 |
BorderWare Firewall Server компании Secure Computing
|
|
|
|
Пакет BorderWare Firewall Server Version 4.0 написан на языке программирования Java [131, 132]. Сетевые администраторы могут управлять МЭ с любого компьютера в сети, если он оснащен поддерживающей Java программой просмотра. Borderware представляет собой МЭ по типу сервера-посредника (proxy) с уплотненным ядром BSDI BSD/OS. Borderware позволяет связывать доверенную или частную сеть с Internet при помощи шлюза из Ethernet в Ethernet или платы с портами Ethernet и Synchronous Data-Link Control (SDLC). Компания Secure Computing предлагает этот программный продукт в качестве единого решения для построения шлюзов Internet, объединяющего в себе серверное ПО для электронной почты, для World Wide Web и FTP. Для пользователей, уже установивших какие-либо из этих программ, выпускается дополнительный модуль Secure Server Network (SSN), позволяющий администраторам локализовать все серверы, которые доступны извне по Internet. Другой дополнительный модуль выполняет шифрование данных и аутентификацию пользователей; наличие этих функций позволяет организовывать защищенные виртуальные частные сети (VPN), отдельные узлы которых связаны между собой по Internet.
Version 4.0 - первая версия программного обеспечения BorderWare, выпущенная компанией Secure Computing, получившей на него права вместе с приобретением в начале 1997 г. фирмы Border Network Technologies.
Требования к оборудованию для Borderware довольно ограниченные. Для базовой платформы – это компьютер с 486-м процессором или выше и минимум 16 Мбайт RAM (32 Мбайт рекомендуется). Borderware работает одновременно лишь с одним из двух семейств сетевых плат (от SMC и 3Com) и поддерживает только последовательные платы RssCom SDLC,.Плату SCSI можно использовать любую., если это адаптер шины EISA или ISA от Adaptec либо одна из двух моделей Buslogic, Наличие платы SCSI обязательно, так как Borderware не поддерживает контроллеры DE или Enhanced IDE, а установка Borderware производится с CD-ROM oн может быть затем снят). Жесткий диск со SCSI нужен только один; второй, необязательный жесткий диск со SCSI, применяется только при использовании сетевого протокола передачи новостей (Network News Transport Protocol NNTP): Версия borderware на 25 пользователей неимеет SSN, поэтому необходимость в плате Ethernet между доверенной сетью и платой Ethernet илиплатой SDLC для Internet отпадает. Brorderware чувствителен кустановкам IRQ и адресам порта каждой используемой сетевой платы.
|
|
|
Шлюзовое ПО может быть установлено пол Windows NT, MS-DOS, на компьютерах Macintosh или на рабочих станциях под Unix. С ним можно работать из Netscape Navigator 2.0, Microsoft internet Explorer 3,0 или из любой другой программы просмотра, поддерживающей Javа. Апплеты написанные на Java, обеспечивают защиту данных, а также выполняют функции аутентификации, управления и поиска в реальном масштабе времени, а шифрование данных залает безопасной передачу информации с компьютера пользователя в сеть и наоборот.
МЭ BorderWare могут устанавливаться в отделах компаний для организации в Internet защищенных VPN и для устранения необходимости оплаты арендованных линий при создании корпоративной сети, Установка BorderWare требует лишь номинального знания Unix - он может быть установлен и не очень опытным администратором сети. Конфигурационные опции хорошо описаны в руководстве пользователя - единственной документацией по Borderware, Этот МЭ отличает простота установки и прозрачность конфигурации.
Консоль Borderware предоставляет множество данных о том, что происходит на сервере. Загруженность ЦПУ и полосы пропускания, число пользователей, занятых тем или иным видом деятельности, и другие параметры отображаются на экране. Монитор Borderware отображает такую информацию, как текущая пропускная способность, загруженность ЦПУ в целом и по видам сервисов (например, число открытых страниц Web). Обнаружив зондирование, Borderware подает аварийный сигнал.
|
|
|
BorderWare стал одним из первых программных пакетов, поддерживающих стандарт IPSec. Он позволяет системам, пользующимся разными стандартами шифрования, настроиться на общий алгоритм, подобно тому, как модемы выбирают скорость обмена данными. BorderWare будет поддерживать стандарты DES, triple DES и RC5.
11. Система NetSafe v2.0
Для пользователей компьютеров всей серии RM фирма Siemens-Nixdorf предложила собственную концепцию реализации МЭ - систему NetSafe V2.0 [133]. Разрабатывая этот продукт, его создатели ориентировались на два основных требования: полнота и модульность. Система ориентирована на широкий круг пользователей - от больших корпораций до маленьких фирм - и способна предложить всем своим клиентам решение, отвечающее конкретным требованиям к безопасности и возможностям бюджета.
Система NetSafe V2.0 работает под управлением ОС SINIX версии 5.42 или старше; при этом минимальной рабочей конфигурацией является RISC-платформа RM200C с процессором MIPS 4600/133, объемом памяти 32 Мбайт и 2 Гбайт жестким диском. В качестве транспортного уровня может использоваться последовательное соединение (скорость передачи до 38.4Кbрс) по протоколам SLIP и РРР; ISDN ISO (64 Kbpc); Ethernet (10 Мбит и 100 Мбит); Token Ring (4 и 16 Мбит); FDDI.
NetSafe, изначально спроектированная как модульная система, позволяет организовать две общепринятые схемы организации МЭ:
1) демилитаризованная зона/бастион (NetSafeGalaxy);
2) двудомный шлюз (NetSafeStar).
Для реализации первой схемы требуется два маршрутизатора-фильтра и, в качестве бастиона, станция RM с установленной системой NetSafe. Такой подход обеспечивает наиболее высокий уровень надежности и секретности, основывается на совершенных технологиях защиты и включает такие дополнительные возможности, как предупреждение о попытках несанкционированного доступа и учет потока передаваемой информации. Цена реализации NetSafeGalaxy несколько выше, а система предназначена для защиты сетей средних и крупных организаций.
Существование изолированного сегмента или демилитаризованной зоны позволяет более аккуратно, с точки зрения обеспечения безопасности, реализовать общедоступные информационные службы (WWW, FTP...): узлы, которые должны быть подсоединены к Internet, расположены перед бастионом; вся остальная часть сети защищена МЭ и не имеет прямого информационного доступа извне к внутренней сети.
|
|
|
В качестве маршрутизаторов-фильтров могут использоваться любые конструкции, обеспечивающие:
• фильтрацию пакетов ISO уровня 3 (IP) и уровня 4 (TCP/UDP) с использованием списка управления доступом (Access Control List), что позволяет контролировать/фильтровать входящую и исходящую информацию, определяя список запрещенных и разрешенных сетевых служб;
• защиту от подмены IP-адресов и перенаправления пакетов.
Архитектурное решение NetSafeStar (двудомный шлюз) наиболее подходит для небольших и средних организаций и для своей реализации требует только одну станцию серии RM с двумя коммуникационными контроллерами. NetSafeStar можно применять и для разделения общей сети пользователя на несколько изолированных подсетей.
Узлы, реализующие общедоступные информационные службы, могут располагаться как перед, так и за МЭ. В первом случае вычислительные системы, на которых установлены эти службы, не защищены МЭ, во втором - приходится мириться с существованием прямого информационного соединения внутренней и внешней сетей. Система NetSafe реализована в виде набора модулей, способных реализовать необходимую стратегию обеспечения сетевой безопасности.
Список управления сетевым доступом. Данный модуль выполняется под управлением демона inetd и запрещает или разрешает определенным узлам сети доступ к протоколам высшего уровня (например FTP, Telnet и т.д.). Все некорректные или подозрительные попытки соединения регистрируются и могут вызывать сигнал тревоги.
Защита от подмены адреса IP. Подмена IP-адреса - это способ, при помощи которого внешняя система может стать как бы частью внутренней сети пользователя и тем самым получить доступ к защищенным ресурсам компьютеров. NetSafe включает в себя защиту против таких попыток.
