Говоря о программно-аппаратной составляющей системы информационной безопасности, следует признать, что наиболее эффективный способ защиты объектов локальной сети (сегмента сети) от воздействий из открытых сетей (например, Интернета), предполагает размещение некоего элемента, осуществляющего контроль и фильтрацию проходящих через него сетевых пакетов в соответствии с заданными правилами. Такой элемент получил название межсетевой экран (сетевой экран) или файрволл, брандмауэр .

Файрволл, файрвол, файервол, фаервол – образовано транслитерацией английского термина firewall.

Брандмауэр (нем. Brandmauer) – заимствованный из немецкого языка термин, являющийся аналогом английского "firewall" в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара).

Сетевой/межсетевой экран (МСЭ) – комплекс аппаратных или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов по различным протоколам в соответствии с заданными правилами.

Основной задачей межсетевого экрана является защита компьютерных сетей и/или отдельных узлов от несанкционированного доступа. Иногда межсетевые экраны называют фильтрами , так как их основная задача – не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации.

Для того чтобы эффективно обеспечивать безопасность сети, межсетевой экран отслеживает и управляет всем потоком данных, проходящим через него. Для принятия управляющих решений для TCP/IP-сервисов (то есть передавать, блокировать или отмечать в журнале попытки установления соединений) межсетевой экран должен получать, запоминать, выбирать и обрабатывать информацию, полученную от всех коммуникационных уровней и от других приложений.

Межсетевой экран пропускает через себя весь трафик, принимая относительно каждого проходящего пакета решение: дать ему возможность пройти или нет. Для того чтобы межсетевой экран мог осуществить эту операцию, ему необходимо определить набор правил фильтрации. Решение о том, фильтровать ли с помощью межсетевого экрана пакеты данных, связанные с конкретными протоколами и адресами, зависит от принятой в защищаемой сети политики безопасности. По сути, межсетевой экран представляет собой набор компонентов, настраиваемых для реализации выбранной политики безопасности . Политика сетевой безопасности каждой организации должна включать (кроме всего прочего) две составляющие: политика доступа к сетевым сервисам и политика реализации межсетевых экранов.

Однако недостаточно просто проверять пакеты по отдельности. Информация о состоянии соединения, полученная из инспекции соединений в прошлом и других приложений – главный фактор в принятии управляющего решения при попытке установления нового соединения. Для принятия решения могут учитываться как состояние соединения (полученное из прошлого потока данных), так и состояние приложения (полученное из других приложений).

Таким образом, управляющие решения требуют, чтобы межсетевой экран имел доступ, возможность анализа и использования следующих факторов:

• информации о соединениях – информация от всех семи уровней (модели OSI) в пакете;
• истории соединений – информация, полученная от предыдущих соединений;
• состоянии уровня приложения – информация о состоянии соединения, полученная из других приложений;
• манипулировании информацией – вычисление разнообразных выражений, основанных на всех вышеперечисленных факторах.

Типы межсетевых экранов

Различают несколько типов межсетевых экранов в зависимости от следующих характеристик:

• обеспечивает ли экран соединение между одним узлом и сетью или между двумя или более различными сетями;
• происходит ли контроль потока данных на сетевом уровне или более высоких уровнях модели OSI;
• отслеживаются ли состояния активных соединений или нет.

В зависимости от охвата контролируемых потоков данных межсетевые экраны подразделяются на:

• традиционный сетевой (или межсетевой) экран – программа (или неотъемлемая часть операционной системы) на шлюзе (устройстве, передающем трафик между сетями) или аппаратное решение, контролирующие входящие и исходящие потоки данных между подключенными сетями (объектами распределённой сети);
• персональный межсетевой экран – программа, установленная на пользова-тельском компьютере и предназначенная для защиты от несанкционированного доступа только этого компьютера.

В зависимости от уровня OSI, на котором происходит контроль доступа, сетевые экраны могут работать на:

• сетевом уровне , когда фильтрация происходит на основе адресов отправителя и получателя пакетов, номеров портов транспортного уровня модели OSI и статических правил, заданных администратором;
• сеансовом уровне (также известные, как stateful ), когда отслеживаются сеансы между приложениями и не пропускаются пакеты, нарушающие спецификации TCP/IP, часто используемые в злонамеренных операциях – сканирование ресурсов, взломы через неправильные реализации TCP/IP, обрыв/замедление соединений, инъекция данных;
• прикладном уровне (или уровне приложений), когда фильтрация производится на основании анализа данных приложения, передаваемых внутри пакета. Такие типы экранов позволяют блокировать передачу нежелательной и потенциально опасной информации на основании политик и настроек.

Фильтрация на сетевом уровне

Фильтрация входящих и исходящих пакетов осуществляется на основе информации, содержащейся в следующих полях TCP- и IP-заголовков пакетов: IP-адрес отправителя; IP-адрес получателя; порт отправителя; порт получателя.

Фильтрация может быть реализована различными способами для блокирования соединений с определенными компьютерами или портами. Например, можно блокировать соединения, идущие от конкретных адресов тех компьютеров и сетей, которые считаются ненадежными.

• сравнительно невысокая стоимость;
• гибкость в определении правил фильтрации;
• небольшая задержка при прохождении пакетов.

Недостатки:

• не собирает фрагментированные пакеты;
• нет возможности отслеживать взаимосвязи (соединения) между пакетами.?

Фильтрация на сеансовом уровне

В зависимости от отслеживания активных соединений межсетевые экраны могут быть:

• stateless (простая фильтрация), которые не отслеживают текущие соединения (например, TCP), а фильтруют поток данных исключительно на основе статических правил;
• stateful, stateful packet inspection (SPI) (фильтрация с учётом контекста), с отслеживанием текущих соединений и пропуском только таких пакетов, которые удовлетворяют логике и алгоритмам работы соответствующих протоколов и приложений.

Межсетевые экраны с SPI позволяют эффективнее бороться с различными видами DoS-атак и уязвимостями некоторых сетевых протоколов. Кроме того, они обеспечивают функционирование таких протоколов, как H.323, SIP, FTP и т. п., которые используют сложные схемы передачи данных между адресатами, плохо поддающиеся описанию статическими правилами, и зачастую несовместимых со стандартными, stateless сетевыми экранами.

К преимуществам такой фильтрации относится:

• анализ содержимого пакетов;
• не требуется информации о работе протоколов 7 уровня.

Недостатки:

• сложно анализировать данные уровня приложений (возможно с использованием ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного уровня) – компонент NAT-маршрутизатора, который понимает какой-либо прикладной протокол, и при прохождении через него пакетов этого протокола модифицирует их таким образом, что находящиеся за NAT’ом пользователи могут пользоваться протоколом.

Служба ALG обеспечивает поддержку протоколов на уровне приложений (таких как SIP, H.323, FTP и др.), для которых подмена адресов/портов (Network Address Translation) недопустима. Данная служба определяет тип приложения в пакетах, приходящих со стороны интерфейса внутренней сети и соответствующим образом выполняя для них трансляцию адресов/портов через внешний интерфейс.

Технология SPI (Stateful Packet Inspection) или технология инспекции пакетов с учетом состояния протокола на сегодня является передовым методом контроля трафика. Эта технология позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения посредника или proxy для каждого защищаемого протокола или сетевой службы.

Исторически эволюция межсетевых экранов происходила от пакетных фильтров общего назначения, затем стали появляться программы-посредники для отдельных протоколов, и, наконец, была разработана технология stateful inspection. Предшествующие технологии только дополняли друг друга, но всеобъемлющего контроля за соединениями не обеспечивали. Пакетным фильтрам недоступна информация о состоянии соединения и приложения, которая необходима для принятия заключительного решения системой безопасности. Программы-посредники обрабатывают только данные уровня приложения, что зачастую порождает различные возможности для взлома системы. Архитектура stateful inspection уникальна потому, что она позволяет оперировать всей возможной информацией, проходящей через машину-шлюз: данными из пакета, данными о состоянии соединения, данными, необходимыми для приложения.

Пример работы механизма Stateful Inspection . Межсетевой экран отслеживает сессию FTP, проверяя данные на уровне приложения. Когда клиент запрашивает сервер об открытии обратного соединения (команда FTP PORT), межсетевой экран извлекает номер порта из этого запроса. В списке запоминаются адреса клиента и сервера, номера портов. При фиксировании попытки установить соединение FTP-data, межсетевой экран просматривает список и проверяет, действительно ли данное соединение является ответом на допустимый запрос клиента. Список соединений поддерживается динамически, так что открыты только необходимые порты FTP. Как только сессия закрывается, порты блокируются, обеспечивая высокий уровень защищенности.

