 |
Eagle фирмы Raptor Systems
|
|
|
|
Наибольшей популярностью пользуется МЭ Eagle [91] фирмы Raptor Systems, к услугам которого обращаются компании HP, Sun, IBM. Семейство модулей Eagle - пример интегрированного подхода к сетевой безопасности, позволяющего строить комплексные решения по защите на всех уровнях. Архитектура Eagle включает набор программных средств, обеспечивающих защиту при работе в Internet - Internet Security, защиту рабочих групп EagleLAN/EagleDesk, управление безопасной работой мобильных систем ПК - EagleNomad, защиту при работе с удаленными отделениями корпораций - EagleRemote (рис.П.1). Все компоненты объединены средствами пакета SecureConnect, интегрирующего отдельные составляющие и позволяющего строить произвольные конфигурации по требованию заказчика. При работе с Eagle возможно получение лицензии для работы с сетями размером 1-50, 1-200 пользователей, а также корпоративными сетями практически неограниченного размера. Среди платформ, поддерживаемых сегодня системой Eagle, - HP, IBM, RM SNI и Sun.
Рис.П.1. Структура системы Eagle
Вот краткий перечень возможностей системы Eagle:
• проверочная (аудитная) регистрация с предоставлением ежедневного отчета по всем операциям с автоматическим архивированием и несложным преобразованием регистрационного файла в установленный формат базы данных;
• интерфейс связи для переформировки IP-пакетов с целью скрыть топологию локальной сети;
• проверка полномочий хоста на вход и выход сообщений, позволяющая выбрать хосты и типы связи, разрешенные при доступе;
• контроль и отслеживание подозрительных действий;
• мгновенное уведомление о подозрительных действиях путем вывода информации на дисплей, подачи звукового сигнала, сообщений в адрес электронной почты, пейджера, факса или программы клиента;
|
|
|
• предоставление широкого спектра сервисов, включая настраиваемые средства по пересылке пакетов, модифицированный Telnet для усиленной защиты, а также FTP;
• аутентификация для идентификации пользователя, инициирующего сетевой трафик;
• управление номерами стандартных коммуникационных портов, совместимость с Х.25, Token Ring, Ethernet и FDDI, с полной гарантией прозрачности и простоты интеграции;
• обеспечение входа в систему только через консоль. Шлюз как гарантия изоляции сети. Система Eagle размещается на одной из станций HP 9000, SPARC или RM-Series, которую можно рассматривать в качестве шлюза (gateway). Шлюз выполняет роль предохранителя между двумя сетевыми интерфейсами: Ethernet, Token Ring, FDDI, последовательная линия или другой "транспорт", передающий IP-пакеты. ПО шлюза принимает пакеты, анализирует и проверяет их на предмет соответствия правилам получения санкции на предоставление или запрет доступа. Если подключение санкционировано, устанавливается связь или туннель (рис.П.2), и шлюз переписывает заголовки пакетов так, что они как бы берут начало из шлюза. Такая возможность гарантирует, что пакеты, выходящие из защищенной сети, содержат информацию только о шлюзе и не содержат никаких данных о внутренней структуре интрасети.
Рис. П.2. Схема подключения EagleRemote для создания туннеля через Internet
Файл санкционирования контроля доступа. Этот файл централизованного контроля содержит описания правил, устанавливаемых и настраиваемых системным администратором. Правила определяют, каким компьютерам дано разрешение на вход или выход из защищенной сети, когда и какие типы доступа разрешены, а также частоту успешных и неудачных подключений. До тех пор пока определенное правило не разрешит доступ внутрь или изнутри защищенной сети, доступ невозможен.
Администратор по безопасности может добавить или изменить таблицы санкционирования доступа только с консоли Gateway. Удаленный вход запрещен.
|
|
|
Контроль за подозрительными действиями. Через систему Eagle можно определить или контролировать подозрительные действия, происходящие в сети. Например, если узел в сети обычно подключается к серверу четыре раза в день, а однажды вдруг сделал 50 подключений, то Eagle автоматически даст сигнал системному администратору через все доступные в данный момент средства - e-mail, пейджер и т.п. В период действия контроля все соединения включены и могут непосредственно участвовать в обработке и генерации отчетов. Эта возможность позволяет поймать предполагаемых сетевых нарушителей в реальном времени, что невозможно при использовании пассивных систем безопасности.
Сервисные процедуры (так называемые демоны). По умолчанию Eagle разрешает доступ к услугам FTP и Telnet, порядок обращения к которым определен в файле санкционирования. Обычно разрешен только SMTP, остальные услуги на хостах запрещены, если они специально не указаны в файле санкционирования. Можно выбрать и другие сетевые услуги, например NNTP и NTP, используя Generic Service Passer.
