Тем не менее, использование всех этих достижений налагает определенную ответственность. Никто не хочет, чтобы его деловая переписка, бухгалтерские отчеты или информация ДСП попали в чужие руки. По материалам ассоциации NCSA (http://www.ncsa.com), в 61 крупных организациях США за последние 3 месяца имели место 142 отдельных инцидента, связанных со взломом сетей, что объясняется недостаточно серьезной оценкой аспектов сетевой безопасности. Firewall является одним из основных компонентов (если не самым главным) для предотвращения таких инцидентов.

Изначально firewall - это огнеупорная стенка, отделяющая водителя в гоночном автомобиле от двигателя. Если при аварии двигатель загорается, водитель остается цел.

Firewall позволяет защитить сеть компании от несанкционированного проникновения из Интернета, в то же самое время, позволяя пользователям внутри компании иметь доступ к Интернету. Многие системы firewall в наше время также имеют средства для контроля, аутентификации и обеспечения конфиденциальности для пользователей, применяющих доступ к внутренней сети компании из Интернета или из другой сети; в наше время такие средства становятся все более и более необходимыми.

Без защиты firewall не стоит и думать о постоянном подключении к Интернету. Даже если вы считаете, что у вас нет секретов от других, всегда в Интернете найдутся желающие залезть на ваш сервер либо из-за желания воспользоваться бесплатными ресурсами, либо просто из любопытства (и в этом нет ничего противоестественного). Скоро вы заметите, что дискового пространства становится маловато, да и канал в Интернет перегружен.

Многие организации используют firewall не только для ограничения доступа из Интернета, но и для защиты центрального компьютера от неконтролируемого доступа внутри самой организации или для того, чтобы обеспечить конфиденциальность информации, циркулирующей внутри сети.

Нередко firewall совмещает свои первичные функции с Web и FTP сервисом, исполняя роль визитной карточки компании в Интернете.

РИСУНОК 1

Разные схемы настройки firewall позволяют сделать акцент либо на разрешении доступа, либо на запрещении. Например, firewall можно настроить так, чтобы он разрешил FTP-доступ из сети A к серверу S, находящемуся в сети B, а любой другой трафик блокировал. Или наоборот, можно разрешить доступ снаружи ко всем ресурсам сети A, кроме порта 5432 на сервере S, на котором сидит сервер базы данных PostgreSQL, таким образом, защитив базу данных от несанкционированного доступа. Обе схемы имеют свои преимущества, однако, по понятным причинам коммерческие организации чаще выбирают первую схему.

Firewall может использовать широкий диапазон параметров для принятия решений: адрес источника, адрес назначения, номера портов, аутентификация источника с помощью DNS сервера, проверку логической структуры пакета и многие другие параметры, включая средства криптографии.

Многие firewall включают механизмы NAT (network address translation - трансляция сетевых адресов). При использовании NAT firewall содержит специальную таблицу трансляции адресов, где каждой паре IP_адрес_интранета/номер_порта соответствует свой номер порта на firewall. IP адреса в исходящих пакетах данных firewall заменяет своим адресом, при этом заменяя номер порта. Для входящих пакетов firewall заполняет поле IP адреса адресом интранет, соответствующим номеру порта. При этом снаружи для всех соединений виден только один IP адрес - адрес firewall, что существенно усложняет задачу взлома сети для злоумышленников.

Часто с помощью firewall организуют такую меру безопасности, как DMZ (de-militarized zone), рис.2. В этом случае один или несколько компьютеров в сети (например, WWW сервер) подключаются к дополнительному сетевому интерфейсу firewall. Таким образом, firewall может полностью контролировать доступ к DMZ, и если один компьютер в DMZ подвергся атаке и пал, сеть организации в целом продолжает оставаться в безопасности.

• firewall сетевого уровня;
• firewall уровня приложений.

На практике системы обоих типов не так уж сильно отличаются друг от друга, к тому же современные технологии firewall еще больше стирают различия между ними, так что сложно сказать какая категория заведомо лучше, а какая хуже для любой заданной задачи.

Firewall сетевого уровня принимает решение, опираясь на такие основные параметры, как адрес источника, адрес назначения и номера портов для каждого отдельного IP пакета. Примером традиционного firewall сетевого уровня может служить простой маршрутизатор, поскольку он не способен распознать, что данный пакет действительно означает в данном контексте или откуда на самом деле пакет пришел. Однако современные системы firewall сетевого уровня (например, маршрутизаторы фирмы Cisco) обладают все большей и большей степенью интеллекта, понимают протоколы более высокого уровня и способны отслеживать контекст соединений, проходящих через них. Самая важная черта firewall сетевого уровня - это то, что они маршрутизируют трафик, поэтому для их использования необходимо иметь блок официально зарегистрированных IP-адресов (такой блок, может быть, сложно получить). Firewall сетевого уровня обычно очень быстрые и прозрачные для пользователей.

Firewall уровня приложений - это обычно сервер с программой proxy (например, Socks proxy), запрещающий прямой трафик между сетями. Нередко термин proxy употребляют для обозначения именно firewall уровня приложений. Поскольку proxy является программным компонентом, это позволяет вести самый тщательный контроль доступа и протоколирование сессий пользователей. Firewall уровня приложений также очень часто содержат возможности для трансляции адресов из формата интранет в официальные адреса Интернет. При этом нескольким адресам интранет может соответствовать всего один адрес Интернет, таким образом, решая проблему регистрации больших блоков IP-адресов. Также многие продукты proxy позволяют кэшировать FTP и HTTP обращения наружу, снижая исходящий трафик и значительно ускоряя обращения (нередко в несколько раз - в случае больших организаций). Как правило, firewall уровня приложений менее прозрачен для пользователей, чем firewall сетевого уровня и требует дополнительных настроек клиентской части.

Безусловно, будущее firewall - за системами, которые будут представлять собой комбинацию обеих технологий. Опасайтесь, однако, гибридных (комплексных) firewall систем, реализующих обе концепции защиты параллельно, а не последовательно. В этом случае надежность firewall определяется надежностью наименее стойкого компонента, что обычно приводит к неудовлетворительным результатам.

Обычно, правильно настроенный firewall способен защитить внутреннюю сеть от неавторизованного интерактивного доступа из Интернета. Поскольку firewall часто содержит функции для контроля и записи подробных протоколов сеансов связи, это помогает администратору вовремя получить предупреждение об атаке и отследить злоумышленника.

Сейчас находятся в экспериментальной стадии и скоро должны появиться на рынке продукты firewall, позволяющие проверять электронную подпись на Java-апплетах. Такой firewall содержит список тех электронных подписей, которым организация доверяет. В момент загрузки апплета firewall сверяет подписи, используя криптографические алгоритмы, и, основываясь на результате проверки, принимает решение блокировать апплет или пропустить.

Firewall не может защитить от атак, которые исходят изнутри организации: к сожалению, дискета или распечатка может быть использована с таким же успехом, чтобы похитить засекреченную информацию. Безграмотный пользователь или злоумышленник может передать информацию наружу по телефону или факсу.

Использование даже самой надежной системы firewall, неподкрепленное соответствующими административными мерами, - это все равно, что ставить дверь из нержавеющей стали на деревянный сарай.

Firewall не может защитить от вирусов и троянских коней: существует слишком много способов для упаковки и кодирования информации при пересылке. Чтобы обеспечить эффективную защиту от вирусов, необходим целый комплекс мер (как технических, так и административных), включая установку антивирусных программ на рабочие станции и файл-серверы, обучение сотрудников и выработку системы правил безопасности в офисе.

• Правило номер один: безопасность, как правило, обратно пропорциональна сложности.

При большом количестве настроек увеличивается вероятность ошибки оператора. Что бы ни говорили производители firewall о дуракоустойчивости систем, полностью защититься от ошибок с помощью комплексных проверок не удастся никогда. Также в любой программе по определению количество ненайденных ошибок возрастает по мере увеличения сложности.

• Правило номер два: надежность системы в целом определяется ее наименее надежным компонентом.

Использование Windows NT известной своей безопасностью в качестве платформы для firewall - это, мягко говоря, плохая идея. Если даже установить на NT фирменную крутую программу firewall, стоящую десятки тысяч долларов, злоумышленник может проникнуть в систему и установить программу перехватчик (spoofer), используя известные дырки операционной системы Windows NT, не относящиеся непосредственно к сети.

• Правило номер три: высокая цена сама по себе еще не является гарантией надежности.

Единственной гарантией надежности является простота. (См. правило номер один.) Все остальные аргументы - не более чем маркетинг. Как наглядно показывает пример ОС Windows NT, сертификация безопасности может ничего не значить.

На мой взгляд, наиболее оптимальным выбором Firewall для российских условий (если нет желания платить $20000 и больше за изделие) является либо установка маршрутизатора Cisco 25xx (эти устройства зарекомендовали себя самым лучшим образом в десятках IP-провайдерах по всей стране), либо установка сервера, использующего ОС Linux, который также может взять на себя функции кэширующего HTTP-proxy.

РИСУНОК 2

Одно из главных достоинств VPN - возможность интеграции нескольких площадок в одной организации с минимумом затрат при имеющемся постоянном канале в Интернет и системе firewall.

Основная задача, стоящая при организации VPN, - предотвращение перехвата и несанкционированного изменения пакетов данных в то время, когда они проходят через Интернет. Для того, чтобы предотвратить это, каждая локальная сеть предприятия оснащается системой Firewall, которая шифрует трафик, адресованный в удаленную сеть, а затем заворачивает его в IP пакеты (например, используя протокол PPP поверх TCP соединения) с соответствующими интернетовскими адресами. При шифровании применяются стойкие криптоалгоритмы, что практически исключает взлом с помощью подбора ключа. Для пользователей эти преобразования происходят совершенно прозрачно: работа с компьютерами в удаленных сетях ничем не отличается от работы в локальной сети.

РИСУНОК 3

Почти все коммерческие системы firewall в наше время содержат поддержку VPN. VPN также можно реализовать с использованием свободного программного обеспечения.

Алексей Новгородов RAMAX INTERNATIONAL
Тел. 232-0481, 232-1189