На линии огня.
Если компания выходит в Internet, то она может быть уверена, что хакеры о ней не забудут. Однако, если установить брандмауэр, сон администратора сети может стать спокойнее.
ПРЕОДОЛЕНИЕ ЯЗЫКОВОГО БАРЬЕРА
В старые добрые времена хозяева часто не запирали двери, когда ложились спать. Тогда угроза личной безопасности и собственности была минимальна.
За прошедшие годы преступность получила такое распространение, что даже жители небольших городков не защищены от опасностей внешнего мира. Пусть эта угроза только потенциальна, большинство людей предпринимают стандартные меры предосторожности, запирая двери домов и гаражей, а некоторые даже устанавливают системы сигнализации.
Нет никакого сомнения, что эта бдительность спасла бессчетное число людей от попадания в сводки криминальных новостей. Аналогия может быть без труда распространена на мир компьютеров и сетей, когда соединения с внешним миром делают всю систему открытой для атак извне.
В дни черно-белого телевидения, когда сеть Internet еще не была бельмом на глазу Министерства юстиции, бал правили мэйнфреймы и закрытые протоколы передачи. Ввиду закрытости этих систем необходимость контроля и защиты сетевого трафика не возникала. Однако ситуация изменилась с принятием TCP/IP в качестве сетевой технологии и с ростом популярности Internet.
"Переход к TCP/IP изменил парадигму: частные сети со специально написанными приложениями больше не нужны для того, чтобы общаться друг с другом, - говорит Рик Фарроу, независимый консультант из Internet Security Consulting. - Сегодня все сетевые приложения способны общаться друг с другом. Если ваша сеть с компьютерами и серверами использует открытые сетевые технологии, то вы должны приглядывать за входной дверью, т.е. за соединениями с другими".
С открытием доступа из сети в Internet для работы с электронной почтой, World Wide Web и такими сервисами, как telnet и ftp, любой абонент Internet может, в принципе, получить доступ к этой сети с непредсказуемыми последствиями.
Точно так же, как хозяева вынуждены запирать двери в своих домах, компании должны защищать сетевые ресурсы от посторонних.
СМЕНИТЕ ЗАМКИ
Любой более или менее серьезный план защиты внутренней сети от плохих парней в Internet не может обойтись без брандмауэра. Брандмауэры часто сравнивают с охранниками: они стоят на входе в сеть и проверяют каждый входящий и выходящий из шлюза в Internet пакет на наличие соответствующих прав. Брандмауэры контролируют сетевой трафик на уровне как Internet, так и Intranet и в некоторых случаях не только пропускают разрешенные пакеты, но и предотвращают попытки взлома системы извне.
По словам Фарроу, брандмауэры имеют три важные особенности: первое - весь трафик должен проходить через одну точку; второе - брандмауэр должен контролировать и регистрировать весь проходящий трафик и третье - платформа брандмауэра должна быть неприступна для атак.
Рынок брандмауэров возник только в начале 90-х, хотя такие компании, как Digital Equipment и Cisco Systems, включали аналогичные технологии в свои продукты и раньше. В 1992 г. технология брандмауэра вступила в пору расцвета; с этого момента рынок просто изобилует разнообразными продуктами.
Широкое развертывание брандмауэров началось год-полтора назад. "В прошлом году только где-то около 20% компаний приняли на вооружение эту технологию, - сообщает Фарроу. - Сегодня только 20% ее не применяют".
Обзор, проведенный IDC в начале года, предсказывал, что всемирный рынок брандмауэров возрастет экспоненциально с 10000 единиц в 1995 году до 1,5 миллионов в 2000.
ИДИТЕ СВОИМ ПУТЕМ
С началом объединения территориально-разбросанных локальных сетей маршрутизаторы стали необходимым инструментом при передаче трафика локальной сети в глобальную сеть для доставки в другую локальную сеть. Маршрутизаторы занимают важное место в большинстве сетевых сред, однако они не в состоянии обеспечить безопасность системы.
Фарроу указывает, что в отличие от большинства типов брандмауэров маршрутизаторы не имеют надежных средств протоколирования. Как таковые маршрутизаторы достаточны для компаний, пользующихся только базовыми услугами Internet типа электронная почта. Но если компания расширяется, создает филиалы и начинает пользоваться более сложными услугами или предоставлять удаленный доступ, то обычный маршрутизатор оказывается не в состоянии обеспечить защиту.
