Приходящий и исходящий трафик Internet контролируют брандмауэры и proxy-серверы. Различия между этими важнейшими компонентами защиты сети зачастую весьма условны, но они существуют


ВЗГЛЯД НАРУЖУ ИЗНУТРИ
ТАЙНОЕ И ЯВНОЕ
УСТАНОВЛЕНИЕ СОЕДИНЕНИЯ
КЭШИРУЙ, ЕСЛИ МОЖЕШЬ
УПРАВЛЕНИЕ ВАШИМИ РЕСУРСАМИ
ИСПОЛЬЗУЙТЕ ОБА

ФИЛЬТРАЦИЯ ИНФОРМАЦИОННОГО НАПОЛНЕНИЯ INTERNET
Просмотр Web


Защита компьютеров не является чем-то новым для профессионалов ИТ. Когда мэйнфреймы выступали в роли основных хранилищ данных и другой информации, централизация ресурсов была высока, что делало их весьма привлекательным объектом атак для хакеров. И тем не менее эти большие железные машины безусловно более устойчивы к нарушениям защиты, чем современные системы. Для того чтобы получить доступ к важной информации в распределенных системах, от хакеров требуется большая сообразительность, но если не будут приняты соответствующие меры защиты, то ресурсы компании могут стать жертвой злоумышленника.

Доступ к Internet расширил возможности проникновения посторонних в хранилища важной для компании информации. Однако при наличии упреждающей политики защиты сохранить ресурсы в безопасности существенно легче. Хотя большинство экспертов по безопасности рекомендуют многоуровневый подход к защите сетевых ресурсов, включая шифрование и аутентификацию, ключевым компонентом любой такой системы является брандмауэр. Брандмауэр размещается на шлюзе между локальной сетью и Internet. Помимо других функций брандмауэр может просматривать IP-пакеты и, в зависимости от адресов отправителя и получателя, пропускать или не пропускать пакеты, пытающиеся проникнуть в систему.

Брандмауэры также могут контролировать сеансы связи с Internet на уровне приложений, а это более надежное средство защиты, нежели простой просмотр IP-адресов приходящих пакетов. Кроме того, шлюз уровня приложений можно точно настроить для контроля определенных типов трафика. Организация посреднических сеансов для предотвращения прямого доступа внешнего трафика к внутренним ресурсам - еще одна возможность шлюза уровня приложений. Когда брандмауэр опознает входящий трафик Internet, он инициирует уполномоченное приложение для организации отдельного сеанса с внутренними ресурсами по поручению внешнего пользователя.

Хотя многим брандмауэрам эти посреднические услуги по плечу, на рынке систем защиты стали появляться продукты относительно нового типа, называемые proxy-серверами. Компании, уделяющие большое внимание Internet, такие как Netscape и Microsoft, выпустили свои системы в 1996 году; более того, в этом году мы можем ожидать появления немалого числа новых предложений. "Рынок proxy-серверов может и существует, но он включает в себя много из того, что собрано в одну гигантскую корзину и названо брандмауэром", - полагает Клэй Райдер, руководитель компании Zona Research.

В отношении proxy-серверов много неясного. В частности, непонятно, например, насколько они отвечают политике защиты с применением брандмауэров или без оного. Поскольку огромное число брандмауэров выполняет функции proxy-серверов, многие пользователи считают, что установка proxy-сервера - это излишество. В действительности proxy-сервер может значительно укрепить брандмауэр и даже обеспечить возможности, которые тот предложить не может.

ВЗГЛЯД НАРУЖУ ИЗНУТРИ

Любая компания, имеющая выход в Internet, должна обратить самое серьезное внимание на брандмауэры с тем, чтобы только законные пользователи могли войти в сеть извне и чтобы только законные сеансы быть открыты. Тем временем многие компании начинают проявлять пристальное внимание и к тому, что делают в Internet сотрудники самой компании.