Безопасность протокола SMTP. Сервер МЭ включает в себя почтовый фильтр, контролирующий всю входящую и исходящую почту перед тем, как передать ее дальше. Можно задать максимально допустимое число получателей и максимальный размер сообщения. Чтобы противостоять широко известным методам проникновения, анализируется также конверт сообщения.
|
|
|
Proxy-модули. Система Netsafe предусматривает использование proxy-серверов для обработки протоколов Teinet и FTP. Реализован также общий proxy-сервис для приложений, использующих протоколы TCP и UDP. Такой обобщенный подход дает возможность пользователю применять для передачи информации через МЭ протоколы защиты данных, неизвестные Netsafe.
Утилита администратора. Любая составляющая системы NetSafe может быть легко сконфигурирована с помощью специальной утилиты администратора, напоминающей утилиту sysadm. Допускается также редактирование файлов конфигурации с помощью текстового редактора, например vi. В ходе разработки системы было принято решение не использовать для реализации интерфейса утилиты администратора среду X/Windows из-за невозможности обеспечить должный уровень безопасности.
Утилиты регистрации событий и статистики. Любой модуль системы NetSafe регистрирует все выполняемые им действия с помощью утилиты syslog, входящей в состав ОС SINIX. Предусмотрена возможность тиражирования регистрационной информации на любой Unix-компьютер интрасети, а оператор МЭ будет оповещен о всех важных событиях, происходящих в ней. Для получения итоговых отчетов вся регистрационная и статистическая информация автоматически собирается и обрабатывается. Отчеты хранятся в заранее известных файлах сервера МЭ, а структура формата этих файлов допускает импорт данных в электронную таблицу Microsoft Excel. Файлы отчетов могут автоматически пересылаться оператору.
Разделение DNS, Внутренняя и внешние таблицы DNS хранятся раздельно на сервере МЭ, что защищает узлы внутренней сети от любопытных и пытливых умов.
Утилита контроля модификации фатов. Данный модуль отслеживает все изменения содержимого наиболее важных файлов и сообщает о них оператору МЭ или лицу, ответственному за обеспечение безопасности. Более того, отслеживаются изменения в составе наиболее важных каталогов, особенно тех, которые содержат активно используемые системные компоненты. Ведется также регистрация таких событий, как запуск системы и выполнение заданий.
Трансляция адресов. "Изюминка" системы NetSafe состоит в том, что адреса узлов внутренней сети невидимы для других узлов сети Internet. Польза от этого заключается не только в повышении надежности МЭ - теперь появляется возможность использовать для внутренней сети официально незарегистрированные IP-адреса, при этом владельцы неофициальных адресов имеют доступ к большинству узлов сети Internet. Для организации защиты средствами NetSafeStar требуется только один IP-адрес, в случае с NetSafe-Galaxy необходимо все же несколько официальных IP-адресов.
|
|
|
Дополнительные возможности. Использование NetSafe совместно с пакетом NetServe 2.0 позволяет реализовать еще несколько дополнительных возможностей.
• Сервер Usenet. NetSafe включает в себя сервер новостей (NNTP/NNRP), который может взаимодействовать как с аналогичным сервером внутренней сети, так и с серверами Internet. Таким образом, нет необходимости в прямом информационном соединении внутреннего сервера новостей с внешними серверами Internet.
• Proxy-шлюз основанный на сервере CERN HTTP VЗ.0. Для удобства своих пользователей система NetSafe имeет HTTP-сервер, разработанный в CERN- Сервер используется как proxy-шлюз между пользователями внутренней сети и любым сервером WWW сети; Internet В функции этого модуля входит кэширование информации, загруженной из Internet что сокращает время ожидания для пользователей внутренней сети при повторных обращениях к данным. Аналогичным образом этот модуль может быть использован и для других протоколов. FTP, Gopher, WAIS и т.п.
12. Labyrinth фирмы Сусоn Technologies
Labyrinth Firewall [132] от Cycon Technologies создана на базе разновидности Unix BSD 4.2 – FreeBSD. Labyrinth предпринимает активные действия против попыток подделки адресов, т.е., попыток похищения привилегированных пакетов в целях получения доступа к сервису из-за пределов сети для контроля над сетью. Интерфейсная плата под названием DMZ (демилитаризованная зона) пресекает попытки зондирования и возвращает фиктивную информацию зондам или устройствам сканирования портов.
