Защита сетей для малого бизнеса

Корпоративный рынок в Украине давно использует и хорошо знает преимущества и недостатки брандмауэров (межсетевых экранов) различных производителей. Естественно, центральное место здесь занимают продукты известных мировых лидеров в этой области — компаний Check Point Software Technologies, WatchGuard Technologies, AXENT. Они обеспечивают высокий уровень защиты, обладают широким спектром возможностей, отличной масштабируемостью и централизованным управлением. Однако даже начальная стоимость таких решений лежит в пределах от 2,5 до 3 тыс. долл. А ведь, кроме прямых затрат на покупку межсетевого экрана, необходимо еще выложить определенную сумму за лицензионную копию операционной системы (если это не аппаратное решение), а также за достаточно мощный компьютер для инсталляции на нем всего этого ПО. Поэтому для большинства компаний, которые можно отнести к категории SOHO (Small Office Home Office), с численностью сотрудников до 50 человек подобные затраты, даже одноразовые, не под силу. Кроме того, весь спектр возможностей межсетевого экрана высокого уровня явно не будет полностью востребован в масштабах небольшой организации. Такие компании нуждаются в достаточно простом и надежном брандмауэре, который обеспечил бы защиту локальной сети от основных типов атак из Internet.

В данном материале представлены три межсетевых экрана, ориентированных на использование в рамках небольших компаний с числом узлов до 50. Два из них являются аппаратными — это SonicWALL SOHO от фирмы SonicWALL и Firebox SOHO производства компании Watch Guard, и один программный — Guardian SOHO от Net Guard.

Перечисленные продукты удовлетворяют следующим требованиям. Их стоимость лежит в пределах 1 тыс. долл., а количество защищаемых ими узлов не превышает 50. Кроме того, два из трех брандмауэров прошли сертификацию в ICSA, что подтверждает их надежность.

Чем грозит беспечность

Сегодня наиболее известными атаками являются следующие:

IP Spoofing. Это способ воздействия на элементы сетевой инфраструктуры или получения неавторизованного доступа. Хакер подменяет IP-адреса в пакетах с целью сделать их похожими на пакеты от более привилегированного источника. Так, порожденные в Internet, они могут выглядеть как локальные.

SYN Flood. Здесь используются слабости протокола TCP. В момент инициализации TCP-соединения клиент посылает пакет-запрос серверу с установленным флагом SYN в заголовке TCP. В нормальном случае сервер отвечает SYN/ACK-подтверждением, адресованным клиенту, адрес которого берется из IP-заголовка полученного запроса. Имея такое подтверждение, клиент посылает уведомление о начале передачи данных — пакет, в TCP-заголовке которого установлен флаг ACK. Если же адрес клиента подменен (spoofed), например, несуществующим, то такой вариант установления связи не может быть завершен и попытки будут продолжаться до тех пор, пока не исчерпается лимит времени. Эти условия составляют основу данного вида атак.

Ping of Death. Практически каждая операционная система, а также некоторые маршрутизаторы, имеют различные ограничения, связанные с конкретной реализацией протокола TCP/IP. Выявление этих ограничений зачастую связано с появлением новых видов атак. Так, большинство ОС чувствительны к команде PING, использующей Internet Control Message Protocol (ICMP), размер поля данных которых превышает 64 KB. В результате ICMP-пакеты после добавления необходимых заголовков становятся больше, чем 64 Kb (длина заголовка составляет 28 байт), и, как правило, не могут корректно обрабатываться ядром операционной системы, что проявляется в виде случайных крушений или перезагрузок.

Итак, чтобы не стать жертвой хакера, офису небольшого предприятия можно порекомендовать один из описанных ниже продуктов.

SonicWALL SOHO

Рис. 1. WatchGuard SOHO – аппаратный брандмауэр, внешне очень похожий на модем

Этот "малыш" размером чуть больше стандартной видеокассеты имеет достаточно высокие технические характеристики. В устройстве используется технология Stateful Packet Inspection, которая применяется в известных продуктах Firewall-1 Check Point и Cisco PIX и считается самой эффективной из ныне известных.

Брандмауэр отражает следующие виды типовых атак: Ping of Death, SYN Flood, LAND Attack, IP Spoofing. Цель их состоит не в хищении информации, а в выводе из строя элемента сети с тем, чтобы лишить пользователей доступа к ресурсам сети. Например, широко известна атака с помощью программы WinNuke, использующаяся хакерами для крушения через Internet удаленных компьютеров, работающих под управлением Windows. Так вот, SonicWALL SOHO защищает локальную сеть от этой и множества других атак, относимых к категории "отказ в обслуживании".

Данный брандмауэр поддерживает удаленное управление. Для авторизации доступа к администрированию применяются пароль и имя пользователя, причем он передается в зашифрованном виде по алгоритму MD-5. SonicWALL обеспечивает трансляцию сетевых адресов NAT (Network Address Translation), что позволяет скрыть адреса внутренней сети и использовать единственный IP-адрес, назначенный провайдером Internet.

