Брандмауэры для простых смертных

Защита сети оказывается порой слишком дорогим удовольствием для малых и средних компаний. Специализированные устройства и сторонние услуги способны обеспечить защиту для широких масс.

Вряд ли какая-нибудь компания решится вести дела через Internet, если ее сеть не защищена брандмауэром. К сожалению, очень часто такая защита применяется только в самых крупных компаниях, где имеются специалисты и ресурсы для конфигурирования и управления этой достаточно сложной и дорогостоящей технологией.

Традиционно брандмауэры представляли собой программные пакеты для компьютеров под управлением ОС UNIX. Несмотря на то что брандмауэры на базе Windows NT проще в конфигурировании и управлении, чем их UNIX-аналоги, все же и они достаточны сложны и требуют привлечения опытных специалистов — штатных или со стороны. Из-за сложности настройки программных брандмауэров и полномасштабной политики защиты эта важнейшая технология обороны оказалась практически недоступна для многих малых и средних компаний.

Однако, как показывает проведенное в сентябре 1998 года исследование Cahners In-Stat Group (http://www.cahnersinstat.com), малые и средние компании составляют большинство. По данным этого исследования, только 3% компаний в Америке имеет свыше 1000 узлов и всего лишь 7% — от 100 до 1000 узлов, тогда как у подавляющего большинства эта цифра не превышает 100 узлов. Согласно тому же исследованию, если практически все компании с числом сотрудников свыше 1000 человек установили брандмауэры, то лишь немногим более половины фирм с менее чем 100 сотрудниками поступили также.

Программное обеспечение брандмауэра может стоить около 10 000 долларов — и это без учета стоимости его установки и обслуживания. Ввиду финансовых и технических ограничений малые и средние компании не имеют такого разнообразия выбора в области защиты, как крупные компании. Однако в последние годы поставщики брандмауэров и провайдеры услуг занялись наконец-то решением этой проблемы, предлагая малым компаниям более доступные варианты, в частности настроенные аппаратные брандмауэры и услуги по управлению брандмауэрами.

НЕБОЛЬШОЙ ЧЕРНЫЙ ЯЩИК

За последние два года (или около того) широкое распространение получили специализированные аппаратные брандмауэры. Иногда называемые «черными ящиками», эти продукты представляют собой небольшие устройства, подключаемые к сети точно так же, как, например, маршрутизатор. Вся функциональность заключена в устройстве, поэтому компании не нужно иметь эксперта UNIX или NT для установки программного пакета на сервер.

Критики с пренебрежением относятся к подобным устройствам, так как, по их мнению, «черные ящики» имеют весьма ограниченную функциональность. Однако многие производители опровергают этот сложившийся стереотип, предлагая достаточно мощные продукты для малых офисов. Таким образом, аппаратные брандмауэры варьируются от относительно простых готовых решений (объединяющих оборудование, операционную систему и брандмауэр в одном устройстве) до более сложных продуктов с поддержкой фильтрации трафика, функций VPN, а также идентификации и шифрования.

Готовые продукты можно, как правило, просто подключить к сети, так как они требуют минимальной конфигурации. Конечно, было бы нелишним, если бы кто-нибудь проверил все параметры защиты, чтобы как-нибудь ненароком не оставить огромную дыру в защите из-за неадекватности принятых по умолчанию значений.

Одной из первых на рынок аппаратных брандмауэров вышла компания WatchGuard Technologies (http://www.watchguard.com): ее продукт Firebox продается с 1997 года. Firebox представляет собой выделенное устройство защиты, устанавливаемое между сетью и маршрутизатором. Он содержит укрепленную операционную систему реального времени, управлять которой можно с машин с Windows NT или 95. Однако отвечающий за Firebox ПК с Windows вовсе не обязательно должен быть выделен исключительно под задачу управления брандмауэром.

Для более крупных сетей компания WatchGuard предлагает Firebox II с дополнительными функциями, в том числе с VPN на базе IPSec и возможностью удаленным образом одновременно управлять несколькими устройствами. WatchGuard Security System (она включает Firebox II, VPN для организации связи с удаленными пользователями и филиалами, а также программное обеспечение управления защитой) стоит чуть меньше 5000 долларов. Firebox первого поколения стоит около 4000 долларов, при этом добавление поддержки VPN обойдется еще в 1500 долларов.

