Ущерб от атаки на вашу сеть профессионального «взломщика» может многократно превысить не только стоимость вашей системы безопасности, но и всей информационной сети.
Главной сдерживающей причиной развития Internet-торговли как эксперты, так и пользователи Internet считают недоверие потенциальных покупателей к безопасности обмена конфиденциальной информацией в сети. И для этого есть все основания. Попробуйте поставить на свой домашний компьютер персональный межсетевой экран, и вы увидите, что даже при простом коммутируемом подключении к Internet с динамически выделяемым IP-адресом он подвергается по крайней мере одной атаке за каждые несколько часов работы в сети. Можете представить, какое интенсивное давление испытывают корпоративные информационные системы, круглосуточно подключенные к Internet и имеющие постоянные, легко определяемые IP-адреса. Даже в спокойные дни число атак может исчисляться десятками.
Над решением этой проблемы работает целая отрасль средств информационной безопасности. Она сформировала типовые процедуры построения защищенной корпоративной сети и разработала множество специализированных программных средств защиты. Самые распространенные среди них — межсетевые экраны, или брандмауэры. За время своего развития они прошли путь от простых фильтров пакетов к сложным модульным системам, поддерживающим объектную модель распределенной системы защиты.
При выборе межсетевого экрана и построении на его основе системы обороны необходимо четко уяснить для себя, от чего вы будете защищаться. Условно все атаки делятся на внешние и внутренние. По мере проникновения Internet в повседневную деятельность компаний доля внешних атак постоянно увеличивается. Наибольшую часть составляют в них вирусные атаки, в то время как спланированные вторжения хакеров, как любителей, так и профессионалов, происходят гораздо реже, хотя ущерб от их деятельности может многократно превзойти не только стоимость средств безопасности, но и всей вашей информационной системы.
Межсетевые экраны предназначены в первую очередь для защиты от внешних атак, но могут использоваться и внутри корпоративной сети между различными подразделениями. В этой статье мы рассмотрим их общие черты и особенности некоторых конкретных, наиболее популярных на отечественном рынке решений.
КОМПЛЕКСНАЯ СИСТЕМА ЗАЩИТЫ
Сколь бы ни был эффективен межсетевой экран, его одного недостаточно для надежного заслона сети от угроз извне. За последние несколько лет выработаны организационные принципы построения защищенной сети. Перечислим основные.
- Система защиты должна строиться комплексно. Нельзя просто купить межсетевой экран и установить его с параметрами по умолчанию. Однако помимо конфигурации экрана придется продумать и сформулировать множество вопросов: от правил назначения и изменения паролей до физической защиты кабельных каналов, в том числе находящихся за пределами вашего офиса.
- Система должна быть распределенной. Сколь бы надежным ни был ваш межсетевой экран, защищенная сеть не может держаться на единственной точке контроля. В крупных сетях приходится устанавливать несколько взаимодействующих между собой экранов, а системы обнаружения атак состоят из множества программных агентов, расположенных на всех узлах сети: от маршрутизаторов до отдельных рабочих станций.
- Система должна быть избыточна за счет применения компонентов разных изготовителей. Каждый поставщик межсетевых экранов рекламирует исключительное качество своей продукции, но всегда следует помнить, что у любого технически сложного продукта, к которым относятся и экраны, всегда есть как сильные, так и слабые стороны, тем более при решении столь многопараметрической задачи, как построение защищенной сети. Поэтому наилучший вариант - комбинирование предложений разных производителей, чтобы они компенсировали недостатки друг друга.
Главным инструментом при организации защищенной сети должен стать документ «Политика безопасности предприятия». Без его детальной проработки невозможно выбрать достаточный комплект средств защиты и правильно их настроить. Здесь должны быть взаимоувязаны как организационные, так и технические решения. Это сложный документ, поэтому лучше, если вы привлечете для его составления профессионалов. Использование внешних независимых исполнителей, имеющих соответствующие сертификаты, — общий принцип создания устойчивой системы защиты.
