PC Magazine/RE logo
(С) СК Пресс 8/96
PC Magazine, March 12, 1996, p. NE1

Средства защиты сетей: ваш оборонительный рубеж

Падрик Бойл


Сеть Internet обрела бы много больше деловых пользователей, если бы не была столь "открытой".

По сообщениям прессы все знают о хакерах, взламывающих компьютерные системы по всему миру. Некоторые занимаются взломом ради острых ощущений, другие - ради наживы. В любом случае подобна деятельность представляет собой серьезную угрозу корпорациям. Одним из способов отражения атак хакеров и любопытных является установка защитной системы между вашей защищенной сетью и сетью Internet, которая не имеет защиты.

Чтобы выяснить возможности защитных систем, мы рассмотрели пять продуктов такого рода. Поскольку сеть Internet во многом еще основывается на ОС UNIX, мы исследовали пакеты для рабочих станций семейства SunSparc, использующих ОС SunOS 4.1.3 или Sun Solaris 1.1 либо 2.x. Появление защитных систем для ОС Windows NT ожидается в не столь отдаленном будущем. Интересно отметить, что каждый из продуктов по-разному взаимодействует с операционной системой.

Пакеты Black Hole фирмы Milkyway Networks и CheckPoint FireWall-1 фирмы CheckPoint Software Technologies обеспечивают внесение изменений в системе SunOS или Solaris. Пакет FireWall-1 представляет собой "надстройку" над системами HP/UX и Solaris X86. Пакет Eagle фирмы Raptor Systems вносит изменение в ядро существующей SunOS, а Gauntlet Internet Firewall фирмы Trusted Information Systems (TIS) преобразует существующую Sun OS, но выпускается также в виде модифицированной версии ОС BSD/OS фирмы Berkeley Software Design. Пакет ANS InterLock фирмы ANS CO+RE Systems обеспечивает внесение изменений в систему Solaris.

Подготовка к борьбе

Защитный барьер (firewall) - это устройство или группа устройств, расположенных между защищенной (вашей внутренней сетью) и незащищенной (Internet) сетями. К числу многих задач шлюза относятся аутентификаци пользователей, ограничение входящего и исходящего трафика, регистрация информации о трафике, формирование отчетов о трафике и предотвращение несанкционированного доступа к вашим службам. Защитная система обычно устанавливается на маршрутизаторе или на главном UNIX-компьютере.

Два основных типа защитных систем - это фильтры пакетов и шлюзы прикладного уровня. Третий тип - шлюзы уровня цепей как автономный продукт встречаются не часто, а четвертый - комбинированный (stateful inspection) используется в настоящее время только в системе Check Point FireWall-1 (в широкой продаже известной также под названием Sunsoft Solstice FireWall-1). Большая часть рассматриваемых здесь продуктов относится к категории шлюзов прикладного уровня.

Большинство администраторов сетей лучше знакомы с фильтрами пакетов (packet filters), хотя они могут и не осознавать этого. Одним из примеров фильтра пакетов может служить маршрутизатор, в частности, маршрутизаторы фирмы Cisco. Маршрутизатор представляет собой "главный вход" в ЛВС, фильтрующий нежелательный трафик на основе адресов отправителя и получател пакета, а также номера порта, содержащегося в заголовке IP-пакета. Маршрутизаторы - это самое дешевое решение для фирм, интересующихся только такими службами, как электронная почта или средства передачи файлов FTP.

Администраторы ЛВС с выходами на региональные сети все в большей степени осознают достоинства маршрутизаторов и все чаще используют их в качестве надежных развязывающих устройств. Однако маршрутизаторам присущи и недостатки: ограниченные возможности регистрации, иногда сложности в настройке конфигурации, в них отсутствуют надежные схемы аутентификации пользователей и их можно обмануть с помощью "спуфинга".

"Спуфинг" (spoofing) - это способ обмана маршрутизатора, попытка "убедить" маршрутизатор, что пакеты приходят от известного и проверенного источника. Такой прием отличается особым коварством и полюбилс людям, вовлеченным в экономический шпионаж.

