Сравнивались следующие продукты:
- CheckPoint Firewall-1 2.0 - CheckPoint Software Technologies (http://www.chekpoint.com)
- CyberGuard Firewall 2.1.2 - Harris Computer Systems (http://www.hcs.com)
- Gauntlet Internet Firewall 3.1 - Trusted Information Systems (http://www.chekpoint.com)
Старая добрая Сеть, ранее населенная большей частью учеными и первокурсниками университетов, превратилась ныне в незаменимый инструмент для деловых людей. Имея доступ в Internet, вы будете располагать всей необходимой информацией, которая поможет в принятии решений о заключении той или иной сделки. Вы получите доступ к "электронным доскам объявлений", сможете отправлять электронную почту в удаленные офисы и партнерские компании по частным виртуальным локальным сетям.
Располагая соединением с Internet, вы можете рекламировать свой собственный товар и даже принимать заказы на свои изделия по прямому интерактивному каналу. Но, как и за все хорошее, за доступ к Internet надо платить. Всемирная сеть Internet, основной отличительной чертой которой является открытость, стала плодородной почвой для злоупотреблений. Не имея ни стратегии, ни технологии защиты информации и не располагая группой специалистов, которая будет всем этим заниматься, вы нечаянно можете предоставить ключи к ресурсам вашей компании злоумышленникам.
Достойный ответ на потенциальную угрозу вашей сети представляет собой брандмауэр.
Вопрос и ответ
Несмотря на то что термин "брандмауэр", как и большая часть лексикона, относящегося к системам защиты информации, носит драматический характер, смысл его довольно прост: предотвращение нежелательного доступа к вашей внутренней частной сети. Брандмауэр сам по себе не является реализацией конкретной технологии - совсем наоборот. Это обобщающий термин для всего диапазона методов защиты информации, предназначенных для охраны вашей сети от вторжений извне и разрушения.
Тем не менее большинство брандмауэров, являющихся как готовыми продуктами, так и системами вашей собственной разработки, изолируют внутреннюю сеть одним из двух способов. Первый метод - это отказ от выполнения определенных небезопасных операций на главном бастионе - сервере Internet: эту технологию называют шлюзом приложений (application gateway) или сервером-посредником (proxy server). Второй метод - фильтрация пакетов (packet filtering) - запрещает прохождение трафика в вашу сеть из всех узлов, кроме тех, которые строго вами предопределены.
Чем выше забор - тем лучше соседи
Исторически сложилось, что фильтрация пакетов, как специальный тип маршрутизации, считается основным существующим типом защиты. Обычные маршрутизаторы определяют, куда надо переправить пакет; пакетные фильтры - это более "умные" устройства; на основе правил, установленных конечным пользователем, они решают, следует ли пересылать конкретный пакет в вашу сеть. Стандартный фильтр пакетов способен проверить IP-адрес и служебную информацию; таким образом он определяет, поступил ли трафик из источника, которому можно доверять, и насколько допустимы запросы на указанные виды услуг. Благодаря изначальной ориентации пакетных фильтров на открытые системы, их повсеместному применению, а также тому, что их слабые места широко известны, многие прикладные сервисы, включая Telnet и FTP (File Transfer Protocol), небезопасны. Фильтр пакетов позволит определить специальные правила, которые будут блокировать подобные службы.
В отличие от некоторых других механизмов защиты, фильтрация пакетов совершенно прозрачна для пользователей. К ее достоинствам также можно отнести и то, что с помощью недорогих маршрутизаторов с фильтрацией пакетов легко создать единую точку входа в сеть и выхода из нее, а также эффективно отменить выполнение случайно запущенных операций. Кроме того, фильтрация пакетов предлагается в составе как коммерческих, так и бесплатных продуктов для маршрутизации, что делает ее вполне удобным для применения решением.
Поскольку по Internet пересылается огромное количество пакетов, некоторые из них, пусть даже самые маленькие, нечаянно могут и "просочиться" сквозь фильтр. По этой причине фильтрация пакетов, допускающая непосредственный контакт между Internet и вашей сетью, не является достаточно надежной системой защиты.
Сервер-посредник надежнее изолирует вашу систему, образуя физический барьер между нею и внешним миром (и не принося при этом в жертву прозрачность). В такой системе пользовательские клиенты общаются непосредственно с сервером-посредником для определенного набора протоколов, таких как FTP, HTTP и Telnet. Этот сервер, работающий на хосте с двумя сетевыми соединениями, решает, следует проигнорировать запрос клиента или передать его дальше.
К сожалению, и посредники не универсальны. Программные решения, например, не способны охватить все слабые места всевозможных протоколов (например бесконечно расширяемого HTTP) и потребуют отдельного посредника для каждого интересующего вас протокола. Gauntlet, победитель нашего сравнения, - это брандмауэр с шлюзом приложений.
