Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Прорыв в межсетевом экранировании

Грег Шипли

На рынке средств управления сетевым доступом грядут большие перемены. Готова ли ваша корпоративная инфраструктура к конвергенции технологий безопасности?

В межсетевом экранировании, как и в управлении сетевым доступом, нет ничего нового. Тем не менее и то и другое теперь излюбленный конек для маркетологов, стремящихся завладеть умами специалистов по сетевой безопасности. За последние год-полтора на нас буквально обрушился шквал новых терминов — это и “предотвращение вторжений”, и “многофункциональные шлюзы”, и “углубленный анализ пакетов”. Поэтому, когда редакции журналов Network Computing и Secure Enterprise решили общими усилиями проанализировать состояние дел на рынке МЭ, мы сначала усомнились, на самом ли деле данная область сетевой индустрии переживает второе рождение, или же имеет место очередная рекламная кампания? В конце концов мы пришли к выводу, что из категории ширпотреба межсетевые экраны (МЭ) вновь перешли в категорию наиболее передовых решений безопасности.

Данная вступительная статья открывает самый обширный цикл обзоров МЭ из когда-либо предпринятых нами. Мы пригласили свыше 40 поставщиков и получили в свое распоряжение 20 продуктов, которые разбили на четыре категории, чтобы протестировать их силами шести испытателей в наших лабораториях в Грин-Бее, Сиракузах, Гейнсвилле и Чикаго. Наступление по всему фронту, что и говорить!

В ходе тестирования мы выявили как рекламные “пустышки”, так и действительно инновационные решения, смелые подходы и полезные возможно-сти. Но что нас по-настоящему заинтересовало, так это вызванные требованиями рынка проблемы, возникающие у традиционных поставщиков МЭ, многим из которых приходится предпринимать сейчас значительные усилия, чтобы удержаться на нем. Управление безопасностью более не сфокусировано на сетевом периметре, и, помимо ставших уже давно привычными средств ограничения доступа к сетевым адресам и сервисам, все сильнее ощущается нужда в более совершенных механизмах защиты. Еще важнее то, что сетевая безопасность более не ассоциируется с отдельными продуктами, а рассматривается как неотъемлемое свойство сетевой инфраструктуры — и это говорит о фундаментальном сдвиге парадигмы в масштабах всей отрасли.

Все это навело нас на мысль о том, что через пару лет рынок МЭ может измениться до неузнаваемости. Хотя мы и не предвидим скорого исчезновения автономных аппаратных МЭ, то, что мы называли продуктом еще год назад, сегодня выглядит как функциональная возможность и только. После тестирования МЭ в течение трех месяцев мы пришли к заключению, что предприятия, стремящиеся выработать всеобъемлющую стратегию сетевой защиты, должны задаться следующими вопроса-ми: будут ли маршрутизаторы и коммутаторы следующего поколения поставляться вместе со встроенными средствами для принудительного соблюдения правил доступа на уровне приложений? будут ли программные средства управления доступом вытеснены аналогичными аппаратными средствами? трансформируются ли сетевые системы предотвраще-ния вторжений в МЭ нового поколения или наоборот? И наконец, не удастся ли “тяжеловесам” рынка сетевых технологий, вроде компаний Cisco Systems или Juniper Networks, “раздавить” такие фирмы, как Check Point Software Technologies и Internet Security Systems?

Зададимся еще одним вопросом: а не в последний ли раз мы тестируем автономные МЭ? Может, и нет, но все же рынок становится все более загадочным. Так или иначе — готовьтесь к переменам.

Полную версию данной статьи смотрите в 9-ом номере журнала за 2005 год.

История повторяется

“Рождение” индустрии МЭ у большинства из нас ассоциируется с появлением первых разработок компании Digital Equipment в начале 90-х годов, вслед за которыми появились продукты Gauntlet и Firewall-1 производства компаний Trusted Information Systems и Check Point соответственно. К концу указанного десятилетия число продуктов и поставщиков МЭ пополнилось именами таких компаний, как Raptor (ныне принадлежит Symantec), Cisco с ее устройством PIX, Secure Computing с продуктом Sidewinder, NetScreen (ныне Juniper), а также SonicWall и WatchGuard.