Чтобы заказчики могли быть уверены в надежности защиты своих сетей и долгое время спустя после покупки брандмауэра, WatchGuard предлагает подписную услугу рассылки LiveSecurity. Представленная осенью 1998 года, LiveSecurity передает защищенным образом по Internet обновления программного обеспечения, предупреждения о возможных опасностях и другую информацию на терминал администратора сети. Появляющееся на экране сообщение уведомляет администратора о поступлении обновления. Ему остается только принять решение об установке или отказе от нее. В случае положительного решения обновление передается с рабочей станции администратора на все управляемые с нее устройства Firebox. При покупке Firebox WatchGuard предлагает бесплатную подписку на LiveSecurity на шесть месяцев; вообще же годовая подписка стоит 1300 долларов. В качестве дополнительной меры WatchGuard создала «команду быстрого реагирования», состоящую из экспертов в области защиты Internet. Это помогает компании вовремя предлагать обновления и предупреждать клиентов об опасности.

Защита для всех? Исследование Cahners In-Stat Group показывает, что если среди крупных и средних компаний, установивших брандмауэры большинство, то среди малых компаний таковых — чуть больше половины. Среди наиболее вероятных причин такой ситуации — высокая стоимость традиционного программного обеспечения брандмауэров и отсутствие знаний и опыта в области защиты и ИТ вообще в малых компаниях.

Однако в настоящее время WatchGuard столкнулась с жесткой конкуренцией на рынке аппаратных брандмауэров. Сегодня конкурентоспособные продукты для малых офисов предлагает не менее полудюжины других производителей.

Одним из них является Sonic Systems (http://www.sonicsys.com), чей SonicWall предназначен для использования не только в коммерческих организациях, но и в образовательных учреждениях. Такая стратегия имеет свой смысл, особенно с учетом того, что многие школы в США имеют выход в Internet — и таким образом могут стать жертвами хакеров и собственных учеников, когда тем захочется проникнуть в школьную компьютерную систему, чтобы изменить свои оценки.

SonicWall поставляется в нескольких конфигурациях, с поддержкой 10, 50 или неограниченного числа узлов. Все продукты имеют длинный список функций, включая контекстную проверку, впервые предложенную лидером в области программных брандмауэров — компанией Check Point Software Technologies (http://www.checkpoint.com). Продукты SonicWall позволяют остановить различные типы атак, в том числе отказ в обслуживании, ping of death, SYN-flooding и подмену IP-адресов. Кроме того, они поддерживают управление адресами Internet, фильтрацию информационного наполнения и управление из браузера Web, а также дополнительно IPSec VPN для организации защищенных коммуникаций между двумя или более удаленными точками. SonicWall стоит около 500 долларов.

SonicWall Pro, поставки которого начались в 1999 году, является флагманом линии продуктов компании. Помимо компонента для организации VPN он имеет операционную систему реального времени на базе процессора StrongArm на 233 МГц компании Intel. Вся информация хранится в наращиваемой флэш-памяти устройства.

Кроме того, SonicWall Pro поддерживает преобразование сетевых адресов, DHCP и фильтрацию исполняемого кода — и все это за 3000 долларов. Данный продукт предназначен для филиалов и компаний с сетями среднего размера.

Еще одна компания, сделавшая себе имя на рынке аппаратных брандмауэров, — Technologic (http://www.tlogic.com) — выпустила четвертую версию своего Interceptor Firewall Appliance в марте 1999 года. Этот стоящий чуть меньше 4000 долларов продукт несколько дороговат для малых компаний, но представляет хороший вариант для средних компаний. Впечатляющий список новых функций делает Interceptor 4.0 одним из наиболее функциональных аппаратных брандмауэров на рынке. Теперь Interceptor способен выполнять функции маршрутизации и подключаться напрямую к аналоговой или ISDN-линии, исключая таким образом надобность в отдельном маршрутизаторе. Вскоре продукт можно будет подключать также к линиям T-1. Новая версия поддерживает DNS и DHCP, а кроме того, она позволяет составлять отчеты с помощью инструментария компании InterView. Interceptor 4.0 способен осуществлять преобразование сетевых адресов и содержит новый графический пользовательский интерфейс с поддержкой Java.

Среди дополнительных опций — фильтр сорной почты, работающий совместно с опцией фильтрации SiteFilter Web. Обе эти функции периодически обновляются с помощью службы подписки через Internet.

Radguard (http://www.radguard.com), больше известная на рынке VPN, поставляет также аппаратный брандмауэр под названием cIPro-FW. Как большинство аппаратных брандмауэров, cIPro-FW создан на базе защищенной операционной системы и платформы. Он поддерживает преобразование сетевых адресов, идентификацию удаленных пользователей и меры против подделки адресов, а также позволяет просматривать адресатов и получателей сообщений и тип приложения.

