Для любого бизнеса, как малого, так и крупного, межсетевые экраны — нечто большее, чем одно из средств обеспечения безопасности сети. В то же время принятие решения об их установке может повлечь за собой непредсказуемый по продолжительности простой сети в ходе настройки конфигурации аппаратных и программных средств и вылиться в дополнительные расходы на оплату труда специалистов. Если же клиент хочет получить не только традиционные функции межсетевого экрана, но и гарантии защищенности своей системы IP-телефонии или трафика других приложений, для реализации подобного проекта потребуются дополнительные инвестиции. Кроме того, такие требования сильно усложнят конфигурацию системы.

Мы познакомим читателей с некоторыми особенностями аппаратных межсетевых экранов. Ранее эти устройства выполняли лишь базовые функции фильтров передаваемых пакетов, поэтому основное внимание уделялось простоте использования, с тем чтобы любой сотрудник информационной службы мог без труда настроить конфигурацию и осуществлять управление, не прибегая к дорогостоящим консультациям. Сегодня помимо простоты установки эти устройства характеризуются недюжинным интеллектом и способностью эффективно противостоять атакам на уровне приложений. Они все активнее проникают в области, традиционно занимаемые более сложными и требовательными к ресурсам продуктами безопасности.

Базирующийся на платформе CheckPoint Firewall-1/VPN-1 МЭ Nokia IP380 предлагается в качестве решений для довольно крупных компаний

Итак, насколько далеко ушли современные межсетевые экраны от своих предшественников? Чтобы получить представление об этом, мы решили протестировать три модели: недорогое устройство Ingate Systems Firewall 1400, еще более доступную систему Magnia SG20 корпорации Toshiba, работающую под управлением ПО Astaro Security Linux, и гораздо более дорогое оборудование Nokia IP380, которое оснащено ПО, реализующим функции МЭ и VPN от компании Check Point Software Technologies. Чтобы лучше показать основные отличия новейших систем от традиционного маршрутизатора с межсетевым экраном, мы рассмотрим также одну из последних моделей XSR-3250 от Enterasys Networks.

Испытания межсетевых экранов проводились с использованием генератора трафика Ixia 1600 компании Ixia Communications и тестового ПО WebLoad. Программное обеспечение WebLoad не только позволяет оценить пропускную способность сети, но и имитирует разные виды атак. Для оценки производительности межсетевых экранов и их защитных способностей формировался устойчивый трафик на основе различных протоколов. При этом мы наблюдали, каким образом каждое из устройств реагирует на четыре типа атак на уровне приложений Ping of Death, Smurf, Syn и Teardrop.

Помимо определения производительности оборудования в условиях внешней атаки оценивались возможности управления трафиком в полном объеме, простота настройки конфигурации, а также качество инструментальных средств, предоставляемых производителями для эффективной и долгосрочной эксплуатации.

Из рассмотренных моделей во всех оценочных категориях хотелось бы отметить устройство Toshiba, которое отличается высокой производительностью, простотой использования и доступной ценой. Оборудование Ingate отрабатывало все задачи правильно, но по производительности, безопасности и управляемости на шаг или даже на два отстает от продукта Toshiba. Межсетевой экран Nokia работал неплохо, но все же не так хорошо, как ожидалось (особенно если учесть его высокую цену, наличие высококлассного программного обеспечения Check Point и сложность настройки конфигурации). Маршрутизатор с поддержкой МЭ Enterasys вполне оправдал возлагавшиеся на него ожидания. Как и оборудование Nokia, он отличается высокой ценой и сложностью настройки, но по производительности в наших тестах ему не было равных.

