 |
Secure Shell как средство замены уязвимых сервисов TCP/IP 7 глава
|
|
|
|
Рис.20. Интрасетъ разделена на защищенную и незащищенную части
Возможна схема подключения МЭ, когда он защищает только одну подсеть из нескольких серверов, выходящих из маршрутизатора - защита "бастиона" серверов (рис.21). В незащищаемой области часто располагают серверы, видимые снаружи: WWW, FTP и т.д. Некоторые МЭ предлагают разместить эти серверы на них самих - это решение, далеко не лучшее с точки зрения загрузки компьютера и безопасности самого МЭ.
Рис.21. Подключение с вынесением ряда серверов в незащищенную часть
Существуют решения, которые позволяют организовать из видимых снаружи серверов третью сеть, что обеспечивает контроль за доступом при сохранении необходимого уровня защиты компьютеров в основной сети. Для защиты каждый сервер можно подключить на отдельный сетевой интерфейс МЭ для 100-% контроля трафика сервера. При этом достаточно много внимания уделяется тому, чтобы пользователи внутренней сети не могли случайно или умышленно открыть вход в интрасеть через эти видимые снаружи серверы (рис.22).
Рис.22. Защита бастиона серверов
3). Еще один вариант подключения - с выделением так называемой "демилитаризованной зоны" (ДМЗ) (рис.23). Организация ДМЗ предназначена не только для защиты от атак из Internet, но и внутри от компьютеров самой организации. ДМЗ - это часть интрасети, содержащая шлюз (или два шлюза: внутренний и внешний) и отделенная с одной стороны от защищенной части интрасети внешним МЭ, а с другой - от незащищенной части интрасети, имеющей подключение к Internet, внутренним МЭ или маршрутизатором с фильтрами. В ДМЗ могут находиться, например, Web, FTP, SMTP, DNS-серверы.
Рис.23. Внутренняя структура демилитаризованной зоны
|
|
|
Для повышения уровня защищенности возможно использовать в одной сети несколько МЭ, стоящих, как на рис.23, друг за другом (выполняющих разные проверки пакетов) или параллельно друг другу (второй МЭ начинает работать, например, при выходе из строя первого), или выделенных в отдельную экранирующую подсеть. При этом как открытая, так и закрытая части интрасети имеют доступ к изолированной сети. Преимуществами данного подхода являются: возможность использования механизма трансляции адресов, что позволяет скрыть внутреннюю структуру интрасети; возможность решения вопросов большого трафика при прохождении пакетов через разные бастионы (если они установлены параллельно, а не последовательно). К недостаткам данного подхода можно отнести необходимость технического сопровождения функционирования экранирующей подсети только высококвалифицированными специалистами и необходимость использования только высокопроизводительных бастионов в связи с большим объемом вычислений.
6.1.5. Основные компоненты МЭ
Выделяют три основных компонента МЭ, выполняющих функции администрирования, сбора статистики и предупреждения об атаке и аутентификации.
1). Администрирование. Легкость администрирования является одним из ключевых аспектов при создании эффективной и надежной системы защиты. Ошибки при определении правил доступа могут образовать лазейку, через которую рано или поздно будет взломана система. Поэтому в большинстве МЭ реализованы сервисные утилиты, облегчающие ввод, удаление и просмотр набора правил. Наличие этих утилит позволяет также производить проверки на синтаксические или логические ошибки при вводе или редактировании правил. Обычно эти утилиты позволяют просматривать информацию, сгруппированную по каким-либо критериям, например, все, что относится к конкретному пользователю или сервису.