Однако при добавлении функций маршрутизатор может действовать как фильтр пакетов, т.е. служить в качестве одного из самых типичных брандмауэров. В самом деле большинство фильтров пакетов реализуется на базе маршрутизаторов. Среди них продукты Cisco Systems и Livingston Enterprises.
Такой гигант, как Bay Networks, заявил в июне 1996 года, что он собирается внедрить код брандмауэра разработки Checkpoint Software Technologies в свои продукты. "Все маршрутизаторы имеют списки доступа - базовый механизм, при помощи которого маршрутизатор определяет, какие пакеты могут входить и выходить из сети", - пояснил Ашим Чанда, директор по развитию бизнеса в CheckPoint. Однако он добавляет, что этот метод не столь надежен, как оснащение маршрутизатора всеми функциями брандмауэра. То, что Firewall-1 выполняется маршрутизатором Bay Networks, означает - покупать отдельный продукт для выполнения функций брандмауэра не нужно.
ФИЛЬТРАЦИЯ ДО НИЗУ
Фильтры пакетов производят оценку данных на основе IP-информации, содержащейся в заголовке пакета, а точнее, адреса отправителя и получателя пакета. Фильтр не только считывает IP-заголовок пакета, но и сопоставляет полученную информацию со списком правил фильтрации для разрешения или запрещения передачи пакета (см. Рис. 2). Правила фильтрации содержат такие поля, как IP-адрес, тип протокола, номер порта отправителя и номер порта получателя.
Фильтры пакетов прежде, чем разрешить пакету продолжение его предполагаемого маршрута, сравнивают эти характеристики с предопределенным значением.
В целом фильтры пакетов представляют наименее дешевые решения для брандмауэра, но, благодаря своему умению проверять пакеты различных протоколов, они являются и наиболее гибкими. Кроме того, фильтры работают быстро, поскольку они просто просматривают информацию о пакете при принятии решения. Но фильтры пакетов имеют несколько существенных недостатков: они не в состоянии отслеживать конкретный сетевой сеанс и не в силах предотвратить атаки с имитацией IP-адресов.
Имитация IP-адресов имеет место, когда хакер присваивает себе IP-адрес законного пользователя - зачастую внутренний адрес того, кто имеет доступ к ресурсам. А так как фильтры пакетов просматривают информацию об IP-адресе, то они допускают пакет с разрешенным адресом в сеть вне зависимости от того, откуда инициирован сеанс и кто скрывается за адресом. Если хакер узурпирует внутренний адрес, то результаты могут быть поистине разрушительными.
Однако усовершенствованная версия фильтрации пакетов, известная как динамическая фильтрация пакетов, позволяет анализировать адрес, с которого некто пытается осуществить доступ, и производит ping для проверки этого адреса. Очевидно, если злоумышленник использует внутренний IP-адрес компании извне, то ping не достигнет отправителя пакета, и сеанс не получит продолжения. Динамическую фильтрацию пакетов поддерживают продукты типа WatchGuard Security System компании Seattle Software Labs и BorderWare Firewall Server компании Secure Computing (данный продукт был приобретен Secure вместе с компанией Border Network Technologies из Торонто в начале этого года).
Seattle Software Labs, Cisco и CheckPoint Software Technologies поддерживает также технологию преобразования сетевого адреса. Эта технология обеспечивает обычную фильтрацию пакетов с искажением. При прохождении пакета через брандмауэр его IP-адрес заменяется на один из пула адресов. Такая замена позволяет скрыть внутренние адреса от злоумышленника за пределами сети. Другие типы брандмауэров, например шлюзы уровня приложения и шлюзы уровня канала, имеют эту возможность по умолчанию.
Когда дело касается протоколирования сетевого трафика, продукты, содержащие только фильтры пакетов, оказываются сплошь и рядом не в состоянии выполнить эту задачу, вследствие чего администраторы не могут определить, что их сеть была взломана.
Сети, имеющие несколько точек доступа извне, или сети, содержащие чрезвычайно важную информацию, наряду с фильтрами пакетов должны, вообще говоря, использовать другие продукты. Робин Хатчинсон, менеджер по продуктам в Secure Computing, объясняет: "Маршрутизатор с фильтром пакетов защитит разве что от 11-летнего хакера; любой, кто захочет проникнуть в сеть, сможет это сделать".
