Три стены

Сегодня Internet представляет собой огромную компьютерную сеть, по самым скромным подсчетам объединяющую 45 млн. пользователей, число которых увеличивается в год на один млн. Эта децентрализованная Сеть состоит из 50 тыс. подсетей и более 4 млн. компьютеров, общающихся между собой по протоколу TCP/IP. К сожалению, пока не существует общества, свободного от недостатков - всегда находятся нарушители спокойствия. Не стало исключением и сообщество Сети сетей, широкое применение Internet в котором привело к появлению многочисленных случаев несанкционированного доступа к конфиденциальной информации. Один из наиболее популярных способов защиты сетей сегодня - брандмауэры, среди которых особо следует выделить продукты, используемые в решениях компаний SGI, SNI, HP и IBM.

Политика безопасности компании HP построена на основе брандмауэров Eagle, CheckPoint Firewall-1 и GAUNTLET. Компании SNI и IBM, кроме собственного продукта NetSafe используют для этих целей брандмауэр Eagle, а компания Silicon Graphics устанавливает в своих комплексах системы Gauntlet фирмы Trusted Information Systems (TIS).

Стена Eagle

Наибольшей популярностью среди основных игроков компьютерного рынка пользуется система Eagle, к услугам которой обращаются компании HP, Sun, IBM и SNI. Данная система или, точнее, семейство модулей - пример интегрированного подхода к сетевой безопасности, позволяющего строить комплексные решения по защите на всех уровнях. Архитектура Eagle (Рис. 1) включает набор программных средств, обеспечивающих защиту при работе в Internet - Internet Security, защиту рабочих групп - EagleLAN/EagleDesk, управление безопасной работой мобильных систем ПК - EagleNomad, защиту при работе с удаленными отделениями корпораций - EagleRemote. Все компоненты объединены средствами пакета SecureConnect, интегрирующего отдельные составляющие и позволяющего строить произвольные конфигурации по требованию заказчика. При работе с Eagle возможно получение лицензии для работы с сетями размером 1-50, 1-200 пользователей, а также корпоративными сетями практически неограниченного размера. Среди платформ, поддерживаемых сегодня системой Eagle, - HP, IBM, RM SNI и Sun.

Вот краткий перечень возможностей системы Eagle:

• аудитная регистрация с предоставлением ежедневного отчета по всем операциям с автоматическим архивированием и простым преобразованием регистрационного файла в установленный формат базы данных;
• двойной интерфейс связи для переформировки IP-пакетов с целью скрыть топологию локальной сети;
• проверка полномочий хоста на вход и выход сообщений, позволяющая выбрать хосты и типы связи, разрешенные при доступе;
• контроль и отслеживание подозрительных действий;
• мгновенное уведомление о подозрительных действиях путем вывода информации на дисплей, подачи звукового сигнала, сообщений в адрес электронной почты, пейджера, факса или программы клиента;
• обработка широкого спектра услуг, включая настраиваемые средства по пересылке пакетов, модифицированный Telnet для усиленной защиты, а также FTP;
• аутентификация для идентификации пользователя, инициирующего сетевой трафик;
• управление номерами стандартных коммуникационных портов, совместимость с X.25, Token Ring, Ethernet и FDDI, с полной гарантией прозрачности и простоты интеграции;
• обеспечение входа в систему только через консоль.

Шлюз как гарантия изоляции сети

Система Eagle размещается на одной из станций HP 9000, SPARC или RM-Series, которую можно рассматривать в качестве шлюза (Gateway). Система Gateway выполняет роль предохранителя между двумя сетевыми интерфейсами: Ethernet, Token Ring, FDDI, последовательная линия или другой "транспорт", передающий IP-пакеты. Программное обеспечение Gateway принимает пакеты, анализирует и проверяет их на предмет соответствия правилам получения санкции на предоставление или запрет доступа. Если подключение санкционировано, устанавливается связь или туннель (Рис. 2), и Gateway переписывает заголовки пакетов так, что они как бы берут начало из системы Gateway. Такая возможность гарантирует, что пакеты, выходящие с защищенной сети, содержат информацию только о системе Gateway и никаких данных о внутренней структуре частной сети.

Файл санкционирования контроля доступа

Этот файл централизованного контроля содержит описания правил, устанавливаемых и настраиваемых системным администратором. Правила определяют, каким компьютерам дано разрешение на вход или выход из защищенной сети, когда и какие типы доступа разрешены, а также частоту успешных и неудачных подключений. До тех пор пока определенное правило не разрешит доступ внутрь или изнутри защищенной сети, доступ невозможен. Администратор по безопасности может добавить или изменить таблицы санкционирования доступа только с консоли Gateway. Удаленный вход запрещен.

