Server for Information Technologies
Сервер поддерживается
Центром Информационных Технологий
(095) 932-9212, 932-9213, 939-0783
E-mail: info@citforum.ru
Сервер Информационных Технологий содержит море(!) аналитической информации

BlackHole

Информация предоставлена "Релком-Альфа"

Автоматизированная система разграничения доступа
Black Hole версии BSDI-OS.

"Black Hole" ( продукт компании Milkyway Networks ) - это firewall, работающий на proxy серверах протоколов прикладного уровня ( TELNET, FTP и т.д. ). Он служит для разграничения доступа между локальной и глобальной сетью ( ИНТЕРНЕТ ) или между двумя подразделениями локальной сети ( ИНТРАНЕТ ). "Black Hole" построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно. "Black Hole" поддерживает следующие виды сервисов:

Кроме этого, в состав "Black Hole" входят proxy сервер уровня TCP и proxy сервер для UDP протокола.

"Black Hole" осуществляет мониторинг всех 65 535 TCP/UDP портов и сбор статистики по попыткам доступа к этим портам.
Правила доступа могут использовать в качестве параметров:

"Black Hole" поддерживает строгую аутентификацию как с использованием обычных паролей, так и различных типов одноразовых паролей: при этом аутентификация может быть включена для любого вида сервиса.

"Black Hole" поддерживает два режима аутентификации:

Второй режим позволяет прозрачно пользоваться всеми авторизованными пользователю сервисами ( без аутентификации каждой сессии ). Для установки этого режима пользователю необходимо аутентифицироваться при помощи одного из следующих сервисов ( TELNET, FTP, Gopher, WWW). Для каждого пользователя можно задать период времени, в течении которого он может использовать этот режим. Это позволяет создать крайне удобный для пользователя режим использования firewall.

Система выдачи предупреждений о попытках НСД в реальном времени в "Black Hole" позволяет администратору системы описывать опасные события и реакцию на них системы (вывод на консоль, звонок на пейджер и т.д.)

"Black Hole" позволяет описывать различные типы нарушений и определять реакцию на их появление.

"Black Hole" позволяет образовывть соединения за один шаг ( т.е. в качестве хоста назначения сразу указывается необходимый сервер, без первоначального соединения с proxy и с proxy до нужного хоста).

"Black Hole" предоставляет сервис для создания групп пользователей, сервисов, хостов и сетей и позволяеть создавать правила для этих групп, что дает возможность легко описывать и администрировать большое количество пользователей.

"Black Hole" имеет удобную и дружественную графическую оболочку под X-Windows, так что настойкой системы может заниматься неискушенный в UNIX человек. Все административные функции могут быть выполнены из этой оболочки. Ядро ОС модифицировано для защиты графического интерфейса от внешнего доступа.

"Black Hole" предоставляет следующие возможности по конвертации адреса источника пакета при прохождении через firewall:

Последняя опция позволяет для пользователей INTERNET представлять внутреннюю сеть как состоящую из набора подсетей.

"Black Hole" позволяет организвать дополнительную подсеть (Service Network) (через дополнительный сетевой интерфейс) для открытых сервисов (FTP, HTTP, Gopher). Это позволяет вынести эти сервисы из внутренней сети, обеспечив при этом контроль доступа и сбор статистики за использованием этих сервисов.

"Black Hole" использует для хранения и обработки статистической информации реляционную базу данных с языком запросов SQL. Большой выбор типов выборок по различным параметрам соединения в сочетании со средствами графического представления

"Black Hole" функционирует на PC и Sun Sparc платформах под управлением модифицированных версий операционных систем BSDI и SunOS.

"Black Hole" имеет сертификат NCSA, гарантирующий его высокую надежность и уровень защиты.

"Black Hole 3.0" для BSDI платформы сертифицирована Государственной Технической Комиссией при Президенте России. СЕРТИФИКАТ N79

Black Hole 3.0

Межсетевой экран BlackHole является фильтром на уровне приложений и служит для защиты от несанкционированного доступа машин в приватной сети. Поддерживаются все стандартные сетевые протоколы семейства TCP/IP (например TELNET,FTP,HTTP, TCP sessions, UDP virtual sessions). В случае типичной установки межсетевой экран располагается между приватной сетью и глобальной сетью Internet.