CIPro-FW поддерживает каналы на 10 и 100 Мбит/с, т. е. он будет полезен для компаний и офисов, перешедших на Fast Ethernet. Свой опыт в области виртуальных частных сетей Radguard воплотила в дополнительной опции для VPN. Продукт стоит от 7000 долларов для 50 пользователей до 15 000 долларов для неограниченного числа пользователей.

Еще одним игроком на рынке аппаратных средств защиты является NetScreen Technologies (http://www.netscreen.com), чьи продукты имеют функции брандмауэра и выполняют целый ряд других функций защиты.

Устройство NetScreen-10 представляет собой брандмауэр для сетей Ethernet на 10 Мбит/с с поддержкой преобразования сетевых адресов, идентификации пользователей с помощью RADIUS и маркеров SecureID, динамических фильтров, блокирования конкретных URL и посредников сеансового уровня. Кроме того, оно имеет функции IPSec VPN, включая поддержку DES и Triple DES; средства формирования трафика для управления, выделения и контроля пропускной способности; удаленное управление на базе Web. Брандмауэр способен обслуживать до 4000 сеансов одновременно и стоит около 4000 долларов.

NetScreen-100 имеет те же функции, что и NetScreen-10, но он предназначен для сетей Ethernet на 10/100 Мбит/с. Данная версия способна поддерживать до 32 000 сеансов одновременно и имеет прозрачный режим работы. Последнее означает, что никаких изменений в сети и на ее хостах производить не нужно, так как продукт не имеет IP-адреса — эта особенность делает его к тому же менее уязвимым для атак. NetScreen-100 стоит от 10 000 долларов.

КРУПНЫЕ ИГРОКИ И НОВЫЕ ИДЕИ

Помимо названных компаний аппаратные брандмауэры предлагают такие отраслевые гиганты, как Cisco Systems и Lucent Technologies. Обе компании успешно наводят мосты между мирами передачи речи и данных, не забывая о важности защиты коммуникаций.

Cisco Systems имеет несколько типов продуктов защиты — от систем обнаружения атак до полнофункциональных брандмауэров, большинство из которых появилось у нее в результате приобретения других компаний.

В качестве брандмауэра Cisco предлагает специализированное устройство под названием PIX Firewall, поставляемое в нескольких конфигурациях.

PIX-515-R-BUN (где R-BUN расшифровывается как «ограниченный программный пакет») представляет собой продукт начального уровня. Он поддерживает свыше 50 000 соединений одновременно и обеспечивает производительность до 170 Мбит/с. Он оснащен двумя интерфейсами Ethernet и предназначается для компаний с удаленными узлами.

PIX-515-UR («неограниченный») имеет все функции PIX-515-R-BUN, а также средства обеспечения отказоустойчивости и шесть портов Ethernet на 10/100 Мбит/с. Эта конфигурация предназначена для компаний среднего размера.

Далее, Cisco предлагает также PIX515-FO-BUN («отказоустойчивый пакет»), включающий второй брандмауэр, берущий на себя все операции в случае сбоя основного брандмауэра.

На рынке брандмауэров Lucent делает ставку на Lucent Managed Firewall — динамический контекстный фильтр пакетов в программно-аппаратном исполнении. Аппаратным компонентом является Lucent Managed Firewall Brick, устройство в черном корпусе на базе процессора Pentium II. Brick выполняет программное обеспечение брандмауэра на базе защищенной операционной системы Inferno от Bell Labs.

Brick оснащен четырьмя портами Ethernet на 10/100 Мбит/с и может устанавливаться в сети между любыми устройствами Ethernet, такими, как маршрутизаторы, коммутаторы, концентраторы и серверы. Интерфейсы Ethernet на Brick не имеют IP-адресов, вследствие чего устройство оказывается невидимым для всех остальных сетевых устройств, за исключением второго компонента продукта — управляющего сервера.

Security Management Server выполняется на Windows NT или Sun Solaris и предназначен для управления Brick и выполнения функций администрирования политики защиты и протоколирования/аудита.

