Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Системы firewall: можете спать спокойно

Питер Морриси

Приходилось ли вам когда-нибудь просыпаться в холодном поту с мыслью о том, что, возможно, в эту минуту кто-то сидит за своим домашним компьютером и пытается проникнуть в вашу корпоративную сеть через Internet? Если вы отвечаете за сохранность действительно ценных данных и в то же время не уверены, что знания и используемые средства обеспечения информационной безопасности позволяют вам надежно защитить их, то опасения эти могут оказаться оправданными. В таких случаях на помощь приходят системы firewall, которые дают нечто боўльшее, чем ложное чувство безопасности, — они действительно защищают ваши данные от несанкционированного доступа по Internet. Конечно, обычный маршрутизатор на линии связи с Internet тоже способен фильтровать пакеты, но он, вероятно, не может обеспечить ту степень защиты данных, которую гарантируют рассматриваемые здесь системы firewall. Фактически, философия фильтрации данных маршрутизатором сводится к принципу: "разрешено все, что явно не запрещено". Обычные маршрутизаторы обрабатывают пакеты по отдельности, поэтому с их помощью не всегда удается эффективно управлять доступом при работе с некоторыми протоколами, использующими сервис TCP, например FTP (см. врезку "Управление доступом при использовании FTP"), и практически со всеми протоколами на основе UDP.

Системы firewall, напротив, разработаны специально для защиты корпоративных сетей от несанкционированного доступа и, как правило, поддерживают более консервативную идеологию безопасности: "Запрещено все, что не разрешено явно". Помимо протоколирования событий, многие системы защиты позволяют проводить трансляцию сетевых адресов, аутентифицировать пользователей и организовывать закрытые виртуальные сети.

Если вы управляете системами безопасности на всех хостах предприятия, то для надежной защиты данных, скорее всего, достаточно будет установить хороший маршрутизатор. Однако в этом случае для обеспечения безопасности сети потребуется знание слабых сторон ваших хост-машин и тщательная регулировка трафика между ними. Сложность задачи заключается в том, что заслон на пути нежелательного трафика не должен нарушать необходимый обмен данными. Хотя средства firewall обычно справляются с этим эффективнее, чем маршрутизаторы (к тому же эти средства требуют меньше усилий со стороны администратора), их применение само по себе не обеспечивает абсолютно надежной защиты сети. Однако с их появлением ваш сон должен стать спокойнее.

Что мы испытывали

Система FireWall-1 компании CheckPoint оказалась проста в управлении и достаточно богата возможностями для организации контроля доступа из Internet на очень высоком уровне. Продукт CyberGuard корпорации Harris отстает от FireWall-1 по производительности, однако его функциональные возможности практически те же. В отличие от системы FireWall-1 у CyberGuard нет удобного графического интерфейса пользователя, который, впрочем, должен вскоре появиться.

Возможности некоторых рассмотренных продуктов не ограничиваются только фильтрацией пакетов. Если у вас есть несколько узлов Internet и вам нужно обеспечить их взаимодействие, защитив при этом данные, то воспользуйтесь возможностью систем FireWall-1 компании CheckPoint, CyberGuard корпорации Harris и Security Router корпорации Network Systems поддерживать закрытые виртуальные сети. Эта возможность предусматривает шифрование данных, передаваемых определенными хостами Internet (узлами виртуальной сети. — Прим. ред.). Продукт KarlBridge выполняет более простое шифрование данных, которого, скорее всего, вполне достаточно для защиты от случайных вторжений.

Системы FireWall-1 и CyberGuard могут также выполнять трансляцию сетевого адреса, обеспечивая защиту внутренней (корпоративной) сети путем ее полного "сокрытия" от Internet. При этом ни один пакет не будет адресован напрямую узлам этой сети. Данная возможность защитной системы пригодится и в том случае, если вы захотите подключить к Internet сеть, в которой используются неразрешенные (органом распределения адресов Internet. — Прим. ред.) IP-адреса.

Все рассмотренные в этом обзоре продукты, в том числе системы Mazama Packet Filter фирмы Mazama Software Labs и Firewall/Plus компании Network-1, имеют средства создания отчетов и протоколирования событий, которые помогут вам зарегистрировать попытки вторжения и в некоторых случаях оповестят вас о них. Полученные протоколы событий можно использовать даже для преследования нарушителей по закону. С другой стороны, эти протоколы позволят выяснить, какие узлы и службы Internet взаимодействуют с вашей сетью.

