В прошлый раз мы рассмотрели требования ФСТЭК РФ к персональным файрволам — межсетевым экранам уровня узла (тип «В»), устанавливаемым на рабочих станциях защищаемой сети. Продолжим разговор и рассмотрим требования к решениям для защиты веб-серверов

Напомним, что межсетевой экран уровня веб-сервера (тип «Г») может применяться на сервере, обслуживающем сайты, веб-службы и веб-приложения, или на физической границе сегмента таких серверов сервера). Межсетевые экраны типа «Г» могут иметь программное или программно-техническое исполнение и должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста, проходящих к веб-серверу и от веб-сервера.

Уже тут возникает вопрос. Судя по всему данный МЭ рассматривается как МЭ для конкретного приложения (типа Web application firewall) и в сети должен быть основной МЭ. Предполагается, что этот основной МЭ не умеет разбирать HTTP. Но для работы и веб-сервера нужны и иные протоколы. Как минимум в связи с необходимостью загрузки файлов есть FTP/SFTP/SCP(SSH), на многих серверах есть функции рассылки почты и иной функционал. Предполагается, что основной МЭ не умеет разбирать HTTP, но умеет разбирать иные протоколы? Но для типа А прописано только знание типа протокола:

возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности информации: сетевой протокол, который используется для взаимодействия; атрибуты, указывающие на фрагментацию пакетов; транспортный протокол, который используется для взаимодействия, порты источника и получателя в рамках сеанса (сессии); разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код…

Требования к межсетевым экранам типа Г выложены здесь. Поскольку для типа Г, как уже говорилось, класс 4 максимальный, то рассмотрим именно его.

МЭ должен обеспечивать нейтрализацию следующих угроз безопасности информации:

  • несанкционированный доступ к информации веб-сервера в результате установления сетевых соединений веб-сервером, не предусмотренных технологией обработки информации;

  • отказ в обслуживании сервера, обслуживающего сайты, веб-службы и веб-приложения в результате установления не предусмотренных технологией обработки информации в информационной системе сетевых соединений с веб-сервером для отправки множества сетевых пакетов (запросов) до заполнения ими сетевой полосы пропускания канала передачи данных или отправки специально сформированных аномальных сетевых пакетов (запросов) больших размеров или нестандартной структуры. Угроза возможна в связи с наличием уязвимостей сетевых протоколов, недостатков настройки механизмов защиты, уязвимостей в программном обеспечении программно-аппаратных средств ИС;

  • несанкционированное воздействие на МЭ, целью которого является нарушение его функционирования, включая преодоление или обход его функций безопасности путем отправки специально сформированных сетевых пакетов на интерфейсы МЭ, приводящих к отключению, обходу или преодолению механизмов защиты МЭ с использованием штатных средств или специализированных инструментальных средств.

Правда в определении МЭ эго задача сужена — согласно Профилю МЭ «представляет собой программное или программно-техническое средство, реализующее функции контроля и фильтрации в соответствии с заданными правилами проходящих через него информационных потоков, и используемое в целях обеспечения защиты (некриптографическими методами) информации ограниченного доступа». Но для типа А прописано только знание о типе протокола:

возможность осуществлять фильтрацию, основанную на следующих типах атрибутов безопасности информации: сетевой протокол, который используется для взаимодействия;
атрибуты, указывающие на фрагментацию пакетов; транспортный протокол, который используется для взаимодействия, порты источника и получателя в рамках сеанса (сессии); разрешенные (запрещенные) команды, разрешенный (запрещенный) мобильный код…

В МЭ должны быть реализованы следующие функции безопасности:

  • контроль и фильтрация;
  • идентификация и аутентификация;
  • регистрация событий безопасности (аудит);
  • обеспечение бесперебойного функционирования и восстановление;
  • тестирование и контроль целостности;
  • управление (администрирование);
  • взаимодействие с другими средствами защиты информации.

В числе прочего МЭ должен функционировать в среде, обеспечивающей безопасное функционирование МЭ.

