О необходимости разработки программного макета выбора оптимальных настроек межсетевого экрана ОС AstraLinux

Аннотация: в данной статье рассмотрены основные аспекты необходимости разработки оболочки межсетевого экрана для ОС Astra Linux. Выделены важные определения, а также определены особенности последней версии ОС Astra Linux. Описана сущность работы межсетевого экрана и приведен пример блокировки и разрешения пакетов. В заключении дано описание необходимости разработки оболочки межсетевого экрана для ОС Astra Linux.
Ключевые слова: Astra Linux, межсетевой экран, сетевой трафик, Iptables, операционная система.
В современное время практически в каждой отрасли действует собственная операционная система (ОС), которая обеспечивает для определенной структуры полную информационную поддержку. Одной из наиболее известных систем на сегодняшний день является Astra Linux, которая имеет специальное назначение и создана на базе ядра Linux.
ОС Astra Linux создана для комплексной защиты информации и построения защищённых автоматизированных систем. Прежде всего, данная операционная система востребована в российских силовых ведомствах, государственных учреждениях и спецслужбах.
К особенностям последней версии данной системы относятся следующие:
- развитые средства обеспечения информационной безопасности обрабатываемых данных;
- механизм мандатного разграничения доступа и контроля замкнутости программной среды;
- встроенные инструменты маркировки документов;
- другие элементы по обеспечению полной защиты информации.
Согласно мнению разработчиков ОС, Astra Linux представляет собой единственную программу платформу, которая одновременно сертифицирована в системах сертификации средств защиты информации ФСТЭК России, ФСБ, Минобороны РФ и других государственных органов. Кроме того, данная система позволяет производить обработку информации ограниченного доступа, содержащую сведения государственной тайны с грифом «совершенно секретно».
Тем не менее, ОС Astra Linux нуждается в разработке Iptables или, иначе говоря, в межсетевом экране, который, в первую очередь, даст возможность задавать необходимые системе оптимальные настройки. Данная необходимость обусловлена тем, что именно межсетевой экран позволит в полной мере регулировать трафик из сети, проходящий непосредственно в систему.
Прежде всего, стоит отметить, что Iptables представляет собой утилиту командной строки и является так называемым стандартным интерфейсом управления работой межсетевого экрана [2, с. 56]. Собственно межсетевой экран — это программная составляющая компьютерной сети, которая выполняет контроль и осуществляет фильтрацию проходящего через него сетевого трафика согласно установленным правилам.
Фильтрация трафика из сети производится на базе набора предварительно сконфигурированных правил. Межсетевой экран можно представлять в виде последовательности фильтров, которые осуществляют непосредственную обработку потока информации. Стоит отметить, что последовательность правил в наборе будет значительным образом воздействовать на производительность межсетевого экрана.
Как известно, существует несколько принципов обработки сетевого трафика, а именно:
«Что явно не запрещено, то разрешено». В случае данного принципа, если межсетевой экран получил пакет, который не попадает ни под одно правило, он передаётся далее.
«Что явно не разрешено, то запрещено». Сущность этого принципа, противоположного первому, обеспечивает наиболее полную защищённость, поскольку запрещает абсолютно весь поток трафика, который явно не разрешен правилами [1, с. 45].
В результате межсетевой экран выполняет над поступающим сетевым трафиком одну из нескольких операций: пропуск пакета далее (allow) или отброс пакета (deny). Важно указать, что межсетевой экран может иметь ещё одну операцию (reject), когда пакет отбрасывается, но отправителю сообщается об отсутствии доступа к сервису. Между тем, при операции deny отправитель не информируется об отсутствии доступа к сервису, что гарантирует наибольшую безопасность [3, с. 98].
Стоит отметить, что все пакеты пропускаются через конкретные последовательности цепочек. Когда пакет последовательным образом проходит цепочку, к нему последовательно применяются все правила данной цепочки в точном порядке. Под применением правила понимается: прежде всего, проверка пакета на соответствие критерию, а также, если пакет этому критерию соответствует, применение к нему указанного действия. Под действием может подразумеваться не только какая-либо элементарная операция (встроенное действие, например, ACCEPT, MARK), но и переход в одну из пользовательских цепочек. Собственно сами действия могут быть терминальными (прекращают обработку пакета в рамках данной базовой цепочки (например, ACCEPT, REJECT)), а также нетерминальными (не прерывают обработку пакета (MARK, TOS)) [5, с. 263]. В том случае, если пакет прошел через всю базовую цепочку и к нему так и не было применено ни одного терминального действия, тогда к нему применяется действие по умолчанию для данной цепочки (в обязательном порядке терминальное).
