Управление брандмауэрами требует постоянной бдительности. Если ваша компания не в состоянии держать круглосуточную охрану, то выходом из ситуации может стать обращение к сторонним услугам.

Вообще, если ответом будет нечто другое, нежели круглосуточная смена из нескольких специалистов по защите, то и тогда опасность сохраняется.

Из всего того, чем приходится заниматься администратору сети, задача управления брандмауэром является, вероятно, наиболее трудной. Управление брандмауэром — это сложная, требующая специальных знаний задача, но при этом ее выполнение часто возлагается в качестве дополнительной нагрузки на специалиста по сетям общего профиля, у которого нет для этого ни опыта, ни времени.

В идеале компании следовало бы иметь в штате по крайней мере трех специалистов в области защиты для организации круглосуточного дежурства — однако финансовый директор вряд ли согласится на выделение стольких штатных единиц. В такой ситуации все, что остается, — это обратиться к сторонним услугам по управлению брандмауэрами, т. е. поручить конфигурацию, администрирование, мониторинг и обслуживание вашего брандмауэра заслуживающей доверия третьей стороне. В результате вы сможете сконцентрироваться на своем основном бизнесе и сэкономить деньги и время.

Компании часто сталкиваются с невозможностью найти опытного специалиста в области защиты для управления своими брандмауэрами. Администраторы сети, инженеры и другие специалисты в области ИТ могут хорошо справляться со своими основными обязанностями, но не иметь специальных знаний, необходимых для управления брандмауэрами.

Рик Кэмп, старший менеджер по продуктам в провайдере услуг NetSolve, говорит, что, прежде чем обратиться в NetSolve, многие их заказчики пытались поручить управление защитой администратору сети. «Этот человек часто является вполне компетентным, но ему трудно заниматься своими повседневными делами и при этом глубоко вникать в анализ конфигурации защиты и тому подобные вещи».

Основными кандидатами на обращение к сторонним услугам по управлению брандмауэрами являются мелкие и средние компании. В частности, ввиду каждодневного роста риска атак извне особое внимание защите по периметру приходится уделять тем, кто ведет дела электронным образом и, как следствие, имеет сложную конфигурацию с использованием Internet для организации доступа партнеров и заказчиков к своим внутренним системам.

Рынок услуг защиты и, в частности, услуг управления брандмауэрами растет в США как на дрожжах вследствие очевидной опасности пренебрежения защитой. По данным Yankee Group, рынок услуг управления брандмауэрами составляет 490 млн долларов в год и должен вырасти до 1,5 млрд к 2002 г.

Вследствие эффекта масштаба сторонние услуги часто дешевле и эффективнее, чем найм собственного персонала защиты. Используя средства удаленного управления, специалист провайдера может следить за вашими брандмауэрами, не выезжая на место; такой подход позволяет экономить на командировочных расходах при обслуживании филиалов. И, конечно, команда специалистов провайдера услуг может управлять одновременно несколькими брандмауэрами заказчика.

С другой стороны, начальные затраты на управление собственными брандмауэрами могут оказаться просто астрономическими. Как утверждается в резюме Forrester Research, «начальные затраты на персонал для анализа конфигурации с последующим решением проблемы составят по крайней мере 60 тыс. долларов в месяц. К этой сумме необходимо приплюсовать расходы на обслуживание оборудования и программного обеспечения. За те же самые деньги компания могла бы приобрести 10 брандмауэров, защиту от вирусов, активный контроль за вторжениями и круглосуточную поддержку у внешнего подрядчика на обслуживание ИТ без каких-либо капитальных затрат».

В случае большинства услуг управления брандмауэрами заказчику предоставляется заранее сконфигурированный брандмауэр (хотя некоторые провайдеры предпочитают работать с имеющимся оборудованием, если оно уже установлено). Это само по себе дает возможность значительной экономии на приобретении оборудования. Как утверждается в отчете Yankee Group, «ввиду того, что провайдеры обычно используют свои собственные продукты управления сетью, экономия на капитальных затратах на оборудование может оказаться весьма значительной». Далее в отчете говорится, что «начальные затраты на системы управления часто оказываются выше, чем ожидалось, — стоимость системы для сети с 500—1000 узлами и 10—20 офисами может запросто достигать шестизначной суммы».

КТО ОБРАЩАЕТСЯ ЗА УСЛУГАМИ?

Хотя к сторонним услугам для управления брандмауэрами прибегают компании самых разных размеров, по мнению эксперта из META Group Марка Бучарда, подобные услуги наиболее необходимы для небольших организаций.