МЭ типа Г четвертого класса должен обеспечивать:

  • возможность осуществлять фильтрацию сетевого трафика для отправителей информации, получателей информации и всех операций передачи контролируемой МЭ информации к веб-серверу и от веб-сервера. возможность обеспечить, чтобы в межсетевом экране фильтрация распространялась на все операции перемещения через МЭ информации к веб-серверу и от веб-сервера. Интересный пункт. Судя по определению требования касаются МЭ, предназначенного для защиты конкретно веб-сервера и дополнительного к основному МЭ. Если так, а по определению «межсетевые экраны типа «Г» должны обеспечивать контроль и фильтрацию информационных потоков по протоколу передачи гипертекста» — то зачем это и иные истекающие из этого положения в Профиле? Не логично слить эти пункты или отредактировать назначение МЭ?;

  • возможность поддержки контроля и анализа запросов и ответов по протоколу передачи гипертекста определенных версий. Логично в случае если мы рассматриваем данный МЭ как дополнительное средство защиты Web приложений при наличии основного МЭ, фильтрующего вплоть до уровня пакетов;

  • возможность поддержки контроля и анализа сообщений, отправляемых веб-браузером веб-серверу и содержащих текстовый контент определенных кодировок и нетекстовый контент определенных типов (изображения, аудиоинформация, видеоинформация, программы). Не совсем понятно, должны ли здесь включаться действия по модификации сообщений, включая удаление неразрешенного контента. Не определен и уровень анализа;

  • возможность поддержки контроля и анализа специальных маркеров взаимодействия (куки) определенных типов, отправляемых веб-сервером веб-браузеру и возвращаемых веб-браузером веб-серверу, содержащих персонифицированную информацию сеанса взаимодействия пользователя с веб-сервером, основываясь на определенных атрибутах куки — не ясно, на что должны анализироваться куки?;

  • возможность поддержки отправления и получения данных пользователя информационной системы (в том числе куки – фрагменты информации, содержащие данные пользователя) способом, защищенным от несанкционированного раскрытия/от нарушения целостности;

  • возможность явно разрешать или запрещать информационный поток, базируясь на устанавливаемом администратором МЭ наборе правил фильтрации, основанных на идентифицированных атрибутах, блокировать все информационные потоки, в том числе по атрибутам, установленным взаимодействующими средствами защиты информации для контролируемого сетевого трафика и указывающим на отсутствие или присутствие нарушений безопасности информации;

  • возможность осуществлять проверку наличия фрагментов мобильного кода в запросах, в том числе фрагментированных и подвергшихся сжатию, к сайту и (или) иному веб-приложению на ввод данных путем поиска в таких запросах определенных фрагментов регулярных выражений (тегов, команд в формате языков мобильного кода), используемых при инициализации мобильного кода или выполнения нежелательных действий. Возможность блокирования информационных потоков с такими запросами;

  • возможность осуществлять фильтрацию пакетов с учетом управляющих команд от взаимодействующих с МЭ средств защиты информации других видов, основанную на атрибутах, указывающих на признаки нарушения безопасности в информации сетевого трафика — очень интересное требование, имеющееся и иных типах профилей. ФСТЭК предполагает стандартизировать некий протокол взаимодействия средств защиты?;
  • возможность в случае обнаружения неразрешенного информационного потока по протоколу передачи гипертекста — блокирования запроса, разрыва/перезапуска соединения, блокирование взаимодействия с конкретным сетевым адресом, блокирование сессии на уровне конкретного приложения, блокирование взаимодействия на уровне конкретного пользователя приложения, отправки управляющего сигнала на иной МЭ для блокирования неразрешенного информационного потока, отправки уведомления администратору/пользователю о выполненном действии;

  • возможность поддержки виртуализации внешнего представления приложений веб-сервера на уровне трансляции сетевых портов, трансляции унифицированных идентификаторов ресурсов;

  • возможность определения виртуализированных (видимых для веб-браузера) сетевых портов приложений и их сопоставления с реальными (видимыми для веб-сервера) сетевыми портами приложений;

  • возможность определения виртуализированных (видимых для веб-браузера) и идентификаторов ресурсов и их сопоставления с реальными (видимыми для веб-сервера) унифицированными идентификаторами ресурсов;

  • возможность обеспечения перехода в режим аварийной поддержки, который предоставляет возможность возврата МЭ к штатному режиму функционирования, возможность завершения работы или восстановления (для предусмотренных сценариев сбоев) штатного режима функционирования МЭ. Возможно требование означает назначение определенной политики в случае каких-то ситуаций;

  • возможность поддержки доверенного канала взаимодействия между МЭ и веб-сервером/ пользователем (использующим веб-браузер), чтобы иметь возможность получения доступа к исходным данным, передаваемым по протоколу передачи гипертекста с применением криптографических методов защиты информации в соответствии с законодательством РФ, для анализа и обеспечения их дальнейшей защищенной передачи с применением криптографических методов защиты информации в соответствии с законодательством РФ;

  • возможность регистрации и учета выполнения проверок информации сетевого трафика, событий, которые в соответствии с национальным стандартом Российской Федерации ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности» включены в базовый уровень аудита. Возможность чтения записей аудита или их выборки (поиск, сортировка, упорядочение данных аудита) уполномоченным администраторам;

  • поддержка определенных ролей по управлению МЭ, Возможность идентификации и аутентификации администратор а МЭ до разрешения любого действия (по администрированию), выполняемого при посредничестве МЭ от имени этого администратора;

  • возможность осуществления идентификации и аутентификации пользователя до разрешения передачи через МЭ информационного потока, ассоциированного с этим пользователем, к веб-серверу (от веб-сервера);

  • возможность со стороны администраторов МЭ управлять режимом выполнения функций безопасности МЭ, управлять атрибутами безопасности, управлять данными МЭ, используемыми функциями безопасности МЭ.

