Все брандмауэры выполняют одну и ту же задачу - защищают внутренние ресурсы от внешних атак. Но какой тип брандмауэра - наилучший для вашей сети?
Если вы собираетесь открыть свою сеть для внешнего мира - установив сервер Web, введя электронную коммерцию или предоставив бизнес-партнерам и заказчикам доступ к сетевым ресурсам, то наверняка знаете, что вам нужен хороший брандмауэр. Но какой именно?
Какой брандмауэр вы в конечном итоге выберете, зависит главным образом от принятой в вашей организации политики безопасности. Вообще говоря, чем жестче правила безопасности, тем больше функций контроля брандмауэр должен выполнять. Помните, однако, что производительность и надежность брандмауэра находятся во взаимообратном соотношении.
Брандмауэр располагается на границе сети и регулирует доступ к корпоративным ресурсам. Это устройство анализирует и собирает информацию о внешних по отношению к сети пакетах и сеансах (в зависимости от типа брандмауэра). Отвечающий принятой политике безопасности брандмауэр пропустит или не пропустит конкретный пакет и позволит или не позволит организовать конкретный сеанс в соответствии с принятыми правилами.
Проблема выбора брандмауэра в том, что различия между продуктами, производителями и технологиями стали стираться. Несколько лет назад, когда брандмауэры производили не более десятка компаний, выбор был намного проще; но теперь, когда многие десятки поставщиков предлагают брандмауэры того или иного типа, путаница в умах профессионалов и экспертов в области сетей и защиты вполне объяснима.
Брандмауэры можно разделить на три основные категории: фильтры пакетов, механизмы контекстной проверки и шлюзы уровня приложений (известные так же, как посредники, или proxy). При выборе важно помнить, что, хотя все брандмауэры выполняют по сути одни и те же основные функции, механизмы их выполнения принципиально отличны друг от друга. Но чтобы понять эти различия, читатель должен вначале познакомиться с базовыми технологиями фильтрации пакетов, контекстной проверки и посредничества.
ФИЛЬТРЫ ПАКЕТОВ
Фильтры пакетов анализируют поля поступающих IP-пакетов и затем пропускают или удаляют их в зависимости от принятых правил. Решение о пропуске или удалении пакета принимается в соответствии с несколькими критериями, в том числе в зависимости от IP-адреса отправителя/получателя, высокоуровневого протокола (например, TCP или UDP), номеров портов отправителя/получателя TCP или UDP.
Исторически реализуемые на маршрутизаторах, фильтры пакетов анализируют пакеты на сетевом (третьем) уровне модели OSI и, таким образом, независимы от приложений (см. Рисунок 1).
Фильтр анализирует пакеты на сетевом уровне независимо от приложения. Благодаря этому он обеспечивает высокую производительность, правда, может пропустить атаку на уровне приложения.
Не будучи привязаны к приложениям, фильтры пакетов обеспечивают хорошую производительность. Но из-за того, что они ничего не знают о приложениях и не в состоянии понять суть конкретного сеанса связи, фильтры пакетов уязвимы для хакеров, так как последние могут организовать атаку на уровне приложений.
Фильтр пакетов проверяет только заголовок пакета, но не данные внутри него. Как правило, фильтры пакетов не являются коммерческими продуктами, однако многие из имеющихся на рынке маршрутизаторов выполняют те же функции. Очень часто фильтры пакетов создаются теми, кто реализует защиту своей сети самостоятельно.
КОНТЕКСТНАЯ ПРОВЕРКА
Фильтры обрабатывают пакеты очень быстро, но их вряд ли можно признать идеальным средством защиты, так как они просматривают только некоторые поля в заголовке пакета.
Другим типом технологии брандмауэра, пионером в разработке которой была компания CheckPoint Software, является контекстная проверка сеансов между клиентами и серверами. Не ограничиваясь фильтрацией, брандмауэры этого типа перехватывают пакеты на сетевом уровне и принимают решения на основании высокоуровневой информации.
Технологии проверки Firewall-1 компании CheckPoint Software и PIX компании Cisco Systems берут свое начало от фильтров пакетов, но, в отличие от них, анализируют некоторые данные в пакете. В случае Firewall-1 проверяющий механизм Inspect Engine загружается в ядро операционной системы между вторым и третьим уровнем. Такое его положение гарантирует, что все входящие и исходящие пакеты будут перехвачены и что ничего не произойдет, пока механизм не проверит соответствие пакета принятым правилам (см. Рисунок 2).