Документация утверждает, что Labyrinth использует собственную технологию stateful inspection, хотя в большей степени Labyrinth осуществляет фильтрацию пакетов. Благодаря этой технологии, пользователи в защищаемой Labyrinth части сети могут пользоватьсяблокированными по умолчанию портами, например Real Audio и ftp. Анализируй параметры диалогов, Labyrinth в состоянии обнаружить, например, зонд Satan, При обнаружении зонд Satan должен быть перенаправлен не. мнимый сервер в середине сети Ethernet (ДМЗ). Labyrinth заманивает пользователя Satan для того, чтобы попытаться обнаружить источник зонда. Для противодействия атаке зонда. Labyrinth имеет множество настроек и методик, начиная от отражения Satan, посылки фиктивной информации и до возврата случайной информации.
Основа Labyrinth - команда Ipcycon для задания правил Ipcycon имеет II базовых правил: интерфейс, направление (трафика), протокол, действие, адрес отправителя, маска сети отправителя, адрес получателя, маска сети получателя, спецификация порта (фильтрация порта), назначение порта и фиктивный адрес. Можно добавить уровни регистрации событий от невероятно подробного до практически пустого. Командные фильтры Ipcycon редактируются вручную, и Cycon Technologies включает текстовый редактор pico для тех, кто не любит vi.
Возможно использование любого TCP/IP-приложения с защищенной стороны сети.
Labyrinth можно также настроить на работу с внутренним и внешним авторизованным браузером Web. Страницы имеют встроенную в них информацию в виде форм, и при заполнении они обновляют системные конфигурационные файлы.
Вся не относящаяся к определению правил работа должна проводиться в символьном режиме.
Установщики Labyrinth, если они собираются производить изменения в оборудовании или конфигурации, должны быть знакомы с Unix и основами протоколов.
CSM Proxy Plus 4.0
Фирма Computer Software Manufaktur предлагает МЭ CSM Proxy Plus 4.0. [134]. Хотя Proxy Plus вполне доступен и прост в установке, для его конфигурирования и управления им требуется более высокий уровень технических знаний, чем для аналогичных пакетов, так как большая часть конфигурирования сводится к разрешению или запрещению служб. Программа работает в качестве службы, поэтому для ее запуска не требуется перезагрузка системы.
По умолчанию Proxy Plus не конфигурирует серверы полномочий, так что реселлер должен сам настроить все службы, с которыми будут взаимодействовать программы-агенты доступа, а не полагаться на их набор по умолчанию. Он должен знать, какое информационное наполнение будет допускаться в сеть до того, как конфигурировать агенты.
Администрирование. Использование интерфейса с закладками облегчает поиск нужной информации. Закладки в диалоговом окне расположены в логичном порядке, и опции по умолчанию уже помечены. Proxy Plus имеет средства автоматического конфигурирования браузера, так что конечному пользователю достаточно просто указать на нужный адрес, и программа сама сконфигурирует браузер на применение надлежащих служб и портов.
После первичного конфигурирования для МЭ CSM не требуется обслуживания, если только в сети не осуществляются какие-либо изменения. Построенный на базе Web интерфейс обеспечивает дистанционное управление, мониторинг и конфигурирование с другой рабочей станции. В нем отсутствуют средства интеграции с электронной почтой и пейджинговыми системами, а также с такими средствами аутентификации, как Secure ID. Proxy Plus не использует домены NT и не обеспечивает стыкуемости с базами данных.
Но имеющиеся в ОС "лазейки" (например, те, что остались в случае неустановки последнего сервисного пакета) так и остаются широко открыты после инсталляции этого МЭ; программа не сообщает о местоположении этих "дыр" и методах их устранения. Также программа не объясняет, как выявлять попытки проникновения или иные нарушения защиты. Входящий и исходящий через сервер трафик регистрируется, однако нельзя задать, какой именно трафик следует контролировать.
Учитывая "прочность" МЭ Proxy Plus, атака до получения отказа в обслуживании позволяет легко его "сломать". Хотя у Proxy Plus есть много функций, отсутствующих в других серверах с кэшированием доступа, обеспечиваемый им уровень защиты пока еще недостаточен.
|
|
|