FireWall-1 2.0 фирмы CheckPoint Software Technologies

Простота программного комплекса FireWall-1 в работе, его разнообразные возможности и высокая производительность произвели на нас хорошее впечатление. Этот продукт представляет собой нечто боўльшее, чем простой фильтр пакетов. Хотя система FireWall-1 и не поддерживает модули анализа пакетов (proxy applications) в традиционном их понимании, возможность обработки пакетов намного более глубокая, чем простой анализ заголовков, встроена в саму ее архитектуру. Вместо того чтобы передавать пакеты отдельным модулям анализа, система исследует их, используя соответствующий код, интегрированный в ее ядро. Таким образом удается избежать необходимости запуска специальных приложений для каждой сетевой службы и повысить эффективность обработки пакетов. FireWall-1 выполняет ряд дополнительных функций, таких, как трансляция сетевого адреса, организация закрытых виртуальных сетей, аутентификация пользователей с помощью одноразовых паролей, а также обладает прекрасным набором средств протоколирования событий.

Разработчики компании CheckPoint отлично использовали возможности графической среды OpenWin для создания продуманного логичного интерфейса пользователя. В окне редактора правил фильтрации осуществляются основные операции по управлению системой. Здесь вы можете задавать правила фильтрации пакетов, выбирая пиктограммы из таблицы. Правила в формируемом таким образом списке располагаются в порядке их указания. Мы также заметили, что при попытке ввести взаимоисключающие правила программа извещает об этом.

В окне редактора правил фильтрации можно открыть окна настройки многих режимов и средств FireWall-1. Одно из таких окон, например, позволяет настраивать функции шифрования данных, осуществляемого на основе алгоритма DES или фирменного алгоритма системы FireWall-1.

В том редком случае, когда средства графического интерфейса не позволяют вам полностью реализовать требуемую стратегию защиты, система может быть настроена при помощи мощного макроязыка. Так как средства поддержки всех включенных в систему правил написаны на этом же языке, разработчикам компании CheckPoint несложно модернизировать свой продукт.

Нам понравилась добавленная в эту систему возможность фильтрования данных на порте RealAudio, для реализации которой потребовалось отслеживать состояние сеансов связи (см. врезку "Управление доступом при использовании FTP"). Если вы хотите использовать фильтр этого типа, добавьте в систему макрос, который находится на сервере Web компании CheckPoint.

Продукт FireWall-1 оказался одним из лучших по производительности. Даже будучи установленным на компьютер Sun SPARC10, он никогда не загружал его центральный процессор больше чем на 50%. Если у FireWall-1 и есть недостаток, то он состоит в том, что эта система работает на дорогостоящей платформе Unix.

CyberGuard Firewall корпорации Harris Computer Systems

Программно-аппаратный комплекс CyberGuard обладает всеми основными и расширенными возможностями, которые только могут быть у систем firewall. С этой точки зрения с ним может сравниться разве что рассмотренный продукт фирмы CheckPoint. В то же время у системы CyberGuard нет графического интерфейса пользователя, да и по производительности она явно отстает от большинства средств, испытанных для этого обзора. Согласно информации от корпорации Harris, оба указанных недостатка будут устранены в новой версии системы, которая должна появиться на рынке в первой половине текущего года.

Несмотря на отсутствие у CyberGuard графического интерфейса, установка и настройка системы довольно просты. Поддерживаемые правила фильтрации пакетов можно задавать, редактируя специальный текстовый файл. Это позволяет выполнить входящее в комплект поставки специальное приложение, которое делит экран на две области: верхняя из них представляет собой форму, заполняя поля которой администратор создает правило фильтрации, а в нижнюю, по мере заполнения формы, выводятся соответствующие изменения, вносимые в файл конфигурации. Форма позволяет сопровождать изменения комментариями.

ПО CyberGuard функционирует под управлением фирменной версии Unix, которая разработана специально для обеспечения информационной безопасности. Эта ОС ограничивает обмен данными между пользовательскими и системными процессами, затрудняя таким образом компрометацию системы по сети.