Учитывая сложность и многовариантность задачи построения защищенной сети, вряд ли какая-либо типовая архитектура окажется приемлемой для любой организации. С учетом изложенных выше принципов, на Рисунке 1 приведена возможная структура системы защиты информации среднего по масштабам предприятия. Предлагаемый вариант не претендует на полноту, но тем не менее в нем отражены наиболее важные компоненты распределенной системы защиты. Как видим, основная роль в обеспечении безопасности отводится межсетевым экранам, возможно, установленным в нескольких местах сети. Средства обнаружения атак и VPN также входят в комплекты поставок большинства коммерческих версий межсетевых экранов.
КИРПИЧНАЯ СТЕНА
Межсетевые экраны (брандмауэры) могут быть программными или аппаратно-программными. Последний вариант не что иное как специализированный компьютер, нередко под управлением Linux, в котором отсутствуют все функции, не существенные для выполнения основной задачи — контроля проходящего трафика. Особый случай — решение компании Cisco Systems, которое компания предлагает в качестве программного межсетевого экрана, хотя фактически он может работать лишь под управлением специализированной операционной системы Cisco PIX/OS и только на оборудовании компании Cisco Systems. Надо отметить, что это наиболее популярное решение, ему принадлежит бо/льшая часть рынка профессиональных средств защиты.
Все остальные программные межсетевые экраны могут работать под управлением стандартных операционных систем. Наиболее распространены продукты для различных версий UNIX и Windows NT/2000. Их выпускают такие компании, как Check Point, Symantec, Microsoft, Jet Infosystems и др. В последних версиях программных межсетевых экранов неотъемлемой составляющей стали средства активного контроля попыток нарушения политики безопасности извне и изнутри корпоративной сети. Эти функции обычно реализуются с помощью набора программ-агентов, устанавливаемых в выбранных сетевых узлах — как на серверах, так и на рабочих станциях. Среди новых функций межсетевых экранов можно отметить и появление в некоторых из них средств обнаружения потенциальных брешей в защите сети и средств моделирования вторжений.
Таким образом, любой межсетевой экран можно представить в виде совокупности последовательно соединенных фильтров, каждый из которых реализует подмножество правил контроля для заданного уровня стека TCP/IP, и комплекта дополнительных автономных функциональных модулей, необходимых для повышения уровня защиты сети.
КАСКАД ФИЛЬТРОВ
Исторически архитектура межсетевых экранов развивалась от простых фильтров пакетов к «интеллектуальным» системам, анализирующим трафик на все более высоких уровнях сетевой модели. В настоящее время в большинстве современных моделей межсетевых экранов функции фильтрации трафика обеспечиваются для всех уровней.
Как и в других областях сетевых технологий, построение систем обеспечения безопасности ведется на основе специально разработанных открытых стандартов. Наибольшее распространение получила открытая платформа для защищенных корпоративных коммуникаций (Open Platform for Secure Enterprise Connectivity, OPSEC), предложенная компанией Check Point в 1997 г. и поддерживаемая более чем 200 производителями, объединенными в организацию OPSEC Alliance. Этот стандарт описывает протокол, с помощью которого компании-разработчики могут подключать к межсетевым экранам внешние модули для реализации специфических алгоритмов фильтрации трафика. Одним из основных принципов построения таких сетей, как уже говорилось ранее, является использование взаимодополняющих продуктов разных производителей. Выбор компонентов, удовлетворяющих требованиям OPSEC и поддерживающих стандартные технологии, перечисленные выше, позволяет применить этот принцип на практике. В зависимости от используемой технологии фильтрации трафика межсетевые экраны можно разделить на четыре основных типа: пакетные фильтры (packet filter), фильтры с контекстной проверкой, шлюзы уровня соединения (circuit gateways) и шлюзы прикладного уровня (application gateways). В присутствующих на рынке популярных моделях межсетевых экранов реализованы в той или иной степени все типы фильтров.
Фильтры пакетов. Межсетевые экраны с пакетными фильтрами принимают решение о пропуске очередного пакета IP на основе информации из его заголовка, состояния флагов или номера портов TCP. Можно сказать, что фильтры этого типа отслеживают информацию сетевого и транспортного уровней, но использование для анализа номеров портов, обычно ассоциируемых с конкретными сервисами, позволяет устанавливать правила контроля и на прикладном уровне. Подобные фильтры привлекают сравнительно невысокой стоимостью и малой задержкой при прохождении пакетов. К недостаткам следует отнести то, что локальная сеть остается «видимой» из Internet, правила фильтрации трудны в описании и для понимания требуют хороших знаний протоколов TCP и UDP. Возможность аутентификации на пользовательском уровне отсутствует, а аутентификацию с помощью IP-адреса можно обойти, подставляя при атаке другой IP-адрес.
