Брандмауэры образуют первую линию защиты сети. Мы провели испытание шести брандмауэров Internet на базе ПК.


СЕНО, СОЛОМА ИЛИ КИРПИЧИ?
И ВЫ ЕГО ЗНАЕТЕ
BORDERWARE 3.1
FIREWALL-1 2.1
LABYRINTH
FIREWALL/PLUS
EAGLE NT ОТ RAPTOR SYSTEMS
GAUNTLET
ПОДВЕДЕНИЕ ИТОГОВ

СРАВНЕНИЕ ПРОДУКТОВ - БРАНДМАУЭРЫ


Начавшийся несколько месяцев назад лавинообразный рост числа узлов Web превзошел ожидания даже наиболее оптимистично настроенных наблюдателей, вследствие чего защита Internet и Intranet становится важнейшим вопросом для всего сетевого сообщества. Поскольку новые брандмауэры появляются теперь чуть ли не каждый день, мы решили взять на выбор несколько продуктов как признанных производителей средств защиты, так и новых участников этого сектора рынка. В этом "Испытательном стенде" мы рассмотрим несколько брандмауэров на базе ПК для Windows NT, MS-DOS и Unix.

СЕНО, СОЛОМА ИЛИ КИРПИЧИ?

Дилемма выбора брандмауэра - это главным образом вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанкционированное вторжение. Однако, учитывая широкий спектр необходимых пользователям сервисов (Web, ftp, telnet, SNMP, Network File System, телефония и видео в Internet, электронная почта - только некоторые из них), наряду с изначальной открытостью комплекта протоколов TCP/IP, - этого идеала достигнуть очень тяжело.

В действительности мерой эффективности брандмауэра служит вовсе не его способность к отказу в предоставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. Брандмауэры должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие транзакции санкционированы без ненужного замедления работы системы.

Брандмауэры делятся на два основных класса: фильтры пакетов и шлюзы уровня приложений. Системы фильтрации пакетов просеивают каждый IP-пакет через сито определенных пользователем правил и определяют права пакета на проход во внутренную часть сети. Шлюзы уровня приложений организуют внешний сетевой сеанс в ответ на каждый поступающий запрос о предоставлении сервиса, открывают соответствующий внутренний сеанс для санкционированного доступа и передают пакеты между внешними и внутренними соединениями. Вообще говоря, по сравнению с фильтрами пакетов, шлюзы приложений обеспечивают более сложный контроль за сеансом, но, как следствие, они требуют применения более мощных процессоров. Системы обоих типов нацелены на достижение одной и той же цели: защита сети от таящихся в ней canis lupus internetus.

Два из тестированных продуктов выполняются под операционной BSD/OS компании Berkeley Software Design, производной от Unix Berkeley/BSD 4.2d. Работающие на этой платформе Borderware Firewall Server от Secure Computing и Gauntlet от Trusted Information Systems различаются по предоставляемым сервисам и приложениям. Labyrinth от Cycon Technologies использует версию FreeBSD ОС BSD Unix. Мы рассмотрели также два других интересных продукта Firewall-1 от CheckPoint Software Technologies и Eagle NT от Raptor Systems. Оба продукта выполняются под Windows NT. И наконец, темная лошадка, брандмауэр под DOS - Firewall/Plus от Network-1 Software and Technology - оказался весьма достойным продуктом.

И ВЫ ЕГО ЗНАЕТЕ

Наша тестовая установка была очень простой. Мы создали локальную сеть из рабочих станций с различными версиями Microsoft Windows (и стеком протоколов Windows TCP/IP). В свою очередь, локальная сеть была подсоединена к брандмауэру, как к посреднику между ней и сетью лаборатории.

Для каждого брандмауэра было проведено два теста. Во-первых, мы применили такой инструмент для аудита защиты сети, как сценарий Satan 1.1 на Perl-5 (Satan позволяет найти известные незакрытые дыры в защите сети). Satan был сконфигурирован на Duracom 486/100 с 16 Мбайт RAM, жестким SCSI-диском на 1,2 Гбайт, сетевой платой SMC Ethernet и BSD/OS 2.1; Satan был скомпилирован при помощи компилятора Perl 5 от InterGraph, и выполнялся он под браузером в Netscape Navigator в стандартном издании для BSD/OS.

Как и ожидалось, все брандмауэры выдержали этот тест. Три брандмауэра (Borderware, Gauntlet и Eagle NT) выдали предупреждения, когда мы попытались прозондировать их с помощью тестовой процедуры Satan. Satan хорошо известен, так что в защищенности брандмауэров сомневаться не приходилось, поскольку неспособность защититься означала бы смертный приговор для продукта.

Наш второй тест состоял в попытке разблокировать конкретные порты сервисов на брандмауэре. Защита брандмауэров построена на блокировке портов UDP, представляющих собой потенциальные точки входа из Internet. Мы установили программное обеспечение CUSeeMe Университета Карнеги Меллон на одной станции с защищенной стороны и на одной станции в лаборатории. Цель этого теста заключалась в следующем: установить возможность работы с CUSeeMe, одним из представителей популярного в Internet, усовершенствованного коммуникационного программного обеспечения.

Ясно, что если можно разблокировать CUSeeMe, то и RealAudio, и Internet Phone, соответственно, тоже. В противном случае для организаций, желающих воспользоваться этими сервисами, польза от брандмауэров не столь очевидна.

Программное обеспечение CUSeeMe - это цифровой видеосервис, он использует порты UDP с 7648 по 7652. Мы применяли платы Video Digitizer от Computer Eyes под Windows 95 со стандартными видеокамерами. Тестирование состояло в запуске CUSeeMe на защищенной стороне для того, чтобы посмотреть, как брандмауэр будет на это реагировать.

BORDERWARE 3.1

Borderware Firewall Server (Borderware) представляет собой брандмауэр по типу уполномоченного (proxy) с уплотненным ядром BSDI BSD/OS. Подобно другим тестированным брандмауэрам на базе BSD, Borderware позволяет связывать доверенную или частную сеть с Internet с помощью шлюза из Ethernet в Ethernet или платы с портами Ethernet и Synchronous Data-Link Control (SDLC). Borderware уникален в одном отношении: в Borderware Enterprise Edition функция Secure Side Network (SSN) может быть установлена изолированно от доверенной сети.

Требования к оборудованию для Borderware довольно ограниченные. Для базовой платформы это компьютер с 486-м процессором или выше и минимум 16 Мбайт RAM (32 Мбайт рекомендуется). Borderware работает одновременно лишь с одним из двух семейств сетевых плат (от SMC и 3Com) и поддерживает только последовательные платы RisCom SDLC. Плату SCSI можно использовать любую, если это адаптер шины EISA или ISA от Adaptec либо одна из двух моделей Buslogic. Наличие платы SCSI обязательно, так как Borderware не поддерживает контроллеры IDE или Enhanced IDE, а установка Borderware производится с CD-ROM (он может быть затем снят). Жесткий диск со SCSI нужен только один; второй, необязательный жесткий диск со SCSI используется только при использовании сетевого протокола передачи новостей (Network News Transport Protocol, NNTP). Многие компании все равно покупают новое оборудование для брандмауэра, поэтому данные ограничения не должны представлять проблемы.

Версия Borderware на 25 пользователей не имеет SSN, поэтому необходимость в плате Ethernet между доверенной сетью и платой Ethernet или платой SDLC для Internet отпадает. Мы тестировали корпоративное издание Borderware с функцией SSN.

