Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Правильный выбор системы firewall

Питер Морриси

Системы firewall играют ключевую роль в решении весьма трудной проблемы, связанной с предоставлением доступа к совместно используемым данным и обеспечением защиты тех данных, которые в ней нуждаются. Это проблема сложна потому, что нередко опытный хакер может добраться до закрытой информации, используя "слабые места" в системах безопасности как целых сетей, так и отдельных хост-машин.

В связи с этим для защиты сети более эффективной представляется концепция "все, что не разрешено, запрещено", чем концепция "все, что не запрещено, разрешено". При таком подходе следует начинать с полного запрета доступа к данным. Далее, по мере необходимости, вы станете предоставлять доступ к тем или иным информационным ресурсам и при этом каждый раз будете тщательно оценивать возникающие угрозы вторжения в вашу сеть.

Политика безопасности

Многие системы firewall имеют удобный пользовательский графический интерфейс, который упрощает их администрирование. Однако не следует полагаться на то, что проблему безопасности вашей сети можно решить лишь с помощью нескольких щелчков мыши. Предоставление доступа к сети без риска нарушить ее целостность требует детального знания сетевых протоколов, приложений Интернет и операционных систем, установленных на хост-машинах. Чем больше узлов в вашей сети, тем труднее решить задачу защиты данных и тем значительнее роль системы firewall.

Большая организация может позволить себе иметь подразделение, занимающееся проблемами защиты информации. В штате многих компаний имеются отдельные специалисты по сетевой безопасности. Если ваша фирма не может самостоятельно решить проблему защиты данных, то ей придется нанять консультанта со стороны. Однако нет никакой гарантии, что он окажется достаточно компетентным, чтобы успешно выполнять свою работу. Необходимо самым тщательным образом навести справки о компании, которой вы хотите поручить защиту вашей сети. В ряде случаев такую услугу может предоставить продавец систем firewall или системный интегратор. При этом лучше всего обратиться к уже хорошо известной компании.

Кто бы ни установил вам систему firewall, критерии защиты своей сети вы определяете самостоятельно. Например, вам потребуется решить следующее: позволить ли служащим вашей организации проводить сеансы telnet с хост-машинами Интернет и предоставить ли этим хост-машинам telnet-доступ в сеть вашей организации? Хорошая система firewall позволит вам держать под контролем все службы защищаемой (внутренней) сети и Интернет. Такая система управляет доступом (как во внутреннюю сеть, так и из нее) на базе IP-адреса внутреннего или внешнего хоста и учета специфики используемых сетевых приложений.

Общеизвестно, что большое число открытых сетевых ресурсов и "либеральные" правила доступа к ним увеличивают риск вторжения злоумышленника в вашу сеть. Хорошая система firewall позволит вам предоставлять доступ в свою сеть при минимальном риске. Однако при этом придется контролировать "слабые стороны" хост-машин, с которыми вы работаете. Кроме того, потребуется выработать политику сетевой безопасности, в рамках которой будут определяться различные меры защиты, включая правила использования паролей и средств удаленного доступа по коммутируемым линиям. Самая надежная система firewall бессильна, если кто-нибудь, минуя ее, сумеет "прозвониться" в вашу внутреннюю сеть.

Решение проблемы обеспечения сетевой безопасности во многом зависит от того, на какие "жертвы" готова пойти организация, защищая свои данные. Следует учесть, что в результате применения дополнительных ограничений и мер по безопасности, кроме финансовых расходов на приобретение и поддержку средств защиты, могут возникнуть еще и определенные неудобства для самих служащих организации. Решение вопросов, связанных с информационной безопасностью и затратами на ее реализацию, должно взять на себя руководство организации. Прежде всего оно должно утвердить документ, в котором излагается корпоративная политика защиты данных и определяются меры безопасности. Желательно, чтобы разработчики этого документа обладали глубокими знаниями в области обеспечения информационной безопасности. Некоторые меры безопасности могут потребовать ограничения "свободы" пользователей сети. Это еще одна причина, почему необходимо иметь такой документ.

Широкие возможности

Одна из самых неудобных для пользователей мер защиты (но самая эффективная), которая реализуется некоторыми системами firewall, — аутентификация пользователей. Для получения доступа к ресурсу, находящемуся по другую сторону системы firewall, она требует от пользователя ввода своих имени и пароля. При этом эффективность защиты повышают путем применения одноразовых паролей. Вы также можете ограничивать доступ к ресурсам по времени суток, а в некоторых случаях — по дням недели. Существует несколько способов контроля доступа по времени.

В частности, можно разрешать доступ к некоторым или ко всем службам вашей сети только в рабочие часы. С одной стороны, это сокращает время, которое может быть использовано хакерами для определения и использования "слабых мест" в системе сетевой безопасности. С другой стороны, вы сможете лучше контролировать все "подозрительные" события, так как в рабочее время вы, вероятнее всего, будете находиться именно на своем рабочем месте.

Помимо защиты сети организации от вторжения извне, может потребоваться контроль доступа к ресурсам внутри самой сети. Например, нередко имеет смысл защита от потенциальных хакеров отдельных хост-машин, содержащих конфиденциальную информацию. Хотя проблема "внутренних" хакеров актуальна главным образом для университетов, где в свободное время студенты часто развивают и демонстрируют свою сетевую "квалификацию", тем не менее существует она и для корпоративных сетей.

Многие системы firewall протоколируют различные системные события, включая попытки осуществления несанкционированного доступа к тем или иным ресурсам. При этом контроль за обращением к определенным хост-машинам (на основе указанных IP-адресов) может осуществляться в различные, заранее заданные интервалы времени. Если фиксируется ситуация с признаками, характерными для попытки "взлома", то вся связь с подвергшейся нападению хост-машиной может быть запрещена автоматически или вручную. Многие системы firewall оповещают администратора о тревожных событиях, направляя свои сообщения по электронной почте или на его пейджер. Протоколы системы защиты могут служить доказательством вины хакера, если вы намерены привлечь его к ответственности.

