Говорячи про програмно-апаратну складову системи інформаційної безпеки, слід визнати, що найбільше ефективний спосібзахисту об'єктів локальної мережі (сегменту мережі) від впливів з відкритих мереж (наприклад, Інтернету), передбачає розміщення якогось елемента, що здійснює контроль і фільтрацію через нього мережевих пакетіввідповідно до заданих правил. Такий елемент отримав назву між мережевий екран(Мережевий екран)або файрвол, брандмауер.

Файрволл, файрвол, фаєрвол, фаєрвол- Утворено транслітерацією англійського терміна firewall.

Брандмауер (нім. Brandmauer)– запозичений з німецької мовитермін, що є аналогом англійського "firewall" у його оригінальному значенні (стіна, яка розділяє суміжні будівлі, оберігаючи від розповсюдження пожежі).

Мережевий/міжмережевий екран (МСЕ)- Комплекс апаратних або програмних засобів, що здійснює контроль і фільтрацію мережевих пакетів, що проходять через нього, за різними протоколами відповідно до заданих правил.

Основним завданням міжмережевого екрану є захист комп'ютерних мереж та/або окремих вузлів від несанкціонованого доступу. Іноді міжмережеві екрани називають фільтрами, оскільки їх основне завдання – не пропускати (фільтрувати) пакети, які не підходять під критерії, визначені у конфігурації.

Для того, щоб ефективно забезпечувати безпеку мережі, міжмережевий екран відстежує та керує всім потоком даних, що проходить через нього. Для прийняття керуючих рішень для TCP/IP-сервісів (тобто передавати, блокувати або відзначати в журналі спроби встановлення з'єднань) міжмережевий екран повинен отримувати, запам'ятовувати, вибирати та обробляти інформацію, отриману від усіх рівнів комунікації та від інших додатків.

Міжмережевий екран пропускає через себе весь трафік, приймаючи щодо кожного пакета, що проходить рішення: дати йому можливість пройти чи ні. Для того, щоб міжмережевий екран міг здійснити цю операцію, необхідно визначити набір правил фільтрації. Рішення про те, чи фільтрувати за допомогою міжмережевого екрана пакети даних, пов'язані з конкретними протоколами та адресами, залежить від прийнятої в мережі безпеки, що захищається. По суті, міжмережевий екран є набором компонентів, що налаштовуються для реалізації обраної політики безпеки. Політика мережної безпеки кожної організації повинна включати (крім іншого) дві складові: політика доступу до мережевих сервісів і політика реалізації міжмережевих екранів.

Однак недостатньо просто перевіряти пакети окремо. Інформація про стан з'єднання, отримана з інспекції з'єднань у минулому та інших додатків – головний чинник прийняття керуючого рішення під час спроби встановлення нового з'єднання. Для прийняття рішення можуть враховуватися як стан з'єднання (отриманий з минулого потоку даних), так і стан програми (отриманий з інших додатків).

Таким чином, керуючі рішення вимагають, щоб міжмережевий екран мав доступ, можливість аналізу та використання наступних факторів:

• інформації про з'єднання – інформація від усіх семи рівнів (моделі OSI) у пакеті;
• історії з'єднань - інформація, отримана від попередніх з'єднань;
• стан рівня програми – інформація про стан з'єднання, отримана з інших додатків;
• маніпулюванні інформацією – обчислення різноманітних виразів, заснованих на всіх перерахованих вище факторах.

Типи міжмережевих екранів

Розрізняють кілька типів міжмережевих екранів залежно від таких характеристик:

• чи забезпечує екран з'єднання між одним вузлом і мережею або між двома чи більше різними мережами;
• чи відбувається контроль потоку даних на мережевому рівніабо вищих рівнях моделі OSI;
• відстежуються чи стану активних з'єднань чи ні.

Залежно від охоплення контрольованих потоків даних міжмережові екрани поділяються на:

• традиційний мережевий (або міжмережевий) екран– програма (або невід'ємна частина операційної системи) на шлюзі (пристрої, що передає трафік між мережами) або апаратне рішення, що контролюють вхідні та вихідні потоки даних між підключеними мережами (об'єктами розподіленої мережі);
• персональний міжмережевий екран– програма, встановлена ​​на комп'ютері користувача і призначена для захисту від несанкціонованого доступу тільки цього комп'ютера.

Залежно від рівня OSI, на якому відбувається контроль доступу, мережні екрани можуть працювати на:

• мережевому рівні, коли фільтрація відбувається на основі адрес відправника та одержувача пакетів, номерів портів транспортного рівня моделі OSI та статичних правил, заданих адміністратором;
• сеансовому рівні(також відомі, як stateful), коли відстежуються сеанси між додатками і не пропускаються пакети, що порушують специфікації TCP/IP, які часто використовуються в зловмисних операціях – сканування ресурсів, зломи через неправильні реалізації TCP/IP, обрив/уповільнення з'єднань, ін'єкція даних;
• прикладному рівні(або рівні додатків), коли фільтрація проводиться на підставі аналізу даних програми, що передаються усередині пакета. Такі типи екранів дозволяють блокувати передачу небажаної та потенційно небезпечної інформації на основі політик та налаштувань.

Фільтрування на мережному рівні

Фільтрування вхідних та вихідних пакетів здійснюється на основі інформації, що міститься в наступних полях TCP- та IP-заголовків пакетів: IP-адреса відправника; IP-адреса одержувача; порт відправника; порт отримувача.

Фільтрування може бути реалізовано у різний спосібблокування з'єднань з певними комп'ютерами або портами. Наприклад, можна блокувати з'єднання, що йдуть від конкретних адрес тих комп'ютерів і мереж, які вважаються ненадійними.

• порівняно невисока вартість;
• гнучкість у визначенні правил фільтрації;
• невелика затримка під час проходження пакетів.

Недоліки:

• не збирає фрагментованих пакетів;
• немає можливості відстежувати взаємозв'язки (з'єднання) між пакетами.

Фільтрування на сеансовому рівні

Залежно від відстеження активних з'єднань міжмережевими екранами можуть бути:

• stateless(проста фільтрація), що не відстежують поточні з'єднання (наприклад, TCP), а фільтрують потік даних виключно на основі статичних правил;
• stateful, stateful packet inspection (SPI)(фільтрація з урахуванням контексту), з відстеженням поточних з'єднаньта пропуском лише таких пакетів, які задовольняють логіку та алгоритми роботи відповідних протоколів та додатків.

Міжмережеві екрани з SPI дозволяють ефективніше боротися з різними видами DoS-атак та вразливістю деяких мережевих протоколів. Крім того, вони забезпечують функціонування таких протоколів, як H.323, SIP, FTP тощо, які використовують складні схемипередачі даних між адресатами, що погано піддаються опису статичними правилами, і найчастіше несумісних зі стандартними, stateless мережними екранами.

До переваг такої фільтрації належить:

• аналіз вмісту пакетів;
• не потрібна інформація про роботу протоколів 7 рівня.

Недоліки:

• складно аналізувати дані рівня додатків (можливо за допомогою ALG – Application level gateway).

Application level gateway, ALG (шлюз прикладного рівня)– компонент NAT-маршрутизатора, який розуміє якийсь прикладний протокол, і при проходженні через нього пакетів цього протоколу модифікує їх таким чином, що користувачі, що перебувають за NAT'ом, можуть користуватися протоколом.

Служба ALG забезпечує підтримку протоколів на рівні додатків (таких як SIP, H.323, FTP та ін.), для яких заміна адрес/портів (Network Address Translation) неприпустима. Ця служба визначає тип програми в пакетах, що надходять із боку інтерфейсу внутрішньої мережіта відповідним чином виконуючи для них трансляцію адрес/портів через зовнішній інтерфейс.

