Корпоративная сетевая инфраструктура рассматривается сегодня как основа интеграции систем и средств обеспечения информационной безопасности.
Повсеместное распространение сетевых технологий и усложнение информационной инфраструктуры ведут к увеличению числа потенциально уязвимых мест, вследствие чего хакерские атаки превратились в реальную угрозу для бизнеса. Информация стала востребованным товаром, в связи с чем информационная безопасность (ИБ) признается руководителями зарубежных компаний одной из первостепенных проблем; понимание серьезности возможных потерь для бизнеса из-за недостаточной защищенности корпоративных сетей растет и в России.
Рынок информационной безопасности Восточной Европы — один из самых динамично развивающихся секторов рынка ИТ. В России, как и везде в мире, опережающими темпами увеличивается спрос на услуги в сфере ИБ. В минувшем году у некоторых ведущих интеграторов рост в этом сегменте достиг почти 150% и, по мнению аналитиков IDC, продолжится и далее, как минимум до 2008 г. При этом сам рынок ИБ увеличивается ежегодно на 30—35%, что лучше соответствующих показателей рынка ИТ (см. Рисунок 1). С завершением формирования базовой инфраструктуры ИБ, включая межсетевые экраны (МЭ) и системы безопасности контента, может начаться переход к новому этапу: по прогнозам IDC, в ближайшей перспективе структура рынка ИБ будет изменяться в пользу систем авторизации, аутентификации и администрирования (AAA), а также систем обнаружения/предотвращения атак и решений для комплексного управления приложениями ИБ.
|
| Рисунок 1. Рост российского рынка информационной безопасности (по данным компании «Информзащита»). |
Рост сегмента AAA открывает хорошие перспективы для производителей средств аутентификации пользователей — прежде всего это токены, USB-ключи и смарт-карты. Сергей Груздев, генеральный директор компании Aladdin, считает, что 2005 г. станет годом массового внедрения токенов на корпоративном рынке России. Токены и смарт-карты все чаще будут применяться в качестве единого средства аутентификации пользователей при работе с различными системами. Электронные идентификаторы ruToken (совместная разработка компаний «Актив» и «Анкад»), используемые во многих отечественных решениях ИБ, могут применяться для хранения паролей, ключей шифрования, цифровых сертификатов. Такие недорогие токены, как ruToken, могут использоваться как персональные идентификаторы в бюджетных проектах. Ирина Момчилович, коммерческий директор Rainbow Technologies, отмечает, что с прошлого года начался активный рост рынка интегрированных токенов (USB + управление физическим доступом в здания). Такие персональные идентификаторы, как RFiKey, более удобны и безопасны в использовании, так как один и тот же ключ USB обеспечивает защищeнный доступ и в помещения, и к информационным ресурсам предприятия.
Принимая во внимание размытость периметра современной сети, наличие беспроводных, мобильных и удаленных пользователей, защищать приходится не только все элементы корпоративной сети, но и любую точку подключения, укрепляя защиту сети изнутри.
ВАЖНОЕ ЗВЕНО
Наряду с применением отдельных средств защиты наподобие МЭ, VPN и антивирусных программ, заказчики все активнее проявляют интерес к интегрированным решениям. Элементы комплексного подхода к реализации систем ИБ стали появляться и в решениях большинства производителей (см. статью автора «Союз меча и орала» в августовском номере «Журнала сетевых решений/LAN» за 2004 г.). По мнению Алексея Лукацкого, менеджера по развитию бизнеса Cisco Systems, эффективную систему отражения растущего числа атак можно построить только при условии интеграции на инфраструктурном уровне, объединения элементов обеспечения безопасности в единую систему с централизованным управлением, сбором данных и скоординированной реакцией на различные ситуации. В результате должно получиться более экономичное и простое в эксплуатации решение.
Дополнительные средства обеспечения безопасности стремятся предложить корпоративным клиентам большинство поставщиков сетевого оборудования. При снижении цен на коммутаторы и маршрутизаторы Ethernet продукты дифференцируются не столько по мощности и плотности портов, сколько по функциональности. Поскольку сегодня важнейшей функцией является обеспечение ИБ, разработчики концентрируют усилия на решениях для организации защищенных корпоративных сетей. В спектре продуктов ведущих производителей сетевого и телекоммуникационного оборудования решения для обеспечения безопасности присутствуют достаточно давно, но в последние годы они стали оформляться в более полные линейки, а компании все чаще заявляют о себе как о поставщиках систем и услуг в области ИБ.