«У крупных корпоративных заказчиков обычно имеются необходимые людские ресурсы и знания для решения данной задачи собственными силами. В этой связи я считаю, что услуги по управлению брандмауэрами наиболее подходят для малых и средних компаний, где команда защиты состоит обычно из одного-двух человек».

Тем не менее для некоторых небольших компаний наилучшим решением будет самостоятельная реализация управления брандмауэрами. «Некоторые компании имеют, по самой природе своего бизнеса, весьма статичную среду защиты. Например, у них есть базовый сервер Web для доступа всех желающих, и они не предлагают услуг на базе Web своим партнерам и заказчикам», — поясняет Кэмп.

Если ваши потребности этим ограничиваются, то делегирование полномочий по управлению брандмауэром администратору сети может представлять вполне приемлемый выход. «Однако таких компаний становится все меньше и меньше, так как многие хотят использовать те возможности, которые Internet позволяет им предоставить своим заказчикам и партнерам», — считает Кэмп.

Дэйв Уильямс, директор по информационным технологиям в консалтинговой группе RSI, у которой имеется интерактивный склад данных о розничных точках продаж, рано понял преимущества обращения к услугам по управлению брандмауэрами, в конечном итоге выбрав в качестве провайдера DefendNet.

«Честно говоря, многие компании просто не в состоянии управлять брандмауэрами. С учетом высокого уровня сложности подобной задачи лучше обратиться к профессионалам в этой области, — считает Уильямс. — Если только ваша компания не достаточно крупная, чтобы позволить себе иметь собственного штатного специалиста, то лучше нанять такого специалиста вместе с другими компаниями, а не пытаться заполучить его к себе в штат».

Курт Зиглер, президент eBSure, компании-разработчика комплекта инструментария для оценки эффективности и полезности узла Web, пользуется услугами управления брандмауэрами компании RIPTech. Как он сам считает, благодаря этому его компания экономит несколько сотен тысяч долларов в год.

Имея опыт в области защиты, Зиглер сначала думал реализовать управление брандмауэрами силами специалистов компании. «Затем я решил подсчитать расходы. У меня получилось, что, если все делать как надо, нам придется потратить 500 тыс. долларов в первый год и по 300 тыс. в каждый последующий». Зиглер получил эти цифры, исходя из необходимости круглосуточной защиты — одного штатного эксперта по защите было бы недостаточно. «Это весьма дорогостоящая перспектива, — добавляет он. — Мне необходимо приобрести оборудование, купить программное обеспечение, и мне же придется заниматься инсталляцией».

Помимо малых и крупных компаний целесообразность обращения к услугам управления брандмауэрами рассматривают также провайдеры услуг размещения информационного наполнения. При этом, как поясняет Бучард из META Group, они руководствуются стремлением предоставить своим заказчикам защиту в качестве дополнительной услуги.

«Многие компании в наши дни прибегают к размещению своего информационного наполнения, а иногда и корпоративных приложений, на серверах Web провайдеров соответствующих услуг. Понятно, что такие серверы должны быть защищены с помощью брандмауэров. Поэтому некоторые из провайдеров предоставляют одновременно услуги размещения и защиты. Однако наверняка не все являются экспертами в области защиты, поэтому для них обращение к услугам защиты доступа к приложениям наверняка будет иметь смысл», — говорит он.

ОТРЕЗВЛЯЮЩАЯ СТАТИСТИКА

Согласно отчету Института компьютерной защиты, у 62% обследованных компаний система защиты была взломана в течение последнего года, причем в одной трети случаев данный факт имел место, несмотря на наличие брандмауэра.

Кроме того, как сообщается в отчете, практически 93% из тех, кому пришлось столкнуться с подобной неприятностью, прекращали свое существование в течение пяти лет. Конечно, вовсе не обязательно имеется прямая связь между прорывом защиты и прекращением бизнеса, однако подобная статистика заставляет задуматься.

Еще более знаменателен тот факт, что большинство прорывов защиты можно было бы предотвратить. Очень многие прорывы защиты оказываются возможны из-за неправильной или непродуманной конфигурации брандмауэров. Стремясь получить доступ в вашу внутреннюю сеть, злоумышленник вначале пытается найти уязвимые места в конфигурации брандмауэра. В большинстве случаев подобных уязвимых мест можно было бы не допустить. Причина проблемы вовсе не обязательно лежит в архитектуре и функциональности брандмауэра; чаще она связана с ошибками конфигурации. Наиболее же распространенной причиной ошибок при конфигурации является отсутствие опытного персонала в области защиты.

