Утечка секретной информации "на сторону" или потеря работоспособности сети по причине проникновения в нее злоумышленников сегодня может дорого обойтисть компаниям. Поэтому вряд ли стоит пренебрегать надежными средствами защиты локальных сетей

В настоящий момент работа многих компаний просто немыслима без Глобальной сети. Причем это не только наличие вэб-сайта, но и ведение деловой переписки, создание банков данных, обслуживание клиентов в удаленном режиме и др.

Однако открытость Интернета делает ваш электронный ресурс похожим на хлипкое суденышко в открытом океане. Ведь хакеры "делают свое дело" не только ради какой-то определенной цели, но и просто для самовыражения. К сожалению, результат таких шалостей далеко не безобиден. Например, если говорить о вэб-сайте, то в лучшем случае можно обнаружить его видоизмененное содержимое, а в худшем — полное удаление информации.

Не менее привлекательными для хакеров являются и сети организаций, занимающихся, к примеру, регистрацией телефонных разговоров, начислением платы за коммунальные услуги и др. Ведь в этом случае "виртуальный" медвежатник способен за определенную плату списать те суммы, которые клиент задолжал государству.

Еще более опасным является незащищенность сетей банковских структур, поскольку здесь "живут" реальные деньги, хотя и доступные в виртуальном режиме. Поэтому любая информация, которая имеет хотя бы какую-то ценность, нуждается в защите.

На бога надейся

Сегодня существуют различные варианты защиты информации в локальных сетях, подключенных к внешнему пространству. Используют методы шифрования данных, VPN-сети, аутентификацию, антивирусные программы (см. тест антивирусов на с. 58) и др. Каждый метод хорош по-своему. Однако, как показала практика, не все вышеперечисленные средства могут в полной мере гарантировать защиту, тем более, если они используются по отдельности. Кроме того, если функции по защите возложены на пользователей (например, они по желанию могут включать или не включать шифрование и др.), то нередко эти средства просто игнорируются для облегчения работы с окружающим миром. В свою очередь, наличие "дыр" в ПО пограничных устройств (например, в маршрутизаторах) может стать причиной проникновения различных троянских программ, передающих своему хозяину сетевые пароли или другие данные.

Поэтому со временем возникла необходимость создать стражей сетей, которые бы пропускали полезную информацию, отсекая все остальное. Так на свет появились устройства, получившие название межсетевых экранов, или брандмауэров (firewall). В общем случае эти системы следят за попытками проникновения во внутреннюю сеть компании. При этом они позволяют блокировать запросы от неблагонадежных адресов Интернета, разрешать или запрещать передачу различных типов информации (например, объектов ActiveX, Java-апплетов и др.), а также предотвращать утечку информации с IP-адресов локальной сети (например, принадлежащих серверам баз данных).

Кроме того, такие системы способны также нейтрализовать атаки на отказ в обслуживании DoS (Denial-of-Service).

Надежный тыл не помеха

Следует отметить, что межсетевые экраны (МЭ) могут сослужить хорошую службу и при защите сетевых ресурсов от внутренних атак и проникновений. Например, можно создать некую виртуальную зону с наиболее ценными ресурсами, к которым доступ даже для пользователей ЛВС будет закрыт или ограничен. Обычно для создания таких решений используются в локальных сетях так называемые демилитаризованные DMZ (De-Militarized Zone) и милитаризованные зоны MZ (Militarized Zone). Наверное, эти термины многие знают по фильмам на военную тематику, где, например, DMZ является территорией, в которой отсутствуют любые воинские формирования, а соответственно в MZ находятся войска во всеоружии.

По аналогии с такими территориями, в корпоративных сетях организуются подобные виртуальные зоны. Так, MZ служат для размещения хостов и серверов, к которым запрещен (или ограничен) доступ из внешнего мира, а в DMZ находятся общедоступные ресурсы (например, вэб-серверы, серверы электронной почты), которые контактируют как с Интернетом, так и коллегами по защищенной зоне.

Для организации таких зон применяется МЭ, работающий не менее чем с тремя сегментами сети. Первый порт используется для подключения к Интернету, второй — для защищенной корпоративной сети (MZ) и третий — собственно для доступной из внешнего мира зоны (DMZ).

Следует отметить, что реализовать защиту с помощью МЭ можно как в виде программы, так и на аппаратном уровне. В первом случае это просто программа (или набор ПО), которая инсталлируется на отдельный компьютер. Во втором случае такое устройство является отдельной железкой, непосредственно контактирующей с Интернетом. Обычно функции МЭ делегируют маршрутизатору, который и несет ответственность за безопасность локальной сети.

