12.12.2005. Аппаратные брандмауэры. Часть 1.

Как известно, брандмауэр образует основную линию сетевой обороны. В последние несколько лет брандмауэры значительно изменились. Первые брандмауэры были простыми устройствами для проверки пакетов на соответствие заданным условиям, которые обеспечивали безопасность на сетевом уровне модели OSI. В середине и конце 1990-х этот подход был эффективен, так как большинство нападений происходило именно на сетевом уровне. Однако в ХХI веке угрозы стали более разнообразными, в частности стали предприниматься сложные атаки на прикладном уровне. В чем причина перехода взломщиков от сетевого уровня к прикладному? Как говорил гроза банков, знаменитый грабитель Вилли Саттон: «Потому что там деньги лежат».

Пока начинающие хакеры развлекались атаками типа отказ в обслуживании (Denial of Service, DoS) на сетевом уровне, более умелые взломщики поняли, что через сетевые службы можно красть и уничтожать данные, почти не оставляя следов. Это делается не просто для развлечения — воруя и уничтожая данные, они зарабатывают деньги, продавая информацию тому, кто заплатит быстрее и больше, в том числе и потерпевшим компаниям. В результате изменились стандарты безопасности сетевого уровня. В настоящее время для защиты периметра любой сети необходимы как проверка состояния пакетов, так и контроль на прикладном уровне. Одна лишь проверка состояния пакетов не обеспечивает достаточно полной безопасности на сетевом уровне.

В данной статье, состоящей из двух частей, рассматриваются широко распространенные аппаратные брандмауэры и приводятся рекомендации по их применению в зависимости от размера организации, требуемого уровня безопасности и стоимости решения. В первой части статьи рассмотрены решения, оптимальные для малых и средних предприятий с невысокими требованиями к безопасности, а во второй — решения для малых и средних компаний и офисов филиалов, нуждающихся в надежной защите.

Выбор варианта

В настоящее время выбор брандмауэров очень широк, начиная от простого (и бесплатного) Windows Firewall, размещаемого на защищаемой машине, до высокопроизводительных брандмауэров с проверкой состояния пакетов стоимостью в десятки тысяч долларов. Как выбрать оптимальный вариант для конкретного предприятия? При выборе брандмауэра следует учитывать два основных фактора: требования безопасности и стоимость.

Требования безопасности. Требования к безопасности постоянно меняются. Администратор должен сочетать надежную защиту с удобством пользовательского доступа к данным, а также учитывать принципиальные ограничения программ, авторы которых обращали мало внимания на безопасность хост-машины и сети.

Еще один важнейший фактор при оценке требований к безопасности — законодательство, которое определяет деятельность компании. Законы о медицинском страховании (Health Insurance Portability and Accountability Act, HIPAA), модернизации финансовых услуг Грамма-Лича-Блайли (Gramm-Leach-Bliley, GLB, Financial Services Modernization Act), Сарбейнса–Оксли (Sarbanes–Oxley Act) от 2002 г. в США требуют надежной защиты информации определенных типов от кражи и изменения (на всех стадиях обработки и хранения). Кроме того, необходима исчерпывающая процедура аудита, достаточно надежная, чтобы защитить компанию от разорительных гражданских исков, в которых от истца не требуется столь же строгих доказательств, как в уголовном суде.

Ограничения по стоимости. Цена — барьер между желаниями и действительностью. Главное препятствие на пути к высокой безопасности — затраты, которые готов или может нести пользователь. Уровень защиты, обеспечиваемый простым широкополосным маршрутизатором для малого/домашнего офиса с проверкой пакетов, значительно ниже, чем при применении промышленного брандмауэра с проверкой пакетов и контролем на прикладном уровне. В целом чем выше стоимость брандмауэра, тем надежнее защита. Уровень безопасности соответствует затратам, которые несет предприятие (на разовое приобретение аппаратных средств и программного обеспечения или на оплату консультантов по управлению недорогими решениями).

Решения, представленные в статье

Рынок брандмауэров чрезвычайно велик и разнообразен, поэтому невозможно оценить каждого поставщика. Чтобы несколько упорядочить картину, мы выбрали нескольких поставщиков устройств, охватывающих весь спектр надежности и стоимости, от традиционных брандмауэров с проверкой пакетов до смешанных устройств с проверкой пакетов и приложений для устранения универсальных угроз (universal threat management, UTM). В данной статье представлены такие поставщики, как Cisco Systems, Network Engines, Rimapp, SonicWall и Symantec.