Для аутентификации и фильтрации транзакций между пользователями и главным компьютером в шлюзах прикладного уровня применяются агенты (proxies). Агент представляет собой резидентную программу на компьютере защитной системы, которая выполняется каждый раз, когда пользователь запрашивает доступ за пределы защищенной зоны. Для передачи транзакции клиентский компьютер взаимодействует с агентом. Действия агента могут быть невидимыми для конечного пользователя либо администратор перед предоставлением доступа к конкретной службе может потребовать от пользовател некоторой аутентификации.

К числу недостатков применения агентов можно отнести то, что они имеются не для всех служб и требуют повышенного внимания со стороны администраторов сетей при появлении новых услуг.

Шлюзы уровня цепей чаще всего используются дл фильтрации исходящего трафика. Комбинированный метод (stateful inspection) предусматривает сочетание фильтрации пакетов и шлюзов прикладного уровня.

Помимо продуктов, рассмотренным в нашем основном обзоре, мы также исследовали другие шлюзы прикладного уровня, которые либо работают на недорогих ПК с 486- или Pentium-процессором, либо требуют специального оборудования и программного обеспечения. (См. врезку "В защите более активные игроки".)

Шаги к барьеру

Если вас не устраивает решение, основанное на TCP/IP и UNIX, вам захочется, возможно, пригласить консультанта, знающего эту область. Фирма TIS предоставляет полный пакет услуг, включающий поставку программных средств, установку системы на месте эксплуатации, настройку конфигурации и тестирование (вы оплачиваете транспортные расходы). Дополнительно и за отдельную плату предоставляются услуги по обследованию и оценке вашей сети с точки зрения безопасности. За 25 тыс. долл. в год фирма ANS предлагает услуги, включающие установку оборудования и программного обеспечения, а также обслуживание защитных систем. Но помните: большинство проблем безопасности имеют чисто административную, а не электронную природу. Вы должны обладать значительным опытом защиты сетей и к тому же располагать надлежащим оборудованием.

Размещение защитной системы зависит от главных компьютеров, которые вам нужно защитить, и архитектуры вашей сети. Маршрутизатор обычно устанавливается между Internet и внешней сетью.

Главный компьютер с установленной защитной системой блокирует доступ со стороны Internet и внешней сети дл всего, кроме входящей электронной почты. На бастионном главном компьютере (bastion host) содержится вс информация, которую ваша организация предоставляет пользователям Internet. Этот компьютер защищен только маршрутизатором и подвержен риску "взлома".

Убедитесь, что ежедневно обеспечивается полное резервное копирование. Следует также рассмотреть вопросы установки в главный компьютер с защитной системой третьей интерфейсной платы, не соединенной с маршрутизатором, и переноса бастионного компьютера в более безопасное окружение, где вся деятельность может контролироваться и фиксироваться в регистрационном журнале. Для усиления защиты доступ к вашему бастионному компьютеру можно ограничить с помощью разных правил, следствием соблюдения которых будет вызов дополнительных функций защиты.

Безопасность

Если удаленным пользователям или пользователям Internet необходим доступ через защитную систему, дл проверки их полномочий можно воспользоваться, например, процедурой аутентификации. К числу наиболее широко распространенных систем аутентификации относятся S/Key фирмы Bellcore, SecureNet Key фирмы Digital Pathways, SafeWord и Kerberos фирмы Enigma Logic, а также SecurID фирмы Security Dynamics.

Во всех этих системах аутентификации для проверки полномочий доступа к службам на защищенной стороне применяются разные варианты парольной защиты - либо одноразовые пароли или пароли, действующие в течение ограниченного времени, либо процедуры запроса и подтверждения. Когда пользователи входят в вашу систему через Internet, существует возможность, что их пароли могут быть перехвачены и использованы против них. В схемах парольной защиты применяются одноразовые пароли, меняющиеся всякий раз после установления подлинности данных пользователей. В каждой из рассмотренных здесь защитных систем применяется одна или большее число указанных выше схем аутентификации.

Другое средство защиты, обеспечиваемое всеми рассмотренными здесь системами, - формирование виртуальных частных сетей (virtual private networking - VPN). Средства VPN позволяют удаленным пользователям организовать частное сетевое соединение через Internet. Защитные системы на одном узле шифруют данные и затем пересылают их через Internet на другой узел, оснащенный такими же системами и схемами шифрования. Там данные принимаются и расшифровываются.

