 |
Internet Dynamics Conclave
|
|
|
|
Пакет Conclave фирмы Internet Dynamics объединяет в себе МЭ, средства шифрования, аутентификации и антивирусной защиты [134]. В то время как некоторые МЭ защищают сеть только по периметру, Conclave держит под контролем расширенную сеть, управляя доступом на уровне отдельных документов.
В пакете Conclave реализованы мощные методы аутентификации, особенно для сертификатов Х.509, что обеспечивает идентификацию мобильных пользователей. Кроме того, для обнаружения и защиты от злонамеренных пакетов применяются цифровые подписи на базе MD5.
Conclave может дистанционно управляться из любой точки в пределах интрасети, для чего служат автоматическое распространение базы данных стратегии защиты и резервное копирование. МЭ защищает ресурсы от НСД, используя фильтрацию IP-пакетов и серверы полномочий. Предусмотрены и агенты антивирусного контроля для всех популярных протоколов, в том числе HTTP, FTP, NNTP, Telnet, SMTP и RealAudio. Интерфейс администратора пакета Conclave позволяет легко добавлять новые протоколы. Серверы этого пакета обмениваются данными, применяя 256-бит шифрование. Мобильные пользователи в Internet защищаются по той же самой технологии.
Conclave прост в установке и требует минимального опыта и участия, хотя не помешает хорошее знание таких служб, как FTP, почта и серверы Web. Окно администратора имеет закладки, позволяя легко перемещаться между интерфейсами. Сам интерфейс построен на стандартном управлении при помощи "мыши" с двумя кнопками для выбора и добавления новых элементов. Управляющий интерфейс весьма богат, однако понять его довольно трудно; нелегко и изменять конфигурацию. Даже для заранее заданных правил требуются дополнительные записи на нескольких различных экранах.
|
|
|
Можно задать предупреждения о запущенных серверах и службах, серверах, которые не были запущены, имели проблемы при запуске или прекратили работу. Доступ пользователей через МЭ обеспечивают несколько методов аутентификации с различными уровнями защиты в диапазоне от свободного входа до цифровых сертификатов.
В базовый МЭ Conclave интегрированы и другие компоненты, помогающие укрепить безопасность сети. Среди них такие модули, как Conclave Policy Manager, отвечающий за все административные функции, Conclave Access Filter, обеспечивающий основные функции МЭ, а также Conclave Certificate Authority, позволяющий компаниям выпускать свои собственные электронные сертификаты, не прибегая к услугам независимых фирм.
Можно "заказать модуль Conclave Еlectronic Passport, шифрующий трафик и однозначно идентифицирующий каждого пользователя.
Conclave хорошо стыкуется сдоментами NT и может работать с такими методами аутентификации, как SecureiD и др. Conclave хранит информацию в собственной базе данных, а регистрация ведется с помощью журнала событий, для размещения записей которого может понадобиться дополнительное дисковое пространство на сервере. МЭ может обслуживать несколько серверов, используя единую станцию управления для осуществления заданных стратегий на различных фильтрах доступа.
16. Guardian З.0 Firewall for Windows NT
Оправдывая свое имя ("Страж"), МЭ Guardian 3.0 Firewall for Windows фирмы NetGuard полностью интегрируется в среду Windows NT [134].
Новая функция версии 3.0 пакета – ZoneGuard – обеспечивает инсталляцию нескольких изолированных зон безопасности и управление ими, что особенно удобно. ZoneGuard предоставляет средства защиты и аутентификации для интра- и экстрасетей любой архитектуры. Изоляция зон достигается "таможенным" контролем уровня MAC, при этом каждый пакет анализируется на самом низком из возможных уровней, формируя демилитаризованные зоны.
Анализируя статус данных на самом низком уровне в стеке протоколов, МЭ допускает в сеть только пакеты, разрешенные стратегией защиты. Не допуская пакеты через многочисленные уровни сети, МЭ повышает ее пропускную способность, держа при этом ОС в полной изоляции. Функция Network Address Retention (NAR) устраняет необходимость постоянно изменять конфигурацию маршрутизатора.
|
|
|
Инсталляция пакета Guardian проходит легко и требует минимального участия реселлера. При установке CD в накопитель он запускается автоматически, после чего инсталлируется агент МЭ, а затем и станции управления.