2). Системы сбора статистики и предупреждения об атаке. Информация обо всех событиях: отказах, входящих, выходящих соединениях, числе переданных байт, использовавшихся сервисах, времени соединения и т.д., - накапливается в файлах статистики. Многие МЭ позволяют гибко определять подлежащие протоколированию (протоколирование - это сбор и накопление информации о событиях, происходящих в информационной системе организации [20]) события, описывать порядок действия при атаках или попытках несанкционированного доступа: сообщение на консоль, почтовое послание администратору системы и т.д. Немедленный вывод сообщения о попытке взлома на экран консоли или администратора может помочь, если попытка оказалась успешной и атакующий уже проник в систему. В состав многих МЭ входят генераторы отчетов, служащие для обработки статистики и позволяющие собрать статистику по использованию ресурсов конкретными пользователями, по использованию сервисов, отказам, источникам, с которых проводились попытки несанкционированного доступа и т.д.
|
|
|
3). Аутентификация. Прежде чем пользователю будет предоставлено право получить тот или иной сервис, необходимо убедиться, что он действительно тот, за кого себя выдает (предполагается, что этот сервис для данного пользователя разрешен: процесс определения, какие сервисы разрешены, называется авторизацией. Авторизация обычно рассматривается в контексте аутентификации -как только пользователь аутентифицирован, для него определяются разрешенные ему сервисы). При получении запроса на использование сервиса от имени какого-либо пользователя, МЭ проверяет, какой способ аутентификации определен для данного пользователя, и передает управление серверу аутентификации. После получения положительного ответа МЭ формирует запрашиваемое пользователем соединение.
При аутентификации используется, как правило, принцип, получивший название "что он знает" - пользователь знает некоторое секретное слово, которое он посылает серверу аутентификации в ответ на его запрос. Одной из схем аутентификации является использование стандартных Unix-паролей. Эта схема является наиболее уязвимой с точки зрения безопасности, так как пароль может быть перехвачен и использован другим лицом. Чаще всего используются схемы с применением одноразовых паролей (об этом подробнее далее).
|
|
|
Ряд МЭ поддерживают систему Kerberos - один из наиболее распространенных методов аутентификации [91]. Главной особенностью Kerberos является то, что первичные ключи по системе не передаются вообще. Эта система была разработана в Массачусетсском технологическом институте в рамках проекта Athena. Главным назначением системы является обеспечение защищенного обмена данными в сети общего пользования. Обмен данными построен по принципу клиент/сервер. В Kerberos существует не один, а целых три сервера: идентификационный, выдачи разрешений и административный. Все ПК пользователей оснащаются клиентской частью Kerberos. Сервер может быть установлен на любом ПК или даже разнесен по многим. Ядро системы составляют сервер идентификации и сервер выдачи разрешений. Область действия Kerberos-сервера называется realm. Все пользователи realm должны быть зарегистрированы в идентификационном сервере Kerberos, а все серверы должны иметь общий кодовый ключ с идентификационным сервером.
При взаимодействии с системой пользователь посылает свой идентификатор серверу идентификации, который проверяет наличие данного пользователя в своей базе данных. Если пользователь зарегистрирован, то ему отправляется "разрешение на получение разрешения" и код сеанса, которые зашифрованы при помощи пароля пользователя из базы данных пользователя. Данная информация расшифровывается на ПК пользователя после ввода последним своего пароля, который совпадает с тем, что хранится в базе данных пользователя. Таким образом, пароль по сети не передается. После того, как разрешение на обращение к серверу разрешений получено, клиент обращается за разрешением на доступ к информационным ресурсам. Этот запрос содержит имя пользователя, сетевой адрес его компьютера, отметку времени, срок жизни разрешения и код сеанса. Разрешение зашифровывается при помощи кода, известного идентификационному серверу и серверу выдачи разрешений. Данный код пользователю не известен. Кроме кода, разрешение шифруется и при помощи пароля пользователя. Вместе с запросом на разрешение на доступ к ресурсам пользователь посылает еще и свой идентификатор, который шифруется с использованием кода сеанса и содержит имя пользователя, его сетевой адрес и отметку времени. Сервер разрешений проверяет полученное разрешение на получение разрешений (сравнивает имя пользователя и его сетевой адрес, зашифрованные в разрешении, с адресом из пакета), После этого расшифровывается идентификатор и снова сравнивается имя пользователя и его сетевой адрес с теми, что пришли в пакете. Так как идентификатор пользователя используется только один раз в течение определенного времени, то перехватить и идентификатор, и разрешение довольно трудно. Сервер разрешений высылает разрешение клиенту, которое шифруется при помощи кода, известного серверу разрешений и информационному серверу. Данное разрешение содержит новый код сеанса, который используется клиентом при обращении к целевому серверу.
|
|
|
Таким образом, за счет многократного шифрования и многочисленных проверок исключается перехват защищенной информации. Однако следует принимать во внимание тот факт, что все программные компоненты должны включать в себя программы из Kerberos-библиотеки, т.е. telnet, ftp и т.п. должны быть отредактированы с Kerberos-библиотекой. Таких серверов не так много, что серьезно ограничивает применение Kerberos на практике.