Многие наши читатели наверняка помнят “священные войны” между сторонниками технологий application proxy и stateful packet filtering, последние можно рассматривать как базовые подходы к проектированию МЭ. И по сей день некоторые наиболее рьяные приверженцы продолжают превозносить proxy-технологию, как обеспечивающую лучшую защиту благодаря специализированным прикладным модулям-посредникам, в то время как их оппоненты апеллируют к высокой производительности МЭ с контекстной фильтрацией пакетов, добавляя, что для каждого нового сетевого протокола необходимо разрабатывать свой модуль-посредник. Большинство профессионалов в области информационной безопасности согласны с тем, что поддерживающие механизмы контроля протоколов уровня 7 модули-посредники представляют собой более труднопреодолимое препятствие для взломщиков, но присущие им невысокая производительность, часто возникающие проблемы с поддержкой новых протоколов и неспособность сохранять соединения при преодолении отказов делают их неконкуренто-способными.

Очевидно, МЭ на базе прикладных модулей-посредников не сошли со сцены, но не менее очевидно и то, какой подход к межсетевому экранированию сегодня преобладает: контекстная фильтрация пакетов продуктами таких производителей, как Check Point, Cisco и Juniper, доминирующих на рынке уже на протяжении нескольких лет.

За все это время нам редко попадались обзоры, где детально описывались бы функции безопасности МЭ. Как ни глупо это выглядит сегодня, но тогда обеспечиваемый уровень безопасности интересовал заказчиков далеко не в первую очередь. Приоритетными для них были производительность и удобство управления МЭ.

Потом наступило время отрезвления. Атаки и угрозы начали видоизменяться с головокружительной быстротой, и наши первичные средства защиты оказались малоэффективными. Мы продолжали использовать базовые технологии защиты уровня 4, рассчитывая на то, что они защитят нас от “троянов”, “шпионского” ПО, атак с переполнением буфера и “SQL-инъекций”. А тем временем МЭ стали не более чем досадной помехой для злоумышленников, применяющих новейшие технологии взлома, заказчикам же не оставалось ничего другого, как искать более эффективные продукты.

И вот сегодня мы возвращаемся к тому, с чего начинали. Безопасность вновь вышла на первый план, и интеллектуальные средства защиты прикладного уровня сегодня опять “в большой моде”. Но и тут не обошлось без неожиданностей.

Глубокая инспекция

Когда мы впервые услышали о технологии deep inspection, у нас вырвался невольный стон: только не еще одна из набивших оскомину вариаций на тему механизма stateful inspection компании Check Point!

Не слишком отличаясь от задачи предотвращения вторжений, deep inspection представляет собой скорее маркетинговую идею, нежели реальную технологию. И в противоположность модулям-посредникам, противопоставляемым контекстным фильтрам в каче-стве иного инженерного решения, технология deep inspection является дальнейшим развитием... чего?

Признаться, мы не знаем, как производитель может описать новую технологию, отличающуюся от вышеназванных, не выдумывая при этом очередной трескучей фразы? С нашей точки зрения, термин deep inspection означает обычную контекстную фильтрацию пакетов (уровень 4), дополненную функциями инспекции трафика приложений (уровень 7). Эти функции включают в себя как статические сигнатуры атак, аналогичные сигнатурам IDS-систем, так и модули-анализаторы протоколов уровня 7. Благодаря такой расширенной функциональности современные МЭ в состоянии противостоять угрозам, против которых их более ранние версии оказались бессильны.

С включением сигнатур атак в МЭ эксперты связывают появление средств защиты “нового поколения”. Некоторые механизмы инспекции протоколов приложений интересны тем, что наряду с сигнатурами способны выявлять аномалии трафика на потенциально опасных направлениях. По правде говоря, трудно сформулировать, чем функционально отличаются традиционные модули-посредники от новейших инспекторов протоколов уровня 7, да, в конце концов, это и не важно.

Прежде словесные баталии сторонников модулей-посредников и фильтров пакетов вызывали у нас лишь улыбку, но сегодня мы видим, что комбинация этих двух подходов оказалась весьма плодотворной. Вопрос ведь стоит так: либо МЭ способны защитить сети от новых угроз, либо нет. Поэтому поставщики стремятся включить в свои продукты технологии безопасности самых разных типов, что приводит к еще большей путанице. В некоторых МЭ, как уже говорилось, реализованы элементы технологий proxy и пакетной фильтрации. Например, продукт Sidewinder компании Secure Computing, изначально основанный на proxy-технологии, сегодня поддерживает модули-посредники, до боли напоминающие контекстные фильтры для протоколов и соединений. Фирменный набор инспекционных команд Cisco Systems, впервые появившихся в продукте PIX 7.0, обеспечивает функционирование МЭ на уровне 7. Недавно анонсированный компанией Juniper модуль предотвращения вторжений поддерживает свыше 60 протоколов, превращая ее “унаследованный” МЭ в высокопроизводительное устройство-инспектор уровня 7, практически не имеющее конкурентов.