"Мастер" конфигурирования позволяет быстро и легко задать основной набор правил. Правда, чтобы использовать этот "мастер", реселлер должен знать IP-адрес почты, FTP, HTTP и DNS. После этого система устанавливает правила для выбранных серверов и служб.
Не вызывает трудностей и организация VPN. Достаточно знать идентификатор Agent ID и IP-адрес бизнес-партнера. Для реализации VPN фирма LanOptics использует протокол Manual IPsec с ключом S/Key для аутентификации и шифрование по алгоритму RC2/RC4.
Нельзя задать одно правило для нескольких служб. Например, для FTP- и НТТР-трафйка. идущего на один и тот же сервер, нужно задать два правила. Guardian позволяет легко задавать объекты и снабжать их пиктограммами для облегчения доступа. На отдельный экран можно вывести список агентов, пользователей, уровень трафика и сбоев, а также места наибольших информационных потоков. Такой просмотр весьма полезен, однако большую площадь экрана занимает информация, используемая для конфигурирования, а не для мониторинга. Из-за обилия информации экран нередко выглядит перегруженным.
В Guardian 3.0 входят сервисные программы, облегчающие его стыковку с электронной почтой, пейджинговой системой и SNMP. Guardian не использует домены NT, но способен работать с популярными схемами аутентификации. Стыкуемость с базами данных обеспечивается ODBC-совместимой настройкой. Защита могла бы быть и надежнее: Guardian не "узнал" лавину сигналов синхронизации и не выдал предупреждение.
Необходимо хорошее знание глубинных аспектов NT, поскольку Guardian не полностью укрепляет ОС.
Guardian рассчитан на конфигурации типа "два адаптера – МЭ", поэтому не годится для схемы демилитаризованной зоны. Guardian не предусматривает специальных средств для реализации таких развитых служб, как SSL и RealAudio. Нет средств и для отправки пользователю предупредительных сообщений по электронной почте или на пейджер; чтобы обнаружить попытки нарушения защиты, приходится следить за экраном конкретного монитора, который выдает сигнал тревоги. Поэтому Guardian подходит в лучшем случае для небольших сетей.
|
|
|
NetRoad Firewall for NT
МЭ NetRoad Firewall for NT фирмы Ukiah Software Inc., предназначенный непосредственно для сетей с комбинированной средой NetWare и Windows NT, выделяется двумя уникальными особенностями: наличием средств для управления через службы каталогов NetWare Directory Services (NDS) и средств, обеспечивающих шлюз межсетевого обмена IPX/IP Gateway для связи NetWare-клиентов через Internet. В сетях, не имеющих служб NDS, функции дистанционного управления NetRoad Firewall утрачивают дееспособность. Фирма Ukiah не предоставляет никаких методов реализации VPN и предлагает решать эту проблему с помощью аппаратных средств сторонних фирм.
NetRoad Firewall for NT no своим показателям мало отличается от других аналогичных изделий на основе посредников, т.е. он вполне удовлетворяет требованиям линий T1 и 10-Мбит/с каналов, но не годится для конфигураций магистралей с пропускной способностью 100 Мбит/с. NetRoad Firewall уязвима к попыткам нарушения защиты синхронными лавинами пакетов; в этом случае только подается предупредительный сигнал, но блокирования системы не происходит.
NetRoad Firewall предусматривает несколько методов защиты, в том числе фильтрации пакетов и прозрачных посреднических услуг. Фирма Ukiah позаботилась обо всех основных средствах для работы со стандартными приложениями и протоколами, включая NNTP, SMTP, POP3 и DNS. При защите адресов электронной почты службы SMTP конкретные имена скрыты и можно увидеть только неопределенное имя, поэтому адрес, который содержит ссылки, скажем, на людские ресурсы или финансовую отчетность, не привлекает внимание потенциальных взломщиков. Запрос к службе имен доменов DNS можно переслать за пределы защищенной МЭ зоны, но своей собственной службы DNS, как в системах AltaVista и EagleNT, в NetRoad Firewall нет.
|
|
|
NetRoad Firewall позволяет настраивать конфигурацию служб HTTP, FTP и telnet вплоть до уровня команд, разрешая, к примеру, прохождение команд put (записи), но не get (чтения). По выбору предоставляется возможность аутентификации FTP-клиентов, а настроив определенным образом HTTP, можно добиться явного блокирования конкретных URL. Но HTTP-буферизация с целью повышения производительности, как в системе AltaVista, в данном случае не выполняется.
