|ГЛАВНАЯ|     |О ЖУРНАЛЕ|      |АРХИВ|      |ПОДПИСКА|     |РЕКЛАМНЫЙ ОТДЕЛ|    |КОНТАКТЫ|     |СОДЕРЖАНИЕ НОМЕРА|     |НОВОСТИ|      |ПРОЕЗД|       |КАРТА САЙТА|

№6(25)2005

 

 

Константин КОВАЛЕНКО

За огненной стеной 

Кто хочет жить в мире, тот должен готовиться к войне.

Николо Макиавелли

Использование межсетевых экранов - весьма популярный способ защиты данных от внешней агрессии. Поэтому не случайно производители предлагают довольно разнообразный набор моделей. На украинском рынке также существует богатый выбор моделей межсетевых экранов, им и посвящается этот обзор.

 

 

 

 

В современном мире, где информация является одним из наиболее ценных товаров, просто хранить ее - еще не значит владеть ею. Необходимо уметь защитить данные, тем самым сохранив их ценность. Есть несколько способов эффективной защиты. Самый надежный - просто отключиться от сети. . Можно поместить свой компьютер в экранированный бункер - тогда угроза утечки информации тоже не страшна. Возможно, кого-то это устроит. Существуют организационно-правовые методы защиты, сводящие к минимуму способы выведывания кодов доступа к информации без «взлома». И наконец, существует целая совокупность программно-аппаратных средств, позволяющих защитить информацию прямо в сети.

В этой статье мы не будем затрагивать многоликость темы «безопасность информационной сети», поскольку нельзя объять необъятное. Остановимся лишь на одном из элементов эффективной защиты сети - межсетевых разграничивающих устройствах (межсетевых экранах), позволяющих анализировать информационный поток на границе между внутренней и внешней сетью (в частности, Интернетом) согласно политике безопасности, заданной администратором сети.

Корни терминологии

Немного о происхождении самого термина. В отечественной литературе термин межсетевой экран появился относительно недавно. До этого использовали термины «брандмауэр» (пожарная стена - нем.) и firewall (стена огня - англ.). Вне компьютерной терминологии брандмауэр - это противопожарная стена, выполненная из негорючих материалов, которая разъединяет либо смежные помещения одного здания, либо два смежных здания, препятствуя распространению пожара. Термин firewall надолго влился в речь специалистов с выпуском компанией Check Point программного комплекса Firewall-1. Были попытки разграничить значения этих названий, называя брандмауэрами аппаратные решения, а «файерволами» - программные. Однако терминология не устоялась, и вместо этого возник единый термин - межсетевой экран (МСЭ).

Защита от атак

Классифицируем кратко атаки, которые способны отражать межсетевые экраны:

1. Подмена адреса источника пакета (IP-spoofing). Суть данной атаки заключается в том, что, подменив IP-адрес, хакер может либо получить доступ к конфиденциальной информации, либо проводить атаку, скрывая при этом настоящий IP-адрес. Существует два способа реализации атаки: маршрутизация от источника (Source Routing) и ремаршрутизация (Re-routing). В первом случае контролируемый хакером маршрутизатор может явно указывать путь для прохождения пакетов. Во втором случае маршрут можно изменить, посылая пакеты по протоколу RIP с нужным для хакера путем прохождения. Значительно ослабить (но не устранить полностью) атаку можно, отсекая весь трафик извне с адресом, который должен располагаться в пределах внутренней сети, а также отсекая весь исходящий трафик, адрес которого не является адресом внутренней сети.

2. Злоупотребление доверием. Подразумевает злонамеренные действия, направленные на получения доступа к сервисам сети, с которыми установлены «доверительные отношения». При этом взлом одного из сервисов открывает доступ к остальным, с которыми установлены доверительные связи. Эффективность таких атак в значительной мере снижается ограничением доверия между узлами и настройкой правил межсетевого экрана для разграничения уровня доверия.

