Великая "Огненная стена"
АрхивОфисные приложения (архив)Что скрывается за словом firewall и как он работает? Краткий обзор межсетевых экранов, представленных российскими разработчиками.
Межсетевые экраны по-прежнему остаются самым, если не единственным, эффективным средством защиты локальных сетей при подключении к Интернет. Несмотря на то, что идеальной защиты не бывает, мы продолжаем использовать межсетевые экраны - в самом деле, не бросать же двери квартиры не запертыми из-за того, что не существует идеального замка.
С того момента, как грянули "первые залпы" информационной войны, средства нападения (взлома) и защиты соперничали и успешно развивались благодаря друг другу. Сегодняшние межсетевые экраны располагают сложной эшелонированной системой обороны.
Попробуем рассмотреть, что включает в себя идеальный межсетевой экран и определить наши потребности во всех средствах защиты: можно ли обойтись самыми дешевыми или эффективными.
Все экраны по способу их реализации можно разделить на несколько групп:
- аппаратные сетевые экраны, включающие в себя:
- предустановленные на специальные компьютеры;
- встроенные в маршрутизаторы;
- программные межсетевые экраны, которые устанавливаются поверх стандартных операционных систем.
Аппаратные экраны более надежны, поставляются уже установленными и настроенными, но они более дорогие. Программные экраны дешевле, но представляют собой набор "сделай сам", который требует от администратора не только общих знаний об информационной безопасности, но и порой навыков по "уговариванию" операционной системы. Естественно было бы предположить, что они являются наиболее выгодным вариантом для отечественного пользователя. Но, как уже было сказано, экран - не панацея, и последние тенденции говорят о том, что более правильным решением является покупка пакета услуг компании, занимающейся комплексным решением проблем информационной безопасности. Тем более, что рынок и здоровая конкуренция сделали такие услуги качественными, повсеместными и достаточно дешевыми.
Итак, межсетевой экран, который еще ошибочно называют файерволом (от firewall - "огненная стена"), включает в себя фильтр пакетов (именно он как раз и называется файервол). Эта служба может быть как встроенной в ядро операционной системы, на которой работает экран, так и устанавливаемой отдельно. Думаю, что ни у кого не вызовет сомнений, что фильтр пакетов, интегрированный в ядро, надежнее, хотя бы потому что создается теми же разработчиками, а они лучше знают особенности своей операционной системы. А вот, например, некоторые файерволы, разрабатываемые на базе операционной системы Windows, полностью заменяют "родной" TCP/IP-стек на свой собственный. В некоторых случаях меняются не только протоколы и службы, но даже драйвера сетевых адаптеров, что, естественно, не добавляет надежности системе и налагает определенные ограничения на оборудование.
Фильтр пакетов осуществляет работу с трафиком на низком уровне, определяя, пропустить или задержать пакет в зависимости от адреса его отправителя, получателя или TCP-службы. Это позволяет закрывать отдельные "подозрительные" адреса, с которых возможна атака, либо фильтровать обращения из внешней сети к тем службам, к которым пускать посторонних не хотелось бы...
Фильтр эффективен против простейших случаев атак и не может спасти от взлома, при котором проводится подмена IP-адреса. В этом случае производится маскировка атакующего под доверенный хост, - и фильтр пакетов доверчиво работает со взломщиком. Кроме того, фильтр прозрачен для различного рода некорректных пакетов, направляемых клиенту, поскольку не проверяет их содержимое.
Для того чтобы избавиться от недостатков фильтра пакетов, в добавление к нему используются различные прокси-серверы. Прокси-сервер получает запросы от клиентов, работает с внешними службами, получая ответы от них, и передавая ответы клиентам. При этом соединения от клиента к серверу напрямую не осуществляются, и риск взлома клиентов сведен к нулю. Прокси-серверы могут также осуществлять проверку содержимого входящего трафика и блокировать его в случае обнаружения некорректностей.