Наиболее распространенные алгоритмы шифровани удовлетворяют стандарту DES (Data Encryption Standard), однако законы США ограничивают экспорт продуктов, основанных на этом стандарте. Фирма CheckPoint обходит это ограничение и продает пакет шифрования собственной разработки FWZ1; фирма TIS применяет схему под названием swIPe. На рынок поступают и другие системы шифрования - фирм Microsoft и Sun, но пока они не используются ни в одном из рассмотренных здесь продуктов.

Дополнительную информацию о защитных шлюзах можно найти в следующих книгах: Chapman and Zwicky, Building Internet Firewalls, Cheswick and Bellovin, Firewalls and Internet Security, Hare and Siyan Internet Firewalls and Network Security.

Редакция советует: Gauntlet Internet Firewall

Ваша защитная система - это основное средство против злоумышленников. Размышляя о том, какую систему рекомендовать, мы пришли к выводу, что дл защиты сети нужно устройство типа "черного ящика". По-видимому, из продуктов, представленных в данном обзоре, наилучшие шансы на справиться с такой ролью имеет система Gauntlet Internet Firewall фирмы Trusted Information Systems, удостоенная отличи "Редакция советует".

Хотелось бы с самого начала установить систему безукоризненно, чтобы потом не беспокоиться о ней и не трогать ее, за исключением внесения необходимых изменений. Шлюз прикладного уровня Gauntlet предоставляет вам все необходимые средства. В текущей версии системы отсутствует графический интерфейс, но ее текстовые меню работали прекрасно.

Более того, фирма TIS превосходит конкурентов и в том, что обеспечивает установку на месте, тестирование и обучение - и все это только за оплату транспортных расходов технических специалистов. По нашему мнению многим фирмам, когда они серьезно начнут работать с Internet, понадобится помощь консультантов по безопасности сетей. Так почему не получить консультации непосредственно у изготовителя? Почетного упоминания заслуживает также система Check Point FireWall-1. В ней используетс нестандартный подход к реализации фильтрации и к функциям "привратника", но система определенно справляется со своей задачей. Весьма привлекательны также и цены на систему для небольшого числа пользователей.


Milkyway Networks Corp.

Большинству потенциальных сетевых взломщиков не удастся ускользнуть от этой "Черной дыры" (Black Hole). Защитная система фирмы Milkyway Networks Corp., работающая в среде ОС Solaris, обладает всеми необходимыми функциональными возможностями. Хот графический интерфейс и процедура инсталляции продукта могут быть усовершенствованы, во всем остальном это хорошее решение.

Как и при использовании всех остальных рассмотренных здесь продуктов для управления доступом через систему защиты в Black Hole применяется набор правил. В программе имеется форма правил по умолчанию, получивша название Tile, с помощью которой, пользователь формирует свой набор правил доступа. Для внесени изменений в правила используются всплывающие меню.

В пакет Black Hole включено наибольшее из известных нам число агентов: DNS request, DNS zone, FTP, Gopher, http, NNTP, SMTP и telnet. Для нестандартных служб или будущих применений дополнительно предлагаются родовые агенты TCP и UDP.

В меню пакета содержится широкий выбор методов аутентификации, в том числе S/Key фирмы Bellcore, SafeWord фирмы Enigma Logic, SecurID фирмы Security Dynamics и выбор пароля UNIX. В нынешнем году ожидаетс появление агента SSL фирмы Netscape.

При инсталляции Black Hole применяется специальный подход, который вы, возможно, и не оцените. Инсталлируется модифицированная версия ОС SunOS 4.1.3 (Solaris 1.1), которая уничтожает всю имеющуюс информацию на вашем компьютере Sun Sparc. Сначала вы должны загрузиться с прилагаемого компакт-диска, содержащего SunOS, а затем переключиться на компакт-диск с пакетом Black Hole. (Фирма Milkyway работает совместно с Sun над последующими версиями пакета, которые будут непосредственно загружаться с компакт-диска.) Кроме того, мы обнаружили, что некоторые приглашения, выдаваемые во время инсталляции не очень понятны, и нам пришлось несколько раз обращаться к документации.

