Black Hole 3.0 компании Milkyway Networks весьма успешно ликвидирует недостатки некоторых других технологий брандмауэров. Всем, кому необходимы защищенный доступ или защита от Internet, имеет смысл обратить на него внимание.

Black Hole поставляется в двух версиях: для SunOS и BSDI Unix. Я тестировал бета-версию для BSDI Unix. Unix и TCP/IP изначально не были предназначены для обеспечения защиты, и много времени и усилий пришлось потратить на то, чтобы преодолеть эти базовые ограничения. К примеру, в sendmail изъянов в защите - великое множество. Теперь они в основном исправлены, а хакерам приходится заниматься поиском дыр в Perl или каких-либо иных "трещин" в броне, защищающей сеть.

В конце концов, Milkyway взялась за ликвидацию недостатков защиты в Unix, изменив базовое ядро для того, чтобы сделать защиту жесткой и почти непроницаемой - недоступной практически для всех; исключение составляют люди, хорошо осведомленные о том, что происходит "внутри" операционной системы.

Большинство служб и функций, имеющихся в программном обеспечении Unix-систем, удалены из Black Hole: теперь базовая операционная система содержит только все необходимое для связи с консолью, диском и сетевой аппаратурой.

Во время тестирования я запустил сканер порта, Satan. Опробуя его на своих сетях, я не обнаружил сколько-нибудь серьезных проблем.

Краеугольный камень Black Hole - это руководство, которое объясняет, что брандмауэр может, а что не может делать, на примерах различных типов брандмауэров, от имитации IP до пакетных фильтров и защиты на уровне приложений.

Руководства, как печатные, так и интерактивные, достаточно совершенны и отличаются, по большей части, четким изложением материала. Они позволяют даже относительно неопытным администраторам создавать серьезную защитную систему для предприятия, потратив на изучение минимальное время. Интерактивное руководство имеет интерфейс браузера.

Наиболее сильное впечатление в бета-версии на меня произвел включенный в ее состав список обнаруженных, но пока не исправленных ошибок, а также предлагаемые возможности "обхода" неприятных ситуаций.

Документация, по моему мнению, отличается краткостью и хорошей организацией. Если вы при планировании политики защиты будете выполнять все действия в определенной документами последовательности, то установку и развертывание правил, разрешающих или запрещающих сервисы, вам, наверняка, удастся обеспечить с минимальными затратами.

Установка довольно проста. Версия BSDI Unix поставляется с двумя дискетами, которые тестируют аппаратное обеспечение системы и таблицу разделов диска. Затем начинается установка ОС с компакт-диска. После завершения первого этапа система перезагружается, и при помощи X Window GUI можно выполнить окончательную конфигурацию. После того как параметры конфигурации выбраны, вы должны обратиться в службу технической поддержки компании Milkyway за лицензированным ключом, чтобы получить возможность работать с пакетом. Ключ зависит от выбранных параметров и IP-адресов внешних и внутренних интерфейсов. Если после установки параметры меняются, вы должны получить в компании новый ключ.

Сотрудники службы технической поддержки оказались на высоте. Большую часть ответов на интересовавшие меня вопросы я получил в течение нескольких минут.

Milkyway описывает свой продукт как брандмауэр уровня приложений второго поколения, который прозрачен для пользователя. И, как уже отмечалось выше, он может быть сконфигурирован системным администратором таким образом, чтобы разрешить или запретить конкретные услуги на всех портах. Эти правила могут быть определены при помощи графического интерфейса пользователя на основе Motif, который очень прост в применении.

Правила устанавливаются пользователем, группой или службой, а аутентификация может быть определена для любого пользователя или службы, которые укажет администратор. Я не смог протестировать только Secure Virtual Private Networking, но поддержка нескольких видов аутентификации для обеспечения защиты очень хорошо описана в руководстве.

К возможностям аутентификации относятся применение имени пользователя и пароля, аналогичных применяемым в Unix, S/Key компании Bellcore, SafeWord компании Enigma Logic и SecurID компании Security Dynamics - все одноразовые ключи.

Возможности ведения журналов и подготовки отчетов богаты и разнообразны. Настраиваемые отчеты могут генерироваться интерфейсом SQL ядра базы данных Postgres95, которое встроено в Black Hole 3.0.

Трудности, которые у меня возникали, удалось разрешить путем установки в тестовую систему дополнительной памяти.

Даже при очень низкой нагрузке оперативной памяти объемом 32 Мбайт недостаточно для того, чтобы отображать браузер помощи и одновременно запускать программное обеспечение. Сейчас служба технической поддержки работает над этим вопросом.