Контроль за подозрительными действиями

Через систему Eagle можно определить или контролировать подозрительные действия, происходящие в сети. Например, если узел в сети обычно подключается к серверу 4 раза в день, а однажды вдруг сделал 50 подключений, то Eagle автоматически даст сигнал системному администратору через все доступные в данный момент средства - e-mail, пейджер и т.п. В период действия контроля все соединения включены и могут непосредственно участвовать в обработке и генерации отчетов. Эта возможность позволяет поймать предполагаемых сетевых нарушителей в реальном времени, что невозможно при использовании пассивных систем безопасности.

Сервисные демоны

По умолчанию Eagle разрешает доступ к услугам FTP и Telnet, порядок обращения к которым определен в файле санкционирования. Обычно разрешен только SMTP, остальные услуги на хостах запрещены, если они специально не указаны в файле санкционирования. Можно выбрать и другие сетевые услуги, например NNTP и NTP, используя Generic Service Passer.

Аутентификация пользователя

При работе Eagle ограничивает трафик через Gateway к определенному хосту или нескольким хостам, идентифицированным по сетевому имени или адресу. Кроме того, Eagle может попытаться идентифицировать пользователя, использующего сетевой трафик. Кроме "усиления" средствами аутентификации таких сервисов, как Telnet, FTP и Gopher, в подсистеме EagleLAN используется три уровня аутентификации пользователя на основе средств криптозащиты S/Key и SecureID. Такая аутентификация может быть добавлена к любой другой действующей форме санкционирования доступа или подтверждения права на доступ.

Аудитное отслеживание

Eagle устанавливает обеспечивающий защиту протокол сообщений, описывающий начало, конец и отказ от подключений, а также содержащий диагностические данные в случае обнаружения подозрительных действий. Такое всестороннее аудитное отслеживание предоставляет ценные данные в случае предпринятого нарушения безопасности. Кроме сохранения зарегистрированных сообщений на диске, можно просмотреть текущее состояние Gateway на консоли системы в режиме реального времени.

Системная самопроверка

При установке Eagle вычисляет и хранит для себя контрольную сумму. Во время обычного выполнения операций Eagle периодически осуществляет проверки на предмет вскрытия и нарушения целостности системы. Если обнаруживается какое-либо изменение, Eagle прерывает работу, закрывая сеть для доступа, и уведомляет системного администратора.

Для работы Eagle требуется сервер на базе HP 9000, RM-Series или SPARC и рабочая станция. Сервер Eagle или рабочая станция должны иметь карты двойных сетевых интерфейсов (Ethernet, Token Ring и т.п.), пространство на диске - минимум 500 Мбайт и 32 Мбайт памяти. Клиентская машина при работе с EagleDesk может работать с любой из популярных сегодня оболочек и ОС - Windows, Windows 95 или NT, имеющих драйвер NDIS 3.0 и стек TCP/IP.

CheckPoint Firewall-1

CheckPoint Firewall-1 - еще одно средство, позволяющее организациям иметь доступ к громадным ресурсам Internet, не рискуя безопасностью своей собственной внутренней сети. Firewall-1 - достаточно сложен по структуре, но прост в использовании пакетом программных средств для построения защиты и ведения собственной политики безопасности при полном контроле трафика. Firewall-1 включает широкий спектр возможностей по сетевой безопасности - от контроля над доступом до аутентификации пользователя, конфиденциальности и шифрования. Система обеспечивает:

• полностью защищенное, прозрачное и эффективное подсоединение;
• многоуровневый контроль (Stateful Multi-Layer Inspection - SMLI), позволяющий обрабатывать все протоколы;
• в полностью интегрированной сети, высокий уровень защиты пользователя;
• полную прозрачность сети для пользователей и приложений;
• шифровку с интегрированным управлением по ключу для виртуальных частных сетей;
• строгую аутентификацию пользователя для всех приложений на широких полосах пропускания;
• целостную реверсивная адресная трансляцию для прояснения ситуации на локальной сети;
• интуитивный графический интерфейс при инсталляции, работе, контроле и управлении;
• распределенное управление для внутренней и внешней безопасности на предприятии;
• расширяемость и адаптацию к изменяющимся размерам сети, использованию различных протоколов и приложений;
• аудит, регистрацию и средства оповещения по тревоге в режиме реального времени.