Фильтры с контекстной проверкой. Фильтры пакетов просматривают только некоторые поля пакетов IP, поэтому их нельзя признать достаточным средством защиты. Компания Check Point Software предложила и широко применяет в своих продуктах контекстную проверку сеансов между клиентами и серверами. Межсетевые экраны этого типа анализируют пакеты на сетевом уровне и принимают решение на основе высокоуровневой информации о данных в пакете. Все пакеты делятся на три категории: «хорошие», беспрепятственно пропускаемые, в соответствии с правилами безопасности; «плохие», не удовлетворяющие правилам безопасности и просто отбрасываемые; и «неизвестные» — для них не определены конкретные правила безопасности. Неизвестные пакеты фильтруются через межсетевой экран, как через обычный фильтр пакетов.
Шлюзы уровня соединения. Такие шлюзы работают как транслятор соединения TCP. Пользователь связывается с конкретным портом на межсетевом экране, а тот в свою очередь устанавливает соединение с адресатом за пределами «демилитаризованной зоны». После открытия сеанса все пакеты передаются в обоих направлениях без дополнительного анализа. Обычно адресат задается заранее, а источников может быть много. Администратор может создавать различные конфигурации с разными наборами портов. Подобный вариант межсетевого экрана позволяет организовать «транслятор» для конкретных сервисов на базе протокола TCP/IP и осуществлять полный контроль за доступом к этому сервису, а также сбор необходимой статистики по его использованию. Как правило, он применяется для построения виртуальных частных сетей (Virtual Private Network, VPN) и установления связи с их помощью между удаленными офисами через общедоступную сеть Internet, что позволяет значительно сократить расходы на аренду выделенных каналов.
Шлюзы прикладного уровня. Они обеспечивают контроль за работой конкретных сервисов — telnet, ftp, HTTP и др., причем запускаются непосредственно под управлением межсетевого экрана и обрабатывают весь предназначенный им трафик. Это означает, что между клиентом и сервером образуются два соединения прикладного уровня: от клиента до межсетевого экрана и от межсетевого экрана до сервера. Набор поддерживаемых сервисов зависит от версии межсетевого экрана. С помощью шлюзов прикладного уровня удается решить важную задачу — полностью скрыть от внешнего мира структуру внутренней сети предприятия, включая информацию о заголовках почтовых пакетов или службы доменных имен. Еще одним достоинством такого решения является открывающаяся возможность централизованной аутентификации пользователей, впрочем она также может быть реализована и в фильтрах с контекстной проверкой. В создаваемые правила доступа можно включать следующие параметры: имя пользователя; разрешенный период времени доступа к определенному сервису; компьютер, с которого указанный пользователь имеет право обращаться к сервису; схемы аутентификации. Таким образом, шлюзы прикладного уровня обеспечивают наиболее высокий уровень защиты, так как взаимодействие с внешним миром полностью контролируется небольшим числом прикладных сервисов с проверкой на соответствие правилам безопасности всего входящего и исходящего трафика.
К сожалению, системы подобного типа наиболее дороги, а их производительность ниже, чем у простых фильтров пакетов. Поскольку такие шлюзы работают на уровне приложений, то задержки на обработку трафика могут существенно замедлить скорость доступа в Internet. Поэтому для их применения понадобятся дополнительные средства для повышения мощности сервера, на котором работает межсетевой экран, — такова плата за высокую надежность защиты. Кроме того, шлюзу приложений требуется отдельный подключаемый модуль для каждого сетевого сервиса. Это означает, что при появлении новой версии какого-либо приложения она должна быть загружена в межсетевой экран. Следует отметить, что в шлюзах указанного типа приходится открывать для внешнего доступа порты IP, соответствующие установленным на них прикладным системам, что делает их потенциально подверженным атакам по типу DoS.
ДОПОЛНИТЕЛЬНАЯ ФУНКЦИОНАЛЬНОСТЬ
Помимо основной функции фильтрации трафика, межсетевые экраны выполняют, как правило, следующие дополнительные функции.