Например, Cisco Systems ежегодно тратит 300 млн долларов на исследования и разработки такого рода. Игорь Дягилев, менеджер по работе с корпоративными заказчиками 3Com, полагает, что услуги и приложения являются основным направлением эволюции современных сетевых технологий. Акцентируя усилия на разработке решений для защищенных корпоративных сетей, компания Enterasys наделяет свои сетевые платформы развитыми функциями комплексной централизованной защиты сетей и управления. Заявить о себе как о сильном поставщике корпоративных сетевых решений стремится Nortel, развивая комплексный подход к ИБ (см. Рисунок 2). Lucent Technologies формирует единые решения ИБ на основе линейки межсетевых экранов VPN Firewall Brick и переносит на корпоративный сегмент свой опыт в области обеспечения ИБ в сетях операторов связи.
|
| Рисунок 2. Единая архитектура безопасности Nortel. |
Это дает возможность предложить заказчикам не только целый комплекс оборудования и ПО, но и услуги консалтинга, проектирования, внедрения, сопровождения решений. Вместо продуктов для защиты отдельных участков корпоративных сетей начинают поставляться комплексные решения, интегрируемые в инфраструктуру предприятия для обеспечения ИБ на всех уровнях, что позволяет вендорам выйти на новые прибыльные сегменты рынка.
МНОГОУРОВНЕВАЯ ОБОРОНА
Пять лет назад для обеспечения безопасности сети использовались в основном внешние подключаемые устройства, такие, как межсетевые экраны и системы обнаружения вторжений (Intrusion Detection System, IDS), управление которыми осуществлялось с помощью отдельного ПО. В 2002-2003 гг. модули обеспечения ИБ все чаще стали встраивать в сетевую инфраструктуру (маршрутизаторы и коммутаторы), а ПО управления — интегрировать с системами управления сетью на уровне отдельных модулей.
Сегодня этот подход получает дальнейшее развитие: многие поставщики оборудования развивают концепции «интеллектуальной защиты» с глубокой интеграцией сетевой безопасности в инфраструктуру. Подобной стратегии придерживается, в частности, Cisco Systems. Два-три года назад компания предлагала в основном внешние системы, такие, как Cisco PIX и Cisco IDS, однако теперь она отходит от таких систем, поскольку их применение далеко не всегда позволяет удовлетворить требования проектирования сети, снижает надежность и устойчивость системы в целом. В настоящее время компания пришла к технологии интегрированной защиты, когда все механизмы и средства обеспечения ИБ встраиваются в сетевое оборудование. Как считает Алексей Лукацкий, только интеграция средств ИБ в инфраструктуру (сетевую, серверную или инфраструктуру ПО) обеспечивает высокий уровень защищенности информационных систем.
Дэвид Ален, директор по маркетингу компании 3Com, полагает, что внешние специализированные устройства ИБ уже пять лет назад перестали соответствовать требованиям защиты. Сегодня подход 3Com состоит в обеспечении безопасности сети на всех уровнях, включая клиентские системы. Это дает возможность создать эшелонированную защиту с «рубежами обороны» на входе (Embedded Firewall) и в ядре сети (Security Switch). Принцип эшелонированной обороны в настоящее время доминирует в подходах производителей.
3Com использует для защиты конечных узлов платы Embedded Firewall — сетевые администраторы — с аппаратным межсетевым экраном. Централизованно управляемые с помощью ПО 3Com Embedded Firewall Policy Server, они защищают ПК и серверы, обеспечивая устойчивость к внешним воздействиям, которую программные МЭ предоставить не в состоянии (см. Рисунок 3), а кроме того, берут на себя задачи шифрования трафика, причем плата использует шифрование IPSec (Offload IPSec). Сервер правил определяет политику безопасности для каждого компьютера. При этом для обеспечения таких функций, как фильтрация трафика и защита определенных портов TCP/IP, не требуется установка дополнительного ПО для клиентов. Embedded Firewall для ноутбуков предусматривает два режима подключения — локальный и удаленный. В качестве первой линии обороны 3Сom предлагает целый набор продуктов (они же могут применяться как экономичные решения для малого бизнеса), включая межсетевые экраны/VPN и маршрутизаторы 3Com OfficeConnect, а также фильтры сайтов Web.
Архитектура Cisco для безопасности корпоративных сетей (Security Architecture For the Enterprise, SAFE) предусматривает создание многоуровневой системы защиты, где прорыв одного уровня не означает прорыва всей системы безопасности, причем открытая модульная архитектура SAFE (см. «Ресурсы Internet») предполагает дополнение решений Cisco лучшими продуктами и услугами партнеров — в тех областях, которые не охватывают решения и услуги Cisco. При самодостаточности каждого модуля их можно объединять на уровне управления и взаимодействия.
Cisco Systems в своей стратегии интегрированной защиты постаралась обеспечить защиту максимального числа элементов сети. Ее решения включают в себя продукты для защиты периметра сети (интегрированные МЭ и IDS), защиту от внутренних атак (Catalyst Integrated Security Framework, CISF), средства контроля доступа (Identity-Based Networking/NAC) и защиту каналов связи (IPSec и SSL VPN). Кроме интеграции средств аутентификации пользователей, VPN, набора защитных функций в коммутаторах и систем предотвращения атак — в том числе на уровне узлов (Host Intrusion Prevention System, HIPS), крупную ставку в компании делают на системы с корреляцией событий безопасности, однако даже развитые методы позволяют обнаруживать лишь неизвестные угрозы определенных классов.
