Действующие лица и исполнители

Действующие лица и исполнители

Обзор межсетевых экранов, представленных на российском рынке средств обеспечения информационной безопасности

Михаил Кадер, системный разработчик
Cisco Systems, CCIE № 3831, CISSP

В рамках нашего обзора мы не планировали охватить все представленные на отечественном рынке межсетевые экраны, а решили остановиться лишь на самых широко известных продуктах из числа программно-аппаратных межсетевых экранов, Межсетевые экраны (МСЭ) все еще остаются одним из наиболее востребованных средств обеспечения защиты ресурсов от несанкционированного доступа. Они способны как разрешить избирательный доступ внутрь сети, так и ограничить доступ вовне, что должно соответствовать правилам, прописанным в корпоративной политике безопасности.

Каждый в своем классе

Рассмотрим основные типы МСЭ.

Первое поколение экранов выполняло функции «пакетных фильтров», то есть администратор должен был попросту задать список адресов и номеров портов прикладных протоколов отправителей/получателей, а межсетевому экрану оставалось их либо пропустить, либо заблокировать. Но многие Интернет-протоколы не ограничиваются лишь заголовками самого протокола IP и транспортных протоколов TCP/UDP. Они также содержат массу полезнейшей служебной информации об адресации или открытии дополнительных соединений непосредственно в самом теле пакета. Примерами служат протоколы FTP, DNS, H.323 и многие другие.

Необходимость корректно фильтровать подобные протоколы привела к появлению следующего класса МСЭ, основанных на принципе проксирования. Такой экран представляет собой сервер-посредник, который терминирует на себе сетевую сессию. Он разбирает ее вплоть до прикладного уровня, и, если она отвечает заданным правилам, «продолжает» сессию дальше. Этот метод обеспечивает весьма детальный анализ протоколов, но обладает парой недостатков. Первый из них — не слишком высокая производительность, второй — уровень надежности самой системы. Такой межсетевой экран сам оказывается доступным прикладным сервером и поэтому подвержен различным атакам, начиная от попыток взлома и заканчивая атаками типа «отказ в обслуживании».

В случае устранения названных недочетов современные межсетевые экраны получают возможность анализировать передаваемый через них трафик вплоть до прикладного уровня буквально «на лету», а также учитывать дополнительные параметры — например флаги, описывающие состояние соединений, и т.п. Именно это поколение МСЭ считается наиболее популярным и востребованным в настоящий момент. Практически все современные межсетевые экраны реализуют функцию построения виртуальных частных сетей (VPN) на базе стандарта IPsec. Они могут быть тесно интегрированы с продуктами, обеспечивающими другие средства безопасности, например антивирусную проверку, фильтрацию содержимого, аутентификацию и т.п.

Мы знаем их всех поименно

Желающим познакомиться со списком лидеров в данной области интересно будет обратить внимание на очередной отчет компании Gartner, где, прежде всего, отмечены Checkpoint, Juniper и Cisco Systems. Далее со значительным отрывом идут компании Forti-net, Secure Computing и WatchGuard. Остальные игроки уступают вышеуказанным компаниям и в технологическом плане, и в умении завоевывать свое место на рынке.

Как на экране

Еще одним важным аспектом проблемы защиты информационных ресурсов является непосредственно реализация межсетевого экрана. С этой точки зрения продукты можно разделить на два основных класса — программные и аппаратные (программно-аппаратные). Программные экраны представляют собой программное обеспечение, устанавливаемое на компьютер, обычно под управлением таких операционных систем, как *nix (Solaris, Linux, HP-UX, и т.п.) или Microsoft Windows. Именно ПО и превращает МСЭ в межсетевой экран. Достоинством таких вариантов является простота интеграции с сервисами операционной системы, например аутентификацией, и привычный метод установки, настройки. К недостаткам стоит отнести непрогнозируемую производительность, необходимость дополнительно заниматься настройкой операционной системы и сложность технической поддержки.

Не случайно многие заказчики предпочитают использовать аппаратные межсетевые экраны, то есть специализированные устройства, имеющие несколько сетевых интерфейсов и часто работающие под управлением своей собственной, специализированной операционной системы. Обычно их отличает более высокая — по сравнению с программными экранами — производительность и большее удобство технического сопровождения. В качестве распространенных в России решений подобного класса следует назвать продукцию компаний Cisco Systems, Juniper, D-Link, 3COM, Symantec, ZyXEL.

Защита изнутри и снаружи

Рассмотрим основные варианты применения межсетевых экранов. Изначально экран служил только для защиты внутренней сети предприятия от несанкционированного доступа из сети Интернет. Но как показывает опыт в сочетании со статистикой, наибольший ущерб наносят атаки «изнутри», исходящие от сотрудников предприятия. Поэтому один из вариантов использования МСЭ в настоящее время — это контроль доступа между сегментами с разными политиками безопасности внутри корпоративной сети. И в этом случае ключевыми критериями выбора являются производительность, масштабируемость и отказоустойчивость.

Если у предприятия имеется большое количество удаленных подразделений, то необходимо учитывать вопрос централизованного управления множеством МСЭ на основании шаблонов конфигураций, а то и политик. Когда же речь идет о межсетевых экранах, используемых операторами услуг (провайдерами), то тут начинают играть роль другие факторы. Например, перспектива централизованного мониторинга и управления множеством независимых экранов для предоставления услуги по управлению межсетевыми экранами заказчиков (Managed Firewall Services). Или вариант разбиения одного высокопроизводительного межсетевого экрана на какое-то количество логических межсетевых экранов, обслуживающих различных заказчиков или реализующих контроль доступа для центра хостинга. Основными компаниями, утвердившимися в этом секторе рынка, являются компании Cisco Systems, Juniper, Checkpoint (на платформе Nokia) (рис. 1).

А вот для маленьких офисов и надомных пользователей большое значение имеет цена и простота работы межсетевого экрана. Здесь на первый план выходят иные действующие лица — компании D-Link, ZyXEL, SonicWall, WatchGuard и ряд других (рис. 2).

Не упустить из виду

Еще одним немаловажным моментом, на который следует обратить внимание, является сертификация. В том случае, когда предприятия имеют дело с информацией, которая содержит сведения, составляющие государственную тайну, со служебной информацией ограниченного распространения и прочей информацией, охраняемой государством, они обязаны использовать сертифицированные межсетевые экраны. Сертификация проводится ФСТЭК России (ранее — Гостехкомиссия при Президенте РФ), органом, отвечающим за сертификацию средств защиты информацию. Так что при выборе межсетевого экрана полезно поинтересоваться наличием у него соответствующего сертификата. Этому условию отвечает продукция отечественных разработчиков: ФГУП «НТЦ АТЛАС», «Инфосистемы Джет», «Элвис Плюс» и некоторых других. При этом ряд устройств западных компаний, таких как Cisco Systems, Checkpoint, тоже успешно прошли названную сертификацию.