ФСТЕК: вимоги до файрволам — 2

минулий раз ми розглянули вимоги ФСТЕК РФ до персональних файрволам — міжмережевих екранів рівня вузла (тип «В»), що встановлюються на робочих станціях мережі, яка захищається. Продовжимо розмову і розглянемо вимоги до рішень для захисту веб-серверів

Нагадаємо, що міжмережевий екран рівня веб-сервера (тип «Р») може застосовуватися на сервері, що обслуговує сайти, веб-служби і веб-додатки, або фізичної границі сегмента таких серверів сервера). Міжмережеві екрани типу «М» можуть мати програмний або програмно-технічне виконання і повинні забезпечувати контроль і фільтрацію інформаційних потоків за протоколом передачі гіпертексту, що проходять до веб-сервера і від веб-сервера.

Вже тут виникає питання. Судячи з усього цей МЕ розглядається як МЕ для конкретного додатка (типу Web application firewall) та у мережі повинен бути основною МЕ. Передбачається, що цей основний МЕ не вміє розбирати HTTP. Але для роботи і веб-сервера потрібні і інші протоколи. Як мінімум у зв'язку з необхідністю завантаження файлів FTP/SFTP/SCP(SSH), на багатьох серверах є функції розсилки пошти та інший функціонал. Передбачається, що основною МЕ не вміє розбирати HTTP, але вміє розбирати інші протоколи? Але для типу А прописано тільки знання типу протоколу:

можливість здійснювати фільтрацію, засновану на наступних типах атрибутів безпеки інформації: мережевий протокол, який використовується для взаємодії; атрибути, що вказують на фрагментацію пакетів; транспортний протокол, який використовується для взаємодії, порти джерела і одержувача в межах сеансу (сесії); дозволені (заборонені) команди, дозволений (заборонений) мобільний код…
Вимоги до міжмережевих екранів типу Р викладені здесь. Оскільки для типу Р, як уже говорилося, клас 4 максимальний, то розглянемо саме його.

МЕ повинен забезпечувати нейтралізацію таких загроз безпеки інформації:

  • несанкціонований доступ до інформації веб-сервера в результаті встановлення мережних з'єднань веб-сервером, не передбачених технологією обробки інформації;

  • відмова в обслуговуванні сервера, який обслуговує сайти, веб-служби і веб-додатки в результаті встановлення не передбачених технологією обробки інформації в інформаційній системі мережевих з'єднань з веб-сервером для відправки безлічі мережевих пакетів (запитів) до заповнення ними мережевий смуги пропускання каналу передачі даних або відправлення спеціально сформованих аномальних мережевих пакетів (запитів) великих розмірів або нестандартної структури. Загроза можлива у зв'язку з наявністю вразливостей мережевих протоколів, недоліків налаштування механізмів захисту, вразливостей в програмному забезпеченні програмно-апаратних засобів ІС;

  • несанкціоноване вплив на МЕ, метою якого є порушення його функціонування, включаючи подолання або обхід його функцій безпеки шляхом відправки спеціально сформованих мережевих пакетів на інтерфейси МЕ, що призводять до відключення, обходу або подолання механізмів захисту МЕ з використанням штатних засобів або спеціалізованих інструментальних засобів.
Правда у визначенні МЕ его завдання звужена — відповідно до Профілю МЕ «являє собою програмний або програмно-технічний засіб, що реалізує функції контролю і фільтрації у відповідності з заданими правилами, що проходять через нього інформаційних потоків, що використовується в цілях забезпечення захисту (некриптографическими методами) інформації обмеженого доступу». Але для типу А прописано тільки знання про тип протоколу:

можливість здійснювати фільтрацію, засновану на наступних типах атрибутів безпеки інформації: мережевий протокол, який використовується для взаємодії;
атрибути, що вказують на фрагментацію пакетів; транспортний протокол, який використовується для взаємодії, порти джерела і одержувача в межах сеансу (сесії); дозволені (заборонені) команди, дозволений (заборонений) мобільний код…
В МЕ повинні бути реалізовані наступні функції безпеки:

  • контроль і фільтрація;
  • ідентифікація та аутентифікація;
  • реєстрація подій безпеки (аудит);
  • забезпечення безперебійного функціонування і відновлення;
  • тестування і контроль цілісності;
  • управління (адміністрування);
  • взаємодія з іншими засобами захисту інформації.
У числі іншого МЕ повинен функціонувати в середовищі, що забезпечує безпечне функціонування МЕ.