- Осуществление идентификации пользователей, хостов и, возможно, маршрутов. В литературе по безопасности эта задача известна как AAA (Authentication, Authorization, Accounting). Идентификация должна предотвратить угрозу так называемого "маскарада" (spoofing), при котором нападающий с помощью подстановки чужих адресов пытается скрыть источник проникновения.
- Гарантия целостности данных при их передаче через межсетевой экран. Контроль целостности позволяет обеспечить защиту от прослушивания трафика и манипуляции вашими данными. Для этого в межсетевых экранах широко используются различные криптографические методы.
- Активная проверка позволяет постоянно контролировать точное выполнение правил безопасности и на их основе своевременно обнаруживать и пресекать попытки вторжения.
В надежном межсетевом экране должны быть реализованы в какой-либо форме все три функции, или, по крайней мере, обеспечена их поддержка в операционной системе либо специализированных продуктах.
ААА. Для идентификации пользователей, компьютеров и различных служб традиционно применяются пароли. Но для обеспечения достаточного уровня защиты их приходится часто менять. Стикер с паролем, приклеенный к монитору, нередко используется в качестве иллюстрации беспечности пользователей. При удаленном доступе пользователей к демилитаризованной зоне применяются средства проверки паролей протокола PPP. Это широко известные протокол аутентификации по паролю (Password Authentication Protocol, PAP) и протокол аутентификации по квитированию вызова (Challenge Handshake Autenfication Protocol, CHAP). Им на смену должен прийти расширенный протокол аутентификации (Extensible Authentication Protocol, EAP), но он до сих пор находится в стадии разработки. Поэтому если первые два поддерживаются всеми без исключения межсетевыми экранами, то поддержка EAP пока ограничена. Просмотрев протоколы отвергнутых атак на ваш сервер, подключенный к Internet, вы наверняка обнаружите многочисленные поползновения на вход с одного адреса с частотой до нескольких попыток в секунду. Это хакеры используют средства автоматизации для перебора паролей по базе их наиболее распространенных вариантов. Защиту от повторяющихся запросов обеспечивает протокол CHAP. А после массового перехода на протокол EAP надежность идентификации значительно возрастет, так как этот протокол позволяет выполнять всю процедуру в автоматическом режиме и не требует от пользователя ввода каких-либо данных.
Для защиты больших систем со значительным числом пользователей применяются более совершенные технологии идентификации, в частности протокол TACACS. В межсетевой экран Cisco PIX включена его расширенная версия. Протокол TACACS+ позволяет шифровать весь трафик, передаваемый между клиентом и сервером. Другой протокол идентификации RADIUS построен на технологии клиент/сервер и поддерживается межсетевыми экранами. В системе RADIUS функции идентификации и авторизации совмещены. Обмен любыми пользовательскими паролями между клиентом и сервером идет только в зашифрованном виде.
Межсетевой экран FireWall-1 компании Check Point контролирует доступ как для субъектов сети, так и отдельных пользователей или целых групп. Для них в правилах политики безопасности указываются допустимые методы аутентификации. Система управления доступом FireWall-1 тесно интегрирована с управлением виртуальными частными сетями FireWall-1/ VPN-1 и сервисом UAM, обеспечиваемым модулем MetaIP. Этот сервис помогает следить за IP-адресами субъектов сети и отображать атрибуты пользователей в защищенной сети на используемые ими IP-адреса. Интеграция средств защиты FireWall-1 с сервисом UAM системы MetaIP позволяет также реализовать принцип однократной регистрации, в том числе подключение пользователей через каналы VPN. Кроме поддержки перечисленных выше стандартных протоколов аутентификации модуль Account Management, входящий в состав FireWall-1/VPN-1, обеспечивает интеграцию с NDS и Active Directory через протокол LDAP, поэтому администратору не потребуется дублировать информацию об учетных записях пользователей.
Целостность данных. Для обеспечения целостности и конфиденциальности передаваемых данных все межсетевые экраны поддерживают различные методы шифрования трафика на транспортном уровне. Наиболее известны протоколы SSL и SSH. В последнее время SSL активно вытесняет ранее популярный протокол S-HTTP. Средство SOCKS позволяет приложениям клиент/сервер в доменах TCP и UDP безопасно обращаться к услугам межсетевого экрана. Целостность и конфиденциальность данных на сетевом уровне обеспечивает протокол IPSec. Для поддержки структуры безопасности на основе цифрового сертификата и приема/передачи общих ключей PKI межсетевые экраны должны соответствовать требованиям стандарта X.509.