Брандмауэр, занявший второе место, CheckPoint, не является ни традиционным пакетным фильтром, ни шлюзом приложений. Компания-производитель назвала использованную при его создании технологию "Stateful Multilayer Inspection". В целях решения стандартной для брандмауэра задачи сокрытия внутренних IP-адресов, CheckPoint поддерживает уникальный способ трансляции адреса. Специальный макроязык позволяет отслеживать корректность пакетов на прикладном уровне и пропускает лишь те данные, которые относятся к защите информации. Таким образом, отпадает необходимость создавать отдельный сервер-посредник для каждой функции.
Постоянная бдительность
Если ваша организация подключена к Internet, то, несмотря на сложившееся мнение, поддержка секретности внутренних сетей и защита целостности данных не ограничивается установкой одной программной или аппаратной системы. Необходимо начать с планирования разумной и эффективной стратегии защиты информации, проводимой в жизнь как с помощью персонала, так и с помощью техники.
Даже если брандмауэр уже работает, забота о защите информации не прекратится никогда.
Но так или иначе, брандмауэр не только блокирует потенциально опасный трафик, исходящий из той грозовой тучи, которая называется Internet, но также отслеживает входящие и исходящие запросы. Однако ни один черный ящик в мире не сможет добавить вам благоразумия или заставить добросовестно ухаживать за системой.
Понадобится проводить регулярные инспекции системы входа любого брандмауэра, принимать разумные решения в случае получения сигнала тревоги и "отлавливать" подозрительные пакеты - задача, нелегкая даже для экспертов.
Очевидно, что для защиты информации и созданы брандмауэры, поэтому мы разрабатывали свои тесты, максимально учитывая данный факт. Например, мы придавали меньшее значение броскому пользовательскому интерфейсу и больше интересовались тем, насколько эффективно инструменты администрирования позволяют создавать безопасную среду на основе нашей стратегии защиты информации.
Как мы проводили тестирование
Не будь на свете проблем безопасности, проведение данного тестирования стало бы абсолютно бессмысленным. Конечно, чем легче брандмауэр в установке и управлении и чем больше функций он поддерживает, тем лучше. Мы учли все эти факторы, но основной задачей наших тестов осталась проверка надежности защиты.
Установка и начальная конфигурация
Логично было предположить, что конфигурация продукта по умолчанию обеспечивает стопроцентную его безопасность. Для того чтобы в этом убедиться, мы запускали Internet Scanner компании Internet Security Systems, сконфигурировав каждый продукт по умолчанию. Как минимум, непосредственно после установки система должна быть полностью безопасной.
Администрирование
Администрирование брандмауэра - нелегкая проблема: ее следует поручить специалисту, разбирающемуся в вопросах защиты информации и стратегии безопасности, принятой на вашем предприятии.
Легкость использования - это не самая важная характеристика для брандмауэра; главнейшими факторами здесь являются эффективность и ясность. Поэтому мы не снижали оценки продуктам, не обладавшим графическим пользовательским интерфейсом. Тем не менее в последнем случае мы обращали внимание на четкость разграничения функций.
Кроме того, предположив, что продукт должен поставляться с хорошими инструментами для администрирования, мы повышали оценку, если брандмауэр обладал мощным пользовательским интерфейсом или исключительными возможностями регистрации.
Защита информации
Мы проверяли, способны ли продукты обеспечить максимальную безопасность сети, не ограничивая в то же время доступ в Internet для пользователей. Если в процессе тестирования защита прерывалась хотя бы на несколько секунд, он не получал оценки выше удовлетворительной. Поскольку хакеры постоянно изобретают новые способы проникновения в защищенные сети, коммерческий продукт никогда не может быть надежным на сто процентов; следовательно, оценку "отлично" в данной категории поставить нельзя в принципе. Если продукт "не замечал" опасных вторжений или регистрировал их неверно, мы снижали оценку. Естественно, если брандмауэр не регистрировал серьезных попыток вторжения или каким-либо образом подвергал риску безопасность сети, он получал оценку "неприемлемо".
Сервисы
В Internet существует бесчисленное множество сервисов, и, к несчастью, далеко не все они безопасны. Поэтому брандмауэры предоставляют серверы-посредники, предотвращающие возникновение непосредственного контакта между запрашивающим узлом и вашей сетью. В этой связи мы учитывали не только количество и виды сервисов, поддерживаемых каждым из продуктов, но и безопасность их реализации. Чем легче было настраивать и контролировать посредников для каждого из сервисов, тем более высокую оценку получал брандмауэр. Если продукт безопасно поддерживал все сервисы, он получал оценку "отлично". Оценка понижалась в случае, если не был учтен какой-либо из основных сервисов - FTP, HTTP, Telnet или SMTP.