3. Атака DoS (Denial of Service - отказ в облуживании) и распределенная атака, ведущаяся одновременно с различных адресов - DDos(Disturbed DoS). Эта наиболее часто встречаемые и наиболее опасные атаки (хотя, с первого взгляда, они очень просты в реализации), ведущиеся с целью создать нагрузку на сетевое оборудование нежелательными или ненужными пакетами или сообщить ложную информацию о состоянии сетевых ресурсов. Важно отметить, что производительность оборудования на атакующей стороне должна быть выше, чем на атакуемой. Учитывая высокий уровень производительности активного оборудования корпоративного и операторского уровня, сейчас все чаще применяются атаки типа DDoS, ведущиеся одновременно с большого количества сетевых адресов. Межсетевые экраны имеют функции распознавания этих атак, позволяют ограничить количество одновременно открытых сессий и объем трафика ICMP (Internet Control Message Protocol), тем самым предупреждая перегрузки.

Здесь важно отметить, что межсетевые экраны лишь разграничивают трафик внутренней и внешней сети и могут противодействовать атакам, ведущимся из внешней сети на адрес локальной внутренней сети. Для обнаружения и предотвращения атак внутри сети существует другие классы устройств - системы обнаружения вторжений (Intrusion Detection System - IDS) и системы предотвращения атак (Intrusion Prevention System - IPS); в данной статье они не рассматриваются.

Аппаратные и программные реализации

Существуют как программные, так и аппаратные реализации межсетевых экранов, каждая из которых имеет свои положительные и отрицательные стороны. Проведем краткий сравнительный анализ программных и аппаратных МСЭ. При программной реализации межсетевой экран представляет собой программное обеспечение, которое запускается на выделенном сервере и функционирует под управлением универсальной сетевой операционной системы. Программный МСЭ очень гибкий в настройке и легко дополняется новой функциональностью. При этом цена программного продукта, как правило, ниже стоимости аппаратного решения.

Аппаратные решения имеют свою аппаратную платформу и операционную систему, написанную с учетом специфики оборудования и решаемых задач, при этом главный акцент сделан не на функциональность операционной системы, а на отказоустойчивость и стабильность работы. Такие решения дороже, но настройка их проще - ведь настраивается лишь необходимая политика безопасности, внутренняя операционная система уже настроена. Аппаратные МСЭ могут быть конструктивно реализованы в виде отдельного устройства либо входить в состав маршрутизаторов или коммутаторов как модули расширения или как программный набор функций (future set), расширяющий их функциональность. Межсетевыми экранами могут оснащаться и другие различные системы, например, модемы xDSL, устройства VPN, беспроводные точки доступа.

Далее мы остановимся лишь на аппаратных решениях, поскольку они имеют больше преимуществ, при этом проще в обслуживании и больше подходят для операторских и корпоративных решений, где необходимы легкость конфигурирования и высокая отказоустойчивость оборудования.

Уровни «пожароустойчивости» огненных стен

Межсетевые экраны можно также условно разделить на классы, согласно уровням модели взаимодействия открытых систем (Open Systems Interconnection, OSI):

• МСЭ сетевого и транспортного уровня (packet-swit-ched firewall);

МСЭ сеансового уровня (circuit-level gateway);

МСЭ прикладного уровня (application-level gate-way);

• МСЭ экспертного уровня (Statefull Packet Inspections), работающие практически на всех уровнях OSI.

МСЭ сетевого взаимодействия обеспечивают фильтрацию пакетов и наиболее просты в реализации. По заданным администратором спискам контроля доступа ACL (Access Control List) проводится анализ адресов отправителя и получателя пакетов и номера протокола, но при этом не анализируются информация, содержащаяся в пакетах. Эти решения позволяют ограничивать трафик и разбивать сеть на области с различным уровнем доверия.

Просмотр невозможен

Рис. 1. Топология сети с общим межсетевым экраном  

МСЭ сеансового уровня работают на сетевом, транспортном и сеансовом уровнях взаимодействия. Такие устройства могут формировать динамические правила прохождения пакетов информации, согласно которым при установлении сессии, разрешенной списком контроля доступа, МСЭ создает таблицу прохождения пакетов (session state table) за пределы периметра сети. После этого МСЭ обеспечит прохождение внешних пакетов на тот же порт и на тот же адрес, с которого была инициирована сессия. Как и в предыдущем случае, полезная информация в пакетах не анализируется. Такие устройства позволяют предотвратить атаки типа DoS (Denial of Service - отказ в обслуживании), не позволяя открыть сессий больше, чем устройство сможет обработать, и запретить сессии, инициируемые из внешней сети.