Экран для телефонии

Ingate Firewall 1400 представляет собой продукт среднего класса, предназначенный для защиты как средних, так и крупных сетей. Он поддерживает все стандартные функции межсетевого экрана. Его можно использовать для запуска службы DHCP, организации преобразования NAT и поддержки до 100 туннелей виртуальной частной сети. Естественно, помимо этого Firewall 1400 выполняет фильтрацию пакетов и осуществляет контроль за параметрами состояния сети. Не менее важным представляется и то, что, отбрасывая деструктивные пакеты, устройство позволяет успешно отражать атаки типа DoS (Denial of Service) и DDoS (Distributed Denial of Service).

Настройка конфигурации Firewall 1400 действительно проста, хотя эту процедуру можно было бы сделать еще более простой. В отличие от конфигурирования оборудования Toshiba, при установке которого используется только Web-интерфейс, при работе с этим устройством разработчики Ingate предлагают сначала задать параметры IP-адреса и пароля в командной строке, подключившись к Firewall 1400 при помощи консольного кабеля. После выполнения этих операций дальнейшая настройка конфигурации и управление осуществляются с помощью интуитивно понятного графического Web-интерфейса. Конечно, такую процедуру нельзя назвать самым приятным занятием на свете, но данный интерфейс отличается высокой функциональностью, простотой и логической завершенностью.

Графический интерфейс Ingate облегчает выполнение базовых операций, включая настройку DHCP, NAT и параметров шифрования. Правила проверки пакетов определяются с помощью дополнительного интерфейса, ориентированного на работу со списками. Он позволяет администратору указывать как предварительно заданные, так и настраиваемые клиентом правила. Компании Nokia и Enterasys предлагают более гибкую процедуру определения правил, но для удовлетворения потребностей малого и среднего бизнеса возможностей Ingate более чем достаточно.

Среди расширения стандартных функций Firewall 1400 следует отметить возможность построения модуля для фильтрации трафика SIP и его переадресацию к нужному конечному пользователю за счет применения внутренних таблиц NAT. Управление трафиком SIP является относительно новым свойством межсетевых экранов и предназначено для организаций, которые хотели бы использовать технологию VoIP за пределами зоны действия МЭ. Устройство Ingate не только защищает потоки VoIP, которые становятся уязвимыми для хакерских атак, когда покидают внутреннюю сеть компании, но и способствует повышению производительности, а следовательно, и качества связи VoIP.

В ходе тестирования производительности и имитации отражения атак межсетевой экран Firewall 1400 проявил себя неплохо, хотя мы считаем, что в этом отношении он уступает конкурентам. При выполнении тестов на пропускную способность он несколько отставал от оборудования Toshiba и Nokia, равно как и от маршрутизатора Enterasys. В целом устройство Ingate выдержало последовательность всех четырех типов атак, но при бомбардировке пакетами Syn и Smurf его пропускная способность значительно уменьшилась. Наконец, некоторые осложнения возникли при распознавании устройством нашей первоначальной схемы адресации. Таким образом, Ingate можно рекомендовать для сетей среднего масштаба, а особенно для тех случаев, когда хочется пользоваться преимуществами безопасной передачи трафика VoIP.

Защищено Linux

Мы пришли к выводу, что с учетом стоимости устройства Toshiba Magnia SG20 оно обеспечивает наилучший баланс между простотой использования и поддержкой дополнительных функций безопасности. Комбинация оборудования Toshiba и программных средств Astaro Security Linux позволяет установить безопасный шлюз, удовлетворяющий всем предъявляемым к механизмам подобного рода базовым требованиям.

В вашем распоряжении окажется не только удобно настраиваемый межсетевой экран, который работает на уровне пакетов и позволяет контролировать изменение параметров, но и встроенный блок для организации антивирусной защиты, фильтрации информационного наполнения, а также борьбы со спамом и вирусами, распространяемыми через электронную почту. Безопасность на уровне приложений реализуется с помощью модулей контроля за доступом DNS, HTTP, POP3, SMTP и SOCKS. Как и большинство других современных МЭ, устройство Toshiba может выполнять роль концентратора виртуальной частной сети на базе протокола IPSec и управлять средствами шифрования для построения туннелей VPN к удаленным пользователям. Заказчику самому предлагается выбрать наиболее подходящий алгоритм шифрования. ПО Astaro поддерживает алгоритмы AES, 3DES, Blowfish и Twofish.

