Размещение брандмауэров подобно операции на сердце: и то и другое считается сегодня чем-то повседневным, и тем не менее, как бы проста ни была работа, все хотят, чтобы ее сделал специалист. Реселлеры средств защиты пожинают невиданные прибыли в качестве экспертов в этой таинственной и пугающей области.
Достаточно вспомнить пару заголовков, появившихся за последние три месяца: «Хакер-малолетка парализует диспетчерский пункт аэропорта» или «Проникновение в компьютерные системы Пентагона».
Неудивительно, что спрос на квалифицированных реселлеров подогревается статистикой компьютерной преступности, отражающей самые различные противоправные действия: от кражи закрытой информации и взлома компьютерных систем до таких «милых шалостей», как вирусы и спуфинг.
В ходе обследования 520 корпораций, государственных учреждений, финансовых организаций и университетов США, проведенного институтом Computer Security Institute (CSI) совместно с ФБР, 64% из них сообщили о «прорывах» компьютерной защиты в 1997 г., что на 16% выше уровня предыдущего года.
Почти три четверти пострадавших от взлома респондентов признали, что понесли при этом финансовые убытки, общий объем которых выражается суммой в 136,8 млн. долл. Хотя так называемое «правило 80/20» (80% всех попыток взлома делается изнутри) и не вполне выполняется, это происходит лишь потому, что возрастает число вторжений через Интернет. Сейчас примерно половина всех попыток проникновения приходится на долю всемирной Сети. С этим отчетом можно ознакомиться на сервере CSI по адресу: www.gocsi.com/prelea11.htm.
В этих условиях брандмауэр, контролирующий поток информации между внутренней и внешней сетями и обеспечивающий безопасную и защищенную коммуникацию, становится неотъемлемой частью информационной инфраструктуры.
На долю брандмауэров как никогда приходится все более широкий круг задач, таких, как общекорпоративное управление и обеспечение отказоустойчивости критически важных систем. Вновь обращаясь к брандмауэрам для Web, Тест-центр CRN просил представить решения, обладающие надлежащими средствами обеспечения отказоустойчивости и управления, чтобы работать в глобальной корпоративной сети.
В настоящем обзоре рассмотрены девять брандмауэров на платформе Microsoft Windows NT 4.0. Среди участников этого обзора есть как ведущие поставщики отрасли, чьи продукты уже получили признание, так и новички. В их число вошли следующие компании: Check Point Software Technologies, Computer Software Manufaktur, Digital Equipment, Internet Dynamics, Microsoft, NetGuard, Network-1 Software & Technology, Raptor Systems и Secure Computing.
Дикий, дикий Запад
Реселлеры должны помнить: сколь бы надежен ни был брандмауэр, это всего лишь внешняя защита. Пытливые подростки, желающие проникнуть «за стену», - это только одна сторона дела; неграмотный пользователь может и сам открыть им дорогу.
Нетрудно вообразить случай, когда недальновидный пользователь открывает лазейку посторонним, просто использовав секретный код модема с незащищенной системы. Даже если рабочая станция не зарегистрирована в корпоративной сети, дошлый хакер может быть начеку, просматривая диагностические порты сети и информацию об устройствах и отлавливая сообщения SNMP.
Так уж повелось, что хакеры (вернее сказать, взломщики) рассматривают проникновение в закрытую систему примерно в том же ключе, как альпинисты объясняют свое пристрастие к покорению вершин: просто потому, что они есть. Понятно поэтому, что неуклонно растущее число корпораций, доверяющих свои информационные технологии Интернету, открывает «золотую жилу» для любителей острых ощущений. Но еще хуже, если такой «любитель» работает внутри самой корпорации, а то и в штате отдела ИТ.
Реселлеры, занимающиеся размещением брандмауэров, работают в условиях перманентного развития сетей, что требует постоянной перестройки как топологии самих сетей, так и конфигурации брандмауэров.
Списки управления доступом и реализуемые на брандмауэрах стратегии защиты могут быть многочисленны и непросты. Необходимы постоянные проверки, чтобы убедиться в правильности установки брандмауэра. Реселлер должен предвидеть действия пользователя, способные ослабить брандмауэр, и заранее подготовиться к этому, обеспечив надлежащее администрирование, обучение пользователей и стратегии ограничения доступа.
Спор об архитектуре
Брандмауэры подразделяются на два основных типа: фильтры пакетов и фильтры прикладного уровня. Фильтры пакетов (packet filter) просматривают маршрутную информацию сообщений, такую, как источник, получатель и номер порта. В отличие от них, фильтры прикладного уровня (application filter) используют свое посредничество для анализа и передачи данных между частной и общедоступной сетями. В сущности, фильтры пакетов работают на сетевом уровне. Фильтры прикладного уровня включают обычно модуль-посредник, на котором осуществляется регистрация пользователя; таким образом, отсутствует прямое соединение с общедоступной сетью. Как правило, требуется отдельный промежуточный модуль для каждого из типов прикладных средств коммуникации, таких, как FTP, HTTP или DNS.
При использовании «таможенного» контроля (stateful inspection) усовершенствованный фильтр пакетов «помнит» состояние соединения. К примеру, он помнит номер порта и следит за тем, чтобы доступ к этому порту был закрыт после того, как соединение будет завершено. Это удобно для протоколов, открывающих много портов (например, FTP). Хакеры часто сканируют порты высокого уровня в надежде найти открытый, оставленный давно ушедшим FTP-пользователем.
Плюс немного работы над инфраструктурой
Реселлеры должны сочетать обеспечение жестких мер безопасности с удобством для пользователей, учитывая групповой характер их работы. Этого можно достигнуть лишь с помощью сильной инфраструктуры брандмауэра с многочисленными контрольными точками и непрерывным мониторингом, проверкой отчетности и устранением проблем. На приведенном здесь рисунке показаны компоненты и архитектура брандмауэра промышленного уровня.
Еще один важный аспект - это обслуживание брандмауэра. Реселлеры, обслуживающие сети крупных клиентов, должны убедить их, что этим должен заниматься специально выделенный штат, который обеспечит непрерывный мониторинг.
Помимо устранения угрозы извне, реселлеры должны ликвидировать «слабые места» и внутри защищенной сети. Это преследует две цели: создание второй линии обороны на случай «прорыва» брандмауэра со стороны Интернета, а также защиту от «броска» в обход брандмауэра через модем или другой незащищенный шлюз, скажем IP-шлюз большого компьютера.
Сравнительные характеристики
| **** Отлично *** Выше среднего ** Приемлемо * Нуждается в совершенствовании | Инсталляция | Удобство использования | Функциональные возможности | Технология | Масштабируемость | Общая оценка |
|---|---|---|---|---|---|---|
| Сheck Point | **** | **** | **** | **** | **** | **** |
| CSM | *** | *** | * | ** | * | * |
| Digital | **** | **** | *** | *** | *** | *** |
| Internet Dynamics | ** | ** | ** | ** | ** | ** |
| Microsoft | *** | ** | ** | ** | ** | ** |
| NetGuard | *** | *** | ** | ** | ** | ** |
| Network-1 | ** | ** | ** | ** | ** | ** |
| Raptor Systems | **** | **** | **** | **** | **** | **** |
| Secure Computing | *** | *** | *** | *** | *** | *** |