Если говорить в общем, proxy-сервер управляет и контролирует трафик Internet, между сетью компании и внешним миром, в том числе он направляет весь исходящий трафик через одну точку, кэширует страницы Web и осуществляет контроль за разрешенными сервисами Internet внутри и вне сети. Но даже описание возможностей proxy-сервера не дает полной картины, и путаницы между брандмауэром и proxy-серверами по-прежнему остается немало.

"Проблема в том, что каждый использует слово "брандмауэр" для именования своего собственного продукта, но это как сравнивать яблоки с апельсинами, - считает Райдер. - На самом деле ситуация еще хуже, поскольку люди знают, что представляют собой яблоки и апельсины. Скорее, это уж сравнение киви и авокадо". Райдер добавил, что, в то время как большинство брандмауэров являются proxy-серверами, брандмауэр не заменят proxy-серверы, установленные во многих местах. По мнению Райдер, вместо определения различий между брандмауэрами и proxy-серверами и таким образом классификации продуктов, нас должен занимать более важный вопрос - каким образом люди используют эти типы продуктов.

Proxy-сервер может или размещаться на той же машине, что и брандмауэр, или быть установлен за ним (в зависимости от имеющегося на диске места). И поскольку настольные системы в компании размещаются часто в нескольких сетевых сегментах, установка proxy-серверов в различных местах, в том числе в удаленных офисах, может снизить рабочую нагрузку на одну машину.

Вполне вероятно, что абсолютно надежных сетей не существует; как только вы разрешите передачу данных в или из Internet, автоматически возникает потенциальная возможность нарушения защиты. В то время как брандмауэр охраняет сеть от атак извне, proxy-сервер контролирует деятельность внутренних пользователей, а значит, при регулировании трафика Internet вы можете "поймать сразу двух зайцев". Поэтому многие эксперты по безопасности рекомендуют комбинацию брандмауэра и proxy-сервера.

ТАЙНОЕ И ЯВНОЕ

На одном уровне proxy-сервер скрывает внутренние IP-адреса и обеспечивает централизацию управления и защиты исходящего трафика IP. При передаче всего трафика через proxy-сервер, внутренние IP-адреса остаются скрытыми от внешнего мира. Кроме того, компании могут избавиться от необходимости иметь отдельное Internet-соединение для каждой настольной системы. "Это эквивалентно тому, что все сотрудники компании при осуществлении связи с внешним миром работают, как один пользователь", - сказал Райдер.

Некоторые из брандмауэров, представленных на рынке, имеют функцию разделяемого шлюза, но многие брандмауэры, главным образом фильтры пакетов, такой функции не имеют. В этих случаях добавление proxy-сервера к шлюзу позволит компании выступать перед всем внешним миром под единственным IP-адресом. Данная стратегия имеет несколько преимуществ. Одно из них в том, что хакеры не могут получать действительные внутренние IP-адреса и использовать их против компании (метод, известный как подделка IP-адресов - IP spoofing). Также компаниям не придется регистрировать каждый внутренний IP-адрес, что стоит иногда довольно дорого.

Когда Microsoft тестировала свой Proxy Server (выпуск которого был начат в октябре 1996 года) все 20 тыс. сотрудников компании выходили во внешнюю сеть через единственное устройство при помощи одного общего IP-адреса. По словам Кевина Йима, менеджера по продажам Proxy Server компании Microsoft, для внешнего мира все сотрудники компании имели один IP-адрес.

Благодаря Proxy Server компании Microsoft внутренним пользователям не нужны IP-адреса, поскольку продукт обладает уникальной функцией поддержки протокола IPX компании Novell. Клиенты NetWare могут просто выйти в Internet без установки TCP/IP на каждой клиентской машине. "В локальных сетях IPX по-прежнему остается наиболее популярным протоколом, но TCP/IP - это стратегическая цель многих компаний, - уверен Йим. - Наш продукт "обманывает" клиента IPX в его предположении относительно того, что он работает со стеком TCP/IP. Это означает, что машина с IPX может получить доступ к Internet, и большинство популярных Internet-приложений могут работать на этих IPX-машинах без каких-либо изменений".