Сильной стороной данного продукта является фильтрация Web-сайтов по содержанию информации на них. Эта задача особенно актуальна, если устройство устанавливается в системе образования. Всемирная Сеть чрезвычайно демократична, и в ней наряду с полезной распространяется также информация, оскорбляющая общественную мораль. По понятным причинам целесообразно ограничить доступ молодежи к подобной информации. Для этого SonicWALL SOHO использует перечень запрещенных сайтов, еженедельно обновляемый компанией Microsystems. Кроме того, системный администратор может его дополнить самостоятельно. При попытке пользователя обратиться к Web-сайту из перечня он получит сообщение о запрещении доступа, а администратор узнает об этой попытке пользователя из Log-файла. Впрочем, имеется возможность как закрыть доступ ко всем Web-серверам из "черного списка", так и ввести в него исключения. Последние задаются не только на Web-сайты, но и на адреса локальной сети. Так, например, учитель со своего ПК сможет получить доступ ко всем ресурсам Internet.

SonicWALL SOHO поможет построить виртуальные защищенные сети (VPN) между удаленными офисами компании. Брандмауэр поддерживает стандарт IPSec. Шифрование IP-пакетов производится в соответствии с алгоритмами DES 56 bit и RC-4.

WatchGuard SOHO

Рис. 2. Панель брандмауэра содержит разъемы для подключения локальных ПК (LAN) и модема (WAN)

Данный аппаратный брандмауэр по размерам сравним с типичным внешним модемом (рис. 1). Он чрезвычайно прост в инсталляции и настройке, не требует от администратора знаний всех премудростей, необходимых для конфигурирования своего "старшего брата" — межсетевого экрана этой же компании: Firebox II или Firebox II Plus.

WatchGuard SOHO имеет один разъем внешнего (WAN) интерфейса, к которому подключается кабельный, либо DSL-модем, или адаптер ISDN, и четыре внутренних (LAN) типа 10Base-T для подключения рабочих станций локальной сети компании непосредственно либо через концентраторы (рис. 2). Таким образом, к LAN-интерфейсам этого брандмауэра может быть подключено до 50 персональных компьютеров.

В WatchGuard SOHO, как и в предыдущей модели, реализована трансляция сетевых адресов (NAT). Управление брандмауэром производится очень просто с помощью обычного Web-броузера, так как модель имеет встроенный Web-сервер. Здесь можно устанавливать правила доступа к ресурсам Internet. Каждому пользователю (IP-адрес) разрешается доступ к одному или нескольким сервисам из следующего перечня: TCP/IP, FTP, PPP, DHCP, DNS, SNTP, RealAudio/Video, NetMeeting.

Текущее обновление программного обеспечения происходит через Web-сервер технической поддержки фирмы-производителя (www.watchguard.com/soho/). На этом же сервере зарегистрированный пользователь получит советы по конфигурированию брандмауэра при появлении новых типов атак, сообщения об ошибках в программном обеспечении и "заплатки" для их устранения, а также ответы на вопросы по инсталляции, настройке и конфигурированию устройства.

Guardian SOHO NT

Программный межсетевой экран состоит из двух основных компонентов: ПО агента (Guardian Agent) и менеджера (Manager). Первый представляет собой модуль, выполняющий непосредственно функции брандмауэра, а второй — интерфейса, с помощью которого производятся управление, настройка и мониторинг работы. Инсталлируются указанные программы на отдельных компьютерах.

При этом к аппаратной части предъявляются достаточно скромные требования. Так, и Guardian Agent, и Manager могут работать на ПК с процессором не ниже Intel Pentium 233 MHz с 32 MB оперативной памяти под управлением Windows NT (Windows 9x для программы Manager), оборудованном двумя сетевыми адаптерами. Для установки ПО необходимо 512 MB свободного пространства на жестком диске.

В настоящее время Guardian SOHO NT поддерживает схему аутентификации пользователей S/Key, основанную на парольном механизме. При этом новые пароли генерируются в начале каждого сеанса, устанавливаемого пользователем. В новой версии 2.1 в данный продукт будет встроена поддержка Crypto API фирмы Microsoft, что сделает брандмауэр совместимым со многими схемами криптографической аутентификации, в том числе и с технологией Fortezza.

Подводя итоги

В заключение небольшого обзора можно сказать, что, несмотря на свою простоту, рассмотренные брандмауэры решают главные задачи по организации защиты локальной сети от типовых сетевых атак. При этом пользователи разделяют единственный канал доступа в Internet. Брандмауэры производят трансляцию сетевых адресов и фильтрацию основных сервисов протокола TCP/IP. Они также поддерживают виртуальные частные сети (VPN). При обнаружении попыток нарушения установленной политики безопасности предприятия предупреждается администратор.

Очевидно, возможности приведенных выше межсетевых экранов, в сравнение с первоклассными брандмауэрами типа Firewall-1 Check Point или Firebox II Watch Guard существенно ограничены. Так, с помощью решений класса SOHO нельзя выделить демилитаризованную зону (ДМЗ). Невелико число фильтруемых сервисов (обычно до 10) и количество защищаемых IP-адресов (до 50). Нельзя добавить новые сервисы, подлежащие фильтрации. Однако требовать наличия таких функций от "малышей" не совсем корректно: не их "весовая категория"; для этого в арсенале многих производителей есть мощные "тяжеловесы" типа Firewall-1 Check Point, Firebox II Watch Guard, CISCO PIX 515. Имейте совесть: такой сервис и за такую цену?!

Межсетевые экраны класса SOHO