ПОМОГИ СЕБЕ САМ
Фильтры пакетов заняли свое место в системе безопасности сети. В отчете Yankee Group за 1995 г. утверждается, что, поскольку фильтры пакетов обеспечивают высокую производительность при низкой цене, они хорошо подходят для обслуживания нужд безопасности внутри сети. Организация может разбить сеть на сегменты и установить брандмауэр в каждом из них, отделив, например, бухгалтерскую систему от системы отдела кадров. В том же отчете сделан прогноз, что в 1999 году внутренние брандмауэры будут составлять 49% от 924-миллионного рынка брандмауэров.
Однако компаниям, которым нужен надежный страж, следует задуматься об установке шлюзов приложений, развивающих идею фильтрации пакетов. Вместо анализа IP-адресов пакетов такие шлюзы анализируют их на уровне приложений. Часто шлюзы приложений используют уполномоченное приложение для создания отдельного сеанса. В отличие от фильтра пакетов, этот сеанс не допускает прямого соединения между двумя сетями, функционируя как посредник для трафика пакетов (см. Рис. 3).
Обнаружив сетевой сеанс, шлюз приложений останавливает его и вызывает уполномоченное приложение для оказания запрашиваемой услуги, допустим telnet, ftp, World Wide Web или электронная почта. Инициировав уполномоченный сеанс, брандмауэр по существу ограничивает доступ к определенным приложениям. Многие шлюзы приложений предоставляют также уполномоченных для HTTP, Network News Transfer Protocol (протокол для управления группам новостей Usenet), Simple Mail Transfer Protocol и SNMP. Некоторые продукты, например Gauntlet компании Trusted Information Systems, поддерживают помимо вышеупомянутых сервисов и такие как rlogin, TN3270, POP-3, gopher, X Window, finger и whois.
По большей части популярные брандмауэры представляют собой шлюзы приложений, хотя они осуществляют также фильтрацию пакетов и другие функции. По самой своей природе шлюзы приложений имеют много преимуществ над фильтрами пакетов. Они выполняются на стандартном оборудовании, в частности на рабочей станции Unix, имеющей больше, чем маршрутизатор, возможностей настройки. В январе 1996 года Raptor Systems выпустила Eagle NT, первый брандмауэр на базе Windows NT, с помощью которого администраторы сетей могут сконфигурировать надежную защиту без знания Unix. С тех пор такие компании, как CheckPoint и NetGuard, также выпустили программные брандмауэры для Windows NT.
Ввиду того, что шлюзы приложений функционируют на уровне приложений, контроль доступа может быть отрегулирован значительно точнее, нежели в случае фильтров пакетов. Однако одним из недостатков такого подхода является то, что поток трафика существенно замедляется, поскольку инициация уполномоченного сеанса требует времени. Многие шлюзы приложений поддерживают скорости вплоть до уровня Т-1, но, если компании развертывают несколько брандмауэров или число сеансов увеличивается, заторы становятся настоящей проблемой.
Шлюзы приложений, кроме того, требуют отдельного приложения для каждого сетевого сервиса. Брандмауэры, не имеющие соответствующего приложения, не позволят осуществить доступ к данному сервису. С технической точки зрения, это означает, что при появлении новой версии какого-либо приложения она должна быть загружена на брандмауэр. CheckPoint решила эту проблему следующим образом: заказчики могут скачать с узла Web компании макросы с поддержкой последних редакций популярных приложений.
Другой тип брандмауэров, шлюзы уровня канала, напоминает шлюзы приложений за тем исключением, что уполномоченный сеанс организуется на уровне TCP (или UDP), а не на уровне приложения. Приложение выполняется не на брандмауэре, а в настольной системе внутреннего пользователя. Шлюзы каналов располагаются на хостах и как таковые они действуют аналогично транслирующей программе, получая пакеты от одного хоста и передавая их другому. Такая схема менее надежна, чем в случае шлюза приложений, поскольку пакеты анализируются на сеансовом (пятый уровень модели OSI), а не на прикладном уровне (седьмой уровень модели OSI). Кроме того, шлюзы уровня канала упрощают задачу инициирования внутренним пользователям незаконного сеанса. Шлюзы уровня канала редко применяются в автономных устройствах, однако если они используются совместно со шлюзами приложений, то такой брандмауэр более надежен.