После инсталляции система автоматически запускает OpenWin и появляется графический интерфейс пользовател (ГИП) Black Hole. При всей его гибкости и дружественности ГИП данного пакета не столь интуитивно понятен, как другие, например, ГИП фирмы Raptor. В верхней части экрана расположены кнопки, обеспечивающие быстрый доступ к часто используемым операциям, но вам, возможно, будет нелегко усвоить их без обращения к технической документации.

Фирма Milkyway предоставляет ряд средств, способных помочь вам в случае проникновения злоумышленника через защитную систему. У вас имеется возможность, например, установить внешнюю программу, блокирующую весь трафик через шлюз. Сигналы тревоги можно передать по электронной почте или на пейджер. Пакет генерирует административные отчеты, включающие такие сведения, как число транзакций в час и адреса первых десяти получателей.

Black Hole, Version 2.02
Цена, рекомендуемая изготовителем: 5 одновременных сеансов - 2900 долл.
Milkyway Networks Corp., Ottawa, Ontario, Canada; 800-499-2530, 613-596-5549;
http://www.milkyway.com

CheckPoint Software Technologies Inc.

Среди довольно похожих продуктов выделяется пакет CheckPoint FireWall-1, Version 2.0 (цена от 4900 долл. за 50 узлов). FireWall-1, один из наиболее дружественных пользователю продуктов, предлагает уникальное решение проблемы безопасности в среде Internet.

В отличие от других рассмотренных пакетов в FireWall-1 не применяются агенты, а используетс комбинированный метод фильтрации пакетов и шлюза прикладного уровня, названный фирмой-изготовителем stateful inspection. Как сообщает фирма CheckPoint, подобный подход устраняет ограничения, связанные с числом имеющихся агентов и позволяет легко адаптироваться к непрерывно возрастающему списку новых служб Internet.

Изящный графический интерфейс CheckPoint FireWall-1 оказался простым в использовании и, в частности, в навигации. Без каких-либо затруднений можно добавлять главные компьютеры, отдельных пользователей или целые их группы. Управление системой защиты также было простым. Вы можете легко установить правила, моделирующие политику безопасности вашей фирмы в отношении внешнего и внутреннего трафика, а также контроля доступа.

Для просмотра установленных правил достаточно лишь взглянуть на небольшие пиктограммы. Для определени состояния защитной системы в реальном времени большую помощь окажет журнал предупреждений. Он будет также полезным для создания фильтров, если вы планируете использовать новые прикладные программы, службы или перспективные протоколы.

Если в вашей сети действует несколько защитных систем, можно с одной станции "навязывать" разработанные вами правила безопасности нескольким главным компьютерам с пакетом FireWall-1. Пользователи, нуждающиеся в безопасном дистанционном доступе, могут воспользоваться системой шифрования S/Key фирмы Bellcore, включенной в состав пакета FireWall-1, либо системой SecurID фирмы Security Dynamics, котора продается отдельно.

Пакет FireWall-1 позволяет организовывать виртуальные частные сети в Internet с помощью комбинации схемы шифрования DES фирмы RSA Data Security, схемы FWZ1 собственной разработки фирмы CheckPoit и других схем цифрового шифрования. Модули шифрования и аутентификации продаются отдельно и стоят 2990 и 7990 долл. соответственно.

Дополнительно к рассмотренной нами версии FireWall-1 для ОС Solaris 2.4 фирма CheckPoint предлагает также версии пакета для Solaris 2.3, SunOS 4.1.x и HP/UX 9 и 10. И подобно пакетам BorderWare и Sidewinder система FireWall-1 работает на платформах Intel 486 или Pentium под управлением ОС Sun Solaris x86. Фактически фирма CheckPoint является изготовителем комплексного оборудования для пакета Sunsoft Solstice FireWall-1 фирмы Sun.

CheckPoint FireWall-1, Version 2.0
Цена, рекомендуемая изготовителем: для 50 узлов - 4490 долл.; для 250 узлов - 9990 долл.; для неограниченного числа узлов - 18900 долл.
CheckPoint Software Technologies Inc., Redwood City, CA; 800-429-4391, 415-562-0400;
http://www.checkpoint.com

Raptor Systems Inc.