Если предотвращение проникновения злоумышленников внутрь демилитаризованной зоны достигается благодаря исполнению межсетевым экраном политики безопасности, то для обеспечения целостности данных на этапе их передачи между удаленным пользователем и межсетевым экраном в последнее время все чаще применяются технологии виртуальных частных сетей, о которых уже много писалось в нашем журнале. Так как большинство удаленных пользователей до сих пор подсоединяются к корпоративным сетям с помощью модемного доступа, для их безопасного доступа используются модификации VPN для коммутируемых подключений. В разной степени технология VPN поддерживается во всех современных межсетевых экранах. Особенно полно она реализована в продуктах компаний Check Point и Cisco.
Для реализации VPN межсетевые экраны должны поддерживать протоколы L2F, PPTP и L2TP.
Протокол L2F разработан компанией Cisco Systems и обеспечивает туннелирование протоколов канального уровня с использованием протоколов более высокого уровня, например IP.
Сквозной туннельный протокол PPTP предложен компанией Microsoft. Он никак не затрагивает протокол PPP, а предоставляет для него новое транспортное средство. Сервер сети PPTP (PNS) должен работать под управлением операционной системы общего назначения.
Оба упомянутых выше протокола имеют схожую функциональность, поэтому компании Cisco Systems и Microsoft в рамках IETF согласились разработать стандартный протокол L2TP. По заявлениям обеих компаний, они не собираются отказываться от поддержки собственных протоколов и обеспечат безболезненный переход пользователей на новый протокол L2TP.
Активный аудит. Средства активного аудита присутствуют даже в персональных межсетевых экранах. Они делятся на две группы:
- обнаружение вторжений;
- обнаружение брешей путем активного тестирования сети.
Технологии активного аудита — неотъемлемая часть любого межсетевого экрана, не только уровня предприятия, но и даже персонального. Наиболее развитые модульные средства этого класса имеются в экранах компаний Cisco, Check Point и Symantec.
В продукции Cisco они представляют собой набор независимых компонентов, куда входят такие модули, как Netsys (для анализа соединений и планирования маршрутов и потоков данных) и NetSonar (для анализа уязвимости системы безопасности). Модуль NetSonar позволяет создать подробную картину топологии сети и составить электронную опись всех ее частей, после чего подготовить отчет об обнаруженных проблемах в архитектуре системы безопасности.
В комплект системы FireWall-1 компании Check Point включен продукт RealSecure для обнаружения вторжений в реальном времени. Его экспертная база в настоящее время содержит описания более 160 типовых видов атак. Средства интеграции с FireWall-1 позволяют динамически реконфигурировать правила политики безопасности при обнаружении вторжений. Одновременно администратор уведомляется об атаке, а запись о ней заносится в системный журнал. Система RealSecure построена по принципу клиент/сервер и состоит из множества сетевых агентов, устанавливаемых в точках контроля, и центрального RealSecure Engine. Дальнейшим развитием этой подсистемы должна стать разработка многочисленных микроагентов, которые будут встраиваться во все защищаемые компоненты сети — маршрутизаторы, коммутаторы и отдельные компьютеры.
Аналогичным образом построена система активного аудита компании Symantec. В числе ее составляющих модули Intruder Alert и NetProwler. Отличительная особенность пакета Intruder Alert заключается в применении технологии LiveUpdate, разработанной для обновления средств антивирусной защиты. Она позволяет оперативно обновлять базу данных с сигнатурами описаний различных типов атак, которые создаются в специальном центре компании Symantec в ответ на сообщения об обнаруженных брешах в популярном программном обеспечении. Intruder Alert тесно интегрирован с продуктом NetProwler. В NetProwler применена технология, известная как «виртуальный процессор контекстной динамической проверки сигнатур» (Stateful Dynamic Signature Inspection, SDSI). Она не только помогает оперативно предотвратить попытки несанкционированного проникновения в корпоративную сеть через множество известных и неизвестных брешей в системе безопасности, но и предоставляет администратору сети мастера описания сигнатур Attack Definition Wizard в качестве средства защиты корпоративных приложений и нейтрализации любых действий злоумышленников. NetProwler обеспечивает оперативное обнаружение сотен типов атак, связанных с известными узкими местами операционных систем и приложений.
