Присутствуя в вашей сети, межсетевые экраны помогают предотвратить неавторизованный доступ пользователей из одного сетевого сегмента в другой. Какой бы ни была ваша сеть, - будь то сеть компании из списка Fortune 100 или сеть удаленного офиса, - если вы подключены к Интернет, то вам придется установить у себя по меньшей мере один межсетевой экран. Управление одним межсетевым экраном, как правило, представляет собой относительно простую задачу. Контролировать приходится всего-навсего одно устройство, и после инсталляции оно не требует особых забот. Однако если вы попытаетесь организовать защиту нескольких сетей, то вам потребуется кое-что получше простого пользовательского графического интерфейса управления.
В тесте участвовали пять межсетевых экранов масштаба предприятия:
Тесты обнаружили заметные различия в возможностях управления и формирования отчетов, а также в производительности этих продуктов
Все протестированные межсетевые экраны прошли сертификацию Международной ассоциации по компьютерной безопасности ICSA (www.icsa.net).
Межсетевые экраны и базовые ОС были сконфигурированы таким образом, чтобы обеспечить, насколько возможно, безопасный режим работы путем отключения некоторых служб и использования самых последних обновлений системного ПО.
Для выявления уязвимых мест в межсетевых экранах было предпринято несколько хорошо известных атак, вместо того чтобы воспользоваться коммерческими продуктами, такими как Internet Scanner фирмы ISS или CyberCop Scanner фирмы Network Associates, поскольку предполагалось, что поставщики обеспечили защиту своих продуктов от таких очевидных методов проверки.
VPN-1 Gateway фирмы Check Point представляет собой комплект из продуктов FireWall-1 и VPN-1, кроме того, существует плата VPN-1 Accelerator Card, увеличивающая пропускную способность виртуальной частной сети.
Отвечая тенденциям в области безопасности, фирма Check Point добавила к имеющимся средствам защиты, основанным на технологии Stateful Inspection, прикладные модули-посредники, разработанные для блокирования аномального трафика на прикладном уровне.
Фирмой Check Point был предоставлен компьютер Ultra 60 компании Sun Microsystems, с двумя 360-МГц процессорами, оперативной памятью объемом 512 Мбайт и жестким диском Ultra SCSI. Для обеспечения максимальной производительности, управление системой FireWall-1 производилось с выделенного сервера Windows NT.
В отличие от ряда других VPN-устройств, которые требуют настройки каждого шлюза виртуальной частной сети в отдельности путем ввода одной и той же информации, управляющая станция VPN-1 Gateway предлагает более простую процедуру, позволяющую применить ту или иную стратегию защиты к указанным firewall-системам. Графический интерфейс управления предоставляет для этого все необходимое.
Была выбрана следующая азовая стратегия защиты: виртуальная частная сеть на основе семейства протоколов IPsec использовала обмен ключами по протоколу IKE, шифрование 3DES и аутентификацию MD5.
Конфигурирование системы FireWall-1 действительно является несложной процедурой. Подобно другим firewall-системам, основанным на использовании правил, задать стратегию защиты в FireWall-1 означает указать, по какому протоколу кому и к чему разрешен доступ. Предоставлена возможность сокрытие правил от просмотра и их отключение. Последнее особенно кстати при редактировании и изменении стратегии защиты firewall-системы. Правила можно устанавливать и проверять, и в случае нарушения работы сетевых приложений, послужившее его причиной правило может быть временно отключено.
Графический пользовательский интерфейс управления позволяет работать одновременно с несколькими межсетевыми экранами, при этом вся стратегия защиты задается в одном большом "плоском" файле, содержащем все правила. Для облегчения ориентации, управляющий интерфейс предоставляет средства для выделения цветом сетевых ресурсов и групп объектов.
Управление firewall-системой иногда может оказаться сложным делом. А управление несколькими firewall-системами - это всегда сложное дело, связанное с повседневными проблемами, такими как добавление и модификация правил, поиск и устранение неполадок и необходимость контроля общего состояния системы защиты. Однако способности продукта фирмы Check Point к масштабированию не выходят далеко за пределы поддержки нескольких firewall-систем и других устройств, поскольку база правил становится слишком длинной и запутанной. Может оказаться полезным наличие поля комментария для каждого объекта. Продукт VPN-1 Gateway обладает уникальной способностью фильтровать вывод правил на экран на основе заданных критериев, таких как служба, адрес назначения или источника. Это может оказаться полезным при чрезмерном разрастании базы правил.
С точки зрения средств протоколирования VPN-1 Gateway превосходит другие продукты. Хотя это далеко не самая заметная функция межсетевого экрана, без хороших средств протоколирования вам пришлось бы работать вслепую. Некоторые аномальные события могут не инициировать уведомлений или аварийных сигналов, даже при использовании локальной или внешней IDS-системы. Например, медленное "горизонтальное" сканирование портов останется незамеченным большинством firewall- и IDS-систем, но его "след" останется в регистрационном журнале. При управлении несколькими firewall-системами, удобно иметь все журналы в одном месте, но с ростом их числа вы быстро окажетесь буквально затопленными данными. Задав набор фильтров можно сократить количество выводимых на экран записей, оставив только те, которые представляют интерес.
Были установлены правила, разрешающие входящий HTTP-трафик для двух серверов и исходящий HTTP-трафик. Затем был запущен имитатор компонента уязвимости iishack фирмы eEye Digital Security, что позволило проникнуть на Web-сервер. Однако VPN-1 Gateway имеет уникальную функцию под названием Security Servers, которая защищает от атак серверы HTTP, FTP и SMTP. Security Servers проверяет синтаксис протоколов прикладного уровня. "Чтобы задействовать ее, мы сначала определили защищаемый ресурс в графическом управляющем интерфейсе, указав IP-адрес сервера и разрешенные HTTP-методы, такие как get и post. Затем мы модифицировали правила для входящего трафика HTTP, чтобы активизировать HTTP Security Server. После этого мы обнаружили, что уже не можем преодолеть систему защиты. " (Майк Фратто)
Продукт Cisco Secure PIX Firewall 520 фирмы Cisco Systems, представляющий собой аппаратную реализацию межсетевого экрана, чрезвычайно привлекателен в точки зрения производительности, но несколько менее привлекателен с точки зрения управления. Его интерфейс командной строки трудно назвать дружественным, даже если вы знакомы с фирменной сетевой операционной системой фирмы Cisco - IOS (Internetwork Operating System). Однако компания обеспечила поддержку более дружественного графического интерфейса в своем средстве управления стратегией защиты Cisco Secure Policy Manager. Менеджер CSPM предназначен для сетей с большим числом межсетевых экранов. Но будьте готовы к тому, что вам придется потратить некоторое время на изучение CSPM и постижение его парадигмы, отличающейся от общепринятых стратегий управления firewall-системами.
CSPM - это шаг вперед, но это средство, вне всякого сомнения, потребует от вас изменить подход к защите вашей сети. Следуя парадигме этого продукта, подобной той, что воплощена в пакете CiscoWorks2000, необходимо сначала с помощью графического интерфейса построить модель сети, а затем распределить информацию о конфигурации системы защиты по всем удаленным устройствам. К сожалению, CSPM не может ни распознавать устройства, ни импортировать существующие сценарии конфигурации, поэтому если вы поместите CSPM в действующую сеть, вам придется через него переконфигурировать интерфейсы и списки контроля доступа всех систем PIX. К счастью, имеется возможность проверять конфигурацию перед применением ее к той или иной системе PIX.
Просмотр конфигурации системы защиты, созданной с помощью CSPM, занимает много времени. Хотя устройства PIX Firewall действуют на основе правил, он использует списки контроля доступа для обработки входящего трафика и туннели для обработки исходящего. Синтаксис ACL необычен: вместо правил, устанавливающих, какому трафику и куда разрешено проходить, определяется модель доступа по умолчанию, а затем к ней добавляются исключения. Другими словами, в случае обычного синтаксиса ACL достаточно установить правило: "Разрешить трафик из Интернет на порт 80 узла web.here.com". А для системы PIX требуется задать ACL-правило из двух записей: "Запретить весь HTTP-трафик", а затем "Исключая порт 80 узла web.here.com". Результат в обоих случаях одинаков, но работать с общепринятым синтаксисом проще, особенно, с ростом количества правил.
Создание VPN-сетей в CSPM-менеджере - это несложное дело, сопровождающееся относительно малым числом ошибок. Как и в случае с VPN-1 Gateway, была задана стратегия защиты виртуальной частной сети с разделяемыми секретами, завершив общую картину добавлением информации об устройствах PIX и о защищаемых ими сетях. CSPM-менеджер немедленно сгенерировал записи схем и маршрутов, необходимые для работы каждого устройства PIX, что является существенным улучшением по сравнению с конфигурированием каждого устройства в отдельности. Конфигурации можно сохранять локально, но в CSPM отсутствуют средства контроля версий, имеющиеся в CiscoWorks2000. Фирма Cisco планирует решить как эту проблему, так и другие, путем интеграции CSPM с CiscoWorks2000. Это должно также обеспечить обнаружение устройств и импорт конфигураций.
Удалось пробиться сквозь firewall-систему PIX и получить доступ к нашему Web-серверу. В отличие от VPN-1 Gateway, PIX Firewall 520 не предлагает возможности проверки синтаксиса HTTP, которая становится настоятельной необходимостью для компаний, держащих свой собственный Web-узел. Однако PIX благополучно блокировал все наши атаки на сетевом уровне, а протоколирование, хотя и грубое, было вполне достаточным для быстрого отслеживания событий, хотя оно даже не приближается по качеству к VPN-1 Gateway.
Продукт Raptor Firewall 6.5 фирмы Axent давно пользуется репутацией firewall-системы, обеспечивающей надежную защиту как на сетевом, так и на прикладном уровне, и испытания это подтвердили. Данный продукт оказался единственным, способным отразить атаки прикладного уровня на сервер IIS. Удаленное управление firewall-системой достаточно удобно. Оно осуществляется через приложение, использующее ПО Microsoft Management Console (MMC). Raptor отнюдь не самый быстрый межсетевой экран среди протестированных нами, в тестах ВЧС он занял последнее место с пропускной способностью 16 Мбит/с, а в тестах на производительность показал всего 63 Мбит/с. Это существенно ниже показателей продуктов компаний Check Point, Cisco и NetScreen.