Я протестировал пакет с восемью одновременными сеансами в telnet, HTTP и FTP как изнутри, так и снаружи внутренней сети, и никаких проблем не возникло. Не было никаких задержек и разрывов соединений, но, опять-таки, все это справедливо для ситуаций с низким уровнем нагрузки.

В руководстве сказано, что при использовании различных типов соединений, начиная от тех, чья пропускная способность составляет

56 Кбит/с, до соединений типа T1, ISA 66 МГц 486DX2 может обрабатывать нагрузку в пять попыток соединений в секунду, имея пропускную способность 300 - 400 Кбит/с. Примерно 7,5 Мбайт дискового пространства применяется ежедневно на каждое соединение для сохранения сообщений и предупреждений, поэтому тщательно оцените размеры своего жесткого диска, когда будете планировать установку системы. Администратор должен регулярно просматривать сообщения для того, чтобы избежать переполнения таблицы, в которой они хранятся.

Black Hole имеет неплохие перспективы благодаря простой установке, богатым возможностям подготовки отчетов и аутентификации ключа защиты. На этот продукт стоит обратить внимание в том случае, если вам требуется брандмауэр.


Полиция Internet

Брандмауэры против "преступных" элементов Java и ActiveX

Брандмауэры и другие средства защиты сети Internet могут в этом году помешать "осесть" на серверах и компьютерах пользователей объектам Java и ActiveX.

Компании Check Point и Trusted Information Systems (TIS) занимаются разработкой средств защиты от проникновения нежелательных объектов Java и ActiveX. Сейчас созданные ими брандмауэры позволяют блокировать проникновение апплетов в защищаемые узлы Web. Запланировано также расширение функциональных возможностей этих пакетов. Компания Finjan Software создала серверный и клиентский пакеты мониторинга и ограничения доступа для различных типов апплетов.

В феврале ожидается выпуск версии 3.0 пакета FireWall-1 компании Check Point. Он позволит администраторам определять правила или вводить процедуры принудительной аутентификации в случае попыток апплетов установить соединения с внешними серверами после их размещения в сети. Администраторы также смогут создавать списки "доверенных" серверов, с которых будет допускаться загрузка апплетов.

Пакет SurfinGate компании Finjan представляет собой сервер-шлюз, который проверяет исходные тексты апплетов и назначает им цифровые идентификаторы. Чтобы определить наличие преднамеренных изменений, SurfinGate "прогоняет" коды апплетов через базу данных. Затем он сравнивает тип апплета с профилем безопасности конечного пользователя и определяет, имеет ли право пользователь его загрузить. Пакет SurfinShield компании Finjan выполняется на машине конечного пользователя и представляет собой действующую в реальном времени программу-монитор, которая показывает выполняющийся апплет. Кроме того, этот пакет завершает выполнение программы или предупреждает пользователя в случае обнаружения любой попытки "враждебной" деятельности.

В ближайшее время в пакет Gauntlet Firewall компании TIS будет добавлена защита по цифровым сертификатам AuthentiCode компании Microsoft. Пакет будет пропускать только те объекты ActiveX, которые имеют сертификат от "доверенного" отправителя. TIS занимается поиском поддержки подобных сертификатов для апплетов Java. Кроме того, компания проводит исследования в области создания средств защиты клиентов. Такие средства будут окружать загруженные апплеты своеобразной "оберткой", которая ограничивает возможные операции апплетов на компьютере пользователя.

- Крис Джонс,
InfoWorld, США

КОРОТКО О ПРОДУКТЕ

Black Hole 3.0, бета-версия

Если учитывать, что речь идет о предварительной версии столь сложного продукта, как программный брандмауэр, можно смело утверждать, что специалисты Milkyway Networks потрудились совсем неплохо - процесс конфигурирования и управления защитой сети предприятия стал относительно простым и безболезненным.

Достоинства: прозрачный доступ к службам TCP/IP; поддержка Virtual Private Networks между удаленными узлами; всесторонняя фильтрация и отчетность.

Недостатки: управление требует длительного времени; слишком высокие требования к размеру диска и объему памяти.

Milkyway Networks: http://www.milkyway.com.

Дата выпуска: Black Hole 3.0 for BSDI: середина февраля; Black Hole 3.01 for SunOS уже выпускается.

Цена: 2950 долл. для 10 одновременных пользователей; 20500 долл. - для неограниченного числа пользователей.

Поделитесь материалом с коллегами и друзьями