Межсетевой экран базируется на принципе - "что не разрешено, то запрещено". Межсетевой экран защищает приватную сеть на уровне конкретных протоколов и "сырого" соединения. Пересылка пакетов стандартным путем (IP forwarding) полностью блокирована. Все запросы, идущие через межсетевой экран полностью аутентифицированы. BlackHole разрабатывался таким образом, чтобы создать наиболее комфортабельные условия для пользователей защищенной сети, поэтому имеет прозрачный режим работы. В последнем случае пользователь аутентифицируется при первоначальном использовании межсетевого экрана, после чего от него не требуется дополнительная аутентификация в течение времени, определяемого администратором.

Аутентификация пользователей производиться по следующим правилам:

Межсетевой экран записывает в журнал информацию о все сетевых сессиях, проходящих через него.

Составляющие компоненты

Расширенное ядро

Усеченное окружение

Guardian - супер-сервер

Oracle - сервер аутентификации

Транслирующие сервера - набор поддерживаемых сервисов

  1. Proxy TCP

    Основной функцией этого proxy является поддержка коммуникаций между интерфейсами межсетевого экрана. Для выполнения этой функции proxy может консультироваться с Oracle. Поскольку этот сервер является базовым, он не поддерживает аутентификации пользователей, преимущественно предназначен для работы в прозрачном режиме. Администратор имеет возможность контролировать использование этого proxy по следующим параметрам:

    Proxy TCP запускается через Guardian после проверки последним правомочности запрошенного соединения.

  2. Proxy FTP.

    Этот сервер поддерживает протокол FTP и позволяет:

  3. Proxy Telnet

    Служит для поддержки протокола удаленного интерактивного доступа Telnet. Позволяет:

  4. Proxy HTTP

    Этот сервер служит для поддержки на межсетевом экране протокола HTTP и имеет следующие возможности:

  5. Proxy Gopher

    Служит для поддержки протокола Gopher на межсетевом экране и позволяет:

  6. UDP relay

    Очень сходен с TCP proxy, за исключением того, что вместо TCP соединения оперирует виртуальными UDP соединениями. Служит для поддержки некоторых протоколов, таких как DNS, Archie. При запуске консультируется с Oracle для определения правомочности пришедшего запроса.

  7. Netacl

    Служит для разрешения удаленного администрирования межсетевого экрана. Поддерживает все виды аутентификации пользователей (по адресам, условно-постоянным и одноразовым паролям, смарт-картам).

  8. Система электронной почты.

    Система состоит их двух частей - получателя почты и отправителя. Получатель стартует через guardian при попытке удаленной машины. Не требует аутентификации пользователя. Для дополнительного режима безопасности работает в ограниченном участке файловой системы (UNIX chroot). Производит анализ управляющих заголовков сообщений на предмет несанкционированных адресов.

    Отправитель почты запускается при первоначальной загрузке системы как сервер и через определенные промежутки времени проверяет пришедшую через приемник почты, которую оправляет по назначению. В отличие от стандартных почтовых программ в состав отправителя не включены:

    Такая схема обеспечивает прием и передачу только корректных сообщений, содержащих все необходимые заголовки в правильном формате.

  9. Системный журнал.

    Сервер системного журнала стартует при начальной загрузке системы и служит для обработки сообщений, записываемых в системных журнал. Распределение сообщений в соответствии с приоритетами осуществляется по правилам, описанных в конфигурационном файле. Для предотвращения записи ложных сообщений, порт, по которому работает этот сервер недоступен со стороны сети.

  10. Уведомление администратора о событиях

    Данная подсистема позволяет в реальном времени отслеживать события, связанные с попытками нарушения политики безопасности. Имеется возможность пользоваться различными механизмами уведомления, например по электронной почте, пэджеру или путем вывода сообщения в специальное окно на консоли межсетевого экрана.

  11. Система анализа статистики

    Данная система позволяет осуществлять гибкий анализ статистики межсетевого экрана. Конкретные возможности:

  12. Система администрирования межсетевого экрана

    Содержит в своем составе развитый графический интерфейс, который позволяет:

Дополнительные возможности

В качестве возможных расширений межсетевой экран позволяет использовать VPN (по специальной лицензии). Используемые в составе VPN алгоритмы работы являются уникальными и не позволяют организовать приватный канал с межсетевого экрана других производителей. При общении между двумя и более BlackHole имеющаяся система поддержки VPN позволяет решать задачи взаимной аутентификации и смены ключей весьма эффективно.

Новое название Black Hole - SecurIT FIREWALL.


Comments: info@citmgu.ru
Copyright © CIT