Не вдаваясь в технические детали, давайте проясним, какова же эффективность всех этих новых устройств? Отвечаем одним словом: высокая. Наше те-стирование корпоративных МЭ на базе технологии deep inspection в чикагской лаборатории показало, что поставщикам удалось преодолеть проблему аварийного восстановления и что продукты надежно защищают сети от DoS-атак. Многоцеле-вые устройства безопасности, испытывавшиеся в сиракузской лаборатории, поддерживают такие функции, как антивирусная защита, но имеют ограничения производительности. В лаборатории, расположенной в Грин-Бее, выяснилось, что большинство аппаратных XML-фильтров функционируют в полном соответствии с рекламными заявлениями, хотя данный сектор рынка пребывает в некотором беспорядке. Специалисты, работающие в гейнсвилльской лаборатории, в свою очередь, сообщили об успешном прохождении тестов устройствами удаленного управления сетевой безопасностью филиалов предприятий.

Однако дополнительная функциональность, как известно, не дается даром. Особенно это касается инсталлируемых на выделенных шлюзах сервисов, таких, как антивирусы. Эволюционирующая функциональность, вроде deep inspection, — это одно, а вот пожирающее ресурсы ЦПУ антивирусное сканирование — это совсем другое. Дополнительные возможности требуют дополнительной процессорной мощности, не всегда имеющейся в наличии. Приобретя многофункциональное устройство, вы сможете сэкономить, но при этом следует самым тщательным образом проанализировать его характеристики, сопоставив их с потребностями вашего предприятия.

Оборотная сторона многофункциональности

Лаборатории в Сиракузах и Чикаго занимались тестированием продуктов разных категорий, тем не менее их интересовала одна общая проблема: как влияет дополнительная функциональность на производительность МЭ? Наши опасения подтвердились: задействование новых функциональных возможностей негативным образом сказывается на производительности устройств. В ряде случаев их пропускная способность падала до значения, не превышающего четверти ее номинальной величины.

Означает ли это, что от использования данных устройств следует раз и навсегда отказаться? Вовсе нет. Напротив, сетевым администраторам и администраторам безопасности необходимо досконально изучить и держать под непрерывным контролем характеристики производительности их пикового режима, так как в идеально функционирующей на скорости 500 Мбит/с сетевой среде могут возникнуть трудности уже при 550 Мбит/с и задействовании ряда дополнительных функций. Прошли те времена, когда, инсталлировав МЭ один раз, можно было забыть о его существовании. Поместив устройство Juniper ISG-2000 в 300-Мбит/с Web-среду, вы вряд ли заметите снижение его производительности при добавлении функций безопасности. Но вам придется непрерывно наблюдать за продуктом Check Point Firewall-1 и для поддержки его дополнительной функциональности подумать о мощном МЭ-кластере. Если же вам ничего, кроме межсетевого экранирования на уровне 4 при скорости трафика не выше 100 Мбит/с, не нужно, то практически любой продукт должен вас устроить.

Аналогичные соображения справедливы и в отношении МЭ для удаленных филиалов. Предположим, что организация развернула в удаленном филиале 4-Мбит/с шлюз (с 10-Мбит/с интерфейсом Ethernet) с намерением поддерживать не более 100 пользователей, а впоследствии их число в данном филиале возрастает, и поэтому она должна будет наращивать пропускную способность WAN-канала, и вот тут при задействовании функций антивирусного сканирования или предотвращения вторжений у нее могут возникнуть проблемы.

Пример: когда мы подвергли устройство ServGate M30 ICMP-атакам, его производительность с 63 Мбит/с упала до 3 Мбит/с — на 95%!

Разные поставщики по-разному преодолевают подобные ситуации (наиболее продвинутые стремятся изолировать функции безопасности таким образом, чтобы исключить их взаимное влияние), тем не менее организациям-заказчикам следует четко определить свои потребности, прежде чем приобретать то или иное устройство. Без детального анализа собственной среды вы рискуете понести серьезные потери, если реальные эксплуатационные параметры вашей сети окажутся отличными от оптимальных.

Похоже, что крупные производители МЭ наконец-то взялись за малый и средний бизнес. Это означает не только выход на новый рынок, но и значительную экономию издержек за счет комбинирования нескольких функций в одном устройстве. При этом вы, как заказчик, требуйте, чтобы поставщик обеспечил взаимное изолирование функций безопасности (встроенный антивирус, конечно, вещь хорошая, но лишь до тех пор, пока он не препятствует нормальной работе МЭ) и помните, что в отношении МЭ блаженные времена “включи и забудь” давно прошли.