Аутентификация пользователя. При работе Eagle ограничивает трафик через Gateway к определенному хосту или нескольким хостам, идентифицированньш по сетевому имени или адресу. Кроме того, Eagle может попытаться идентифицировать пользователя, использующего сетевой трафик. Кроме "усиления" средствами аутентификации таких сервисов, как Telnet, FTP и Gopher, в подсистеме EagleLAN применяются три уровня аутентификации пользователя на основе средств криптозащиты S/Key и SecurelD. Такая аутентификация может быть добавлена к любой другой действующей форме санкционирования доступа или подтверждения права на доступ.
Аудитное отслеживание (отслеживание с выполнением проверки). Eagle устанавливает обеспечивающий защиту протокол сообщений, описывающий начало, конец и отказ от подключений, а также содержащий диагностические данные в случае обнаружения подозрительных действий. Такое всестороннее аудитное отслеживание предоставляет ценные данные в случае предпринятого нарушения безопасности. Кроме сохранения зарегистрированных сообщений на диске, можно просмотреть текущее состояние gateway на консоли системы в режиме реального времени.
|
|
|
Системная самопроверка. При установке Eagle вычисляет и хранит для себя контрольную сумму. Во время обычного выполнения операций Eagle периодически осуществляет проверки на предмет вскрытия и нарушения целостности системы. Если обнаруживается какое-либо изменение, Eagle прерывает работу, закрывая сеть для доступа, и уведомляет системного администратора.
Для работы Eagle требуется сервер на базе HP 9000, RM-Series или SPARC и рабочая станция. Сервер Eagle или рабочая станция должны иметь карты двойных сетевых интерфейсов (Ethernet, Token Ring и т.п.), пространство на диске - минимум 500 Мбайт и 32 Мбайт памяти. Клиентский ПК при работе с EagleDesk может работать с любой из популярных сегодня оболочек и ОС Windows: Windows 95 или NT, имеющих драйвер NDIS 3.0 и стек TCP/IP.
3. FireWall-1 фирмы Checkpoint Software Technologies
Fire Wall-1 фирмы Checkpoint Software Technologies (Ramat Gan, Israel, and Lexington, MA) [43, 91, 128-130] достаточно сложен по структуре, но прост в использовании пакетом программных средств для построения защиты и ведения собственной политики безопасности при полном контроле трафика. Firewall-1 включает широкий спектр возможностей по сетевой безопасности - от контроля над доступом до аутентификации пользователя, конфиденциальности и шифрования.
Хотя система Fire Wall-1 и не поддерживает модули анализа пакетов (proxy applications) в традиционном их понимании, возможность обработки пакетов намного более глубокая, чем простой анализ заголовков, встроена в саму ее архитектуру. Вместо того, чтобы передавать пакеты отдельным модулям анализа, система исследует их, используя соответствующий код, интегрированный в ее ядро. Таким образом удается избежать необходимости запуска специальных приложений для каждой сетевой службы и повысить эффективность обработки пакетов. Fire Wall-1 выполняет ряд таких дополнительных функций, как трансляция сетевого адреса, организация закрытых виртуальных сетей, аутентификация пользователей с помощью одноразовых паролей, а также обладает прекрасным набором средств протоколирования событий.
|
|
|
Система обеспечивает:
• полностью защищенное, прозрачное подсоединение;
• многоуровневый контроль (Stateful Multi-Layer Inspection -SMLI), позволяющий обрабатывать все протоколы;
• в полностью интегрированной сети высокий уровень защиты пользователя;
• полную прозрачность сети для пользователей и приложений;
• шифровку с интегрированным управлением по ключу для виртуальных частных сетей;
• строгую аутентификацию пользователя для всех приложений;
• специальные средства проверки и сокрытия от НСД адресов, называемые "целостной реверсивной адресной трансляцией", для прояснения ситуации на интрасети и выявления отклонений от нормы (пояснение будет дано далее в этом же пункте);
• удобный графический интерфейс при инсталляции, работе, контроле и управлении;
• распределенное управление для внутренней и внешней безопасности на предприятии;
• расширяемость и адаптацию к изменяющимся размерам сети, использованию различных протоколов и приложений;
• проверку (аудит), регистрацию и средства оповещения по тревоге в режиме реального времени.
FireWall-1 сочетает преимущества шлюзов приложений и пакетной фильтрации. Эта система контролирует каждую попытку подключения, идентифицирует и блокирует любое несанкционированное подключение. Технология SMLI FireWall-1 позволяет распознать данные в пакете для всех уровней от сетевого (IP-заголовки) до уровня приложения и предоставляет полный контекст циркулирующей в сети информации. Данные, извлеченные из коммуникационных пакетов, хранятся в динамических таблицах, содержащих параметры состояния и контекста, или шифруются и модифицируются для поддержки виртуальных закрытых сетей и адресной трансляции. FireWall-1 обеспечивает полностью интегрированную безопасность для более чем 100 встроенных услуг. Устранение этапов дорогостоящего копирования и выполнения контекстных операций по переключению позволяет устранить задержки при работе этого МЭ и обеспечить скорость передачи на уровне физически максимально возможных полос пропускания.