СРАВНИТЕЛЬНЫЕ ХАРАКТЕРИСТИКИ
В зависимости от масштабов предприятия и особенностей политики безопасности оптимальными для вашей сети могут стать разные версии межсетевого экрана. При выборе надо учитывать:
- требования к функциональности;
- требования к масштабируемости;
- топологию информационной системы;
- доступность квалифицированных специалистов;
- бюджетные ограничения.
В следующих разделах сравниваются шесть рассматриваемых вариантов межсетевых экранов по соответствующим характеристикам.
В той или иной степени во всех современных межсетевых экранах реализованы ставшие уже традиционными функции, необходимые для построения защищенной сети. Но уровень реализации и ее особенности предоставляют широкий простор для выбора. Так, средства аутентификации в ISA Server 2000 полностью заимствованы из Active Directory, без которой продукт работать практически не может. В межсетевом экране компании Check Point эти функции представлены в виде отдельного компонента, полностью и прозрачно для пользователей подменяющего стандартные средства операционной системы. Решение компании Cisco основано на возможностях ее программно-аппаратной платформы маршрутизации и обладает одним из самых высоких уровней надежности, но за это приходится платить большую цену.
Традиционные функции фильтрации на уровне пакетов и приложений реализованы во всех межсетевых экранах, даже в персональном межсетевом экране Norton Internet Security 2002 компании Symantec присутствует полный комплект фильтров.
Из отечественных продуктов, сравнимых по функциональным возможностям с продукцией лидеров этого рынка, можно пока назвать только межсетевой экран «Застава-Джет» компании Jet Infosystems. Как и аналогичный продукт компании Cisco, он поставляется в виде аппаратно-программного комплекса, но рассчитан на стандартное оборудование компании Sun и работает под управлением операционной системы Solaris. В его состав входят как полный набор фильтров, так и шлюзы приложений, средства аутентификации и оповещения о нарушении правил политики безопасности. К недостаткам можно отнести меньшую масштабируемость при защите больших распределенных систем.
Сложнее со средствами обнаружения вторжений. В том или ином виде они имеются во всех межсетевых экранах, но значительно различаются по надежности и модульности. Достаточно сказать, что даже в персональном экране компании Symantec, а тем более в Symantec Enterprise Firewall реализована технология LiveUpdate. Она позволяет практически в реальном времени обновлять не только сигнатуры вирусов, включая и «троянских коней», но и сигнатуры типовых атак, в том числе на последние обнаруженные бреши в установленном вами прикладном программном обеспечении. Кроме того, с помощью данной функции можно обновить и функциональные модули собственно системы защиты (все перечисленное — путем нажатия одной кнопки), что обеспечивает наивысший уровень актуальности защиты по сравнению с конкурентами. Так, например, оперативность обновлений Microsoft ISA Server 2000 ограничивается сроками выпуска очередного Service Pack, а межсетевой экран компании Cisco обновляется, по словам представителей компании, не чаще одного раза в два месяца.
Средства моделирования вторжений имеются только у компаний Cisco, Check Point и Symantec. Они представлены самостоятельными продуктами и приобретаются отдельно. При необходимости их можно использовать и с межсетевыми экранами других компаний. По крайней мере, на сайте компании Symantec есть возможность «заказать» контролируемое вторжение на свою сеть с получением отчета об уровне ее устойчивости, но качество контроля и объем предоставляемой информации многократно ниже того, что можно получить, пользуясь отдельно приобретенным инструментом.