Эта система имеет ряд недостатков. Во-первых, подразумевается четкое разделение компьютеров на рабочие станции и серверы. В случае, если пользователь пожелает, зайдя на сервер, с помощью telnet зайти на другой компьютер, идентификация не сработает, так как пользователь имеет разрешение на работу только на той рабочей станции, где он вводил пароль. Иными словами, в Kerberos версии 4 полномочия пользователя не передаются на другие ПК. Кроме того, требуется выделенный компьютер под сервер Kerberos, причем работающий в максимально секретных условиях, поскольку на нем имеется база данных, где содержатся все пароли пользователей. Kerberos версии 4 очень ограниченно применима в сети, где возможны ситуации, когда в силу ряда обстоятельств сервер Kerberos недоступен по сети (непредвиденные сбои в маршрутизации, ухудшение или обрыв связи и т.д.). Часть недостатков, перечисленных выше, ликвидирована в версии 5, но эта реализация запрещена к экспорту из США.
По описанному алгоритму работают также системы Sphinx от DEC и NIS+ от Sun. Отличаются они применением различных алгоритмов шифрования, другого протокола передачи (RPC вместо UDP) и способов объединения административных доменов в иерархию.
|
|
|
6.1.6. Сертифицированные МЭ
Логическим продолжением рассмотрения вопросов, связанных с конкретными реализациями МЭ, является некоторая справочная информация, приведенная в Приложении I, где даны описания нескольких таких систем. Список сертифицированных Гостехкомиссией РФ МЭ на июнь 1999 г. состоял из десяти наименований:
1) автоматизированная система разграничения доступа Black Hole (MiIkyway Networks) версии BSDI-OS;
2) средство защиты от НСД в сетях передачи данных по протоколу TCP/IP "ПАНДОРА" на базе Gauntlet 3.1.li (Trusted Information Systems) и компьютера О2 (Silicon Graphics) под управлением IRIX 6.3;
3) аппаратно-программный комплекс "Застава-Джет" компании Jet Infosystems и ЦНИИ-27 Министерства обороны РФ;
4) МЭ "Застава" FortE+ фирмы ЭЛВИС+;
5) партия средств программного обеспечения межсетевого экрана Fire Wall-1 фирмы Checkpoint Software Technologies;
6) комплекс защиты информации от НСД "Data Guard/248";
7) программный продукт SKIP для регулирования доступа на интерфейсе локальная/глобальная сеть под управлением ОС Windows 3.11 и Solaris 2.4;
8) единичные образцы программного обеспечения МЭ AltaVista Firewall 97 фирмы AltaVista Internet Software;
9) партия из 20 экземпляров МЭ "Cyber Guard" версия 4.0, позволяющего создавать защищенные корпоративные сети на базе протокола Х.25 и Frame Relay;
10) Firewall/Plus фирмы Network-1 Software and Technologies. Список МЭ, сертифицированных Международной ассоциацией компьютерной безопасности, можно найти по адресу http://www.icsa.net. Его состав на начало 1999 г. также приведен в Приложении 1.
Ниже более подробно описаны функции трех МЭ, сертифицированных Гостехкомиссией РФ.
Автоматизированная система доступа Black Hole компании Milkyway Networks - это МЭ, работающий на proxy-серверах протоколов прикладного уровня (TELNET, FTP и т.д.). Он служит для разграничения доступа между интрасетью и глобальной сетью Internet или между двумя подразделениями интрасети. Black Hole построен на принципе "Все что не разрешено, запрещено", т.е. любой вид доступа должен быть описан явно.
Black Hole поддерживает следующие виды сервисов: терминальный доступ (TELNET); передача файлов (FTP); почта (SMTP); новости Usenet (NNTP, SNNTP); Web (HTTP, SHTTP); Gopher; Real Audio; Archie; Wais; X Window System. Кроме этого, в состав Black Hole входят proxy-сервер уровня TCP и proxy-сервер для UDP-протокола.
Black Hole осуществляет мониторинг всех 65535 TCP/UDP-портов и сбор статистики по попыткам доступа к этим портам.
Правила доступа могут использовать в качестве параметров: адрес источника; адрес назначения; сервис (FTP, TELNET, и т.д.); дата и время доступа; идентификатор и пароль пользователя Black Hole поддерживает строгую аутентификацию как с использованием обычных паролей, так и различных типов одноразовых паролей: S/Key; Enigma Logic Safeword; Security Dynamics SecurelD, при этом аутентификация может быть включена для любого вида сервиса.
Black Hole поддерживает два режима: аутентификацию каждой TCP сессии и прозрачную аутентификацию. Второй режим обеспечивает авторизированного пользователя всеми сервисами без аутентификации каждой сессии. Для установки этого режима пользователю необходимо аутентифицироваться при помощи одного из сервисов (TELNET, FTP, Gopher, WWW). Для каждого пользователя можно задать период времени, в течении которого он может использовать этот режим. Это создает крайне удобный для пользователя режим использования МЭ.
Система выдачи предупреждений о попытках НСД в реальном времени в Black Hole позволяет администратору системы описывать опасные события и реакцию системы на них (вывод на консоль, звонок на пейджер и т.д.)
Black Hole позволяет описывать различные типы нарушений и определять реакцию на их появление.
Black Hole позволяет образовывать соединения за один шаг (т.е. в качестве хоста назначения сразу указывается необходимый сервер, без первоначального соединения с proxy и с proxy до нужного хоста).
Black Hole предоставляет сервис для создания групп пользователей, сервисов, хостов и сетей и позволяет создавать правила для этих групп, что дает возможность легко описывать и администрировать большое количество пользователей.
Black Hole имеет удобную графическую оболочку под X Window, так что настройкой системы может заниматься малознакомый с тонкостями Unix пользователь. Все административные функции могут быть выполнены из этой оболочки. Ядро ОС модифицировано для защиты графического интерфейса от внешнего доступа.
Black Hole предоставляет следующие возможности по конвертации адреса источника пакета при прохождении через МЭ:
• адрес может быть заменен на адрес МЭ;
• адрес может быть оставлен без изменения;
• адрес может быть заменен на выбранный администратором.
Последняя опция позволяет пользователям Internet представлять внутреннюю сеть в виде набора подсетей.
Black Hole позволяет организовать дополнительную подсеть (Service Network), через дополнительный сетевой интерфейс, для открытых сервисов (FTP, HTTP, Gopher). Это дает возможность вынести эти сервисы из внутренней сети, обеспечив при этом контроль доступа и сбор статистики за использованием этих сервисов.
Black Hole использует для хранения и обработки статистической информации реляционную базу данных с языком запросов SQL. Имеется большой выбор различных параметров соединения в сочетании со средствами графического представления.
Black Hole функционирует на ПК и Sun Spare-платформах под управлением модифицированных версий операционных систем BSDI и SunOS; Black Hole имеет сертификат ICSA, гарантирующий его высокую надежность и уровень защиты.
Black Hole сертифицирована Государственной технической комиссией при Президенте России. Сертификат №79 выдан 30 января 1997 г. и действителен до 30 января 2000 г: "...автоматизированная система разграничения доступа Black Hole версии BSDI-OS..., функционирующая под управлением операционной системы BSDI BSD/OS v2.1, является программным средством защиты информации от НСД в сетях передачи данных по протоколу TCP/IP, обеспечивает защиту информационных ресурсов защищаемого участка интрасети от доступа извне, не снижая уровня защищенности участка интрасети, соответствует "Техническим условиям на Автоматизированную систему разграничения доступа Black Hole версии BSDI-OS" N 5-97 и требованиям Руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в части администрирования для класса 3Б".