Фильтрация на прикладном уровне

С целью защиты ряда уязвимых мест, присущих фильтрации пакетов, межсетевые экраны должны использовать прикладные программы для фильтрации соединений с такими сервисами, как, например, Telnet, HTTP, FTP. Подобное приложение называется proxy-службой , а хост, на котором работает proxy-служба – шлюзом уровня приложений. Такой шлюз исключает прямое взаимодействие между авторизованным клиентом и внешним хостом. Шлюз фильтрует все входящие и исходящие пакеты на прикладном уровне (уровне приложений – верхний уровень сетевой модели) и может анализировать содержимое данных, например, адрес URL, содержащийся в HTTP-сообщении, или команду, содержащуюся в FTP-сообщении. Иногда эффективнее бывает фильтрация пакетов, основанная на информации, содержащейся в самих данных. Фильтры пакетов и фильтры уровня канала не используют содержимое информационного потока при принятии решений о фильтрации, но это можно сделать с помощью фильтрации уровня приложений. Фильтры уровня приложений могут использовать информацию из заголовка пакета, а также содержимого данных и информации о пользователе. Администраторы могут использовать фильтрацию уровня приложений для контроля доступа на основе идентичности пользователя и/или на основе конкретной задачи, которую пытается осуществить пользователь. В фильтрах уровня приложений можно установить правила на основе отдаваемых приложением команд. Например, администратор может запретить конкретному пользователю скачивать файлы на конкретный компьютер с помощью FTP или разрешить пользователю размещать файлы через FTP на том же самом компьютере.

Сравнение аппаратных и программных межсетевых экранов

Для сравнения межсетевых экранов разделим их на два типа: 1-й – аппаратные и программно-аппаратные и 2-й – программные.

К аппаратным и программно-аппаратным межсетевым экранам относятся устройства, установленные на границе сети. Программные межсетевые экраны – это те, которые установлены на конечных хостах.

Основные направления, присущие и первому, и второму типам:

• обеспечение безопасности входящего и исходящего трафика;
• значительное увеличение безопасности сети и уменьшение риска для хостов подсети при фильтрации заведомо незащищенных служб;
• возможность контроля доступа к системам сети;
• уведомление о событиях с помощью соответствующих сигналов тревоги, которые срабатывают при возникновении какой-либо подозрительной деятельности (попытки зондирования или атаки);
• обеспечение недорогого, простого в реализации и управлении решения безопасности.

Аппаратные и программно-аппаратные межсетевые экраны дополнительно поддерживают функционал, который позволяет:

• препятствовать получению из защищенной подсети или внедрению в защищенную подсеть информации с помощью любых уязвимых служб;
• регистрировать попытки доступа и предоставлять необходимую статистику об использовании Интернет;
• предоставлять средства регламентирования порядка доступа к сети;
• обеспечивать централизованное управление трафиком.

Программные межсетевые экраны, кроме основных направлений, позволяют:

• контролировать запуск приложений на том хосте, где установлены;
• защищать объект от проникновения через "люки" (back doors);
• обеспечивать защиту от внутренних угроз.

Межсетевой экран не является симметричным устройством. Он различает понятия: "снаружи" и "внутри". Межсетевой экран обеспечивает защиту внутренней области от неконтролируемой и потенциально враждебной внешней среды. В то же время межсетевой экран позволяет разграничить доступ к объектам общедоступной сети со стороны субъектов защищенной сети. При нарушении полномочий работа субъекта доступа блокируется, и вся необходимая информация записывается в журнал.

Межсетевые экраны могут использоваться и внутри защищенных корпоративных сетей. Если в локальной сети имеются подсети с различной степенью конфиденциальности информации, то такие фрагменты целесообразно отделять межсетевыми экранами. В этом случае экраны называют внутренними.

Межсетевое экранирование - блокирование трафика от несанкционированных источников - одна из старейших сетевых технологий безопасности, но производители соответствующих сред продолжают разрабатывать новые подходы, которые помогают эффективнее противодействовать современным угрозам в меняющемся сетевом окружении и защищать корпоративные ИТ-ресурсы. Межсетевые экраны нового поколения позволяют создавать политики, используя более широкий спектр контекстных данных, и обеспечивать их соблюдение.

Эволюция межсетевых экранов (FW) прошла долгий путь. Впервые они были разработаны еще в конце 80-х компанией DEC и функционировали в основном на первых четырех уровнях модели OSI, перехватывая трафик и анализируя пакеты на соответствие заданным правилам. Затем Check Point предложила межсетевые экраны со специализированными микросхемами (ASIC) для глубокого анализа заголовков пакетов. Эти усовершенствованные системы могли вести таблицу активных соединений и задействовали ее в правилах (Stateful Packet Inspection, SPI). Технология SPI позволяет проверять IP-адреса отправителя и получателя и контролировать порты.

Большим шагом вперед считается создание FW, функционирующих на уровне приложений. Первый такой продукт выпустила компания SEAL еще в 1991-м, а два года спустя появилось открытое решение Firewall Toolkit (FWTK) от Trusted Information Systems. Эти межсетевые экраны проверяли пакеты на всех семи уровнях, что позволило использовать в наборах правил (политиках) расширенную информацию - не только о соединениях и их состоянии, но и об операциях с использованием протокола конкретного приложения. К середине 90-х межсетевые экраны обрели способность осуществлять мониторинг популярных протоколов прикладного уровня: FTP, Gopher, SMTP и Telnet. Эти усовершенствованные продукты (application-aware) получили название межсетевых экранов нового поколения (Next-Generation Firewall, NGFW).

TIS выпустила коммерческую версию FWTK - Gauntlet Firewall. Именно этот продукт, обладающий возможностями аутентификации пользователей, фильтрации URL, а также средствами защиты от вредоносных программ и функциями безопасности уровня приложений, считается первым межсетевым экраном «нового поколения». Таким образом, формально продуктам NGFW уже более 15 лет, хотя сегодня в этот термин вкладывают иной смысл.

СМЕНА ПОКОЛЕНИЙ

Аналитики Frost & Sullivan выделяют четыре поколения межсетевых экранов. Первое (1985–1990 годы) - это продукция DEC; второе (1996–2002 годы) - появление продуктов SPI (Check Point) и работа на уровне приложений (Gauntlet), интеграция функций IPsec VPN, использование ASIC собственной разработки для увеличения производительности (Lucent, NetScreen); третье (2003– 2006 годы) - применение функций Deep Packet Inspection и консолидация защитных функций (Fortinet); четвертое поколение (с 2007 года по настоящее время) - обеспечение безопасности трафика на основе идентификации приложений и пользователей (Palo Alto) и внедрение новых технологий крупными вендорами.

Таким образом, появление термина NGFW в его современном понимании приписывается компании Palo Alto Networks. Межсетевыми экранами следующего поколения она назвала свои продукты, позволяющие строго контролировать доступ отдельных пользователей к приложениям и Интернету. По существу, NGFW объединяет на одной платформе несколько функций - FW, IPS и Web-шлюзы безопасности. Заказчики получают возможность контроля на «входе» и «выходе» из сети. В NGFW политики задаются для приложений, а не только для портов и IP-адресов.

По сравнению с межсетевыми экранами Cisco, Check Point Software Technologies и Juniper Networks, продукты Palo Alto Networks обеспечивали более простой мониторинг и надежную защиту трафика при использовании социальных сетей, Google Gmail или Skype. Рост популярности Web-приложений в немалой степени способствовал развитию бизнеса этого вендора, вышедшего на рынок в 2005 году. В Forrester Research его основной продукт называют революционным.

Сегодня рынок межсетевых экранов (см. Рисунки 1 и 2) или брандмауэров охватывает целый ряд сегментов: SOHO, SMB, продукты для крупных предприятий и провайдеров. Новая функциональность NGFW помогает обеспечивать защиту корпоративных сетей в условиях внедрения новых технологий и моделей вычислений (облачные и мобильные вычисления). Расширение функциональности привело к созданию унифицированных платформ (Unified Threat Management, UTM), которые широко применяются в настоящее время.

Хотя граница сети становится размытой, защита периметра с помощью FW остается важным фактором и необходимым элементом многоуровневой системы безопасности. Появление мобильных устройств и возникновение концепции BYOD оказывает сильное влияние на безопасность, но это, скорее, увеличивает значение периметра сети, так как только в его пределах данные могут быть в относительной безопасности, считает Дмитрий Курашев, директор компании Entensys.

«Если говорить о современных и востребованных функциях, то в основном брандмауэры используются как классические межсетевые экраны, - замечает Дмитрий Ушаков, руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia. - Конечно, по своим возможностям они уже отличаются от тех, что применялись в 80-е и 90-е годы, - взять хотя бы контекстную фильтрацию с учетом состояния и разбор приложений (способность отслеживать связанные соединения). Но на практике востребованы главным образом именно классические функции».