Брандмауэр Borderware был установлен на компьютер Duracom 486/100 с 32 Мбайт DRAM и SCSI-контроллером 1542C компании Adaptec с тремя адаптерами 3Com 3C579 Ethernet. Borderware весьма чувствителен к установкам IRQ и адресам порта каждой используемой сетевой платы. Из-за ошибки в документации мы выбрали эти параметры неправильно, но звонок в службу технической поддержки помог нам быстро разрешить данное затруднение.

Во время установки нам пришлось выбрать опции, без переустановки программного обеспечения изменить которые невозможно, а именно SMTP and POP Mail Server и NNTP/Network News. Документация по Borderware содержит данные о влиянии на производительность выбора каждой из них. Мы установили почтовые серверы SMTP и POP, но не Network News. Установка Borderware требует лишь номинального знания Unix, однако если следовать указаниям непосредственно, то Borderware может быть установлена и не очень опытным администратором сети.

Конфигурационные опции хорошо описаны в руководстве пользователя - единственной документацией по Borderware. Мы настроили сервис Web, Domain Name System (DNS) и ftp на сервере и затем выделили доверенной сети пространство адресов класса С.

Secure Computing рекомендует запуск приложений в подключенной к SSN локальной сети или на самом Borderware. Выполнение сервисов может быть передано сервером Borderware уполномоченным. Это применимо для таких сервисов, как почта SMTP, однако тогда они оказываются уязвимы, поскольку связь с Internet осуществляется уполномоченным напрямую. Если уполномоченный компьютер имеет доступ к другим сетевым ресурсам, то использование уполномоченного делает сеть открытой для возможного вторжения.

Применяемые Borderware транслирующие уполномоченные (relay proxy) позволили нам тут же начать работать с внешними ресурсами Internet. Порты RealAduio разблокируются на сервере Borderware по имени. Но другие порты, например порты CUSeeMe, блокированы, и звонок в службу технической поддержки Secure Computing ничем нам не помог в разблокировании конкретных адресов портов, помимо telnet и ftp. Совершенно очевидно, что уполномоченные конкретных портов UDP в Borderware 3.1 отсутствуют.

Borderware применяет набор правил для передачи почты SMTP и Network News. Эти правила бывают довольно сложными, но, к сожалению, загрузить их на сервер Borderware невозможно - они должны быть написаны на сервере. К счастью, правила и другую информацию о конфигурации можно сохранить и послать пользователям по электронной почте для воспроизведения в случае краха сервера. В эксплуатационных целях пользователям запрещается доступ к нижележащей файловой структуре Borderware или BSD/OS.

Сервер SMTP на сервере Borderware задерживает почту по причинам безопасности: он принимает почту на брандмауэре (или на SSN при соответствущей конфигурации) и только затем пересылает ее. Внутренние почтовые серверы настроены на внутренний адрес TCP/IP сервера SMTP при отправке почты. Программа пересылки почты SMTP в Borderware может удалять IP-заголовки из исходящей почты, в результате внутренние IP-адреса не указываются в заголовке сообщений электронной почты SMTP. Мы попробовали эту опцию, и она сработала.

Навигация по Web, исходящий telnet и ftp работали без проблем и прозрачным образом для браузеров и приложений telnet и ftp. Пользователи в доверенной части сети даже не замечают, что между ними и Internet находится брандмауэр. Однако доступ из Internet - это уже совершенно другое дело.

Несмотря на теоретическую возможность применения уполномоченных для сервисов различных типов, доступ из Internet к защищаемой части сети по большей части блокирован. Использующие технологии CryptoCard или SecureID сервисы telnet и ftp не входят в стандартный комплект поставки.

Консоль Borderware предоставляет множество данных о том, что происходит на сервере. Загруженность ЦПУ и полосы пропускания, число пользователей, занятых тем или иным видом деятельности, и другие параметры отображаются на цветном экране, причем они скомпонованы таким образом, что информация видна с расстояния в несколько футов.

Документация по брандмауэру адекватно объясняет установку, конфигурацию и функцию, но ей не хватает развернутых примеров и отладочной информации. Руководство пользователя нацелено, по всей видимости, на знакомую с Internet и осведомленную в Unix аудиторию. Руководство по быстрому запуску Borderware отсутствует, скорее всего, ввиду обилия конфигурационных опций, а также потому, что добавление многих опций после установки продукта невозможно.

Наше знакомство со службой технической поддержки оставляет двоякое впечатление. На некоторые звонки мы получали ответ тут же, но ответ на вопрос о разблокировании портов был получен через две недели, и то лишь после повторного звонка.

Ожидаемая новая версия продукта ко времени выхода статьи еще не появилась. Недостатки текущей версии состоят в требовании применения контролируемой аппаратной платформы, невозможности разблокирования конкретных сервисных портов и трудности конфигурации используемой Borderware базы правил. Отсутствие функции SSN в пакете на 25 пользователей наверняка вызовет недовольство некоторых администраторов.

В целом Borderware - мощный и прозрачный для пользователей брандмауэр. Монитор Borderware отображает такую информацию, как текущая пропускная способность, загруженность ЦПУ в целом и по видам сервисов (например число открытых страниц Web). Обнаружив зондирование, Borderware подает аварийный сигнал; такой сигнал прозвучал, например, когда мы попытались прозондировать Borderware при помощи сценария Satan 1.1.

FIREWALL-1 2.1

Firewall-1 компании CheckPoint Software Technologies - это многоплатформенный брандмауэр с находящимися на одном CD модулями для SunOS, Solaris и HP-UX. Ни один из других тестированных продуктов не обеспечивает кросс-платформенную поддержку. CheckPoint предоставляет два графических интерфейса управления для контроля соответствующих механизмов брандмауэров. Отличные от Windows платформы используют графический интерфейс OpenLook X Window, в то время как брандмауэр для Windows NT управляется при помощи графического клиента Firewall-1 для Windows 95 или Windows NT. Графический клиент Windows может контролировать серверные модули управления, даже если они выполняются на отличной от Windows платформе. Версия брандмауэра для NT поддерживает дополнительного клиента - SecuRemote Client, но он работает только в системе Windows 95. SecuRemote поддерживает прозрачным образом кодирование мобильного и удаленного доступа, с помощью которых пользователи могут связаться с корпоративной сетью Firewall-1 (издание Virtual Private Network) при помощи коммутируемых или удаленных соединений. Release 2.1 включает поддержку маршрутизаторов Bay Networks, благодаря которой функции анализа Firewall-1 могут быть реализованы на этих маршрутизаторах. Для данного обзора мы взяли системы CheckPoint для NT и Windows 95.

Модуль брандмауэра Firewall-1 устанавливается в ядро ОС и располагается между первым уровнем стека протоколов и сетевым уровнем, перехватывая весь пакетный трафик для определения соответствия пакета ряду правил. Если пакет не отвечает определенным в системе аутентификации правилам, то он не передается на вышележащий уровень.

Архитектура Firewall-1 состоит из основного модуля брандмауэра, модуля управления, графического интерфейса управления и шести демонов (snmpd, fwd, atelnetd, aftpd, ahttpd и aclientd) для обслуживания отдельных сервисов.