УСТАНОВЛЕНИЕ СОЕДИНЕНИЯ

Как вы, возможно, уже знаете, Web начинался с CERN. Proxy-протокол CERN, реализованный в наиболее популярных браузерах, поддерживает протоколы HTTP, ftp и gopher. Клиентская программа должна быть специальным образом сконфигурирована для Internet с помощью модифицированной версии HTTP. Proxy Server компании Microsoft поддерживает proxy-протокол CERN, так что любой совместимый со стандартом CERN браузер может использовать этот продукт без дополнительного клиентского программного обеспечения.

При работе с такими браузерами, как Navigator компании Netscape и Internet Explorer компании Microsoft, пользователь может через меню Options задать имя proxy-сервера, с которым затем браузер будет взаимодействовать автоматически. Пользователи могут также определить различные полномочия для сеансов Internet разного типа. Браузеры, не совместимые со стандартом CERN, требуют некоторой специальной конфигурации на стороне клиента.

Помимо поддержки proxy-стандарта CERN практически на любом клиенте Proxy Server компании Microsoft включает в состав посредника для Winsock, не требующего никаких изменений на стороне клиента и поддерживающего широкий круг протоколов, в том числе протоколы, не ориентированные на Web, в частности поточное аудио и видео. Посредник для Winsock аналогичен Socks (шлюзу TCP для связи авторизованных клиентов с Socks-совместимым сервером или брандмауэром).

"С помощью посредника для Winsock вы можете получить удаленный доступ к Winsock-приложениям через наш proxy-сервер", - заметил Йим. Эти приложения включают в себя поточное аудио и видео, такое как RealAudio. Существующая версия Socks не поддерживает эти виды приложений.

Для реального обеспечения посреднических функций Proxy Server компании Netscape так же, как брандмауэры и proxy-серверы других производителей, поддерживает и Socks. В результате Socks-совместимые клиенты получают возможность организовывать туннель через брандмауэр.

"Netscape включает поддержку Socks в свои серверы для того, чтобы поддерживать такие протоколы, как telnet, чего сам продукт не обеспечивает, - отметил Чарльз Ландау, менеджер по продажам Proxy Server компании Netscape. - Применение Socks открывает пользователям доступ к широкому кругу протоколов через proxy-сервер и брандмауэр".

После открытия сеанса Internet, proxy-сервер обеспечивает защищенность коммуникаций. В конце концов, чего стоят скрытые внутренние IP-адреса, если сеанс Internet не имеет никакой защиты? Proxy Server компании Netscape использует Secure Sockets Layer (SSL), разработанный этой компанией, для шифрования сообщений между клиентом и удаленным сервером. Proxy-серверы обеих компаний используют SSL посредством организации SSL-туннелей, технологии для защищенного обмена сообщениями, например HTTP и NNTP (Network News Transport Protocol), через большинство брандмауэров.

Клиенты, использующие Netscape Navigator, уже поддерживают SSL и могут взаимодействовать с удаленным сервером непосредственно через брандмауэр, но Proxy Server компании Netscape также позволяет клиентам, не ориентированным на SSL, осуществлять защищенные коммуникации с удаленными хостами через Internet. При таком подходе proxy-сервер запрашивается об организации защищенного соединения по поручению незащищенного клиента. Клиент связывается с посредником с помощью стандартного HTTP, а посредник взаимодействует с удаленным узлом, используя SSL, так что канал через Internet в любом случае оказывается защищенным.

Предложенный Microsoft продукт поддерживает SSL и в части шифрования данных, но это, как отметил Йим, вовсе не означает абсолютной надежности. По мнению Йима, несмотря на то, что Proxy Server компании Netscape поддерживает SSL, брандмауэр все равно необходим. В свою очередь Ландау подчеркнул, что, если трафик поступает в сеть компании извне, развертывание proxy-сервера без брандмауэра не имеет смысла, поскольку вы не можете возложить на proxy-сервер задачу фильтрации пакетов и другие, традиционно осуществляемые брандмауэром, функции.