В настоящее время функции IDS и IPS обычно комбинируют в одном устройстве (ID&PS), образующем второй уровень обороны, и используют сетевые или локальные сенсоры. Рынок продуктов IPS стремительно развивается, причем наиболее быстро растет сегмент интегрируемых IPS. Однако, по мнению Льва Бокштейна, технического директора представительства Enterasys в России, объединение IDS и других компонентов ИБ на одной платформе с коммутаторами может привести к образованию узких мест в производительности и требует сбалансированной пропускной способности IDS/IPS и коммутатора или маршрутизатора. В Enterasys предпочитают более гибкие распределенные решения. Современным IPS и IDS приходится распознавать сотни типов атак, поэтому производители пытаются решить проблемы задержек при обработке трафика, повысить точность обнаружения, уменьшив число ложных срабатываний. Хотя обычно задержка при обработке трафика в IPS не превышает 300 мс, в крупных сегментах локальных сетей она может быть намного заметней.
К превентивным подходам переходят и производители антивирусных программ. Они оснащают свои продукты средствами эвристического анализа, применяя комбинацию методов для обнаружения и предотвращения вредных воздействий. Компания Trend Micro еще в 2002 г. представила стратегию защиты предприятий Enterprise Protection Strategy (EPS), нацеленную на предотвращение проникновения вирусов через бреши в защите, реализацию политики безопасности путем контроля доступа в сеть c различных устройств, централизованного управления и согласования действий по борьбе с вирусами. Panda Software интегрировала в антивирусные решения с технологией TruPrevent защиту от «шпионских» программ и новый эвристический механизм Genetic Heuristic Engine (подробнее об эвристических методах см. статью Р. Линке «Только с защитой» в февральском номере «Журнала сетевых решений/LAN» за этот год).
Специалисты Nortel также считают необходимым при построении сети обеспечивать безопасность на разных уровнях (см. Рисунок 4), использовать средства оперативной реакции на угрозы, осуществлять защиту как удаленных, так и внутренних узлов сети. В Nortel называют свой подход «безопасностью с изменяемой глубиной охвата», понимая под этим такое определение политики безопасности на различных сетевых уровнях, где каждый следующий уровень основан на возможностях предыдущего и предусматривает более высокую степень безопасности по мере приближения к ресурсам.
Совместно с Check Point в Nortel разработан аппаратный межсетевой экран Nortel Switched Firewall — отказоустойчивый кластер с производительностью до 20 Гбит/с, комбинирующий компоненты Switched Firewall Accelerator и Switched Firewall Director. Кроме того, сотрудничество с Check Point позволило включить в состав маршрутизирующего коммутатора Nortel Ethernet Routing Switch 8600 (Passport) модуль Service Delivery Module для поддержки функций МЭ. Для разгрузки серверов от задач шифрований, защиты приложений, компания предлагает линейку шлюзов VPN и ускорителей SSL, включая модемы с поддержкой IPSec.
Устройства Lucent VPN Firewall Brick превратились в специализированные платформы ИБ, объединяющие функции фильтрации пакетов, защиты контента на уровне приложений и предотвращения большого числа сетевых атак, включая DDoS. VPN Firewall Brick работает как сетевой мост второго уровня, что упрощает развертывание. Эти высокопроизводительные платформы взаимодействуют с сервером управления Lucent Security Management Server (LSMS) и агентом Lucent Proxy Agent (LPA) и позволяют интегрировать приложения других разработчиков в централизованно управляемую среду. Возможности продуктов партнеров LPA дополняет поддержкой антивирусной проверки и фильтрации URL на клиентах. Для безопасного удаленного доступа через VPN используется Lucent IPSec Client с функциями персонального МЭ.
СЕТЬ С ИММУНИТЕТОМ
Принцип интеграции механизмов безопасности в сетевую инфраструктуру положен в основу разработанной Cisco стратегии «самозащищающейся сети» (Self-Defending Network, SDN). SDN предполагает автоматизацию реагирования на угрозы по уровню критичности, изоляцию зараженных серверов и рабочих станций, переконфигурацию сетевых устройств для предотвращения повторных атак. Построение такой сети предусматривает применение средств защиты от вторжений и защищенного взаимодействия (IPSec, SSL, GRE, MPLS), а также идентификацию и управление доступом. Сегодня в компании говорят о полностью интегрированной в инфраструктуру интеллектуальной сетевой защите, контролирующей как доступ в сеть со стороны конкретного пользователя, так и то, какими правами он обладает. При этом основу составляет предотвращение атак и создание эшелонированной обороны с применением независимых от своего окружения модулей.