ВИРТУАЛЬНОЕ СОЕДИНЕНИЕ
Обычно локальные сети связывают друг с другом при помощи глобальной сетевой службы, например арендованной линии или других выделенных средств для обеспечения надежного соединения между двумя точками. Для многих компаний плата в тысячи долларов за выделенные линии ложится тяжелым бременем на общий бюджет ИТ. Однако, развернув виртуальную частную сеть (VPN), компании могут создать соединение между брандмауэрами без дополнительных расходов на Т-1 или другие выделенные линии. Получить надежное соединение по Internet можно посредством кодирования проходящей по каналу VPN информации.
BorderWare Firewall Server 4.0 позволяет передавать информацию через Internet по шифрованным каналам с применением закрытых и открытых ключей. Продукт обеспечивает шифрование по алгоритму RSA Data Security, стандарт шифрования данных DES с 56-разрядным ключом, Triple DES в три раза более мощный, нежели DES, и стандарт шифрования RC5.
Eagle 4.0 компании Raptor Systems также поддерживает VPN с возможностью фильтрации внутри канала VPN. Обычно канал открыт для всех протоколов, но Eagle может пропускать только указанные приложения. Например, сеансы telnet могут быть запрещены, а электронная почта и World Wide Web разрешены. "Раньше все сервисы необходимо было разрешать или запрещать одновременно, теперь же некоторые функции можно блокировать по выбору", - рассказывает Марк Грандинетти, вице-президент по маркетингу в Raptor.
Соединения через виртуальную частную сеть, менее дорогие, чем выделенная линия, работают, только если на обоих концах канала установлены брандмауэры одного и того же поставщика. При установке нескольких брандмауэров неполное взаимодействие их между собой может вызвать проблемы. Однако поставщики брандмаэуров, и не только они, стремятся выработать стандарты, чтобы заказчики получили свободу выбора, а узлы взаимодействовали друг с другом без проблем.
В июне этого года отдел бизнес-приложений для Internet компании NEC Technologies продемонстрировал VPN с протяженностью от США до Японии. Ввиду того, что многие стандарты шифрования запрещены к экспорту из США, в демонстрации NEC использовала шифрование DES и Triple DES на конце канала в Сан-Хосе и японскую версию DES на конце канала в Токио.
Сеть VPN может применяться не только для связи между двумя офисами. Часто мобильному или удаленному пользователю нужен аналогичный уровень защиты и надежности при обмене информацией или доступе к сервисам Internet. CheckPoint Software использует клиентское программное обеспечение шифрования, благодаря чему удаленные пользователи имеют возможность инициировать надежное соединение либо через коммутируемые линии, либо через Internet.
CheckPoint FireWall-1 SecuRemote работает с Firewall-1. Вместе они позволяют мобильным или удаленным пользователям осуществлять защищенную передачу данных и применять сервисы Internet, даже когда прямой защищенный канал с главным офисом невозможен. При установке на портативную или другую удаленную машину SecuRemote дает возможность позвонить по локальному номеру Internet вне зависимости от местоположения пользователей, инициировать соединение VPN, отправить и получить шифрованную информацию.
ВСЕ ВМЕСТЕ
Вполне вероятно, что в течение ближайшего времени большинству компаний будет нужен только один брандмауэр. Однако потребность в брандмауэрах возрастает с ростом числа филиалов. Но тогда, как администраторы сетей смогут управлять несколькими брандмауэрами? К счастью, многие популярные брандмауэры имеют компонент управления или консоль.
Например, Raptor разработал консоль управления безопасностью Security Management Console для мониторинга, анализа и управления безопасностью предприятия. Raptor выпустила недавно несколько компонентов для консоли, включая Eagle Netwatch 1.1, трехмерный монитор безопасности с возможностью составления отчетов; Security System Adminis-tration, автоматически предупреждающий консоль при обнаружении подозрительных действий; продукт под названием Internet Scanner разработки Internet Security Systems с базой данных с 135 имитациями атак хакеров для тестирования защиты выбранных IP-адресов.
Secure Computing, производящая помимо BorderWare Firewall Server брандмауэр Sidewinder, встроила управление брандмауэром на базе Web в свой продукт BorderWare; для удаленного управления с шифрованием канала продукт пользуется средствами Netscape Navigator и Java.