Речь идет не о динозавре. На рынке имеется целое семейство продуктов фирмы Raptor Systems, предназначенных для защиты как простых, так и сложных сетей. В данном обзоре рассматривается защитная система Eagle 3.0, сочетающая в себе эффективные средства обеспечения безопасности с простым в использовании ГИП при разумной цене - 7000 долл. для 50 пользователей.

Подобно другим рассматриваемым здесь продуктам Eagle 3.0 представляет собой шлюз прикладного уровня, в котором для организации прозрачного, безопасного доступа между внутренней сетью и внешним миром применяются агенты. В состав пакета входит сравнительно ограниченный набор агентов по умолчанию, в том числе FTP, Gopher, http и telnet.

К сожалению, агент SMTP должен быть сконфигурирован через системные команды UNIX. В следующей версии агент электронной почты будет встроен в графический интерфейс. Если агенты по умолчанию не удовлетворяют вашим потребностям, в пакете Eagle есть родовой агент, обеспечивающий доступ к нестандартным или новым прикладным программам и протоколам.

Инсталляция описываемого продукта оказалась одной из самых простых, среди тех, которые мы видели. Пакет Eagle выполняет простые корректировки ядра уже установленной на главном компьютере ОС SunOS 4.1.3. Текстовое меню проводит вас через процедуры инсталляции и базового конфигурирования программного обеспечения. Для простоты использования программа автоматически добавляет Eagle в меню OpenWin системы SunOS.

С помощью графического интерфейса легко производитс определение утвержденных главных компьютеров, индивидуальных пользователей и групп пользователей. Правила управления доступом устанавливаются посредством формы по умолчанию и набора контрольных индикаторов и списков. Правила вступают в силу немедленно после их сохранения в защитной системе. Используя ГИП, можно устанавливать пороги срабатывания тревожной сигнализации и настраиваются устройства приема сигналов предупреждения, включая звуковые устройства, электронную почту, телефакс, журнальный файл, пейджер или ловушки SNMP.

Для усиления защиты при доступе извне во всех испытанных нами системах применяется аутентификаци того или иного вида. Пакет Eagle включает в себ систему S/Key фирмы Bellcore и может работать с карточками SecurID фирмы Security Dynamics. Помните, однако, что программное обеспечение SecurID вам придется приобретать отдельно.

Среди продуктов фирмы Raptor следует отметить также EagleLAN - систему защиты подразделенческих сетей, EagleDesk - систему защиты настольных ПК во внутренних сетях, EagleRemote - средство организации виртуальных частных сетей удаленных пользователей через Internet и пакет EagleNomad, предназначенный для мобильных пользователей, которым необходим удаленный доступ к своим внутренним сетям через Internet.

Eagle 3.0
Цена, рекомендуемая изготовителем: лицензия на 50 пользователей - 7000 долл.
Raptor Systems Inc., Waltham, MA; 800-932-4536, 617-487-7700;
http://www.raptor.com

Trusted Information Systems Inc.

Для успеха требуется сочетание правильно выбранных компьютеров и надлежащих методов их соединения. Дополнительно к высокому качеству системы Gauntlet Internet Firewall фирма Trusted Information Systems (TIS) предлагает ее бесплатную установку на месте, тестирование и обучение (вы оплачиваете только транспортные расходы). Система действительно проста в установке, но фирма TIS считает, что превосходна инсталляция и хорошее обучение являются ключевыми элементами надежной защитной системы.

Когда мы работали над этой статьей, в фирме TIS шла подготовка к выпуску версии 3.1, содержащей помимо прочего графический интерфейс. Эта версия должна быть выпущена ко времени публикации данной статьи. В текущей же версии для добавления новых пользователей и групп пользователей, а также для настройки системы и управления трафиком вам придется пользоваться набором текстовых меню.

Система Gauntlet действует как шлюз прикладного уровня и выпускается в двух вариантах. Как чисто программное решение (цена 11 500 долл.) она инсталлируется на существующие главные компьютеры с ОС BSD UNIX, HP/UX или SunOS. В варианте "под ключ" (15 000 долл.) система устанавливается на Pentium-платформах.

Для реализации правил сетевого трафика в Gauntlet применяются агенты, в том числе FTP, http, NNTP, rlogin, SMTP, telnet и XяWindow (X11). Как и в ANS Interlock, для добавления появляющихся новых служб и протоколов в системе Gauntlet имеется обобщенный агент (вставной шлюз).