В дополнение к набору основных функций и средств фильтрации пакетов комплекс содержит несколько модулей анализа пакетов, которые позволяют расширить его возможности за рамки фильтрации на основе информации из заголовков протоколов. В частности, модуль анализа SMTP перехватывает всю исходящую электронную почту и исключает из нее данные о внутренней сети, которые хакеры могут использовать в своих неблаговидных целях.

Программа анализа пакетов FTP, распознавая команды get и put в FTP-приложениях, позволяет, например, разрешить сотрудникам получать файлы из Internet, но запретить передачу данных в Internet из корпоративной сети. Это ограничение может устанавливаться для каждого пользователя персонально, так как CyberGuard проводит аутентификацию пользователей FTP. Модуль HTTP позволяет аутентифицировать пользователей для управления доступом по протоколу HTTP.

Перечисленные возможности в сочетании со средствами трансляции адресов и организации закрытых виртуальных сетей и составляют то, что называется системой CyberGuard Firewall. Принимая во внимание возникшие в процессе тестирования проблемы с производительностью, мы советуем вам не забывать, что в данном случае обширные возможности приобретаются ценой потери быстродействия.

KarlBridge фирмы KarlNet

В проведенных нами тестах на производительность программно-аппаратный комплекс KarlBridge показал чрезвычайно высокие результаты, и хотя этот продукт не обладает всеми возможностями системы firewall, он все же весьма неплох для своей цены — 1695 дол. ПО KarlBridge установлено на компактной ПК-платформе. В расширенной конфигурации эта система может выполнять функции маршрутизатора Internet, работающего на скорости канала T-1.

Несмотря на то, что KarlBridge относится к числу продуктов нижнего класса, он произвел на нас благоприятное впечатление отчасти и потому, что в отличие от маршрутизатора Security Router корпорации Network Systems способен фильтровать пакеты, передаваемые в ходе сеансов связи по протоколу FTP, не открывая широкий диапазон протокольных портов. Помимо этого, в KarlBridge имеются средства организации закрытых виртуальных сетей. Хотя примененный фирмой алгоритм шифрования, скорее всего, не подходит для защиты данных в Internet, его использование все же достаточно эффективно оградит вашу сеть от досадных случайных вторжений.

KarlBridge — единственный продукт, который позволяет фильтровать пакеты протоколов четырех основных типов (TCP/IP, NetWare, DECnet, AppleTalk. — Прим. ред.). Все другие рассмотренные здесь системы, работают только с TCP/IP. Не так давно у нас в сети возникла ситуация, при которой подобный продукт был бы очень полезен. Работающий с протоколом AppleTalk сервер NetWare начал в ответ на запросы протокола зональной информации (ZIP) передавать некорректные данные, что случалось всякий раз, когда пользователь на компьютере Macintosh применял утилиту Chooser для поиска сетевых служб. Единственный способ исправить создавшееся положение заключался в остановке сервера и внесении поправки в его программное обеспечение. К сожалению, остальные пользователи, которые не сталкивались с проблемой ZIP, совсем не хотели остаться без сервера на время решения данной проблемы. В этом случае мы могли бы установить между сервером и остальными узлами сети систему KarlBridge, которая отфильтровывала бы пакеты с некорректной информацией, давая возможность локальному маршрутизатору отвечать на соответствующие запросы.

Наша проблема, конечно, не имела отношения к защите данных, однако аналогичную фильтрацию можно применить и для сокрытия хостов и сетевых служб от пользователей, которые не должны работать с ними, в сети с одним из четырех поддерживаемых KarlBridge протоколов. Проведенные нами тесты на производительность показали, что установка KarlBridge в сети Ethernet не повлечет заметного снижения скорости ее работы.

Заставить программу конфигурации KarlBridge взаимодействовать с самим мостом оказалось чрезвычайно хлопотливым делом. Если в вашей модели данного продукта установлена флэш-память, то изменить ее содержимое можно, только запустив соответствующую программу на подключенном к сети ПК с установленным пакетным драйвером. Рекомендуем вам приобретать версию KarlBridge с загрузочной дискетой, в этом случае вы сможете настроить записанное на ней ПО на любом ПК под управлением DOS, а затем просто загрузить мост с этой дискеты. Как заверяют представители фирмы KarlNet, в настоящее время ведется работа по созданию ПО KarlBridge на базе WinSock, использование которого устранит указанную проблему.