По мнению аналитиков Frost & Sullivan, хотя традиционные межсетевые экраны остаются фундаментальным средством обеспечения безопасности, они неэффективны при защите от сложных сетевых атак . Развитие технологий и приложений приводит к открытию все новых лазеек для злоумышленников, а практическая реализация системы безопасности усложняется. Чтобы противостоять меняющимся угрозам, производителям приходится активизировать разработку новых методов выявления и предотвращения атак и блокирования нежелательного сетевого трафика. По мнению экспертов Gartner, рынок межсетевых экранов вступил в период «динамичной эволюции» и в ближайшие годы высокие темпы роста сохранятся (см. Рисунок 3).

Рисунок 3. Прогноз роста мирового рынка межсетевых экранов от Frost & Sullivan.

«НОВОЕ ПОКОЛЕНИЕ» СЕГОДНЯ

Основной технологией NGFW остается детальный и настраиваемый контроль на уровне приложений, однако «поддержка приложений» в современных межсетевых экранах существенно отличается от того, что предлагалось 20 лет назад. Технология межсетевых экранов была значительно усовершенствована - она эволюционировала до специализированных решений, выполняющих глубокий анализ трафика и идентификацию приложений. Соответствующие продукты стали работать быстрее и поддерживают более сложные наборы правил, чем их предшественники.

Аналитики Gartner отмечают, что в последние два-три года растет спрос на платформы NGFW, способные выявлять и блокировать изощренные атаки, задавать (с высокой степенью детализации) политики безопасности на уровне приложений, а не только портов и протоколов. Функционал и производительность межсетевых экранов должны отвечать требованиям более сложного взаимодействия с приложениями, а сами устройства - обладать высокой пропускной способностью и поддерживать виртуализацию. Выбор решения определяется такими факторами, как стоимость, удобство управления, простота и скорость развертывания. Конечно, список этим не исчерпывается.

«При сравнении или разработке методики выбора межсетевых экранов аналитики оперируют несколькими десятками (иногда до полутора сотен) критериев, которые следует учитывать, выбирая решение. Каждый заказчик по-своему расставляет приоритеты - универсального рецепта или сценария нет и быть не может», - подчеркивает Алексей Лукацкий, эксперт Cisco в области сетевой безопасности.

Новые угрозы и технологии Web 2.0 заставляют вендоров обновлять свои предложения - межсетевые экраны эволюционируют. Они оснащаются функциями глубокого анализа трафика и предоставляют возможность гибкой настройки политики, а их производительность увеличивается в соответствии с ростом пропускной способности сетей. NGFW способны контролировать сетевой трафик на уровне приложений и пользователей и активно блокировать угрозы. Они могут включать в себя целый ряд дополнительных средств обеспечения безопасности и поддерживать развитые сетевые функции.

Крупные предприятия и провайдеры нуждаются в высокопроизводительных решениях. Новейшие системы строятся на мощных аппаратных платформах, причем в качестве интегрированных компонентов в них используются ранее разрозненные средства и функции безопасности - IPS, глубокий анализ пакетов, аутентификация пользователей и многое другое. Однако межсетевые экраны корпоративного уровня характеризуются не специфическим набором функций, а масштабируемостью, управляемостью и надежностью, которые отвечают потребностям крупных компаний.

Межсетевые экраны ведущих вендоров, включая Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks и Palo Alto Networks, обеспечивают детальный контекстный анализ трафика на уровне приложений. Но это не единственное свойство NGFW. Например, компания Gartner более трех лет назад предложила собственное определение, подчеркивающее связь между IPS и NGFW. Другие аналитики считают важной особенностью NGFW функции UTM. Palo Alto и Juniper придерживаются своей терминологии. Однако суть не в формулировках, а в функциях NGFW, которые организации могут задействовать для защиты своих сетей.

По словам Алексея Лукацкого, Cisco смотрит на данный вопрос чуть шире, чем принято в других компаниях: «Мы не используем понятие NGFW, заменив его на Context-Aware FW, то есть межсетевой экран, учитывающий контекст. Под контекстом понимается не только ответ на вопрос «ЧТО можно?» (то есть анализ трафика на сетевом и уровне приложений), но и ответы на вопрос «КОГДА можно?» (привязка попытки доступа ко времени), «КУДА и ОТКУДА можно?» (местоположение ресурсов и оборудования, с которого отправляется запрос), «КОМУ можно?» (привязка не только к IP-адресу, но и к учетной записи пользователя), «КАК можно?» (с какого устройства разрешено осуществлять доступ - с личного или с корпоративного, со стационарного или мобильного). Все это позволяет более гибко выстраивать политику доступа и учитывать постоянно изменяющиеся потребности современного предприятия с точки зрения информационной безопасности».

NGFW - это устройство, которое расширяет функционал традиционного межсетевого экрана в части дополнительных сервисов инспекции и контроля пользователей и приложений, считает Дмитрий Ушаков. «Соответственно, межсетевой экран следующего поколения - это, по большому счету, FW, IPS и система контроля поведения пользователей и приложений, - подчеркивает он. - И в этом смысле Stonesoft StoneGate FW уже несколько лет выполняет функции NGFW».

Межсетевые экраны не только фильтруют входящий трафик. Некоторые NGFW могут выявлять аномальную активность и в исходящем трафике , например, взаимодействие через порт 80 с несанкционированным сайтом или трафик, совпадающий с одной из сигнатур. Это помогает идентифицировать и блокировать исходящие коммуникации, в том числе инициированные вредоносными программами. «Все больше и больше возможностей, которые раньше реализовывались на выделенных межсетевых экранах, объединяются в одном программно-аппаратном комплексе. Мы вкладываем в понятие NGFW качественное сочетание таких функций, как стандартное экранирование, контроль приложений, предотвращение вторжений», - говорит Брендан Паттерсон, старший менеджер по управлению продуктами WatchGuard Technologies.

NGFW позволяют создавать политики ИБ на основе широкого набора контекстных данных, обеспечивая более высокую степень защиты, управляемости и масштабируемости. Трафик интернет-сервисов (от электронной почты до потокового видео и социальных сетей) проходит через браузер по ограниченному числу портов, и NGFW должен обладать способностью анализа сеансов (с тем или иным уровнем детализации) для принятия решений в зависимости от контекста. Еще одной особенностью NGFW является поддержка идентификации пользователей (что можно применять при создании правил), причем для этого межсетевой экран может как использовать собственную информацию, так и обращаться к Active Directory. «Умение» распознавать и анализировать трафик отдельных приложений приобрело особое значение с распространением Web-приложений, которые большинство межсетевых экранов SPI могут идентифицировать лишь как трафик HTTP через порт 80.

Покупка NGFW с намерением использовать лишь его функции фильтрации трафика по портам нецелесообразна, но и функции детального контроля приложений нужны далеко не всем. К тому же стоит подумать, располагает ли организация квалифицированными ресурсами, чтобы конфигурировать и поддерживать сложный набор правил NGFW. Нельзя забывать и о скорости. Лучше всего настроить и протестировать NGFW в рабочей среде. Пропускная способность и удобство управления остаются ключевыми критериями оценки межсетевых экранов. Отдельный сегмент - продукты управления политиками (Firewall Policy Management, FPM). Gartner рекомендует применять их, если сложность среды ИТ превосходит возможности консоли управления FW.

Аналитики Gartner считают, что традиционные межсетевые экраны SPI - уже устаревшая технология, не способная защитить от многих угроз, и теперь многие организации развертывают NGFW. По прогнозу Gartner, через три года 38% предприятий будут использовать NGFW, тогда как в 2011 году таковых насчитывалось лишь 10%. В то же время число заказчиков, развертывающих комбинированные решения (FW+IPS), снизится с 60 до 45%, а количество компаний, пользующихся исключительно межсетевым экраном, - с 25 до 10%. В России видимо, результаты будут иными.

«Как показывает практика, традиционные межсетевые экраны до сих пор пользуются огромным успехом, - напоминает Дмитрий Ушаков. - В основном это связано с ограниченным контролем за реализацией сервисов безопасности со стороны регулирующих органов и, к сожалению, с обеспечением защиты ИТ по остаточному принципу - подешевле и по минимуму. Мало кто задумывается об угрозах и последствиях. Поэтому место для традиционных экранов, безусловно, есть, однако их будут оснащать новыми функциями. Например, более востребованными становятся устройства, в которых помимо традиционного FW есть еще и средства углубленного анализа межсетевых потоков».

