Защита персонального компьютера оградит от худших бед.

Хакеры терроризируют корпоративные сети не первый год, но владельцев домашних компьютеров они до поры до времени не тревожили. Теперь этой спокойной жизни пришел конец — системы домашних пользователей Internet и сотрудников компаний, работающих вне офисов, становятся объектами применения все тех же грязных приемов. Положение домашних пользователей, компьютеры которых постоянно подключены к сети при помощи DSL- или кабельных модемов, усугубляется тем, что они лишены возможности воспользоваться услугами специалистов группы сетевой безопасности предприятия или установить у себя устройства сетевой защиты. Без этой поддержки сети офисов малых предприятий и пользователи домашних ПК остаются беззащитными перед атаками злоумышленников.

На помощь могут прийти персональные межсетевые экраны. Эти облегченные недорогие системы сулят многое, но могут ли они на деле обеспечить надежную защиту? Под силу ли установка таких систем неопытным пользователям и удастся ли чувствовать себя спокойно под их защитой? Ответы на эти вопросы способны удивить многих.

ПЕРСОНАЛЬНАЯ ЗАЩИТА

Персональный межсетевой экран рассчитан на то, чтобы защищать один ПК от нежелательного проникновения или атаки в то время, когда он подключен к Internet. Экраны выполняют эту функцию, контролируя входящий и исходящий трафик. Они не создают препятствий для передачи данных стандартных приложений и удаляют несанкционированный трафик или информацию неизвестного происхождения, применяя правила защиты, определенные пользователем. В корпоративных же сетях загрузку стандартных конфигураций защиты на межсетевые экраны предприятия обеспечивает центральный сервер политики.

Персональные межсетевые экраны должны также выявлять вторжения, что предполагает уведомление пользователя о природе и источнике предпринимаемой атаки. Обнаружение вторжений можно назвать вторичной по отношению к их предотвращению задачей, однако оно может предупредить пользователя об атаках, которые еще не учтены в наборе правил обеспечения безопасности и от которых вследствие этого межсетевой экран защитить не может. В случае необходимости межсетевые экраны должны уметь устанавливать защищенные соединения с другими хостами. Для этой цели весьма полезной могла бы быть технология VPN, хотя она еще не «прижилась» у разработчиков персональных межсетевых экранов (более подробно VPN будет обсуждаться ниже).

Сегодня существует три разновидности персональных межсетевых экранов: автономные, экраны-устройства и экраны на базе агентов.

Наиболее распространенные автономные межсетевые экраны реализуются программно. Они устанавливаются на ПК и работают под управлением большинства операционных систем, в том числе Windows 95/98/NT и иногда Windows 2000. Автономные межсетевые экраны защищают только одно рабочее место, поэтому их администрированием занимается владелец этого компьютера.

Межсетевые экраны-устройства — это аппаратные решения, работающие в точке подключения к Internet. Они выполняют функции маршрутизатора, коммутатора и межсетевого экрана. Как правило, на них не требуется устанавливать дополнительное программное обеспечение, однако DSL- или кабельный модем остается нужен по-прежнему. Большинство межсетевых экранов данного типа может защищать до 250 хостов, поэтому они часто используются предприятиями для защиты соединений с небольшими удаленными офисами. Владелец аппаратного брандмауэра может сам заниматься его администрированием, но может и доверить эту работу независимой организации, которая будет выполнять администрирование удаленно.

Межсетевые экраны на базе агентов — это программные решения, в основном подобные автономным экранам, за тем исключением, что набор правил обеспечения безопасности для них задается центральным сервером, как правило, установленным в корпоративной сети. Межсетевые экраны на базе агентов выполняют эти правила на хосте, на котором работает удаленный агент.

Пользователи могут найти большинство необходимых им функций в экранах, которые стоят не дороже 50 долларов, а некоторые распространяются бесплатно (см. Таблицу). Однако при выборе межсетевого экрана соображения стоимости следует учитывать в последнюю очередь.

ПОДОЙДЕТ — НЕ ПОДОЙДЕТ?