Продукт FireWall-1 является одним из лучших по производительности. Даже будучи установленным на компьютер Sun SPARC10, он никогда не загружает его центральный процессор больше, чем на 50 %. Если у FireWall-1 и есть недостаток, то он состоит в том, что эта система работает на дорогостоящей платформе Unix.
Аутентификация клиента. Предусмотренная в Firewall-1 аутентификация клиента обеспечивает защищенное, прозрачное и эффективное подключение для всех TCP-, UDP- и RPC-приложений - не требуется модификации сервера или клиента приложений. Администратор может определить, какие серверы и приложения будут доступны, время и дату, а также количество разрешенных сеансов. Пользователю только один раз необходимо подтвердить свое право на доступ, а SMLI-технология обеспечит по возможности высокую производительность сети. Таким образом, неизбежны очень высокие скорости ответных справок и транзакций.
|
|
|
Виртуальные закрытые сети и криптозащита. Полностью прозрачная криптозащита в Firewall-1 предоставляет расширенные возможности по обеспечению конфиденциальности и целостности данных посредством построения виртуальной закрытой сети в рамках Internet. Криптозащита Fire Wall-1 - уровень защиты, предоставляющий дополнительные возможности:
• интегрированное управление по ключу, т.е. генерация и установка всех ключей осуществляется автоматически без административных накладных расходов, при этом обеспечивается связь с подтверждением права доступа;
• In-Place Encryption (криптозащита на месте) - использование DES и FWZ1 с неизменяемой длиной пакета гарантирует эффективную маршрутизацию и полную секретность;
• высокая производительность обеспечивает скорость криптозащиты до 10 Мбайт/с на стандартной рабочей станции.
Прозрачная адресная трансляция. Данная возможность предлагает законченное и эффективное решение в случаях, когда внутренние сетевые IP-адреса должны быть скрыты от постороннего взгляда со стороны Internet или при неверных Internet-адресах. Адресная трансляция в Fire Wall-1 неявно и эффективно поддерживает все услуги в двух направлениях, поэтому нет необходимости модифицировать приложения и схемы IP-адресов. Администратор определяет, какие внутренние адреса должны быть скрыты или отображены. Внутренние хосты можно сконфигурировать доступными из Internet, даже если их IP-адреса неверны. Fire Wall-1 позволяет провести полноценное подключение к Internet для внутренних клиентов с максимальными показателями эффективности для их работы.
Firewall-1 дает возможность воплотить в жизнь любую политику сетевой безопасности, принятую в организации. Весь трафик, не разрешенный для доступа со стороны определенных пользователей, блокируется по умолчанию. Средствами проверочных модулей внутри системного ядра политика безопасности внедряется на всех узлах коммуникаций, содержащих ключи (шлюз Internet, серверы и т.п.). Все семейство IP-протоколов и услуг может быть защищено, включая TCP, UDP, RPC, ICMP и т.д.
Полный контроль и прозрачность. Firewall-1 гарантирует полностью прозрачное подключение для санкционированных пользователей и приложений. Статус-монитор постоянно обеспечивает проверку на правильность выполнения системных операций. Попытки подключения могут быть заблокированы или разрешены, зарегистрированы или использованы для активизации сигнала тревоги в соответствии с требованиями заказчика. На работу сети это не влияет, как и не влияет на установку программных и аппаратных средств, для чего не требуется никаких изменений. Нет необходимости модифицировать приложения, и все возможности полностью интегрируются с редактором GUI Rule Base и блоком просмотра протокола. Системный администратор оповещается обо всех попытках НСД в интрасети в режиме реального времени выбранными во время настройки МЭ из предоставляемого списка средствами.
Fire Wall-1 позволяет системному администратору управлять политикой сетевой безопасности со своей рабочей станции, в случаях необходимости внося соответствующие коррективы. Контроль является полностью распределенным и защищенным по всей системе, что обеспечивает высокий уровень надежности как для работы системы, так и для контрольных проверок. Хотя политика безопасности может осуществляться силами нескольких различных МЭ, направляться на контроль любого количества пользователей, сама по себе это должна быть единая политика, с одной базой правил и единой централизованной регистрацией.
Fire Wall-1 поддерживает все сетевые интерфейсы, протоколы и услуги, совместима с существующими продуктами защиты. Система позволяет взаимодействовать с интегральными маршрутизаторами Bay Networks Wellfeet и Cisco Systems IOS. Для работы системы Fire Wall-1 требуется 10 Мбайт пространства на диске и 16 Мбайт оперативной памяти.
|
|
|