Совершенно иного подхода к аппаратным брандмауэрам придерживается Global Technology Associates в своем продукте с любопытным названием Gnat Box 2.2 (на русский язык его можно приблизительно перевести как «противомоскитная сетка») (http://www.gnatbox.com). В отличие от других продуктов на базе собственных аппаратных устройств с укрепленной операционной системой, Gnat Box представляет собой программный продукт. Однако это отнюдь не шлюз для приложений по цене 10 000 долларов. Global Technology Associates создала систему выполнения, загружаемую с одной дискеты. Продукт предъявляет минимальные требования к аппаратному обеспечению: ему вполне подойдет ПК с процессором до Pentium с весьма небольшой оперативной памятью. Продукт поставляется с графическим интерфейсом Web, а управлять им можно с любой из трех платформ по выбору: Windows NT, UNIX и даже Macintosh.

Имея впечатляющий список функций и цену порядка 1000 долларов для неограниченного числа пользователей, Gnat Box может составить серьезную конкуренцию программным брандмауэрам многих ведущих разработчиков. Помимо контекстной проверки пакетов, преобразования сетевых адресов, DHCP, расщепленной DNS и свыше 32 000 одновременных сеансов Gnat Box поддерживает доступ для приложений TCP и UDP, а также ряда приложений реального времени, в том числе RealPlayer, ftp, Vxtreme, CU-SeeMe, Net2Phone и QuickTime.

Global Technology Associates предлагает также Gnat Box Light — бесплатную ограниченную версию продукта для целей тестирования и ознакомления.

ЗАЩИТА НА ОТКУП

Аппаратные брандмауэры расширяют выбор средств защиты для небольших компаний и филиалов крупных корпораций, но и они могут оказаться неприемлемы для некоторых компаний. Для организаций, не имеющих в своем штате специалистов по ИТ, обращение к сторонним услугам может оказаться наилучшим подходом к обеспечению защиты, так как оно исключает необходимость в специальном штате и оборудовании.

Свои услуги по реализации брандмауэров и других мер защиты предлагают как вы думаете, кто? Конечно же те, кто стремится получить конкурентоспособные преимущества в этой области, а именно провайдеры Internet. Одной из таких компаний является GTE Internetworking, предлагающая Site Patrol for FireWall-1 (http://www.bbn.com). Как следует из названия услуги, она опирается на программное обеспечение от Check Point Software.

С помощью Site Patrol компания может определить свою собственную политику защиты. С этого момента GTE Internetworking осуществляет круглосуточный мониторинг сети по периметру в соответствии с предопределенной политикой защиты. При обнаружении нарушения защиты GTE Internetworking инициирует Security Incident Rapid Responce (SIRR) для изоляции атаки, в том числе, возможно, с помощью временного закрытия соединения Internet. GTE Internetworking продает также Site Patrol for Gauntlet на базе брандмауэра Gauntlet от Network Associates. Эта услуга поддерживает SmartGate VPN от V-One, а также пользователей в удаленных точках.

GTE Internetworking предлагает услугу Site Patrol не только конечным пользователям, но и другим провайдерам Internet, а те уже в свою очередь могут перепродавать ее своим клиентам.

Другой хорошо известный провайдер, предлагающий услуги по обеспечению защиты, — это PSINet (http://www.psinet.com). Его услуга SecurityCentral опирается на другую услугу InterFrame Internet и брандмауэры FireBox II от WatchGuard Technologies. PSINet осуществляет всю установку и сопровождение из одного операционного центра. Устройства Firebox взаимодействуют с операционным центром по защищенным каналам управления. Этот центр выполняет круглосуточный мониторинг сетей клиентов, а также проводит периодические проверки параметров защиты.

Услуга PSINet включает посредника прикладного уровня и динамический фильтр пакетов. Кроме того, компания предлагает соглашение об уровне сервиса, гарантирующее заказчику определенные характеристики услуги. Компания Fellow ISP UUNet Security Services (http://www.usa.uu.net) из состава MCI WorldCom также пошла по пути предложения управляемых услуг защиты. Ее InterManage предлагает клиентам UUNet услуги брандмауэра, а также мониторинга, составления отчетов и администрирования.

InterManage использует программное обеспечение FireWall-1 от Check Point Software, которое UUNet предлагает в виде нескольких пакетов — все на базе архитектуры Solaris SPARC от Sun. Программно-аппаратные пакеты поддерживают любое число пользователей, начиная от 50, причем все они предусматривают функции шифрования. Вообще говоря, все пакеты предоставляются готовыми для подключения к сети, но за отдельную плату UUNet может направить своего инженера для оказания помощи в инсталляции и конфигурации на месте. UUNET реализует предопределенную заказчиком политику защиты и предлагает проактивный мониторинг таких областей, как соединения с Internet, использование ресурсов и уровень производительности. Услуга предполагает, кроме того, регулярное резервирование системы брандмауэра на удаленный узел, а также периодическую проверку защиты брандмауэра. С помощью функции обнаружения атак журналы брандмауэра проверяются на предмет наличия признаков подозрительной активности. Все это венчает круглосуточная техническая поддержка. Приобретя IBM Global Network в декабре 1998 года, AT&T расширила в результате спектр своих услуг в области защиты (http://www.ipservices.att.com). Среди них AT&T Managed Firewall Service, представленная в том же 1998 году.