Для оценки перечисленных ниже персональных межсетевых экранов я установил каждый программный продукт на систему с самой последней версией операционной системы, которую он поддерживает. Так как экраны-устройства самодостаточны, я подключил их к небольшой локальной сети и сконфигурировал так, чтобы они обеспечивали ее защиту.

Я определял возможности каждого межсетевого экрана путем выполнения на защищенном хосте стандартных приложений, таких, как браузеры Web и клиенты электронной почты. Кроме того, при помощи имевшихся в моем распоряжении сигнатур атак я имитировал сканирование как портов, так и сервисов, а также атаку по типу отказ в обслуживании (Denial of Service, DoS) на защищаемый хост. Таким образом, мне удалось оценить уровень защиты, обеспечиваемой данным экраном, качество ведения системного журнала и удобство процедуры уведомлений в реальном времени.

Список функций межсетевого экрана Personal Firewall компании McAfee, который раньше назывался Signal 9 Solutions ConSeal Private Desktop, весьма внушителен. Он может запрашивать введение пароля для изменения установок экрана и обеспечивать различные уровни защиты для различных интерфейсов.

Personal Firewall может выполнять фильтрацию как исходящего, так и входящего трафика. Без такой фильтрации нельзя эффективно защититься от программ-шпионов и «троянских коней», которые, незаметно проникнув на компьютер, пытаются сообщить внедрившей их стороне сведения о его конфигурации, такие, как учетные записи, пароли, и информацию об использовании Web. Компьютеры, не имеющие возможности контролировать исходящий трафик, беззащитны против такого рода программ.

Как правило, программы-шпионы не наносят системе вреда, но они часто раскрывают информацию о последних загрузках программ, посещаемых сайтах Web и перечне средств, установленных на данном ПК. Антивирусные комплексы не регистрируют эти программы, поскольку они не считаются вредоносными.

«Троянские кони» могут пересылать породившей их стороне пароли и некоторые файлы. Один из последних «троянских коней», BackDoor-G, позволяет преступнику взять ПК под свой полный контроль. Способность Personal Firewall отфильтровывать исходящий трафик лишает программ-шпионов и «троянских коней» возможности связываться с пославшими их злоумышленниками, однако для этого необходимо задать несколько неочевидных правил фильтрации.

Personal Firewall предлагает три готовых набора правил обеспечения безопасности: Block Everything (полная блокировка), Filter Traffic (фильтрация трафика) и Allow Everything (отсутствие блокировки). Режим Block Everything полностью оправдывает свое название: реализовать его можно другим способом и совершенно бесплатно — просто отключившись от Internet. С другой стороны, Allow Everything означает, что защита попросту отсутствует. Таким образом, рассмотрения заслуживает только ружим Filter Traffic, поскольку он предоставляет возможность решать, пропускать или нет трафик для тех или иных портов и тех или иных протоколов.

Настройка этих установок может оказаться сложной для многих пользователей задачей. В защиту Personal Firewall можно сказать только то, что он позволяет квалифицировать приложение, либо как заслуживающее абсолютного доверия, либо как неприемлемое. Однако при этом «тонкость настройки» теряется, а она является весьма ценным свойством для многих. Как только настройки начнут удовлетворять пользователя, он может заняться журналом регистрации событий, который ведется этим межсетевым экраном.

Используемый в режиме Filter Traffic набор правил по умолчанию оставляет открытыми некоторые уязвимые места, опасность которых можно считать низкой или средней. Установки по умолчанию также не предупредят пользователя о сканировании портов и подозрении на атаку по типу отказ в обслуживании, однако это не следует считать причиной для «отбраковки» данного экрана — за исключением тех случаев, когда пользователю действительно необходимо получать предупреждения о несанкционированных проникновениях.

Установка Personal Firewall требует от пользователя больших усилий. После перезагрузки, которая следует за установкой программы, ему предлагается прочесть файл readme. После выхода из файла readme, где объясняются обязательные действия, которые необходимо выполнить вручную, придется набраться терпения, поскольку система еще раз напомнит о каждом из этих действий, в том числе о ручной загрузке и активизации драйверов межсетевого экрана McAfee, одного за другим. Впрочем, если сбросить со счетов эти досадные неудобства, Personal Fierwall McAfee представляет собой достаточно надежный персональный межсетевой экран. И все же компании следует поработать над упрощением программы и совершенствованием ряда ее функций.