Система предоставляет редактор для организованной по типу электронной таблицы базы правил, в которой компоненты на отправителе и получателе (source and destination entities) соотносятся с соответствующими сервисами и правилами аутентификации. Эта таблица обеспечивает также контроль за судьбой неавторизованных пакетов, отслеживанием, регистрацией и определением того, какой компонент отвечает за выполнение верификации прав доступа. Firewall-1 использует краеугольное для брандмауэров правило "неявной отбраковки" в конце базы данных правил, согласно которому "запрещено все, что не разрешено явно".

Firewall-1 поддерживает несколько опций пакетной обработки, включая разрешение, отказ (отправитель видит сообщение об ошибке), отбраковку (отправитель в этом случае извещения не получает), авторизацию клиента или пользователя и шифрование пакетов. Попытки несанкционированного доступа могут документироваться с помощью коротких или длинных журналов, причем Firewall-1 может извещать администраторов с помощью звуковых сигналов или видеоизображений, SNMP-прерываний, почты или другим определенным пользователем способом. Система обеспечивает приличную защиту от подмены пакетов (anti-spoofing) с генерацией предупреждений о попытках подмены и принятием действий (в отличие от случая простых попыток несанкционированного доступа). Версия 2.1 имеет утилиту для экспорта данных из журнала в ASCII-файл.

Подход CheckPoint противоположен принятому Raptor в брандмауэре Eagle NT. Ввиду того, что модуль Firewall-1 располагается непосредственно в ядре ОС и перехватывает пакеты на уровень ниже того, на котором все программное обеспечение функционирует, нет необходимости в блокировании IP-маршрутизации и нет причины для подавления работающих на шлюзе брандмауэра процессов и демонов.

Установка Firewall-1 для NT проходит в два этапа: как указано в документации CheckPoint, управляющий графический интерфейс надо загрузить до установки модулей брандмауэра. Однако эти этапы могут следовать в любом порядке, так как в результате создаются две отдельные группы программ.

Программа настройки NT предлагает выполненного в стандартном для Microsoft стиле мастера настройки, который проводит администратора сети через процесс ввода идентификаторов и паролей администратора, имен хоста с графическим интерфейсом и удаленного хоста, а также лицензионного ключа (этот ключ лишь немногим короче кодовой последовательности запуска для ICBM). Установка завершается генерацией используемого для идентификации хоста ключа шифрования RSA. Работать с мастером несложно, но мы обнаружили, что отображаемые экраны приводятся в документации в ином порядке, поэтому в поисках нужной информации нам нередко приходилось листать руководство.

Интерфейс Firewall-1 следует принятым Microsoft стандартам. Например, он поддерживает все стандартные элементы управления Windows, опускающиеся меню и контекстно-зависимую подсказку. Экранная интерактивная подсказка весьма обширна и содержит детальные инструкции (иногда они даже подробнее инструкций в печатной документации) и графические иллюстрации для всех функций программы.

Ввод информации о новых хостах системы производится без затруднений, в особенности если система NT использует DNS для распознавания имен хостов. При нажатии кнопки Get Address, Firewall просматривает DNS в поисках IP-адреса. Система смогла найти и определить внутренние и внешние хосты за несколько секунд. Очевидно предполагая, что распознанным хостам можно доверять, система присваивает тег "внутренний" хостам, физически расположенным с внешней стороны сети. Однако для исправления этой ошибки требуется лишь небольшое редактирование.

Добавление новых правил в систему производится простым щелчком на одном из четырех вариантов, расположенных на линейке задач пиктограмм Add Rule. Щелчок приводит к созданию новой линейки с принятыми по умолчанию значениями "any" для отправителя, получателя и сервиса и значением "drop" для действия. Пользователю достаточно дважды щелкнуть на пиктограмме данного параметра для появления опций настройки хостов и правил. Firewall-1 предоставляет множество запрограммированных сервисных опций, а если пользователь по тем или иным причинам не в состоянии найти необходимый порт или сервис в исчерпывающем списке, он всегда может создать свое правило для доступа к требуемому сервису.

После построения таблицы правил пользователь компилирует ее в сценарий на Inspect (внутренний язык программирования Firewall-1) для задействования правил. Сценарии на Inspect хранятся в формате ASCII, благодаря чему при необходимости опытные программисты могут изменить сценарии вручную, но, поскольку имеется мощный графический интерфейс, это вряд ли кому-нибудь понадобится. Система предлагает обширный набор экранов с закладками для настройки параметров и значений по умолчанию.

После некоторой возни с конфигурацией отправителя и получателя для наших двух видеосистем мы смогли быстро заставить CUSeeMe работать через Firewall-1. Firewall-1 прошел тест с использованием Satan без проблем.

Графический интерфейс Firewall-1 гораздо богаче интерфейса Eagle NT компании Raptor, а его комбинация с мощной интерактивной справочной системой и стандартным интерфейсом Windows делает продукт CheckPoint безусловным победителем в качестве брандмауэра на платформе NT. Способность Firewall-1 выполнять любой процесс NT обеспечивает ему также дополнительную гибкость в качестве сервера или рабочей станции.

Однако мы столкнулись с некоторыми проблемами в системе SecuRemote, а именно с проблемой совместимости при попытке установки на подключенный через блок сопряжения Compaq LTE Elite 4/75 CXL. По-видимому, установленный SecureRemote виртуальный адаптер запрещает ping и блокирует связь системы с Microsoft Exchange. После деинсталляции программного обеспечения система заработала нормально. Консультанты из службы технической поддержки CheckPoint не знали, в чем здесь дело, так как система работает на других портативных компьютерах вполне сносно. Действительно, при установке на другие настольные рабочие станции под Windows 95 система работала нормально, так что проблема, скорее всего, в драйверах сетевой платы блока сопряжения.

Мы столкнулись с еще одним небольшим глюком в программе деинсталляции Firewall-1: программа оставляла файл fwuninst.exe в главном каталоге приложений NT - в результате попытки установки системы не имели успеха до тех пор, пока мы не догадались удалить файл вручную.

В целом Firewall-1 представляется мощной, надежной системой. Этот брандмауэр заслужил высокие оценки за удобство использования и мощную справочную систему, и, за исключением небольших несоответствий в документации, данный пакет хорошо продуман, вследствие чего он стал победителем среди систем на базе NT.

LABYRINTH

Labyrinth Firewall от Cycon Technologies создана на базе такой разновидности Unix BSD 4.2, как FreeBSD. Labyrinth, единственная из тестированных нами систем, предпринимала активные действия против попыток подделки адресов, т. е. попыток похитить привилегированные пакеты в целях получения доступа к сервисам из-за пределов сети для контроля над сетью. Интерфейсная плата под названием DMZ пресекает попытки зондирования и возвращает фиктивную информацию зондам или устройствам сканирования портов. Эта штука немедленно напустила на нас Клифа Столла. (Клиф Столл - автор "Яйца кукушки, или выявления шпиона в лабиринтах компьютерного шпионажа", истории об охотящемся за хакером из Восточной Германии сотруднике Lawrence Berkeley Laboratory.)

Cycon Technologies предпочла прислать нам преконфигурированную систему в виде компьютера Hewlett-Packard Pavillion 5120 (Pentium 133, 32 Мбайт RAM с жестким диском Quantum на 1,2 Мбайт, дисководом Sony CD-ROM и тремя сетевыми платами 3Com 5c589 для шины PCI). Преконфигурированная система стоит на 4000 долларов дороже. Несмотря на то что Labyrinth продается и отдельно, торговый представитель Cycon Technologies заявил, что большинство систем предлагаются вместе с оборудованием.

