Не все брандмауэры одним миром мазаны, по крайней мере это следует из результатов испытаний, опубликованных недавно Международной ассоциацией компьютерной безопасности (ICSA).

Фактически ассоциация предупредила о том, что число брандмауэров, не прошедших ее сертификационных тестов, резко возросло.

"В частности, новейшие брандмауэры на основе Windows NT часто не справлялись с тестом, имитирующем атаку хакеров, который лаборатория ICSA проводила в своем последнем туре оценочных испытаний", - сказал Пит Кафарцио, менеджер ICSA по программам брандмауэров. По его мнению, резкое сокращение за последний год числа продуктов, удовлетворительно прошедших тестирование, объясняется стремлением производителей побыстрее выбросить товар на рынок, что приводит к неизбежным недочетам.

ICSA тестирует брандмауэры на предмет того, можно ли их надлежащим образом сконфигурировать для отпора атакам хакеров, использующих протоколы FTP, SMTP, HTTP, telnet, Domain Name System, Secure Sockets Layer и Secure Hypertext Transfer Protocol. Кроме того, в настоящее время ICSA испытывает способность каждого брандмауэра противостоять попыткам хакеров обойти запрет на обслуживание.

Не все брандмауэры на платформе Windows NT оказались неуязвимыми. Новейшие результаты этой лаборатории, с которыми можно ознакомиться на Web-узле ICSA, показывают, что только восемь брандмауэров на платформе NT, в том числе продукты компаний Cisco Systems, Check Point Software Technologies, Raptor Systems и Secure Computing, прошли через это испытание.

В то же время Proxy Server 2.0 компании Microsoft, выполняющий функции брандмауэра и кэширования Web-страниц, не попал в последний список "зачетников" ICSA, даже при том, что Microsoft является членом этой ассоциации.

Не обсуждая конкретные продукты, провалившие тесты, Кафарцио сказал все же, что судя по результатам испытаний, на платформе NT построить хороший брандмауэр намного труднее, чем на Unix или на других операционных системах. "Дело в том, что при работе с NT приходится контролировать намного больше параметров", - сказал он.

ICSA включит в число выдержавших тестирование и брандмауэр Cisco IOS, который позволяет администраторам настраивать списки доступа, выполнять шифрование, использовать протокол защиты доступа TACACS и службу Remote Authentication Dial-In User Service, а также проводить авторизацию на уровне маршрутизатор - маршрутизатор для устройств доступа серий Cisco 1600 и 2500.

Маршрутизаторы, которые могут справляться с блокировками кода Java на основе IP-адреса, теперь в соответствии с директивами тестирования ICSA сертифицируются на способность соответствующим образом обнаруживать и пресекать попытки обойти запрет на обслуживание.

"Cisco встроит поддержку этих средств защиты и выдачи отчетов в свою центральную консоль управления конфигурацией не ранее июля, - подтвердила некоторое отставание компании Джоселина Окрент, продукт-менеджер по брандмауэру IOS. - Но сегодня с помощью продукта PrivateI компании Open Systems Solutions выдаваемые брандмауэром IOS регистрационные сообщения системы защиты можно конвертировать в удобочитаемый формат".

Поделитесь материалом с коллегами и друзьями