Даже когда брандмауэр сконфигурирован правильно, этого может оказаться недостаточно вследствие просьб отделов предоставить пропуск для различных приложений. Как поясняет Кэмп: «Открывая лазейку или канал для какого-либо конкретного приложения, вы непреднамеренно делаете вашу сеть беззащитной перед угрозами, о которых даже не догадываетесь. На это следует обращать самое пристальное внимание».

ОБРАЩЕНИЕ ЗА УСЛУГАМИ

Большинство провайдеров услуг управления брандмауэрами работают одинаково, начиная с установки оборудования в вашем офисе (см. врезку «Некоторые услуги по управлению брандмауэрами»). Оборудование в помещении заказчика (Customer Premises Equipment, CPE) предоставляется и конфигурируется провайдером (хотя при наличии установленного оборудования он может работать и с ним). В качестве такового обычно используются наиболее популярные брандмауэры, такие, как Firewall-1 компании Check Point Software Technology или одна из моделей PIX Firewall компании Cisco Systems. Использование стандартных или сертифицированных ICSA брандмауэров позволяет свести к минимуму проблемы совместимости.

Провайдер, естественно, берет ежемесячную плату за обслуживание и, в некоторых случаях, плату за установку. Стоимость установки может достигать 15 тыс. долларов в зависимости от включения амортизационных отчислений в ежемесячную плату или же использования собственного оборудования.

Обычно у провайдера имеется лаборатория, где брандмауэры проверяются и конфигурируются перед доставкой. Шифруемый туннель связывает оборудование на вашем узле с центром управления сетью провайдера (Network Operation Center, NOC). Все управление осуществляется из этого центра (см. Рисунок). Заказчик получает периодические отчеты и либо интерфейс на базе Web, либо прямую линию для обращения к инженеру на случай, если ему потребуется что-либо изменить в принятой политике защите. Желательно, чтобы провайдер предоставлял интерфейс для контроля за состоянием брандмауэра и его сервисов в реальном времени.

DefendNet и RIPTech предлагают заказчику возможность позвонить непосредственно инженеру для согласования изменений в любое время дня и ночи, так что заказчик может высказать свою просьбу живому человеку, а не бездушной машине. Внесение изменений через интерфейс на базе Web было бы проще, но в человеческом «интерфейсе» есть своя логика.

По словам президента DefendNet Винсента Джордано, во многих случаях просьбы об изменениях не имели смысла. Перепроверка запроса инженером NOC снижает вероятность совершения ошибки. Тим Белчер, директор RIPTech по информационным технологиям, добавляет, что «всякое обращение в центр управления и каждое изменение в конфигурации брандмауэра протоколируются».

Помимо надзора за внесением изменений в конфигурацию и за самой конфигурацией со стороны инженеров, услуги управления брандмауэрами дают и другие преимущества. По замечанию Белчера, брандмауэры, как и антивирусные пакеты, становятся со временем менее эффективными, если их оставляют без присмотра и не модифицируют. «Чем дольше брандмауэр остается беспризорным и чем дольше в его конфигурацию не вносятся изменения, тем больше типов атак становится возможно провести на такую сеть». Таким образом, хорошие услуги должны предусматривать периодический анализ и проверку политики защиты по крайней мере два раза в год. Кроме того, многие предлагают услуги управления брандмауэрами в пакете с другими услугами защиты, такими, как выявление атак, RIP и шифрование.

Провайдеры услуг управления защитой нередко предлагают заключить соглашение об уровне сервиса (Service Level Agreement, SLA), где либо явным образом указывается время реакции на конкретные ситуации, либо, как в случае NetSolve, просто оговаривается возмещение платы за услуги за данный месяц, если заказчик будет ими недоволен.

Конечно, одним из наиболее ценных преимуществ управляемого брандмауэра является круглосуточное обслуживание. Возможность чрезвычайного реагирования в любое время суток очень важна для противодействия атакам. Во многих случаях при выявлении атаки или проблемы с конфигурацией провайдер может принять соответствующие меры сам. Однако, по желанию заказчика, он может предупредить специалистов заказчика и дать им рекомендации относительно необходимых действий — все зависит от серьезности проблемы.