Согласно руководству администратора, ядро Labyrinth модифицировано, но, в отличие от Borderware, оно не уплотнено до той точки, когда становится возможен доступ внутрь системы. Документация утверждает, что в действительности Labyrinth использует собственную технологию stateful inspection, хотя по видимости Labyrinth осуществляет фильтрацию пакетов. Благодаря этой технологии пользователи в защищаемой Labyrinth части сети могут пользоваться блокированными по умолчанию портами - например Real Audio и ftp. Анализируя состояние диалогов, Labyrinth, как предполагается, в состоянии обнаружить, скажем, зонд Satan. Подобного рода заявление звучит слишком привлекательно, чтобы обойти его вниманием, и мы решили его проверить.

При обнаружении зонда Satan он должен быть перенаправлен на мнимый сервер "в середине" сети Ethernet (этот сервер на жаргоне Labyrinth называется "DMZ"). Очевидно, Labyrinth заманивает пользователя Satan для того, чтобы попытаться обнаружить источник зонда. Для противодействия атаке зонда Labyrinth имеет множество настроек и методик, начиная от отражения Satan, посылки фиктивной информации и до возврата случайной информации.

Мы связали Satan с сервером Labyrinth и запрограммировали Labyrinth на отражение зонда на самого себя. После запуска зонда Satan нашел сервер Labyrinth. В результате Labyrinth выдал нам список всех доступных сервисов на машине под BSD/OS с Satan, так как мы не предпринимали попыток защитить атакующую машину.

Сердце Labyrinth - команда Ipcycon для задания правил. Ipcycon имеет 11 базовых правил: интерфейс, направление (трафика), протокол, действие, адрес отправителя, маска сети отправителя, адрес получателя, маска сети получателя, спецификация порта (фильтрация порта), назначение порта и фиктивный адрес. Мы могли также добавить уровни регистрации событий от невероятно подробного до практически пустого. Командные фильтры Ipcycon редактируются вручную, и Cycon Technologies включила текстовый редактор pico для тех, кто не любит vi.

Тест на работу с CUSeeMe прошел гладко, нам даже не пришлось менять какие-либо настройки - разительное отличие от других тестированных нами продуктов. Использование практически любого TCP/IP-приложения с защищенной стороны сети не составило труда.

Labyrinth можно также настроить на работу с внутренним и внешним авторизованным браузером Web, однако мы не можем рекомендовать применение внутреннего браузера. При попытке запустить Netscape под прилагаемой к Labyrinth системой X11R6 X Window он работал очень медленно. При доступе из внешнего браузера все работало очень быстро, причем внешний браузер настолько близок к графическому интерфейсу, насколько близок к нему сам Labyrinth. Страницы имеют встроенную в них информацию в виде форм, и при заполнении они обновляют системные конфигурационные файлы. Как и в случае Gauntlet, вся не относящаяся к определению правил работа должна проводиться в символьном режиме. В результате настройка заняла у нас около часа.

Документация состоит из одного справочника администратора. Ввиду того, что брандмауэр был поставлен уже настроенным, никакая информация о настройке операционной системы не предоставлялась. Установщики Labyrinth, если они собираются производить изменения в оборудовании или конфигурации, должны быть знакомы с Unix. Большая часть документации посвящена объяснению примеров приложений для брандмауэра и представлению сценариев не только касательно системной конфигурации, но и того, что делать с хакерами. К сожалению, сопроводительная документация не имеет достаточно подробного руководства по диагностике. Комментарии, содержащиеся в различных конфигурационных файлах FreeBSD, модифицируемых при конфигурации, хорошо документированы и при этом снабжены ссылками на другие источники информации.

При обращении в службу технической поддержки мы не смогли сохранить инкогнито - служба состоит всего из двух человек, а распространение продукта строго контролируется. С учетом этого замечания, персонал технической поддержки оказал нам значительную помощь, причем вследствие того, что они являются членами команды по исследованиям и разработке, их знание продукта было весьма похвальным.

В целом Labyrinth - обещающая программа, но если она не поставляется заранее конфигурированной, то установщикам и администраторам не обойтись без опыта работы с Unix и без знания основ протоколов. Особенно приятное впечатление на нас произвело то, что документация Labyrinth с огромным вниманием относится к мерам защиты против хакеров. Конечно, некоторые администраторы не хотят иметь дело с такого рода вопросами и часто готовы пожертвовать удобством работы в обмен на блаженное неведение. Cycon Technologies подходит и для них.

FIREWALL/PLUS

Брандмауэры, некогда являвшиеся исключительной прерогативой Unix, работают теперь практически во всех основных операционных системах, в том числе MS-DOS. Firewall/Plus компании Network-1 работает под DOS 6.2 или выше (версия для NT появилась в конце 1996 года). Он представляет дешевую альтернативу дорогостоящим, работающим на выделенном оборудовании брандмауэрам. Низкая стоимость в этом случае не означает, однако, низкой эффективности, так как Firewall/Plus поддерживает широкий набор опций фильтрации пакетов, определения правил, сценарии и линии до Т-1 без снижения пропускной способности.

Ирония состоит в том, что с появлением встроенной сетевой поддержки в Windows 95 и Windows NT почтенный старый DOS нашел себе нишу в качестве платформы брандмауэра благодаря тому, что он не имеет встроенной поддержки сетевой ОС. Ввиду отсутствия встроенных в системные файлы DOS сетевых протоколов, он не открывает хакерам тех дыр, какие предоставляет неправильно сконфигурированный или неуплотненный Unix или брандмауэр на базе NT. (Уплотнение - это переделка ядра операционной системы или обычного приложения в целях противодействия взлому или использования их для взлома.)

Firewall/Plus предоставляет средства соединения с сетью и пакетные драйверы, упрощающие коммуникации с внешним миром и контролирующие прохождение пакетов между двумя сетевыми платами. Вследствие того, что передача пакетов возможна, только когда ядро Firewall/Plus работает, при отключении Firewall/Plus никакой сетевой процесс не в состоянии проникнуть по другую сторону брандмауэра.

Что касается удобства использования, возможность выполнения на платформе DOS дает Firewall/Plus определенное преимущество над брандмауэрами под Unix (и в меньшей степени под NT). Тот, кто достаточно знаком с системой на базе DOS для установки интерфейсной платы, и тот, кто понимает концепцию базовых адресов памяти и IRQ, может за час без труда осуществить установку Firewall/Plus. Даже наиболее опытным гуру Unix придется попотеть при установке и конфигурации сетевых плат и программного обеспечения брандмауэра для того, чтобы установить его за это время; а для тех, кто думает, что Perl-5 - это последний альбом группы Pearl Jam, установка брандмауэра под Unix превратится в настоящий кошмар.

Установка Firewall/Plus включает резервное копирование прежних файлов autoexec.bat и config.sys, загрузку программного обеспечения брандмауэра (версия 2.0 размещается на двух дискетах) и редактирования net.bat из каталога Firewall/Plus для загрузки пакетных драйверов для выбранной сетевой платы.