Межсетевой экран Norton Internet Security 2000, раньше носивший имя AtGuard Personal Firewall, способен заблокировать рекламу Web, файлы-«плюшки», информацию о версии браузера Internet, а также JavaScript и ActiveX. Кроме того, система может фильтровать входящий и исходящий трафик. При большом разнообразии технологий сценариев Web подчас бывает трудно разобраться, страницы с каким содержанием в действительности представляют собой рекламу. Norton Internet Security 2000 дает пользователю возможность отбуксировать нераспознанную рекламу в корзину для мусора, любезно предоставляемую межсетевым экраном. В следующий же раз информация такого типа будет заблокирована.

Установки экрана Norton разделяются на следующие категории: Security (защита), Privacy (конфиденциальность), Parental Control (контроль происхождения) и Advertisement Blocking (блокировка рекламных объявлений). В категории Security поддерживаются функции защиты с использованием правил и возможностью интерактивного обучения, чего нет во многих конкурирующих продуктах. При попытке какого-либо приложения начать взаимодействие через Internet, функция автоматической генерации правил спрашивает у пользователя разрешения на это, после чего межсетевой экран запоминает сделанные пользователем установки и применяет их при последующих повторных запросах доступа. Так как эти правила доступа программ применяются как ко входящему, так и к исходящему трафику, то пользователю придется потрудиться и при первом использовании ответить на все подобные вопросы, иначе не будут работать даже традиционные приложения, такие, как Outlook и Internet Explorer.

В установках по умолчанию среднего уровня защищенности категории Security без внимания оставлены только два не очень серьезных по последствиям открытых уязвимых места. К сожалению, они остаются открытыми и на самом высоком уровне защищенности. При помощи установок Privacy пользователь может достаточно детализированно блокировать файлы-«плюшки» и задавать установки браузера. Norton позволяет преградить «плюшкам» путь в систему и не выпускать их при навигации по Web. Кроме того, эта система обладает превосходными функциями ведения системного журнала, хранящего историю посещений Web-сайтов, изменений правил межсетевого экрана и подробную статистику.

Несмотря на всю свою полезность, функция автоматической генерации правил может стать утомительно навязчивой в ситуации, когда компьютер начинает сканироваться атакующим. Вместо выдачи одного сообщения об атаке (например, «Сканирование портов» или «Атака отказ в обслуживании») Norton будет бомбардировать пользователя многочисленными запросами системы генерации правил о разрешении соединения по каждому сканируемому порту. Решить проблему можно только одним путем — отключить эту функцию, что само по себе не так-то просто, и остаться без механизма автоматизации. Иными словами, редактирование правил фильтрации придется выполнять вручную.

Кроме того, межсетевой экран Norton предлагает выявление вирусов и защиту от них, а также выявление и защиту от многих «троянских коней». Norton Internet Security 2000 подойдет тем пользователям, которым нужно единое решение, предоставляющее полный набор возможностей.

Название BlackICE Defender (продукт компании Network ICE) имеет, вероятно, наибольшую известность на рынке персональных межсетевых экранов в США. BlackICE Defender прост в установке и конфигурации, кроме того, он предоставляет широкие возможности выбора режима политики безопасности, среди которых имеются Trusting (доверительный), Cautious (умеренная предосторожность), Nervous (преувеличенная предосторожность) и Paranoid (мания преследования). Режим по умолчанию, Cautious, хорошо защищает хост, хотя оставляет открытыми для атак некоторые низкоприоритетные уязвимые места. Два наиболее жестких набора правил, Nervous и Paranoid, оставляют открытым доступ только для ICMP и traceroute, однако, возможно, они делают это для того, чтобы позволить нормально работать системе выявления вторжений. Необходимо отметить, что BlackICE Defender успешно отражает даже самые последние формы атак по типу отказ в обслуживании.