Брандмауэры с контекстной проверкой могут интеллектуально отслеживать пакеты и сеансы между клиентом и сервером. Брандмауэры этого типа просматривают пакеты на сетевом уровне для получения необходимой для принятия решений в области защиты информации. Эта информация сохраняется и используется при последующих попытках соединения.
Данные подразделяются на "хорошие" (данные, которые правила безопасности разрешают пропустить), "плохие" (данные, которые правила безопасности запрещают пропускать) и "неизвестные" (данные, для которых никаких правил не определено). Брандмауэр с контекстной проверкой обрабатывает их следующим образом: данные, признаваемые хорошими, пропускаются; данные, признаваемые плохими, изымаются, а неизвестные данные фильтруются, т. е. по отношению к ним брандмауэр действует как фильтр пакетов.
Пользователи должны помнить, что если они определяют новый сервис, а брандмауэр не имеет соответствующего модуля проверки данных, то по отношению к этому новому сервису брандмауэр будет действовать только как фильтр пакетов.
С совершенствованием технологии данная модель становится все более полной. Изначально технология имела менее надежную модель безопасности в том, что касается обработки трафика, но с обнаружением новых хаков и модификацией программного обеспечения для защиты от них технология проверки надежно укрепляется.
В некоторых ситуациях контекстная проверка может вступить в противоречие с принятой моделью безопасности, в этом случае все зависит от целей бизнеса. Несмотря на то что эта технология может представляться недостаточной для многих компаний, где приняты жесткие меры информационной защиты, она выполняет поставленные перед ней задачи в ситуациях, когда требования бизнеса, в частности необходимость связи с внешним миром, заставляют отступить от некоторых чересчур строгих правил безопасности (и такая ситуация довольно типична).
Одной из функций брандмауэров данного типа является трансляция адресов. Она позволяет организации скрыть внутренние IP-адреса, так что извне виден только один адрес. Другие черты этой технологии - собственно проверка данных с анализом содержимого поля данных, удобство использования и высокая производительность. UDP - один из типов трафика, про который часто забывают, потому что этот протокол не предусматривает установления соединения и, таким образом, не учитывается при определении производительности. Кроме того, UDP не имеет контекста.
Удобством использования технология контекстной проверки превосходит все другие. Обычно с появлением брандмауэра администратор получает возможность видеть, какой трафик проходит через сеть. При поступлении предупреждения брандмауэры с контекстной проверкой позволяют пользователю открыть порт(-ы) сервиса и пропустить данные. Вряд ли это хорошая модель защиты, но такое поведение встречается гораздо чаще, чем люди готовы признать. Сила этой модели в быстроте проверки приложения.
Еще одной сильной стороной технологии контекстной проверки является реальная пропускная способность. Скептики утверждают, хотя и без успеха, что технологии проверки быстрее, потому что они не анализируют все уровни стека IP. Правда же в том, что при измерении производительности учитывать приходится множество факторов.
КРУПНЫМ ПЛАНОМ
Среди брандмауэров с контекстной проверкой наибольшим вниманием пользуются два продукта: Firewall-1 компании CheckPoint Software и PIX компании Cisco. Оба они реализуют одну и ту же базовую технологию, а отличаются, главным образом, второстепенными деталями: операционной системой, поддержкой, удобством использования (пользовательским интерфейсом). Кроме того, Firewall-1 - это целиком программное решение, в то время как PIX представляет собой аппаратно-программный комплекс.
PIX опирается на Internetwork Operating System (IOS) компании Cisco, выполняемую на маршрутизаторах производства этой компании. По утверждению Cisco, вся обработка осуществляется во флэш-памяти, а это исключает необходимость в записи на диск, каковая может отнимать много времени в крупной среде.
При сравнении Firewall-1 с PIX первое, что бросается в глаза, - это различие в поддержке операционных систем. Firewall-1 работает в системах UNIX и NT. Возможность внедрения кода Firewall-1 в операционную систему маршрутизатора позволяет компаниям с не слишком строгими требованиями к безопасности получить вполне жизнеспособное решение. Firewall-1 не укрепляет операционную систему в процессе инсталляции; укрепление ОС означает удаление неблагонадежных сервисов, установку последних заплаток к ОС и отключение таких процессов, как ретрансляция IP-пакетов.