FireWall-1 сочетает преимущества шлюзов приложений и пакетной фильтрации для создания эффективных независимых протоколов и средств безопасности типа брандмауэра. Эта система контролирует каждую попытку подключения, идентифицирует и блокирует любое несанкционированное подключение. Технология SMLI FireWall-1 позволит распознать данные в пакете для всех уровней от сетевого (IP-заголовки) до уровня приложения и предоставляет полный контекст циркулирующей в сети информации. Данные, извлеченные из коммуникационных пакетов, хранятся в динамических таблицах, содержащих параметры состояния и контекста, или шифруются и модифицируются для поддержки виртуальных закрытых сетей и адресной трансляции. FireWall-1 обеспечивает полностью интегрированную безопасность для более чем 100 встроенных услуг. Устранение этапов дорогостоящего копирования и выполнения контекстных операций по переключению позволяет устранить задержки при работе этого брандмауэра и обеспечить скорость передачи на уровне физически максимально возможных полос пропускания.

Аутентификация клиента

Предусмотренная в CheckPoint Firewall-1 аутентификация клиента обеспечивает защищенное, прозрачное и эффективное подключение для всех TCP-, UDP- и RPC-приложений - не требуется модификации сервера или клиента приложений. Администратор может определить, какие серверы и приложения будут доступны, время и дату, а также количество разрешенных сеансов. Пользователю только один раз необходимо подтвердить свое право на доступ, а SMLI-технология CheckPoint обеспечит по возможности высокую производительность сети. Таким образом, неизбежны очень высокие скорости ответных справок и транзакций в секунду.

Виртуальные закрытые сети и криптозащита

Одна из основных целей сетевой безопасности - устранение дырок в защите. Полностью прозрачная криптозащита в CheckPoint Firewall-1 предоставляет расширенные возможности по обеспечению конфиденциальности и целостности данных посредством построения виртуальной закрытой сети в рамках Internet. Криптозащита FireWall-1 - уровень защиты, предоставляющий дополнительные возможности, а именно:

• интегрированное управление по ключу - генерация и установка всех ключей осуществляется автоматически без административных накладных расходов, при этом обеспечивается связь с подтверждением права доступа;
• In-Place Encryption (криптозащита на месте) - использование DES и FWZ1 с неизменяемой длиной пакета гарантирует эффективную маршрутизацию и полную секретность;
• высокая производительность обеспечивает скорость криптозащиты до 10 Мбайт/c на стандартной рабочей станции.

Прозрачная адресная трансляция

Данная возможность предлагает законченное и эффективное решение в случаях, когда внутренние сетевые IP-адреса должны быть скрыты от постороннего взгляда со стороны Internet или при неверных Internet-адресах. Адресная трансляция в FireWall-1 неявно и эффективно поддерживает все услуги в двух направлениях - нет необходимости модифицировать приложения и схемы IP-адресов. Администратор определяет, какие внутренние адреса должны быть скрыты или отображены. Внутренние хосты можно сконфигурировать доступными из Internet, даже если их IP-адреса неверны. FireWall-1 позволяет провести полноценное подключение к Internet для внутренних клиентов при максимальной полосе пропускания.

CheckPoint Firewall-1 дает возможность воплотить в жизнь любую политику сетевой безопасности, принятую в организации. Весь трафик, не разрешенный для доступа со стороны определенных пользователей, блокируется по умолчанию. Средствами проверочных модулей внутри системного ядра политика безопасности внедряется на всех узлах коммуникаций, содержащих ключи (шлюз Internet, серверы и т.п.). Все семейство IP-протоколов и услуг может быть защищено, включая TCP, UDP, RPC, ICMP и т.д.

Полный контроль и прозрачность

CheckPoint Firewall-1 гарантирует полностью прозрачное подключение для санкционированных пользователей и приложений. Статус - монитор постоянно обеспечивает проверку на правильность выполнения системных операций. Попытки подключения могут быть заблокированы, продвинуты, зарегистрированы или использованы для активизации сигнала тревоги в соответствии с требованиями заказчика. На работу сети это не влияет, как и не влияет на установку программных и аппаратных средств, для чего не требуется никаких изменений. Нет необходимости модифицировать приложения, и все возможности CheckPoint полностью интегрируются с редактором GUI Rule Base и блоком просмотра протокола. Системный администратор может получать сигналы тревоги в режиме реального времени всеми имеющимися средствами.

CheckPoint FireWall-1 позволяет системному администратору контролировать, оказывать влияние и управлять политикой сетевой безопасности со своей рабочей станции. Контроль является полностью распределенным и защищенным по всей системе, что обеспечивает высокий уровень надежности как для работы системы, так и для контрольных проверок. Хотя политика безопасности может осуществляться силами нескольких различных брандмауэров, направляться на контроль любого количества пользователей, но сама по себе это должна быть единственная политика, с одной базой правил и единой централизованной регистрацией.

CheckPoint FireWall-1 поддерживает все сетевые интерфейсы, протоколы и услуги, совместима с существующими продуктами защиты. Система позволяет взаимодействовать с интегральными маршрутизаторами Bay Networks Wellfeet и Cisco Systems IOS. Для работы системы CheckPoint FireWall-1 требуется 10 Мбайт пространства на диске и 16 Мбайт оперативной памяти.