Компания Enterasys в последние несколько лет разрабатывает решение User Personalized Network (UPN) — сеть с персональными профилями пользователей. Сегодня ее технология, обеспечивающая проверку подключений и действий пользователей, носит название Secure Networks. Она нацелена на защиту инфраструктуры при одновременном сохранении видимости и управляемости ресурсов вплоть до отдельных сетевых устройств, пользователей и программных средств, что помогает обнаруживать попытки вторжения и предотвращать их.
Основу Secure Networks составляют интеллектуальные сетевые устройства (коммутаторы и маршрутизаторы), обеспечивающие безопасность оконечного оборудования на аппаратном уровне посредством управления системными правилами на всех портах. В компании считают, что такая архитектура обладает преимуществами по сравнению с решениями поставщиков, добавляющих программные или аппаратные средства безопасности только в некоторые, хотя и критичные точки доступа к сети. Кроме того, средства аутентификации и авторизации пользователей, аппаратно поддерживаемые коммутаторами и маршрутизаторами Enterasys, позволяют улучшить защиту сетей, где используется низкофункциональное периферийное оборудование других производителей.
Как и во многих решениях ИБ, в продуктах Enterasys применяется стандарт аутентификации 802.1х (Extensible Authentication Protocol, EAP). Кроме того, пользователей или узлы сети можно аутентифицировать через интерфейс Web (имя/пароль) и по адресам MAC. Аутентификация и авторизация применяются к группам и отдельным пользователям, а действия последних постоянно контролируются. В соответствии с принятой политикой доступ в сеть можно разрешать только рабочим станциям с установленными и обновленными версиями антивирусных программ и заплатами ОС, а инфицированный пользователь автоматически отключается, перемещается в карантинную зону или получает соответствующее уведомление. При неверном с точки зрения безопасности поведении пользователя его права динамически изменяются. По словам Льва Бокштейна, подход Enterasys по существу означает наделение сети иммунитетом, подобным человеческому.
Технология Secure Networks фактически реализует распределенный межсетевой экран, охватывающий все порты сети. На стыке с внешними сетями используются маршрутизаторы со встроенными МЭ. Функционирующая на платформе Intel система обнаружения вторжений Enterasys Dragon анализирует трафик при его прохождении через порты сетевого оборудования и позволяет централизованно получить представление о безопасности сети. Таким образом, два-три администратора смогут управлять сетью с тысячами устройств, собирать информацию из журналов МЭ большинства производителей и анализировать ее, инициируя по результатам те или иные действия. В сочетании с компонентами ПО NetSight Atlas (Automated Security Manager и Policy Manager) система обеспечит динамическую смену состояния подозрительных портов. ПО управления Enterasys интегрируется с HP OpenView.
Хотя в Enterasys исходят из того, что интеллект системы ИБ должен быть сосредоточен в сетевом устройстве, а не на рабочей станции, в арсенале предлагаемых средств имеется программно-аппаратное решение с клиентскими компонентами и сервером для контроля безопасности, разработанное совместно с Zone Labs: Enterasys Trusted End-System (TES) помогает обеспечить безопасность в корпоративной среде, если ПК или ноутбуки регулярно подключаются и отключаются от сети. В этом году TES должна быть интегрирована с системой Dragon Intrusion Defense 7.0. Различные методы контроля подключений клиентов используются целым рядом производителей. Это дает возможность сделать сети более «живучими», способными выдерживать быстро распространяющиеся атаки.
В Nortel для распознавания угроз и их быстрой ликвидации разработано решение Threat Protection System, оно позволяет быстро пресекать подозрительную деятельность в любом месте сети. В его состав входят два основных компонента: Nortel Threat Protection Sensor и Nortel Threat Protection Defence Center. Его можно дополнить коммутатором Nortel Application Switch с функцией Intelligent Traffic Management (ITM), который отслеживает сетевой трафик и сверяет его с известными сигнатурами хакерских атак, вирусов и «червей».
Недавно HP представила новую технологию, ограничивающую распространение вирусов и «червей» в сети. Она называется Virus Throttle и предназначена для серверов ProLiant и коммутаторов ProCurve HP 5300. ПО HP Security Containment блокирует и останавливает подвергшиеся атаке приложения. Virus Throttle позволяет выявить компьютер, пытающийся организовать большое число сетевых соединений. Трафик для такой системы автоматически ограничивается (о чем уведомляется администратор), но система продолжает функционировать, и «законный» трафик не блокируется. Эта мера обороны задействуется в случае проникновения вируса через периметр сети. В результате сети становятся более устойчивыми к атакам с высокой скоростью распространения.