Технологія SPI(Stateful Packet Inspection) або технологія інспекції пакетів з урахуванням стану протоколу сьогодні є передовим методом контролю трафіку. Ця технологія дозволяє контролювати дані аж до рівня програми, не вимагаючи при цьому окремої програми посередника або proxy для кожного протоколу або мережної служби, що захищається.

Історично еволюція міжмережевих екранів походить від пакетних фільтрів загального призначення, потім почали з'являтися програми-посередники окремих протоколів, і, нарешті, розробили технологія stateful inspection. Попередні технології лише доповнювали одна одну, але всеосяжного контролю за сполуками не забезпечували. Пакетним фільтрам недоступна інформація про стан з'єднання та програми, яка потрібна для прийняття заключного рішення системою безпеки. Програми-посередники обробляють лише дані рівня програми, що найчастіше породжує різні можливості злому системи. Архітектура stateful inspection унікальна тому, що вона дозволяє оперувати всією можливою інформацією, що проходить через машину-шлюз: даними з пакета, даними про стан з'єднання, даними, необхідними для застосування.

Приклад роботи механізму Stateful Inspection. Міжмережевий екран відстежує сесію FTP, перевіряючи дані на рівні програми. Коли клієнт запитує сервер про відкриття зворотного з'єднання (команда FTP PORT), міжмережевий екран отримує номер порту з цього запиту. У списку запам'ятовуються адреси клієнта та сервера, номери портів. При фіксуванні спроби встановити з'єднання FTP-data, міжмережевий екран переглядає список і перевіряє, чи це з'єднання є відповіддю на допустимий запит клієнта. Список з'єднань підтримується динамічно, тому відкриті лише необхідні порти FTP. Як тільки сесія закривається, порти блокуються, забезпечуючи високий рівеньзахищеності.

Фільтрування на прикладному рівні

З метою захисту ряду вразливих місць, властивих фільтрації пакетів, міжмережові екрани повинні використовувати прикладні програмидля фільтрації з'єднань з такими сервісами, як Telnet, HTTP, FTP. Подібний додаток називається proxy-службою, а хост, на якому працює proxy-служба – шлюз рівня додатків. Такий шлюз виключає пряму взаємодію між авторизованим клієнтом та зовнішнім хостом. Шлюз фільтрує всі вхідні та вихідні пакети на прикладному рівні (рівні програм – верхній рівеньмережевої моделі) і може аналізувати вміст даних, наприклад, адреса URL, що міститься у HTTP-повідомленні, або команду, що міститься у FTP-повідомленні. Іноді ефективніше буває фільтрація пакетів, заснована на інформації, що міститься у даних. Фільтри пакетів та фільтри рівня каналу не використовують вміст інформаційного потоку при прийнятті рішень про фільтрацію, але це можна зробити за допомогою фільтрації рівня додатків. Фільтри рівня програм можуть використовувати інформацію із заголовка пакета, а також вмісту даних та інформації про користувача. Адміністратори можуть використовувати фільтрацію рівня додатків для контролю доступу на основі ідентичності користувача та/або на основі конкретного завдання, що намагається здійснити користувач. У фільтрах рівня додатків можна встановити правила на основі команд, що віддаються додатком. Наприклад, адміністратор може заборонити конкретному користувачевізавантажувати файли на конкретний комп'ютер з допомогою FTPабо дозволити користувачеві розміщувати файли через FTP на тому самому комп'ютері.

Порівняння апаратних та програмних міжмережевих екранів

Для порівняння міжмережевих екранів розділимо їх на два типи: 1-й – апаратні та програмно-апаратні та 2-й – програмні.

До апаратних та програмно-апаратних міжмережевих екранів відносяться пристрої, встановлені на межі мережі. Програмні міжмережеві екрани – це ті, що встановлені на кінцевих хостах.