Firewall/Plus преконфигурирован для адаптеров SMC EtherPower, а документация содержит описание синтаксиса команд для адаптеров 3Com 3C509. Драйверы для других плат можно скопировать с узла Web компании Network-1 или взять их у поставщика сетевых плат. По умолчанию синтаксис команд пакетных драйверов Firewall/Plus использует программные прерывания 0x68 и 0x69 для незащищаемой и защищаемой сторон сети, соответственно, причем оставшаяся часть командной строки содержит либо номер слота PCI, либо базовый адрес ввода/вывода с указанием типа кабеля (BNC или TP).

Установка Firewall/Plus прошла гладко (Firewall/Plus и Eagle NT стали победителями наших испытаний по простоте установки), причем мы смогли установить и запустить продукт всего лишь за час (это время включает в себя также время на установку и конфигурацию драйверов сетевых плат). Реально загрузка программного обеспечения заняла менее пяти минут. Мы столкнулись с одним небольшим, но достойным упоминания глюком при резервном копировании прежних файлов autoexec и config. Документация по Firewall/Plus говорит о копировании прежних файлов autoexec.bat и config.sys в файлы с расширением .old, но мы создали также каталог ackroot и поместили туда копии этих файлов, не переименовывая их. После завершения установки обнаружилось, что Firewall/Plus модифицировал файлы не только в корне, но и в каталоге ackroot - эта проблема решается настройкой атрибутов. После установки Firewall/Plus блокирует стандартную комбинацию из трех клавиш (Ctrl-Alt-Delete): пользователи должны ввести команду reboot в командной строке DOS, если они хотят перезагрузить ПК.

После запуска Firewall/Plus отображает комбинированный блокнот с закладками и пиктограммами (Firewall заслужил нашу награду за самый привлекательный интерфейс), причем пиктограммы открывают доступ к заложенным страницам блокнота. Страницы содержат опции для общей конфигурации системы, статистики, характеристик узла и групп, фильтрации и отчетности по протоколам, управления регистрацией событий и настраиваемых отчетов. Дополнительные пиктограммы предоставляют опции для сохранения конфигурации брандмауэра, доступа к интерактивной справочной системе и настройки пароля для запирания консоли. Firewall/Plus использует повсюду в системе метафору пиктограмм ангел/дьявол для метки тех настроек, изменение которых влияет на внешнюю и внутреннюю часть сети.

Графический интерфейс статистики предоставляет системные данные в реальном времени, в том числе подробную информацию о числе пакетов с внешней и внутренней стороны сети, набор спидометров, отображающих загруженность ЦПУ, памяти и диска, плюс два спидометра, характеризующие совокупную загруженность сети по обе стороны брандмауэра. Хотя эту информацию можно найти и в журнале событий, графический интерфейс статистики дает мгновенное подтверждение нормальной работы в реальном времени.

Графический интерфейс узлов/групп и протоколов использует метафору древовидной структуры с двумя колонками (подобно File Manager/Explorer в Windows) для управления назначением узлов и фильтрации элементов управления по обе стороны брандмауэра. Пользователи могут либо щелкнуть один раз на элементе в левой колонке для отображения подчиненных элементов в правой колонке и затем дважды щелкнуть на элементе в правой колонке для отображения окна свойств выбранного элемента управления, либо дважды щелкнуть на дочернем элементе в левой колонке для отображения дискретного конфигурационного экрана.

Фильтры протоколов группируются в многоуровневое дерево, благодаря чему пользователи могут сконфигурировать все семейство протоколов или родителя (например все функции IP или только Internet Control Message Protocol) на данном уровне фильтрации, при этом все настройки автоматически передаются всем дочерним элементам данного родителя. При необходимости дочерние фильтры могут быть затем отрегулированы индивидуально. Firewall/Plus использует пиктограмму с изображением галочки или перечеркнутого круга для отображения относительных уровней фильтрации. Серая пиктограмма удостоверяет, что дочерний фильтр имеет те же настройки, что и родитель, в то время как зеленая или красная пиктограмма свидетельствует об его более или менее либеральных в сравнении с родительским фильтром настройках. Настройка производится открытием пиктограммы с изображением галочки или перечеркнутого круга и переключением опций, начиная от разрешения на пропуск всех пакетов и кончая удалением данного типа пакетов.

Мы решили не следовать рекомендации Network-1 и выбрали менее мощный компьютер, чем рекомендуемый Pentium на 100 МГц с 16 Мбайт DRAM. В итоге система была установлена на стареющий Compaq Prolinea 486/50 c 16 Мбайт RAM, и, несмотря на то, что периодически пакетные передачи по локальной сети Ethernet приводили к зашкаливанию индикатора загруженности ЦПУ, она работала как часы. При быстром переключении с одного экрана на другой курсор иногда замирал, но после короткой заминки система всегда приходила в себя и не собиралась зависать. Мы были удивлены и просто поражены тем, что после задействования сервисов UDP в целях организации соединений для CUSeeMe брандмауэр Firewall/Plus передавал видеопакеты без заметного снижения производительности по сравнению с открытыми соединениями Ethernet. Это хорошее известие для небольших офисов с ограниченным бюджетом, в которых установить брандмауэр хотели бы на уже имеющийся компьютер.

Firewall/Plus прошел наш тест на зондирование Satan и, как упоминалось, работал с CUSeeMe без каких-либо проблем. Графический интерфейс удобен в использовании и предоставляет все необходимые для защиты опции фильтрации пакетов. При цене от 3995 до 10000 долларов (с выходом версии для NT цена должна упасть до 1500 долларов) Firewall/Plus 2.0 заслуживает особого внимания, если вы ищете брандмауэр под DOS.

EAGLE NT ОТ RAPTOR SYSTEMS

Если вы любитель орнитологии, то брандмауэр Eagle NT компании Raptor Systems придется вам по вкусу. Пернатый триумвират программ Eagle NT предназначен для работы под Windows NT 3.51 Server или Workstation. Несмотря на то что продукт в целом носит название Eagle ("орел"), реальную работу по защите выполняют два основных системных модуля Hawk ("ястреб") и Vulture ("гриф").

Подход Raptor к организации доступа к сервисам TCP/IP весьма любопытен. Запросы к серверам обрабатывают семь программных модулей: пять модулей (telnetd, gopherd, httpd, ftpd и SMTPD) нацелены на работу с наиболее популярными членами комплекта протоколов TCP/IP, а два оставшихся модуля (proxyd и контролер сервиса - Generic Service Passer, GSP) обеспечивают обслуживание всех остальных процессов. Базовые модули образуют промежуточный уровень между сетевым уровнем (драйверы сетевых плат) и стеком протоколов TCP/IP, а общий модуль управления gwcontrol составляет центральную базу правил авторизации.

Система прослушивает запросы к сервисам и определяет подпадание запроса под юрисдикцию одного из пяти основных модулей обработки или приложения GSP. В свою очередь, все семь модулей обращаются к модулю gwcontrol для подтверждения законности запрашиваемого сервиса. При выдаче подтверждения модуль gwcontrol определяет, как процесс должен быть направлен различным сетевым компонентам (они перечислены в определенной пользователем базе данных аутентификации) и каковы ограничения на соединение в целях контроля реального сеанса.

При установке Eagle NT все стандартные сетевые протоколы NT (NetBEUI, NetBIOS, DHCP, Windows Naming Service и сервисы удаленного доступа), за исключением TCP/IP, удаляются, так что компьютер под NT, на который вы собираетесь установить Eagle, не может использоваться как Primary Domain Controller или Backup Primary Domain Controller. Кроме того, ввиду блокирования DHCP поддерживается только статическая адресация и маршрутизация IP.