В общем все. Список требований составляет менее четверти документа.

Интересно сравнить разнице требований между четвертым и шестым классами:

  • сигналы о нарушении безопасности появляются в 5м классе. Продукт без уведомлений о нарушениях смотрится странно;
  • выборочный просмотр данных аудита также появляется в пятом классе. Пользователям такого продукта предлагается искать нужное в тоннах записей вручную?
  • в пятом классе появляется требование о виртуализации;
  • базовая конфиденциальность обмена данными (FDP_UCT.1) должна быть только в 4м классе, как и возможность взаимодействовать с иными системами защиты (базовая согласованность данных функциональных возможностей безопасности между функциональными возможностями безопасности — FPT_TDC.1) и требования о наличии доверенных каналов и маршрута передачи (FPT_ITC.1 и FPT_TRP.1) — каналов связи с веб-сервером и удаленным пользователем соответственно. FDP_UCT.1 включает в себя требование о возможности блокирования неразрешенного информационного потока по протоколу передачи гипертекста одним или несколькими способами. Это не нужно для 5го и 6го классов? Просьбы пользователей о проверке данных передаваемых на веб-сервер и с него встречаются постоянно, как и требование о наличии защищенных о перехвата злоумышленниками каналов передачи данных. Странно, что эти требования отсутствуют для 5го и 6го классов;

Интересно, список того, что должно быть реализовано в составе функций безопасности не совпадает с описанными требованиями. Так в первом списке присутствует тестирование функций безопасности — и далее по документу применительно к продукту это требование отсутствует (это кстати о вреде тотального засекречивания. В ДСП версии четко видно, что и где из функционала должно быть). Есть и иные аналогичные расхождения.

Также требования к МЭ присутствуют в Методическом документе ФСТЭК «Меры защиты информации в государственных информационных системах». Напомним, что согласно этому документу в МЭ должны применяться антивирусная защита, защита от спама и систему обнаружения (предотвращения) вторжений. МЭ должен поддерживать кластеризацию. В свою очередь средства защиты от вторжений должны иметь возможность анализа трафика, обновления правил и централизованного управления. Правила должны иметь возможность редактирования.

Подведем итоги:

  1. Документ очень высокоуровневый. Описания возможных типов и вариантов фильтраций нет. Фактически единственное указание — требование о наличии системы контроля и анализа запросов и ответов по протоколу HTTP определенных версий, а также требование о проверке на наличие мобильного кода в запросах. Отсутствие четких требований дает как возможность подачи на сертификацию продуктов лишь формально удовлетворяющих требованиям, так и отказа в сертификации по чисто формальным причинам;
  2. Требуется доверенный канал для анализа HTTPS, использующего разрешенное в России шифрования;
  3. Нет списка контролируемых протоколов. Упоминается только один — HTTP;
  4. Несмотря на то, что данный тип МЭ должен применяться в составе информационной системы — требований по централизованному управлению нет. Требуется только обеспечить доверенный канал управления в составе среды функционирования;
  5. Нет требований по функционалу защиты от сетевых атак;
  6. Несмотря на требование наличия процедур обновления — в функционале нет требований по наличию функций обновлений;
  7. Совершенно непонятное требование по взаимодействию с иными средствами защиты. Единого протокола для средств защиты нет — хотя производители тех же SIEM от него не отказались бы. Возможно это требование под конкретный продукт?

По требованиям ФСТЭК с 1 декабря 2016 г. разрабатываемые, производимые и поставляемые межсетевые экраны должны соответствовать описанным в Профилях требованиям. Межсетевые экраны, установленные до 1 декабря 2016 г., могут эксплуатироваться без проведения повторной сертификации на соответствие требованиям.

Благодарю всех пользователей (особенно imbasoft), высказавших ценные замечания по предыдущей статье
Поделиться с друзьями
-->

Комментарии (10)


  1. occam
    10.10.2016 12:27
    +1

    Статья нужная, спасибо. Сразу возник вопрос, а не дофига ли делов придумать разную защиту для web-портала с муниципальными услугами и сервера приложений, на который загружаются данные с этого web-портала? Не видно как-то принципиальной разницы. Или ФСТЭК позаботиться решил о корпорате, так у них web-серверы вроде особо персданные не обрабатывают. Какая-то надуманная проблема, вам не кажется? Или строится постоянный канал сбыта для двух российских web application firewall? Ну тогда, конечно, все правильно. «Г» так «Г».