Основні напрямки, властиві і першому, і другому типу:

• забезпечення безпеки вхідного та вихідного трафіку;
• значне збільшення безпеки мережі та зменшення ризику для хостів підмережі при фільтрації завідомо незахищених служб;
• можливість контролю доступу до систем мережі;
• повідомлення про події за допомогою відповідних сигналів тривоги, які спрацьовують у разі виникнення будь-якої підозрілої діяльності (спроби зондування або атаки);
• забезпечення недорогого, простого у реалізації та управлінні рішення безпеки.

Апаратні та програмно-апаратні міжмережові екрани додатково підтримують функціонал, який дозволяє:

• перешкоджати отриманню із захищеної підмережі або впровадженню в захищену підмережу інформації за допомогою будь-яких уразливих служб;
• реєструвати спроби доступу та надавати необхідну статистику про використання Інтернету;
• надавати засоби регламентування порядку доступу до мережі;
• забезпечувати централізоване керування трафіком.

Програмні міжмережові екрани, крім основних напрямків, дозволяють:

• контролювати запуск додатків на тому хості, де встановлені;
• захищати об'єкт від проникнення через "люки" (back doors);
• забезпечувати захист від внутрішніх загроз.

Міжмережевий екран не є симетричним пристроєм. Він розрізняє поняття: "зовні" та "всередині". Міжмережевий екран забезпечує захист внутрішньої області від неконтрольованої та потенційно ворожої. зовнішнього середовища. У той же час, міжмережевий екран дозволяє розмежувати доступ до об'єктів загальнодоступної мережі з боку суб'єктів захищеної мережі. У разі порушення повноважень робота суб'єкта доступу блокується, і вся необхідна інформація записується до журналу.

Міжмережні екрани можуть використовуватись і всередині захищених корпоративних мереж. Якщо в локальній мережі є підмережі з різним ступенем конфіденційності інформації, такі фрагменти доцільно відокремлювати міжмережевими екранами. В цьому випадку екрани називають внутрішніми.

Міжмережеве екранування - блокування трафіку від несанкціонованих джерел - одне з найстаріших мережевих технологійбезпеки, але виробники відповідних середовищ продовжують розробляти нові підходи, які допомагають ефективніше протидіяти сучасним загрозаму змінному мережевому оточенні та захищати корпоративні ІТ-ресурси. Міжмережні екрани нового покоління дозволяють створювати політики, використовуючи ширший спектр контекстних даних, та забезпечувати їх дотримання.

Еволюція міжмережевих екранів (FW) пройшла довгий шлях. Вперше вони були розроблені ще наприкінці 80-х компанією DEC і функціонували переважно на перших чотирьох рівнях моделі OSI, перехоплюючи трафік та аналізуючи пакети на відповідність заданим правилам. Потім Check Point запропонувала міжмережевий екрани зі спеціалізованими мікросхемами (ASIC) для глибокого аналізу заголовків пакетів. Ці вдосконалені системи могли вести таблицю активних з'єднань та задіяли її у правилах (Stateful Packet Inspection, SPI). Технологія SPI дозволяє перевіряти IP-адреси відправника та одержувача та контролювати порти.

Великим кроком уперед вважається створення FW, що функціонують лише на рівні додатків. Перший такий продукт випустила компанія SEAL ще 1991-го, а через два роки з'явилося відкрите рішення Firewall Toolkit (FWTK) від Trusted Information Systems. Ці міжмережні екрани перевіряли пакети на всіх семи рівнях, що дозволило використовувати в наборах правил (політиках) розширену інформацію - не тільки про з'єднання та їх стан, а й про операції з використанням протоколу конкретної програми. До середини 90-х міжмережевих екранів набули здатність здійснювати моніторинг популярних протоколів прикладного рівня: FTP, Gopher, SMTP і Telnet. Ці удосконалені продукти (application-aware) одержали назву міжмережевих екранів нового покоління (Next-Generation Firewall, NGFW).

TIS випустила комерційну версію FWTK – Gauntlet Firewall. Саме цей продукт, що володіє можливостями автентифікації користувачів, фільтрації URL, а також засобами захисту від шкідливих програм та функціями безпеки рівня програм, вважається першим міжмережевим екраном"Нового покоління". Таким чином, формально продуктам NGFW вже понад 15 років, хоча сьогодні в цей термін вкладають інший зміст.

ЗМІНА ПОКОЛІНЬ

Аналітики Frost & Sullivan виділяють чотири покоління міжмережевих екранів. Перше (1985-1990 роки) - це продукція DEC; друге (1996-2002 роки) - поява продуктів SPI (Check Point) та робота на рівні додатків (Gauntlet), інтеграція функцій IPsec VPN, використання ASIC власної розробки для збільшення продуктивності (Lucent, NetScreen); третє (2003-2006 роки) - застосування функцій Deep Packet Inspection та консолідація захисних функцій(Fortinet); четверте покоління (з 2007 року по теперішній час) – забезпечення безпеки трафіку на основі ідентифікації додатків та користувачів (Palo Alto) та впровадження нових технологій великими вендорами.

Таким чином, поява терміна NGFW у його сучасному розумінні приписується компанії Palo Alto Networks. Міжмережевими екранами наступного покоління вона назвала свої продукти, що дозволяють суворо контролювати доступ окремих користувачівдо додатків та Інтернету. Фактично, NGFW об'єднує однією платформі кілька функцій - FW, IPS і Web-шлюзи безпеки. Замовники отримують можливість контролю на «вході» та «виході» з мережі. У NGFW політики задаються для додатків, а не лише для портів та IP-адрес.

У порівнянні з міжмережевими екранами Cisco, Check Point Software Technologies та Juniper Networks, продукти Palo Alto Networks забезпечували більш простий моніторинг та надійний захисттрафіку під час використання соціальних мереж, Google Gmail або Skype. Зростання популярності Web-додатків значною мірою сприяло розвитку бізнесу цього вендора, що вийшов на ринок у 2005 році. У Forrester Research його основний продукт називають революційним.

Сьогодні ринок міжмережевих екранів (див. Малюнки 1 і 2) або брандмауерів охоплює цілу низку сегментів: SOHO, SMB, продукти для великих підприємств та провайдерів. Нова функціональність NGFW допомагає забезпечувати захист корпоративних мереж в умовах впровадження нових технологій та моделей обчислень (хмарні та мобільні обчислення). Розширення функціональності призвело до створення уніфікованих платформ (Unified Threat Management, UTM), які широко застосовуються в даний час.

Хоча межа мережі стає розмитою, захист периметра за допомогою FW залишається важливим фактором і необхідним елементом багаторівневої системибезпеки. Поява мобільних пристроїв і виникнення концепції BYOD сильно впливає на безпеку, але це, швидше, збільшує значення периметра мережі, оскільки тільки в його межах дані можуть бути в відносній безпеці, вважає Дмитро Курашев, директор компанії Entensys.

«Якщо говорити про сучасні та затребувані функції, то в основному брандмауери використовуються як класичні міжмережові екрани, - зауважує Дмитро Ушаков, керівник відділу з підготовки та впровадження. технічних рішень Stonesoft Росія. - Звичайно, за своїми можливостями вони вже відрізняються від тих, що застосовувалися у 80-ті та 90-ті роки, - взяти хоча б контекстну фільтрацію з урахуванням стану та розбору додатків (здатність відстежувати пов'язані з'єднання). Але на практиці потрібні головним чином саме класичні функції».

На думку аналітиків Frost & Sullivan, хоча традиційні міжмережові екрани залишаються фундаментальним засобом безпеки, вони неефективні при захисті від складних мережевих атак. Розвиток технологій і додатків призводить до відкриття нових лазівок для зловмисників, а практична реалізаціясистеми безпеки ускладнюється. Щоб протистояти мінливим загрозам, виробникам доводиться активізувати розробку нових методів виявлення та запобігання атакам та блокування небажаного мережевого трафіку. На думку експертів Gartner, ринок міжмережевих екранів вступив у період динамічної еволюції і в найближчі роки високі темпи зростання збережуться (див. Рисунок 3).