Тестируемая нами версия 3.02 поддерживает только сетевые платы Ethernet. Прежде чем устанавливать Eagle, неплохо бы протестировать обе сетевые платы на правильность IP-маршрутизации между ними, потому что после установки ping между платами или через брандмауэр становится невозможен. В то же время ping внешней платы с внешней стороны сети или ping внутренней платы с внутренней стороны сети по-прежнему возможен, но никакой протокол TCP/IP не получает прямого доступа к хосту по другую сторону брандмауэра. Например, вызовы ftp с внешней станции напрямую к внутреннему хосту останутся без внимания; вместо этого вызовы должны делаться по внешнему IP-адресу брандмауэра Eagle, причем брандмауэр обрабатывает попытку входа, как уполномоченный, и, удостоверившись в подлинности пользователя, инициирует виртуальный сеанс ftp с внутренним хостом. Более того, вы должны использовать команду маршрутизации NT для построения статической таблицы маршрутов, так как обычные функции шлюза NT не позволяют вам осуществлять маршрутизацию между платами для нахождения шлюзов по обе стороны сети. Eagle обладает функцией обратного поиска в базе данных сетевых компонентов для определения действительных IP-адресов и адреса запрашивающего пользователя прежде, чем предоставить ему уполномоченного во внутренней части сети.

Eagle выполняется, как сервис NT. Появляющиеся элементы управления для сервисов, устройств и сетевых приложений позволяют запускать и останавливать брандмауэр, как любой стандартный сервис NT. Элементы Eagle видны и в программе просмотра событий, и в мониторе рабочих характеристик.

Модуль Vulture - подавитель процессов. По умолчанию он сканирует выполняемые сервисы каждые 60 секунд (период сканирования можно отрегулировать в соответствии с требованиями эффективности работы). Если Vulture обнаруживает не являющийся авторизованным модулем Eagle или частью нижележащей системы NT процесс, он подавляет его автоматически. Vulture обеспечивает также блокирование IP-маршрутизации и маршрутизации от источника. Файл vulture.runtime содержит параметры сканирования Vulture. Установка времени сканирования равным -1 блокирует Vulture.

Vulture гарантирует, кроме того, что только зарегистрировавшийся как администратор NT получает доступ к конфигурационным параметрам Eagle. Попытка зарегистрироваться с другим ID (даже если пользователь имеет административные привилегии) приводит к закрытию Progman, причем поверхность рабочего стола на экране остается абсолютно пустой. Это свойство Vulture не документировано, а посему мы оставались в полном недоумении до тех пор, пока не зарегистрировались как администратор.

Несмотря на то что Eagle NT - хорошо составленный пакет в смысле функциональности брандмауэра, ему не хватает двух вещей: интерактивной справочной системы и документации, поскольку при подробном описании архитектуры Eagle, Hawk и Vulture информация о реальном поэтапном определении сетевых компонентов, правил идентификации и задания сервисов неоднородна. Некоторые разделы справочника содержат снимки экрана с графическими элементами управления, которым, однако, как правило, недостает полезных примеров. Мы были вынуждены позвонить в службу технической поддержки Raptor для получения помощи по выработке определений настраиваемых портов и по установлению рабочих соединений между внешними клиентами и внутренними хостами.

Впрочем, справочную систему Eagle имеет, но она представляет собой набор документов в формате .html, в результате пользователь вынужден переключаться между браузером и графическим интерфейсом Hawk. Это создает дополнительные неудобства, которых могло бы и не быть, если бы справочная система реализовывалась стандартным образом с вызовом через клавишу F1. Внутренние пользователи могут получить доступ к файлам .html, но для этого администратор должен определить правило авторизации локальных хостов для разрешения доступа.

Инструментальный набор Hawk - основной графический интерфейс Eagle - содержит набор опций для определения и управления сетевыми компонентами, пользователями, группами, сервисами, авторизацией, оповещением и шлюзом. Системный интерфейс использует комбинацию спускающихся меню, диалоговых окон, списков и полей для ввода текста. Некоторые части графического интерфейса не интуитивны, а это вкупе с вышеупомянутым отсутствием контекстно-зависимой справочной системы при попытках создать определение приводило зачастую к появлению сообщений об ошибке.

Конфигурация Eagle начинается с создания таблицы внутренних и внешних систем с использованием опции сетевых компонентов, причем последние, в свою очередь, образуют базис для задания конкретных правил авторизации для контроля доступа к системе. Система поддерживает такие компоненты, как хост, домен, подсеть и группа. Эта функция отлична от определения пользователей и групп (последняя применяется для определенных целей, например идентификации сеансов ftp и telnet).

Идентификация может быть осуществлена двумя способами: стандартный доступ на основе пароля и система запрос-ответ S/Key. Второй способ состоит в применении системы на основе однократных паролей, при этом она использует комбинацию известного пароля пользователя, случайного значения и счетчика итераций. Счетчик уменьшается с каждым новым циклом генерации пароля, ограничивая число разрешенных обращений. При доступе пользователь вводит свой пароль. На это Eagle отвечает однократной строкой пароля с шестью словами и уменьшает счетчик. Если счетчик пользователя становится равным нулю, то пользователь не может установить соединение до тех пор, пока администратор не изменит настройку. Третий тип идентификации - ACE - версией Eagle для NT не поддерживается, несмотря на то что он доступен в других версиях операционной системы. Система позволяет также ограничить доступ в зависимости от времени суток и определить несколько пороговых опций для подачи предупреждения при превышении порога в целях облегчения отслеживания повторяющихся попыток доступа.

Eagle обеспечивает прозрачный доступ для авторизованных внутренних пользователей к сервисам telnet, ftp, HTTP и SMTP, благодаря чему пользователь может, например, скопировать файлы по ftp с хоста с внешним IP-адресом, при этом брандмауэра он даже и не заметит. С другой стороны, внешние пользователи не могут напрямую обратиться за аналогичным сервисом к внутреннему хосту - вместо этого они должны обращаться к брандмауэру. После идентификации внешнего пользователя Eagle действует как уполномоченный по передаче запросов сервиса к внутренней части сети.

Опция шлюза предоставляет сводку в реальном времени о текущих соединениях с брандмауэром наряду с доступом к журнальным файлам и подробными видами соединений. Интерфейс включает функцию для подавления соединений с нежелательными пользователями. Графический интерфейс имеет также индикатор состояния шлюза (включен/выключен).

Что касается эффективности, то Eagle без труда справился с Satan и с попытками несанкционированного доступа. После задания необходимых дополнительных определений портов система смогла соединить наши две системы CUSeeMe. Raptor рекомендует компьютер с процессором Pentium с 32 Мбайт DRAM в качестве минимальной аппаратной платформы. И действительно, Eagle NT работал очень хорошо на нашей тестовой платформе Duracom с Pentium на 100 МГц. В то же время при тестировании системы на компьютере с процессором 486/66 с 32 Мбайт RAM не обошлось без проблем: приложение периодически зависало при переключении между экранами графического интерфейса. После перезапуска брандмауэр восстановил свою функциональность, выдав несколько сообщений о непредвиденном закрытии системы.