Документация
Документация должна предоставлять подробные указания по установке и конфигурации продукта. Мы начисляли дополнительные очки за наличие подробной инструкции, электронных и печатных курсов обучения, справочных руководств, подробной электронной подсказки и других полезных материалов. Оценка снижалась за беспорядочную организацию документации, отсутствие информации или неполный алфавитный указатель.
Стоимость
Оценка за стоимость ставилась с учетом степени конкуренции и рынка, для которого предназначен продукт. Она не является общей оценкой продукта; выставляя ее, мы не брали в расчет ни производительность, ни какие-либо другие характеристики.
Описание продуктов
CheckPoint Firewall-1 2.0
Технология, задействованная в CheckPoint Firewall-1 2.0, называется Stateful Multilayer Inspection; в своей основе это - брандмауэр с фильтрацией пакетов, но усложненный и более мощный. В отличие от CyberGuard и Gauntlet, он не создает посредников традиционным способом, переправляя им пакеты. Вместо этого его макроязык отслеживает и проверяет пакеты вплоть до слоя приложений и извлекает лишь те данные, которые определены, как относящиеся к защите информации. Таким образом, снимается необходимость в наличии отдельного посредника для каждого сервиса.
CheckPoint может работать в качестве сервера или шлюза на компьютерах Intel x86, а также Sun SPARC под управлением Solaris 2.4. Для работы брандмауэра требуется 10 Мбайт дискового пространства и 16 Мбайт оперативной памяти.
По данным International Data Corp., компания CheckPoint - абсолютный лидер в области брандмауэров для Internet: в 1995 г. их было продано 4 тысячи, что составило 40% рынка. Главный продукт компании, CheckPoint Firewall-1, был выпущен в середине 1994 г.; он представляет собой брандмауэр на программной основе, в отличие от CyberGuard, программно-аппаратной системы. Другой продукт CheckPoint носит название SecuRemote. Он позволяет мобильным и удаленным пользователям Windows 95 подключаться к своим основным сетям через телефонное соединение по Internet.
CyberGuard Firewall 2.1.2
Система компании Harris Computer Systems - CyberGuard Firewall 2.1.2 - может работать и как шлюз приложений, и как фильтр пакетов. Возможна также реализация сразу обоих методов: например, вы можете установить фильтр пакетов, обеспечивающий вашим пользователям выход в Internet, и сервер-посредник для контроля за доступом в вашу сеть.
CyberGuard может служить посредником для следующих сервисов: FTP, Telnet, rlogin, HTTP, SMTP, Gopher, Network News Transfer Protocol и Real Audio.
CyberGuard - это программно-аппаратная система, обладающая графическим пользовательским интерфейсом для установки, конфигурации, мониторинга и создания отчетов. Аппаратная часть состоит из клавиатуры, монитора и увесистого системного блока, в который установлены 32 Мбайт оперативной памяти, жесткий диск объемом 1 Гбайт и RISC-процессор.
Компания Harris, основанная в 1967 г., состоит из двух отделений - Trusted Systems Division (отделение по системам обеспечения надежности) и Real-Time Systems Division (отделение по системам реального времени). В мае Harris объявила о продаже последнего компании Concurrent Computer. По совершении сделки Harris сменит свое название на CyberGuard и будет заниматься исключительно разработкой, а также маркетингом CyberGuard и других продуктов для защиты информации в сетях.
Gauntlet Internet Firewall 3.1
Gauntlet Internet Firewall 3.1 - брандмауэр компании Trusted Information Systems (TIS) - это коммерческий продукт, созданный с использованием пакета Firewall Toolkit (разработанного этой же компанией). Firewall Toolkit - это набор программ и рекомендуемых конфигураций, предназначенных для самостоятельного построения сетевого брандмауэра; набор можно получить бесплатно по Internet. С его помощью был создан также ряд других коммерческих брандмауэров.
Gauntlet - это шлюз приложений. Его непростая архитектура свидетельствует о том, что этот брандмауэр создавался настоящими специалистами по защите информации. Объем программной части постарались сделать небольшим, насколько это было возможно, - ведь чем меньше приложение, тем меньше ошибок оно содержит. Продукт сопровождается модулем Crystal Box, с помощью которого любой клиент TIS может просмотреть исходные тексты и алгоритмы, использованные при создании Gauntlet. Поскольку практически все умышленные вторжения в сеть отрицательно отражаются на учетных данных пользователя, Gauntlet обладает только одной таблицей учетных данных - для менеджера брандмауэра.