Mazama Packet Filter 1.2 фирмы Mazama Software Labs

Программно-аппаратный комплекс Mazama Packet Filter, работающий под управлением Linux, показал неплохое быстродействие, хотя и был установлен на компьютере с 33-МГц процессором i486. Использование несколько необычной для ПК операционной системы может "испугать" пользователей, не работавших с Unix, однако данный продукт поставляется уже установленным на ПК и имеет годовой срок бесплатной технической поддержки. Этот продукт хорошо подходит для тех, кому нужны лишь основные функции системы firewall с незначительными дополнениями. Система Mazama по умолчанию реализует стратегию защиты, которая предусматривает свободный доступ из внутренней сети в Internet (внешнюю сеть), запрещая в то же время доступ извне ко всем хостам внутренней сети.

Графический интерфейс системы Mazama, напоминающий оболочку X Windows, несколько сыроват, но все же работать с ним довольно просто. Если какой-либо фильтр не удается задать с помощью графического интерфейса, то его можно запрограммировать на специальном языке сценариев, похожем на язык Cи.

Если вам захочется разрешить внешнему миру доступ к вашей сети, нужно будет всего лишь открыть необходимое окно, где есть набор пиктограмм, соответствующих различным сетевым службам, которые используют протоколы TCP и UDP. После щелчка мышью на пиктограмме появится диалоговое окно, в котором вы можете открыть или закрыть доступ к вашей сети, осуществляемый с использованием этих служб. Система позволяет также организовать пропуск пакетов лишь с определенными IP-адресами отправителя и получателя.

В состав комплекса входит программа, имеющая список "опасных протокольных портов". Если кто-либо из внешней сети попытается обратиться к одному из перечисленных в списке протокольных портов, то данная попытка будет зафиксирована системой, а инициатор запроса — внесен в список "враждебных" узлов. В результате все передаваемые этим узлом пакеты не смогут пройти во внутреннюю сеть в течение заданного времени.

Firewall/Plus фирмы Network-1 Software and Technology

Фирма Network-1 разработала великолепный графический интерфейс и реализовала основные функции системы firewall на платформе DOS, что, несомненно, привлечет специалистов, не имеющих большого опыта работы с ОС Unix. По нашему мнению, система Firewall/Plus достойна внимания еще и потому, что фирма Network-1 собирается придерживаться агрессивной политики модернизации своего продукта. Однако нынешнюю версию этой системы нельзя назвать особо удачной из-за ее недостаточной производительности. Ее можно рекомендовать только для работы с каналами связи, имеющими пропускную способность 56 Кбит/с, и с не очень загруженными линиями T-1. Стоит, однако, подождать появления аналогичного продукта для Windows NT, который должен увидеть свет в первой половине этого года.

Интерфейс системы Firewall/Plus показался нам весьма оригинальным и удобным. Главное меню состоит из больших пиктограмм, с которыми довольно легко работать. Любое окно настроек можно вызвать с помощью закладок в верхней части экрана.

В комплект Firewall/Plus входит полдюжины описаний стратегий защиты, которые регламентируют применение широко используемых сетевых служб. Если ни одна из предполагаемых стратегий вас не устраивает, то можно описать свою стратегию. Интерфейс пользователя системы заметно упрощает эту процедуру, позволяя устанавливать многие опции служб, функционирующих на основе TCP и UDP. В этом интерфейсе реализованы графические элементы, помогающие понять последствия выполняемых операций. Когда вы разрешаете передачу данных при работе с какой-либо службой, над стрелкой, указывающей направление трафика, появляется зеленая отметка. Если же доступ закрыт (пересылка информации невозможна), программа отмечает соответствующую стрелку перечеркнутым красным кружком. Изображения ангела и беса ясно обозначают надежные и "подозрительные" участки сети.

Доступ к ресурсам внутренней сети регулируется на прикладном, транспортном, сетевом и канальном уровнях. Это может привести к некоторой путанице, так как иногда запрет передачи данных с использованием какой-либо сетевой службы на одном уровне влияет на возможность применения этой службы на других уровнях. В некоторых случаях назначение, сделанное на одном уровне, может "перевесить" установку на другом. Положение осложняется тем, что каждому уровню иерархии управления в сетях TCP/IP отводится отдельный экран. Весьма полезно было бы увидеть диаграмму, отражающую установки на всех уровнях.