Между тем при решении новых сложных задач разработчикам подчас приходится идти на компромисс. По заключению лаборатории NSS, новые функции NGFW, такие как детальный контроль на уровне приложений, часто снижают производительность и эффективность защиты по сравнению с комбинацией традиционных межсетевых экранов и IPS. Только у половины протестированных систем эффективность защиты превышала 90%.

Исследование NSS показало также, что средства IPS в системах NGFW настраивают редко: обычно после развертывания применяются политики, заданные вендорами по умолчанию. Это негативно сказывается на безопасности. Да и пропускная способность не отвечает заявленной: из восьми продуктов у пяти она оказалась ниже. Кроме того, у всех протестированных NGFW максимальное число подключений не соответствовало спецификациям. Тестировщики лаборатории NSS пришли к выводу, что NGFW будут готовы к развертыванию в корпоративных средах лишь после повышения производительности, да и в целом технологии NGFW нуждаются в совершенствовании - системы должны обеспечивать более стабильную работу и высокую степень безопасности.

В то же время большинство вендоров успешно развивают свой бизнес. Например, IDC отметила Check Point как ведущего производителя межсетевых экранов/UTM: во II квартале прошлого года этот ветеран рынка межсетевых экранов лидировал в данном сегменте по объему продаж, обойдя крупнейших поставщиков сетевого оборудования. Доля Check Point на мировом рынке FW/UTM превышает 20%, а в Западной Европе приближается к 30%.

В линейке Check Point - семь моделей устройств безопасности с архитектурой «программных блейдов» (см. Рисунок 4): модели от 2200 до 61000 (последняя является самым быстрым на сегодня межсетевым экраном). Высокопроизводительные устройства Check Point объединяют функции межсетевого экрана, VPN, предотвращения вторжений, контроля приложений и мобильного доступа, предотвращения утечек данных, поддержки идентификации, фильтрации URL, антиспама, антивируса и борьбы с ботами.

В «магическом квадранте» аналитики Gartner отнесли Check Point и Palo Alto Networks к лидерам рынка межсетевых экранов, а Fortinet, Cisco, Juniper Networks и Intel (McAfee) названы претендентами. Целых семь вендоров оказались «нишевыми игроками», и ни одна компания не попала в сектор «провидцы». Впрочем, это не мешает заказчикам отдавать предпочтение продукции Cisco (см. Рисунок 5).

Сейчас на рынке продолжается переход к системам NGFW, способным выявлять и блокировать различные виды изощренных атак и обеспечивать соблюдение политик на уровне приложений. В 2012 году признанные игроки рынка стремились усовершенствовать свои решения NGFW, чтобы они не уступали по своим возможностям продуктам новичков отрасли, а разработчики инновационных систем дополняли их средствами управления, выводя на уровень известных брендов.

ДРАЙВЕРЫ РОСТА И НОВЫЕ РАЗРАБОТКИ

Хотя мировой рынок межсетевых экранов насыщен, он далек от стагнации. Практически все крупные вендоры представили продукты нового поколения с дополнительными функциями. Драйверы роста рынка межсетевых экранов - мобильность, виртуализация и облачные вычисления - стимулируют потребности в новых средствах, предлагаемых NGFW. Аналитики Gartner констатируют растущий спрос на программные версии межсетевых экранов, используемые в виртуализированных ЦОД (см. Рисунок 6). В 2012 году доля виртуальных вариантов NGFW не превышала 2% но, по прогнозам Gartner, к 2016-му она вырастет до 20%. Виртуальные версии межсетевых экранов и решений для защиты контента хорошо подходят для развертывания в облачных средах.

Рисунок 6. По данным Infonetics Research, затраты североамериканских компаний на обеспечение информационной безопасности центров обработки данных в минувшем году резко выросли.

Для удаленных офисов и SMB привлекательным решением часто оказывается облачный межсетевой экран, установленный сервис-провайдером. По мнению некоторых экспертов, с развитием мобильного доступа и облачных архитектур потребуется менять и архитектуру безопасности: вместо NGFW компании будут чаще задействовать Web-шлюзы, находящиеся под контролем провайдера, а крупные организации - разделять функции Web-шлюзов и межсетевых экранов для улучшения производительности и управляемости, несмотря на то что некоторые продукты NGFW способны выполнять базовые функции Web-шлюзов.

Дмитрий Курашев считает, что все функции по обработке трафика лучше возложить на шлюзы, размещенные внутри компании: «Более правильным является использование облачных сервисов для администрирования и мониторинга серверных приложений, а также для сбора статистики и анализа». «Межсетевой экран должен быть установлен по умолчанию и у облачного провайдера, и на стороне заказчика облачных сервисов, - дополняет Алексей Лукацкий. - Ведь между ними находится незащищенная среда, которая может стать плацдармом для проникновения в корпоративную сеть или облако вредоносных программ либо для атак злоумышленников. Поэтому средства сетевой безопасности все равно необходимы».

Характерный пример управляемых сервисов безопасности - недавно анонсированный в России набор сервисов по защите сети клиента от основных сетевых угроз, предложенный Orange Business Services. Сервисы Unified Defense позволяют обеспечить централизованную антивирусную защиту всех устройств в сети, оградить корпоративные почтовые ящики от спама и фильтровать интернет-трафик, при необходимости ограничивая доступ сотрудников к тем или иным сетевым ресурсам на аппаратном уровне. Кроме того, в состав системы защиты включены межсетевой экран, а также средства обнаружения и предотвращения вторжений.

Unified Defense базируется на компактном устройстве UTM с функциональностью NGFW производства Fortinet, которое устанавливается в сети заказчика и поддерживается специалистами Orange. Продукт предлагается в двух версиях - для сетей, где обеспечивается поддержка до 200 пользователей, а скорость интернет-канала не превышает 20 Мбит/с (оборудование FortiGate 80C), а также для сетей, рассчитанных на 1000 пользователей и канал 100 Мбит/с (оборудование FortiGate 200B) (см. Рисунок 7). В настоящее время сервис доступен для клиентов Orange, в дальнейшем планируется предоставление услуги и в сетях сторонних провайдеров.

Unified Defense на базе оборудования Fortinet позволяет воспользоваться новыми технологиями безопасности даже компаниям с ограниченным ИТ-бюджетом. Одна из функций клиентского портала - доступ к регулярным отчетам о работе системы, в том числе к информации о нейтрализованных угрозах.

Глубокий анализ трафика позволяет идентифицировать приложения, обменивающиеся данными по сети. Учитывая современные тенденции переноса приложений в облако и развития сервисов SaaS, обеспечить попадание в корпоративную сеть только востребованных данных можно лишь при еще более высоком уровне детализации. Каждый вендор использует при создании NGFW собственные подходы. Многие выбирают сигнатурный метод.

Так, например, компания Astaro (с 2011 года входит в состав Sophos) применяет базу сигнатур приложений своего партнера Vineyard Networks. Благодаря этому, Astaro Security Gateway может различать разные приложения, работающие на одном Web-сайте, применять к ним политики QoS, приоритеты трафика и выделять пропускную способность. В новой версии Astaro Security Gateway улучшен интерфейс администрирования: по карте сети можно в реальном времени задавать правила и быстро реагировать на новые угрозы. В будущих версиях межсетевого экрана Astaro появится возможность передавать специалистам пакеты неизвестного типа для их последующего анализа.

В прошлом году Check Point на 90% обновила продуктовую линейку. Представленные модели оптимизированы для архитектуры «программных блейдов» Check Point и имеют, по данным разработчика, примерно в три раза более высокую производительность по сравнению с предыдущими поколениями. Новый модуль Security Acceleration, созданный на основе технологии SecurityCore, позволяет значительно увеличить производительность межсетевого экрана путем ускорения ключевых операций. Согласно Check Point, его пропускная способность достигает 110 Гбит/с, а задержка - менее 5 мкс. Как заявляют в компании, это самый производительный в отрасли межсетевой экран в форм-факторе 2U.

Созданная Check Point библиотека AppWiki позволяет идентифицировать более 5 тыс. приложений и 100 тыс. виджетов. Эти сигнатуры используются программными блейдами Check Point Application Control и Identity Awareness. Кроме того, для идентификации клиентских устройств и конечных пользователей, ПО интегрируется с Active Directory, а администраторы могут детально настраивать политики безопасности. Обучение сотрудников происходит в реальном времени: когда кто-либо из них нарушает политику безопасности, клиентское приложение-агент Check Point UserCheck выводит всплывающее окно, где поясняется суть нарушения и запрашивается подтверждение действия. Возможность передать запрос администратору упрощает процесс настройки политик безопасности в соответствии с потребностями пользователей.

В программную версию R74.40, предназначенную для ключевых продуктов сетевой безопасности Check Point, включено более 100 новых свойств, в том числе программный блейд Anti-Bot и обновленная версия Anti-Virus с технологией Check Point ThreatCloud: этот облачный сервис собирает информацию об угрозах и обеспечивает защиту шлюзов безопасности в режиме реального времени. Новое решение для ЦОД и частных облаков Check Point Virtual Systems позволяет объединять на одном устройстве до 250 виртуальных систем.

Компания Cisco в прошлом году выпустила собственное решение NGFW - новое поколение Adaptive Security Appliance (ASA), что стало ответом на технологию, разработанную Palo Alto Networks. ASA CX - межсетевой экран, учитывающий контекст, то есть распознающий не просто IP-адреса, а приложения, пользователей и устройства, а значит, позволяющий отслеживать, как сотрудник применяет те или иные приложения на разном оборудовании, и обеспечивать соблюдение соответствующих правил.

Функционируя на базе всех моделей Cisco ASA 5500-X (от 5512-X до 5585-X), Cisco ASA CX обеспечивает привязку правил к учетной записи пользователя в Active Directory, контроль за более чем 1100 приложениями (Facebook, LinkedIn, Skype, BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor и т. д.), учет времени и направление запроса на доступ, а также решение многих других задач. При этом Cisco ASA CX является не просто автономной мультигигабитной платформой, а тесно интегрируется с другими решениями безопасности Cisco - системой предотвращения вторжений Cisco IPS, системой авторизации и контроля сетевого доступа Cisco ISE, системой защиты Web-трафика Cisco Web Security и т. д.

Как подчеркивает Алексей Лукацкий, такой межсетевой экран учитывает и «размытость» периметра сети. Например, благодаря интеграции с Cisco ISE и всей сетевой инфраструктурой Cisco, он может распознать, что трафик поступает с личного iPad сотрудника, после чего, в зависимости от политики безопасности, динамически заблокирует его или разрешит доступ лишь к определенным внутренним ресурсам. Если же этот доступ осуществляется с корпоративного мобильного устройства, его привилегии могут быть расширены.

При этом ASA CX функционирует не только по принципу свой/чужой (личный/корпоративный), но и учитывает используемую на мобильном устройстве ОС, ее версию, наличие обновлений и иных «заплаток», а также работу антивируса и актуальность его баз и т. п. Доступ будет предоставляться не по IP-адресам отправителя и получателя, а в зависимости от целого комплекса параметров, что дает возможность реализовать гибкую политику подключения к защищаемым ресурсам вне зависимости от того, снаружи или изнутри находится пользователь и задействует ли он проводное или беспроводное соединение, личное или корпоративное устройство.

В межсетевом экране Dell SonicWALL применяется постоянно расширяемая база сигнатур, что позволяет идентифицировать более 3500 приложений и их функций. Технология SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) сканирует пакеты каждого протокола и интерфейса. Эксперты SonicWALL Research Team создают новые сигнатуры, которые автоматически доставляются в уже работающие межсетевые экраны. При необходимости заказчики могут добавлять сигнатуры самостоятельно. В окнах SonicWALL Visualization Dashboard и Real-Time Monitor администраторы могут видеть конкретные приложения в сети, а также - кто и как их использует. Эти сведения полезны для настройки политик и диагностики.

Функциональность своего продукта расширила и компания Entensys. В выпущенной в ноябре 2012 года UserGate Proxy&Firewall версии 6.0 появились полноценный сервер VPN, система IPS. Этот продукт UTM предлагается в форме ПО или программно-аппаратного комплекса. Кроме функций, непосредственно связанных с безопасностью, разработчики уделили большое внимание фильтрации контента и контролю за интернет-приложениями. В 2012 году были усовершенствованы функции морфологического анализа передаваемой информации для фильтрации входящего и исходящего трафика и выпущен производительный и функциональный сервер фильтрации контента UserGate Web Filter 3.0, который может использоваться совместно с любым сторонним решением UTM.

Компания Fortinet, которую обычно ассоциируют с UTM, в прошлом году представила FortiGate3240C - продукт, относящийся скорее к классу NGFW. В устройствах Fortinet FortiGate для идентификации приложений используются декодеры протоколов и расшифровка сетевого трафика. Разработчики ведут базу данных, куда добавляют сигнатуры новых приложений и, с выходом новых версий, обновленные сигнатуры существующих. Благодаря этой информации, продукты Fortinet различают приложения и применяют к каждому из них свои правила. В компании утверждают, что ее продукты имеют более высокий уровень производительности и интеграции по сравнению c конкурирующими решениями, поскольку все технологии разработаны ею самостоятельно. На функции NGFW обратили также внимание F5 Networks и Riverbed: совместно с McAfee (Intel) и другими поставщиками решений ИБ они встраивают их в оборудование и ПО для оптимизации трафика глобальной сети.

У Juniper Networks функции NGFW шлюзов SRX Services Gateway реализованы в пакете приложений AppSecure. Компонент AppTrack тоже использует созданную Juniper базу сигнатур приложений, дополненную сигнатурами, формируемыми администраторами заказчиков. AppTrack идентифицирует приложения, а компоненты AppFirewall и AppQoS обеспечивают соблюдение политик и контроль за трафиком приложений. Как заявляет производитель, эта платформа обладает высокой масштабируемостью и функционирует на скорости до 100 Гбит/с.

McAfee, входящая в Intel, использует для распознавания приложений в McAfee Firewall Enterprise технологию AppPrism, идентифицирующую тысячи приложений, независимо от портов и протоколов. Наряду с этим применяются сигнатуры, разработанные экспертами McAfee Global Threat Intelligence. При помощи AppPrism администраторы могут запрещать выполнение не только самих приложений, но и их «рискованных» компонентов - например, блокировать функцию обмена файлами в Skype, разрешив обмен сообщениями. Как и Juniper, к преимуществам своего решения McAfee относит собственную технологию и сигнатуры приложений.

В технологии App-ID компании Palo Alto Networks для идентификации приложений используется несколько методов: расшифровка, обнаружение, декодирование, сигнатуры, эвристика и др . В идентификаторах App-ID может применяться любая их комбинация, что позволяет выявлять все версии приложения, а также ОС, в которых оно работает. В соответствии с App-ID приложения, межсетевой экран Palo Alto применяет к его трафику то или иное правило, например, передачу файла можно заблокировать. Кроме того, App-ID можно дополнять новыми методами выявления и идентификации приложений, встраивая их в механизмы классификации.

Компания Stonesoft в 2012 году не обновляла свою линейку межсетевых экранов, но анонсировала новое решение Evasion Prevention System (EPS). Этот инструмент предназначен для обнаружения и предотвращения кибератак, где используются динамические техники обхода защиты (Advanced Evasion Technique, AET - техники, применяемые совместно с сетевыми атаками с целью обхода систем защиты) и эксплуатируются уязвимости систем защиты. Как рассказал Дмитрий Ушаков, продукт обеспечивает дополнительный уровень безопасности для уже установленных в организациях устройств NGFW, IPS и UTM, уязвимых для AET. Это новый класс устройств, предназначенных для борьбы с изощренными попытками злоумышленников проникнуть в сеть организации.

«Сегодня работодатели понимают, что их сотрудникам порой нужен доступ к запрещенным сайтам (сайты по подбору персонала, социальные сети и др.) и системам обмена сообщениями (Skype, ICQ). В связи с этим приложения из «белого» (можно) и «черного» списков (нельзя) перемещаются в область «серых» (можно при определенных условиях или в определенное время). Эти политики информационной безопасности предлагается формулировать в виде правил доступа» - рассказывает Дмитрий Ушаков.

По словам Александра Кушнарева, технического консультанта компании Rainbow Security (дистрибьютора WatchGuard Technologies), WatchGuard представила новые виртуальные версии своих продуктов XTMv и XCSv, а также аппаратные платформы нового поколения «с лучшей на рынке производительностью UTM». В программно-аппаратных комплексах WatchGuard XTM при помощи сервиса WatchGuard Reputation Enabled Defense реализована защита пользователей от вредоносных Web-сайтов при существенном уменьшении нагрузки на сеть. Этот сервис обеспечивает высокую степень защиты от Web-угроз, более быстрый Web-серфинг, гибкое управление и широкие возможности создания отчетов.

«Мы видим, что потребность в устройствах UTM растет. Аппаратные платформы WatchGuard последнего поколения могут обрабатывать трафик с включенными сервисами UTM с такой же скоростью, с которой предыдущие поколения могли выполнять лишь простую пакетную фильтрацию. Чтобы превратить межсетевые экраны WatchGuard в устройство UTM, достаточно активировать лицензию. Если же клиент нуждается только в фильтрации пакетов и организации туннелей VPN, ему подойдет межсетевой экран в классическом понимании», - говорит Александр Кушнарев.

