FSTEC：ファイアウォール要件-2

前回は、ロシア連邦のFSTECのパーソナルファイアウォール（保護されたネットワークのワークステーションにインストールされたホストレベルのファイアウォール（タイプ「B」））の要件を調べました。 会話を続けて、Webサーバーを保護するためのソリューションの要件を検討しましょう。



Webサーバーレベルのファイアウォール（タイプ「G」）は、サイト、Webサービス、およびWebアプリケーションを提供するサーバー、またはそのようなサーバーサーバーのセグメントの物理的な境界で使用できることを思い出してください。 タイプ「G」ファイアウォールは、ソフトウェアまたはハードウェアおよびソフトウェア設計を持つことができ、WebサーバーおよびWebサーバーから渡されるハイパーテキスト転送プロトコルによって情報フローの制御とフィルタリングを提供する必要があります。



問題はすでに生じています。 どうやら、このMEは特定のアプリケーション（Webアプリケーションファイアウォールなど）のMEと見なされ、ネットワークにはメインMEが必要です。 このメインMEはHTTPの解析方法を知らないと想定されています。 ただし、操作とWebサーバーには他のプロトコルが必要です。 少なくともファイルをダウンロードする必要性に関連して、FTP / SFTP / SCP（SSH）があり、多くのサーバーにはメール配信機能やその他の機能があります。 メインMEはHTTPを解析できないが、他のプロトコルを解析できると想定されていますか？ ただし、タイプAについては、プロトコルタイプの知識のみが規定されています。

次のタイプの情報セキュリティ属性に基づいてフィルタリングする機能：相互作用に使用されるネットワークプロトコル。 パケットの断片化を示す属性。 相互作用に使用されるトランスポートプロトコル、セッション（セッション）内の送信元ポートと受信ポート。 許可（禁止）コマンド、許可（禁止）モバイルコード...

タイプGファイアウォールの要件はここで広げられます 。 すでに述べたように、クラスΓの場合、クラス4は最大であるため、正確に考慮します。



MEは、情報セキュリティに対する次の脅威の中和を確実にする必要があります。

• 情報処理技術によって提供されていないWebサーバーによるネットワーク接続の確立の結果としてのWebサーバー情報への不正アクセス。
  
  
  
  
• データ送信チャネルのネットワーク帯域幅がいっぱいになるまで、複数のネットワークパケット（要求）を送信するための情報システムの情報処理技術によって提供されていないWebサーバーとのネットワーク接続を確立した結果、サーバーサービスサイト、WebサービスおよびWebアプリケーションのサービス拒否大きなサイズまたは非標準の構造の特別に形成された異常なネットワークパケット（要求）を送信する。 この脅威は、ネットワークプロトコルの脆弱性の存在、保護メカニズムの設定の不備、IPハードウェアおよびソフトウェアのソフトウェアの脆弱性が原因で発生する可能性があります。
  
  
  
  
• MEへの不正な影響。その目的は、特別に形成されたネットワークパケットをMEインターフェイスに送信することによりセキュリティ機能を克服またはバイパスすることを含む、機能を中断することです。これにより、標準ツールまたは専用ツールを使用してME保護メカニズムを無効化、バイパス、または克服します。

確かに、エゴMEの定義では、タスクは絞り込まれます-MEプロファイルによれば、「それは、通過する情報フローの特定のルールに従って制御およびフィルタリング機能を実装し、制限された情報の保護（非暗号化方法）を確保するために使用されるソフトウェアまたはハードウェアツールです「。 ただし、タイプAについては、プロトコルのタイプに関する知識のみが規定されています。

次のタイプの情報セキュリティ属性に基づいてフィルタリングする機能：相互作用に使用されるネットワークプロトコル。

パケットの断片化を示す属性。 相互作用に使用されるトランスポートプロトコル、セッション（セッション）内の送信元ポートと受信ポート。 許可（禁止）コマンド、許可（禁止）モバイルコード...

次の安全機能をMEに実装する必要があります。

• 制御とフィルタリング。
• 識別と認証。
• セキュリティイベントの登録（監査）;
• ビジネスの継続性と回復。
• テストと整合性制御。
• 管理（管理）;
• 情報保護の他の手段との相互作用。

特に、MEはMEの安全な機能を保証する環境で動作する必要があります。



4番目のクラスのタイプG MEは以下を提供する必要があります。

• 情報の送信者、情報の受信者、およびMEが制御する情報をWebサーバーおよびWebサーバーから送信するすべての操作について、ネットワークトラフィックをフィルタリングする機能。 ファイアウォールでのフィルタリングを、MEを介してWebサーバーおよびWebサーバーに移動するすべての操作に適用することを保証する機能。 興味深い点。 定義から判断すると、要件は、特にWebサーバーを保護するために設計されたMEに関連し、メインMEに追加されます。 その場合、定義により、「Gタイプのファイアウォールは、ハイパーテキスト転送プロトコルに従って情報フローの制御とフィルタリングを提供する必要があります」-これらの問題やその他の問題がプロファイルのこの規定から生じるのはなぜですか これらのアイテムをマージしたり、MEの予定を編集したりすることは論理的ではありません。
  
  
  
  
• 特定のバージョンのハイパーテキストを送信するためのプロトコルに従って、要求と応答の監視と分析をサポートする機能。 このMEを、メインMEがパケットレベルまでフィルタリングすることでWebアプリケーションを保護する追加の手段と見なすのが論理的です。
  
  
  
  
• WebブラウザーからWebサーバーに送信され、特定のエンコードのテキストコンテンツと特定の種類の非テキストコンテンツ（画像、音声情報、ビデオ情報、プログラム）を含むメッセージを制御および分析する機能。 不正なコンテンツの削除など、メッセージを変更するアクションをここに含める必要があるかどうかは完全には明らかではありません。 分析のレベルも定義されていません。
  
  
  
  
• WebサーバーからWebブラウザーに送信され、WebブラウザーからWebサーバーに返される特定の種類の特定の相互作用マーカー（Cookie）の監視と分析をサポートする機能。特定のCookie属性に基づいたWebサーバーとのユーザーの相互作用に関するパーソナライズされた情報が含まれます-明確ではありませんCookieの分析対象は何ですか？;
  
  
  
  
• 情報システムのユーザーデータ（Cookie-ユーザーデータを含む情報を含む）の送受信を、不正な開示や整合性違反から保護する方法でサポートする機能。
  
  
  
  
• 識別された属性に基づいてMEの管理者によって設定されたフィルタリングルールのセットに基づいて、制御されたネットワークトラフィックの相互作用情報保護手段によって設定された属性に従って、セキュリティ違反の有無を示すことを含む、すべての情報フローをブロックするための情報フローを明示的に許可または禁止する機能情報;
  
  
  
  
• 正規表現（タグ、モバイルコード言語の形式のコマンド）の特定のフラグメントを要求で検索することにより、データエントリのサイトおよび（または）他のWebアプリケーションへのフラグメント化および圧縮された要求を含む、モバイルコードのフラグメントの存在をチェックする機能モバイルコードを初期化するとき、または不要なアクションを実行するときに使用されます。 そのようなリクエストで情報フローをブロックする機能。
  
  
  
  
• ネットワークトラフィック情報のセキュリティ違反の兆候を示す属性に基づいてMEと対話することを意味する、他のタイプの情報保護手段からの制御コマンドを考慮に入れてパケットをフィルタリングする機能は、他のタイプのプロファイルがあるため、非常に興味深い要件です。 FSTECは、保護装置の相互作用のプロトコルを標準化することを提案していますか？
• ハイパーテキスト転送プロトコルを介して不正な情報フローを検出した場合の可能性-要求のブロック、接続の切断/再開、特定のネットワークアドレスとの相互作用のブロック、特定のアプリケーションレベルでのセッションのブロック、アプリケーションの特定のユーザーレベルでの相互作用のブロック、別のMEへの制御信号の送信不正な情報フロー、実行されたアクションに関する管理者/ユーザーへの通知の送信。
  
  
  
  
• ネットワークポート変換、統合リソース識別子の変換のレベルで、Webサーバーアプリケーションの外部表示の仮想化をサポートする機能。
  
  
  
  
• アプリケーションの仮想化された（Webブラウザーに表示される）ネットワークポートと、アプリケーションの実際の（Webサーバーに表示される）ネットワークポートとの比較を識別する機能。
  
  
  
  
• 仮想化（Webブラウザに表示）およびリソース識別子、および実際の（Webサーバーに表示）統合リソース識別子との比較を定義する機能。
  
  
  
  
• MEを通常の動作モードに戻す機会を提供する緊急サポートモードに切り替える機能、MEの通常の動作モード（提供された障害シナリオの場合）を完了するための機能。 おそらく、要件とは、ある状況の場合に特定のポリシーを割り当てることを意味します。
  
  
  
  
• ロシア連邦の法律に従って、情報保護の暗号化方法を使用して、分析および提供のために、ハイパーテキスト転送プロトコルを介して送信されたソースデータにアクセスできるようにするために、MEとWebサーバー/ユーザー（Webブラウザーを使用）の間の対話の信頼できるチャネルをサポートする機能ロシア連邦の法律に従って、情報保護の暗号化方法を使用した安全な送信。
  
  
  
  
• ネットワークトラフィック情報のチェックを登録および記録する機能。イベントは、ロシア連邦の国家標準GOST R ISO / IEC 15408-2-2013「情報技術。 セキュリティ方法とツール。 情報技術のセキュリティを評価するための基準。 パート2.機能安全コンポーネント」は、監査の基本レベルに含まれています。 許可された管理者に対して監査レコードを読み取るか、監査レコードを選択（検索、ソート、監査データの整理）する機能
  
  
  
  
• MEの管理における特定の役割のサポート;この管理者に代わってMEの調停を通じて実行されるアクション（管理）の解決前の、MEの管理者による識別と認証の可能性
  
  
  
  
• このユーザーに関連付けられた情報ストリームがMEを介して（Webサーバーから）Webサーバーに送信される前に、ユーザーを識別および認証する機能。
  
  
  
  
• MEの管理者がMEセキュリティ機能の実行を管理し、セキュリティ属性を管理し、MEセキュリティ機能が使用するMEデータを管理する機会。

一般的に、すべて。 要件のリストは、ドキュメントの4分の1未満です。



4年生と6年生の要件の違いを比較するのは興味深いことです。

• セキュリティアラートはGrade 5で表示されます。 違反の通知がない製品は奇妙に見えます。
• 監査データの選択的な表示も5年生に表示されます。 そのような製品のユーザーは、大量のレコードで必要なものを手動で検索するように招待されていますか？
• 5年生では、仮想化の要件があります。
• データ交換の基本的な機密性（FDP_UCT.1）は、4番目のクラス、および他のセキュリティシステム（セキュリティ機能間のセキュリティ機能のデータの基本的な一貫性-FPT_TDC.1）および信頼できるチャネルと伝送ルートの可用性の要件（ FPT_ITC.1およびFPT_TRP.1）-それぞれ、Webサーバーおよびリモートユーザーとの通信チャネル。 FDP_UCT.1には、1つ以上の方法でハイパーテキスト転送プロトコルを使用して、許可されていない情報ストリームをブロックする可能性の要件が含まれています。 これは、5年生と6年生には必要ありませんか？ Webサーバーとの間で送受信されるデータを確認するユーザー要求は常に満たされ、サイバー犯罪者によって保護されているデータ送信チャネルの存在の要件も満たされています。 これらの要件が5年生と6年生に欠けているのは奇妙です。

興味深いことに、セキュリティ機能の一部として実装する必要があるもののリストは、説明した要件と一致しません。 したがって、最初のリストにはセキュリティ機能のテストがあります-さらに、製品に関するドキュメントでは、この要件はありません（これは完全な秘密の危険性に関するものです。チップボードバージョンでは、機能のどこからどこにあるべきかがはっきりとわかります）。 他にも同様の不一致があります。



また、MEの要件は、FSTEC方法論文書「州の情報システムにおける情報保護のための措置」に記載されています。 このドキュメントによると、ウイルス対策保護、スパム対策保護、および侵入検知（防止）システムは、防衛省で適用される必要があることを思い出してください。 MEはクラスタリングをサポートする必要があります。 侵入防御は、トラフィックを分析し、ルールを更新し、一元的に管理できる必要があります。 ルールは編集可能でなければなりません。



要約すると：

1. ドキュメントは非常に高レベルです。 フィルタリングの可能なタイプとオプションの説明はありません。 実際、唯一の兆候は、特定のバージョンのHTTPプロトコルを使用して要求と応答を監視および分析するためのシステム、および要求内のモバイルコードの存在を確認するための要件です。 明確な要件の欠如は、要件を正式に満たすだけの製品の認証を申請する可能性と、純粋に形式的な理由による認証の拒否の両方を与えます。
2. ロシアで許可されている暗号化を使用したHTTPS分析には、信頼できるチャネルが必要です。
3. 監視対象プロトコルのリストはありません。 言及されているのはHTTPのみです。
4. このタイプのMEは情報システムの一部として使用されるべきであるという事実にもかかわらず、集中管理の要件はありません。 運用環境の一部として信頼できる制御チャネルを提供することのみが必要です。
5. ネットワーク攻撃に対する機能保護の要件はありません。
6. 更新手順の要件にもかかわらず、更新機能の可用性に関する機能上の要件はありません。
7. 他の保護手段との相互作用に関する完全に理解できない要件。 セキュリティ機能用の単一のプロトコルはありません-同じSIEMのメーカーはそれを拒否しませんが。 おそらくこれは特定の製品の要件ですか？

FSTECの要件に従って、2016年12月1日から、開発、製造、および納入されたファイアウォールは、プロファイルに記載されている要件に準拠する必要があります。 2016年12月1日より前にインストールされたファイアウォールは、コンプライアンスの再認証なしで運用できます。



前の記事について貴重なコメントを述べてくれたすべてのユーザー（特にimbasoft ）に感謝します。