Хорошее впечатление производит интерфейс, с помощью которого осуществляется управление работой системы по времени. На экран выводится таблица со столбцами, соответствующими дням недели, и со строками, привязанными к часовым интервалам в течение дня. Щелкнув мышью на какой-либо клетке таблицы, вы получаете список стандартных и пользовательских стратегий защиты. С помощью мыши можно задать реализацию различных стратегий защиты в зависимости от времени.

Security Router корпорации Network Systems

Система Security Router имеет мощное средство программирования фильтров — язык контроля пакетов PCF. К сожалению, реализовать какой-либо фильтр можно только при условии знания нюансов этого сложного языка сценариев. Однако по производительности система Security Router наряду с мостом KarlBridge оказалась лучшей среди протестированных продуктов. Столь высокое быстродействие, по-видимому, объясняется тем, что данная система представляет собой маршрутизатор, а архитектура таких устройств оптимизирована для быстрой пересылки пакетов. Однако недостаток маршрутизаторов состоит в том, что они обрабатывают каждый пакет индивидуально, не имея никакой информации о предшествующих пакетах.

Язык PCF позволяет задавать фильтры пяти типов, которые можно установить в различных точках по пути прохождения пакетов через маршрутизатор. Эта возможность дает боўльшую гибкость в создании фильтрующих систем и оказывается особенно полезной при работе с несколькими сетевыми интерфейсами. Хотя богатство языка PCF и заслуживает признания, настройка фильтров в Security Router показалась нам несколько сложнее, чем в остальных рассмотренных продуктах. С другой стороны, подготовить это устройство к работе не труднее, чем маршрутизаторы фирмы Cisco, которые уступают ему по гибкости.

Выбрав тип устанавливаемого фильтра, вы должны будете составить его описание (сценарий) и скомпилировать последнее на маршрутизаторе. В системе для редактирования сценариев предусмотрен только построчный редактор. К счастью, загрузочная дискета маршрутизатора записана в формате DOS, так что для подготовки фильтров вы можете пользоваться любимым текстовым редактором на вашем ПК, сохраняя тексты с описаниями фильтров прямо на этой дискете. Допускается вставлять описания одних фильтров в другие в качестве подпрограмм, что повышает гибкость процесса создания фильтров. Неспособность системы отслеживать состояние сеансов связи требует для обеспечения передачи данных (во внутреннюю сеть) по протоколу FTP разрешить доступ к широкому диапазону протокольных портов TCP.

В дополнение к маршрутизатору по желанию заказчика может поставляться программа Netstalker, которая запускается на хосте, работающем под управлением Unix. Мы не тестировали Netstalker, однако известно, что эта программа выполняет различные функции, благодаря которым Security Router значительно превосходит по возможностям обычный маршрутизатор. Она, в частности, способна отправлять сообщения на пейджер или по электронной почте и даже инициировать те или иные действия маршрутизатора в зависимости от запротоколированной информации о сеансах связи. Подобно продуктам CyberGuard и FireWall-1, маршрутизатор Security Router поддерживает закрытые виртуальные сети, которые можно использовать в сочетании с более дешевым устройством BorderGuard корпорации Network Systems, предназначенным для удаленного офиса.


распечатать статью




  
5 '1996
СОДЕРЖАНИЕ

колонка редактора

• Телефония через Internet: новое поле битвы?

локальные сети

• Беспроводные ЛВС: вчера, сегодня и завтра

• Недорогие коммутаторы Ethernet

• Мультимедиа и ЛВС

• Оптические дисковые автоматы

корпоративные сети

• Watchdog кусается

• "Плоды" большого дерева NDS

• Необычные, но невыдуманные истории

услуги сетей связи

• Категории служб в сетях АТМ

• Будущее карманных устройств связи

• Передача данных по сетям сотовой связи

• Обзор аппаратуры SDH

• Связные заметки с выставки CeBIT

интернет и интрасети

• Мир TCP/IP. Традиционные приложения (часть 2)

• Почтовый пакет компании Демос

• Списки рассылки: артерии информации

• Таблицы на Web

• Ваш след в Web

приложения клиент-сервер

• Связующее ПО. "Вождение" приложений по сети

• Связующее ПО. Смена веры

защита данных

• Управляемые ИБП: защита предприятия

• Системы firewall: можете спать спокойно

новые продукты

• Сетевые принтеры: новинки на Comtek’96, Многофункциональность System 5000, Накопители TRAVAN TR-4 фирмы Seagate



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх