МЕЖСЕТЕВЫЕ ЭКРАНЫ: надежная защита стоит дорого

Сергей Нестеров

Данный материал посвящен брандмауэрам (межсетевым экранам, в англоязычной литературе более распространен термин firewall) - «пограничной службе», защищающей локальную сеть от вторжений извне. В статье рассматриваются особенности их работы, вопросы сертификации и дается обзор сертифицированных в России импортных решений.

Брандмауэры как средство защиты от несанкционированного доступа к компьютерным системам попадают в сферу интересов Государственной технической комиссии при президенте РФ (www.infotecs.ru/gtc). Комиссией издан документ [1], непосредственно относящийся к теме данного материала. В нем определяется, что «межсетевой экран (МЭ) представляет собой локальное (однокомпонентное) или функционально-распределенное средство (комплекс), реализующее контроль за информацией, поступающей в автоматизированную систему (АС) и/или выходящей из нее, и обеспечивающее защиту автоматизированной системы посредством фильтрации информации, т. е. ее анализа по совокупности критериев и принятия решения о ее распространении в (из) АС».

Несколько косноязычно, ну да ладно.

Стоит отметить одну достаточно важную деталь. Под такое определение межсетевого экрана подпадает любое устройство, фильтрующее информацию, поступающую в вычислительную систему. В частности, это может быть и маршрутизатор с функциями фильтрации. В то же время, термин «брандмауэр», как правило, подразумевает нечто большее - фильтрацию на нескольких уровнях сетевого взаимодействия. О таких межсетевых экранах и пойдет речь далее.

Названным документом Гостехкомиссии устанавливается пять классов защищенности межсетевых экранов. Самый низкий класс - пятый, самый высокий - первый.

В принципе, обычной коммерческой организации сертифицировать свою сеть (и брандмауэр как ее составную часть) на соответствие требованиям Гостехкомиссии не обязательно. Другое дело, если это вычислительная сеть органа государственной власти или военного завода. На официальном языке сказанное выше звучит следующим образом: «Обязательной сертификации подлежат средства, в том числе иностранного производства, предназначенные для защиты информации, составляющей государственную тайну, и другой информации с ограниченным доступом, а также средства, использующиеся в управлении экологически опасными объектами. Перечень средств защиты информации, подлежащих обязательной сертификации, разрабатывается Гостехкомиссией России и согласовывается с Межведомственной комиссией по защите государственной тайны. В остальных случаях сертификация носит добровольный характер (добровольная сертификация) и осуществляется по инициативе разработчика, изготовителя или потребителя средства защиты информации» [2]. Соответственно, и представленным на рынке брандмауэрам далеко не обязательно быть сертифицированными. В то же время, факт сертификации того или иного решения свидетельствует о его качестве или, если быть более точным, о том, что его создатели заявили об определенных свойствах своего решения. Как считают некоторые эксперты по безопасности, проблема сертификации межсетевых экранов Гостехкомиссией заключается в том, что до недавнего времени у нее не было четкой методики. Иначе говоря, есть набор требований, а степень соответствия решения этим требованиям определяет сертификационный центр по своему усмотрению. Да и сами требования сформулированы не всегда точно. К экранам 3-го и выше классов защищенности предъявляется, например, следующее требование: «Администрирование: простота использования». Подразумевает оно, что «многокомпонентный МЭ должен обеспечивать возможность дистанционного управления своими компонентами, в том числе, возможность конфигурирования фильтров, проверки взаимной согласованности всех фильтров, анализа регистрационной информации». Понятно, что толковать такое определение можно по-разному.

Для любой фирмы есть ряд достаточно веских причин останавливать свой выбор на решениях, которые были аттестованы. Наличие государственного сертификата, по крайней мере, говорит о том, что продукт в России продают серьезные компании, выполняющие большие проекты и готовые пойти на сертификацию (имеющие средства и силы сделать это). Кроме того, если в последующем фирме придется аттестовать свою автоматизированную систему, то сделать это, имея сертифицированный межсетевой экран, будет проще.

Учитывая сказанное, ограничимся обзором импортных брандмауэров, которые сертифицировались Гостехкомиссией. Необходимо заметить, что сегодня на рынке представлены и отечественные продукты. В частности, это межсетевые экраны «Пандора» (АО «Релком-Альфа»), «Застава» (ОАО «Элвис-Плюс»), «Застава-Джет» (АОЗТ «Инфосистемы Джет»). У них есть свои достоинства (как вообще, так и в отношении их использования в России), но, в отличие от отечественных, все западные решения, о которых пойдет речь далее, имеют сертификаты и иностранных сертификационных центров, в частности ассоциации ICSA (http://www.icsa.net/). А это, учитывая сказанное выше об отсутствии у Гостехкомиссии методики аттестации, факт достаточно важный.

В результате выбор уменьшился с нескольких десятков до 5 продуктов: AltaVista FireWall, Cisco PIX, CyberGuard, FireWall-1 и FireWall/Plus. Рассмотрим их подробнее.

Несколько общих слов

Для разграничения трафика межсетевые экраны используют задаваемые администратором правила безопасности. Именно эти правила определяют, что можно пропускать во внутреннюю сеть или выпускать из нее, а что нельзя.

В самом простом варианте межсетевой экран - это фильтр IP-пакетов. Фильтрация может производиться по адресам отправителя и/или получателя, а также по значениям других полей в заголовках пакетов. С подобной задачей могут справиться и многие современные маршрутизаторы.

Еще один вариант - proxy-технология. Использующий ее межсетевой экран берет на себя функции посредника: клиент устанавливает сеанс связи с брандмауэром, а он - с выбранным сервером. При этом модули-посредники позволяют проводить только разрешенные операции. Недостаток данного подхода в том, что при его использовании обрабатываются только данные уровня приложения, что в ряде случаев порождает различные возможности для взлома системы. Кроме того, необходимо наличие «посредников» для всех типов используемых протоколов.

Третья технология, которая используется в межсетевых экранах, - stateful inspection. Ее смысл, упрощенно, в следующем: при создании нового соединения межсетевой экран проверяет его на соответствие установленным правилам безопасности. Если соединение удовлетворяет правилам безопасности, идентифицирующая его информация заносится в специальную таблицу и дальнейший обмен разрешается. Если нет - соединение разрывается. Таким образом, пропускаются или пакеты, относящиеся к имеющимся в таблице соединениям, или запросы на новое «разрешенное» соединение. Этот подход считается на данный момент наиболее передовым.

Что еще стоит отметить? Все решения, о которых пойдет речь в материале, имеют функцию трансляции адресов NAT (Network Address Translation, подробнее о NAT см. RFC 1631). Смысл ее в том, что IP-адреса отправителя или получателя заменяются на другие в соответствии с определенными правилами. Это, во-первых, позволяет скрыть структуру внутренней сети. А во-вторых, использовать меньшее число «реальных» IP-адресов. Соответственно, трансляция может осуществляться по принципу «один к одному», «многие ко многим» или «один ко многим». Предположим, межсетевой экран защищает сеть из 10 компьютеров. Внутри сети используются некие фиктивные адреса, назначенные произвольным образом или специально зарезервированные и не использующиеся в Интернете. В соответствии с RFC 1918 это адреса вида 10.x.x.x, 172.16.x.x-172.31.x.x, 192.168.x.x. При трансляции «многие ко многим» экран подменяет фиктивные адреса исходящих пакетов на легальные, используемые в Интернете, а легальные адреса входящих пакетов - на фиктивные, используемые во внутренней сети. Таким образом, потребуется 10 легальных IP-адресов. По схеме «один ко многим» фиктивные внутренние адреса заменяются одним легальным.

Еще один момент, возможно, требует дополнительных пояснений - так называемая демилитаризованная зона. Как правило, DMZ (De-Militarized Zone) - часть защищаемой сети, для которой необходимо установить особые правила безопасности. Обычно она связана с дополнительным сетевым интерфейсом на брандмауэре. Организация DMZ имеет смысл, когда в сети необходимо разместить серверы публичного доступа (например, web-сервер). Разместив их в защищенной сети, администратор оставляет потенциальную лазейку для взломщиков, которые, получив доступ к такому серверу, могут впоследствии добраться и до остальной сети. Поэтому часто рекомендуется вынести web-сервер в DMZ и установить правила, позволяющие доступ к нему из Интернета, но не позволяющие доступ «извне» в остальные сегменты локальной сети. Данный подход позволяет создавать более безопасные конфигурации, но для этого нужно, чтобы межсетевой экран мог работать, как минимум, с тремя сетевыми интерфейсами: один «смотрит» во внешнюю сеть, другой - во внутреннюю, третий - в DMZ.

И, наконец, кратко о технологии VPN (Virtual Private Networks - виртуальные частные сети). Грубо говоря, эта технология позволяет создавать шифрованный канал передачи данных между несколькими узлами общедоступной сети (например, Интернета). Таким образом, появляется возможность передавать по открытым сетям конфиденциальную информацию. Большинство современных брандмауэров так или иначе поддерживают эту технологию. Обычно можно приобрести отдельный программный или аппаратный модуль для создания VPN-соединений. Проблема заключается в том, что в России использование криптографических технологий жестко ограничено законодательными актами, в частности, печально известным президентским указом № 334. В нем говорится следующее: «...Запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных Федеральным агентством правительственной связи и информации при Президенте Российской Федерации». Лицензировать импортные криптографические технологии ФАПСИ не спешит. Так что формально импортные решения в области создания VPN использовать нельзя. Другое дело, что на их применение в коммерческих организациях обычно смотрят «сквозь пальцы». Однако возможность получить неприятности и в этом случае сохраняется, поэтому на решениях в области VPN особо заострять внимание не будем. Тем более, что и со стороны западных стран действует ряд ограничений на импорт сильной криптографии в Россию. Можно только отметить, что многие решения в области VPN строятся на базе протокола IPSec (более подробно о нем - на странице www.ietf.org/html.charters/ipsec-charter.html).

Ну, а теперь обратимся к рассмотрению самих решений.

AltaVista FireWall 98

Брандмауэр AltaVista Firewall - разработка корпорации Digital Equipment (слившейся в прошлом году с Compaq Computer).

AltaVista Firewall работает по proxy-схеме. Для этого экрана разработаны модули-посредники протоколов FTP, Telnet, Gopher, S-HTTP, HTTP (с возможностью кэширования), POP, SMTP, NNTP, Finger, RealAudio Proxy, UDP Proxy (дает возможность безопасно пропускать через Firewall трафик специфичных UDP-приложений), SQL-net Proxy (позволяет строить распределенные корпоративные базы данных на основе Oracle7 или Oracle MPI-средствах других поставщиков, защищая трафик доступа к ним - недоступен на платформе Alpha под Windows NT). Возможность работы по другим протоколам обеспечивает сервер общего назначения, разработанный для создания самостоятельно настраиваемых дополнительных защищенных сервисов.

Данный продукт, как и все перечисленные далее, позволяет осуществлять трансляцию IP-адресов, а вот защищенная конфигурация DNS, когда для пользователей внутренней локальной сети брандмауэр выступает в качестве Primary DNS, а для пользователей внешней глобальной сети представляет информацию DNS только о нем самом, - возможность не самая распространенная. Кроме AltaVista Firewall ее поддерживает еще CyberGuard.

Кроме того, AltaVista Firewall имеет достаточно общий набор возможностей (которые здесь перечислим один раз и в дальнейшем будем подразумевать, что они есть у всех рассматриваемых продуктов, если обратное специально не оговаривается):

AltaVista Firewall поддерживает различные схемы аутентификации. Важно отметить, что разработчиками предусмотрена возможность интеграции с системой аутентификации Windows NT домен-контроллера.

Cisco PIX

Межсетевой экран Cisco PIX Firewall также весьма знаменит. Он обладает сертификатами ICSA (Security Assurance Company), NSA (Агентство национальной безопасности США) и Гостехкомиссии России по 3-му классу.

Главная особенность Cisco PIX в том, что это аппаратное решение. PIX использует специальную операционную систему реального времени и обеспечивает очень высокую производительность. Как заявляет компания Cisco Systems, брандмауэр поддерживает около 100 тысяч одновременных соединений (для PIX 515, CPU 200 MГц, RAM 64 Mбайт, Flash Memory 16 Mбайт). Число соединений ограничивается в основном размером памяти, которую можно установить дополнительно, и производительностью процессора. Полностью загруженный сетевой экран PIX обеспечивает пропускную способность до 170 Мбит/с. Понятно, что в этом программные брандмауэры не могут составить конкуренции Cisco PIX, но ведь далеко не всем и нужна такая производительность!

Cisco PIX может быть установлен со специальными опциями обеспечения «горячего резервирования». В этом случае, если в сети параллельно работают два межсетевых экрана PIX, в случае выхода одного из них из строя второй PIX будет в прозрачном режиме выполнять все функции по обеспечению безопасности.

Cisco также предлагает аппаратное решение по созданию VPN-адаптера шифрования Cisco PIX Private Link encryption card. Для защиты соединения в нем используется криптографический протокол IPSec.

Несомненными достоинствами данного решения являются совместимость с маршрутизаторами, базирующимися на ПО Cisco IOS, и интеграция с другими решениями компании Cisco, такими как сервер управления доступом CiscoSecure ACS и система активного аудита (intruder detection system) NetRanger.

Другое немаловажное достоинство - продажей продуктов Cisco занимаются многие компьютерные компании, нетрудно найти и сертифицированных специалистов по Cisco. Так что купить PIX и получить квалифицированную консультацию по этому продукту в России достаточно легко.

Единственный недостаток, который обычно отмечают в обзорах (например, в [3]), говоря о Cisco PIX, - это не слишком удобные средства администрирования. Но, как уже говорилось, удобство администрирования - понятие относительное. Тем более что сертификация Гостехкомиссией по 3-му классу защиты говорит о том, что требование «Администрирование: простота использования», с точки зрения сертификационного центра, было выполнено.

Впрочем, и этот недостаток уже, кажется, в прошлом. Некоторое время назад появилось средство администрирования для одного или нескольких экранов PIX с возможностью формирования единой политики безопасности организации и с графическим интерфейсом - Cisco Security Manager v1.0.

CyberGuard Firewall

Брандмауэр CyberGuard Firewall компании CyberGuard Corporation базируется на платформе Intel, поддерживает до двух процессоров и функционирует под управлением операционных систем SCO UnixWare или Windows NT. Он имеет сертификаты NCSA, NCSC (по классу B1), ITSEC (по классу E3) и сертификат Гостехкомиссии РФ (по 3-му классу защищенности). Кроме того, этот межсетевой экран рекомендован НТЦ ФАПСИ для встраивания сертифицированных систем защиты информации.

В нем используются все три существующие архитектуры межсетевых экранов:
статическая фильтрация пакетов (Static Packet Filtering); динамическая фильтрация пакетов (Stateful Inspection); серверы-«посредники» (Proxy Gateway).

Версии данного продукта для разных операционных систем несколько различаются функционально. Так, CyberGuard для Windows NT может взаимодействовать с контроллером домена Windows NT для получения информации о пользователях. Кроме того, для этой ОС CyberGuard Corp. разработала дополнительный продукт - SecureGuard, который защищает окружение ОС Windows NT от таких угроз нарушения безопасности системы, как легко подбираемые пароли и неконтролируемый доступ к системным ресурсам. Для версии под SCO UnixWare (которая является защищенной ОС) дополнительных средств защиты не требуется.

CyberGuard «знает» свыше 100 сетевых служб, основанных на стеке протоколов TCP/IP. Предоставляемые этим брандмауэром возможности фильтрации пакетов могут быть использованы самостоятельно или в соединении с механизмом SmartProxies (для повышения уровня защищенности).

Для использования proxy-схемы предлагается несколько пакетов SmartProxies. Пакет Internet SmartProxies включает в себя FTP, HTTP, NNTP, SMTP и Telnet proxy-серверы. В SmartProxies для интранета входят дополнительные серверы-посредники для сетевых сервисов: POP3, SQL*Net, Shared-Resource (совместно используемый ресурс) и Basic Lotus Notes. Третий набор - Advanced SmartProxies - включает SSL, Load-Egualizer (распределитель нагрузки) и Pasport One (дополнительные возможности по аутентификации).

Аутентификация пользователя реализуется в случае соединения по протоколам FTP, HTTP, rlogin и Telnet. Она может включать использование локальных паролей ОС Windows NT или технологию аутентификации S/Key и SecurID.

В комплекте с ПО межсетевого экрана поставляется ОС SCO UnixWare 2.1 с лицензией на соответствующее число пользователей.

FireWall/Plus

Это решение под Windows NT имеет ряд достаточно интересных особенностей. Основная из них - «мультипротокольный экран». Если точнее, брандмауэр бывает в IP-варианте и в «мультипротокольном». Как заявляют разработчики, во втором случае он поддерживает почти 400 сетевых протоколов различного уровня. Таким образом, FireWall/Plus может использоваться не только для защиты локальной сети от атак из Интернета или защиты объектов в интранете, но и для разделения сегментов локальной сети, использующей протоколы, отличные от стека TCP/IP (например, IPX, DECnet и т. д.). Правда, объем трафика в локальной сети предприятия в общем случае несравнимо больший, чем трафик между локальной сетью и Интернетом. Так что к применению межсетевых экранов для разделения сегментов LAN нужно относиться достаточно осторожно. Иначе в некоторых случаях придется делать выбор - или вкладывать значительные средства в покупку производительного сервера, на который будет установлен межсетевой экран, или получить значительное снижение пропускной способности сети. В то же время, так происходит далеко не всегда. Практические результаты внедрения ассоциацией «Конфидент» FireWall/Plus for NT для защиты сегментов сетей ряда территориальных банков Сбербанка РФ показали, что пиковое снижение трафика в результате использования экрана составляет максимум 2-5% (оценка для сети Ethernet 10 Mбит/с на тонком коаксиале; количество пользователей более 250). Необходимо, однако, иметь в виду, что корректность данной оценки можно определить, только зная все подробности топологии сети, где происходило исследование, и методики тестирования.

FireWall/Plus использует фильтрацию пакетов, Stateful Inspection и proxy-схему. Что приятно, поставка FireWall/Plus содержит более десятка наборов заранее определенных правил для простой и быстрой настройки межсетевого экрана нужной конфигурации. Но это, разумеется, не исключает возможности задания пользователем собственных правил или модификации уже существующих.

Стоит также отметить, что функции организации VPN реализованы в самом продукте, а не в виде отдельно продаваемых модулей, как это сделано во многих других решениях. Так как FireWall/Plus поддерживает различные протоколы, его можно сконфигурировать таким образом, что брандмауэру не нужен собственный IP-адрес. Эта особенность делает его полностью прозрачным для внешней IP-сети и, соответственно, практически неуязвимым при атаках «извне».

Учитывая все сказанное выше, а также то, что у продукта достаточно невысокие системные требования, FireWall/Plus можно назвать весьма интересным решением. В то же время, у него есть весьма существенный недостаток. Он может работать не более чем с двумя сетевыми интерфейсами, что при использовании одного брандмауэра существенно снижает возможности построения безопасной конфигурации сети (нельзя создавать DMZ). Эту проблему можно решить, если установить два межсетевых экрана - так называемые внешний и внутренний - и в результате построить полнофункциональный вариант DMZ. Кроме того, ограничение на количество сетевых интерфейсов и расширение количества контролируемых подсетей фирма-производитель планирует снять в этом году.

FireWall-1

Этот продукт, так же, как и его разработчика, компанию CheckPoint Software Technologies, можно, без сомнения, назвать лидером рынка межсетевых экранов. FireWall-1 - даже не просто решение, а настоящая идеология построения безопасной сети.