Подчеркиваем, что главный акцент в состоящем из двух частей обзоре сетевых брандмауэров для предприятий различных размеров и требований к безопасности сделан на уровне защиты, а не характеристиках маршрутизации или дополнительных функциях устройства. Многие поставщики брандмауэров взимают дополнительную плату за передовые функции маршрутизации, которые никак не влияют на уровень безопасности. Например, не рассматривались маршрутизация на базе политик, качество обслуживания, прозрачность уровня управления передачей данных и другие сетевые усовершенствования, которые мало влияют на общую безопасность.

С другой стороны, продукты некоторых поставщиков располагают функциями Web-кэширования, значительно повышающими общую ценность приобретения для организации, которой не приходится покупать отдельное решение для кэширования. В результате повышается производительность при работе в Web и снижаются общие затраты на эксплуатацию канала Internet. Наличие Web-proxy также повышает безопасность.

Характеристики оценки брандмауэров

Ниже приводится краткий обзор характеристик, которые принимались во внимание при оценке аппаратных брандмауэров. Этот список поможет понять информацию, приведенную в сравнительных таблицах статьи.

Цена. Стоимость конкретных брандмауэров у разных продавцов может сильно различаться. Приведенная в данном обзоре цена отражает стандартный набор функций без дополнительных модулей, которые приходится покупать отдельно. Модули расширения могут значительно повысить указанную цену.

Контроль на прикладном уровне с учетом состояния. Контроль на прикладном уровне с учетом состояния заключается в проверке как заголовков протокола, так и прикладных данных с использованием механизма контроля на прикладном уровне. Примеры — углубленная проверка на прикладном уровне данных и заголовков HTTP, данных и заголовков SMTP, данных и заголовков протокола Instant Messaging (IM).

Контроль прикладного протокола. Контроль прикладного протокола (иначе, углубленная проверка пакетов — deep packet inspection) позволяет анализировать протокол прикладного уровня и подтвердить его соответствие стандартам IETF (Internet Engineering Task Force) для наборов команд протоколов. Примеры — контроль протоколов DNS, FTP, POP3 и SMTP. В процессе контроля прикладного протокола проверка соответствия заданным условиям всех данных на прикладном уровне не выполняется.

Проверка пакетов на соответствие заданным условиям. Данный метод обеспечивает проверку заголовков сетевого и транспортного уровня в механизме фильтрации пакетов брандмауэра. Проверка пакетов на соответствие заданным условиям применяется практически во всех современных брандмауэрах и одно время была стандартным методом защиты.

Прозрачная аутентификация Windows. Благодаря прозрачной аутентификации брандмауэр получает учетные данные пользователя из клиентской операционной системы без постороннего вмешательства. Строгий контроль внешнего доступа пользователей и групп осуществляется без запроса учетных данных пользователя.

Протоколирование всех имен пользователей и приложений Web и Winsock. Протоколирование — обязательное условие для подготовки исчерпывающих отчетов о соответствии законодательству и эффективного сотрудничества с правоохранительными органами. Через протоколирование имен пользователей и приложений Winsock брандмауэр получает информацию о приложениях и ресурсах, доступных пользователю при подключении через брандмауэр.

Контроль на прикладном уровне через туннели SSL (Secure Sockets Layer). Такой контроль позволяет выполнить проверку на соответствие заданным условиям и проанализировать протокол соединения в шифрованном туннеле SSL. Брандмауэры, которые обеспечивают только проверку пакетов на соответствие заданным условиям, не могут контролировать заголовки и данные прикладного уровня в шифрованных туннелях SSL.

Поддержка Microsoft Exchange Server. Брандмауэры со встроенной поддержкой Exchange повышают безопасность удаленных соединений через Internet со службами Exchange, в том числе Outlook Web Access (OWA), Outlook Mobile Access (OMA), Exchange ActiveSync, Secure Exchange RPC и RPC over HTTP. Эта характеристика охватывает встроенные функции двухфакторной аутентификации, например RSA SecurID компании RSA Security.