Наиболее наглядный пример представлен ниже:
iptables -F # Очищаем все цепочки таблицы filteriptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
# Ко всем пакетам, которые относятся к уже установленным
# соединениям, применяем терминальное действие ACCEPT — пропустить
iptables -P INPUT DROP # В качестве действия по умолчанию для входящих пакетов устанавливаем DROP — блокирование пакета
iptables -P OUTPUT ACCEPT # Разрешаем все исходящие пакеты
В таком случае цепочка INPUT таблицы filter имеет только одно правило, пропускающее непосредственно все пакеты, относящиеся к уже установленным соединениям. Ко всем остальным входящим пакетам будет применено действие по умолчанию — DROP. В свою очередь цепочка OUTPUT не содержит правил, поэтому ко всем исходящим пакетам будет применяться действие по умолчанию ACCEPT [4, с. 71]. Тем самым, хост, который был настроен в соответствии с вышеописанным примером и подключен к сети, будет являться недоступным извне, так как все попытки соединения будут блокироваться. Тем не менее, с самого хоста доступ к Интернету будет являться полностью свободным, поскольку исходящие пакеты разрешены, а ответы на них уже относятся к установленным соединениям.
Тем самым, оболочка межсетевого экрана обладает рядом особых преимуществ, которые значительным образом упрощают процесс работы с ОС Astra Linux. Так, к основным причинам, которые определяют необходимость внедрения межсетевого экрана в ОС Astra Linux, относятся следующие:
Повышение уровня информационной безопасности во всей системе. Межсетевой экран позволяет наиболее качественно фильтровать получаемый сетевой трафик. С его помощью в систему будет поступать только безопасный трафик.
Упрощение работы с операционной системой. Системный администратор получит возможность более простого использования настроек, в результате чего у него появится дополнительное время на решение новых задач.
Возможность задавать любые необходимые системе оптимальные настройки. Именно межсетевой экран обеспечивает данную возможность, так как имеет наиболее обширную структуру, нежели сама система Astra Linux.
Обеспечение защиты всех сегментов сети от несанкционированного доступа. Межсетевой экран производит защиту от любых доступов несанкционированного характера, а также осуществляет полную защищённость уязвимых мест в протоколах сети.
Наиболее эффективное и простое управление операциями в системе. Операции, которые применяются в процессе работы с межсетевым экраном, являются более простыми в своем управлении, поскольку содержат незначительное количество используемых правил.
Все вышеперечисленные причины обуславливают существенную необходимость использования межсетевого экрана в операционной системе Astra Linux, которая во множество раз увеличит работоспособность всей системы, упростив многие составляющие процесса.
Таким образом, ОС Astra Linux является особой системой, которая используется по большей части в государственных структурах. Вследствие особой значимости данной системы появляется необходимость в высоком уровне безопасности, которую может обеспечить межсетевой экран. Именно он производит защиту отдельных сегментов или хостов сети от несанкционированного доступа с применением уязвимых мест в протоколах сетевой модели. Межсетевые экраны пропускают или запрещают сетевой трафик, сравнивая его характеристики с заданными правилами. Тем самым, ОС Astra Linux нуждается в разработке оболочки межсетевого экрана для повышения уровня безопасности в информационной среде государственных структур.
Список литературы:
Бобов М.Н. Реализация функции контроля соединения в межсетевом экране / М.Н. Бобов. — Минск: Доклады Белорусского государственного университета информатики и радиоэлектроники. — 2011. — 210 с.
Буренин П.В., Девянин П.Н., Лебеденко Е.В., Проскурин В.Г., Цибуля А.Н. Безопасность операционной системы специального назначения Astra Linux Special Edition. — М.: Горячая линия - Телеком, 2016. — 312 с.
Кулиш А.В. Модель межсетевого экрана с сохранением состояния и свойства / А.В. Кулиш. — М.: Международный научно-исследовательский журнал. — 2016. — 122 с.
Лапонина, О. Р. Межсетевое экранирование / О.Р. Лапонина. - М.: Интернет-университет информационных технологий, Бином. Лаборатория знаний, 2007. — 344 c.
Jesse, Russell Межсетевой экран / Jesse Russell. — М.: VSD, 2012. — 882 c.