Средства выявления вторжений экрана BlackICE Defender корректно идентифицируют как простые, так и фрагментированные атаки (сканирование портов), таким образом, систему можно сконфигурировать так, чтобы предупреждения пользователям выдавались различными способами. Кроме того, BlackICE Defender может блокировать злоумышленников, используя их IP-адреса и имена хостов, либо в течение определенного времени, либо неопределенно долго. Defender автоматически выполняет операции обратного отслеживания для определения IP-адреса, имени хоста и даже идентификатора логического входа NetBIOS злоумышленника, если они доступны. Однако средства выявления вторжений иногда некорректно определяют некоторые виды активности в сети, не несущие никакого вреда, квалифицируя их как разновидность атаки. Впрочем, большинство пользователей быстро набираются опыта в отделении таких некорректных предупреждений от реальных угроз.

Defender не предоставляет возможности различать интерфейсы. Пользователь домашней сети не может поддерживать различные наборы правил обеспечения безопасности для Internet-соединения и для локального соединения. Наиболее существенным недостатком межсетевого экрана Defender является его неспособность ограничивать исходящий трафик при любых установках обеспечения безопасности. Это означает, что практически невозможно лишить программы-шпионы или «троянских коней» способа сообщать вовне информацию о конфигурации ПК, истории посещений Web-сайтов и даже о последовательности нажатия на клавиши. Видимо, пользователь даже не сможет распознать, что в его системе разместилась такая программа. В любое время в Сети можно обнаружить не менее десятка «троянских коней», сигнатуры которых еще не занесены в антивирусные реестры. Единственным надежным способом защититься от вредоносного воздействия программ этого типа может служить разрешение исходящего трафика только для известных приложений.

BlackICE Defender можно считать подходящим для любого пользователя вариантом. Простота установки и использования уже позволила ему завоевать значительную долю рынка персональных межсетевых экранов.

Компания Network Associates недавно выпустила новейшую версию Pretty Good Privacy (PGP) с впечатляющим набором характеристик. Наряду со стандартными функциями, которые имеются и в предыдущих версиях, такими, как шифрование файловых систем, создание цифрового ключа и поддержка VPN, PGP Desktop Security 7.0 обладает функциональностью межсетевого экрана и системы выявления вторжений.

PGP 7.0 Personal Firewall поддерживает развитый набор правил обеспечения безопасности, как готовых, так и настраиваемых. Для создания собственного комплекта правил достаточно просто выбрать существующий набор и отредактировать его с помощью простого интерфейса, подсказывающего, какие действия выполнять. Тем не менее по умолчанию предоставляется набор правил None (защита отсутствует), поэтому непосредственно после установки продукта уровень безопасности системы не повысится ни на йоту. Пользователю придется вручную выбрать список желаемых правил из предлагаемых опций Personal Firewall или создать нужный по имеющимся шаблонам.

PGP 7.0 может отличать сервер от клиентского компьютера. Если вы выполняете какие-либо серверные приложения на ПК, то вы обязательно оцените готовые наборы правил. При установках Minimal (минимальная безопасность) сканирование сервисов и портов позволило выявить большое количество уязвимых мест невысокой степени риска на защищаемом хосте, при этом средства обнаружения вторжений корректно распознают проводимую атаку. Предупреждения об атаках можно конфигурировать так, чтобы они подавались в форме звуковых или визуальных сигналов либо уведомлений по электронной почте. По умолчанию система выявления вторжений квалифицирует атакующего как нарушителя, после чего не разрешает взаимодействие в обоих направлениях с отмеченным узлом до тех пор, пока пользователь вручную не отменит эту установку.

При установках Client High (максимальная защита) не было выявлено никаких уязвимых мест при сканировании портов, сервисов или при атаке по типу отказ в обслуживании. Фактически защищенный хост был полностью неуязвим для всех известных комбинаций атак. Однако при этих установках система обнаружения вторжений PGP 7.0 не смогла распознать проводимую атаку. Для ее работы необходим хотя бы минимальный трафик, а поскольку практически ничего не допускалось внутрь, система выявления вторжений не имела в своем распоряжении материала для анализа.