Gauntlet может быть посредником для следующих сервисов: Telnet, rlogin, FTP, SMTP, Gopher, POP3, HTTP и X Window System.
TIS - это один из немногих производителей, занимавшихся защитой информации до начала выпуска брандмауэров. Компания была основана в 1983 г.; ее основной задачей была разработка продуктов, защищающих информацию для правительства США.
Установка и начальная конфигурация
CheckPoint Firewall-1 2.0
удовлетворительно
Конфигурация CheckPoint (как и CyberGuard) по умолчанию ничего не впускает внутрь и ничего не выпускает наружу. Конфигурирование интерфейсов Ethernet представляет собой более сложный процесс, чем у остальных продуктов.
CheckPoint - более сложная система, чем CyberGuard или Gauntlet. Чтобы сконфигурировать ее для своей сети, необходим либо личный опыт наладки рабочей станции Sun с двумя сетевыми картами, либо специалист по Unix, располагающий массой свободного времени. После того как вы установите IP-адреса в хост-файлах и сконфигурируете маршрут по умолчанию, можно перезапустить систему и настроить ее основную функцию - обеспечение безопасности входящего и исходящего трафика.
При работе с конфигурацией брандмауэра по умолчанию, Internet Scanner компании Internet Security Systems никаких уязвимых мест не выявил.
CyberGuard Firewall 2.1.2
удовлетворительно
Установка CyberGuard затруднений не вызывает. Однако, в отличие от Gauntlet, ее конфигурация по умолчанию не настроена на конкретную среду.
Из трех брандмауэров CyberGuard обладает наиболее полноценной аппаратной частью. Система поставляется с X-терминалом Tektronix и монитором с диагональю 17 дюймов, используемыми в качестве станции управления. С виду брандмауэр напоминает танк (не считая пластиковой дверцы передней панели); корпус снабжен удобными роликами для перемещения его по полу. Не сомневайтесь, ваши менеджеры будут просто счастливы, узнав, что вы купили такую большую вещь.
Процессы установки и конфигурации CyberGuard очень похожи на аналогичные операции для CheckPoint (основная разница в том, что интерфейсы Ethernet первой настраиваются гораздо проще). Вы просто включаете систему и ждете. Через некоторое время X-терминал спросит пароль на вход. Как только вы его введете, система выяснит у вас внутренний и внешний IP-адреса и перезагрузится. После того как произошел перезапуск, мы запустили Internet Scanner, не выявивший никаких уязвимых мест системы безопасности.
Gauntlet Internet Firewall 3.1
хорошо
Gauntlet отличается от всех остальных брандмауэров тем, что в комплект его поставки входит бесплатная однодневная консультация; систему установил и сконфигурировал для нашей сети специалист.
Рабочая ОС Gauntlet - это модифицированная версия BSDI Unix. Модификация и компиляция ядра системы была выполнена в процессе установки, произведенной консультантом. По окончанию установки, в нашем распоряжении оказалась готовая к использованию с нашей сетью система. Мы настроили сервер-посредник и программу просмотра и были готовы к выходу в Internet. Internet Scanner, запущенный на конфигурации по умолчанию, не выявил никаких слабых мест защиты. В процессе сканирования Gauntlet зарегистрировал возможную угрозу безопасности; он оказался единственным из брандмауэров, без дополнительной настройки определившим функционирование Internet Scanner.
Администрирование
CheckPoint Firewall-1 2.0
очень хорошо
Хотя интерфейс CheckPoint не столь легок в использовании, как и у CyberGuard, этот продукт оказался гораздо более мощным инструментом для администрирования. Он обладает развитыми настраиваемыми пользовательскими и сетевыми функциями, а также возможностью конфигурации предупреждающей системы; многих из этих функций в других продуктах нет.
Из всех трех брандмауэров CheckPoint оснащен наиболее многофункциональным и эффективным интерфейсом, делающим все возможное для облегчения работы администратора, собирающегося защитить свою сеть. Интерфейс брандмауэра хоть и не так легок в использовании, как интерфейс CyberGuard, но зато более надежен в работе.
Большая часть функций CheckPoint настраивается и управляется посредством графического пользовательского интерфейса. С его помощью вы можете конфигурировать правила фильтрации, рабочие места пользователей и защищенные системы. Однако для настройки трансляции адресов придется воспользоваться программой с меню, работающей в текстовом режиме. Мы надеемся, что в следующей версии CheckPoint сделает для этой функции графический интерфейс, поскольку приложение с меню уже достаточно хорошо организовано.