Он подчеркивает, что функции контроля приложений в NGFW сейчас очень востребованы: компании хотят регулировать доступ сотрудников к социальным сетям и игровым сайтам. В числе актуальных средств UTM - фильтрация URL с поддержкой базы русскоязычных сайтов, а также полноценная поддержка агрегирования портов и репутации внешних ресурсов. Последняя способствует качественному обнаружению и превентивному блокированию трафика от ботнетов. Кроме того, большинство заказчиков заинтересованы в экономии средств, в использовании простых и удобных настроек конфигурации, поэтому решения «все в одном», такие как WatchGuard XTM, будут для них подходящим вариантом.

Еще два-три года назад заказчики скептически относились к NGFW, но теперь, когда конкуренция на этом рынке достаточно высока, они могут выбирать из широкого спектра высококачественных продуктов NGFW. По прогнозам аналитиков Cyber Security, вплоть до 2018 года мировой рынок межсетевых экранов корпоративного класса будет ежегодно расти более чем на 11%. Однако межсетевые экраны - не панацея. При выборе решения нужно четко определить, какие именно функции необходимы, убедиться в том, что заявленные вендором защитные свойства могут быть реализованы в конкретной рабочей среде, что в компании (или у аутсорсера) достаточно ресурсов для управления политиками безопасности.

И конечно, следует иметь в виду, что NGFW остаются устройствами защиты периметра. Они прекрасно выполняют свою функцию при доступе в Интернет, но «мобильная безопасность» требует большего. Сегодня NGFW должны усиливаться облачными и мобильными решениями безопасности и «уметь» распознавать контекст. Со временем эти решения станут доступнее, проще, функциональнее, а облачная модель внесет коррективы в способы управления ими.

Сергей Орлов - ведущий редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу:

Зачем нужен сетевой экран в роутере

Беспроводная сеть нуждается в тщательной защите, ведь возможности для перехвата информации здесь создаются самые благоприятные. Поэтому, если с помощью маршрутизатора (роутера) в сеть объединяется несколько компьютеров, сетевой экран должен стоять и использоваться не только на каждом компьютере, но и на роутере. Например, функцию сетевого экрана в роутере серии DI-XXX выполняет SPI, осуществляющая дополнительную проверку пакетов. Предметом проверки является принадлежность пакетов к установленному соединению.

Во время сессии соединения открывается порт, который могут пытаться атаковать посторонние пакеты, особенно благоприятный момент для этого - когда сессия завершена, а порт остается открытым еще несколько минут. Поэтому SPI запоминает текущее состояние сессии и анализирует все входящие пакеты. Они должны соответствовать ожидаемым - приходить с того адреса, на который был отправлен запрос, иметь определенные номера. Если пакет не соответствует сессии, то есть является некорректным, он блокируется, и это событие регистрируется в логе. Еще сетевой экран на роутере позволяет блокировать исходящие соединения с зараженного компьютера.

Компания D-Link является известным разработчиком и поставщиком аппаратных решений для построения компьютерных сетей любого масштаба. В линейку продуктов также входят устройства для обеспечения защиты сети от внешних угроз: межсетевые экраны и системы обнаружения вторжений. Мы обратились к представителю D-Link с просьбой рассказать, какие технологии используются в аппаратных решениях для обеспечения IT-безопасности, чем аппаратные решения отличаются от своих программных аналогов и в каких случаях, какой класс продуктов наиболее оптимален. Определенная часть интервью также посвящена специфике российского рынка решений в сфере IT-безопасности, а также его тенденциям и перспективам. На наши вопросы отвечает Иван Мартынюк, консультант по проектам компании D-Link.

Иван Мартынюк, консультант по проектам компании D-Link

Алексей Доля : Вы не могли немного рассказать о своей компании?

Иван Мартынюк : По меркам IT-индустрии компания D-Link является довольно старой компанией. Она была организована в марте 1986 года. 87 региональных офисов компании осуществляют продажу и поддержку оборудования на территории более чем 100 стран мира. В компании работает более трёх тысяч сотрудников. Если говорить о сфере деятельности компании, то D-Link является крупнейшим производителем сетевого оборудования для сегментов малого и среднего бизнеса, так, согласно ряду исследований потребительского сектора рынка сетевого оборудования, проведенных аналитической компанией Synergy Research Group, D-Link занимает первое место в мире по объему продаж оборудования в этом секторе. По данным Synergy Research Group, в первом квартале 2004 года компания D-Link продала более 8 миллионов сетевых устройств, что почти в два раза превосходит количество устройств, проданных ее ближайшим конкурентом. А по оценкам IDC, D-Link занимает первое место по продажам коммутаторов и беспроводного оборудования в странах Азиатско-Тихоокеанского региона.


Алексей Доля : Как давно вы занимаетесь разработкой продуктов для защиты сетей? Что это за продукты?

Иван Мартынюк : Первые специализированные продукты для защиты сетей появились у нашей компании не очень давно - в 2002 году. Относительно позднее появление компании в этом сегменте вызвано политикой работы на рынке. D-Link занимается выпуском только массовой "устоявшейся" продукции, которая обладает высоким рыночным спросом. Компания не разрабатывает новейшие технологии и протоколы, а использует в своих продуктах уже хорошо отлаженные стандартизированные спецификации. Ещё одним отличием нашей компании от других является то, что мы сами не только разрабатываем устройства вплоть до разработки некоторых микросхем и пишем для них программное обеспечение, а ещё и сами производим их на собственных заводах. У компании есть несколько центров разработки и заводов, которые находятся в разных странах мира. Продукты для защиты сетей разрабатываются и производятся на Тайване. На сегодняшний день, эта продуктовая линейка довольно широка и включает в себя: маршрутизаторы и коммутаторы, обладающие функциями защиты сетей, межсетевые экраны и системы обнаружения вторжений, а также специализированные устройства, например, беспроводные шлюзы, которые обладают некоторыми функциональными особенностями, специально предназначенными для использования в беспроводных сетях, - это специфические для беспроводных сетей средства обеспечения безопасности, средства аутентификации и тарификации пользователей и др.


Алексей Доля : Вы не могли бы подробно рассказать о функционале ваших межсетевых экранов и средств обнаружения вторжений, от каких атак они защищают?

Иван Мартынюк : На сегодняшний день существует три поколения межсетевых экранов. Первое поколение - это межсетевые экраны с пакетной фильтрацией. Эти устройства могут выполнять анализ пакетов на сетевом и транспортном уровнях, то есть анализировать IP-адреса, а также TCP и UDP порты источника и назначения, и на основании этой информации принимать решение о том, что делать дальше с этим пакетом: разрешить его прохождение, запретить, изменить приоритет и т.д. Второе поколение устройств - это межсетевые экраны посредники (Proxy). Данные устройства могут выполнять анализ информации на всех семи уровнях, вплоть до уровня приложений и соответственно обеспечивают очень высокий уровень защиты. При этом такие устройства не напрямую передают пакеты во внешний мир, а выступают в качестве агента-посредника между внутренними приложениями и внешними службами, что в случае попытки взлома приводит к взлому межсетевого экрана, а не внутреннего хоста. Соответственно, такие устройства для обеспечения высокой производительности требуют высокоскоростных аппаратных платформ и имеют самую высокую стоимость. Третье поколение - это межсетевые экраны с анализом пакетов и сохранением состояния (Stateful Packet Inspections - SPI). Эти устройства по своей работе похожи на экраны с пакетной фильтрацией, но они анализируют большее число полей в пакетах, например, флаги и последовательные номера пакетов, а также сохраняют информацию о ранее проходивших пакетах и, соответственно, обеспечивают более высокий уровень защиты. Такие устройства могут запрещать прохождение пакетов с одного интерфейса на другой, в случае, если они не являются частью предварительно установленной сессии в обратном направлении, или разрывать сессию, если в ней замечены какие-то нарушения. Данные устройства требуют практически таких же вычислительных ресурсов, как и межсетевые экраны с пакетной фильтрацией и не сильно отличаются от них по цене, но обеспечивают гораздо более высокий уровень защиты.
Системы обнаружение вторжений (Intrusion Detection System - IDS) - это ещё более интеллектуальные устройства, которые не только работают на всех семи уровнях, а ещё и содержат средства, позволяющие более детально анализировать содержимое пакетов и обнаруживать замаскированные троянские программы и вирусы или другие вредоносные действия. Для этого такие системы содержат заранее подготовленные базы сигнатур атак и вирусов, а также обладают системами эвристического анализа, позволяющими в некоторых случаях блокировать те атаки, сигнатуры которых не содержатся в базе.
Если говорить о наших устройствах, то в зависимости от модели они обладают одними или другими функциональными возможностями.