Протоколирование событий также применяется для контроля эффективности использования корпоративных ресурсов. Например, с его помощью отслеживают, к каким WWW-серверам в течение дня чаще всего обращаются пользователи. Если обнаруживается, что кто-то из пользователей тратит много времени на сеансы связи с тем сервером, на котором нет информации, относящейся непосредственно к выполняемой им работе, то вы можете ограничить ему доступ к этому серверу с помощью фильтрации IP-пакетов. Этот метод контроля доступа не гарантирует надежный результат, поскольку IP-адреса часто меняются, а кроме того, постоянно появляется множество новых серверов, но все же он приносит определенную пользу.

Некоторые системы firewall могут проводить трансляцию сетевых адресов. В этом случае при передаче IP-пакетов из внутренней сети во внешнюю IP-адрес машины-отправителя заменяется другим IP-адресом. Это позволяет скрыть сеть по одну сторону системы firewall от сети, находящейся по ее другую сторону. При этом сохраняется возможность обращения узлов внутренней сети к хост-машинам внешней (Интернет) сети. Во время сеанса связи система firewall направляет обратный трафик к инициировавшему этот сеанс узлу. Еще одно достоинство трансляции сетевых адресов заключается в том, что узлы внутренней сети могут использовать IP-адреса, которые не разрешены органом распределения адресов Интернет. Кроме того, если во внутренней сети есть узел, который должен быть доступен из Интернет, то вы имеете возможность "отобразить" его "внутренний" IP-адрес на "внешний" IP-адрес. Однако, предоставляя доступ, вам следует принять меры предосторожности, чтобы такой узел не стал "лазейкой" в вашу сеть.

Шифрование

Те, кто намеревается передавать по Интернет конфиденциальную информацию, могут использовать так называемые виртуальные частные сети (Virtual Private Networks — VPN), которые организуются большинством современных систем firewall. Ваши сообщения передаются по такой сети в зашифрованном виде, поэтому не могут быть перехвачены в Интернет. При этом для расшифровки сообщений их получателю необходимы система firewall или специальное программное обеспечение. Достоинство виртуальных частных сетей — централизованное управление шифрованием. Вместо установки на компьютеры пользователей программного обеспечения для шифрования и организации его применения ими вы с помощью системы firewall всегда сможете обеспечить шифрование IP-пакетов с определенными протокольными портами или IP-адресами.

До недавнего времени на обоих концах линии связи необходимо было использовать одни и те же средства шифрования и дешифрования. Однако благодаря тому, что компания RSA Data Security поддержала проект S/WAN, были установлены стандарты на связь по виртуальным частным сетям. Недавно эта компания опубликовала результаты проверки на совместимость продуктов фирм-производителей, которые участвуют в данном проекте. Поэтому сегодня, принимая решение в пользу той или иной системы firewall, следует поинтересоваться, участвует ли ее производитель в проекте S/WAN.

Системы firewall традиционно разрабатывались только для платформы Unix. Это создавало большие неудобства для организаций, не имеющих средств для поддержки этой платформы. Некоторые производители уже отреагировали на данное обстоятельство и предложили системы firewall для ОС Windows NT корпорации Microsoft. Имеются также системы firewall, функционирующие на сервере NetWare и поддерживающие клиентов, которые используют протоколы IPX. Такие системы исключают необходимость устанавливать стеки TCP/IP на клиентские машины для доступа в Интернет. Модуль NLM, который запущен на сервере NetWare, осуществляет трансляцию IPX в TCP/IP, что требуется для доступа в Интернет. Этот же модуль выполняет ряд других основных функций системы firewall, в частности фильтрацию трафика на основе IP-адреса и номера протокольного порта


распечатать статью




  
3 '1997
СОДЕРЖАНИЕ

колонка редактора

• "Операция Ы-2", или Интеллектом сервер не испортишь

локальные сети

• Высокоскоростные сетевые адаптеры PC Card

• Microsoft и стандартизация дезинтегрируют сетевые ОС

• Варианты запуска кроссплатформенных приложений

корпоративные сети

• АТМ готова к работе на вашей магистрали

• Новые горизонты системного управления

• Факс-серверы масштаба предприятия экономят время и деньги

• Операционные системы: универсальность или многофункциональность?

• Проблемы внедрения корпоративных информационных систем

услуги сетей связи

• ISDN в России: первые шаги

• Как автоматизировать обработку телефонных запросов

• Выбираем устройство доступа к сети Frame Relay

• На пути к персональной связи: сети AMPS в России

• Первая пейджинговая сеть с двусторонней передачей сообщений

• Frame Relay и АТМ в Европе: догнать и перегнать Америку

интернет и интрасети

• "Узкие" места в сочетании Интернет + интрасеть

• Программное обеспечение: как получить поддержку?

• Анализ трафика Web-узла

• Не все Web-узлы сотворены равными...

защита данных

• Хорошо ли защищен ваш Web-узел?

• Правильный выбор системы firewall

новые продукты

• Dell PowerEdge 2100; HP NetServer E40 — сервер для малого бизнеса; Коммутация на третьем уровне в LANswitch; Новый Ultra Enterprise в стране "лилипутов"; Network Flyer 100 фирмы TDK Systems; SnapBack 4 фирмы Columbia Data Products; Internet LanBridge фирмы Virtual Motion; CycloneRAID фирмы Western Scientific; Firewall-1 фирмы CheckPoint Software Technologies; KEYview Pro: работаем с файлами приложений



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх