1. Всі брандмауери виконують одну і ту ж задачу - захищають внутрішні ресурси від зовнішніх атак. Але...
2. КОНТЕКСТНА ПЕРЕВІРКА
3. КРУПНИМ ПЛАНОМ
4. Шлюз РІВНЯ ДОДАТКІВ І ПОСЕРЕДНИКИ
5. КОРОТКИЙ ОГЛЯД ПРОДУКТІВ
6. А ПОСТАЧАЛЬНИКИ ХТО?
7. ПИТАННЯ інтероперабельності

Всі брандмауери виконують одну і ту ж задачу - захищають внутрішні ресурси від зовнішніх атак. Але який тип брандмауера - найкращий для вашої мережі? ФІЛЬТРИ ПАКЕТІВ КОНТЕКСТНА ПЕРЕВІРКА КРУПНИМ ПЛАНОМ Шлюз РІВНЯ ДОДАТКІВ І ПОСЕРЕДНИКИ КОРОТКИЙ ОГЛЯД ПРОДУКТІВ А ПОСТАЧАЛЬНИКИ ХТО? ПИТАННЯ інтероперабельності

Якщо ви збираєтеся відкрити свою мережу для зовнішнього світу - встановивши сервер Web, ввівши електронну комерцію або надавши бізнес-партнерам і замовникам доступ до мережевих ресурсів, то напевно знаєте, що вам потрібен хороший брандмауер. Але який саме?

Який брандмауер ви в кінцевому підсумку виберете, залежить головним чином від прийнятої в вашій організації політики безпеки. Взагалі кажучи, чим жорсткішими правила безпеки, тим більше функцій контролю брандмауер повинен виконувати. Пам'ятайте, однак, що продуктивність і надійність брандмауера знаходяться під взаімообратних співвідношенні.

Брандмауер розташовується на кордоні мережі і регулює доступ до корпоративних ресурсів. Це пристрій аналізує і збирає інформацію про зовнішні по відношенню до мережі пакетах і сеансах (в залежності від типу брандмауера). Відповідальний прийнятої політики безпеки брандмауер пропустить або не пропустить конкретний пакет і дозволить або не дозволить організувати конкретний сеанс відповідно до прийнятих правил.

Проблема вибору брандмауера в тому, що відмінності між продуктами, виробниками і технологіями стали стиратися. Кілька років тому, коли брандмауери виробляли не більше десятка компаній, вибір був набагато простіше; але тепер, коли багато десятків постачальників пропонують брандмауери того чи іншого типу, плутанина в умах професіоналів і експертів в області мереж і захисту цілком з'ясовна.

Брандмауери можна розділити на три основні категорії: фільтри пакетів, механізми контекстної перевірки та шлюзи рівня додатків (відомі так само, як посередники, або proxy). При виборі важливо пам'ятати, що, хоча всі брандмауери виконують по суті одні і ті ж основні функції, механізми їх виконання принципово відмінні один від одного. Але щоб зрозуміти ці відмінності, читач повинен спочатку познайомитися з базовими технологіями фільтрації пакетів, контекстної перевірки та посередництва.

ФІЛЬТРИ ПАКЕТІВ

Фільтри пакетів аналізують поля надходять IP-пакетів і потім пропускають або видаляють їх в залежності від прийнятих правил. Рішення про пропуск або видаленні пакета приймається відповідно до кількома критеріями, в тому числі в залежності від IP-адреси відправника / одержувача, високорівневого протоколу (наприклад, TCP або UDP), номерів портів відправника / одержувача TCP або UDP.

Історично реалізовані на маршрутизаторах, фільтри пакетів аналізують пакети на мережевому (третьому) рівні моделі OSI і, таким чином, незалежні від додатків (див. Малюнок 1).

( 1x1 ) Малюнок 1.
Фільтр аналізує пакети на мережевому рівні незалежно від програми. Завдяки цьому він забезпечує високу продуктивність, правда, може пропустити атаку на рівні додатку.

Не будучи прив'язані до додатків, фільтри пакетів забезпечують хорошу продуктивність. Але через те, що вони нічого не знають про додатки і не в змозі зрозуміти суть конкретного сеансу зв'язку, фільтри пакетів уразливі для хакерів, так як останні можуть організувати атаку на рівні додатків.

Фільтр пакетів перевіряє тільки заголовок пакета, але не дані всередині нього. Як правило, фільтри пакетів не є комерційними продуктами, проте багато з наявних на ринку маршрутизаторів виконують ті ж функції. Дуже часто фільтри пакетів створюються тими, хто реалізує захист своєї мережі самостійно.

КОНТЕКСТНА ПЕРЕВІРКА

Фільтри обробляють пакети дуже швидко, але їх навряд чи можна визнати ідеальним засобом захисту, так як вони переглядають тільки деякі поля у заголовку пакета.

Іншим типом технології брандмауера, піонером в розробці якої була компанія CheckPoint Software, є контекстна перевірка сеансів між клієнтами і серверами. Не обмежуючись фільтрацією, брандмауери цього типу перехоплюють пакети на мережевому рівні і приймають рішення на підставі високорівневою інформації.

Технології перевірки Firewall-1 компанії CheckPoint Software і PIX компанії Cisco Systems беруть свій початок від фільтрів пакетів, але, на відміну від них, аналізують деякі дані в пакеті. У разі Firewall-1 перевіряючий механізм Inspect Engine завантажується в ядро ​​операційної системи між другим і третім рівнем. Таке його положення гарантує, що всі вхідні і вихідні пакети будуть перехоплені і що нічого не станеться, поки механізм не перевірить відповідність пакету прийнятим правилам (див. Малюнок 2).

( 1x1 ) Малюнок 2.
Брандмауери з контекстної перевіркою можуть інтелектуально відстежувати пакети і сеанси між клієнтом і сервером. Брандмауери цього типу переглядають пакети на мережевому рівні для отримання необхідної для прийняття рішень в області захисту інформації. Ця інформація зберігається і використовується при наступних спробах з'єднання.

Дані поділяються на "хороші" (дані, які правила безпеки дозволяють припустити), "погані" (дані, які правила безпеки забороняють пропускати) і "невідомі" (дані, для яких ніяких правил не визначено). Брандмауер з контекстної перевіркою обробляє їх в такий спосіб: дані, які визнаються хорошими, пропускаються; дані, які визнаються поганими, вилучаються, а невідомі дані фільтруються, т. е. по відношенню до них брандмауер діє як фільтр пакетів.

Користувачі повинні пам'ятати, що якщо вони визначають новий сервіс, а брандмауер не має відповідного модуля перевірки даних, то по відношенню до цього нового сервісу брандмауер буде діяти тільки як фільтр пакетів.

З вдосконаленням технології дана модель стає все більш повною. Спочатку технологія мала менш надійну модель безпеки в тому, що стосується обробки трафіку, але з виявленням нових хаков і модифікацією програмного забезпечення для захисту від них технологія перевірки надійно зміцнюється.

У деяких ситуаціях контекстна перевірка може вступити в протиріччя з моделлю безпеки, в цьому випадку все залежить від цілей бізнесу. Незважаючи на те що ця технологія може представлятися недостатньою для багатьох компаній, де прийняті жорсткі заходи інформаційної захисту, вона виконує поставлені перед нею завдання в ситуаціях, коли вимоги бізнесу, зокрема необхідність зв'язку із зовнішнім світом, змушують відступити від деяких надто суворих правил безпеки ( і така ситуація досить типова).

