коммуникационные протоколы, используемые для связи в сетях Internet и intranet.

Telnet – протокол, используемый для терминального (возможно удаленного) подключения к хосту.

Tunneling router – маршрутизатор или система, направляющая трафик с помощью шифрования и (или) инкапсуляции через предусмотренную сеть – виртуальный туннель; на месте назначения производится декапсуляция и дешифрование.

UDP storm – чрезмерный поток пакетов UDP, используемый для "затопления" сервера, чтобы попытаться отразить вторжение.

URL (Uniform/Universal Resource Locator) универсальный локатор ресурсов.

USENET – система обсуждения новостей на основе электронной почты; использует TCP/IP.

VPN (Virtual Private Networking) дистанционный доступ через Internet; метод использования инфраструктуры Internet для соединения различных ЛВС.

 


Приложение 2. СПИСОК основных руководящих документов
по обеспечению информациОННОЙ безопасности