Учитывая это, proxy-сервер компании Microsoft реализует некоторые дополнительные стратегии защиты. Во-первых, поскольку Proxy Server работает непосредственно под Windows NT 4.0 Server, а оба эти продукта тесно интегрированы, proxy-сервер наследует все имеющиеся в NT функции защиты. Йим добавил, что Proxy Server компании Microsoft также имеет таблицу локальных адресов, которую вы можете конфигурировать для распознавания внутренних IP-адресов, когда устанавливаете proxy-сервер. Таким образом, proxy-сервер знает, какие запросы поступают из внутренней сети компании.

КЭШИРУЙ, ЕСЛИ МОЖЕШЬ

Помимо действия в интересах клиентов, желающих получить доступ к услугам Internet, proxy-серверы, в отличие от брандмауэров, могут кэшировать информационное наполнение Internet. Многие компании имеют сотни или даже тысячи конечных пользователей, каждый из которых работает с Internet. Когда даже часть этих пользователей обращается в Internet одновременно, многие сети испытывают нехватку пропускной способности. Представьте, что все пользователи одновременно загружают страницы Web с большим количеством графической информации, или обращаются к узлам по анонимным ftp, или связываются с группами новостей Usenet в течение нескольких минут и даже часов.

Установив proxy-сервер на отдельной машине, компании могут полностью использовать дисковое пространство этого сервера для сохранения "под рукой" наиболее популярных страниц Web или URL. Предложенный Netscape продукт применяет модель, которая обеспечивает тиражирование как по требованию, так и по команде.

Тиражирование по требованию типично для большинства операций кэширования. Когда пользователь обращается к удаленному серверу Web, страница кэшируется на локальном proxy-сервере. Если любой другой пользователь снова обращается к этой странице, кэшированная копия сравнивается с текущей версией, вносятся необходимые изменения, и кэшированная версия пересылается клиенту. Это сокращает как время отклика для клиента, так и сетевой трафик.

При тиражировании по команде proxy-сервер автоматически обновляет информацию, хранящуюся в кэш-памяти. Для того чтобы сократить Internet-трафик, приведение определенной страницы в соответствии с последней ее версией может осуществляться в нерабочее время.

В то время как Proxy Server компании Netscape кэширует информационное наполнение, вы можете развернуть Catalog Server этой же компании для индексирования, поиска и просмотра всей информации в Intranet. И Proxy Server, и Catalog Server являются компонентами семейства серверов SuiteSpot компании Netscape.

Proxy-сервер компании Microsoft также предлагает эту интеллектуальную функцию кэширования информационного наполнения. Продукт позволяет задавать параметры кэширования через Internet Information Server (IIS) компании Microsoft (т. е. Web-сервер этой компании).

В состав Proxy Server компании Microsoft входит также инструментарий Auto Dial для автоматической связи пользователей с оператором Internet в том случае, когда требуемая информация не хранится в локальном кэше. Как только Auto Dial получает требуемую информацию, он автоматически отсоединяется, что позволяет сократить затраты на оплату сеанса связи.

Возможности кэширования proxy-сервера пригодны и для использования в иных целях. Помимо предоставления страниц внутренним пользователям для ускорения и сокращения трафика proxy-сервер может также кэшировать страницы принадлежащего компании сервера Web, к которым чаще всего обращаются внешние пользователи. Когда сотни внешних пользователей ежедневно обращаются к серверу Web компании, proxy-сервер может разместить наиболее часто используемые страницы перед сервером Web и предоставлять их, не обращаясь постоянно к серверу. Этот метод позволяет снизить рабочую нагрузку на сервер Web.

Кэширование также предполагает сохранение информации об URL, к которым обращаются чаще всего, и определение срока обновления копии. Помимо сохранения информации об URL proxy-серверы могут быть интегрированы с продуктами независимых производителей для контроля и фильтрации трафика Internet, как попадающего в сеть компании, так и исходящего из нее. Руководство компании может, например, решить запретить сотрудникам получать во время рабочего дня бесплатный доступ к службам Internet, не связанным напрямую с их служебными обязанностями, поскольку некоторые сотрудники иногда злоупотребляют своими правами и вместо работы обращаются к таким областям, как спорт, развлечения, эротика, азартные игры и т. п. (Более подробно - см. врезку.)