АГЕНТЫ БЕЗОПАСНОСТИ
Исходя из концепции многоуровневой защиты, в том числе на уровне отдельных узлов, Cisco разработала продукт Cisco Security Agent (CSA). Он занимает важное место в стратегии компании и позиционируется как универсальная система защиты для рабочих станций под управлением Windows, Solaris и Linux. По данным Cisco, CSA обеспечивает защиту от атак DoS, способен функционировать как персональный межсетевой экран, следит за использованием внешних носителей, проникновением вредоносного кода и др. Приложения контролируются на запуск, доступ к реестру и файлам. CSA предусматривает также средства анализа регистрационных журналов с корреляцией событий на локальном и сетевом уровне, а поведенческий контроль помогает защищаться от неизвестных атак. Продукт можно дистанционно инсталлировать и обновлять, настраивать политику безопасности, включая разрешение запуска приложений и выполняемые ими операции, а также права доступа, причем правила меняются в зависимости от места доступа пользователя к сети. Одна консоль поддерживает управление 100 тыс. клиентов. CSA интегрируется с Active Directory, LDAP и NIS, клиентами VPN Cisco и Check Point, а также с NAC.
В числе средств аутентификации, авторизации и идентификации пользователей Cisco предлагает технологию сетевого доступа Network Admission Control (NAC), применение которой позволяет избавиться от рутинной работы по обновлению антивирусов и ПО: на компьютер устанавливается небольшой программный агент (отдельное ПО или встроенное в другие продукты, например в антивирусные средства Trend Micro) для определения соответствия клиента политике безопасности — актуальна ли база антивирусной программы, установлены ли последние обновления безопасности (см. Рисунок 5). В программе NAC участвует целый ряд компаний, включая McAfee Security, Symantec, Trend Micro, IBM, Microsoft, Computer Associates, Sophos, а также несколько российских производителей антивирусов и средств VPN.
Не соответствующий политике безопасности клиент переадресуется в карантинную сеть, где может установить соответствующее ПО. Аналогичный метод предлагается компанией Symantec: при подключении к сети такой клиент направляется на конфигурационный сервер для приведения системы в соответствие с принятым шаблоном и для обновления ПО. Похожий метод на базе протокола 802.1x используют в Nortel. При подключении пользователя к порту коммутатора у него запрашивается пароль, далее запрос переадресуется на сервер авторизации (например, RADIUS) с последующей передачей в каталоги LDAP, Active Directory и т. д. В зависимости от результатов аутентификации пользователь допускается в сеть, получает отказ в доступе или приглашается в гостевую VLAN, где получает информацию о том, какие действия должен выполнить, чтобы попасть в систему. ПО Optivity Policy Services обеспечивает рассылку политик безопасности и QoS по всем устройствам, блокирование доступа неавторизованных пользователей и несанкционированных приложений, предотвращение распространения сетевых «червей».
Как и Cisco, широкую партнерскую программу по разработке средств защиты реализует Nortel. Совместно с Symantec компания создает средства сетевой безопасности нового поколения для операторов и корпоративных заказчиков. В продуктах Nortel предусматривается поддержка протокола защиты доступа Microsoft (Network Access Protection, NAP), который может стать фактическим стандартом.
УКРЕПЛЕНИЕ ЯДРА
По словам Дениса Бондаренко, инженера отдела продаж корпоративных сетей компании Nortel. Когда границы сети становятся «размытыми», например при организации «виртуального офиса», защищать приходится практически все элементы: серверы, рабочие станции и сетевую инфраструктуру. В этом случае равно необходимы контроль доступа пользователей, защита соединений для обеспечения конфиденциальности данных, защита сети от внутренних атак и защита периметра сети с обнаружением и предотвращением внешних вторжений.
Традиционное обеспечение ИБ путем защиты периметра получило название «карамельная безопасность» (candy security), поскольку для нее характерна твердая оболочка с мягкой (слабо защищенной) сердцевиной наподобие конфет M&Ms. Сегодня подобный подход уже не считается эффективным. По частоте атак и по их опасности (потенциальному ущербу) основная угроза исходит не извне, а изнутри сети. Для защиты от гибридных угроз и многовекторных атак безопасность должна обеспечиваться на нескольких уровнях, а элементы защиты следует интегрировать для скоординированного реагирования.
Хотя размытость границ сети не отменяет необходимости защиты ее периметра, не менее важна защита ядра сети, а также коммуникаций, где распространение беспроводных сетей порождает новые проблемы. В последнее время атаки часто предпринимаются сразу по нескольким направлениям и становятся «многовекторными». Чтобы превратить сеть в «крепкий орешек», требуются системный подход, эшелонированная оборона и интеграция средств ИБ во все ее элементы.
Оборудование в ядре корпоративной сети все чаще дополняется новыми подсистемами безопасности. Централизованный подход с «коммутатором безопасности» (Security Switch) в ядре сети предлагает 3Com. Такой коммутатор позиционируется как единое решение, способное взять на себя практически все вопросы внешней и внутренней безопасности. Если в Enterasys, наращивая мощность и интеллект ядра, средство защиты дополняют внешней системой IDS, то в 3Com пошли по пути объединения на одной платформе нескольких компонентов ИБ.