Агенты отслеживают и регистрируют проходящий через защитную систему трафик. Вы можете сконфигурировать тревожную сигнализацию для предупреждения о незаконных действиях. Система автоматически формирует отчеты, в которых фиксируются аномалии, и вы можете получить эти отчеты по электронной почте или принять на пейджер.

Система Gauntlet обеспечивает надежную аутентификацию на базе широкого набора средств сторонних фирм, в том числе S/Key фирмы Bellcore, SecureNet Key фирмы Pathways, SafeWord фирмы Enigma Logic и SecurID фирмы Security Dynamics. С помощью протокола swIPe возможна организация виртуальных частных сетей в Internet.

Если вы хотите создать свою собственную защитную систему, фирма TIS предлагает бесплатный набор инструментальных средств, который можно получить по адресу: ftp://ftp.tis.com/pub/firewalls/toolkit/fwtkvl.3.tar.Z. Перед загрузкой файла прочтите заявление об отказе от прав и файл README. Этот набор не обеспечен щедрым сервисом фирмы TIS, однако минимальная техническа поддержка предоставляется.

В версию 3.1 системы Gauntlet будут включены ГИП плюс SSL, защищенный http, коммерческая поддержка депонирования ключа шифрования третьими лицами, почтовая система POP3 и агенты печати LP.

Gauntlet Internet Firewall 3.0
Цена, рекомендуемая изготовителем: только программное обеспечение - 11500 долл.; система "под ключ" - 15000 долл.
Trusted Information Systems Inc., Rockville, MD; 301-527-9500;
http://www.tis.com

ANS CO+RE Systems Inc.

В любой системе защиты приятно обнаружить мощные средства регистрации и отчетности, а также возможность аутентификации в Web. Все эти возможности имеются в гибкой системе ANS Interlock, Version 3.05 фирмы ANS CO+RE Systems. Однако предупреждаем: эта верси довольно дорогая, в ней отсутствует действительно графический интерфейс, и - что хуже всего - она может работать максимум с двумя интерфейсными сетевыми платами в главном компьютере.

Система Interlock представляет собой шлюз прикладного уровня. Мы тестировали конфигурацию, цена которой составляет 25 тыс. долл. в год за аппаратуру и программное обеспечение. Подобно фирме TIS, фирма ANS обеспечивает инсталляцию, обучение и ежедневную круглосуточную техническую поддержку.

В систему включены все наиболее распространенные агенты, в том числе FTP, Gopher, http, News, NTP, SMTP, SSL, telnet и X Window. Дополнительно для адаптации к будущим прикладным программам и протоколам предоставляются обобщенный шлюз TCP и агент UDP.

Установка системы Interlock оказалась легкой. С загрузочного CD-ROM инсталлируется модифицированна версия ОС Sun Solaris 2.x, и все установочные процедуры проводятся с помощью текстового меню. Вам предоставляется установка пороговых значений.

Основанная на текстовом меню, но интуитивно понятна утилита администрирования позволяет легко добавлять новых пользователей и группы пользователей. Доступ индивидуальных пользователей, групп пользователей или тех и других вместе ко всем службам регламентируется на основе базового правила (меню) Access Control.

Однако в отличие от Gauntlet Internet Firewall система Interlock не обеспечивает прозрачных внешних соединений для пользователей, расположенных в пределах защищенной сети. Они сначала должны соединиться с защитным шлюзом и только затем с нужным выбранным узлом. Фирма ANS в будущем намеревается пересмотреть это решение.

В систему Interlock включены мощные схемы аутентификации пользователей, включая DES gold Card и Kerberus фирмы Enigma Logic, а также SecurID фирмы Security Dynamics. Ограничение доступа регулируетс различными параметрами.

Дополнительно в пакет может быть включена уникальна факультативная схема аутентификации и регистрации, требующая от пользователей вводить свое имя и пароль при каждом соединении со службой World Wide Web.

Вы сможете много узнать о работе вашей защитной системы из рабочего журнала. Пакет Interlock позволяет формировать 43 вида отчетов, предоставляющих исчерпывающую информацию по всем службам. Основным техническим недостатком пакета следует считать ограничение конфигурации только двумя сетевыми адаптерами.