Для проверки входящего трафика на предмет наличия вирусов можно использовать и дополнительные модули независимых производителей. Компания Trend Micro осенью 1996 года сообщила, что ее InterScan VirusWall будет поставляться с Proxy Server компании Netscape. Продукт сканирует входящий трафик HTTP и ftp, а также вложения в почтовых сообщениях, благодаря этому инфицированный трафик Internet будет остановлен прежде, чем он сможет попасть на настольные системы в частной сети.

УПРАВЛЕНИЕ ВАШИМИ РЕСУРСАМИ

Как и многие другие виды сетевых серверов, proxy-серверы требуют конфигурации и постоянного управления. Требования к системе компании Netscape довольно незначительны, и продукт работает с самыми разными серверами Web. Proxy Server этой компании работает как на платформе Intel, так и с некоторыми видами Unix: OSF компании Digital, HP-UX, AIX, IRIX компании Silicon Graphics, а также SunOS и Solaris компании Sun Microsystems. Поскольку многие брандмауэры лучше приспособлены для работы под Unix, применение proxy-сервера с аналогичной операционной системой облегчает установку и администрирование.

Управлять продуктом Netscape можно из любого SSL-совместимого браузера, а кроме того, продукт поддерживает SNMP-1, SNMP-2 и возможность автоматической конфигурации. Параметры сервера поддаются тонкой настройке. Например, пользователи, которым требуются URL с расширением .com, могут быть направлены к одному proxy-серверу, а тем, кому нужны адреса, оканчивающиеся на .edu - к другому. В случае возникновения сбоя на одном сервере, его место занимает другой proxy-сервер.

Продукт Microsoft работает исключительно под Windows NT Server 4.0. Вы можете использовать диалоговые рамки для конфигурации продукта и определения таблицы локальных адресов. Управление продуктом осуществляется с помощью инструментария Internet Service Manager, благодаря которому и серверами Web, и proxy-серверами можно управлять из одной точки. И поскольку NT поддерживает SNMP, proxy-сервер также наследует эту поддержку.

Хотя во время тестирования 20 тыс. пользователей Microsoft работали с одним proxy-сервером, такую ситуацию нельзя считать нормальной. "Мы рекомендуем развертывать один proxy-сервер для каждых 500 пользователей, - говорит Ландау. - Это число может варьироваться в некоторых пределах, но при таком соотношении вы вполне можете использовать кэширование и быть уверенным в том, что места на диске хватит. Но для большего числа транзакций в день вам потребуется больший объем дискового пространства".

Чтобы снизить трафик в Internet, оператору лучше установить proxy-сервер в каждом локальном центре и на каждом шлюзе Internet. Операторы Internet наиболее заинтересованы в предлагаемой proxy-серверами возможности кэширования.

ИСПОЛЬЗУЙТЕ ОБА

Брандмауэры и proxy-серверы имеют много общего, но для создания защищенной системы в сети должны быть установлены и те и другие. "Сетей с абсолютно надежной защитой не существует, но я думаю, что для обеспечения безопасности сочетание брандмауэра и proxy-сервера оптимально", - отметил Райдер.

Райдер рекомендует использовать маршрутизатор в качестве первой линии защиты для входящего трафика, поскольку многие маршрутизаторы могут осуществлять фильтрацию пакетов. Затем трафик следует направить к брандмауэру, и после этого - к proxy-серверу. "Если вы ищете способы увеличить производительность сети и связать настольные системы, не поддерживающие IP, в сеть с помощью мостов, то обратите внимание на proxy-сервер, - советует Райдер. - Если же вы хотите иметь очень высокую производительность и все системы поддерживают IP, а сервер Web имеет высокую нагрузку, то потребуется нечто более высокоскоростное, хотя, возможно, не обеспечивающее столь высокий уровень защиты".

Но для того, чтобы определить, что действительно требуется компании, необходимо проконсультироваться с экспертами по безопасности и проанализировать информацию из других источников. Со шлюзом уровня приложений, который будет "держать дверь на замке", многие компании почувствуют себя в полной безопасности. Но добавление отдельного proxy-сервера еще более укрепит вашу защиту в столь непредсказуемом мире Internet.