Поскольку при обеспечении «внутренней безопасности» сети подчас создается слишком сложная и трудно управляемая инфраструктура, в 3Com разработали более простое в обслуживании решение — единую платформу, где объединены несколько продуктов ведущих производителей, включая межсетевой экран, поддержку VPN, IDS, антивирусный сканер, фильтр Web и многое другое. По существу платформа 3Com Security Switch уровня ядра сети представляет собой комбинацию интеллектуального коммутатора и сервера под управлением Linux. Ко всем 18 портам 3Com Security Switch 6200 (см. Рисунок 6) можно подключать сегменты сети, задавая для них отдельные правила безопасности. По данным 3Com, параллельное выполнение приложений позволяет ускорить обработку трафика. Межсетевой экран поддерживает скорость 2 Гбит/с, а шифрование 3DES — 300 Мбит/с, IDS — 500—700 Мбит/с.
|
| Рисунок 6. Платформа 3Com Security Switch 6200 оптимизирована для выполнения таких приложений безопасности, как Check Point VPN-1 Pro, Internet Security Systems RealSecure, Short IDS Sensor, Enterasys Dragon, Trend Micro eManager, InterScan Messaging Security и InterScan VirusWall, Secure Computing Smartfilter и WebSense. |
В «коммутаторе безопасности» используются встроенный сетевой процессор и программные средства ускорения обработки трафика. Он объединяет и копирует трафик, направляя его на IDS и пропуская через МЭ и антивирус. Как утверждают разработчики, такой коммутатор позволяет в восемь раз сократить число устройств ИБ и вшестеро снизить эксплуатационные расходы.
Появившаяся в конце 2004 г. платформа 7200 представляет собой резервируемое наращиваемое шасси со специализированными группами модулей для выполнения приложений. В случае отказа контроллер управления Security Switch позволяет оперативно переключаться на резервный модульный сервер в шасси коммутатора с автоматической загрузкой на него нужного ПО. При отсутствии резервного модуля в группе задействуется наименее важный с точки зрения безопасности модуль (правила может задавать администратор). Платформы 3Com Security Switch 7245/7280 на базе модульных серверов Linux имеют производительность 4 и 8 Гбит/c, соответственно.
В представлении специалистов компании, объединение в продукте межсетевого экрана, ID&PS, антивируса, средств фильтрации адресов URL и организации виртуальных частных сетей (VPN, VLAN, SSL) дает возможность не только упростить сетевую инфраструктуру, но и обеспечивает многоуровневую защиту с более эффективным управлением, сокращая число возможных уязвимостей.
По мнению Валерия Андреева, технического директора компании ИВК, физическое объединение влияет, в первую очередь, на стоимость системы, поскольку одна платформа обходится дешевле нескольких, а технические ресурсы в такой консолидированной системе используются эффективнее. Что касается проблем производительности, то они могут решаться за счет применения современных серверов и кластерных технологий. Олег Самарин, руководитель отдела информационной безопасности «АМТ Груп», считает, что подобные интегрированные продукты целесообразны в сетях малых и средних предприятий, где цена является основным критерием, однако в масштабных информационных системах сочетание в одном устройстве элементов с различной функциональностью приводит к появлению единой точки отказа. Даже при резервировании модулей слабым местом остается общее шасси, а производительность ограничивается возможностями общей шины. Многофункциональные устройства будут проигрывать специализированным по эффективности, а одно лишь объединение на общем шасси продуктов различных поставщиков не решает проблем управления.
Cisco предлагает более распределенный подход и широкий спектр решений, нацеленных на обнаружение и блокирование атак как на периметре, так и внутри сети, включая классические технологии МЭ. Защита от внутренних атак может быть реализована и с помощью внешних решений, что не всегда эффективно, поэтому в Cisco считают необходимым возложить эту обязанность на коммутаторы, оснастив сетевое оборудование дополнительными защитными механизмами. В результате коммутаторы и маршрутизаторы приобретают часть функций, характерных для серверов, включая обеспечение безопасности и фильтрацию спама. Подобно тому как функции МЭ постепенно переносятся с выделенных серверов и устройств на встраиваемые модули коммутаторов и маршрутизаторов, оборудование приобретает новые функции ИБ, прежде всего шифрования SSL, IDS и IPS.
Компания предлагает решения ID&PS для коммутаторов (например, модуль IDSM-2 для Catalyst 6500), межсетевых экранов и маршрутизаторов (Cisco IDS Network Module). Применение в них технологий корреляции событий снижает уровень ложных срабатываний. Для выявления атак применяются алгоритмы сигнатурного и эвристического анализа трафика, обнаружение в нем аномалий, отклонений от стандартов и спецификаций. С помощью протокола Security Device Event Exchange (SDEE) IDS и IPS компании Cisco интегрируются с продуктами IDS/IPS других поставщиков. Cisco — один из немногих производителей, интегрирующих ID&PS в коммутаторы (модуль IDSM-2) и маршрутизаторы (Cisco IDS Network Module для Cisco 2600XM, 2691, 2800, 3660, 3700 и 3800). Средства IPS, способные отражать более 700 различных атак, имеются и непосредственно в IOS, где реализован целый набор защитных функций, включая IOS Firewall, VPN, контроль IP-адресов, аутентификацию и авторизацию, протокол SDEE для обмена событиями безопасности, встроенный сервер PKI и управление по SSHv2.