Новая версия Interlock 3.1 должна появиться в марте 1996 г. Она будет содержать графический интерфейс, процессор телеобработки данных на основе языка HTML, сможет работать с множественными сетевыми адаптерами на главном компьютере, а также обеспечивать выполнение внешних программ. Будет также реализована пересылка сигналов предупреждений по электронной почте, на пейджеры и в ловушки SNMP.

ANS Interlock, Version 3.05
Цена, рекомендуемая изготовителем: 25 тыс. долл. в год.
ANS CO+RE Systems Inc., Reston, VA; 800-456-8267, 703-758-7700;
http://www.ans.net

В защите более активные игроки

Падрик Бойл

Защитные системы типа firewall предлагаются во многих разнообразных вариантах - одни как чисто программное решение, другие как программно- аппаратные комплексы "под ключ". В продуктах, рассмотренных в основной части обзора, используютс комбинации рабочих станций Sun Sparc ценой между в пределах от 8000 до 15я000 долл. и модифицированных версий ОС SunOS или Solaris.

Иной подход применен в двух других защитных системах. Они также работают в среде ОС UNIX, но на менее дорогих аппаратных платформах. Системы Sidewinder фирмы Secure Computing и BorderWare Firewall Server фирмы Border Technologies устанавливаются на x86-платформах (с ЦП 486 или Pentium) и имеют цены в пределах от 1000 до 3500 долл. Еще одна система - CyberGuard Firewall фирмы Harris Computer Systems работает на специализированной платформе изготовителя.

Все три указанные системы - это шлюзы прикладного уровня с использованием агентов (фирма Harris утверждает, что в CyberGuard реализована также фильтрация на уровне пакетов и цепей). В каждой из них для навигации в процедурах конфигурирования и управления используются текстовые меню и клавиши управления курсором. И хотя в этих системах отсутствует графический интерфейс, предлагаемый некоторыми другими изготовителями, они интуитивно понятны и просты в применении.

Основанные на модифицированной версии UNIX- подобной ОС BSD/OS фирмы Berkeley Software Design, защитные системы BorderWare и Sidewinder при меньшей цене обладают характеристиками, присущими системам, основанным на более дорогих Sparc-платформах. Но ни один из этих продуктов нельзя установить на любой Pentium-ПК; для каждого требуется специфическое оборудование.

Фирма Secure Computing предлагает системы "под ключ", объединяя свой программный продукт Sidewinder с Pentium-ПК фирм Compaq или Digital (цена 29 995 долл.; только программное обеспечение - 19 995 долл.). Поддержка программного обеспечени осуществляется фирмой Secure Computing, а технических средств - изготовителем ПК. В системе применяется метод защиты, основанный на принудительных мерах безопасности по отношению к доменам сети (domain type enforcement), в котором устанавливаются правила доступа или отказа в доступе к службам.

С другой стороны, пакет BorderWare (25 защищенных пользователей - 4000 долл.; 100 пользователей - 7000 долл.; неограниченное число пользователей - 11 000 долл.) работает на любом ПК 486 (для большего числа пользователей рекомендуется Pentium) с установленным специальным оборудованием. Под термином "специальное" мы подразумеваем ограниченное число типов жестких дисков, контроллеров жестких дисков и сетевых адаптеров, с которыми совместимо программное обеспечение BorderWare. Когда надлежащее оборудование скомплектовано и установлено, можно приступать к работе.

Система BorderWare относится к классу "все в одном" и включает защищенные версии наиболее распространенных служб Internet, в том числе двойную (внешнюю и внутреннюю) службу имен доменов (Domain Name Services - DNS), Finger, FTP, SMTP и Web-серверы. Хотя все службы защищены, многие администраторы сетей не захотят загружать их на те же компьютеры, где установлена защитная система. Между прочим, эта конфигурация является частью серии недорогих защитных систем фирмы Digital.

Система CyberGuard (24995 долл. за программное обеспечение и оборудование) фирмы Harris Computer Systems устанавливается на шасси собственного изготовления с процессором Motorola 88100 и работает под управлением ОС System 5 UNIX, называемой CX/SX. Система поставляется в виде сконфигурированного комплекса "под ключ". Модель, с которой мы ознакомились, представляет собой "раздетую" кузину более мощной версии, установленной в правительственных и военных учреждениях.