Система CheckPoint обладает наиболее развитыми возможностями конфигурации. Мы могли в любое время отменять и разрешать входящий и исходящий трафик, а также запрещать и предоставлять доступ пользователям. С помощью основного интерфейса можно легко изменять правила фильтрации. Системы слежения, регистрации и предупреждения имели наибольший диапазон возможностей среди всех трех продуктов; они оснащены "всплывающими" окнами с предупреждениями, функциями инициации SNMP-прерываний и сообщений по электронной почте, а также запуска командного файла, способного запустить указанную программу, которая, к примеру, может послать сообщение по пейджеру. Кроме того, в отличие от CyberGuard, информация о настройках хранится в базах данных, сводя тем самым необходимость редактирования текстового конфигурационного файла к минимуму.
CyberGuard Firewall 2.1.2
хорошо
Пользовательский интерфейс CyberGuard наиболее интуитивен и легок в использовании среди всех трех продуктов; к сожалению, для настройки некоторых из функций (например Sendmail) пришлось редактировать текстовый файл. Как бы то ни было, интерфейс CyberGuard заслужил более высокую оценку, чем интерфейс Gauntlet.
Все три брандмауэра обладали тем или иным видом графической программы для настройки; однако ни один из них нельзя было сконфигурировать с ее помощью полностью. Нас почти не смутила нехватка полноценного пользовательского интерфейса в Gauntlet и CheckPoint, поскольку каждую из систем сопровождает подробное описание того, какие команды доступны через графический интерфейс, а какие - нет. В CyberGuard, напротив, совершенно непонятно, какие функции когда использовать.
Мы обнаружили ошибку в службе разбиения имени - она добавляла два пробела перед IP-адресом привилегированного хоста. Эта ошибка возникала каждый раз после того, как мы перезагружали систему и воздерживались от запуска службы имен. Чтобы обойти эту проблему, надо просто удалить два пробела и приказать системе использовать новую конфигурацию. Несмотря на то, что реальной угрозы безопасности не создавалось, мы всерьез беспокоились за стабильность работы системы.
Gauntlet Internet Firewall 3.1
удовлетворительно
Gauntlet "щеголяет" графическим пользовательским интерфейсом на основе Web. К сожалению, большинством страниц пользоваться нельзя. Его интерфейс неудачен, а установка пользовательских прав требует долгого редактирования текстового файла; поэтому в данной категории брандмауэр не получил столь же высоких оценок, как CheckPoint и CyberGuard.
Основные компоненты Gauntlet настраиваются с помощью комбинации из текстового и графического интерфейсов. Вам придется, однако, поредактировать таблицы и другие важные файлы, если вы захотите сделать правила доступа более строгими (например запретить просмотр определенных страниц Web).
Графический интерфейс, который поначалу производил благоприятное впечатление, совершенно разочаровал нас, когда мы обнаружили, что большая часть полезных страниц находится "в процессе создания". К счастью, текстовые файлы содержали пометки о том, что они скомпилированы базой данных Gauntlet и их не следует изменять вручную.
Файлы, редактируемые интерактивно, - это стандартные конфигурационные файлы Unix. После того как вы измените какие-либо настройки системы, конфигурационная база данных Gauntlet модифицирует соответствующие файлы и делает изменения активными. Построение текстовых файлов с помощью базы данных - это гораздо более удачная идея, чем непосредственное их редактирование. Если произойдет непреднамеренная модификация конфигурационного файла, вы можете просто обновить его с помощью базы данных, восстановив тем самым корректные настройки.
Если вы привыкли к работе в ОС Unix, то процессы конфигурации и администрирования Gauntlet не доставят особых хлопот, поскольку они крайне просты.
Защита информации
CheckPoint Firewall-1 2.0
удовлетворительно
В CheckPoint мы, к своему удивлению, обнаружили некоторые существенные недостатки разработки. В процессе загрузки мы смогли проникнуть в систему, которая оказалась на несколько секунд совершенно незащищенной. Хотя это и не влияет на безопасность в процессе работы, нас просто потрясло, что компания CheckPoint Software упустила столь очевидный недостаток. В целом, тем не менее, общая технология, использованная при проектировании системы защиты информации CheckPoint, превосходит по надежности технологии других продуктов.
CheckPoint - это самый необычный из трех брандмауэров. Для отслеживания трафика в нем применяется нечто вроде смешанного метода фильтрации пакетов. Для сокрытия внутренних IP-адресов и использования незарегистрированных адресов в CheckPoint задействован уникальный метод их трансляции. Система обладает всеми преимуществами традиционной фильтрации пакетов. Она оснащена мощными функциями регистрации и предупреждения, позволяющими вам отслеживать даже самые безвредные действия.
Тестируя ПО в Solaris, мы узнали кое-что о взаимодействии CheckPoint с ОС на низком уровне. В процессе загрузки системы, до того, как CheckPoint начинает работать, маршрутизация, реализованная в ядре Solaris, остается активной. В этот момент система полностью открыта для вторжений.