Однією з функцій брандмауерів даного типу є трансляція адрес. Вона дозволяє організації приховати внутрішні IP-адреси, так що ззовні видно тільки одну адресу. Інші риси цієї технології - власне перевірка даних з аналізом вмісту поля даних, зручність використання і висока продуктивність. UDP - один з типів трафіку, про який часто забувають, тому що цей протокол не передбачає встановлення з'єднання і, таким чином, не враховується при визначенні продуктивності. Крім того, UDP не має контексту.

Зручністю використання технологія контекстної перевірки перевершує всі інші. Зазвичай з появою брандмауера адміністратор отримує можливість бачити, який трафік проходить через мережу. При надходженні попередження брандмауери з контекстної перевіркою дозволяють користувачеві відкрити порт (-и) сервісу і пропустити дані. Навряд чи це хороша модель захисту, але така поведінка зустрічається набагато частіше, ніж люди готові визнати. Сила цієї моделі в швидкості перевірки додатку.

Ще однією сильною стороною технології контекстної перевірки є реальна пропускна здатність. Скептики стверджують, хоча і без успіху, що технології перевірки швидше, тому що вони не аналізують всі рівні стека IP. Правда ж в тому, що при вимірюванні продуктивності враховувати доводиться безліч чинників.

КРУПНИМ ПЛАНОМ

Серед брандмауерів з контекстної перевіркою найбільшою увагою користуються два продукти: Firewall-1 компанії CheckPoint Software і PIX компанії Cisco. Обидва вони реалізують одну й ту ж базову технологію, а відрізняються, головним чином, другорядними деталями: операційною системою, підтримкою, зручністю використання (призначеним для користувача інтерфейсом). Крім того, Firewall-1 - це цілком програмне рішення, в той час як PIX є апаратно-програмний комплекс.

PIX спирається на Internetwork Operating System (IOS) компанії Cisco, виконувану на маршрутизаторах виробництва цієї компанії. За твердженням Cisco, вся обробка здійснюється у флеш-пам'яті, а це виключає необхідність в запису на диск, якась може забирати багато часу у великій середовищі.

При порівнянні Firewall-1 з PIX перше, що кидається в очі, - це відмінність у підтримці операційних систем. Firewall-1 працює в системах UNIX та NT. Можливість впровадження коду Firewall-1 в операційну систему маршрутизатора дозволяє компаніям з не надто суворими вимогами до безпеки отримати цілком життєздатне рішення. Firewall-1 не зміцнює операційну систему в процесі інсталяції; зміцнення ОС означає видалення неблагонадійних сервісів, установку останніх латок до ОС і відключення таких процесів, як ретрансляція IP-пакетів.

Крім того, призначений для користувача інтерфейс Firewall-1 добре відомий і отримав кілька нагород за останні кілька років. Це одна з найбільш сильних сторін продукту. Брандмауер може реалізувати практично будь-який: все, що необхідно, - мінімальні знання про те, як працює продукт і що собою являє операційна система. Така простота має і зворотний бік, так як захист мережі слід ретельно продумати і спланувати. Проте даний продукт з його інтуїтивним призначеним для користувача інтерфейсом дозволяє захиститися від більшості відомих атак.

Серед інших продуктів цього типу - Guardian Firewall for NT компанії Lanoptics і Firewall Plus компанії Network-1 Software and Technology.

Шлюз РІВНЯ ДОДАТКІВ І ПОСЕРЕДНИКИ

Технологія посередників кардинальним чином відрізняється від технологій фільтрації / перевірки. Гравцями в цьому сегменті ринку є Trusted Information Systems, Raptor Systems, Secure Computing, Digital Equipment і ін.

Дана технологія заснована, як випливає з назви, на використанні посередника, який бере і організуючого з'єднання за дорученням клієнта (див. Малюнок 3). Наслідком цього є додаткові накладні витрати на обслуговування з'єднання, тому-то в подібних рішеннях ефективність операційної системи так важлива. Нижележащих операційна система повинна підтримувати всі з'єднання. Щоб брандмауер з посередником міг обслуговувати велику кількість з'єднань, операційна система повинна бути ефективною.