Чем крупнее защищаемая сеть, тем выше требования к межсетевому экрану. Его масштабируемость должна быть достаточной для безболезненного расширения и функциональной полноты, причем расширение системы защиты важно осуществлять без прерывания работы сети, поскольку это приводит не только к приостановке выполнения основных функций, но и к возникновению дополнительных брешей в защите в период перестройки конфигурации. Масштабируемость межсетевых экранов варьируется в самых широких пределах — от полного ее отсутствия у персональных экранов, к которым относится уже упоминавшиеся Norton Internet Security 2002 компании Symantec, до очень высокой, как у Microsoft ISA Server 2000. Последний при работе в режиме Enterprise позволяет объединять в одно логически целое несколько физических серверов с установленными на них межсетевыми экранами для защиты большой распределенной сети с множеством точек выхода в Internet. Помимо управляемости такая архитектура обеспечивает более высокую надежность в случае выхода из строя одного или нескольких межсетевых экранов. Их функции будут выполняться другими членами так называемого массива межсетевых экранов, причем переключение произойдет незаметно для пользователей. С помощью этой же технологии можно гибко наращивать производительность массива, просто добавляя и отключая новые серверы по мере необходимости.
В зависимости от сложности топологии защищаемой сети выбранный вами межсетевой экран должен содержать необходимые компоненты для защиты участков сети различных типов. Если для персонального компьютера достаточно Norton Internet Security 2002 компании Symantec, то для разветвленной сети могут потребоваться такие свойства Microsoft ISA Server 2000, как поддержка массива межсетевых экранов.
В случае ISA Server компании Microsoft средства построения массива серверов позволяют разнести функции распределенного межсетевого экрана непосредственно в удаленные участки сети, причем географически они могут находиться сколь угодно далеко от основного офиса. Пользователи будут обращаться к ближайшему к ним серверу-члену массива. Такое решение позволяет экономить за счет снижения служебного трафика по дорогим магистральным каналам при сохранении прозрачного доступа к функциям любого экрана в массиве, независимо от его расположения.
Если в вашей организации много пользователей, работающих «в поле», или необходимо подключить удаленные офисы, следует внимательно изучить детали реализации технологии VPN в разных межсетевых экранах. Эту технологию поддерживают все без исключения продукты. Даже персональный экран компании Symantec содержит необходимые средства: в корпоративной системе защиты на основе Symantec Enterprise Firewall он будет выполнять функции защищенного удаленного клиента. Кроме того, он совместим с гораздо более распространенными функциями VPN, реализованными в межсетевом экране Cisco PIX компании Cisco.
К комплекту инструментальных средств корпоративного межсетевого экрана относятся и модули моделирования и обнаружения вторжений. Но если в Symantec Enterprise Security они представлены отдельными программами-агентами, включающими Intruder Alert для контроля серверов и NetProwler для всех других компонентов сети, то в ISA Server 2000 эти средства встроены непосредственно в экран, что уменьшает его адаптируемость к сложным топологиям. Автономными средствами обнаружения вторжений обеспечены также и системы компаний Cisco и Check Point. Единственный в нашем обзоре отечественный межсетевой экран компании Jet Infosystems не имеет внешних средств обнаружения вторжений, а компания-разработчик рекомендует воспользоваться соответствующими программами компании Symantec.
Проще всего установить персональный межсетевой экран. Так, для Norton Internet Security 2002 компании Symantec предоставляется «мастер», который проведет вас через десятки шагов настройки, по завершении которых вы получите вполне работоспособную систему защиты вашего компьютера. В дальнейшем в любой момент можно возвратиться к любому этапу настройки и задать параметры вручную. Эта программа «умеет» составлять список всех приложений на вашем компьютере, которые потенциально могут обращаться в Internet, а поскольку число их порой достигает нескольких сотен, и для каждого из них, а также для многочисленных протоколов задается множество параметров, то вполне очевидно, что ручная настройка даже персонального экрана — задача для профессионала. Установка корпоративного межсетевого экрана с множеством распределенных по всей сети компонентов может быть выполнена только профессионалом, при обязательном протоколировании каждого шага настройки. Администратору, ответственному за развертывание системы безопасности в компании, следует постоянно об этом помнить.
Технология «массива межсетевых экранов» компании Microsoft обеспечивает логически единое управление всеми серверами массива. Администратор с помощью консоли MMC может управлять общим набором параметров настройки, которые автоматически тиражируются на все серверы-члены массива. Кроме значительного снижения затрат на администрирование, это позволяет заметно сократить время реакции на вторжения, что даже важнее некоторой экономии на зарплате администратора. При этом у администратора сохраняется возможность управлять отдельными серверами. Для этого правила политики безопасности, задаваемые через консоль управления, разделяются на «корпоративные», действительные сразу для всех серверов массива, и на «локальные», применяемые к конкретному устройству. Правила могут комбинироваться и действовать в сложной последовательности.