Наконец, «побочное» преимущество управляемой защиты состоит в том, что большинство провайдеров оказывают помощь в составлении политики защиты, а ее наличие является необходимым условием адекватного управления брандмауэром. Джордано из DefendNet говорит по этому поводу следующее: «Мы предлагаем заказчикам заполнить формы и указать потенциальные проблемы, чтобы затем реализовать их в базе правил. В большинстве случаев оказывается, что у заказчика вообще нет политики. Заставляя заполнить форму, мы вынуждаем его задуматься о том, какого рода услуги он хотел бы получить, что ему необходимо, а что не нужно и как следует поступать в нештатных ситуациях».

ПРОХОД ЗАПРЕЩЕН

Управление брандмауэрами часто делится на две различные области. Одну составляет реальное управление брандмауэром, включая контроль конфигурации, добавление пользователей и портов, применение заплат и другие рутинные операции. Вторую — мониторинг защиты, в частности с помощью систем выявления атак (Intrusion Detection System, IDS).

Белчер из RIPTech считает так: «Управление устройством — это то, чем может овладеть любой опытный администратор сети. Многие компании имеют таких специалистов и могут управлять собственными брандмауэрами. Однако с расширением средств соединения с Internet и переходом на VPN управление брандмауэрами в какой-то момент превращается в чрезвычайно трудоемкую и отнимающую много времени задачу».

Выявление атак присутствует в списке услуг многих провайдеров. Кэмп из NetSolve говорит, что большинство заказчиков его компании выбирают управление брандмауэрами и выявление атак. «У многих компаний нет ресурсов для круглосуточного мониторинга возможных атак».

В большинстве случаев провайдер размещает IDS вместе с брандмауэром. Обе системы должны быть тесно связаны, и управление обеими должно осуществляться через один интерфейс. На физическом уровне IDC должна находиться перед брандмауэром. В этом случае она будет видеть весь трафик, даже тот, который брандмауэр успешно блокирует.

«Сегодня брандмауэры являются одним из множества видов продуктов для защиты сети, — говорит Белчер. — Выявление атак, VPN, пограничные маршрутизаторы, системы идентификации, PKI... Управление всеми ими должно осуществляться согласованно для получения полной картины защиты в масштабах всего предприятия».

Большинство специалистов предлагают также периодическое сканирование. «Мы пытаемся установить возможность проникнуть за брандмауэр и добраться до чего-либо, наподобие конкретного сервера или порта сервера, к чему мы не должны были бы иметь доступа. Подобное проникновение может стать возможным в результате внесения заказчиком изменений в свою сеть и открытия им того, что не следовало открывать».

Выявление атак желательно даже в случае хорошо продуманной конфигурации. Например, в случае атаки с использованием сценария CGI брандмауэр может пропустить сценарий, поскольку он имеет разрешенный адрес и порт получателя. Однако этот сценарий может маскировать атаку на сервер Web.

«В случае электронной коммерции возникает необходимость извлечения цен и состояния заказа из внутренних баз данных. Это потенциально открывает возможность того, что кто-нибудь, у кого есть необходимые знания, сможет проникнуть во внутренние системы в сети после компрометации сервера Web», — объясняет Кэмп.

Брандмауэр проверяет адрес сервиса, адрес получателя, запрошенные порты и другие аналогичные детали и принимает решение относительно доступа на основании этих факторов. Система выявления атак взаимодействует с брандмауэром, заглядывая внутрь потоков данных для выявления отпечатков, или сигнатур, известных или теоретических атак.

НАСТРОЙКА

Нередко провайдеры настраивают и конфигурируют брандмауэры; многие из них имеют собственную лабораторию для этих целей. Сам по себе брандмауэр находится в помещении заказчика вместе с (необязательно) отдельным устройством системы выявления атак. Датчик атак может располагаться как перед, так и позади брандмауэра, однако размещение его перед брандмауэром позволяет инженерам NOC видеть весь трафик. Брандмауэр заказчика связан с NOC сервисного центра по VPN на базе Internet.

При наличии у заказчика нескольких филиалов, каждый из которых имеет свой брандмауэр и связан со штаб-квартирой по VPN на базе Internet, возникает вопрос совместимости брандмауэров. Если одни провайдеры просто требуют устанавливать в каждом офисе брандмауэры одного производителя, то другие, в частности RIPTech, не выдвигают подобных условий и работают с имеющимся оборудованием.

Заказчику тем не менее не мешает убедиться, что используемое провайдером аппаратное и программное обеспечение совместимо с его сетью, так как это позволит свести необходимые изменения к минимуму. Если провайдер отказывается работать с некоторыми из имеющихся брандмауэров, то вам, вероятно, придется пойти на расходы по их замене.