Анита Карве - заместитель редактора LAN Magazine. С ней можно связаться через Internet по адресу: akarve@mfi.com.

ФИЛЬТРАЦИЯ ИНФОРМАЦИОННОГО НАПОЛНЕНИЯ INTERNET

Просмотр Web

В то время как первичной функцией брандмауэра является предохранение внутренней сети от проникновения злоумышленников, proxy-сервер, или посреднические функции брандмауэра, предназначены для контроля доступа сотрудников компании в Internet. Помимо кэширования информационного наполнения Web, позволяющего снижать трафик Internet, вы можете также сконфигурировать proxy-серверы для фильтрации информационного наполнения Web в целях запрещения так называемого "обращения корпоративных пользователей к неуместным материалам в рабочее время".

Такие продукты, как Proxy Server компании Netscape и Proxy Server компании Microsoft, можно конфигурировать таким образом, чтобы они разрешали или запрещали доступ к различным службам, к примеру gopher, ftp и HTTP. Добавляя программное обеспечение независимых производителей, доступ пользователей к определенным URL (будь то ftp, www, gopher или групп новостей Usenet), которые, по мнению руководства, сотрудникам в рабочее время явно не нужны, может быть блокирован. Направленность этих узлов может быть различной, начиная со спорта и развлечений, явно эротической и сексуальной до интерактивных азартных игр и даже предложений работы.

Один из таких продуктов - Webster Control List и комплект инструментальных средств Naples, Webster Network Strategies, подразделения компании Secure Computing. Control List можно добавить к продуктам, выполняющим роль proxy-сервера, например к продуктам, предложенным Netscape и Microsoft, или использовать его вместе с такими брандмауэрами, как BorderWare или Sidewinder компании Secure Computing. Он поддерживает широкий диапазон платформ, в том числе Windows NT, SunOS, Solaris, HP-UX и Linux.

Webster Control List постоянно обновляется, так что компании получают последнюю версию списка нежелательных URL с десятками тысяч URL, разбитых на 16 категорий, обращение к которым могло бы негативно отразиться на деятельности сотрудников. Пользователи Proxy Server, предлагаемых Netscape и Microsoft, могут дополнительно получить подписку на три месяца на Webster Control List.

"Опросы руководителей компаний показали, что в отношении Internet их беспокоит: во-первых, то, что из-за блуждания по развлекательным узлам падает производительность труда сотрудников, и, во-вторых, что сотрудники могут загрузить из сети оскорбительные материалы", - рассказал Патрик Фишер, менеджер по продажам Webster.

Инструментальные средства фильтрации Web могут также представлять интерес для школ и университетов, предлагающим своим студентам доступ в Internet. "Мы работаем с разными независимыми производителями и предлагаем несколько различных фильтров информационного наполнения, - отметил Кевин Йим, менеджер по продажам Proxy Server компании Microsoft. - Преимущество состоит в том, что, даже если учителя в школе не хотят обременять себя поддержкой списка недопустимых URL, они не откажутся от возможности выбрать список для того, чтобы отфильтровать узлы с порнографией. Популярность таких функций постоянно растет".

Еще одним независимым производителем является компания Spyglass, начавшая в октябре 1996 года выпуск своего программного обеспечения фильтрации SurfWatch для Proxy Server компании Microsoft. Эта система обеспечивает фильтрацию запросов HTTP, ftp и gopher, которые передаются через Internet Information Server, Web-сервер компании Microsoft. SurfWatch содержит списки более 25 тыс. узлов и, помимо фильтрации, блокирует поиск определенных слов. И Webster Control List, и SurfWatch хранят информацию о блокированных URL. Webster также позволяет взглянуть на журнал деятельности в Internet владельца определенного IP-адреса.

Некоторые смогут сказать, что фильтрация Web напоминает Оруэлловского Большого Брата, но, когда сотрудники находятся на работе, компания вправе, как говорится, наложить вето на мешающие их основной деятельности развлечения.

Поделитесь материалом с коллегами и друзьями