GAUNTLET Internet Firewall

GAUNTLET Internet Firewall - пример брандмауэра, построенного на базе аппаратных и программных средств. Система была разработана компанией Trusted Information Systems, (TIS) для обеспечения безопасного доступа и межсетевых коммуникаций общедоступными сетями типа Internet и между подсетями внутри закрытой частной сети. Среди почитателей этого брандмауэра компания SGI.

GAUNTLET Firewall предлагает услуги по безопасности на уровне приложений, регулируя входящие и исходящие потоки данных в соответствии с установленной политикой безопасности. GAUNTLET Internet Firewall включает программное обеспечение на базе популярного TIS Internet Firewall Toolkit - фактического стандарта Internet для брандмауэров, который используется сегодня более чем в 9 тыс. серверах, размещенных на шести континентах. GAUNTLET играет роль фильтра, устанавливаемого на хосте между IP-сетями и подключаемого через шлюзы приложений (proxies - полномочия) для внедрения минималистской философии "То, что неявно разрешено, - запрещено".

Компания TIS разработала систему GAUNTLET на базе небольших программных модулей, обеспечивающих комплекс необходимых услуг по поддержке собственно политики безопасности конкретной организации. Шлюзы приложений обеспечивают необходимые услуги для локальных и удаленных пользователей, фактически не предоставляя удаленным пользователям прямого доступа к закрытой сети. Шлюзы поддерживают терминальные услуги Telnet и Rlogin, передачу файлов по FTP, электронную почту SMTP, Usenet новости NNTP, World Wide Web HTTP, Gopher и протокол X Window. GAUNTLET предоставляет настраиваемый интерфейс для многих форм аутентификации пользователя. Для управления применяется блок проверки на целостность, уведомляющий об изменениях в системных программных средствах. Этот блок использует криптографические контрольные суммы для обнаружения изменений в системе. "Дымовые аварийные сигналы" могут быть сконфигурированы таким образом, чтобы "уходить в туман" каждый раз, когда предпринимаются попытки подключения к неразрешенным услугам.

Ложка дегтя

Сегодня производство брандмауэров переживает период становления - на рынке слишком много поставщиков, предлагающих очень схожую по своим функциональным возможностям продукцию. Не претендуя на общность, приведем некоторые недостатки существующих брандмауэров.

Border Network Technologies, BorderWare Firewall Server: начиная с конфигурации более чем 100 компьютеров стоимость системы становится непозволительно высокой; ориентация на архитектуру ПК не позволяет назвать эту систему полностью брандмауэром; отсутствие поддержки технологий типа ISDN, Token Ring и др.; использование свободнораспространяемой версии BSDI Unix.

DEC: на уровне hogh-end требует использование двух систем на базе платформы Alpha, что достаточно накладно по сравнению с применением маршрутизаторов; на уровне mid-range высокая стоимость и реализация только одной архитектуры "двудомный шлюз" [1]; на entry-lever в решениях DEC необходимо использование брандмауэра компании Border Network с присущими ей недостатками.

Sun Solstice Firewall-1 стоимость минимальной конфигурации затрудняет использование этой системы для средних и небольших приложений; реализация только схемы "двудомный шлюз"; отсутствие защиты от методов, использующих доступ по e-mail.

Raptor Systems, семейство продуктов Eagle: начиная с конфигурации более 50 компьютеров стоимость зашиты слишком высока; реализация только одной схемы "двудомный шлюз"; неполнота защиты всех сервисов, (например нет прикрытия для SMTP).

Заключение

Несмотря на приведенные недостатки, присущие сегодня многим брандмауэрам, использование любого из них существенно повышает надежность сети. Здесь наиболее уместна аналогия с периодически возникающими эпидемиями компьютерных вирусов, для борьбы с которыми часто вполне оказывается достаточно элементарных мер, а регулярное использование программ сканирования почти полностью устраняет вероятность заражения. Нынешний рост популярности коммерческих применений Internet оказался неподготовленным в смысле обеспечения безопасности: несмотря на многочисленные предупреждения о многочисленных атаках на компьютеры в Сети пользователи не спешат устанавливать даже элементарные брандмауэры (сегодня менее 30% компьютеров имеют более-менее надежные средства защиты). Однако, будучи самоорганизующейся системой, Internet в недалеком будущем будет способен защитить себя самостоятельно - новые реализации протоколов IP 6.0, SNMP 2.0 и интернациональные системы криптозащиты вселяют уверенность в устойчивость Сети перед натиском злоумышленников.

Литература

[1]. Ревякин Ю. Система NetSafe. - "Открытые системы", # 3, 1996.