МЕ типу Р четвертого класу повинен забезпечувати:

  • можливість здійснювати фільтрацію мережевого трафіку для відправників інформації, одержувачів інформації і всіх операцій передачі контрольованої МЕ інформації до веб-сервера і від веб-сервера. можливість забезпечити, щоб у брандмауері екрані фільтрація поширювалася на всі операції переміщення через МЕ інформації до веб-сервера і від веб-сервера. Цікавий пункт. Судячи з визначенням вимоги стосуються МЕ, призначеного для захисту конкретно веб-сервера і додаткового до основного МЕ. Якщо так, а за визначенням «міжмережеві екрани типу «Р» повинні забезпечувати контроль і фільтрацію інформаційних потоків за протоколом передачі гіпертексту» — то навіщо це та інші минає з цього положення в Профілі? Не логічно злити ці пункти або відредагувати призначення МЕ?;

  • можливість підтримки контролю і аналізу запитів і відповідей з протоколом передачі гіпертексту певних версій. Логічно в разі якщо ми розглядаємо даний МЕ як додатковий засіб захисту Web-додатків за наявності основного МЕ, фільтруючого аж до рівня пакетів;

  • можливість підтримки контролю та аналізу повідомлень, відправлених веб-браузер веб-сервера і містять текстовий контент певних кодувань і нетекстовий контент певних типів файлів (зображення, аудіоінформація, відеоінформація, програми). Не зовсім зрозуміло, чи тут включатися дії по модифікації повідомлень, включаючи видалення недозволеного контенту. Не визначено і рівень аналізу;

  • можливість підтримки контролю і аналізу спеціальних маркерів взаємодії (куки) певних типів, відправлених веб-сервером веб-браузера і повертаються веб-браузер веб-серверу, що містять персоніфіковану інформацію сеансу взаємодії користувача з веб-сервером, грунтуючись на певних атрибутах cookie — не ясно, на що повинні аналізуватися куки?;

  • можливість підтримки відправлення і отримання даних користувача інформаційної системи (у тому числі cookie – фрагменти інформації, які містять дані користувача) способом, захищеним від несанкціонованого розкриття/від порушення цілісності;

  • можливість явно дозволяти або забороняти інформаційний потік, базуючись на який встановлюється адміністратором МЕ наборі фільтрів, заснованих на ідентифікованих атрибутах, блокувати всі інформаційні потоки, в тому числі за атрибутами, встановленим взаємодіючими засобами захисту інформації для контрольованого мережевого трафіку і вказує на відсутність або наявність порушень безпеки інформації;

  • можливість здійснювати перевірку наявності фрагментів мобільного коду в запитах, в тому числі фрагментованих і зазнали стиску, до сайту і (або) іншому веб-застосунку на введення даних шляхом пошуку в таких запитах певних фрагментів регулярних виразів (тегів, команд у форматі мов мобільного коду), що використовуються при ініціалізації мобільного коду або виконання небажаних дій. Можливість блокування інформаційних потоків з такими запитами;

  • можливість здійснювати фільтрацію пакетів з урахуванням керуючих команд від взаємодіючих з МЕ засобів захисту інформації інших видів, засновану на атрибутах, що вказують на ознаки порушення безпеки інформації мережевого трафіку — дуже цікаве вимога, наявне і інших типах профілів. ФСТЕК передбачає стандартизувати якийсь протокол взаємодії засобів захисту?;
  • можливість у разі виявлення недозволеного інформаційного потоку за протоколом передачі гіпертексту — блокування запиту, розриву/перезапуску з'єднання, блокування взаємодії з конкретним мережевою адресою, блокування сесії на рівні конкретного додатка, блокування взаємодії на рівні конкретного користувача програми, відправлення керуючого сигналу на інший МЕ для блокування недозволеного інформаційного потоку, відправки повідомлення адміністратору/користувачу про виконане дії;

  • можливість підтримки віртуалізації зовнішнього подання додатків веб-сервера на рівні трансляції мережевих портів, трансляції уніфікованих ідентифікаторів ресурсів;

  • можливість визначення віртуалізованих (видимих для веб-браузера) мережевих портів додатків і їх зіставлення з реальними (видимими для веб-сервера) мережевими портами додатків;

  • можливість визначення віртуалізованих (видимих для веб-браузера) та ідентифікаторів ресурсів і їх зіставлення з реальними (видимими для веб-сервера) уніфікованими ідентифікаторами ресурсів;

  • можливість забезпечення переходу в режим аварійної підтримки, який надає можливість повернення МЕ до штатного режиму функціонування, можливість завершення роботи або відновлення (для передбачених сценаріїв збоїв) штатного режиму функціонування МЕ. Можливо вимога означає призначення певної політики в разі якихось ситуацій;

  • можливість підтримки довіреної каналу взаємодії між МЕ і веб-сервером/ користувачем (використовують веб-браузер), щоб мати можливість отримання доступу до вихідних даних, що передаються по протоколу передачі гіпертексту із застосуванням криптографічних методів захисту інформації відповідно до законодавства РФ, для аналізу і забезпечення їх подальшої захищеної передачі із застосуванням криптографічних методів захисту інформації відповідно до законодавства РФ;