Для защиты операторов связи от атак типа DoS и DDoS используется комплекс Cisco Guard с высокой скоростью обработки трафика. Он определяет аномальную активность в сети по отклонению параметров от эталонных значений. Устройства Cisco Traffic Anomaly Detector XT 5650 (анализ и отражение атак) и Cisco Guard XT 5600 (обнаружение атак) работают с производительностью 3 млн пакетов/с, поддерживают до 150 тыс. фильтров и более 1,5 млн соединений одновременно.
В операторские решения Nortel Metro Ethernet Switching Solutions входят многочисленные продукты безопасности, обеспечивающие изоляцию отдельных пользователей и операторских сетей. Одно из самых распространенных устройств Nortel — VPN Router (Contivity) — объединяет функции VPN, МЭ, маршрутизатора, сервера правил для удаленных клиентов, средства аудита и сбора статистики.
Если оконечные системы безопасности наподобие МЭ проработаны достаточно хорошо, то системы защиты сети изнутри представляют наиболее передовое направление разработки. Лев Бокштейн считает такой подход значительным шагом вперед, однако полагает, что причиной многих бед является игнорирование имеющихся инструментов ИБ — функциональные средства современного сетевого оборудования оказываются невостребованными. В большинстве случаев проблемы ИБ обусловлены действиями сетевых администраторов, не умеющих применять инструменты защиты или просто не занимающихся такими вопросами. Любая защищенная сеть — это определенные ограничения и неудобства для персонала, а также серьезная работа для администратора: пользователей необходимо структурировать по предоставляемым правам доступа, задав для них правила безопасности, отвечающие политике компании. Зачастую эта задача решается не в полном объеме.
По мнению Алексея Лукацкого, для отражения большинства атак можно задействовать механизмы, уже имеющиеся в сетевом оборудовании. Между тем сложность решений и недостаточная прозрачность управления ими считаются сегодня одними из наиболее серьезных проблем. Как отмечает Илья Трифаленков, директор центра информационной безопасности «Инфосистемы Джет», наличие многочисленных средств ИБ, как встроенных в операционные системы и оборудование, так и «наложенных», порождает проблему обработки большого числа событий безопасности. Управляемость, т. е. необходимость упреждающим образом управлять угрозами на физическом и информационном уровне, становятся важным требованием к системе ИБ. На решение этой задачи нацелены продукты компании Computer Associates (eTrust), IBM (Tivoli) и ряда других, в том числе и отечественных разработчиков.
ПОПОЛНЕНИЕ АРСЕНАЛА
Производители быстро совершенствуют системы, обеспечивающие безопасность сетей. С каждым годом растет число решений, доступных российским заказчикам. В начале февраля Федеральная служба по техническому и экспортному контролю (ФСТЭК) сертифицировала еще шесть продуктов Cisco Systems. Список из 120 уже имеющих сертификаты продуктов (среди них межсетевые экраны, IDS, средства управления, маршрутизаторы, коммутаторы и ОС IOS) пополнили коммутатор локальных сетей Cisco Catalyst 6509 с поддержкой VLAN и средствами разграничения доступа, ПО CSA 4.0.1, пакет CiscoWorks Monitoring Center for Security 2.2 для мониторинга работы систем с функциями ИБ, комплексы Cisco Secure IDS 4200 Series Sensor 4.1, модули Cisco Catalyst 6500 IDSM-2 и Cisco Catalyst 6500 FWSM. Продолжается сертификация продуктов Cisco по ГОСТ Р ИСО/МЭК 15408 («Общие критерии»). Анонсированные недавно устройства Cisco IPS включают в себя оборудование с пропускной способностью от 80 Мбит/с до 7 Гбит/с. Среди нового оборудования — Cisco VPN 3000 Concentrator с туннелированием на базе SSL или IPSec и Cisco PIX Security Appliance 7.0 с анализом трафика на уровне приложений.
Линейка решений безопасности компании 3Com пополнилась 3Com Email Firewall с лицензиями на 100—500 пользователей. Это интегрированное устройство защиты от спама, атак DoS, вирусов, троянцев и «червей». Оно предназначено для малого бизнеса, устанавливается между МЭ и почтовым сервером, защищает сервер SMTP от 38 типов атак. В декабре 3Com приобрела компанию TippingPoint Technologies — известного производителя сетевых систем IPS. Очевидно, линейка защищенных сетевых решений 3Com для сетей передачи голоса и данных будет дополнена высокопроизводительными IPS, такими, как TippingPoint 5000E IPS со скоростью обработки 5 Гбит/с.