Прокси могут быть как специализированные (http, ftp), так и универсальные, которые позволяют работать практически любым клиентом (наиболее известный - socks). Использование аутентификации клиентов позволяет разграничивать их полномочия и вести журналы их работы. Наиболее часто распространенный тип прокси-сервера - это прокси-кэш, обеспечивающий работу клиентов (броузеров) с веб-страницами, одновременно сохраняющий часто запрашиваемые страницы в своей памяти. Помимо всех вышеописанных преимуществ, они существенно повышают скорость работы с Интернет, потому что при возможности выдают клиентам информацию из кэша, уменьшая тем самым внешний трафик.
При подключении частных сетей нередко возникает необходимость скрытия истинных адресов внутренней сети. Это делается как из простых экономических соображений - за адресное пространство надо платить, так и по требованиям безопасности. В этом случае для внешних наблюдателей сеть представлена только одним адресом - внешним интерфейсом межсетевого экрана. Для осуществления сокрытия адресов используется следующая функция межсетевого экрана - трансляция адресов. При этом для локальной сети, как правило, используются адреса из специальных диапазонов, в которые нет маршрутизации из Интернет. [1]
Для организации виртуальных частных сетей в межсетевых экранах используются средства канального шифрования. Эта служба зашифровывает трафик при передаче через Интернет. На приемной стороне трафик расшифровывается и вводится в локальную сеть филиала предприятия. Люди, работающие в разных офисах, могут даже не замечать, что их компьютеры располагаются в сетях, удаленных друг от друга. Для сохранения конфиденциальности информации используются специальные шифры, которые не позволяют анализировать трафик, передаваемый по открытому сегменту виртуальной частной сети. Эта функция может не потребоваться небольшой компании, но для гигантов, имеющих сеть филиалов в разных городах, она воистину незаменима.
Одним из новых свойств межсетевых экранов стала антивирусная проверка почты, сообщений новостей, прилагаемых файлов и прочего трафика, проходящего сквозь экран. Для этого используются антивирусы, внедряемые в программное обеспечение межсетевого экрана. Эта функция все увереннее становится более востребованной, учитывая эпидемию вирусов и троянов, захлестнувшую Интернет.
Итак, каким должен быть межсетевой экран, установленный для защиты Вашей локальной сети? Думаю, вывод сделать достаточно просто: он должен содержать элементы, необходимые именно Вам, быть достаточно дешевым и иметь пакет услуг сопровождения и обучения персонала. На отечественном рынке сейчас уже имеется достаточно большой выбор качественных систем защиты локальных сетей, отвечающих приведенным выше требованиям. Приведу лишь несколько примеров удачных, на мой взгляд, решений:
1. Комплексное решение по защите сетей на базе Guardian Firewall. Включает систему мониторинга соединения, NAT, систему распределения Интернет-трафика (Канал 128 Кб/с). До 25 IP-адресов. На нашем рынке сразу несколько компаний взялись за продвижение этого продукта.
2. Программно-аппаратный комплекс "Континент-К" (НПО "Информзащита") обеспечивающий защиту внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования. Комплекс имеет дополнительные функции: сокрытие внутренней структуры защищаемых сегментов сети, защиту (шифрование, имитозащиту) данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами), безопасный доступ пользователей VPN к ресурсам сетей общего пользования, аутентификацию удаленных абонентов системы, централизованное управление защитой сети.
3. Межсетевой экран "Застава-Джет". Семейство межсетевых экранов "Застава-Джет" предназначено для защиты корпоративной сети или наиболее важных сегментов такой сети от внешних угроз. За счет фильтрации потоков данных на прикладном уровне "Застава-Джет" обеспечивает повышенный уровень безопасности при тонком разграничении межсетевого доступа.
4. Межсетевой экран "Эгида" (компания "Атанор"). Система для малого и среднего бизнеса, а также для индивидуальных пользователей. Модульная конструкция позволяет не перегружать комплекс лишними функциями, а устанавливать только те модули, которые необходимы заказчику. Экран построен на базе UNIX-подобной операционной системы, при приобретении предусматривается комплекс услуг по установке, настройке, обучению и сопровождению.
[1] Подобным образом работают такие известные программы, как WinProxy и WinGate. (прим. редактора)
[обратно к тексту]