( 1x1 ) Малюнок 3.
Шлюзи рівня додатків або посередники виступають як проміжна ланка передачі пакетів між сервером і клієнтом. Спочатку встановлюється з'єднання з посередником, а вже потім він вирішує: створювати з'єднання з адресатом, чи ні.

Брандмауери з посередником зазвичай захищають з'єднання TCP шляхом дублювання будь-якого дозволеного з'єднання. Трафік UDP використовувати в середовищі з посередниками не рекомендується; при необхідності він обслуговується транслятором UDP.

Крім того, багато виробників брандмауерів воліють робити настроювання операційної системи з метою збільшення продуктивності, якась неможлива без доступу до вихідного коду ОС. Це є однією з причин того, що багато експертів в області брандмауерів рекомендують брандмауери для UNIX, а не для NT.

Добре написаний посередник задіє підмножина прикладних програм для конкретного протоколу. Використання цього підмножини команд є однією з причин високої надійності даної моделі. "Все, що явно не дозволено, заборонено" - справедливо не тільки для політики безпеки в цілому, але і для посередника зокрема. Базові необхідні команди дозволені, проте деякі налагоджувальні команди, а також команди збору інформації можуть виявитися заборонені. Дозволені лише команди, необхідні для виконання "звичайної" транзакції. В іншому випадку команда блокується.

Особливостями хороших посередників є мінімальне кодування, мінімальний набір команд (підмножина прикладних команд) і трансляція адрес. Чим менше об'єм коду і у, ж набір команд, тим менше ймовірність залишити лазівку хакеру.

Трансляція адрес викликана тим, що посередники створюють нове з'єднання кожного разу, коли вони активізуються. Посередник приймає запит і потім ініціює новий запит до сервера; тому сервер сприймає запит як вихідний від посередника, а не від дійсного клієнта. Трансляція адреси - це перетворення кількох адрес в один, так як кожне з'єднання між клієнтом і цільовим сервером полягає в дійсності з двох з'єднань.

Якщо ми звернемося до вищевикладеної класифікації даних, то прийдемо до наступних результатів: хороші дані допускаються в мережу, але через нове окреме з'єднання, погані дані вилучаються, втім, як і невідомі (коли посередник добре написаний). Ці правила не відносяться, правда, до власне посередникам, так як вони пропускають в мережу невідомі дані. Власне посередники відрізняються від специфічних шлюзів додатків тим, що вони не перевіряють містяться в пакеті дані.

Рішення на базі посередників забезпечують так звану захист по периметру. Замість того щоб захищати всі хости, концепція "захисту по периметру" передбачає зміцнення захисту декількох з них, так як посередник бере на себе захист знаходяться за ним хостів. Це невірна передумова, так як часто захист порушується зсередини. Однак завантаженим адміністраторам, які не мають часу вивчати останні виявлені в захисті лазівки в різних операційних системах, що зустрічаються в гетерогенному середовищі, захист по периметру допоможе на якийсь час запобігти проникненню сторонніх в мережу.

КОРОТКИЙ ОГЛЯД ПРОДУКТІВ

При порівнянні технологій на базі посередників дискусія розгортається зазвичай навколо декількох продуктів: Gauntlet Internet Firewall (GIF) компанії Trusted Information Systems, Eagle компанії Raptor і Sidewinder компанії Secure Computing. Всі продукти спираються на одну й ту ж базову технологію у виконанні функцій посередника, але вони відрізняються ОС, підтримкою і зручністю використання.