Но что действительно выделяет межсетевой экран Toshiba среди других продуктов, так это пользовательский интерфейс. Он абсолютно прозрачен, начиная от тщательно продуманной реализации поддерживаемых функций и заканчивая управляющим средством WebAdmin, построенным на основе браузера. Как гибкость настройки, так и простота использования WebAdmin заслуживают превосходной оценки. Если на настройку конфигурации оборудования Ingate у нас ушло чуть меньше 2 ч (что совсем неплохо для межсетевого экрана), то эта же процедура для устройства Toshiba была выполнена всего за 45 мин (включая определение внутренних адресов, настройку 20 правил проверки трафика и всех функций поддержки VPN).

Разработчики Astaro проделали большую работу и для адаптации базовой операционной системы Linux к решению задач управления МЭ. Очевидно, за основу была взята наиболее надежная версия данной ОС, которая поддерживает протоколы управления SNMP и Syslog. Кроме того, Astaro предлагает службу интерактивного обновления, позволяющую автоматически модернизировать операционную систему и ее шлюз с учетом самых последних наработок в области обеспечения безопасности.

Что же касается аппаратного обеспечения, устройство Toshiba Magnia SG20 сочетает в себе удивительную мощь и разнообразие механизмов связи, включая один интерфейс с пропускной способностью 10/100 Мбит/с (для подключения к общедоступной сети) и семь интерфейсов 10/100 (для организации частной локальной сети). Один порт 10/100 предназначен для формирования каскадной связи устройств в целях масштабирования системы безопасности.

Тестирование показало, что союз Toshiba и Astaro способен достойно противостоять самым серьезным соперникам. «Чистая» пропускная способность трафика HTTP у Magnia SG20 оказалась более высокой, чем у оборудования Nokia. Продукт Toshiba продемонстрировал большую производительность и при атаках Ping of Death, Syn и Teardrop. В большинстве случаев эти явления не оказали на его работу никакого видимого воздействия. Исключение составили незначительное снижение производительности при атаке Syn и довольно заметное — во время атаки Smurf.

Несмотря на значительный уровень задержек и падение производительности во время атаки типа Smurf, комбинация программно-аппаратных средств Toshiba и Astaro нам очень понравилась. С учетом оптимального соотношения цены и эффективности, а также простоты использования аппаратно реализованного межсетевого экрана по результатам нашего тестирования модель Toshiba Magnia SG20 была признана победителем.

С программами Check Point внутри

Nokia IP380 представляет собой высоконадежное устройство, оборудованное четырьмя интегрированными портами 10/100 Мбит/с (возможно расширение до восьми портов). Оно позволяет организовать пересылку информации через безопасный межсетевой экран на скорости до 600 Мбит/с. По словам представителей Nokia, пропускная способность виртуальной частной сети на основе алгоритма шифрования 3DES составит 90 Мбит/с, а при подключении дополнительной платы акселератора —130 Мбит/с. Однако сами показатели производительности межсетевого экрана в режиме организации VPN мы не тестировали.

В устройстве Nokia прединсталлированы две прикладные программы: Firewall-1/VPN-1 NG компании Check Point и приложение Voyager, разработанное специалистами Nokia для управления устройством. Здесь-то у нас и начались трудности. Несмотря на утверждения представителей Nokia о простоте инсталляции, мы пришли к выводу, что для выполнения этой процедуры нужно быть, как минимум, опытным пользователем ПО Check Point. Без серьезных знаний очень сложно сказать, какие функции Voyager или Check Point требуют соответствующей настройки.