Кроме того, пользовательский интерфейс Firewall-1 хорошо известен и получил несколько наград за последние несколько лет. Это одна из наиболее сильных сторон продукта. Брандмауэр может реализовать практически любой: все, что необходимо, - минимальные знания о том, как работает продукт и что собой представляет операционная система. Такая простота имеет и оборотную сторону, так как защиту сети следует тщательно продумать и спланировать. Тем не менее данный продукт с его интуитивным пользовательским интерфейсом позволяет защититься от большинства известных атак.
Среди других продуктов этого типа - Guardian Firewall for NT компании Lanoptics и Firewall Plus компании Network-1 Software and Technology.
ШЛЮЗЫ УРОВНЯ ПРИЛОЖЕНИЙ И ПОСРЕДНИКИ
Технология посредников кардинальным образом отличается от технологий фильтрации/проверки. Игроками в этом сегменте рынка являются Trusted Information Systems, Raptor Systems, Secure Computing, Digital Equipment и др.
Данная технология основана, как следует из названия, на использовании посредника, принимающего и организующего соединения по поручению клиента (см. Рисунок 3). Следствием этого являются дополнительные накладные расходы на обслуживание соединения, потому-то в подобных решениях эффективность операционной системы так важна. Нижележащая операционная система должна поддерживать все соединения. Чтобы брандмауэр с посредником мог обслуживать большое количество соединений, операционная система должна быть эффективной.
Шлюзы уровня приложений или посредники выступают в качестве промежуточного звена передачи пакетов между сервером и клиентом. Вначале устанавливается соединение с посредником, а уже затем он решает: создавать соединение с адресатом, или нет.
Брандмауэры с посредником обычно защищают соединения TCP посредством дублирования любого разрешенного соединения. Трафик UDP использовать в среде с посредниками не рекомендуется; при необходимости он обслуживается транслятором UDP.
Кроме того, многие производители брандмауэров предпочитают производить настройку операционной системы в целях увеличения производительности, каковая невозможна без доступа к исходному коду ОС. Это является одной из причин того, что многие эксперты в области брандмауэров рекомендуют брандмауэры для UNIX, а не для NT.
Хорошо написанный посредник задействует подмножество прикладных программ для конкретного протокола. Использование этого подмножества команд является одной из причин высокой надежности данной модели. "Все, что явным образом не разрешено, запрещено" - справедливо не только для политики безопасности в целом, но и для посредника в частности. Базовые необходимые команды разрешены, тем не менее некоторые отладочные команды, а также команды сбора информации могут оказаться запрещены. Разрешены только команды, необходимые для выполнения "обычной" транзакции. В противном случае команда блокируется.
Особенностями хороших посредников являются минимальное кодирование, минимальный набор команд (подмножество прикладных команд) и трансляция адресов. Чем меньше объем кода и у,же набор команд, тем меньше вероятность оставить лазейку хакеру.
Трансляция адресов вызвана тем, что посредники создают новое соединение каждый раз, когда они активизируются. Посредник принимает запрос и затем инициирует новый запрос к серверу; поэтому сервер воспринимает запрос как исходящий от посредника, а не от действительного клиента. Трансляция адреса - это преобразование нескольких адресов в один, так как каждое соединение между клиентом и целевым сервером состоит в действительности из двух соединений.
Если мы обратимся к вышеизложенной классификации данных, то придем к следующим результатам: хорошие данные допускаются в сеть, но через новое отдельное соединение, плохие данные изымаются, впрочем, как и неизвестные (когда посредник хорошо написан). Эти правила не относятся, правда, к собственно посредникам, так как они пропускают в сеть неизвестные данные. Собственно посредники отличаются от специфических шлюзов приложений тем, что они не проверяют содержащиеся в пакете данные.
Решения на базе посредников обеспечивают так называемую защиту по периметру. Вместо того чтобы защищать все хосты, концепция "защиты по периметру" предусматривает укрепление защиты нескольких из них, так как посредник берет на себя защиту находящихся за ним хостов. Это неверная предпосылка, так как часто защита нарушается изнутри. Однако загруженным администраторам, не имеющим времени изучать последние обнаруженные в защите лазейки в различных операционных системах, встречающихся в гетерогенной среде, защита по периметру поможет на какое-то время предотвратить проникновение посторонних в сеть.