Из приведенного выше анализа видно, что современный программный межсетевой экран — это сложная модульная система, которая в большинстве случаев не может быть надежно настроена только с помощью типовых программ-«мастеров». Поэтому суммарные затраты на ее развертывание будут состоять из стоимости комплекта модулей и работ по установке и настройке. Достаточно сказать, что продукция компании Check Point не продается без платных услуг по установке. Самое простое ценообразование у персональных межсетевых экранов и продукции компании Microsoft. Так, Norton Internet Security 2002 Pro стоит всего 90 долларов, Microsoft ISA Server 2000 Standard Edition — около 1700 долларов, а цена Enterprise Edition может достигать 7000 долларов на каждый процессор сервера защиты. Ценообразование по другим продуктам уже намного сложнее, и без специалиста по лицензированию подсчитать суммарную стоимость решения очень непросто. Так, комплект модулей Symantec Enterprise Firewall может стоить от 2000 до 10000 долларов без учета работ по настройке и установке.
СЕРТИФИКАЦИЯ
Для любого программного и аппаратного обеспечения, используемого в целях обеспечения безопасности или шифрования данных, желательна, а часто необходима сертификация в соответствующих организациях. Для программных средств защиты сертификация бывает двух видов: на отсутствие недекларированных возможностей и на соответствие требованиям по стойкости защиты.
Первая из них выполняется специализированными организациями на основе так называемых «руководящих документов» Гостехкомиссии. Сертификаты выдаются только на конкретные комплекты программного обеспечения, а не на продукт в целом. Для их получения компания-изготовитель должна предоставить сертифицирующей организации доступ к исходным текстам. Это не обязательно передача исходных текстов — достаточно командировки проверяющих специалистов в центр разработки компании-разработчика. Процесс сертификации может занимать несколько месяцев. После распродажи сертифицированных комплектов новая партия дистрибутивов сертифицируется по упрощенной процедуре, которая занимает две-три недели. Если для коммерческих организаций применение сертифицированных продуктов — дело добровольное, то в государственных организациях без сертификата работать с программным обеспечением нельзя. Из упомянутых в обзоре сертификацию подобного рода проходят программы компаний Jet Infosystems, Check Point и Symantec (завершение сертификации ожидается в конце первого квартала 2002 г.).
Сертификация на соответствие требованиям стойкости проводится также Гостехкомиссией, имеет несколько уровней (классов) и обязательна для программ, используемых в государственных и финансовых организациях. Полностью такую процедуру проходит продукция компании Jet Infosystems. Cisco PIX неоднократно проходил такую сертификацию, начиная с 1998 г., но не для всех классов. Более точно доступность сертификатов для обработки документов необходимого вам уровня секретности надо оговаривать с поставщиком при разработке конкретного проекта системы безопасности.
При обсуждении этой проблемы с вашим поставщиком следует учесть, что сертификация может выполняться не на весь комплект модулей межсетевых экранов, а только на некоторые его части. Поэтому при подборе полностью сертифицированного решения необходимо получить от поставщика и внимательно изучить сертификаты на все используемые компоненты.
ЗАКЛЮЧЕНИЕ
Хотя безопасность доступа в Internet считается одной из главных проблем, из-за которых многие компании опасаются расширять свое присутствие в Сети, уже доступны достаточно недорогие и действенные инструменты обеспечения защиты, накоплен большой опыт их эффективного использования. При выборе межсетевого экрана для вашей организации важно помнить, что любая версия такой системы требует постоянного профессионального внимания. Если вы не станете реагировать на наиболее опасные попытки взлома, о которых будет сообщать межсетевой экран, злоумышленники рано или поздно подберут ключи к вашей информации. Поэтому не забывайте регулярно просматривать журналы регистрации межсетевого экрана, не оставляйте без внимания его сообщения на ваш пейджер или SMS на сотовый телефон и регулярно обновляйте базы данных с сигнатурами типовых атак. Успехов вам!
Иван Качинский — ответственный редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: kach@lanmag.ru.