Недостаток знаний проектировщиков о процессе загрузки системы удивил нас - компании CheckPoint определенно необходимо усилить контроль над качеством тестирования ее ПО. Чтобы исправить эту ошибку, не нужно переделывать всю систему - потребуется лишь немного отредактировать кое-какие текстовые файлы. Надо ли говорить, как мы были разочарованы, обнаружив этот недостаток. Соответственно, оценку продукту в данной категории пришлось понизить. Мы настойчиво рекомендуем всем пользователям CheckPoint обратить внимание на эту проблему и найти способ ее решения для своих систем.
CyberGuard Firewall 2.1.2
хорошо
Для настройки систем слежения и предупреждения CyberGuard (столь легко выполняемой в Gauntlet и CheckPoint) вам придется потратить немало времени на программирование. В отличие от CheckPoint, система ни разу не оставила нашу сеть открытой для вторжений. К ее преимуществам относятся также мощные функции защиты и регистрации.
Из трех рассмотренных брандмауэров, CyberGuard наиболее удобен и как фильтр пакетов, и как шлюзовой программный сервер. Система обеспечивает также трансляцию сетевых адресов. Эта функция способна, например, перехватить сеанс FTP и изменить адрес источника на адрес внешнего интерфейса на устройстве CyberGuard. Таким способом скрываются внутренние сетевые адреса, с целью воспрепятствовать попыткам хакеров точно определить место, через которое можно проникнуть в систему.
Система оснащена механизмом подробной регистрации, настолько подробной, что вы, вероятно, будете использовать только низший ее уровень, не тратя времени на поиски чего-либо стоящего в обширных регистрационных файлах.
С другой стороны, в случае вторжения в систему такая детальная регистрация сможет предоставить вам кое-какую ценную информацию.
Система предупреждения CyberGuard позволяет опытным пользователям Unix определять командные файлы, которые будут просматривать регистрационные файлы и подавать вам сигнал в случае вторжения. Графический интерфейс предоставит ряд возможностей для индикации предупреждений, но ни один администратор не станет просиживать перед монитором по 24 часа в сутки. Мы были разочарованы плохой реализацией механизмов предупреждения, встроенных в систему.
Обнаружилось несколько ошибок при конфигурации пакетных фильтров. Если вы настраиваете пакетный фильтр так, чтобы он пропускал в любую сторону все, что через него проходит (относительно бесполезная конфигурация, подходящая разве что для тестирования), а затем наоборот, - так, чтобы он не пропускал ничего, он все равно будет передавать пакеты. Чтобы решить эту проблему, понадобилось всего лишь перезапустить систему, но кто знает, что произошло бы, не догадайся мы этого сделать?
Gauntlet Internet Firewall 3.1
очень хорошо
После найденных нами в системе безопасности CheckPoint уязвимых мест и непредсказуемого поведения CyberGuard, Gauntlet определенно порадовал нас тем, что оказался наиболее надежным из всех протестированных нами брандмауэров.
В отличие от других систем, Gauntlet не допускает непосредственного доступа в вашу защищенную сеть. Все права доступа определены серверами-посредниками брандмауэра. Принято считать, что это наиболее безопасная технология, поскольку реально в систему не проходит ни один пакет. Защищенные клиенты запрашивают информацию изнутри уполномоченного сервера. Для внешней среды он работает как клиент: запросив информацию, возвращает ее уполномоченному серверу. Тот снова выступает в другой роли, становясь сервером, и передает информацию защищенному клиенту. Такое же посредничество возможно и для разрешения доступа внешней сети к службам внутренней.
Сервисы
CheckPoint Firewall-1 2.0
отлично
CheckPoint - явный лидер в данной категории, поскольку он спроектирован так, что может поддерживать все сервисы, даже на незарегистрированной сети. Эта способность делает CheckPoint великолепной системой для любой сети, из которой нужно осуществлять доступ к самым современным и привлекательным сервисам Internet (например к телефонным).
Хороший брандмауэр обязательно должен работать прозрачно для пользователей. Чем больше процедур наблюдает пользователь, тем выше вероятность, что он сможет подвергнуть риску безопасность вашей сети. Брандмауэр должен также обеспечивать доступ к как можно большему количеству сервисов Internet.
На ожидание разработки уполномоченного сервера для нового приложения может уйти много времени. В CheckPoint реализован уникальный подход, потенциально обеспечивающий доступ ко всем сервисам Internet.
В обычном случае тот факт, что CheckPoint в основе своей является маршрутизатором с фильтрацией пакетов, а не шлюзом для приложений, помешал бы вам применять что-либо, кроме зарегистрированного в Internet сетевого номера. Технология, использованная в CheckPoint, позволяет осуществлять доступ в Internet даже с незарегистрированных сетевых номеров.