Однако в тестах по отражению атак Raptor Firewall выглядел блестяще. При использовании той же стратегии защиты, что и в случае остальных firewall-систем, не удалось ни получить контроль над Web-сервером, ни нарушить его работу. Exploit-компонент iishack работал как обычно, но попытка подключиться к Web-серверу через telnet окончилась отказом в доступе. В регистрационных журналах появилось сообщение HTTP-демона системы Raptor Firewall о заблокированной попытке подключения, содержащее некорректный URL-указатель. К сожалению, Raptor может быть обнаружен простым сканированием портов. Если вы удаленным образом управляете Raptor Firewall, то у вас будут открыты порты 416, 417 и 418 вместе с информацией обо всех запущенных службах. Этих данных, скорее всего, будет достаточно для идентификации Raptor. Но важнее то, что при сканировании порты защищенной внутренней сети, каждый IP-адрес сообщал одни и те же данные. Это указывает на то, что ответы, по-видимому, приходят от firewall-системы proxy-типа, а не от самих хостов. Тем не менее, Raptor оказался единственным межсетевым экраном, определившим атаку с помощью программы Nmap, и не позволил сканировать защищаемые хосты.
Raptor отличается от всех остальных рассмотренных firewall-систем тем, что его правила не действуют по иерархическому принципу "сверху вниз". Вместо этого он следит за входящим трафиком и подыскивает наиболее соответствующее для него правило. Хотя это может показаться необычным, модель "наилучшего соответствия" заставляет тщательнее думать о том, как конкретно реализуется стратегию защиты. Иерархии правил, используемые в других системах, намного "снисходительнее" к ошибкам. Здесь же конкретное правило имеет приоритет над общим. Например, если установить правило разрешить HTTP-трафик во внутренней сети и кроме того установить правило, согласно которому HTTP-трафик к одному из Web-узлов - Tweety,- не пропускается, то так как второе правило имеет приоритет над первым, то доступ к Tweety будет закрыт.
Пропускная способность ВЧС при использовании Raptor оказалась крайне низкой. Был достигнут уровень всего лишь 16 Мбит/с, когда Raptor начал катастрофически сбрасывать пакеты. При 14 Мбит/с приблизительно на 26 тыс. пакетов приходилось максимум 75 сброшенных - вполне приемлемая цифра. Но при 16 Мбит/с доля потерянных пакетов составила свыше 90%. После достижения этого порога ВЧС прекратила передавать трафик, что привело к неоюходимости перезапуска firewall-системы.
Управление firewall-системой, как локальное, так и удаленное, осуществляется через приложение консоли MMC. С учетом широкого набора функциональных возможностей, конфигурация представляет собой не требующий особых усилий процесс. "Спускаясь" вниз по ветвям "управляющего дерева", возможно обращаться почти к любому элементу firewall-системы. Дополнительные возможности предоставляются посредством нажатия правой кнопки мыши. Особенно полезными были найдены отчеты о произведенном конфигурировании. Raptor обеспечивает широкие возможности для создания отчетов, содержащих детальную информацию о конфигурации как системы в целом, так и различных сочетаний ее элементов. Этот инструмент дает возможность точно увидеть, как определены правила, не заглядывая в каждое из них в отдельности.
Хотя удалось подключиться и управлять несколькими системами Raptor через MMC-консоль, не было возможности управлять всеми устройствами как единым целым, как это можно делать, работая с продуктами фирм Check Point и Cisco. Здесь каждая firewall-система представляет собой отдельную сущность и должна конфигурироваться отдельно, что во многом напоминает интерфейс удаленного управления продукта NetScreen-100. Это становится критически важным при настройке ВЧС. Установка параметров ВЧС не представляет особой сложности, но очень утомительна. Работая с VPN-1 Gateway и PIX Firewall 520, возможно определять стратегию защиты ВЧС, устанавливать взаимоотношения между шлюзами и распределять информацию по firewall-системам за один шаг. Используя продукты Raptor Firewall, NetScreen-100 и Sidewinder вы вынуждены работать с каждой системой в отдельности, вводя одни и те же параметры по несколько раз. Это неизменно ведет к незначительным на вид, но порою фатальным ошибкам.
Откровенно говоря, возможности средств генерации отчетов системы Raptor оставляют желать много лучшего. Данный продукт особенно слаб в области детализированного протоколирования сеансов связи и представления этой информации в отчетах. Хотя тесты на производительность и защиту сгенерировали довольно большой объем записей в журналах, разобраться в них было довольно трудно. Отвергнутые попытки доступа порождали по три записи в журнале, но эти три записи редко следуют друг за другом. Некоторые из записей о событиях не содержали соответствующих IP-адресов источника или назначения, а некоторые были совершенно непостижимы для понимания. Еще хуже то, что отсутствует способ немедленно определить, были ли отклонены те или иные попытки установления соединений. При сканировании портов просто сообщалось о попытках соединений.