Алексей Доля : Какие конкретно технологии и алгоритмы применяются для защиты сетей, то есть, как именно работают ваши межсетевые экраны?

Иван Мартынюк : Все наши межсетевые экраны: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 являются экранами с анализом пакетов и сохранением состояния (SPI), поддерживают функцию трансляции адресов (Network Address Translation - NAT), которая позволяет скрыть внутреннюю структуру сети, защищают от атак типа "отказ в обслуживании" (DoS - это отдельная группа атак, направленных на вывод хоста или службы из рабочего состояния), позволяют ограничить доступ локальных пользователей к определённым внешним web-ресурсам и поддерживают средства построения виртуальных частных сетей (Virtual Private Network - VPN) при помощи протоколов: IPSec, PPTP и L2TP. Причём, все вышеперечисленные функции обеспечения безопасности поддерживаются не только в специализированных устройствах - межсетевых экранах, а и в более дешёвых - интернет-шлюзах серии DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Розничная стоимость самого младшего устройства (DI-804HV) составляет всего 99$, что делает его доступным практически для каждой компании и даже домашних пользователей.
Старшие модели устройств поддерживают и другие, более сложные механизмы обеспечения безопасности. Например, устройства: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 и DFL-1500 позволяют производить аутентификацию пользователей встроенными или внешними средствами. DFL-600, DFL-700, DFL-900, DFL-1100 и DFL-1500 позволяют управлять полосой пропускания канала. DFL-200, DFL-700, DFL-900, DFL-1100 и DFL-1500 имеют встроенный модуль системы обнаружения вторжений (IDS), с обновляемой базой сигнатур. DFL-900 и DFL-1500 имеют встроенные модули-посредники (Proxy) для протоколов: HTTP, FTP, SMTP и POP3, т.е. являются межсетевыми экранами-посредниками, и при работе на этих протоколах обеспечивают не только более высокий уровень безопасности, а ещё и позволяют выполнять контроль содержимого. Например, позволяют ограничить доступ пользователя к определённым web-ресурсам, причём, в отличие от других моделей, где администратор должен был вводить эти ресурсы вручную, в DFL-900 и DFL-1500 имеется встроенная категоризированная база, которая автоматически обновляется, и единственное, что нужно администратору - это выбрать разрешённые или запрещённые для доступа категории web-сайтов. Также доступ может быть ограничен на основании содержимого web-страницы или к определённому ресурсу, который администратор ввёл вручную. Может быть заблокировано выполнение Java или ActiveX апплетов и скриптов, загрузка Cookies. На протоколах FTP, SMTP и POP3 может быть заблокирована загрузка определённых типов файлов. Устройства: DFL-1100 и DFL-1500 поддерживают режим высокой доступности, то есть позволяют установить параллельно два устройства и в автоматическом режиме переключиться на резервное, если основное вышло со строя.
Кроме того, все устройства отличаются друг от друга производительностью, количеством интерфейсов, наличием некоторых дополнительных функциональных возможностей и, естественно, стоимостью.


Алексей Доля : Как работают ваши системы обнаружения вторжений?

Иван Мартынюк : Наши системы обнаружения вторжений (DFL-2100 и DFL-2400) являются классическими прозрачными сетевыми системами обнаружения вторжений (Transparent Network based Intrusion Detection System - TNIDS). То есть, это выделенные аппаратные устройства, которые устанавливаются в разрыв сети и анализируют весь проходящий через них трафик. Анализ может производиться на основании базы сигнатур, которая периодически обновляется, или на основе эвристического анализа, позволяющего обнаруживать новые атаки, которых нет в перечне сигнатур. В случае обнаружения атаки система записывает информацию в лог файл, может выполнить уведомление системного администратора, заблокировать прохождение пакетов или разорвать сессию. С системами поставляется специальное программное обеспечение - Policy Server, позволяющее выполнять гибкое управление системами обнаружения вторжений, принимать сообщения об атаках, обновлять базы сигнатур, создавать системному администратору свои собственные сигнатуры, строить различные отчёты и выполнять мониторинг трафика в реальном режиме времени. Между собой DFL-2100 и DFL-2400 отличаются только производительностью.


Алексей Доля : Вы не могли бы сравнить концепции использования аппаратных и программных средств защиты сетей (брандмауэров и систем обнаружения вторжений)? Какие плюсы и минусы есть у этих двух категорий продуктов относительно друг друга?

Иван Мартынюк : При разработке программных решений существует меньше различных технологических ограничений и к этому процессу привлекается, как правило, меньшее количество разработчиков, соответственно, удельная стоимость таких решений зачастую ниже. Это справедливо и для межсетевых экранов. Стоимость программных межсетевых экранов по сравнению с аналогичными по функциональным возможностям аппаратными решениями - ниже. При этом программные решения оказываются гибче. К ним в будущем проще добавить дополнительные функциональные возможности или исправить допущенные ранее ошибки. Из того, что я сказал, получается, что аппаратные решения как бы и не нужны - программные и функциональнее и дешевле. Но не всё так просто. Во-первых, для конечного пользователя программное решение может оказаться дороже, чем аппаратное, так как законченное решение включает в себя не только стоимость программного обеспечения межсетевого экрана, а и стоимость операционной системы, поверх которой работает брандмауэр, а также стоимость аппаратной платформы, производительность которой должна быть гораздо выше, чем в случае аппаратного решения. Свободно распространяемые бесплатные межсетевые экраны практически не применяются компаниями. По анализам различных агентств такое программное обеспечение применяет порядка 3-5% компаний. Низкий процент использования обусловлен в основном проблемами с поддержкой, что очень критично для данного класса оборудования, а в некоторых случаях и с качеством такого программного обеспечения. Во-вторых, программные решения обладают ещё целым рядом недостатков, и основным из них является то, что их взлом или обход можно произвести не напрямую, а через уязвимости операционной системы, поверх которой они работают. А количество уязвимостей, содержащихся в операционных системах гораздо выше, чем в специализированном программном обеспечении межсетевого экрана или их аппаратных аналогах. Кроме того, надёжность программных решений ниже, так как они работают на универсальных аппаратных платформах, которые содержат большое количество компонентов (чем меньше компонентов содержит система, тем выше её надёжность). Причём, некоторые из этих компонентов содержат: движущиеся механические элементы (винчестеры, вентиляторы), у которых наработка на отказ гораздо ниже, чем у электронных; магнитные элементы (винчестеры), которые имеют низкую стойкость к повреждениям и подвержены электромагнитному излучению; большое количество контактных групп, т.е. высока вероятность возникновения проблем, связанных с нарушением контакта. Программные межсетевые экраны требуют более высокого уровня квалификации от обслуживающего их персонала, так как необходимо правильно настроить не только сам экран, а и операционную систему, что не так просто, как многие полагают. Некоторые программные межсетевые экраны даже не продаются без предоставления платных услуг по их настройке. Программные межсетевые экраны более дорогие в обслуживании, так как необходимо постоянно отслеживать не только обнаруженные уязвимости в специализированном программном обеспечении и устанавливать заплатки, а и уязвимости операционных систем, которых, как я уже сказал, гораздо больше. Кроме того, возможны некоторые проблемы с совместимостью между программным обеспечением, особенно после установки дополнительных заплаток. Также необходимо постоянно отслеживать состояние механических и магнитных компонентов на отсутствие повреждений. Помещение, в котором находится программный межсетевой экран, должно иметь более строгие правила по допуску персонала, так как универсальная аппаратная платформа позволяет произвести подключение к ней различными путями. Это и внешние порты (USB, LPT, RS-232), и встроенные приводы (CD, Floppy), а, вскрыв платформу можно подключиться через IDE или SCSI интерфейс. При этом операционная система позволяет установить различные вредоносные программы. И, наконец, универсальная аппаратная платформа имеет большую потребляемую мощность, что негативно сказывается на её времени работы от источника бесперебойного питания в случае пропадания электроэнергии. Споры о том, какие решения, в конечном итоге, программные или аппаратные лучше ведутся давно, но я хотел бы заметить, что любые технические средства - это лишь инструмент в руках тех, кто их эксплуатирует. И в большинстве случаев, проблемы с безопасностью происходят по причине невнимательности или низкой квалификации ответственного за это персонала, а не выбора той или иной платформы.


Алексей Доля : В каких случаях вы считаете целесообразным использовать именно аппаратные решения для защиты сетей, а в каких - программные? Желательно парочку примеров сценариев использования продуктов.

Иван Мартынюк : Применение программных межсетевых экранов оправдано в случае необходимости использования какой-то очень специфической функциональной возможности, которой не обладают аппаратные решения, например, необходим модуль посредник для какого-то экзотического протокола, или наоборот, необходимо получить очень дешёвое решение, при этом у компании или пользователя уже есть аппаратная платформа и операционная система. В любом случае, нужно учитывать все недостатки и достоинства обоих решений и выбирать компромиссное.