Инструмент наблюдает за пакетами по мере прохождения их через систему маршрутизации. Он может выбрать любой нужный ему пакет и произвести его осмотр. Например, UDP-пакет приходит по внутренней защищенной сети, а маршрутизатор перехватывает его и посылает во внешнюю сеть. Когда приходит ответный пакет, система проверяет его по таблице UDP для того, чтобы убедиться, что он действительно является ответным, и передает его во внутреннюю сеть. Таким образом, система может выполнять роль посредника для любого сервиса. Ни один другой брандмауэр не обеспечивает столь высокого уровня поддержки протоколов.
CyberGuard Firewall 2.1.2
удовлетворительно
CyberGuard получил столь невысокую оценку в данной категории из-за сбоев в работе с одним из основных сервисов. CyberGuard предоставляет посредников для следующих основных сервисов: электронная почта, Domain Name System (DNS), HTTP, Network News Transfer Protocol, FTP, Telnet и rlogin. Однако из всех трех продуктов CyberGuard обладает наименьшей поддержкой доступа в Internet с незарегистрированного или скрытого домена.
Несмотря на то что система обеспечивает трансляцию адресов, она предупреждает, что, когда эта функция включена, сервер не сможет работать даже с HTTP. CyberGuard не предоставляет подключаемых серверов-посредников для сервисов типа Whois и Finger. Есть у него, однако, и сильные стороны: CyberGuard поддерживает уполномоченный сервер Socks 4.2, что позволит вам использовать такие приложения, как Real Audio. Есть основания предположить также, что, когда появится Socks5, будет произведена модернизация CyberGuard, и он сможет поддерживать все службы.
Служба DNS несколько раз отключалась на наших глазах, и ее приходилось перезапускать. Такой сбой может стать настоящим кошмаром для сетевого администратора: все пользователи наперебой будут подзывать его к себе, чтобы сообщить о прекращении связи с Internet. Под конец мы поняли, что наилучший вариант использования CyberGuard - это режим пакетного фильтра.
Gauntlet Internet Firewall 3.1
хорошо
Для общения с внешним миром в Gauntlet применяются посредники. Службы его надежны, эффективны и быстры; однако Gauntlet не поддерживает уполномоченный сервер Socks, что и помешало нам поставить брандмауэру более высокую оценку. Для доступа в Internet в Gauntlet применяется TIS Firewall Toolkit. Его сервисы, как и Socks, вполне надежны, так как годами использовались на серверах Internet.
Firewall Toolkit обладает посредниками для HTTP, Gopher, FTP, Telnet, BSD R-services и X Window. Кроме того, поддерживается подключаемый сервер-посредник, который можно использовать почти для любого протокола из семейства TCP. Эта функция обеспечивает посредничество для SMTP, NNTP, Whois и Finger.
В процессе тестирования было заметно, что данные сервисы применяются в Internet уже много лет. Эти шлюзы обеспечивают быстрый и, как правило, прозрачный доступ во внешний мир. Мы загрузили файлы сразу с ряда машин; приятно было посмотреть, насколько хорошо система справилась с несколькими запросами и как быстро она осуществила посредничество для видеофайла, считанного нами.
Нас разочаровало отсутствие поддержки Socks - без нее вы не сможете использовать такие современные приложения, как Internet-телефония.
Краткие итоги тестирования
Не существует брандмауэров, через которые нельзя проникнуть в сеть. В мире слишком много хакеров, для которых нет ничего более интересного, чем изобрести новый способ вторжения. Тем не менее лучший способ предотвратить нападение - завести брандмауэр. Среди продуктов, протестированных нами, лучшим оказался Gauntlet компании Trusted Information Systems. В основном для создания брандмауэров применяются две различные технологии: серверы-посредники и фильтры пакетов. Первые считаются более защищенными, поскольку они надежнее изолируют сеть. Существуют, однако, у них и определенные недостатки. В частности, для каждого из протоколов, которые требуется поддерживать (например FTP и HTTP), необходим отдельный сервер-посредник. Продукт-победитель базируется на технологии серверов-посредников.
Непростая структура Gauntlet Firewall 3.1 доказывает, что его создали эксперты по защите информации, не пожертвовавшие безопасностью ради красивого интерфейса. Объективности ради заметим, что Gauntlet не лишен недостатков. Один из вариантов его интерфейса основан на программе просмотра Web, но когда мы попытались воспользоваться им, оказалось, что большинство полезных страниц находится "в процессе создания". Установка ограничительных правил (например запрещение просмотра пользователями определенных узлов Web) требует долгого редактирования текстовых файлов. Оценка Gauntlet была понижена и в категории служб, поскольку он, к нашему удивлению, не поддерживает уполномоченный сервер Socks. Однако в данной ситуации эти недостатки можно считать незначительными.