КРАТКИЙ ОБЗОР ПРОДУКТОВ
При сравнении технологий на базе посредников дискуссия разворачивается обычно вокруг нескольких продуктов: Gauntlet Internet Firewall (GIF) компании Trusted Information Systems, Eagle компании Raptor и Sidewinder компании Secure Computing. Все продукты опираются на одну и ту же базовую технологию в выполнении функций посредника, но они отличаются ОС, поддержкой и удобством использования.
GIF компании Trusted Information Systems работает под управлением UNIX (BSD - или BSD/OS - Solaris, и HP-UX) и NT. Состав поддерживаемых посредников зависит от операционной системы. Посредник SQLNet для Oracle поддерживается в Solaris и HP-UX. В 1997 году TIS представила для Gauntlet графический пользовательский интерфейс на базе Java, намного упрощающий администрирование для менее опытных пользователей. Весьма сильным продуктом делают GIF две его отличительные особенности. Первая - то, каким образом Gauntlet обрабатывает почту: он использует механизм посреднических услуг с промежуточным хранением, благодаря чему пользователи получают большую гибкость в обработке почты без ослабления модели защиты. Вторая отличительная особенность - в том, что функции системного администрирования, например проверка целостности и резервирование, встроены в продукт и легко вызываются.
Eagle компании Raptor весьма схож с GIF, однако он выполняется на Solaris и NT, причем NT является основной платформой. Операционная система укрепляется в процессе установки Eagle.
Raptor недавно объединилась с компанией Axent, которая, помимо прочих, выпускала продукт для однократной регистрации, в результате Raptor получила уникальную возможность стать первым производителем брандмауэров с поддержкой однократной регистрации. Eagle использует посредников для различных сервисов. Кроме того, Eagle не имеет функций администрирования системы, однако предусматривает функцию проверки файловой системы на предмет несанкционированного изменения старых (осуществляемого не через графический интерфейс) и появления новых файлов. По существу эта функция позволяет проверять целостность системы.
Sidewinder от Secure Computing использует посредников и укрепляет операционную систему в процессе установки. Однако она идет на шаг дальше: операционная система (модифицированная BSD/OS 2.1) задействует Domain Type Enforcement (DTE). Это позволяет разбить операционную систему на области (домены) для каждого интерфейса, а связь между областями осуществлять с помощью посредников. Теоретически эта идея выглядит неуязвимой с точки зрения защиты. Однако хорошо написанный посредник не должен иметь брешей, поэтому пользователю никогда не следует обращаться к домену операционной системы за услугой. Обработка электронной почты осуществляется в соответствии с защитой на базе DTE. Пользовательский интерфейс вполне понятен, но он не столь интуитивен, как у GIF или Eagle.
Читателю следует помнить, что некоторые производители обеспечивают дополнительную защиту с помощью операционной системы. Secure Computing, например, использует DTE. При всей привлекательности этой функции пользователям следует тем не менее относиться к этой технологии с осторожностью, поскольку посредников никогда не стоит применять для обеспечения доступа к операционной системе. Некоторые даже предпочитают, чтобы брандмауэр разрывал все соединения и блокировал доступ в случае компрометации сервиса.
А ПОСТАВЩИКИ КТО?
Вне зависимости от того, какую технологию вы выберете, вопрос "кто ее предлагает?" наверняка будет иметь немаловажное значение. Покупатели склонны обращать внимание на репутацию и послужной список продавца, поэтому многие поставщики брандмауэров не задумываясь афишируют возраст своей компании. Если за новыми технологиями Internet люди обращаются часто к молодым мобильным компаниям, то защита - это совсем другое дело. Здесь консерватизм играет большую роль. Заказчики хотят быть уверены в том, что продукт будет поддерживаться и завтра и что создатели продукта не являются дилетантами.
Конечно, такого рода консерватизм не способствует появлению новых идей. Если технология, например посредник, доказала свою надежность, то это еще не означает, что ее нельзя улучшить. Поэтому мне так любопытно наблюдать за развитием технологий проверки. Производители брандмауэров с контекстной проверкой постоянно пытаются усовершенствовать свою модель безопасности. Разработчики посредников имеют готовую формулу и просто применяют ее ко всем приложениям, если они, по их мнению, того заслуживают. Эта область нуждается в свежем взгляде, иначе технологии посредников грозит застой.