Алексей Доля : Правильно ли я понимаю, что домашним пользователям аппаратные брандмауэры просто не нужны?

Иван Мартынюк : Я бы так не сказал. Применение тех или иных средств защиты зависит не от того, кто этот пользователь: домашний или корпоративный, большая это компания или маленькая, а от стоимости информации, которую нужно защищать, т.е. от потерь, которые понесёт пользователь в случае нарушения одной или нескольких функций защиты - нарушения конфиденциальности, целостности или доступности информации. Как правило, действительно, чем больше компания, тем больше у неё информации, которая носит конфиденциальный характер и потери компании в этом случае выше. Но и обычный пользователь, например, руководитель той же компании на своём домашнем компьютере может содержать информацию, потеря которой может обойтись очень дорого. Соответственно, его компьютер должен быть защищён не хуже, чем корпоративная сеть. Выбор средств защиты и их стоимость, как правило, и определяется стоимостью защищаемой информации. Другими словами, не имеет смысла тратиться на средства защиты больше, чем стоит сама информация. Проблема состоит в другом - в определении стоимости информации. Если речь заходит о защите информации, которая принадлежит государству, то тут в силу вступают законодательные акты, которые регламентируют необходимый уровень защиты.


Алексей Доля : Судя по опыту ведения бизнеса в России, вы можете проследить темпы роста рынка аппаратных средств защиты сетей за последние несколько лет?

Иван Мартынюк : Я уже говорил, что компания имеет трёхлетний опыт работы в этом сегменте рынка. И для нас 2004 год в этом плане был показательным. Объёмы продаж устройств в денежном выражении по сравнению с предыдущим годом увеличились более чем на 170%. Если судить по отчётам аналитических агентств, то в прошедшем году значительный рост в этом сегменте наблюдался не только у нас, а и у других компаний, выпускающих такое оборудование. Рынок систем безопасности в том виде, в котором он существует, сформировался где-то в 1997 году но, только начиная с прошлого года его можно считать массовым.


Алексей Доля : Есть ли специфика ведения бизнеса в российском сегменте рынка аппаратных средств защиты по сравнению с другими странами?

Иван Мартынюк : Да, действительно российский рынок немного отличается от мирового. Связано это, скорее всего, с экономическим состоянием страны и менталитетом. Во-первых, отличается сама структура рынка систем обеспечения безопасности. Если в мировом масштабе рынок аппаратных средств более чем в два раза превышает рынок программных продуктов, то в России их доли примерно одинаковы. Вызвано это определёнными экономическими проблемами и, соответственно, высоким уровнем распространения пиратского программного обеспечения. В России практически отсутствует очень популярный в других странах рынок аутсорсинговых услуг в сфере обеспечения безопасности. Данный бизнес не развит, так как многие руководители считают не безопасным отдавать решение проблем защиты информации третьим лицам, и экономически более выгодным решать проблемы силами собственных специалистов, уровень квалификации которых зачастую не удовлетворяет минимальным требованиям. То, что Российские сети лучше защищены, и у нас более высокий уровень персонала - это такой же миф, как и то, что свободно распространяемое программное обеспечение надёжнее коммерческого. Поэтому и способ ведения бизнеса в России немного отличается. У нас особое внимание приходится уделять не работе с системными интеграторами и аутсорсинговыми компаниями, а с конечными пользователями, потребителями продукции.


Алексей Доля : Можете сделать прогноз на будущее, как будет развиваться отрасль защиты информации в ближайшие несколько лет?

Иван Мартынюк : В последнее время всё больше ущерба и неудобства пользователям приносят атаки, реализованные на уровне приложений, а также вирусы, Spyware и спам. Соответственно, разработчиками будет больше внимания уделено системам, работающим именно на этом уровне - это и различные межсетевые экраны-посредники, системы контроля содержимого (Content Management), системы обнаружения и предотвращения вторжений. Получат большее распространение, и будут развиваться в функциональном плане различные распределённые системы, позволяющие принимать решение об атаке и способе её отражения на основании информации, полученной от различных источников, систем и зондов.


Алексей Доля : Вы не могли раскрыть мысль специалистов известной компании The Yankee Group о том, что в ближайшие годы акцент при построении защитных систем будет плавно перемещаться - от противодействия "внешним" хакерским нападениям к защите от нападений "изнутри"?

Иван Мартынюк : Если посмотреть на отчёты различных аналитических агентств, то можно заметить один парадокс. С одной стороны, компаний, которые используют средства защиты, обеспечивающие безопасность по периметру сети - гораздо больше, чем тех, которые защищаются и от атак изнутри, а с другой, потери компаний от реализованных "внутренних" атак гораздо выше, чем от "внешних". Специалисты в этой области, естественно, надеются, что когда-нибудь персонал компаний, ответственный за обеспечение безопасности, одумается, и будет уделять внимание внутренним угрозам не меньшее, чем внешним.


Алексей Доля : Какую техническую поддержку вы оказываете покупателям своих продуктов? Судя по информации предоставленной на вашем сайте, D-Link предоставляет дополнительные сервисные услуги, FAQ, Базу Знаний, HELPER и многое другое. Нельзя ли поподробнее?

Иван Мартынюк : Хотя компания D-Link и специализируется на производстве оборудования для сегментов малого и среднего бизнеса, но в нашем арсенале есть довольно высокофункциональные и сложные продукты, освоить которые не просто даже высококвалифицированному специалисту. Если вы зайдёте на наш web-сайт, то увидите, что у компании очень большое количество региональных офисов, которые оказывают поддержку на местах. Чем ближе вы к человеку, тем лучше его понимаете и сможете предложить ему лучшее техническое решение или решить его проблему более оперативно. В этом случае человеку проще позвонить к вам или подъехать, или вы сами можете подъехать к пользователю и решить проблему на месте. Компанией также поддерживается русскоязычный web-сайт, на котором можно найти подробную информацию о продуктах, узнать, где их можно приобрести, прочитать новости. Одним из наибольших разделов сайта является раздел технической поддержки, который содержит ответы на часто задаваемые вопросы (FAQ), базу знаний (Knowledge Base), в которой есть ответы на многие технические вопросы, помощник (Helper), который пригодится при построении сети начинающим пользователям, эмуляторы интерфейсов устройств, форум, где можно обсудить различные технические аспекты применения оборудования, как с другими пользователями, так и сотрудниками D-Link, а также множество другой полезной технической информации. Кроме web-сайта, поддерживается и FTP-сайт, откуда можно загрузить полные руководства пользователя для устройств, причём многие из них переведены на русский язык, а также прошивки, драйвера и другое программное обеспечение, и документацию для оборудования.


Алексей Доля : Помимо технической поддержки вы занимаетесь обучением? Семинары, курсы?

Иван Мартынюк : Во всех наших региональных офисах регулярно проводятся бесплатные технические семинары, которые позволяют интерактивно общаться с пользователями и донести до них ту информацию, которую невозможно предоставить через средства массовой информации или web-сайт. Повышение технического уровня IT-специалистов в результате положительно сказывается на уровне технических решений, реализуемых ими и объёмах продаж нашего оборудования. Семинары состоят из двух частей: теоретической, где рассказывается о принципах построения сетей, сетевых протоколах, технологиях и наших продуктах и практической, где показывается, как эти продукты настраивать под конкретные задачи.


Алексей Доля : Хотите сказать что-нибудь нашим читателям напоследок?

Иван Мартынюк : Хотелось бы заметить, что межсетевые экраны и системы обнаружения вторжений являются необходимыми, но не достаточными средствами защиты информации. К этому вопросу нужно подходить масштабно и внедрять так называемую "Комплексную систему защиты информации", которая представляет собой комплекс организационно-правовых и технических мероприятий. Решение задачи информационной безопасности всегда начинают с анализа информации, циркулирующей на предприятии, её классификации и определения ценности, потом выявляют множество потенциально возможных угроз, причём многие из них могут быть естественного характера, например, отказ оборудования, природные катаклизмы, ошибка персонала и др., и только после этого выбирают необходимую модель и средства защиты. Кроме того, даже правильно спроектированная и построенная система защиты не будет всегда эффективно защищать вашу сеть, так как её логическая и физическая структура постоянно изменяется, постоянно изменяется организационная структура предприятия, и появляются новые виды угроз. Систему защиты постоянно нужно анализировать и подстраивать под изменившиеся обстоятельства. Безопасность - это процесс.


Алексей Доля : Большое спасибо, что согласились ответить на наши вопросы. Мы и дальше будем следить за успехами вашей компании и ее продуктов!