Что касается более развитых служб, надо отметить наличие посредников для RealAudio и SSL и средств для блокирования трафика PointCast. Как и в системе EagleNT, есть базовые и специализированные посредники для обслуживания, помимо прочих, UDP-и TCP-приложений, в том числе программ на основе архитектур CORBA и DCOM. Но составлять программы посредников приложений для сочетания UDP и TCP, как например NetMeeting, нельзя. Не предусмотрен и общепринятый метод фильтрации или блокирования компонентов ActiveX и языка Java, хотя, по сведениям фирмы Ukiah, в следующую версию войдут связующие звенья, благодаря которым появится возможность применять изделия на базе протокола CVP.
Инсталляция проста, но при установке NetRoad Firewall лишь рекомендуется устранить действующий по умолчанию шлюз, предназначенный для соединения с внутренней сетью.
Панель управления системы NetRoad Firewall организована четко и понятно. Имеются диалоговые окна, навигация по которым выполняется довольно просто. Подготовка правил также не вызывает проблем. Следует отдать должное встроенному средству для проверки правильности предпринимаемых шагов, благодаря которому можно узнать о допущенной ошибке или о неполной информации. Методы оповещения о состоянии разнообразны: возможна выдача сообщений на пейджер, по электронной почте, на экран и по протоколу SNMF.
Вся информация о пользователе может предоставляться через службу каталогов NDS или средства Windows NT Domains, На первый взгляд этот подход кажется удобным, поскольку позволяет избежать многократного ввода существующей информации. Однако не исключается вероятность нарушения внутренней безопасности, если происходит перехват передаваемого открытым текстом пароля.
Но не предусматривается широкий выбор критериев сортировки для журналов отчетов, и все виды представления информации заданы и вариантов почти нет.
В целом NetRoad Firewall for NT – вполне приемлемое решение для комбинированных сетей NetWare/NT, предоставляющих услуги NDS.
18. Другие МЭ
В [128] анализируются еще несколько МЭ;
1) МЭ Sidewinder фирмы Secure Computing Corp. и Web-браузер под названием Ranger, поддерживающий шифрование для удаленных пользователей. Ranger; использующий при шифровании спецификацию, является одновременно полноценной системой просмотра к клиентской программой электронной почты;
|
|
|
2) Digital's Firewall Service фирмы Digital Equipment (Maynard, MA);
3) Internet Site Patrol фирмы Bolt, Beranek, and Newman (BBN) (Cambridge, Massachusett) [135].
Серия программ защиты прямой связи и связи по телефону [136] пользователей с Internet разрабатывается фирмой Information Resource Engineering Inc. [137].
Сегодня производство МЭ переживает период становления -на рынке слишком много поставщиков, предлагающих очень схожую по своим функциональным возможностям продукцию. Не претендуя на общность, приведем некоторые недостатки существующих МЭ.
1). Border Network Technologies, BorderWare Firewall Server: начиная с конфигурации свыше 100 компьютеров стоимость системы становится непозволительно высокой; ориентация на архитектуру ПК не позволяет назвать эту систему полностью МЭ; отсутствие поддержки технологий типа ISDN, Token Ring и др.; использование свободно распространяемой версии BSDI Unix.
2). DEC: на уровне high-end требует использования двух систем на базе платформы Alpha, что достаточно накладно по сравнению с применением маршрутизаторов; на уровне mid-range высокая стоимость и реализация только одной архитектуры "двудомный шлюз" [133]; на entry-level в решениях DEC необходимо использование МЭ компании Border Network с присущими ей недостатками.