Другим важным вопросом является масштабируемость: провайдер должен быть способен управлять новыми брандмауэрами за пропорциональную плату при увеличении числа филиалов.

НЕ ПЫТАЙТЕСЬ ДЕЛАТЬ ЭТО САМИ

«Я думаю, что заказчики станут все чаще обращаться к сторонним услугам, поскольку сложность защиты возрастает, а тех, кто способен ее организовать, не так много», — полагает Зиглер из eBSure.

С увеличением риска все больше компаний направляет свои взоры на провайдеров услуг при реализации и обслуживании защиты. Обращение к сторонним услугам не только часто оказывается экономически более выгодным по сравнению с организацией защиты собственными силами, но и дает компании возможность пользоваться знаниями и опытом высококвалифицированных специалистов, на которых у нее просто не хватило бы средств, если бы она вознамерилась держать их в своем штате, в особенности если это небольшая организация.

Зиглер говорит: «Я не имеют такого опыта, как провайдер, у которого множество заказчиков и которому приходится ежедневно отражать самые разные атаки».

Дэн Блачарски — независимый автор. С ним можно связаться по адресу: dblach@pacbell.net.


Некоторые услуги по управлению брандмауэрами

Провайдеры услуг управления брандмауэрами предлагают различные комбинации услуг, однако их возможности должны соответствовать конкретным потребностям вашей организации. Ниже мы приводим краткий обзор предложений трех американских провайдеров и ориентировочные цены на их услуги.

Услуга Enterprise компании DefendNet рассчитана на провайдеров Internet и предприятия с более чем 250 пользователями; она использует Firewall-1 компании Check Point Software Technology. Организациям меньшего размера DefendNet предлагает DefendNet Digital Subscriber Line (DSL, не более чем для 59 узлов) и DefendNet MT (от 50 до 250 узлов).

Управление брандмауэром осуществляется из NOC, а взаимодействие с NOC — по шифруемому каналу. Поддержка VPN позволяет предоставить удаленным офисам или пользователям защищенный доступ в сеть. DefendNet предлагает периодическую проверку защиты, фильтрацию для узла Web, организацию демилитаризованной зоны (Demilitarized Zone, DMZ), поддержку неограниченного числа пользователей, отчеты об использовании и, дополнительно, организацию VPN за 199—1999 долларов в месяц в зависимости от числа узлов.

RIPTech предлагает eSentry, систему анализа защиты и мониторинга в реальном времени. Компания работает с целым рядом брандмауэров и устройств защиты, в том числе VPN-1 и Firewall-1 компании Check Point, PIX Firewalls компании Cisco и брандмауэром Raptor компании Axent. Плата за услуги составляет от 2000 долларов в месяц и включает управление брандмауэром и выявление атак.

NetSolve предлагает интерактивный интерфейс для доступа к отчетам по запросу. Решение по управлению брандмауэром, ProWatch Secure, предусматривает контроль по периметру с помощью Cisco PIX Firewall и Cisco Secure Intrusion Detection System (IDS, ранее называвшаяся NetRanger). Для внесения добавлений и изменений заказчику предлагается позвонить в NOC и поговорить с инженером. Дважды в год компания проверяет надежность защиты (это входит в стандартный комплект услуг). Комбинация из брандмауэра и IDS обойдется в 1995 долларов в месяц. Оборудование предоставляется за отдельную плату.


Упоминаемые продукты и услуги

Продукты

Axent Technologies

Raptor Firewall

http://www.axent.com

Check Point Software Technology

Firewall-1

VPN-1

http://www.checkpoint.com

Cisco Systems

Secure PIX Firewall

Secure IDS

http://www.cisco.com

Услуги

DefendNet

DefendNet Enterprise

DefendNet DSL

DefendNet MT

http://www.defendnet.com

NetSolve

ProWatch Secure

http://www.netsolve.com

RIPTech

eSentry

http://www.riptech.com


Ресурсы Internet

WatchGuard Technologies предлагает исчерпывающий материал по управлению защитой. См. http://www.watchguard.com.

ICSA.net занимается защитой Internet и предоставляет множество информации по проблемам защиты, в том числе о сертификации брандмауэров на http://www.icsa.net.

Библиотека защиты компании NetSolve на http://www.netsolve.com содержит ссылки на несколько статей из отраслевой прессы на тему управления брандмауэрами и услуг защиты.

CERT публикует рекомендации относительно защиты и информацию о противодействии атакам и выявлении вторжений на http://www.cert.org.

Поделитесь материалом с коллегами и друзьями