Хотя приложение Voyager и отображает отдельные аспекты настройки системы безопасности IP380, эта программа предназначена преимущественно для управления локальным оборудованием и сетью. Ее мы запустили первой. Затем мы перешли к конфигурированию ПО Check Point (не через графический интерфейс, а с помощью командной строки), благодаря которому настраиваются базовые параметры межсетевого экрана, включая правила фильтрации и туннели VPN. После того как эти параметры были определены, стало возможным управление системой с помощью средств графического интерфейса Check Point.

К достоинствам решения Nokia следует отнести высокую мощь и гибкость, которые пользователи вправе ожидать от продукта Check Point. Однако этого нельзя сказать об аппаратной части межсетевого экрана. Простота использования, характерная для любого аппаратного МЭ, не является отличительной чертой IP380. Все-таки решение Nokia представляет собой межсетевой экран и средство построения виртуальной частной сети старшего класса, предназначенное для решения сложных задач и реализации высокобюджетных проектов.

При базовой цене продукта 9995 долл. мы ожидали, что Nokia IP380 продемонстрирует первый или, по крайней мере, второй результат при отражении атак. Однако по результатам испытаний устройство оказалось лишь на третьей позиции, уступив продукту Toshiba не только «чистой» производительности, но и по возможностям отражения трех из четырех типов атак (исключение составили лишь атаки типа Smurf). Впрочем, невзирая на отставание от Toshiba по производительности, оборудование IP380 оказалось более устойчивым и показало лучшие результаты при оценке задержки пакетов. Если ПО Astaro капитулировало, не выдержав атак Smurf, то продукт Nokia все же выстоял, потеряв значительную, но не критическую часть пакетов и сохранив работоспособность.

Что касается мощи и гибкости, нам кажется, что модель Nokia IP380 способна занять достойное место в сетях крупных компаний с информационной службой, располагающей высоким бюджетом и квалифицированными администраторами ПО Check Point. Если декларации производителя в отношении параметров виртуальной частной сети соответствуют действительности, устройство вполне может найти применение в крупных сетях со множеством удаленных соединений. Но представителям малого бизнеса и тем, кто надеется получить необходимые средства безопасности с простым управляющим интерфейсом, данный продукт вряд ли подойдет.

МЭ с маршрутизатором в одном флаконе

Enterasys XSR-3250 является одним из самых мощных членов семейства безопасных маршрутизаторов Enterasys XSR, разработчики которого сделали попытку объединить в одном шасси механизмы обеспечения безопасности и маршрутизации в глобальной сети. Хотя это оборудование нельзя назвать средством на все случаи жизни, его двойственная природа может оказаться весьма привлекательной для нужд среднего бизнеса. А вот крупным компаниям нужен единый полнофункциональный шлюз безопасности и более высокая мощность при работе с удаленными узлами.

Модель XSR-3250 имеет шесть отсеков для модулей сетевых интерфейсов, которые обеспечивают размещение большого количества портов для соединения с LAN и WAN. Это единственное в нашем обзоре устройство, позволяющее подключаться к локальной сети на скоростях 10/100/1000 Мбит/с и обеспечивающее построение каналов VPN для связи как между двумя равноправными узлами, так и центрального офиса с удаленным пользователем. Оборудование способно одновременно поддерживать до 3 тыс. (а при аппаратной модернизации — до 5 тыс.) туннелей. В нем реализованы управляемый с помощью политик межсетевой экран и полнофункциональный IP-маршрутизатор.

Настройка конфигурации может вызвать затруднения у тех, кто рассчитывает получить интерфейс на основе Web-браузера, подобного тем, что используются в электронных приставках. Установка устройства осуществляется только из командной строки. Операционная система Enterasys представляет собой один из клонов ПО Cisco IOS (Internetwork Operating System), но при более тесном знакомстве мы обнаружили заметные различия в синтаксисе и организации процессов. В результате нашему специалисту по системам Cisco, принимавшему участие в тестировании, так и не удалось определить все правила обработки трафика.