  • можливість реєстрації та обліку виконання перевірок інформації мережевого трафіку, подій, які згідно з національним стандартом Російської Федерації ГОСТ Р ІСО/МЕК 15408-2-2013 «Інформаційна технологія. Методи та засоби забезпечення безпеки. Критерії оцінки безпеки інформаційних технологій. Частина 2. Функціональні компоненти безпеки» включені в базовий рівень аудиту. Можливість читання записів аудиту або їх вибірки (пошук, сортування, упорядкування даних аудиту) уповноваженим адміністраторів;

  • підтримка певних ролей з управління МЕ, Можливість ідентифікації і аутентифікації адміністратор а МЕ до вирішення будь-якої дії (з адміністрування), що виконується при посередництві МЕ від імені адміністратора;

  • можливість здійснення ідентифікації та аутентифікації користувача до дозволу передачі через МЕ інформаційного потоку, асоційованого з цим користувачем, до веб-сервера (від веб-сервера);

  • можливість з боку адміністраторів МЕ керувати режимом виконання функцій безпеки МЕ, управляти атрибутами безпеки, управляти даними МЕ, використовуваними функціями безпеки МЕ.
Загалом все. Список вимог становить менше чверті документа.

Цікаво порівняти різниці вимог між четвертим і шостим класами:

  • сигнали про порушення безпеки з'являються в 5м класі. Продукт без повідомлень про порушення виглядає дивно;
  • вибірковий перегляд даних аудиту також з'являється в п'ятому класі. Користувачам такого продукту пропонується шукати потрібне в тоннах записів вручну?
  • у п'ятому класі з'являється вимога про віртуалізації;
  • базова конфіденційність обміну даними (FDP_UCT.1) повинна бути тільки в 4 класі, як і можливість взаємодіяти з іншими системами захисту (базова узгодженість даних функціональних можливостей безпеки між функціональними можливостями безпеки — FPT_TDC.1) та вимоги щодо наявності надійних каналів і маршруту передачі (FPT_ITC.1 і FPT_TRP.1) каналів зв'язку з веб-сервером і віддаленим користувачем відповідно. FDP_UCT.1 включає в себе вимогу про можливість блокування недозволеного інформаційного потоку за протоколом передачі гіпертексту одним або декількома способами. Це не потрібно для 5го і 6-го класів? Прохання користувачів про перевірку даних передаються на веб-сервер і з нього зустрічаються постійно, як і вимога про наявність захищених про перехоплення зловмисниками каналів передачі даних. Дивно, що ці вимоги відсутні для 5го і 6-го класів;
Цікаво, список того, що повинно бути реалізовано у складі функцій безпеки не збігається з наведеними вимогами. Так в першому списку присутній тестування функцій безпеки — і далі по документу стосовно продукту це вимога відсутня (це до речі про шкоду тотального засекречування. У ДСП версії чітко видно, що і де з функціоналу має бути). Є й інші аналогічні розбіжності.

Також вимоги до МЕ присутні у Методичному документі ФСТЕК «Заходи захисту інформації в державних інформаційних системах». Нагадаємо, що згідно з цим документом в МЕ повинні застосовуватися антивірусний захист, захист від спаму і систему виявлення (запобігання) вторгнень. МЕ повинен підтримувати кластеризацію. У свою чергу засоби захисту від вторгнень повинні мати можливість аналізу трафіку, оновлення правил і централізованого управління. Правила повинні мати можливість редагування.

Підіб'ємо підсумки:

  1. Документ дуже високорівневий. Описи можливих типів і варіантів фільтрації немає. Фактично єдина вказівка — вимога про наявність системи контролю та аналізу запитів і відповідей по протоколу HTTP певних версій, а також вимога про перевірку на наявність мобільного коду в запитах. Відсутність чітких вимог дає можливість подання на сертифікацію продуктів лише формально задовольняють вимогам, так і відмови у сертифікації з чисто формальних причин;
  2. Потрібно довірений канал для аналізу HTTPS, використовує дозволене в Росії шифрування;
  3. Немає списку контрольованих протоколів. Згадується тільки один — HTTP;
  4. Незважаючи на те, що даний тип МЕ повинен застосовуватися в складі інформаційної системи — вимог щодо централізованого управління немає. Потрібно тільки забезпечити надійний канал управління у складі середовища функціонування;
  5. Немає вимог по функціоналу захисту від мережевих атак;
  6. Незважаючи на вимогу наявності процедур оновлення — у функціоналі немає вимог щодо наявності функцій оновлень;
  7. Зовсім незрозуміле вимога щодо взаємодії з іншими засобами захисту. Єдиного протоколу для засобів захисту немає — хоча виробники тих же SIEM від нього не відмовилися б. Можливо це вимога під конкретний продукт?
За вимогами ФСТЕК з 1 грудня 2016 р. розробляються, виробляються і поставляються міжмережеві екрани повинні відповідати описаним в Профілях вимогам. Міжмережеві екрани, встановлені до 1 грудня 2016 р., можуть експлуатуватися без проведення повторної сертифікації на відповідність вимогам.

Дякую всіх користувачів (особливо imbasoft), висловили цінні зауваження за попередній статті
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.