Централизованное управление вызывает определенные заботы. "До сих пор люди присматривались к брандмауэрам в целях ознакомления с технологией, - говорит Марк Тейлор, менеджер серии продуктов в Raptor. - Теперь наши заказчики готовы к широкому развертыванию брандмауэров, но их больше интересует возможности управления продуктом, нежели его непосредственные функции".
Многими сетевыми устройствами, такими как концентраторы, коммутаторы и другие ресурсы, можно управлять с централизованной панели управления, например HP OpenView или Spectrum компании Cabletron. В потенциале брандмауэры могут также быть включены в эту систему. "Если брандмауэров несколько, то они должны управляться централизованнно, - считает Хатчинсон. - Многим компаниям это пока еще не нужно, но нет сомнений в том, что с ростом спроса централизованное управление появится и в продуктах типа SideWinder". Другие компании, включая Raptor, намереваются осуществить интеграцию будущих редакций своих брандмауэров с ведущими продуктами управления.
Но, поскольку безопасность - это совершенно другой коленкор в сравнении с управлением традиционными сетевыми устройствами, появление отдельной системы управления безопасностью вполне возможно. "Мы столкнулись с тем, что предприятия вынашивают концепцию отдельной консоли для системы безопасности, - прокомментировал ситуацию Чанда. - Заказчики устанавливают отдельные консоли, потому что они хотят иметь независимую структуру для обеспечения всех потребностей защиты".
Такой подход может даже привести к созданию независимой команды, отвечающей за конфигурацию, администрирование и управление защитой.
В НАЧАЛЕ БОЛЬШОГО ПУТИ
Рынок брандмауэров находится на начальной стадии своего формирования, но они тем не менее уже нашли свою нишу среди компаний с соединениями вовне. В сентябре 1994 г. Фарроу провел исследование рынка на предмет использования брандмауэров и выявил 10 важных поставщиков, работающих в этой области. В настоящее время около 40 компаний соперничают друг с другом за этот кусок рыночного пирога. По мере созревания рынка и роста конкуренции изменения должны наверняка затронуть несколько уровней. "Рынок развивается с умопомрачительной скоростью, и под давлением конкуренции компании проявляют всю свою изобретательность для добавления новых возможностей в свои продукты", - делится своими впечатлениями Тед Джулиан, менеджер IDC по исследованиям коммерции в Internet.
Эти новые разработки включают поддержку таких приложений, как RealAudio, для обеспечения защищенной радиопередачи, Internet Phone, усовершенствованной аутентификации с помощью аппаратных ключей сторонних поставщиков типа Security Dynamics и Digital Pathways, а также топологий Token Ring и 100Base-T. Кроме того, они опираются на Windows NT в качестве платформы. По мере усложнения и развития рынка мелкие поставщики будут наверняка вытеснены, если у них не будет солидного продукта. Поставщикам никак не прожить с продуктом, у которого ограниченный набор возможностей.
Благословенные 50-е никогда не вернутся, но с продуманным планом защиты мы можем чувствовать себя в безопасности, как и в те времена.
ПРЕОДОЛЕНИЕ ЯЗЫКОВОГО БАРЬЕРА
Подавляющая часть мелких и средних компаний с присутствием в Internet имеет только один брандмауэр для обслуживания потребностей защиты. Если даже они приобретут еще один, то наверняка он окажется от того же поставщика, что и предыдущий. Ввиду того, что продукты защиты покупались в основном у одного поставщика, потребность во взаимодействии брандмауэров различных поставщиков друг с другом не возникала.
Однако с установкой организациями множества брандмауэров в штаб-квартирах, филиалах и удаленных узлах дать гарантию единства происхождения продуктов из одного источника стало невозможно. Осознав эту ситуацию и следуя по стопам RSA Data Security, несколько поставщиков брандмаэуров предложили стандарт для шифрования и аутентификации на уровне IP в целях обеспечения защищенного обмена данными вне зависимости от того, кем данный брандмауэр произведен. Группа инженерной поддержки Internet опубликовала стандарт IPSec, благодаря которому брандмауэры различных поставщиков могут работать друг с другом. С его реализацией пользователи могут безопасно обмениваться данными через IPSec-совместимые брандмауэры.