И только когда мы обратились за помощью к сетевому администратору, имеющему опыт работы с оборудованием Enterasys, безопасный маршрутизатор «задышал» в полную силу. Радует то, что если уж он заработал, то сразу — в полную мощь. Гигабитный интерфейс с локальной сетью легко и с большим отрывом обеспечил устройству XSR-3250 первое место в тестах на производительность. И хотя это было понятно с самого начала (учитывая более высокую пропускную способность), инженерные решения Enterasys тоже внушают уважение.

Производит впечатление то, что межсетевой экран Enterasys оказался почти непроницаемым для всех четырех типов атак. Атаки типа Ping of Death и Teardrop не оказывали почти никакого воздействия на производительность, дополнительная нагрузка стала слегка ощущаться лишь под ударами Syn и Smurf. Заметим, что занявшее второе место устройство Toshiba Magnia SG20 заметно «прогибалось» при атаках двух типов. А модели XSR все оказалось нипочем, и она откровенно «скучала» от наших стараний поколебать ее устойчивость.

Очевидно, что цена XSR (11 490 долл. без учета модулей для построения виртуальной частной сети) и сложность управляющего интерфейса не позволяют отнести это устройство к разряду аппаратных приставок типа Plug & Play. Но если вы готовы потратить дополнительные деньги и время своих сотрудников, XSR-3250 покажет, от чего отказываются другие администраторы безопасности, ориентируясь только на простоту использования.

Аппаратные устройства на подъеме

УСТРОЙСТВО Toshiba Magnia SG20 стало безусловным победителем по ряду критериев тестирования

С момента своего появления межсетевые экраны, реализованные в виде аппаратных приставок, прошли долгий путь. Наиболее интересным продуктом по результатам наших испытаний, безусловно, оказался плод труда инженеров Toshiba и Astaro. Это устройство не только оставило модель Ingate позади по простоте использования, но и заняло второе место в тестах на производительность, оттеснив гораздо более дорогое оборудование Nokia IP380. Кроме того, межсетевой экран Toshiba продемонстрировал новые тенденции в подходах к повышению гибкости электронных механизмов.

Ранее процесс реализации новых функций был ограничен сложностью обновления встроенного ПО. Это затрудняло организацию противодействия атакам, характер которых очень быстро меняется. Выбор операционной системы для управления маршрутизаторами усложняет процедуру настройки конфигурации, зато позволяет оперативно реагировать на появление новых угроз. Кроме того, такое решение позволяет устанавливать новое ПО безопасности поверх уже существующих конфигураций. Платформа Check Point Firewall-1/VPN-1, к примеру, способна поддерживать межсетевой экран Check Point SmartDefense в качестве программного обеспечения дополнительного уровня.

Впрочем, использование корпорацией Toshiba Linux-совместимого дистрибутива Astaro Security — серьезный удар по такой стратегии. ОС Linux отличается гораздо более высокой устойчивостью по сравнению с большинством операционных систем для маршрутизаторов и открыта для новых приложений независимых разработчиков. Все это означает, что недорогие устройства типа Toshiba Magnia SG20 в состоянии обеспечить защиту сетей в долгосрочной перспективе, вполне сопоставимую с возможностями платформ Enterasys и Check Point. Единственным параметром, по которому продукт на базе маршрутизатора, несомненно, выигрывает, является производительность. Свидетельство тому — результаты тестирования оборудования Enterasys, более чем в два раза опередившего в этом отношении устройство Toshiba.

С другой стороны, цена Toshiba Magnia SG20 составляет лишь малую часть от стоимости Enterasys XSR-3250. МЭ от Toshiba можно объединять в кластеры, а при соответствующей модернизации — даже добиваться балансировки нагрузки.

По критерию стоимость/эффективность продукт Toshiba/Astaro и аналогичные ему средства станут наилучшим приобретением для представителей среднего бизнеса. Им нужна гибкость, но вряд ли понадобится высокая мощность, которая характерна для устройств, основанных на технологии маршрутизации пакетов.

Поделитесь материалом с коллегами и друзьями