Межсетевой экран защиты интрасети ПАНДОРА на базе Gauntlet 3.1.1i фирмы Trusted Information Systems и компьютера О2 фирмы Silicon Graphics под управлением IRIX 6.3 надежно решает проблему безопасности сети и позволяет:
• скрыть от пользователей глобальной сети структуру интрасети (IP-адреса, доменные имена и т.д.);
• определить, каким пользователям, с каких хостов, в направлении каких хостов, в какое время, какими сервисами можно пользоваться;
• описать для каждого пользователя, каким образом он должен аутентифицироваться при доступе к сервису;
• получить полную статистику по использованию сервисов, попыткам НСД, трафику через ПАНДОРУ и т.д.
ПАНДОРА устанавливается на компьютер с двумя Ethernet интерфейсами на выходе между интрасетью и сетью общего пользования.
ПАНДОРА построена на серверах протоколов прикладного уровня (proxy) и поддерживает следующие сервисы: TELNET, Rlogin (терминалы); FTP (передача данных); SMTP, POPS (почта); HTTP (WWW); Gopher; XI1 (X Window System); LP (сетевая печать); Rsh (удаленное выполнение задач); Finger; NNTP (новости Usenet); Whois; RealAudio. Кроме того, в состав ПАНДОРЫ входит сервер общего назначения TCP-уровня, который позволяет безопасно транслировать через ПАНДОРУ запросы от базирующихся на TCP протоколов, для которых нет proxy-серверов, а также сервер сетевого доступа, который позволяет запускать различные программы в зависимости от того, откуда пришел запрос.
Для аутентификации пользователей ПАНДОРА позволяет применять следующие схемы аутентификации: обычный Unix-пароль; S/Key, MDauth (одноразовые пароли).
РОРЗ-proxy дает возможность использовать АРОР-авторизацию и тем самым избежать передачи по сети открытого пароля.
FTP-proxy позволяет ограничить применение пользователями отдельных команд (например RETR, STOR и т.д.) HTTP-proxy позволяет контролировать передачу через ПАНДОРУ фреймов; описаний на языке Java; описаний на языке JavaScript; html-конструкций, не попадающих под стандарт HTML версии 2 и т.д.
Система сбора статистики и генерации отчетов позволяет собрать и обработать информацию обо всех соединениях, включая время, количество байт, адрес источника, адрес назначения, ID пользователя (если есть), а также аномалии в самой системе.
ПАНДОРА не требует ни внесения изменений в клиентское ПО, ни использования специального ПО.
Прозрачный режим работы proxy-серверов позволяет внутренним пользователям соединяться с нужным хостом за один шаг (т.е. без промежуточного соединения с ПАНДОРОЙ).
Система контроля целостности позволяет контролировать безопасность модулей самой системы.
Графический интерфейс управления служит для настройки, администрирования и просмотра статистики ПАНДОРЫ.
ПАНДОРА поставляется вместе с исходными текстами основных программ, для того чтобы можно было убедиться в отсутствии закладок и разобраться, как он работает.
ПАНДОРА сертифицирована Государственной Технической Комиссией при Президенте России. Сертификаты 73 выдан 16 января 1997 г. и действителен до 16 января 2000 г: "...система защиты информации от НСД в сетях передачи данных по протоколу TCP/IP - межсетевой экран "ПАНДОРА" (ТУ N 1-97) на базе межсетевого экрана "Gauntlet" версии 3.11 i.., функционирующая на платформе операционной системы IRIX v.6.3 фирмы Silicon Graphics, является средством зашиты информации и обеспечивает защиту участка интрасети от доступа извне, не снижая уровня защищенности участка интрасети, соответствует техническим условиям № 1-97 и требованиям Руководящего документа Гостехкомиссии России "Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации" в части администрирования для класса ЗБ".