Виды на будущее

Итак, должны ли мы называть МЭ, выполняющий проверку сигнатур, системой предотвращения вторжений или, наоборот, система предотвращения вторжений, оснащенная фильтрами пакетов, должна именоваться межсетевым экраном? А как насчет коммутаторов с МЭ и маршрутизаторов с функциями обнаружения вторжений? Или возьмите шлюз, выполняющий межсетевое экранирование наряду с фильтрацией вирусов и спама? Все это, по-нашему, начинает слегка отдавать шизофренией. Межсетевые XML-экраны... нет, фильтры... нет... шлюзы безопасности Web-служб — они же XML-акселераторы, устройства для принудительного соблюдения правил или и то, и другое, и третье? Похоже, у нас назревает кризис с идентификацией. И XML-устройства — это еще только начало.

Если вы не провели последний год в пустыне, то наверняка не могли не заметить те фундаментальные перемены, которые произошли на рынке средств сетевой безопасности. Так, фирма Cisco занялась настольными системами. Juniper, известная прежде лишь узкому кругу операторов магистральных сетей, приобретя NetScreen, вышла на рынок корпоративных систем безопасности. В свою очередь, компания Symantec, поглотив несчетное количество стартапов, объединилась с фирмой Veritas, а корпорация Microsoft “выкатила” свое “противошпионское” ПО, заодно озадачив своими приобретениями антивирусных решений компании McAfee, Symantec и иже с ними.

Правда, тут есть одно соображение: положим, Microsoft вовсе не собирается доминировать на рынке ПО безопасности и антивирусных средств, а всего-навсего стремится преодолеть негативно сказывающийся на ее деятельности имидж поставщика небезопасных продуктов. Равно как и Cisco заинтересована лишь в том, чтобы продавать больше коммутаторов, маршрутизаторов и других аппаратных компонентов сетевой инфраструктуры, — и только для этого (и ни для чего другого) ей нужны программные компоненты для настольных систем и дополнительные функции безопасности. Означает ли это, что традиционным поставщикам решений безопасности ничего не грозит? Или “побочная” продукция ИТ-гигантов, заинтересовавшихся вопросами безопасности, в конечном счете превратится в ширпотреб? 33% участников проведенного нами опроса ответили, что при планировании замены МЭ им придется всерьез задуматься о том, что это такое — продукт или функция.

Проследив за эволюцией межсетевых экранов, протестировав их последние версии, пообщавшись с их поставщиками и потребителями, мы так и не поняли, хотят ли Cisco и Juniper уничтожить своих конкурентов, добавив новые функции к своим продуктам. Но обе они имеют неоспоримое преимущество, которое со временем становится все более явным. Очевидно одно: сохранить статус-кво на рынке средств сетевой безопасности невозможно. Десять лет тому назад МЭ использовали лишь немногочисленные организации, чья деятельность в Сети была связана с финансовым риском. Для инсталляции и конфигурирования МЭ приглашали консультантов, а сопровождение осуществлялось специально выделенным для этого персоналом. Сегодня МЭ применяются повсеместно. Работая в качестве устройства принудительного соблюдения политики сетевой безопасности, они подчас управляются сетевыми администраторами широкого профиля. Внедрение технологий обнаружения вторжений в дополнение к МЭ началось пять лет тому назад, и на этом направлении тоже грядут большие перемены.

Добавьте к этому новые предложения от таких компаний, как Arbor Networks, чей продукт PeakFlow X позволяет размещать списки управления доступом на коммутаторах Cisco Catalyst с целью свести к минимуму внутренние сетевые угрозы, и грань между специализированными продуктами и продуктами общего назначения начнет исчезать. Да, мы нуждаемся в продвинутых функциях безопасности, которых нет в имеющихся на сегодняшний день ИТ-продуктах, но сколько же пройдет времени до тех пор, когда функции безопасности специализированного продукта Х появятся в ИТ-продукте Y? Некоторые аналитики утверждают, что это уже произошло. Фирма Cisco полностью реорганизовала подразделение по разработке решений безопасности, его возглавил один из старших вице-президентов компании (см. “Безопасность с точки зрения Cisco”). Juniper предприняла аналогичный шаг, объединив разработку корпоративных маршрутизаторов серии J и продуктов NetScreen (см. “Juniper и NetScreen: объединение ради безопасности”). Совпадение? Не похоже. Включение корпорацией Microsoft межсетевого экрана в ПО Windows XP Service Pack 2 наряду с предпринимаемыми усилиями по защите стека и предложением бесплатного “противошпионского” ПО наглядно демонстрирует намерение поставщика ОС вторгнуться на рынок встраиваемых решений безопасности.

