Технический обзор
Они необходимы для каждого узла Internet. Знание сетевых протоколов — источник прибыли для VAR’ов

Феноменальный рост Сети вынуждает корпорации спешить с подключением к Internet. Некоторые так торопятся, что забывают даже о безопасности. Спасением для них и неплохим источником существенных прибылей для реселлеров могут стать брандмауэры, защищающие корпоративные сети от внешнего мира.

И все же несмотря на многочисленные разговоры о безопасности в Internet, брандмауэры пока еще не получили массового распространения. Установка даже простейших из них — отнюдь не простое дело. Реселлер должен обладать хорошим знанием сетевых протоколов и внутренних возможностей операционных систем. Кроме того, требуется и полное понимание инфраструктуры фирмы клиента.

Специалисты Тест-центра CRN испытали пять вариантов решений для фильтрации приложений, работающих на платформе Microsoft Windows NT 4.0. В обзоре не рассматривались брандмауэры, выполняющие только функции фильтров пакетов и так называемые фильтры «контроля состояния». Испытывались AltaVista Firewall 97 фирмы AltaVista Internet Software, CSM Proxy Plus фирмы Computer Software Manufaktur USA, Guardian фирмы LanOptics, Firewall/Plus фирмы Network-1 Software & Technology и Eagle NT фирмы Raptor Systems. Цена изделий варьируется от 600 до 20 тыс. долл.

Консультации по построению стратегии защиты

Брандмауэры предоставляют реселлерам возможность собрать хороший финансовый урожай на ниве консалтинговых услуг, если не ограничиваться продажей все новых и новых продуктов.

Брандмауэр — всего лишь один из компонентов корпоративной системы безопасности. Не менее важны и средства, обеспечивающие защиту сети от вирусов, которые могут проникнуть с электронной почтой или информационным наполнением. В систему защиты должны быть включены и программы проверки пароля, которые анализируют как обычные слова, так и местоимения, довольно часто используемые в качестве пароля. Но все эти средства и функции теряют смысл, если нет надлежащей стратегии организации защиты и обучения пользователей. И именно на этом направлении опытный реселлер сможет выиграть соревнование с конкурентами. А первым шагом должен стать анализ средств защиты, дающий реселлеру фактический материал, необходимый для выбора наилучшего решения.

Основные сведения о брандмауэрах

Самый лучший способ общения с публикой — ограничить так называемую зону риска, пропуская весь трафик через некие защитные барьеры. Прежде чем попасть в корпоративную зону, пакеты информации должны быть проверены брандмауэром. Первые брандмауэры назвали «бастионами» больших компьютеров, они в чем-то напоминали мощные фортификационные сооружения средневековых замков.

Брандмауэры бывают двух основных типов: фильтры пакетов и фильтры прикладных программ. Фильтры пакетов просматривают информацию о маршруте сообщения, такую, как сведения об отправителе, получателе и номере порта. В отличие от них фильтры прикладных программ работают своеобразными посредниками, анализируя и передавая данные, проходящие между частной и общедоступной сетью.

В сущности фильтры пакетов работают на сетевом уровне. В фильтрах прикладных программ обычно имеется модуль доступа (proxy), где пользователь должен зарегистрироваться, что гарантирует отсутствие прямого контакта с общедоступной сетью. Как правило, для каждого типа прикладных программ требуется отдельный модуль доступа, например FTP, HTTP или DNS.

Контроль состояния представляет собой усовершенствованную разновидность фильтра пакетов. Он помнит, какие номера портов были использованы для каких соединений, и закрывает доступ к порту, когда контакт прерывается. Это весьма удобно для приложений, открывающих по нескольку портов, таких, как FTP. Взломщики (не путать с хакерами — программистами-фанатиками) часто сканируют порты высокого уровня в надежде найти открытый, оставленный давно ушедшим FTP-пользователем.

Ничего лишнего

Знание сетевой инфраструктуры — вопрос первостепенной важности. Самый надежный в мире брандмауэр не защитит корпоративную сеть от модема в рабочей станции, которая зарегистрирована в корпоративной сети и использует связное ПО. Не защитит он интрасеть и от тех, кто использует в качестве пароля собственное имя.

Первый уровень защиты — операционная система. Взломщики одними из первых читают отчеты об ошибках в операционных системах и могут воспользоваться этими лазейками, чтобы взломать защиту и проникнуть сквозь брандмауэр.

Реселлеры должны использовать только те службы и протоколы, которые необходимы для того, чтобы брандмауэр мог выполнять свое назначение. Службы же типа RPC (Remote Procedure Commands) открыты для сканирования, и если взломщик обнаружил службу RPC, то у него (или у нее) есть все шансы обойти защиту. Даже такая простая услуга, как трассировка маршрута, может помочь взломщику понять структуру сети.

Реселлер должен знать, каким системам можно доверять, и ясно представлять себе степень их надежности. Взломщик Кевин Митник смог бы проникнуть в сеть, обманув сервер, который доверяет другому серверу. Он нашел бы главный компьютер, которому разрешено входить на сервер на основе доверия, т. е. без пароля. Затем, подделав IP-адрес, он выдал бы свой компьютер за тот, которому разрешен доступ без пароля.

Конфигурирование брандмауэров для доступа к Web может открыть дверь «троянскому коню», проникшему вместе с исполняемым информационным содержанием, например Java или ActiveX. Классический «троянский конь» подменяет программу смены пароля. Когда пользователь меняет пароль, «троянский конь» перехватывает информацию и изменяет пароль, одновременно сообщая его взломщику.

Брандмауэры, равно как и корпоративные сети, — растущие и развивающиеся системы, требующие постоянного обслуживания. Взломщики поумнее обычно заметают следы, так что очень важны активные действия при первых признаках возможного проникновения. В этом случае нужно немедленно защитить файлы регистрации и запустить средства слежения. Это может произойти только в том случае, если кто-то «прощупывает» брандмауэр. При подозрении на взлом продукт AltaVista Firewall 97 переключает фон монитора брандмауэра на мигающий красный. В подобной ситуации может быть важен каждый бит.

Различия могут быть значительными

Большинство поставщиков обеспечивают работу максимум двух сетевых интерфейсов. LanOptics — до трех сетевых интерфейсов, а CSM-USA — столько, сколько способен обеспечить сервер. Это может вносить большие различия в сетевую среду, где устанавливаются общедоступные Web-серверы. Третья демилитаризованная зона (demilitarized zone, DMZ) может защитить целостность информационного содержания на таком Web-сервере.

Вряд ли какому-нибудь реселлеру понравится, если некий взломщик подрисует усы и рога на фото президента компании.

Степень управления брандмауэров варьируется от демонстрации нескольких экранов с подсказками до полного запирания операционной системы и отказа от дистанционного управления. Так, AltaVista фактически требует от реселлера использовать в качестве идентификатора администратора нечто более сложное, чем просто слово «администратор».

Брандмауэры — системы, требующие от реселлеров больших затрат времени, но они обеспечивают высокий уровень маржи и хорошие доходы от последующего технического обслуживания.

Мудрые реселлеры сумеют убедить своих клиентов провести ревизию средств защиты и выработать стратегию защиты еще до того, как придется выбирать брандмауэр, наилучшим образом отвечающий потребностям конкретного клиента.

Именно таков верный путь к надежной защите интересов и клиента, и реселлера.

Сравнительные характеристики
**** Отлично
*** Выше среднего
** Приемлемо
* Нуждается в совершенствовании
УстановкаПростота использованияФункциональные возможностиИнтеграцияМасштабируемостьОбщая оценка
AltaVista Firewall 97 ********************
CSM Proxy Plus *************
LanOptics Guardian 2.0 *************
Network-1 Firewall/Plus NT *********
Raptor Eagle NT 3.0 *****************
В таблице не учтены результаты анализа программ поддержки каналов, вклад которых при присуждении отличия «Выбор редакции» составляет 50%.

Версия для печати (без изображений)