PGP Desktop Security 7.0 не позволяет эффективно блокировать «троянских коней» или программы-шпионы. Для этого потребовалось бы либо знать заранее, какие порты и протоколы используют злоумышленники, и предотвратить такие коммуникации посредством соответствующей настройки правил, либо создавать подробный и громоздкий набор правил, разрешающих только известным программам, протоколам и портам передавать трафик вовне. Оба варианта не обеспечивают адекватную защиту, поскольку «троянские кони» могут использовать тот же порт и протокол, что и хорошо известные программы, трафик которых пропускается.

Кроме того, следует иметь в виду, что, даже если вы сможете составить столь сложный набор правил, его не удастся сохранить. После выбора опции возврата — даже временного — к готовому набору правил, что выполняется простым нажатием на клавишу мыши, настроенные правила становятся теперь недоступными. Еще одним настораживающим аспектом системы PGP 7.0 является то значение, которое для нее имеет модуль PGPnet. Если по какой-то причине пользователь отключит модуль PGPnet, то он невольно отключит и всю защиту межсетевого экрана.

Недостатком системы выявления вторжений PGP является то, что она не может установить источник атаки. Мало того, она просто не работает в конфигурации по умолчанию. Так как по умолчанию трафик от злоумышленников заблокирован, проследить его путь не удается.

Несмотря на некоторые, не слишком существенные недостатки, система PGP Desktop Security 7.0 представляет собой мощный набор интегрированных продуктов обеспечения безопасности для домашних ПК. Способность PGP Desktop Security 7.0 обеспечить адекватную защиту ПК и создавать защищенные каналы связи (VPN) делают этот продукт уникальным.

Система ZoneAlarm компании Zone Labs является, несомненно, самой дружелюбной. Ее очень просто устанавливать и конфигурировать. Благодаря возможностям интерактивного обучения ZoneAlarm, пользователю достаточно ответить на вопросы о разрешении или запрещении доступа для любого приложения, которое пытается взаимодействовать по сети, и система сама составит правила защиты.

ZoneAlarm поддерживает два интерфейса — один для домашней локальной сети, а другой для соединения Internet. Способность ZoneAlarm фильтровать как входящий, так и исходящий трафик приложения защищает пользователя от «троянских коней» и программ-шпионов. ZoneAlarm — это единственный межсетевой экран (из тех, с которыми я работал), идентифицирующий не только порты и протоколы на выходе, но также и программы, пытающиеся послать информацию вовне.

Для клиентов электронной почты, таких, как Outlook, необходимо вручную указать удаленный почтовый сервер. При выборе соответствующей опции модернизация ZoneAlarm может выполняться автоматически. При использовании режима Medium (средний уровень защиты) ZoneAlarm оставляет открытыми шесть уязвимых мест, представляющих небольшую опасность. Когда я повысил режим до High (высокий уровень защиты), эти «дыры» исчезли.

Система обнаружения вторжений не вырабатывает предупреждений во время сканирования портов или атак по типу отказ в обслуживании, если выбран режим High. Предупреждения, которые подаются при более низких уровнях защиты, могут иметь вид всплывающих диалоговых окон или записей в журнальный файл. Некоммерческим пользователям ZoneAlarm предоставляется бесплатно. Типичному пользователю домашнего ПК, который хотел бы обезопасить себя при доступе в Internet и не нуждается во всех «примочках», которые предоставляют другие межсетевые экраны, персональный продукт ZoneAlarm подходит как нельзя лучше.

СЕКРЕТНЫЙ АГЕНТ

Тем же, кто ищет решение для обеспечения безопасности в корпоративных сетях, придется обратиться к другим продуктам. Персональные межсетевые экраны на базе агентов позволяют управлять политикой безопасности на каждом удаленном и домашнем компьютере с центрального узла. Межсетевой экран BlackICE Agent предоставляет тот же уровень защиты, что и его автономный «родственник» (BlackICE Defender): единственное исключение состоит в том, что он работает с сервером централизованного управления (ICEcap Manager), от которого и получает наборы правил обеспечения безопасности. Кроме того, можно сконфигурировать предупреждения для уведомления как локального агента, так и сервера ICEcap Manager.