GIF компанії Trusted Information Systems працює під управлінням UNIX (BSD - або BSD / OS - Solaris, і HP-UX) і NT. Склад підтримуваних посередників залежить від операційної системи. Посередник SQLNet для Oracle підтримується в Solaris і HP-UX. У 1997 році TIS представила для Gauntlet графічний користувальницький інтерфейс на базі Java, набагато спрощує адміністрування для менш досвідчених користувачів. Вельми сильним продуктом роблять GIF дві його відмінні риси. Перша - те, яким чином Gauntlet обробляє пошту: він використовує механізм посередницьких послуг з проміжним зберіганням, завдяки чому користувачі отримують більшу гнучкість в обробці пошти без ослаблення моделі захисту. Друга відмінна риса - в тому, що функції системного адміністрування, наприклад перевірка цілісності і резервування, вбудовані в продукт і легко викликаються.

Eagle компанії Raptor дуже схожий з GIF, однак він виконується на Solaris і NT, причому NT є ​​основною платформою. Операційна система зміцнюється в процесі установки Eagle.

Raptor недавно об'єдналася з компанією Axent, яка, крім інших, випускала продукт для одноразової реєстрації, в результаті Raptor отримала унікальну можливість стати першим виробником брандмауерів з підтримкою одноразової реєстрації. Eagle використовує посередників для різних сервісів. Крім того, Eagle не має функцій адміністрування системи, однак передбачає функцію перевірки файлової системи на предмет несанкціонованого зміни старих (здійснюється не через графічний інтерфейс) і появи нових файлів. По суті ця функція дозволяє перевіряти цілісність системи.

Sidewinder від Secure Computing використовує посередників і зміцнює операційну систему в процесі установки. Однак вона йде на крок далі: операційна система (модифікована BSD / OS 2.1) задіє Domain Type Enforcement (DTE). Це дозволяє розбити операційну систему на області (домени) для кожного інтерфейсу, а зв'язок між областями здійснювати за допомогою посередників. Теоретично ця ідея виглядає невразливою з точки зору захисту. Однак добре написаний посередник не повинен мати проломів, тому користувачеві ніколи не слід звертатися до домену операційної системи за послугою. Обробка електронної пошти здійснюється відповідно до захистом на базі DTE. Інтерфейс цілком зрозумілий, але він не настільки інтуїтивний, як у GIF або Eagle.

Читачеві слід пам'ятати, що деякі виробники забезпечують додатковий захист за допомогою операційної системи. Secure Computing, наприклад, використовує DTE. При всій привабливості цієї функції користувачам слід проте ставитися до цієї технології з обережністю, оскільки посередників ніколи не варто застосовувати для забезпечення доступу до операційної системи. Деякі навіть вважають за краще, щоб брандмауер розривав всі з'єднання і блокував доступ в разі компрометації сервісу.

А ПОСТАЧАЛЬНИКИ ХТО?

Незалежно від того, яку технологію ви виберете, питання "хто її пропонує?" напевно буде мати важливе значення. Покупці схильні звертати увагу на репутацію і послужний список продавця, тому багато постачальників брандмауерів не замислюючись афішують вік своєї компанії. Якщо за новими технологіями Internet люди звертаються часто до молодих мобільним компаніям, то захист - це зовсім інша справа. Тут консерватизм грає велику роль. Замовники хочуть бути впевнені в тому, що продукт буде підтримуватися і завтра і що творці продукту не є дилетантами.

Звичайно, такого роду консерватизм не сприяє появі нових ідей. Якщо технологія, наприклад посередник, довела свою надійність, то це ще не означає, що її не можна поліпшити. Тому мені так цікаво спостерігати за розвитком технологій перевірки. Виробники брандмауерів з контекстної перевіркою постійно намагаються удосконалити свою модель безпеки. Розробники посередників мають готову формулу і просто застосовують її до всіх програм, якщо вони, на їхню думку, того заслуговують. Ця область потребує свіжого погляду, інакше технології посередників загрожує застій.

Крім того, один той факт, що компанія займається цим бізнесом вже багато років, ще не гарантує, що її продукт настільки вже й хороший. Деякі постачальники кажуть, скільки років вони займаються захистом, але мовчать про своє реальному досвіді в захисті мереж. Знати, як захистити операційну систему, вельми важливо, але це тільки один з компонентів захисту брандмауерів. Розуміти, як захистити з'єднання, не менш важливо.