Check Point FireWall-1 сейчас является самым распространенным продуктом сетевой защиты. Основываясь на технологии stateful inspection, продукт также позволяет использовать фильтрацию пакетов и proxy-технологию.

Многочисленные тестирования показывают, что FireWall-1 - самый производительный из имеющихся на сегодняшний день программных брандмауэров. А наличие реализаций для большого числа различных аппаратных платформ и операционных систем делает это решение чрезвычайно гибким и масштабируемым.

Check Point FireWall-1 поставляется с поддержкой сотен предопределенных сетевых сервисов, протоколов и приложений. В дополнение к имеющимся сервисам и протоколам FireWall-1 позволяет быстро и эффективно создавать свои собственные обработчики протоколов, используя встроенный язык высокого уровня INSPECT.

Запатентованная реализация stateful inspection в продукте Check Point FireWall-1 обеспечивает максимально возможный уровень контроля и безопасности. FireWall-1 контролирует проходящий трафик на уровнях от третьего до седьмого по сетевой модели OSI.

Существенным шагом на пути обеспечения совместимости продукта Check Point с решениями третьих фирм стала разработка технологии OPSEC (Open Platform for Secure Enterprise Connectivity). Различные производители приложений в области информационной безопасности теперь могут встраивать свои системы в рамках OPSEC, используя опубликованные программные интерфейсы приложений (API), стандартные для индустрии протоколы и язык INSPECT. Будучи встроенными таким образом, все приложения могут управляться и настраиваться с административной консоли оператора безопасности с использованием общего редактора политики безопасности.

FireWall-1 предоставляет три метода установления подлинности пользователя:

1. User Authentication (аутентификация пользователя независимо от IP-адреса его компьютера).

2. Client Authentication (аутентификация пользователя, определенного по IP-адресу компьютера).

3. Transparent Session Authentication (аутентификация каждой сессии).

После того как пользователь инициировал соединение непосредственно с сервером, шлюз с установленным FireWall-1 распознает, что требуется установление подлинности клиента, и инициирует соединение с Агентом авторизации сессий. Агент производит необходимую авторизацию, после чего FireWall-1 разрешает данное соединение, если подлинность клиента установлена.

FireWall-1 поддерживает разнообразные варианты авторизации пользователей:

1. SecurID - пользователь набирает номер, высвечивающийся на электронной карточке Security Dynamics SecurID.

2. S/Key - от пользователя требуется набрать соответствующую запрашиваемому номеру комбинацию S/Key-ключа.

3. OS Password - пользователь должен набрать пароль операционной системы.

4. Internal - пользователь набирает специальный пароль, хранимый в шлюзе FireWall-1.

5. Axent - требуется ввод в соответствии с инструкциями сервера Axent.

6. RADIUS - требуется ввод в соответствии с инструкциями сервера RADIUS.

Для систем на базе RADIUS-серверов существует несколько реализаций, сертифицированных в рамках OPSEC и предлагаемых для использования официальными партнерами.

В качестве еще одной особенности FireWall-1 можно отметить возможность управления настройками сетевой безопасности маршрутизаторов многих производителей (в частности, Cisco и BayNetworks). Правда, для этого необходимо приобрести специальный модуль.

К достоинствам продукта можно отнести и наличие системы обучения специалистов. В результате обучения можно получить статус сертифицированного администратора или сертифицированного инженера.

Также стоит сказать, что ряд компаний сейчас выпускают программно-аппаратные комплексы, использующие ПО FireWall-1 как составную часть. Как пример можно назвать производимый корпорацией Nokia маршрутизатор/брандмауэр серий IP400 и IP650.

***

Подводя итог сказанного, можно назвать следующие вопросы, в отношении которых стоит определиться перед приобретением межсетевого экрана:

Конечно, это далеко не полный список. Но, однозначно определившись по перечисленным пунктам, сделать правильный выбор будет значительно легче.

P.S. Автор выражает признательность представителям компаний «Анкей/ Компьютерные системы», «Конфидент», НИП «Информзащита», Notes Development, OCS за предоставленную информацию и помощь в подготовке материала.

Сергей Нестеров,
Snesterov@hotmail.com