Глядя на рынок с уровня ОС либо с уровня сетевой инфраструктуры, можно утверждать одно: он требует от производителей улучшить управление безопасностью, и поставщики отдают себе в этом отчет. Мы считаем, что это обстоятельство сыграет свою роль в развитии средств контроля за сетевым доступом, и в частности в дальнейшем развитии МЭ. Возьмем в качестве примера дебаты по поводу IDS- и IPS-систем, участники которых предрекали скорое исчезновение систем обнаружения вторжений уровня сети (Network-based Intrusion-Detection System — NIDS) и их замещение “проактивными” системами предотвращения вторжений. В ходе этих дискуссий было упущено главное: так называемое предотвращение сетевых вторжений есть не что иное, как принудительное соблюдение политики безопасности, что является скорее функцией межсетевого экранирования, нежели детектирования или мониторинга. Если не верите нам на слово, узнайте о том, что компании Juniper и Fortinet выпустили продукты, поддерживающие функции NIPS на базе сигнатур наряду с традиционными функциями МЭ — они уже работают, и работают хорошо.

Поставщики NIPS-решений, включая McAfee и TippingPoint (в составе 3Com), не спешат поверить в грядущую конвергенцию NIPS и МЭ, а вот компании вроде ISS, напротив, стараются подстраховаться. Любопытный факт: ISS согласилась принять участие в нашем тестировании, в то время как McAfee и TippingPoint-3Com отказались. Мы думаем, что с точки зрения рынка корпоративных решений между обеими технологическими сферами (NIPS и МЭ) едва ли будут проводиться различия, и на то есть причины. Должен ли МЭ защищать нас от тех же атак, что и система NIPS? Зачем покупать два устройства для решения одной и той же задачи?

Предотвращение сетевых вторжений — всего лишь функция, а вовсе не продукт; на осо-знание данного факта в масштабе всей индустрии требуется время. И если это действительно так, можно ли будет говорить о конвергенции систем NIPS и МЭ? Или продвинутые функции управления сетевым доступом, распознавания сигнатур и аномалий “отойдут” к маршрутизаторам и коммутаторам? Так или иначе, но мы полагаем, что перемены неизбежны.

Заключение

Тенденция к переплетению технологий управления сетевым доступом будет доминировать в ближайшие годы в отношении как поставщиков компонентов сетевой инфраструктуры, добавляющих к своим продуктам функции безопасности, так и производителей средств защиты, снабжающих свои нишевые продукты дополнительными возможностями. Необходимо отдавать себе отчет в том, что и у этих продуктов имеются свои ограничения, и, что более важно, тщательно взвесить потенциальные экономию затрат на их покупку и риск потерь, связанных с возможным снижением их производительности. Поставщики, стремящиеся при проектировании своих решений взаимно изолировать функции безопасности, выделяя им соответствующие ресурсные квоты, способны предложить рынку более надежные продукты, чем поставщики, не думающие об этом. Сложившаяся ситуация сулит большие преимущества таким компаниям, как Cisco, Crossbeam, Juniper и Nortel, перед их конкурентами на рынке решений безопасности (компании Check Point, ISS и Symantec).

Что же до технологии deep inspection, то ее важнейшие составные части — те же, что и у IDS/IPS-продуктов, эффективное функционирование которых напрямую зависит от своевременного обновления сигнатур. Мы полагаем, что поставщики IDS/IPS-решений справятся с этой задачей лучше, нежели поставщики традиционных МЭ, и опять же компании Juniper и Cisco находятся в заведомо более выгодной позиции по сравнению с последними, так как в их распоряжении имеются команды разработчиков для реализации обоих направлений.

Следите одним глазом за тенденцией к конвергенции технологий безопасности, другим — за растущей потребностью в безопасной сетевой инфраструктуре и заранее готовьтесь к изменениям, которые вас ожидают..


http://kmcsport.ru релиз




  
9 '2005
СОДЕРЖАНИЕ

инфраструктура

• Отечественные производители. Конвергенция пока только в разработках

• Тестируем корпоративные БЛВС

• Внедряем сеть SAN

информационные системы

• Создание центра обработки данных Югры

• Пять секретов успешного производственного планирования в call-центре

• Пакетные технологии в контакт-центрах

• Кластер для двоих

сети связи

• Triple Play в ЛВС

кабельные системы

• Универсальные кабели

• Выбор кабельной инфраструктуры

защита данных

• Прорыв в межсетевом экранировании

• Битва титанов (тестирование мощных межсетевых экранов)


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх