ГОСТ Р ИСО/МЭК 27033-4-2021. Национальный стандарт Российской Федерации. Информационные технологии. Методы и средства обеспечения безопасности. Безопасность сетей. Часть 4. Обеспечение безопасности межсетевого взаимодействия с использованием шлюзов безопасности

11.5 Функции и настройки безопасности

МЭ уровня приложений должен обеспечивать, как минимум, следующее:

- поддержку основных Интернет-служб (HTTP, FTP, Telnet, SMTP, NNTP);

- поддержку других Интернет-служб;

- поддержку универсальных прокси-серверов (для новых протоколов или служб);

- HTTP-прокси-сервер должен правильно обрабатывать HTTPS;

- отклонение уведомления сообщения BGP (например, посредством общего прокси-сервера);

- поддержку протоколов динамической маршрутизации;

- поддержку веб-служб (например, SOAP/XML);

- поддержку прокси-сервера для заархивированных корпоративных приложений или других бизнес-приложений;

- поддержку идентификации приложений, работающих в потоке протоколов (офисных приложений для повышения производительности, встроенного видео, обмена мгновенными сообщениями и т.д.);

- поддержку фильтрации входящего трафика на наличие вредоносных программ и т.д. в случае VPN-соединения;

- возможность разрешения, запрета или сброса соединений или пакетов.

Устройство фильтрации пакетов должно, как минимум, иметь возможность:

- поддержки фильтрации пакетов на основе:

- IP-адреса источника и назначения;

- порта источника и назначения (для TCP, UDP);

- направления соединения (входящее, исходящее).

И устройство фильтрации пакетов и устройство фильтрации с отслеживанием состояния должны, как минимум, иметь возможность:

- сохранять согласованные правила фильтрации;

- фильтровать пакеты для каждого сетевого интерфейса отдельно;

- поддерживать многоадресные пакеты, если необходима кластеризация устройств;

- сохранять порядок правил фильтрации на шлюзе безопасности;

- ограничивать длину фрагментов IP-пакетов и определять минимальное смещение фрагмента;

- фильтровать ICMP-сообщения "назначение недоступно" и "перенаправление";

- предотвращать подделку внутренних IP-адресов, если они приходят из сети Интернет (противодействие атаке типа "IP Spoofing").

Кроме того, фильтрующее устройство с отслеживанием состояния должно, как минимум, быть способно:

- поддерживать службы NFS, NIS, RPC, RIP, OSPF, DNS, WAIS путем адекватной защиты на основе динамических пакетных фильтров;

- обнаруживать определенные атаки типа "отказ в обслуживании", такие как атака типа "TCP-SYN flooding";

- предотвращать угадывание порядкового номера TCP;

- противостоять атакам типа "ping-of-death" (вид атаки типа "отказ в обслуживании");

- совместно использовать команды FTP с определенными правами доступа;

- разрешать сохранение контекстной информации, например проверять динамически назначенные номера портов;

- фильтровать другие сетевые объекты (домены, группы, объекты VPN и т.д.);

- предотвращать определенные атаки перехвата сеансов (атаки типа "hijacking").

Рекомендуется проверить другие различные функции или настройки, например:

- создание оповещений при обнаружении вторжения либо на основе регистрации, либо с помощью сенсора обнаружения вторжения;

- следует отметить, что приложения, использующие средства связи SOAP, могут не обнаруживаться МЭ с отслеживанием состояний и МЭ с прокси-сервером уровня приложений. Это дает возможность обойти прокси-сервер приложений и другие политики МЭ. Особое внимание следует уделять обстоятельствам, когда приложениям на основе SOAP требуются соединения, проходящие через шлюзы безопасности: например, некоторые приложения на основе SOAP могут быть защищены с помощью специальных фильтров контента для приложений (в МЭ для XML, который позволяет программировать подходящие фильтры для XML) и/или путем применения политики, которая позволяет приложениям на основе SOAP обмениваться данными через шлюз безопасности, только если он защищен сквозной VPN.