AT&T Managed Firewall Service опирается на серверы Sun Ultra Enterprise и программное обеспечение FireWall-1 от Check Point. Специалисты AT&T устанавливают программно-аппаратный комплекс на клиентском узле, после чего компания осуществляет его удаленный круглосуточный мониторинг и управление.

Среди новых возможностей AT&T Managed Firewall Service поддержка Ethernet на 100 Мбит/с, экранирования URL, собственных идентификационных систем заказчика, составления отчетов с помощью программных пакетов независимых поставщиков и организации VPN с помощью программного обеспечения шифрования VPN-1 SecuRemote от Check Point.

Еще одна компания, сделавшая себе имя в области услуг защиты Internet, — Pilot Network Services (http://www.pilot.net). В отличие от других вышеупомянутых компаний, Pilot является не провайдером Internet, а провайдером защищенных услуг Internet, таких, как электронная коммерция, VPN, идентификация, контроль доступа, проверка на наличие вирусов и фильтрация Web. На фоне других эта компания выделяется своим уникальным подходом к услугам защиты.

Ее Heuristic Defense Infrastructure представляет собой патентованную распределенную систему защиты, а не просто одинокий, хоть и находящийся под присмотром, брандмауэр. Эта архитектура защиты встроена в услуги Pilot. Клиенты обращаются к услугам посредством подключения к Internet через центры сетевых услуг Pilot.

Штат этих центров защиты в Сан-Франциско, Лос-Анджелесе, Чикаго и Нью-Йорке состоит из экспертов, которые не только осуществляют мониторинг системы защиты, но также, при необходимости, создают обновления для упреждающего реагирования на угрозы и атаки на системы клиентов. После создания обновления рассылаются подписчикам услуг Pilot.

ВСЕГДА НА СТРАЖЕ

Технология брандмауэров (и очевидные преимущества в области защиты, которые она дает) вышла за пределы мира компаний Fortune 1000. Теперь даже небольшие компании, не являющиеся чьим-либо филиалом, могут установить и сконфигурировать свой собственный брандмауэр или приобрести услуги по управлению защитой у одного из нескольких заслуживающих доверия провайдеров услуг.

Однако, как и во всем, что касается защиты сети, клиенты должны с особой осторожностью и тщательностью подходить к выбору этих продуктов и услуг. Простой в конфигурировании брандмауэр может и не иметь всех требуемых функций. Не поскупитесь на обращение к услугам консультанта, чтобы он произвел первоначальную оценку необходимости дополнительных функций, таких, как поддержка VPN. Учитывайте не только ваши текущие потребности, но и предполагаемые перспективы роста. Например, планируете ли вы увеличить штат сотрудников, вести дела с партнерами электронным образом и установить сервер Web для электронной коммерции?

Услуги по организации брандмауэров также требуют внимательного ознакомления. Так, провайдер должен в том или ином виде предлагать соглашение об уровне сервиса. Когда речь идет об услугах защиты, SLA имеют важнейшее значение, так как они позволяют понять, что именно предлагает провайдер и какие гарантии он дает. Традиционные пакеты брандмауэров с многочисленными функциями, поддержкой VPN и другими возможностями будут продолжать активно использоваться крупными компаниями, где имеются достаточные средства на их приобретение и обслуживание и где есть квалифицированный персонал для работы с ними. Но широкие массы, для которых эти продукты ранее были вне пределов досягаемости, теперь имеют несколько доступных вариантов выбора, так что их сон должен стать спокойнее от сознания, что и этот маленький уголочек мира надежно защищен.

Рассматриваемые продукты и услуги

Аппаратные брандмауэры

Независимые услуги

Ресурсы Internet

Отчет Cahners In-Stat Group «Брандмауэры для малых и средних компаний: Аппаратные устройства защиты для Internet» можно приобрести на http://www.instat.com/catalog/cat-ia.htm#ia18a/.

Статью с описанием различных типов брандмауэров, в том числе аппаратных, можно прочитать на http://www.infosecuritymag.com/fire.htm.