3). Sun Solstice Firewall-1 стоимость минимальной конфигурации затрудняет использование этой системы для средних и небольших приложений; реализация только схемы "двудомный шлюз"; отсутствие защиты от методов, использующих доступ по e-mail.
4). Raptor Systems, семейство продуктов Eagle: начиная с конфигурации более 50 компьютеров, стоимость зашиты слишком высока; реализация только схемы "двудомный шлюз"; неполнота защиты всех сервисов (например, нет прикрытия для SMTP).
Также приведем и табл.П. 1. сводных характеристик некоторых МЭ[138].
Таблица П.1
Сводные характеристики МЭ
Примечания:"+" да."–" нет.
19. Сертифицированные International Computer Security Association МЭ
Ниже приведен список МЭ, сертифицированных организацией ICSA. Сначала указаны названия фирм-держателей МЭ, далее – название самого продукта и специальная ОС (иначе МЭ работает под несколькими ОС):
1) 3 Com Corporation – NETBuilder;
2) Ascend Communications Inc. – Pipeline Router Plus;
3) AXENT – Raptor Firewall 6.0 - Solaris, NT, HP-UX;
4) Bull S.A - NetWall – AIX;
5) Check Point Software Technologies – Check Point Firewall-1 - Solaris, Windows NT;
6) Cisco Systems Inc. – Cisco IOS Firewall Feature Set – IOS;
7) Cisco Systems inc. – Private Internet Exchange (PIX);
8) Compaq – Digital Alta Vista Firewall '97 – DEC Unix;
9) Compaq – Digital Firewall '97 NT – Windows NT;
10) Computer Associates – Unicenter TNG Network Security Options – Solans:
11) Computer Associates – GuardIT, Version 1.0 – Windows NT;
12) CyberGuard Corporation – CyberGuard Firewall - UnixWare, Windows NT;
13) eSoft –IPAD model 1200;
14) Eiron Software, Inc. – Elron Firewall – 32OS, Windows NT;
15) Global Technology Associates Inc. – GNAT Box;
16) IBM – Firewall for AIX - AIX;
17) IBM – Firewall for AS/400 – OS 400;
18) IBM – eNetwork Firewall – Windows NT;
19) Internet Devices – Ft. Knox;
20) Internet Dynamics - Conclave – Windows NT;
21) Liverrnore Software Laboratories, Intl – PORTUS – AIX;
22) Lucent Technologies, Inc. – Lucent Managed Firewall;
23) MCI Woridcom Advanced Networks - Interlock – Solaris;
24) Milkyway Networks Inc. – SecurIT Firewall – Sun OS;
25) Netguard Ltd - Guardian – Windows NT;
26) NetScreen Technologies, Inc. – NetScreen-100;
27) NetScreen Technologies, Inc. – Netscreen-10;
28) Network-1 Software & Technology – Firewall/Plus – DOS-MS;
29) Network Associates – Gauntlet Internet Firewall - BSDI, Windows NT;
30) Secure Computing - Sidewinder – BSD;
31) Secure Computing - SecureZone;
32) Secure Computing – Secure Computing Firewall for NT – Windows NT;
33) Shiva Corporation/LanRover VPN Gateway – InfoCrypt Enterprise Version;
34) Sonic Systems, Inc. - SomeWALL;
35) Sun Microsystems Inc. – SunScreen SPF-200;
36) Sun Microsystems Inc. – SanScrsen EPS;
37) Technologic Inc. – Interceptor FiiewaH Appliance - BSDI;
38) WatchGuard Technologies Inc. – Watchguard Security Management – Linux.
20. Типы МЭ
В табл.П.2 приведен список известных МЭ и компаний-разработчиков с адресами Wеb-yзлов (сокращения: ШПУ - шлюз прикладного уровня, МЭЭУ - МЭ экспертного уровня),
Таблица П.2
Типы МЭ
ПРИЛОЖЕНИЕ 2 Сканеры систем
В данном Приложении описаны функции, выполняемые наиболее часто используемыми программными сканерами.
|
|
|