МЭ Застава-Джет. В январе 1998 г. компания Jet Infosystems получила сертификат на МЭ Застава-Джет [44]. Этот МЭ представляет собой функционально-распределенный программно-аппаратный комплекс на базе шлюза SUN Ultra 1 (частота 170 МГц, SCSI диск 2,1 Гбайта, ОЗУ 64 Мбайта) с монтируемыми в компьютер сетевыми интерфейсами Quard Ethernet. Показатель защищенности системы соответствует 2 классу, что – при соблюдении "Специальных требований и рекомендаций по защите информации, составляющей государственную тайну, от утечки по техническим каналам" – позволяет использовать ее при работе с документами, имеющими грифы "С" и "СС".
Как и любой МЭ, Застава-Джет контролирует информационные потоки между сетями за счет разграничения доступа, фильтрации пакетов данных и контроля целостности информационной среды. В состав комплекса входят ОС Solaris 2.5.1 и программные компоненты. Часть исходных модулей комплекса составляют службы, принадлежащие известному семейству продуктов Gauntlet. Их коды были переданы Jet Infosystems американской фирмой Trusted Information Systems в соответствии с заключенным между компаниями соглашением. Следует отметить, что МЭ Gauntlet стал первым американским ПО, прошедшим сертификацию на соответствие российским стандартам.
Программисты Jet осуществили доработки на уровне оболочки (с использованием shell script), сконфигурировав Solaris так, чтобы он мог регламентировать работу ряда служб ОС. Они модифицировали некоторые службы Gauntlet и разработали подсистему управления МЭ, в которую вошли средства регистрации и учета запрашиваемых служб, оповещения и сигнализации при нарушении правил фильтрации, контроля за действиями администратора МЭ, поддержки удаленной регистрации по временному паролю и динамического контроля за целостностью программной информационной среды МЭ.
Общими чертами всех программ Gauntlet являются простота исходного кода (не более 2000 строк) и верифицируемость, что позволяет обеспечить высокую степень их безошибочности, т.е. внутренней надежности. Важнейший принцип работы продуктов Gauntlet – "все, что не разрешено, запрещено". Если какая-либо служба или агент не существует, то соответствующий пакет просто не будет пропущен через МЭ. Работа с данными регламентируется правилом минимизации привилегий: с системными привилегиями выполняются лишь небольшие фрагменты кода; ни одна программа, работающая с информацией из внешней сети, не имеет полных системных привилегий.
Служба фильтрации сетевых пакетов поддерживает как сетевой, так и транспортный уровни модели ISO/OSI, а службы прикладного уровня, разработанные Gauntlet, обеспечивают передачу файлов, работу терминальных служб, электронной почты, служб Web, сетевой печати и ряда других. В набор служб Gauntlet входит также служба имен, которая совместно с почтовым шлюзом позволяет "скрыть" от внешнего мира внутренние имена и адреса. Серверная служба аутентификации Gauntlet дает возможность использовать программно-генерируемые одноразовые пароли и аутентификационные карточки фирм-производителей ПО.
Разработчики Jet модифицировали и модули, входящие в шлюз приложений. Используя средства разработки Generic Proxy, они добавили к его основным службам-посредникам (Telnet, FTP, Rsh, HTTP, SQL, NetShow, VDOLive, SNMP и др.) несколько новых агентов-посредников (proxy-service). Эти агенты осуществляют фильтрацию пакетов данных на уровне приложений (в частности, программистами Jet был создан шлюз IPX). Для каждого агента или службы существует общий и уникальный наборы параметров (ими может управлять администратор МЭ), однозначно определяющие его конфигурацию. Кроме того, в системе Застава-Джет можно иметь несколько разных конфигураций одной и той же службы (например, для определенных групп пользователей, для всех остальных клиентов сети) и создавать так называемые конфигурационные наборы.
Надежность работы комплекса гарантируется внутренним аудитом системы МЭ, протоколированием всех соединений и событий блокировки соединений, а также средствами оповещения администратора МЭ о попытках несанкционированного доступа. Резервное копирование всех файлов и системы, а также восстановление при сбоях обеспечиваются средствами Solaris.