МСЭ прикладного уровня работают на верхнем (прикладном) уровне OSI и позволяют производить анализ передаваемой информации. Различают два подкласса: • «прозрачные» МСЭ (transparent); • МСЭ-посредники (proxy).

Первые называются «прозрачными» изза прозрачности прохождения информации и отсутствия необходимости в специальной настройке клиентских и серверных приложений. Вторые устанавливают отдельные сессии с клиентом и сервером и являются транзитной точкой на пути прохождения пакетов по маршруту «клиен-тсервер». Каждый вариант имеет свои преимущества - используя «прозрачные» МСЭ можно добиться высокой производительности, а при использовании «посредников» - повышенной защищенности.

МСЭ экспертного уровня с полной пакетной проверкой (Statefull Packet Inspections) производят анализ пакетов практически на всех уровнях OSI - начиная с сетевого и заканчивая прикладным. Именно этот класс устройств наиболее перспективен и активно развивается. Такие МСЭ проверяют корректность работы приложений по протоколам прикладного уровня, могут блокировать отдельные команды протоколов, контролировать корректность их работы, последовательность команд и формат структуры пакетов.

Подавляющее большинство выпускаемых в настоящее время устройств могут производить полную пакетную проверку. Однако в недорогих устройствах такой анализ выполняется, как правило, лишь для протокола HTTP.

Существует еще один тип анализа - углубленная проверка пакетов (Deep Packet Inspection). Такой тип анализа применяется в устройствах предотвращения и обнаружения атак и МСЭ высокого класса защиты. В отличие от полной пакетной проверки здесь анализируется не только заголовок и проверяется корректность работы протокола, но и «просматривается» содержимое пакета. Такой анализ может обнаруживать скрытые атаки и потенциально опасное содержимое, например, вирусы и троянские программы.

Отметим еще один нюанс, который касается поддержки VPN межсетевыми экранами. Эта функция давно стала стандартной и продиктована не только удобством (не нужно покупать отдельное устройство), но и жесткой необходимостью. Дело в том, что если для шифрования и дешифрования трафика, проходящего через VPN-тоннель, используется отдельное устройство, находящееся внутри сети, то МСЭ не сможет выполнить анализ зашифрованного трафика и, соответственно, не сможет ограничивать доступ к сети. Кроме того, если мы вынесем это устройство за пределы сети, оно может быть подвержено атакам извне. Поэтому современные МСЭ имеют модуль VPN, позволяющий вначале расшифровывать трафик, а затем производить его фильтрацию.

Строим «стену огня»

Рассмотрим топологию подключения межсетевых экранов. В общем случае МСЭ устанавливается на границе периметра локальной сети (рис. 1). Недостаток такой архитектуры в том, что МСЭ блокирует любую внешнюю активность, включая ресурсы, предназначенные для всеобщего пользования. Если настроить политику безопасности так, чтобы был разрешен доступ извне, - корпоративная сеть будет подвергаться не только атакам, но и перегрузкам из-за большого объема входящего трафика. Размещение же сервисов за пределами МСЭ полностью лишит их защиты. Чтобы защитить общедоступные ресурсы от внешних атак, создается так называемая демилитаризованная зона» (DMZ-зона), разделяющая корпоративную сеть и серверы общего доступа например, FTP, DNS, WWW, др.) (рис. 2). При этом внешний МСЭ будет отражать атаки извне, беспечивать доступ к общедоступным сервисам и блокировать несанкционированный доступ к корпоративной сети извне, разрешая все же пользователям выходить из локальной сети в Интернет, - это обеспечивается списками контроля доступа и политикой безопасности, заданной администратором сети. Доступ из локальной сети к общедоступным сервисам и выход в Интернет обеспечит внутренний МСЭ. Разделение на внутренний и внешний МСЭ - чисто условное и отнюдь не означает, что это разные устройства. Очень часто «демилитаризованная зона» организовывается внутри одного устройства. На рис. 3 приведен пример подключения интерфейсов МСЭ.  

Просмотр невозможен

Рис. 2. Топология сети с DMZ-зоной

Просмотр невозможен

Рис. 3. Структурная схема организации сети с DMZ-зоной

 

Если необходимо обеспечить повышенную защищенность или есть необходимость в разграничении большого количества сервисов сети, создается несколько DMZ-зон, которые располагаются последовательно (рис. 4). Причем для перехода из одной зоны в другую может использоваться идентификация и авторизация пользователя.

Просмотр невозможен

Рис. 4. Топология сети с двумя DMZ-зонами

Интерфейсы DMZ-зоны могут быть жестко привязаны к портам МСЭ либо назначаться программно при конфигурации МСЭ через консоль управления или Web-интерфейс.

Какими же общими чертами обладает усредненный «портрет» межсетевого экрана? Как правило, это устройство, которое может выполнять фильтрацию на всех уровнях модели OSI, имеет отдельные интерфейсы WAN и LAN, поддерживает списки доступа ACL и VPN-шифрование, а также скрывает IP-адреса внутренней сети (NAT) и порты приложений (PAT). Дополнительно может обеспечиваться фильтрация сетевого контента, антивирусный анализ и обнаружение атак по сигнатурам. Программное обеспечение МСЭ устанавливается вручную, однако база сигнатур обновляется автоматически непрерывно с сайтов производителей либо компаний, сертифицированных производителями МСЭ.

Рассмотрим ряд решений, предлагаемых на украинском рынке ведущими производителями активного сетевого оборудования.

Специализированные устройства

Компания Cisco Systems предлагает МСЭ, соответствующие продвигаемой ею стратегии «самозащищаемой сети». Серия аппаратных МСЭ Cisco PIX firewall работает под управлением специализированной операционной системы реального времени PixOS. Устройства позиционируются для широкого сегмента рынка, начиная с малых офисов и заканчивая крупными корпорациями и операторами связи.

В серию продуктов входят модели Pix 501/506E/515E/525/535 (рис. 5), имеющие от 1 до 10 интерфейсов Ethernet 10/100 (модели Pix 525/535 имеют интерфейсы Ethernet 10/100/1000). Производительность работы МСЭ, в зависимости от модели, составляет от 60 Мбит/с до 1,6 Гбит/с, количество одновременно поддерживаемых сессий - от 19,5 тыс. до 1 млн.

Начиная с модели Pix 515E есть возможность установить VPN-карту, которая позволяет довести количество одновременно поддерживаемых VPN-туннелей до 2 тыс. В связи с необходимостью анализа мультимедийных потоков данных вся линейка продуктов Cisco умеет работать с протоколами H.323, SIP, SCCP, MGCP, RTSP, а также GTP/GPRS. Все модели межсетевых экранов могут анализировать пакеты на прикладном уровне по технологии «сквозного посредника» (Cut-Through Proxy). Благодаря применению алгоритма адаптивной защиты (Adaptive Se-curity Algorithm - ASA) реальные адреса пользователей и порты приложений скрываются, что позволяет запретить прямую атаку конкретного пользователя.

Поставки оборудования Juniper Networks в Украину начались сравнительно недавно. Однако новичком на рынке Juniper назвать нельзя - серьезность своих намерений она подкрепляет качеством своей продукции. МСЭ-экраны представлены моделями NetScreen 5XT/5XG/25/50/204/208/500/5200/5400, которые работают под управлением операционной системы ScreenOS. В зависимости от модели (кроме 500, 5200 и 5400) устройства имеют от 4 до 8 интерфейсов Ethernet 10/100. Производительность МСЭ - от 50 до 550 Мбит/с. Максимальное количество сессий - от 2 до 128 тыс.

Модель Netscreen 500 (рис. 6а) может комплектоваться 8 интерфейсами Ethernet 10/100 либо 8 mini-GBIC либо 4 GBIC и поддерживает до 250 тыс. сессий, обладая производительностью в 750 Мбит/с. Старшие модели 5200 и 5400 (рис. 6б) имеют 2 и 6 интерфейса XFP 10Gig соответственно. Эти модели обладают рекордной производительностью в 10 и 30 Гбит/с, поддерживая до 1 млн. сессий и позволяя обслуживать сети уровня корпораций и операторские сетевые решения. Все указанные модели поддерживают протоколы маршрутизации OSPF, BGP, RIP версий 1 и 2.

В продуктах компании Nortel в качестве ядра используется разработка компании CheckPoint - программный сетевой экран Firewall-1. Выпускаются две линейки МСЭ: Switched Firewall 5100 (включающая модели 5106, 5111, 5114 и 5124) и Accelerated Firewall System 6000 (6416, 64264, 6616 и 66264). Первая линейка - это аппаратные МСЭ, вторая - специальные устройства-«ускорители» (коммутаторы), которые предназначены для совместной работы с оборудованием серии 5100. При этом модели SF выступают в роли ведущих (Director), а ASF - в роли ведомых устройств (Accelerator) (рис. 7).

Такой подход обеспечивает масштабируемость систем безопасности и позволяет уменьшить первоначальные затраты на покупку оборудования. Производительность МСЭ 5100-й серии составляет 0,36-1,6 Гбит/с, при этом могут поддерживаться от 250 до 500 тыс. сессий. При использовании тандемной работы с 6000-й серией эти параметры увеличиваются: производительность возрастает до 5-7 Гбит/с, максимальное количество сессий - до 2 млн. Производительность VPN подсистемы - от 10 до 20 тыс. туннелей для серии 5100 и 25 тыс. - для серии 6000. Устройства поддерживают анализ пакетов на уровнях 4-7 и протоколы SIP и VoIP для передачи трафика в конвергентных сетях.

Межсетевые экраны компании D-Link условно можно разделить на 2 сектора - устройства для малого и среднего бизнеса (DFL-200/700/800) и корпоративного уровня (DFL-900/1100/1500/1600/2500) (рис. 8). Последние имеют 1U исполнение и предназначены для установки в коммутационные стойки и шкафы. Вся линейка устройств имеет производительность от 60 до 600 Мбит/с и может поддерживать от 2,5 тыс. до 1 млн. открытых сессий и от 50 до 2500 VPN-тоннелей. Устройства DFL-900/1500/1600/2500 поддерживают динамическую маршрутизацию трафика и маршрутизацию на основе политик. Одна из особенностей моделей DFL-800/1600/2500 - реализация фирменной технологии Zone Defense. Ее суть заключается в том, что МСЭ может заблокировать порт, если обнаружит, что с него ведется атака или совершаются подозрительные действия.

Придерживаясь идеологии распределенной многоуровневой защиты периметра сети, компания 3Com предлагает на рынке систему Embedded Firewall Solution - МСЭ, объединенный с сетевой картой, а также МСЭ в виде отдельного устройства - OfficeConnect VPN Firewall.

Система Embedded Firewall Solution включает в себя карты 3Com Firewall PCI и 3Com Firewall PC-Card (рис. 9), которые поддерживают протоколы передачи по витой паре 10 Base-T/100Base-TX и по оптическо-му волокну 100Base-FX. Для работы таких сетевых карт предусмотрено использование программного сервера управления политикой безопасности в сети (Embedded Firewall Policy Server). Важно отметить, что настройка пользовательских сетевых карт производится только с авторизированного сервера политик, а не с рабочего места. МСЭ в сетевых платах реализованы аппаратно и функционируют вне зависимости от операционной системы. Анализируемые протоколы - только на базе IP, остальные либо запрещаются, либо не анализируются. Управление организовано по протоколу SNMP с центрального программного сервера Policy Server.  

Просмотр невозможен

Рис. 5. Межсетевой экран Cisco PIX firewall 525

а)

Просмотр невозможен

б)

Просмотр невозможен

 

Рис. 6. Межсетевые экраны Juniper Netscreen: а - модель 500; б - модель 5400

Просмотр невозможен

Рис. 7. Схема взаимодействия ведущего и ведомого устройств в архитектуре Nortel

Модель OfficeConnect VPN Firewall (рис. 10) является модификацией маршрутизатора OfficeConnect Secure Router и предназначена специально для работы как МСЭ. Устройство имеет 3 порта 10/100 Ethernet и поддерживает 50 VPN-туннелей и 65 000 сессий. Устройство также обеспечивает поддержку PoE и позволяет запитывать удаленные устройства, подключенные к портам.

 а)

Просмотр невозможен

б)

Просмотр невозможен

Рис. 8. МСЭ компании D-Link: а - младшая модель DFL-200; б - флагман линейки продуктов - модель DFL-2500

Просмотр невозможен

Рис. 9. МСЭ 3Com Firewall PCI и 3Com Firewall PC-Card

Просмотр невозможен

Рис. 10. Межсетевой экран 3Com OfficeConnect VPN Firewall

а)

Просмотр невозможен

б)

Просмотр невозможен

Рис. 11. Межсетевые экраны компании ZyXEL: а - младшая модель МСЭ - ZyWall 2EE; б - старшая модель МСЭ - ZyWall 70W

ris_12.jpg (7613 bytes)

Рис. 12. Аппаратный ускоритель TurboCard для МСЭ ZyXEL позволяет выполнять углубленный анализ пакетов на предмет вирусов и опасного содержимого

МСЭ ZyXEL представлены линейкой продуктов ZyWall, в которую входят модели ZyWall 2EE/5EE/35EE/70W (рис. 11). Устройства различных моделей предназначены для обеспечения работы малых (ZyWall 2EE и 5EE), средних (ZyWall 35EE) и крупных корпораций (ZyWall 70EE). Все модели имеют фирменную специализированную операционную систему ZyNos. Практически все модели (кроме младшей ZyWall 2EE) могут создавать DMZ-зону, программно переключая один из интерфейсов в режим DMZ-порта, и дополнительно оснащаться картой расширения стандарта IEEE 802.11b/g для беспроводной связи. Производительность устройств - от 12 Мбит/с до 100 Мбит/с. Модели имеют расширенные функции по работе с Web - ведение журнала сетевой активности, контроль содержимого и поддержка защищенного администрирования SSH и HTTPS. При установке модуля TurboCard формата PC-Card (рис. 12), представляющего собой аппаратный ускоритель анализа пакетов, устройствам доступен углубленный анализ на предмет вирусов и опасного содержимого. В модуле используется технология потоковых сигнатур Лаборатории Касперского, благодаря которой анализ пакетов происходит «на лету», без их сборки.

Продукция фирмы Clavister совсем недавно дебютировала на нашем рынке. Устройства имеют фирменное программное обеспечение, умеют выполнять распознавание приложений, проводить углубленный анализ пакетов и фильтрацию контента, а также распознавать и предотвращать атаки. Вся продукция включает 5 серий: 30, 200, 3100, 4200, 4400 (рис. 13). Производительность систем - от 50 Мбит/с до 4 Гбит/с, поддерживаются от 5 тыс. до 5 млн. сессий и до 2000 VPN-туннелей. Устройства имеют от 3 до 14 интерфейсов Ethernet, при этом начиная с модели SG 4210 поддерживаются интерфейсы mini-GBIC. Благодаря наличию NAT, PAT и SAT (Static address transla-tion) можно полностью скрыть внутреннюю топологию локальной сети. В устройствах предусмотрены также системы протоколирования событий и сбора статистики.  

Маршрутизаторы с межсетевыми экранами

Маршрутизаторы также могут выполнять функции МСЭ. В настоящее время у каждого производителя сетевых устройств такая функциональность либо уже есть изначально, либо может быть добавлена. Существует два способа добавления функций межсетевого экрана в такие устройства.

1. Установка дополнительного программного обеспечения для операционной системы маршрутизатора (future set), позволяющего добавить функции МСЭ либо активировать существующие, но заблокированные функции.

2. Установка дополнительного аппаратного модуля. При этом весь поток пакетов передается на модуль, который и принимает на себя функции анализа трафика.

Каждый из этих подходов имеет свои достоинства и недостатки. В первом случае стоимость приобретения будет ниже, однако общая производительность устройства существенно снизится, ведь часть ресурсов будет затрачена на дополнительный, углубленный анализ трафика. Такой вариант приемлем для случая, когда производительность активного оборудования превышает пиковую сетевую нагрузку. Когда это условие не выполняется, устанавливается отдельный аппаратный модуль, выполняющий анализ трафика. Следует отметить, что установка этого модуля должна быть предусмотрена производителем, поэтому стоит задуматься о возможности такого расширения еще на этапе приобретения активного оборудования. Решения МСЭ на базе маршрутизаторов имеют компании Cisco (все решения на базе ОС Cisco IOS), Nortel (VPN-машрутизаторы серии 200/600/1000/1700/2700/5000), Juniper (серии J2300/ 4300/ 6300 и M7i/10i/20/40e/320), D-Link (серия DI), Enterasys (серии защищенных маршрутизаторов Matrix XSR 1805/1850/3000), HP (серия 7000 dl), Zyxel (линейки продуктов P334, P335), Allied Telesyn (серии 8800, 9800, AT-AR, RG).

Итоги и тенденции

Подводя итоги, отметим, что при правильном построении сетевой инфраструктуры с межсетевыми экранами важно учитывать три важных момента: защищенность, производительность и отказоустойчивость. В первом случае необходимо точно уяснить, какие именно функции по анализу трафика должно выполнять устройство, приоритетность различной информации и уже исходя из этого - приоритетность ее защиты.

Просмотр невозможен

 Рис. 13. МСЭ серии Clavister 4400

 Межсетевой экран не должен стать узким местом в системе, поэтому производительность устройства должна быть выше пиковой сетевой, дабы МСЭ не подвергался перегрузкам и отказам. И наконец, всегда надо быть готовым к нештатным ситуациям. Используя два устройства, поддерживающих «горячее резервирование», можно застраховать себя от случаев, когда одно устройство выйдет из строя либо подвергнется атаке.

Технологический рост постоянно напоминает о проблеме «щита и меча»: на любое действие необходимо иметь противодействие. С каждым годом появляются новые типы атак, новые «механизмы» взлома. Это отражается в усложнении систем защиты информации. Поэтому тенденции дальнейшего развития МСЭ неодно-значны. С одной стороны, на рынок выходят все новые и новые игроки с новыми решениями в области безопасности сетей, среди которых и МСЭ, включающие в себя все больше и больше функций, позволяющих надежно удерживать оборону периметра сети. С другой стороны, усложнение протоколов на уровне приложений и высокая скорость обмена данными, а также применение средств шифрования и туннелирования, значительно снижает эффективность работы МСЭ. В частности, Open Group, консорциум, пропагандирующий открытые стандарты, опубликовал на своем сайте документ Visioning White Paper, в котором предлагается концепция отказа от создания периметра сети. При таком подходе предлагается использовать системы обнаружения и предупреждения атак внутри сети, а также формировать точки допуска для обеспечения доступа к локальной сети извне. Какой из путей приживется - сейчас однозначно ответить на этот вопрос трудно. Это, скорее, две крайности, и пока оптимальным вариантом будет применение межсетевых экранов в качестве защиты периметра и специальных устройств для обеспечения безопасности внутри сети.

Автор благодарит за консультации Ивана Мартынюка, консультанта по проектам D-Link, и Артема Вижуткина, консультанта отдела поддержки продаж «ИКС-Мегатрейд», а также менед-жеров компаний, предоставивших информацию о продукции: Михаила Скуратовского, официального представителя Allied Telesyn International, Алексея Орапа, консультанта компании Nortel, Евгения Балакина, менеджера по продукции Zyxel, и Гарри Цорна, директора-распорядителя компании Head Technology GmbH.

Константин КОВАЛЕНКО,

konstantin@sib.com.ua

№6(25)2005