У деяких випадках все, що має виробник, - це досвід маркетингу. Наприклад, коли Cisco вирішила вийти на ринок брандмауерів з PIX, пробивна сила маркетингу Cisco разом з репутацією, яку компанія завоювала на ринку маршрутизаторів, миттєво зробили її однією з найпомітніших фігур на ринку брандмауерів. І при цьому зауважте, ми ще навіть не згадали про технології. Аналогічно TIS акцентує той факт, що вона займається інформаційною захистом вже 14 років. Незважаючи на те що компанія безсумнівно накопичила певний досвід, ця обставина ще не гарантує, що її досвід був адекватно втілено в брандмауері. Не соромтеся задавати питання, поки не переконаєтеся в достатній компетенції виробника.

І ще одне зауваження щодо виробників. Багато з найбільших постачальників брандмауерів вийшли на ринок зі своїми пропозиціями не далі як два роки тому. Дана обставина може виявитися важливим, якщо творці продукту просто вирішили застовпити собі місце і переключилися на інші сфери діяльності. В цьому випадку відповідають в компанії за продукт люди можуть виявитися консерваторами по духу. Ми зовсім не хочемо цими своїми твердженнями кинути тінь на виробників брандмауерів, а хотіли попередити покупця про таку небезпеку.

ПИТАННЯ інтероперабельності

Брандмауерам ще належить навчитися взаємодіяти один з одним. Ця обставина почасти пов'язано з тим, що кожен виробник плекає надію, що саме його продукт захопить ринок. Як наслідок, одним брандмауером не можна керувати за допомогою іншого. Мені здається, що поява загального інтерфейсу управління для різних брандмауерів в будь-якому продукті адміністрування мережі / UNIX набагато більш імовірно. Крім того, будь-який брандмауер володіє механізмом управління декількома однаковими брандмауерами.

Virtual Private Network (VPN) і IP Security (IPSec) дають надію на швидку интероперабельность. Сумісність з IPSec дозволить різним брандмауерам організувати приватну віртуальну мережу з шифруванням трафіку. Однак реалізація даної функції повинна бути ретельно продумана і спланована. Виробники брандмауерів намагаються виділити свої продукти на тлі інших різними шляхами, в тому числі вибором операційної системи. Однак спроба використовувати ці продукти разом чревата ризиком вибору в віртуальної приватної мережі найслабшою стратегії захисту в результаті їх змішання.

Незважаючи на відсутність в даний час реальної альтернативи, комерційні брандмауери можуть бути проте доповнені декількома технологіями. Такий потенціал мають технології моніторингу і виявлення проникнення в мережу. Двома найбільш популярними з них є RealSecure від Internet Security Systems і NetRanger від WheelGroup.

Хороший засіб моніторингу має бути частиною брандмауера, а не його заміною. У деяких випадках простий фільтр пакетів укупі з продуктом для моніторингу може виявитися достатнім рішенням. В інших випадках продукт для моніторингу повинен розташовуватися позаду брандмауера. Це, головним чином, питання архітектури. Продукт повинен принаймні мати можливість виявляти певні підозрілі дії (сигнатури).

Деякі виробники заявляють, що при виявленні сигнатури їх продукти можуть розривати з'єднання, таким чином необхідність в брандмауері відпадає. Хіба? Чи не краще взагалі не допускати зловмисника на поріг, ніж потім намагатися його видворити? Це все одно що зберігати вдома рушницю для захисту від грабіжників і не замикати вхідні двері. Замикайте двері і закривайте вікна, встановіть сигналізацію і зберігайте пильність, тоді ворог не зможе проникнути в вашу мережу.

Чер Семпл - незалежний консультант, вона брала участь в розробці Gauntlet Internet Firewall. З нею можна зв'язатися за адресою: [email protected] .