    1. teecat
      10.10.2016 12:59

      Тут проблема скорее другая. Рассмотрим ситуацию. Скажем встает задача импортозамещения. Не будем спорить насколько она нужна, примем, что нужна. Как поступали во времена не столь далекие? Грубо говоря выпускали сроки и назначали ответственных. Те в свою очередь собирали спецов, писали спецификации/тз, контролировали процесс, организовывали приемочное тестирование и тд и тп. Естественно были конфликты, ведомственные интересы, подковерная борьба — но структура работала и периодически что-то выпускала
      Здесь же есть задача, но нет специалистов/финансирования/ответственности которые бы построили структуру, позволяющую создать некое программное или аппаратное решение. Приходится довольствоваться тем, что может предложить бизнес.


    1. noxway
      10.10.2016 13:33

      Т.к. большинство гос. услуг перекочевало в сеть, то и соответствующий контроль требуется. В последние годы взгляды органов обратились к ЦОДам, как одному из наиболее перспективных направлений (издержки на поддержание собственной инфраструктуры велики), а чтобы быть уверенными в «тратах», ФСТЭК, в части своей компетенции, поменял механизм контроля и требования в целом (требования к МЭ только начало).
      Мало кто обращается к документам определяющим требования к ИСОП и КСИИ, и не важно что там нет ПДн и другой защищаемой законом информации.


  1. navion
    10.10.2016 13:38

    Не перестаю удивляться каким чудовищным языком пишут требования наши регуляторы. Или это всё нормативка и есть нормальные руководства, вроде DISA STIG и брощюр NSA?


    1. teecat
      10.10.2016 13:44

      Мне лично нравятся таблицы PCI DSS. Приказы ФСТЭК по типу 17го тоже неплохие, если смотреть именно на четкость изложения


  1. BigW
    10.10.2016 16:57

    Надо будет перечитать оригинал, но я немного не понял:
    Возможность анализа кук, запросов и т.д. и т.п. каким образом это должно быть реализовано, если унас https? Ведь расшифровка трафика происходит уже на веб-сервере. Или же у нас должно быть реализовано что-то nginx с организацией https, потом файервол, а потом уже апач/томкат?


    1. teecat
      10.10.2016 17:33

      Так в том и интерес, что по документу никаких HTTPS, управления сертификатами нет. Два места, где этот протокол упоминается — это возможность доступа для анализа трафика «по протоколу передачи гипертекста с применением криптографических методов защиты информации в соответствии с законодательством РФ». Тоесть, если я правильно понимаю русский канцелярский — нужно проверять только если трафик шифруется с применением российской криптографии. Как поступать в иных случаях — упоминаний нет


  1. Sarymian
    11.10.2016 06:44
    +1

    Возможно это требование под конкретный продукт?

    Читая Ваши посты, прихожу к такому же выводу. И почему-то мне кажется что под «Код безопасности» с их Secret Net Studio.


    1. occam
      14.10.2016 21:54

      Думаю таких дураков, которые не понимают, что навязывая SNS в качестве источника управляющих команд, будет укрепляться бренд fw, имеющих полную неприкосновенности от фстэк, нет. Вряд ли они будут рекомендовать прорабатывать поддержку такой связки и прикрывать себе «краник» заказов на сертификацию.

      А вот в моменте: «возможность осуществления идентификации и аутентификации пользователя до разрешения передачи через МЭ информационного потока, ассоциированного с этим пользователем, к веб-серверу (от веб-сервера)» неужеди вообще никому не видно, что в «дно» еще не постучали?


  1. occam
    19.10.2016 15:48

    И здесь тоже оставлю.
    Медведев: Контрольно-надзорная деятельность нередко коррумпирована. В ходе заседания президиума Совета при президенте по стратегическому развитию и приоритетным проектам премьер-министр РФ Дмитрий Медведев назвал «очевидным» тот факт, что «контрольно-надзорная деятельность недостаточно эффективна для компаний, для людей, которые с ней сталкиваются, нередко коррумпирована и агрессивна по отношению к бизнесу»: «Да и, наверное, в целом, слишком громоздка для государства». Медведев уверен, что система проверок в стране должна быть подстроена под рискоориентированный подход. Глава правительства полагает, что от выполнения неэффективных предписаний надзорных органов бизнес теряет до 5% ВВП.