Без защищенного соединения между сервером ICEcap Manager корпоративной сети и агентами злоумышленник легко может воспользоваться информацией об обновлениях правил, передаваемой по сети. По этой причине агенты BlackICE Agent совместимы со многими имеющимися сейчас на рынке клиентами VPN.

Таким образом, разговор опять сводится к VPN. Сейчас сложилось представление, что организациям, уже широко использующим защиту VPN для своих сотрудников, нужно теперь переходить к применению персональных межсетевых экранов. Действительность, однако, такова, что невозможно запретить домашним пользователям, а также удаленным сотрудникам намеренно изменять установки защиты или временно отключать межсетевой экран, когда им это удобно. Руководителям компаний следует трезво смотреть на вещи и не обольщаться мыслью, что они могут контролировать своих сотрудников, даже когда те работают дома. Таким образом, злоумышленники могут прорвать защиту при передаче или записи данных, а также провести разведку (при помощи «троянского коня»). Поэтому защита от вирусов, шифрование и VPN есть и будут необходимыми компонентами комплексного решения этой проблемы.

Практически все предоставляемые сейчас решения могут активизировать набор правил обеспечения безопасности для клиентов VPN с центрального шлюза VPN. За счет простого запрещения отправки данных помимо туннеля — по существу, способности взаимодействовать с компьютерами вне пользовательского домена, когда туннель установлен, — клиента заставляют сначала передать данные шлюзу VPN на другом конце туннеля, где затем трафик будет переадресован внешнему компьютеру, если это приемлемо. Третья сторона не может просматривать трафик, посылаемый с клиента или на него, поскольку он проходит через зашифрованный туннель. Поскольку любое взаимодействие клиента с внешней системой Internet должно осуществляться через корпоративный шлюз, то домашние клиенты VPN обеспечены той же защитой, что и корпоративные.

Кроме того, на домашних ПК должно быть установлено антивирусное программное обеспечение и ПО для шифрования, иначе пользователи смогут занести вирусы в сеть предприятия или сделать данные организации добычей злоумышленников в тех случаях, когда они не подключены к корпоративному шлюзу VPN. Главным требованием при использовании ПО для шифрования является надежная защита личного ключа (предназначенного для расшифровки защищенных данных). Для этого можно применить утилиту PGPdisk для шифрования файловых систем из продукта PGP Desktop Security 7.0 компании Network Associates. Эта утилита позволит организовать безопасное хранение корпоративных данных и получение обновлений файлов с сигнатурами атак для установленных на домашнем ПК антивирусных программ при каждом сеансе связи с сетью предприятия.

Функциональные возможности межсетевых экранов-устройств аналогичны экранам на базе агентов. Такие продукты вполне подойдут тем, кому нужны корпоративные решения с централизованным управлением персональными экранами или необходимо обеспечить защиту межсетевым экраном небольшого количества хостов в удаленном офисе. Возможно, использование межсетевых экранов-устройств окажется даже более практичным и выгодным для защиты двух или более ПК, которые получают доступ в Internet попеременно. Однако цена может отпугнуть большинство случайных пользователей.

Наибольшее распространение получили межсетевые экраны-устройства компании LinkSys — BEFSR 11, и компании SonicWall — SOHO. Эти продукты защищают хосты от атаки и, кроме того, предоставляют целый ряд дополнительных возможностей.

Экран SOHO обеспечивает преобразование адресов (Network Address Translation, NAT), функции proxy-сервера Web, антивирусную защиту, несколько идентификаторов пользователей, поддержку протокола RADIUS, функции сервера и клиента DHCP, фильтрацию информационного наполнения Web, поддержку VPN, аутентификацию на основе цифровых сертификатов, централизованное управление политикой безопасности и настраиваемые правила защиты.

Пожалуй, одна из наиболее важных функций этого набора — централизованное управление политикой безопасности, хотя это утверждение и может показаться спорным. Возможность загрузки правил обеспечения безопасности с центрального сервера на межсетевые экраны — это верх желаний администратора. Для множества организаций централизованное управление наборами правил — единственно верная политика. Именно поэтому экран SOHO является уникальным продуктом, обеспечивающим одновременно недорогое и управляемое решение по обеспечению безопасности.