В целом Eagle NT - очень надежная система с эффективной обработкой стандартных функций TCP/IP благодаря подходу с выделенными сервисами. Персонал службы технической поддержки ответил на все возникшие у нас вопросы. Отсутствие контекстно-зависимой подсказки и некоторые пробелы в документации несколько затруднили использование продукта.

GAUNTLET

Gauntlet компании Trusted Information Systems служит примером минималистского подхода к брандмауэру. Мы тестировали версию Gauntlet для BSD/OS 2.1, но версии для Solaris компании Sun и HP-UX компании Hewlett-Packard стоят ровно столько же.

Gauntlet содержит стандартную редакцию BSD/OS 2.1 (естественно, она должна быть установлена до Gauntlet, что занимает около часа у тех, кто знаком с SCO, UnixWare, Solaris или другими вариациями Unix для ПК на базе Intel). Gauntlet, как и Borderware, рассчитан на знакомых с процедурами и синтаксисом Unix установщиков и администраторов.

Мы установили BSDI и Gantlet на ПК с процессором Pentium 100, 16 Мбайт DRAM, жестким диском на 1,2 Гбайт (IDE Quantum с дисководом Sony 8X CD-ROM) и платой SMC EtherPower 100/10 Ethernet для шины PCI с двумя портами. Редакция BSD/OS 2.1 поддерживает около 20 различных типов сетевых плат и многие контроллеры жесткого диска.

После установки BSD мы обратились к шестистраничной откопированной документации с инструкциями о том, как установить Gaunlet с двух прилагаемых дискет высокой плотности. Если бы мы прочитали требования к системе более внимательно, то непременно заметили бы рекомендацию установить две платы 3Com 3C509 Ethernet. В другом месте документация утверждала, что подойдут любые совместимые с версией BSDI BSD/OS сетевые платы. В конце концов это так и оказалось.

С помощью команды tar мы переместили инсталляционные файлы, а затем вызвали оболочку установки. Процессор распаковал некоторые файлы и занялся компоновкой Gauntlet. После компоновки нового ядра BSD/OS мы перезагрузили систему. Тут же выяснилось, что успешно сконфигурированные в BSD/OS сетевые платы не обнаруживались в процессе начальной загрузки. Покопавшись в документации, мы пришли к выводу, что необходимо изменить конфигурационный файл Gauntlet и только после этого производить компоновку заново. Первая попытка заняла полчаса, вторая же 15 минут.

К этому моменту корневая файловая система оказалась заполнена, и вновь скомпонованное ядро в нее не влезало. В конце концов нам удалось втиснуть новое ядро в корневую файловую систему. После перезагрузки BSD/OS и Gauntlet все обнаружили правильно и немедленно вызвали оболочку конфигурации.

Gauntlet делит две свои сетевые платы на находящиеся с внешней и внутренней (незащищаемой и защищаемой) стороны. Политика для каждой из сторон разная. Gauntlet признает также третий тип сети: неизвестная сеть - ни защищаемая, ни незащищаемая. По умолчанию список защищаемых сетей охватывает все не являющиеся незащищаемыми сети, поэтому изначально неизвестных сетей нет.

Принятая по умолчанию политика для внутренних (защищаемых) сетей разрешает разнообразные сервисы (HTTP, telnet, ftp и NNTP). Умолчания для незащищенных сетей разрешают только несколько сервисов (ftp, telnet, NNTP и POP-3); кроме того, они требуют от пользователей подтвердить права на доступ к хостам внутри защищаемого периметра.

Почта SMTP на брандмауэре Gauntlet передается утилите smap, которая анализирует заголовки поступающей почты и дает (или не дает) добро на отправку почты почтовому серверу SMTP по команде send-mail. Исходящая почта передается в незащищаемые сети через брандмауэр напрямую. Как и SMTP, почта POP-3 реализована в виде демона на брандмауэре Gauntlet. Почтовый сервер POP-3 должен иметь псевдоним в /usr/local/etc/netperm-table, а пользователи почты POP-3 должны предоставить правильный TCP/IP-адрес. После конфигурации и запуска демона smap мы смогли переслать три тестовых сообщения из незащищаемой сети с хоста BSD/OS c Satan.

Gauntlet обслуживает уполномоченных конкретных портов, каждого в отдельности. Чтобы заставить CUSeeMe работать, нам пришлось отредактировать сервисы /etc/ для разблокирования сервиса для CUSeeMe и добавить пять строк в загрузочный файл /etc/rc.local, дабы блокирующий уполномоченный (plug proxy) мог разблокировать каждый порт (все пять портов не могут быть разблокированы одновременно). После разблокирования видеодиалоги CUSeeMe передавались через Gauntlet так же быстро, как и в локальной сети.

Другие опции требуют аналогичной конфигурации, причем предоставляемые сервисы составляют длинный список. Gantlet поддерживает политику и/или уполномоченных для rsh, NNTP, gopher, telnet, rlogin, qotd (сервер quote или cookie), HTTP, ftp и даже X Window. Сервер HTTP и Web встроен в Gauntlet, но он предоставляет только файлы - приложения Web недоступны ни через CGI, ни через другой механизм сценариев.

Как и в случае Borderware, для большинства приложений использование Gauntlet нейтрально, и пользователи никогда не узнают о наличии Gauntlet в локальной сети. Администрирование Gauntlet не столь удобно, как Firewall-1 и даже Borderware. В качестве альтернативы предоставляемой Trusted Information Systems оболочки, вы можете применять браузер для редактирования конфигурации Gauntlet.

Журналы Gauntlet могут быть сжаты и обобщены. Эта возможность весьма предусмотрительна, потому что исходный конфигурационный журнал заполняется очень быстро. По умолчанию журналы хранятся 14 дней, а регистрируемые атрибуты могут определяться администратором. Кроме того, журналы могут быть сведены и автоматически посланы обладателю псевдонима firewalladmin. Отчеты имеют текстовую форму и не очень симпатичны, но при этом они содержат такую информацию, как действия пользователя, предупреждения, используемые протоколы и т.д.

Документация по Gauntlet состоит из вышеупомянутой раскладушки об установке и одного "Руководства администратора". Руководство редко обращается к описанию синтаксиса конкретных утилит: вместо этого оно сосредотачивается на изменении конфигурационных файлов. Каждая функция хорошо описана, но документация нацелена на знакомую с Unix аудиторию. При цене продукта в 11500 долларов документация могла бы быть и поподробнее. Конфигурационные файлы описаны хорошо, но при этом они далеко не чрезмерно откомментированы. Графический интерфейс и интерактивная справочная система практически отсутствуют: вы предоставлены сами себе. Служба технической поддержки ответила на вопросы быстро и подробно, хотя и в том и в другом случае они нам перезвонили.

При работе с Gauntlet BSD/OS остается доступной для использования (в отличие от Borderware), в результате мы могли использовать системные редакторы для конфигурации файлов или, где это возможно, оболочки.

Чтобы заставить Gauntlet работать как надо, мы изрядно попотели над редактированием файлов вручную, но администраторы Unix, надо думать, весьма привычны к такого рода работе. Администраторы NetWare или Windows NT наверняка сочтут синтаксис и многочисленные требующие редактирования функции чересчур тяжеловесными. Несмотря на необходимость близкого знакомства с Unix, мы сочли предоставляемые Gauntlet дополнительные сервисы заслуживающими потраченных усилий (даже несмотря на отсутствие встроенного сервера SMTP и продвинутого сервера HTTP).

