Челябинский государственный университет - поставка программно-аппаратного межсетевого экрана
ООО «Радиотелекоммуникации» выполнило требования Челябинского государственного университета на поставку программно-аппаратного межсетевого экрана.
Технические требования к межсетевому экрану:
Межсетевой экран должен осуществляет контроль взаимодействия двух или более сетей, и содержать функции противодействия несанкционированному межсетевому доступу на сетевом уровне. На этом уровне субъектом доступа должен является узел, а сервис, который ему требуется, определяется на уровне протоколов транспортного и прикладного уровня.
Устройства, реализующие функции межсетевого экранирования, должны устанавливаться в "разрыв" между сетями и обязаны поддерживать безопасность межсетевого взаимодействия на различных уровнях эталонной модели OSI. На сетевом и транспортном уровнях межсетевого экранирования должно устройство должно выполнять роль пакетного фильтра. Оно должно анализировать заголовки пакетов сетевого и транспортного уровней по полям: адреса отправителя и получателя, тип пакета (протокол TCP, UDP, ICMP), флаг фрагментации пакета, номера TCP-портов отправителя и получателя, опции протокола IP.
На сеансовом уровне межсетевой экран должен реализовавыть функции шлюза-посредника при установлении и контроле соединений (сеансов), а также осуществлять сетевую трансляцию IP-адресов (NAT). При превышении определенного порога переданной информации или при нарушении правильной последовательности в нумерации должен происходить разрыв соединения.
Механизм трансляции адресов защищаемой сети (Network Adress Translation, NAT) должен позволять скрывать структуру и адресацию сети от пользователей, находящихся в другой, менее доверенной сети. Использование NAT должно также позволять иметь в защищаемой сети собственную систему адресации и тем самым решать возможную проблему расширения ее адресного пространства.
На представительском и прикладном уровнях межсетевой экран должен выполнять роль шлюза-посредника, на котором функционируют экранирующие агенты-посредники. Каждый из них должен интерпретировать конкретные протоколы прикладного уровня (HTTP, FTP, SMTP, TELNET, SNMP, DNS и т.д.) в той степени, которая необходима для обеспечения безопасности. Кроме того, эти устройства должны выполнять такие функции, как:
- аутентификация и авторизация пользователей при попытке доступа к командному интерфейсу самого устройства;
- возможность задания ролевого доступа к командному интерфейсу устройства, с возможностью задания списка доступных команд и их параметров для каждой роли;
- шифрование информации, как на сетевом, так и прикладном уровне;
- поддержка виртуальных сетей на основе протокола 802.1q;
- контроль протоколов и приложений (HTTP, SMTP, FTP, голос и мультимедиа, СУБД, операционные системы, GTP/GPRS, ICQ, P2P и т. п.);
- защищать от атак “переполнение буфера”, нарушений RFC, сетевых аномалий, защищать от атак, основанных на подмене адресов;
- возможность отражения вирусов, червей и вредоносных программ в протоколах HTTP, FTP, SMTP и POP3;
- поддержка протокола маршрутизации многоадресных рассылок PIM для передачи видеоинформации;
- поддержка протоколов динамической маршрутизации OSPF и RIP v2;
- Обеспечение политик качества обслуживания;
- Определение и блокирование маскировки протоколов внутри протокола HTTP;
- Обеспечение функциональной совместимости с инфраструктурным сетевым оборудованием;
- Функции прозрачного межсетевого экрана;
- Функции виртуализации- наличие виртуальных межсетевых экранов и механизмов контроля их ресурсов;
- Аутентификация и авторизация транзитный пользователей по протоколам HTTP, HTTPS, Telnet, FTP;
- Поддержка протокола IP следующего поколения – IP v6;
- поддержка функций высокой доступности - резервирование устройств по типу активное - пассивное и активное – активное;
- Наличие и графического и командного интерфейса, а также опциональной системы централизованного управления;
- регистрация событий, как локально, так и с возможностью передачи их на внешний сервер для последующего анализа по протоколу syslog;
- реагирование на задаваемые при настройке события, а также анализ зарегистрированной информации и генерация отчетов
При обнаружении нарушений политики безопасности устройство межсетевого экранирования должно посылать уведомления обслуживающему персоналу (на экран консоли и на внешний сервер по протоколу syslog), регистрирует нарушения политики безопасности, а также должно принудительно завершить "враждебное" соединение и произвести автоматическое изменение настроек с целью блокирования всех дальнейших попыток установления соединений с подозрительного хоста (осуществлять shunning).
Межсетевой экран должен работать под управлением операционной системы реального времени и контролировать установление соединения на уровне приложения. После успешного прохождения пользователем авторизации доступа в соответствии с принятыми политиками безопасности межсетевой экран должен обеспечивать контроль потока данных между абонентами на уровне сессии.
Межсетевой экран должен обеспечивать безопасность на уровне соединения на основе контроля информации об адресах отправителя и получателя, последовательности нумерации TCP-пакетов, номерах портов и добавочных флагах протокола TCP. Эта информация сохраняется в таблице, проверку на соответствие с записями которой проходят все входящие пакеты. Доступ через межсетевой экран должен предоставляться только в том случае, если соединение успешно прошло идентификацию.
В качестве решения предложено оборудование Cisco - «ASA 5520-BUN-К9»
РТК авторизовано производителем и обеспечивает техническую поддержку.