Кроме того, межсетевой экран SOHO может помочь защитить компьютеры за счет использования частных IP-адресов. Так как экран SOHO действует на клиентском окончании Internet-соединения, то у провайдера услуг требуется приобрести только один IP-адрес для защиты всех хостов, расположенных за экраном. Без этой возможности программное обеспечение экрана придется устанавливать на каждый ПК, а также арендовать дополнительные IP-адреса у провайдера.

Межсетевой экран SOHO поддерживает также функции обнаружения вторжения, но механизм выдачи предупреждений реализован на базе электронной почты. Если соединения с почтовым сервером нет или если ПК подвергается атаке по типу отказ в обслуживании с помощью почтового протокола SMTP, соответствующего предупреждения не последует. SOHO протоколирует события на сервере Syslog, где этот журнал может быть подвергнут мониторингу со стороны корпоративной системы сетевого администрирования. Тем, кто выберет такое решение, придется активизировать обе эти функции.

Экран BEFSR 11 компании LinkSys не обладает таким набором функций, как SOHO, что вполне понятно, если принять во внимание его цену (см. Таблицу). В решении LinkSys нет поддержки VPN, централизованного управления политикой безопасности, встроенных антивирусных систем или фильтрации информационного наполнения Web, а также фильтрации апплетов Java или «плюшек». Следует признать, что BEFSR 11 — это скорее кабельный модем или маршрутизатор DSL, поддерживающий настраиваемые правила обеспечения безопасности на базе фильтрации пакетов, что характерно для маршрутизаторов. Сканирование портов LinkSys и защищаемых систем не выявило открытых портов и сервисов, поэтому такие системы не подвержены большинству атак по типу отказ в обслуживании.

Я включил этот продукт в список, поскольку он может выполнять функции персонального межсетевого экрана. Хотя он не выдает такого же количества предупреждений, как SOHO, его можно считать вполне адекватной и недорогой заменой последнего.

ДРУГИЕ ПРЕПЯТСТВИЯ

Возможность безопасного администрирования межсетевых экранов в удаленных офисах из центральной сети предоставляет в распоряжение корпораций функциональность, которой им давно недоставало. Так как в удаленных офисах часто нет специалистов по обслуживанию такой техники, требуется полное управление из центра. Но даже в этом случае перед поставкой новинок в удаленный офис необходимо выполнить их конфигурацию. Помимо этого, такие устройства нужно правильно подключить. Большинство из них имеет несколько интерфейсов, каждый со своими параметрами защиты, поэтому правильное подключение имеет решающее значение для их корректной работы.

Те пользователи, которые справились с этими основополагающими требованиями, могут приступать к решению более сложных задач, таких, как применение наборов правил и управление событиями защиты. Нужно ли в каждом удаленном офисе реализовывать одни и те же наборы правил или они могут несколько различаться? Или, например, как обрабатывать события, фиксируемые персональным межсетевым экраном, в центральном офисе? Будут ли данные об этих событиях «путешествовать» по Internet в текстовом виде, открытые для перехвата и возможного искажения, или они будут заключены в туннели VPN? Кроме того, придется решить, что делать с данными о подобных событиях, когда они достигнут центрального офиса — интегрировать ли их в существующую систему сетевого управления так, чтобы служба технической поддержки была уведомлена о получении сообщения о высокоприоритетном событии. Помимо технических аспектов решений, это лишь некоторые из процедурных сложностей, возникающих при внедрении персональных межсетевых экранов.

Занимаетесь ли вы администрированием удаленных офисов или просто работаете на ПК дома, в любом случае вы, скорее всего, вложили немало труда и средств в свои компьютеры. Если же вы хотите должным образом защитить эти вложения, то персональные межсетевые экраны заслуживают самого пристального изучения.

Кертис Далтон — главный разработчик консультационной компании Greenwich Technology Partners. Связаться с ним можно по адресу: cdalton@greenwichtech.com.

Поделитесь материалом с коллегами и друзьями