Программные стражи

Сегодня защититься от незваных гостей (например, вирусов, спама, атак) можно различными программными средствами, которые обычно устанавливаются на отдельный сервер или ПК, выполняющий функции межсетевого экрана. Список этих продуктов довольно объемен, поэтому остановимся кратко на наиболее распространенных из них.

Так, недавно на рынке появился новый продукт Norton Internet Security 2003 компании Symantec (www.symantec.com) с брандмауэром Norton Personal Firewall 2003 (который, кстати, можно приобрести отдельно). Это ПО позволяет проводить мониторинг запускаемых компонентов. Причем не только основной программы, но и всех DLL-библиотек, плагинов (подключаемых внешних модулей) и активных внешних программ. Кроме этого, у продукта существует возможность мониторинга электронной почты, HTML-кода, а также автоматической блокировки "провинившегося" IP-адреса.

Стоит отметить и обновленную версию Symantec DeepSight Threat Management System 4.0 (появилась в феврале 2003 года), являющуюся системой предупреждения интернет-атак. Она предоставляет системным администраторам удобный инструмент для детального анализа и противодействия любым попыткам проникновения в ЛВС. Кстати, для создания сигнатур (информация о типах вторжений) были использованы результаты, полученные в процессе сбора статистики по сетевым экранам и системам детектирования вторжений IDS (Intrusion Detection Systems) от более чем 19 тыс. партнеров компании из более 180 стран мира.

Необходимо упомянуть продукцию компании Kerio Technologies (www.winroute.com или www.kerio.com) — WinRoute (версии Pro и Lite) и Kerio Personal Firewall (МЭ на базе технологии, используемой в WinRoute). Так, с помощью WinRoute можно установить правила фильтрации пакетов таким образом, чтобы максимально защитить локальную сеть от попыток как внешнего, так и внутреннего вторжения. Среди основных функций безопасности WinRoute — переназначение портов, антиспуфинг, функции борьбы со спамом, поддержка DMZ, IPSec VPN и фильтрация пакетов.

В конце февраля 2003 года компания представила новую версию продукта Kerio WinRoute Firewall 5. В новой версии используются функции антивирусного контроля вэб-трафика, фильтрации контента, управление пользователями на основе Active Directory, а также улучшенная поддержка VoIP, VPN и мультимедиа-приложений.

Заманчивым является и предложение продуктов компании Cybernet Systems (www.cybernet.com). Например, линейка Linux-серверов NetMAX Server, состоящая из Firewall Suite, Firewall ProSuite и VPN Server Suite. В каждом из этих продуктов реализованы функции сетевого экрана, а различаются они только набором поддерживаемых функций. Так, Firewall Suite имеет функцию переназначения IP-адресов и переадресации портов. Firewall ProSuite, в отличие от первого продукта, поддерживает прокси- и кэш-сервер без ограничения на размер памяти. А VPN Server Suite поддерживает дополнительно 168-битовое шифрование 3DES, виртуальные сети на базе IPSec и IKE.

Довольно популярен и продукт ZoneAlarm от компании Zone Labs (www.zonelabs.com). Сейчас доступны межсетевые версии ZoneAlarm 3.1.395, ZoneAlarm Pro 3.7.098 и ZoneAlarm Plus. Продукты ZoneAlarm обычно применяются для защиты отдельных пользователей и небольших корпоративных ЛВС. Среди его плюсов защита от автоматического запуска почтовых вложений (например, документы или исполняемые файлы, в которых могут находиться макровирусы). ПО также позволяет запрещать доступ к определенным портам (например, обращение к FTP-сайтам).

Кроме вышеназванных программных межсетевых экранов для локальных сетей предлагают свою продукцию компании Check Point, Smith Micro Software, Sygate Technology и др. Однако программные брандмауэры не лишены недостатков. Так, они функционируют на базе традиционных ОС, имеющих слабые места, о которых нередко хорошо осведомлены хакеры. Кроме того, программные межсетевые экраны зачастую обладают невысокой производительностью, по причине опять же многозадачности вычислительного комплекса.

Другое дело — аппаратные МЭ, которые, как правило, реализованы на операционных системах, специально разработанных для этих целей. Кроме того, эти устройства еще и выполняют функцию маршрутизаторов.

Железные доспехи

Сейчас на рынке представлено много различных аппаратных решений для защиты корпоративных сетей. Например, продукция D-Link (www.dlink.com) уже не первый год известна нашим потребителям. Среди линейки продуктов для защиты ЛВС компания предлагает МЭ для малых офисов (интернет-серверы и маршрутизаторы) и для рабочих групп (firewall). К первым относятся модели DI-604, DI-704P и DI-804v, а ко вторым — DFL-500 и DFL-1000. Например, DFL-500 позиционируется как дешевое решение для малых офисов, а DFL-1000 — как "высокоуровневый защитник" для всех участков внутренней сети компании. Сетевые экраны DFL-500 и DFL-1000 предназначены для защиты от атак SYN, ICMP, UDP Flood, WinNuke, а также умеют определять попытки сканирования портов, спуфинг, подмену адресов, отказ в обслуживании и др.

Достаточно удачным решением в области сетевых экранов является PIX 535 компании Cisco Systems (www. cisco.com). Кроме основных функций защиты сети это устройство способно просматривать IP-адреса взаимодействующих хостов, определять номера портов на каждом соединении, а также анализировать заголовок протокола TCP (ACK, SYN, RST и FIN). Такой глубокий анализ позволяет блокировать сложные атаки на уровне TCP/IP-пакетов. Кроме того, устройство поддерживает режим активный/резервный (active/standby). При этом при отказе основного (активного) межсетевого экрана резервный PIX 535 переключает на себя все функции по защите сети.

Среди наиболее известных аппаратных решений компании ZyXEL (www.zyxel.com) стоит отметить брандмауэры ZyWALL. В линейке присутствуют шлюзы Internet Security Gateway ZyWALL 1, ZyWALL 10, ZyWALL 50, ZyWALL 100, а также новая модель ZyWALL 200. Старшая модель ZyWALL 200 поддерживает до двухсот IPSec VPN-туннелей и рекомендуется для сетей с количеством пользователей от 500 до 600. Для сравнения, ZyWALL 1 рекомендуется для сетей с количеством пользователей до пяти, ZyWALL 10 — до 25, ZyWALL 50 — до 100, а устройство ZyWALL 100 — до 500 пользователей. Кроме базовой функции сетевого экрана, в ZyWALL реализованы также фильтрация пакетов, защита от пакетов-убийц, предотвращение фальсификации IP-адресов, поддержка VPN и защита от DoS-атак.

В начале 2003 года компания Motorola (www.motorola.com) представила интересную разработку — беспроводный шлюз Motorola SBG1000, в составе которого — маршрутизатор, коммутатор, брандмауэр и кабельный модем. Эта точка доступа использует протокол для беспроводных сетей 802.11b, сертифицированный для работы в диапазоне 2,4 ГГц. Среди основных достоинств новинки SBG1000 — высокая скорость передачи (в десятки раз большая по сравнению с аналоговыми модемами), мобильность и безопасность с помощью функций МЭ. При этом устройство поставляется с уже полностью настроенными параметрами конфигурации, что избавляет пользователей от необходимости быть экспертами по безопасности, досконально знающими все нюансы защиты ЛВС.

Отметим и оригинальную разработку компании 3Com (www.3com.ru), предложившую на рынок сетевую интерфейсную карту 3CR990 (ее стоимость около $120) с интегрированным брандмауэром. Этот МЭ представляет собой "зашитую" в ПЗУ оптимизированную версию брандмауэра Secure Computing. По мнению специалистов, такой подход позволяет высвободить ресурсы системы, которые обычно задействуются для обеспечения ее защиты.

Кроме упомянутых производителей, разработкой аппаратных брандмауэров занимаются Avaya, Allied Telesyn, Nokia, NetScreen, SonicWALL, WatchGuard и др.

А вы защитились?

Сегодня уже многие компании начинают понимать, что информация — это немалые деньги. Поэтому все больше внимания уделяется вопросу защиты сетей, даже если затраты на ее реализацию составляют тысячи "зеленых" (обычно комплекс мер включает покупку нескольких аппаратных МЭ или программных лицензий).

Однако стоит понимать, что невозможно дать 100 % гарантии, что вашу ЛВС никто никогда не потревожит. Ведь совершенствуются и методы взлома. Поэтому необходимо комбинировать различные варианты защиты локальной сети, одним из которых являются рассмотренные межсетевые экраны. Так, установив в своей ЛВС надежные брандмауэры, неплохо бы позаботиться и о грамотных системных администраторах, и о режиме доступа в офис, а также о том, как сами пользователи выполняют требования безопасности. Ведь случайный посетитель, обнаруживший пароли на обратной стороне коврика мышки, может и не удержаться от соблазна "выгодно" поделиться полученной информацией.

Источник: журнал "Чип"