Контроль шлюзового и клиентского трафика VPN на прикладном уровне. Благодаря контролю шлюзовых и клиентских соединений VPN брандмауэр проверяет как пакеты на соответствие заданным условиям, так и туннельные соединения через PPTP, Layer Two Tunneling Protocol (L2TP)/IPsec или IPsec на прикладном уровне. Контроль на прикладном уровне соединений через канал VPN предотвращает распространение таких «червей», как Blaster и Sasser. Например, брандмауэр ISA Server 2004 компании Microsoft обеспечивает соответствие стандарту вызовов удаленных процедур RPC (remote procedure call) и блокирует Blaster и аналогичные угрозы.

Обнаружение и предотвращение несанкционированного доступа. Методы обнаружения и предотвращения несанкционированного доступа ориентированы на аномалии сетевого и транспортного уровня, угрожающие набору протоколов TCP/IP брандмауэра. Большинство брандмауэров систем обнаружения и предупреждения вторжений Intrusion Detection System (IDS)/Intrusion Prevention System (IPS) можно настроить на пересылку предупреждений администраторам без активных действий или предупреждение с принятием мер для предотвращения нападения. На практике большинство брандмауэров IDS/IPS запрещают попытки несанкционированного доступа в момент обнаружения.

Сервер удаленного доступа VPN и шлюз VPN. Сервер удаленного доступа VPN принимает клиентские соединения VPN от систем и подключает эту систему в корпоративную сеть. Шлюз VPN связывает целые сети через межсайтовое VPN-соединение.

VPN-клиент. Для всех традиционных удаленных клиентских соединений VPN необходима клиентская программа (в бесклиентских SSL VPN в качестве клиента используется браузер). Большинство брандмауэров обеспечивают соединения PPTP и L2TP/IPsec со встроенным в Windows VPN-клиентом от Microsoft. Для некоторых брандмауэров требуются дополнительная (расширенная) клиентская программа VPN, которая обеспечивает проверку соответствия требованиям безопасности клиента VPN, и специальные протоколы IPsec для прохождения трансляции сетевых адресов NAT (Network Address Translation). Эти программы могут предоставляться бесплатно, но иногда их приходится покупать отдельно.

10/100-Мбит/с порты локальной сети. Брандмауэр с несколькими портами Ethernet, выделенными для локальных соединений, обеспечивает более глубокую физическую сегментацию зон безопасности. В некоторых брандмауэрах имеется несколько портов Ethernet, но ограничено число портов, которые могут использоваться для подключения к Internet.

Порты WAN. В некоторых брандмауэрах ограничено число портов для прямого подключения к Internet. В других для этой цели можно использовать сколь угодно много портов.

Балансировка нагрузки. Несколько брандмауэров можно подключить параллельно и балансировать входящие и исходящие соединения через брандмауэр. В идеальном случае соединения равномерно распределяются между брандмауэрами, и результаты работы каждого устройства меняются в лучшую сторону благодаря предотвращению перегрузки отдельных брандмауэров.

Число пользователей. В некоторых брандмауэрах ограничено число пользователей или IP-адресов, которые могут устанавливать соединения через брандмауэр. Эти брандмауэры лицензированы для работы с определенным числом пользователей и, если превышен лицензионный порог, генерируют соответствующее предупреждение.

Передача функций отказавшего брандмауэра исправному устройству. Данная функция позволяет подключить два или несколько брандмауэров таким образом, чтобы они могли обслуживать соединения вместо отказавших устройств. Резервирование может быть «холодным» (без нагрузки), «горячим» (под нагрузкой) или с балансировкой нагрузки. Некоторые процедуры переключения автоматические, а в других случаях требуется вмешательство администратора.

Переключение Internet-провайдера и объединение полосы пропускания. Возможность работы с несколькими Internet-провайдерами — важнейшее требование любой организации, деятельность которой зависит от связи с Internet. Брандмауэры со сменой Internet-провайдеров могут переключаться на работоспособную линию, если связь с одним или несколькими провайдерами прерывается. Объединение полосы пропускания заключается в соединении нескольких линий связи в скоростной канал доступа к ресурсам Internet.