Кроме того, один тот факт, что компания занимается этим бизнесом уже многие годы, еще не гарантирует, что ее продукт столь уж хорош. Некоторые поставщики говорят, сколько лет они занимаются защитой, но молчат о своем реальном опыте в защите сетей. Знать, как защитить операционную систему, весьма важно, но это только один из компонентов защиты брандмауэров. Понимать, как защитить соединение, не менее важно.
В некоторых случаях все, что имеет производитель, - это опыт маркетинга. Например, когда Cisco решила выйти на рынок брандмауэров с PIX, пробивная сила маркетинга Cisco вместе с репутацией, которую компания завоевала на рынке маршрутизаторов, мгновенно сделали ее одной из самых заметных фигур на рынке брандмауэров. И при этом заметьте, мы еще даже не упомянули о технологии. Аналогично TIS акцентирует тот факт, что она занимается информационной защитой уже 14 лет. Несмотря на то что компания несомненно накопила определенный опыт, это обстоятельство еще не гарантирует, что ее опыт был адекватно воплощен в брандмауэре. Не стесняйтесь задавать вопросы, пока не убедитесь в достаточной компетенции производителя.
И еще одно замечание относительно производителей. Многие из крупнейших поставщиков брандмауэров вышли на рынок со своими предложениями не далее как два года назад. Данное обстоятельство может оказаться немаловажным, если создатели продукта просто решили застолбить себе место и переключились на другие области деятельности. В этом случае отвечающие в компании за продукт люди могут оказаться консерваторами по духу. Мы вовсе не хотим этими своими утверждениями бросить тень на производителей брандмауэров, а хотели предупредить покупателя о такой опасности.
ВОПРОСЫ ИНТЕРОПЕРАБЕЛЬНОСТИ
Брандмауэрам еще предстоит научиться взаимодействовать друг с другом. Это обстоятельство отчасти связано с тем, что каждый производитель лелеет надежду, что именно его продукт захватит рынок. Как следствие, одним брандмауэром нельзя управлять с помощью другого. Мне думается, что появление общего интерфейса управления для различных брандмауэров в каком-либо продукте администрирования сети/UNIX гораздо более вероятно. Кроме того, всякий брандмауэр обладает механизмом управления несколькими одинаковыми брандмауэрами.
Virtual Private Network (VPN) и IP Security (IPSec) дают надежду на скорую интероперабельность. Совместимость с IPSec позволит различным брандмауэрам организовать частную виртуальную сеть с шифрованием трафика. Однако реализация данной функции должна быть тщательно продумана и спланирована. Производители брандмауэров пытаются выделить свои продукты на фоне прочих различными путями, в том числе выбором операционной системы. Однако попытка использовать эти продукты совместно чревата риском выбора в виртуальной частной сети слабейшей стратегии защиты в результате их смешения.
Несмотря на отсутствие в настоящее время реальной альтернативы, коммерческие брандмауэры могут быть тем не менее дополнены несколькими технологиями. Такой потенциал имеют технологии мониторинга и обнаружения проникновения в сеть. Двумя наиболее популярными из них являются RealSecure от Internet Security Systems и NetRanger от WheelGroup.
Хорошее средство мониторинга должно быть частью брандмауэра, а не его заменой. В некоторых случаях простой фильтр пакетов вкупе с продуктом для мониторинга может оказаться достаточным решением. В других случаях продукт для мониторинга должен располагаться позади брандмауэра. Это, главным образом, вопрос архитектуры. Продукт должен по крайней мере иметь возможность обнаруживать определенные подозрительные действия (сигнатуры).
Некоторые производители заявляют, что при обнаружении сигнатуры их продукты могут разрывать соединение, таким образом необходимость в брандмауэре отпадает. Разве? Не лучше ли вообще не допускать злоумышленника на порог, чем потом пытаться его выдворить? Это все равно что хранить дома ружье для защиты от грабителей и не запирать входную дверь. Запирайте двери и закрывайте окна, установите сигнализацию и храните бдительность, тогда враг не сможет проникнуть в вашу сеть.
Чер Сэмпл - независимый консультант, она принимала участие в разработке Gauntlet Internet Firewall. С ней можно связаться по адресу: keithcha@clark.net.