ПОДВЕДЕНИЕ ИТОГОВ

Каждый из рассмотренных нами брандмауэров отличается уникальными чертами и в целом справляется с той работой, для которой он предназначен. Только Borderware не позволил работать с CUSeeMe, но в его пользу говорит простота установки и прозрачность конфигурации.

Labyrinth произвел на нас наибольшее впечатление из-за наличия активного контроля за хакерами. Он дал нам нечто большее, чем просто уверенность, - средство для возможной поимки хакера. Но, возможно, это ложное чувство защищенности и восторг были слишком велики?

Firewall/Plus прост в установке, и он для тех, кто незнаком с Unix и NT. Его функциональные возможности вполне адекватны.

Firewall-1 имеет наилучший графический интерфейс Windows, справочную систему и поддержку различных платформ. Мы заставили себя забыть о нашем знакомстве с DOS, Windows, Unix и другими операционными системами и выбрать победителя по критериям простоты и быстроты установки и широты поддержки платформ на базе ПК. Победителем стал Firewall-1 (однако это было трудное решение).


Том Хендерсон - директор, а Майк Роббинс и Кирк Демари исследователи в Beach Lab, подразделении Unitel. С ними можно связаться через Internet по адресу: 76711.737@compuserve.com

СРАВНЕНИЕ ПРОДУКТОВ - БРАНДМАУЭРЫ

Продукт
Borderware Enterprise Edition
Firewall-1
Labyrinth Firewall
Поставщик
Secure Computing 2675 Long Lake Rd. Roseville, MN 55113 1-612-628-2700
CheckPoint Software Technologies 3A Jabotinsky St., 24th Floor Ramat Gam, 52520, Israel 972-3-613-1833
Cycon Technologies 262-M Cedar Ln. Vienna, VA 22180 1-703-256-1279
Цена (долларов)
2495 за корпоративное издание; 795 за издание на 25 пользователей
4990 за 50 пользователей; 9900 за 250 пользователей; 18900 за корпоративное издание
5000 для 100 пользователей; 7000 для 250 пользователей; 9000 для неограниченного числа пользователей; 13000 при тестировании
Описание
Borderware - это брандмауэр по типу уполномоченного с функцией Secure Side Network для обычного разделения серверных приложений Internet. Он содержит такие приложения, как пересылка почты SMTP, сервер Web или HTTP и "защищенные" сервисы telnet, ftp и NNTP.
Брандмауэр на базе NT с полнофункциональным графическим интерфейсом и поддержкой элементов управления в стиле Windows, включая панель инструментов, в которой появляется краткое описание пиктограммы при указании на нее курсором мышки, полную прозрачность и поддержку всех сервисов TCP/IP. Он поддерживает все обычные сервисы NT и средства соединения с локальной сетью.
Labyrinth представляет собой брандмауэр-шлюз с процедурами для активного противодействия хакерам, а также логикой брандмауэра, контекстно-чувствительной и основанной на правилах.
Требования
Intel 486 c 16 Мбайт DRAM (32 Мбайт рекомендуется), жесткий диск SCSI на 500 Мбайт, специфическая сетевая плата, контроллер SDLC и адаптер SCSI.
Intel x86 или Pentium с 16 Мбайт DRAM (24 Мбайт или более рекомендуется), 15 Мбайт свободного пространства на жестком диске для установки продукта и любая поддерживаемая NT 3.51 сетевая плата.
Совместимые с FreeBSD сетевые платы, ПК с 32 Мбайт DRAM, 500 Мбайт или более на жестком диске, ЦПУ Pentium 133+ (CD-ROM желателен).
Установка
Простая, если знать, что делать. Borderware Firewall Server на базе BSDI имеет многочисленные конфигурационные опции. При известных опциях установка заняла около часа. Некоторые опции можно модифицировать только при полной переустановке продукта.
Устанавливается напрямую с CD-ROM при помощи мастера настройки. Установка осуществляется в два этапа: модуль брандмауэра и клиент управления. Установка довольно проста, только документация об установке не всегда последовательна.
Продукт был поставлен предустановленным и преконфигурированным. Изменение конфигурации требует наличия текстового редактора и множества вырезаний и вставок. Продукт можно переконфигурировать с помощью имеющего на то полномочия браузера.
Документация
Очень хорошая. "Руководство пользователя" содержит подробное объяснение конфигурационных опций, их влияние на производительность и описание всех функций. В виде контекстно-зависимой подсказки документация имеется и на сервере.
Обширная со множеством примеров экранов и перекрестными ссылками. Если исключить неправильную последовательность фаз установки, документация на продукт является наилучшей среди всех, с которыми мы имели дело. Контекстно-зависимая справочная система просто поражает, причем зачастую она превосходит по объему информации печатную документацию.
Очень хорошая с ориентацией на Unix. Руководство Администратора охватывает множество инсталляционных опций и сценариев, а также уделяет специальное внимание противодействию хакерам и сканерам. Контекстно-зависимая справочная система невелика.
Надежность/совместимость
Продукт имеет в качестве дополнительной функцию Secure Side Network и поддерживает Web, почту SMTP или POP-3, DNS, а также защищенный или общедоступный ftp и telnet. Он работал со всеми нашими браузерами и приложениями для Internet. Несмотря на возможность работы с RealAudio, все остальные порты были блокированы. Продукт не прошел тест на работу с CUSeeMe.
Перехват пакетов на уровне ядра не препятствует нормальному функционированию сервисов NT и средств соединения с локальной сетью на уровне приложений, благодаря чему продукт может дать другим очко вперед по части совместимости. То, что клиент графического интерфейса поддерживает и NT, и Windows 95, еще более увеличивает это преимущество.
Продукт очень надежен. Он представляет собой шлюз для пользователей во внутренней части сети и брандмауэр для внешней сети. Labyrinth позволил работать со всеми выбранными нами сервисами и мгновенно обнаружил наш хакерский зонд (Satan 1.1).
Удобство использования
Прозрачен для пользователей. Администрирование удобно, но изменение правил затруднено и предполагает определенное знакомство с протоколами Internet.
Наиболее удобный в работе пакет с многочисленными, хорошо организованными списками предопределенных сервисных опций, управлять которыми можно с легкостью с помощью мыши.
Очень хорош для пользователей в сети, но несколько неудобен для администраторов. Продукт весьма хорошо продуман.
Гарантия
Девяносто дней только на носители.
Шестьдесят дней после получения пароля и лицензионного ключа только на носители.
Не упоминается
Уполномоченный или брандмауэр?
Уполномоченный
Брандмауэр
Брандмауэр
Поддержка
ftp
X
X
X
Web
X
X
X
IRC
-
X
-
Почта SMTP
X
X
X
Сетевые новости
X
X
X
Операционная система
Модифицированный BSDI Unix
NT 3.51
FreeBSD
DHCP?
Нет
Да
Нет
BOOTP?
Нет
Нет
Нет
Возможность открытия портов
Ограниченная
Да
Да
Продукт
Firewall/Plus
Eagle NT
Gauntlet 3.1
Поставщик
Network-1 Softwa

Поделитесь материалом с коллегами и друзьями





Похожие статьи


Президент Violin: компания возвращается

Глава компании — о ее финансовом оздоровлении, текущей ситуации, ближайших шагах на российском рынке и конкуренции

опрос

Выберите самое актуальное для вас направление развития беспроводных сетей передачи данных