Настройка. Большинство брандмауэров обеспечивают Web-соединения SSL в некоторых или во всех конфигурациях. Некоторые брандмауэры поддерживают интерфейс командной строки в сеансе терминала, а брандмауэры на базе ISA Server обеспечивают шифрованные соединения RDP, совместимые со стандартом обработки информации FIPS (Federal Information Processing Standard).

Процессор. Данная характеристика в пояснениях не нуждается. Она указывает тип и быстродействие основного процессора брандмауэра.

Web-кэширование и proxy-сервер. Некоторые брандмауэры располагают встроенным сервером Web-кэширования. Web-кэширование ускоряет доступ в Internet для конечных пользователей и может существенно понизить нагрузку на канал связи с Internet и соответствующие расходы. Компонент Web-proxy значительно повышает безопасность, полностью разлагая на составные части, а затем проверяя и восстанавливая проходящие через него сообщения HTTP.

Низкий уровень безопасности

Как отмечалось в начале статьи, брандмауэры рассматриваются в соответствии с необходимым предприятию уровнем безопасности. Брандмауэры первого типа предназначены для малых и средних предприятий с низким уровнем безопасности. В слабо защищенной среде важные данные не хранятся в сети или владелец конфиденциальной информации не может либо не хочет платить за сетевой брандмауэр с мощными функциями проверки входящего и исходящего доступа, пакетов и прикладного уровня, исчерпывающее протоколирование действий пользователей и приложений.

Как правило, слабо защищенные сети принадлежат небольшим компаниям с ограниченным бюджетом. Локальная сеть может подключаться к Internet через широкополосный кабельный модем или DSL-соединение с помощью так называемого «широкополосного маршрутизатора» вместо выделенных линий уровней T и выше, более распространенных в крупных организациях. Технически широкополосные маршрутизаторы не относятся к маршрутизаторам, а представляют собой простые устройства NAT. Большинство таких устройств позволяет установить немногочисленные VPN-соединения с использованием фирменных клиентских программ VPN.

Верхняя граница ценового диапазона брандмауэров для среды с невысоким уровнем защиты — около 500 долл. Если на сеть с низким уровнем безопасности не распространяются строгие требования правоохранительного надзора, а компания имеет очень ограниченный бюджет, то следует обратить внимание на продукты Cisco, SonicWall и Symantec, сравнительные характеристики которых приведены в таблице.

Три брандмауэра располагают сходной функциональностью, возможностями и уровнями защиты от внешних угроз. Каждый обеспечивает проверку пакетов на соответствие заданным условиям во входящих соединениях с Internet. Этим маломощным устройствам свойственны существенные ограничения по числу пользователей. Число соединений определяется схемой лицензирования каждого поставщика и возможностями аппаратных средств.

Еще важнее, что эти брандмауэры не располагают средствами контроля входящего и исходящего доступа по пользователям и группам. Функции протоколирования всех устройств примитивны. Отсутствует проверка на соответствие заданным условиям на прикладном уровне. Эти ограничения типичны для недорогих аппаратных брандмауэров.

Из этой тройки мы рекомендуем простое в настройке устройство SonicWall 170, которое работает почти автоматически. SonicWall 170 располагает модемным интерфейсом, благодаря которому возможно переключение на аналоговое модемное соединение в случае отказа основного широкополосного канала связи. Кроме того, в SonicWall 170 на один локальный порт больше, чем в двух других устройствах.

Сетевая безопасность — решающий компонент общей стратегии эшелонированной обороны предприятия. Сетевые брандмауэры — ключевые элементы защиты систем и данных на различных сетевых периметрах. Предприятия с низкими требованиями к безопасности могут выбрать один из брандмауэров из таблицы или другие продукты такого уровня, но для надежной защиты требуются устройства, которые будут рассмотрены во второй части данной статьи.

Таблица. Аппаратные брандмауэры для сетевой среды с невысокой надежностью

Томас Шиндер - Ведущий автор контента для сайта http://www.isaserver.org. Совладелец компании TACteam (Trainers, Authors, Consultants), которая готовит материалы для технических и маркетинговых документов крупных корпораций, в том числе Microsoft. Соавтор книги Configuring ISA Server 2000 (издательство Syngress). tshinder@isaserver.org