К середине года Nortel намерена выпустить два новых маршрутизатора ядра со встроенными приложениями ИБ. Эти продукты будут поддерживать VPN, межсетевые экраны и IDS.
Новое устройство представила в январе компания Allied Telesyn. Если раньше в качестве средств ИБ она использовала в маршрутизаторах и коммутаторах L3 встроенный межсетевой экран Nemesis с модулем IDS, то теперь последний перенесен на коммутаторы L2+, предназначенные для уровня доступа и агрегирования трафика. Тем самым повышается безопасность уровня доступа без снижения производительности оборудования. Управляемый гигабитный 24-портовый коммутатор второго уровня AT-9424T 10/100/1000T позиционируется как элемент многоуровневой защиты средних корпоративных сетей, дополняющий антивирусы и МЭ. Он способен распознавать шесть видов атак, поддерживает аутентификацию IEEE 802.1x (контроль доступа на уровне портов), RADIUS/TACACS+ и технологию анализа пакетов AlliedWare с настройкой конфигурации на уровне MAC, IP или TCP/UDP, обеспечивая защиту от атак DoS на границе сети. Новые коммутаторы L2+ серии AT-9424T и AT-8500 оснащаются неблокирующими матрицами коммутации и обладают производительностью со скоростью среды передачи при активном модуле IDS.
ЗАКЛЮЧЕНИЕ
До сих пор развитие мирового рынка ИБ шло по пути специализации, что неизменно осложняло интеграцию решений управления и вело к увеличению финансовых затрат. Комплексные системы управления корпоративной средой, включающие системы управления ИБ, сетью и элементы ERP для интеграции на уровне бизнес-процессов, могут стать следующим этапом развития систем ИБ. В России примеров внедрения комплексных систем пока немного, однако число их растет.
Как считает Валерий Андреев, основная причина использования большого количества разнородных средств обеспечения ИБ в корпоративной среде — невозможность (часто принципиальная) интеграции средств защиты информации, выполняющих разные функции. Особые трудности возникают в неоднородных сетях, когда системы ИБ на разных платформах порой не стыкуются концептуально или различаются по эффективности, а отдельные элементы ИБ иногда реализованы в виде автономных программно-аппаратных комплексов. Проблема непротиворечивой взаимной настройки элементов систем ИБ требует высокой квалификации исполнителей, большинство же российских предприятий — прежде всего в госсекторе и регионах — сталкивается с нехваткой кадров и дороговизной решений.
Однако даже специалисты не в состоянии устранить концептуальные различия в моделях безопасности на организационном и техническом уровнях. В ИВК эти проблемы решают с помощью ПО промежуточного слоя «ИВК Юпитер», играющего роль связующего звена при управлении распределенными системами. В него заложена модель безопасности, приближенная к описанию системы на организационном уровне. Ориентироваться только на бизнес-процессы не следует, поскольку они представляют лишь одну из моделей управления предприятием. Реальная структура управления нередко отличается от формализованной (особенно в России), и решения в области ИБ, основанные на слабо распространенной модели управления, неприемлемы.
Поскольку управляемость — одна из важнейших характеристик информационной инфраструктуры, потребность в комплексных системах ИБ велика как никогда, хотя пока это не осознано большинством заказчиков. По мнению Олега Самарина, наиболее активная часть российского рынка готова к внедрению комплексных систем ИБ, интегрированных на уровне управления. Реальный спрос на такие решения существует со стороны крупных российских компаний, где информационные системы являются важнейшей частью бизнес-процессов.
Как считает вице-президент группы Компаний «Демос» и руководитель департамента информационных систем Владимир Дегтярев, в целом российский рынок ИБ остается очень разнородным, и если одни компании готовы к внедрению комплексных систем управления безопасностью (в составе систем управления предприятием), то другие довольствуются применением средств фильтрации пакетов и антивирусных программ. Недостаточный спрос на более многофункциональные решения обусловлен, прежде всего, их дороговизной. По словам Сергея Кухтина, начальника отдела развития бизнеса компании «Андэк», в организациях с распределенной структурой проблема эффективного управления разнородными системами ИБ становится очень актуальной. Нередко системы ИБ внедряются для решения сиюминутных проблем, без оценки TCO и ROI, недостаточно просчитывается совместимость решений в рамках всей информационной системы.
Сергей Орлов — обозреватель «Журнала сетевых решений/LAN». С ним можно связаться по адресу: sorlov@lanmag.ru.
Ресурсы Internet
Архитектура Cisco Systems для безопасности корпоративных сетей — ttp://www.cisco.com/go/safe.
Решения Cisco Systems по информационной безопасности — http://www.cisco.com/go/security.
Продукты сетевой безопасности 3Com — http://www.3com.ru/products/servers.
Решения информационной безопасности Nortel — http://www.nortel.com/security.
Портал по безопасности информационных систем — http://www.infobez.ru.
Подход IBM к обеспечению безопасности информационных систем — http://www.ibm.com/ru/software/tivoli/.