Система CheckPoint Firewall 2.1 компании CheckPoint Software Technologies заняла второе место, поскольку при тестировании была выявлена небольшая, но очень опасная "пробоина". В процессе загрузки система полностью открыта для вторжений - хотя и всего на несколько секунд. Очень хорошее впечатление произвел мощный интерфейс пользователя. Благодаря новой технологии, созданной на основе фильтрации пакетов и использованной при создании CheckPoint, не придется ждать разработки сервера-посредника для каждого нового сервиса. CheckPoint работает прозрачно для пользователей и обладает мощными системами регистрации и предупреждения, которые отслеживают даже самые безобидные действия. К системе прилагается подробнейшая документация.
Брандмауэр CyberGuard Firewall 2.1.2 компании Harris Computer Systems разочаровал. CyberGuard - это и фильтр пакетов, и сервер-посредник; но, к сожалению, ни одна из технологий не реализована в нем достаточно хорошо. Лучшее, что можно сказать о CyberGuard - его графический интерфейс пользователя легок в использовании.
Однако, как ни грустно, именно он доставил нам массу неприятностей. Интерфейс вел себя столь странно, что мы были обеспокоены стабильностью всей системы. Разочаровало нас и небольшое количество служб, поддерживающих продукт. Из трех брандмауэров CyberGuard хуже всего обеспечивает доступ в Internet с незарегистрированного или скрытого домена, да еще стоит в два раза дороже по сравнению с Gauntlet.
Глоссарий
Трансляция адреса - функция некоторых брандмауэров Internet, скрывающая внутренние IP-адреса от внешнего мира.
Аутентификация - процесс опознавания брандмауэром пользователя, пытающегося получить доступ в защищенную систему.
Хост-бастион - компьютер, занимающийся отражением атак на сеть. Обычно является компонентом брандмауэра; чаще всего на хост-бастионе работает какая-нибудь разновидность ОС общего назначения.
Domain Name System, DNS - протокол, переводящий осмысленные имена машин и узлов типа netpart.com в численные адреса для сетевых программ, которые отправляют по ним сообщения. Применяется также для маршрутизации электронной почты.
Двудомный хост - компьютер общего назначения, оснащенный по меньшей мере двумя сетевыми платами, подключенными к разным сетям. В брандмауэрах двудомный шлюз используется обычно для блокирования или фильтрации некоторой части (или всего) трафика, которым пытаются обмениваться защищенная и незащищенная сети.
Internet Scanner - сетевой сканер компании Internet Security Systems, применяемый администраторами сетей и специалистами по защите информации для обнаружения уязвимых мест системы безопасности сети.
Регистрация - процесс сохранения информации о событиях, происходящих в брандмауэре или сети.
Время хранения регистрационной информации (log retention) - время до удаления регистрационного файла.
Стратегия - список принятых в вашей организации правил использования компьютерных ресурсов, проведения процедур по безопасности и организации работы.
Фильтрация пакетов - процесс избирательного ограничения пропуска данных в сеть и из нее, для которого вы определяете ряд правил, описывающих, какие типы пакетов следует пропускать, а какие - нет. Фильтрация пакетов может происходить в маршрутизаторе, мосте или отдельном хосте. Иногда ее называют "просеиванием" (screening).
Сервер-посредник - посредники, получив запрос на соединение от пользователя, выясняют, разрешен ли данному IP-адресу доступ в шлюз, а затем устанавливают связь от имени запросившего c удаленным пунктом назначения. Большинство брандмауэров оснащены посредниками для нескольких протоколов, например FTP, HTTP и Telnet.
Security Administrator Tool for Analyzing Networks (Satan) - первый сетевой сканер. Инструмент, проверяющий вашу сеть на наличие уязвимых мест. Противники устройства утверждают, что Satan может быть легко использован хакерами для определения слабых мест его узла, который они хотят атаковать.
SMTP (Simple Mail Transfer Protocol) - стандартный протокол для обмена сообщениями по Internet, применяемый при передаче электронной почты. Большинство брандмауэров для Internet снабжены посредниками, поддерживающими этот протокол.
TCP (Transmission Control Protocol) - часть основного протокола для Internet - TCP/IP. TCP - это ориентированный на соединение протокол транспортного уровня. Он обеспечивает надежную, последовательную и недублируемую доставку данных удаленным и локальным пользователям. TCP гарантирует надежный обмен потоками данных между парными процессами в хостах, подключенных к взаимосвязанным сетям.