Застава-Джет должна быть дооснащена современными средствами криптозащиты, имеющими сертификат ФАПСИ. В существующую конфигурацию комплекса будут интегрированы средства ШИП (шифратор информационных потоков), которые полностью соответствуют требованиям ГОСТ и имеют сертификат ФАПСИ. Они выпускаются Московским отделением Пензенского научно-исследовательского электротехнического института, известным в России разработчиком программных средств криптографической защиты информации. Программно-аппаратный комплекс ШИП имеет модульную архитектуру и состоит из распределенной сети шифраторов IP-потоков и единого центра управления и мониторинга подсистемы.
Задача выбора МЭ для каждого конкретного применения - это, главным образом, вопрос верного соотношения требований пользователей к доступу и вероятности несанкционированного доступа. В идеале система должна предотвращать всякое несанкционированное вторжение. Однако, учитывая широкий спектр необходимых пользователям сервисов (Web, ftp, telnet, SNMP, NFS, телефония и видео в Internet, электронная почта и др.), наряду с изначальной открытостью комплекта протоколов ТСР/IР, - этого идеала достигнуть очень тяжело. В действительности, мерой эффективности МЭ служит вовсе не его способность к отказу в предоставлении сервисов, но его способность предоставлять сервисы пользователям в эффективной, структурированной и надежной среде. МЭ должны уметь анализировать приходящий и исходящий сетевой трафик и правильно определять, какие действия санкционированы без ненужного замедления работы системы.
И в заключение данного раздела приведем некоторые рекомендации по выбору МЭ, которые выработала Ассоциация "Конфидент". 1). Цена. Она колеблется существенно – от 1000 до 15000 долл. при покупке непосредственно у фирм-производителей, большинство которых находится в США; у российских дилеров эти цифры значительно выше из-за таможенных и налоговых сборов. Интересна и такая цифра - цена МЭ для Windows NT в среднем составляет 6000 долл. К этой цене надо добавить расходы на аппаратную платформу и ОС, которые могут быть весьма значительными и соизмеримыми со стоимостью самого МЭ – например, как в случае использования компьютеров Sun под управлением ОС Solaris. Поэтому с точки зрения экономии разумно применять МЭ, ориентированные на Intel-платформу и ОС DOS, Windows NT, Novell NetWare.
2). Фильтрация. Большинство МЭ работает только с семейством протоколов TCP/IP, что связано с ориентацией разработчиков на потребности западного рынка. Этого достаточно, если МЭ применяется в классическом варианте – для контроля трафика между интрасетью и Internet. Но в России, согласно имеющейся статистике, 90 % рынка сетевых ОС составляет Novell Netware и поэтому важна фильтрация IPX-трафика. Кроме того, совершенно необходимой для внутреннего МЭ является способность фильтрации на уровне соединения – например, фильтрации Ethernet-фреймов. К сожалению, эта возможность реализована в очень немногих продуктах (например, Firewall Plus и Elron Firewall).
3). Построение интрасети – при объединении сети организации с Internet в качестве транспортной магистрали нужно исходить из имеющейся инфраструктуры. С этой точки зрения много возможностей имеется в Netware: службы каталогов, управления, печати, защиты и работы с файлами; GroupWise и ManageWise управляют электронным документооборотом и сетью; входящий в состав IntranetWare шлюз IPX/IP организует прозрачный доступ с IPX-станций к сервисам TCP/IP с помощью Winsock-совместимого клиентского ПО. Тогда IPX-сервер и IPX-станция не имеют IP-адресов и из Internet в принципе не видны. Поэтому организация атаки на их информационные ресурсы практически невозможна и защита IP-хостов гетерогенной сети IP-IPX решается проще, так как шлюз выполняет по отношению к ним функции МЭ. Примеры таких МЭ: BorderManager фирмы Novell и NetRoad FireWALL фирмы UkiahSoft.
4). Простота эксплуатации. Чтобы снизить текущие эксплуатационные расходы, лучше отдать предпочтение простым в эксплуатации продуктам с интуитивно понятным графическим интерфейсом, иначе богатые возможности по настройке МЭ могут оказаться невостребованными. Этому критерию хорошо соответствуют два продукта – Firewall Plus фирмы Network-1 и NetRoad FireWALL фирмы UkiahSoft.
|
|
|