BorderWare Firewall Server 3.1
Цена, рекомендуемая изготовителем: 25 пользователей - 4000 долл.; 100 пользователей - 7000 долл.; неограниченное число пользователей - 11 000 долл.
Border Network Technologies Inc., Toronto, Ontario, Canada; 800-334-8195, 416-386-71557;
http://www.border.com
CyberGuard Firewall Release 2.0
Цена, рекомендуемая изготовителем: 24 995 долл.
Harris Computer Systems Corp., Ft. Lauderdale, FL; 800-666-4544, 954-974-1700;
http://www.hcsc.com
Sidewinder, Version 2.1.2
Цена, рекомендуемая изготовителем: 29 995 долл.
Secure Computing Corp., Roseville, MN; 800-692-5625, 612-628-2700;
http://www.sidewinder.com

Лабораторные испытания. Системы защиты сетей

Анализ подготовил Алекс Хо

Мы решили выяснить, насколько сложно установить и привести в действие эти устрашающие устройства. Мы также проверяли, насколько хорошо они справляются со своими задачами.

Наше тестирование было сосредоточено на трех основных аспектах: инсталляция, администрирование и обеспечение безопасности.

Установка всех систем оказалась достаточно простой. Система ANS Interlock устанавливается просто путем загрузки компакт-диска, содержащего инсталляционную утилиту, UNIX-подобную ОС и программное обеспечение защитной системы.

Установка и запуск систем фирм Milkyway, CheckPoint, Raptor и Trusted Information Systems были также простыми. Следуя стандартной документации фирм-изготовителей, мы копировали программные файлы и инсталляционные утилиты на наш компьютер Sparc 10, пользуясь командами текстового редактора базового интерфейса ОС UNIX.

Когда мы испытывали функции администрирования, графические интерфейсы систем фирм Milkyway, CheckPoint и Raptor позволили нам открыть на экране множественные окна конфигурирования и через спускающиеся меню получить доступ к командам. Это удобнее, чем работать с текстовыми меню двух других систем. Для исследовани защитных свойств систем мы использовали программное обеспечение тестирования уязвимости сетей - Internet Scanner 3.0 фирмы Internet Security Systems. Согласно отчетам пакета Internet Scanner испытанные системы защиты были неуязвимыми.

Мы провели также тестирование пропускной способности при передаче файлов, чтобы выяснить, замедляет ли действующая система защиты сетевой трафик. Снижени пропускной способности не обнаружилось.

Конфигурация испытательного комплекса

Для создания испытательного комплекса нами была смоделирована офисная ЛВС, соединение офиса с внешним миром (Internet) через линию T1 и удаленный офис. Затем мы расположили компьютер защитной системы в офисной ЛВС для предотвращения вторжения со стороны удаленного офиса через Internet.

В состав нашей ЛВС были включены сервер Microsoft Windows NT 3.51, инсталлированный на компьютер HP NetServer LF 5/66 с 16-Мбайт ОЗУ. С сервером Windows NT взаимодействовали два локальных клиента: клиент Microsoft Windows 95 (на ПК HP Vectra XU 5/90C с 16-Мбайт ОЗУ) и клиент Sun Solaris 2.4 (на Sun Sparc 2 с 64-Мбайт ОЗУ).

В состав удаленной ЛВС были включены сервер Windows NT 3.51, инсталлированный на HP NetServer LF 5/66 с 16-Мбайт ОЗУ. Сервер соединялся с двумя локальными клиентами Windows 95 на ПК HP Vectra XU 5/90C с 16-Мбайт ОЗУ.

Моделирование линии T1, соединяющей офисную и удаленную ЛВС, осуществлялось с помощью имитатора канала передачи данных AdTech SX/12. Для обеспечени взаимодействия двух сетей на обоих концах линии устанавливались маршрутизаторы Cisco 2516.

Мы инсталлировали программное обеспечение защитных систем на рабочие станции Sun Sparc 10 с 64-Мбайт ОЗУ. (Система ANS Interlock работает на платформах Intel x86, поэтому мы установили ее ПК HP Vectra XU 5/90 C.) При тестировании систем, выполненных "под ключ", мы заменили Sun Sparc 10 компьютерами, предоставленными изготовителями.