Малюнок 3.Прогноз зростання світового ринку міжмережевих екранів від Frost & Sullivan.

«НОВЕ ПОКОЛІННЯ» СЬОГОДНІ

Основною технологією NGFW залишається детальний контроль, що налаштовується на рівні додатків, проте «підтримка додатків» у сучасних міжмережевих екранах істотно відрізняється від того, що пропонувалося 20 років тому. Технологія міжмережевих екранів була значно вдосконалена - вона еволюціонувала до спеціалізованих рішень, що виконують глибокий аналіз трафіку та ідентифікацію програм. Відповідні продукти почали працювати швидше і підтримують складніші набори правил, ніж їхні попередники.

Аналітики Gartner відзначають, що в останні два-три роки зростає попит на платформи NGFW, здатні виявляти та блокувати витончені атаки, ставити (з високим ступенем деталізації) політики безпеки на рівні додатків, а не лише портів та протоколів. Функціонал і продуктивність міжмережевих екранів повинні відповідати вимогам більш складної взаємодії з додатками, а самі пристрої - мати високу пропускну здатність і підтримувати віртуалізацію. Вибір рішення визначається такими факторами, як вартість, зручність управління, простота та швидкість розгортання. Звісно, ​​список цим не вичерпується.

«При порівнянні чи розробці методики вибору міжмережевих екранів аналітики оперують кількома десятками (іноді до півтори сотні) критеріїв, які слід враховувати, обираючи рішення. Кожен замовник по-своєму розставляє пріоритети – універсального рецепту чи сценарію немає і бути не може», - наголошує Олексій Лукацький, експерт Cisco у галузі мережевої безпеки.

Нові загрози та технології Web 2.0 змушують вендорів оновлювати свої пропозиції – міжмережеві екрани еволюціонують. Вони оснащуються функціями глибокого аналізу трафіку та надають можливість гнучкого налаштування політики, а їх продуктивність збільшується відповідно до зростання пропускної спроможності мереж. NGFW здатні контролювати мережевий трафік на рівні додатків та користувачів та активно блокувати загрози. Вони можуть включати цілий ряд додаткових коштівзабезпечення безпеки та підтримувати розвинені мережеві функції.

Великі підприємства та провайдери потребують високопродуктивних рішень. Нові системи будуються на потужних апаратних платформах, причому як інтегровані компоненти в них використовуються раніше розрізнені засоби та функції безпеки - IPS, глибокий аналіз пакетів, автентифікація користувачів та багато іншого.Проте міжмережні екрани корпоративного рівня характеризуються не специфічним набором функцій, а масштабованістю, керованістю та надійністю, які відповідають потребам великих компаній.

Міжмережні екрани провідних вендорів, включаючи Check Point Software Technologies, Cisco Systems, Fortinet, Juniper Networks та Palo Alto Networks, забезпечують детальний контекстний аналізтрафіку лише на рівні додатків. Але це єдина властивість NGFW. Наприклад, компанія Gartner понад три роки тому запропонувала власне визначення, що підкреслює зв'язок між IPS та NGFW. Інші аналітики вважають важливою особливістю NGFW функції UTM. Palo Alto та Juniper дотримуються своєї термінології. Однак суть не у формулюваннях, а у функціях NGFW, які організації можуть задіяти для захисту своїх мереж.

За словами Олексія Лукацького, Cisco дивиться на це питання трохи ширше, ніж прийнято в інших компаніях: «Ми не використовуємо поняття NGFW, замінивши його на Context-Aware FW, тобто міжмережевий екран, що враховує контекст. Під контекстом розуміється як відповідь питанням «ЩО можна?» (тобто аналіз трафіку на мережному та рівні додатків), але й відповіді на запитання «КОЛИ можна?» (Прив'язка спроби доступу до часу), «КУДИ і ЗВІДКИ можна?» (місце розташування ресурсів та обладнання, з якого надсилається запит), «КОМУ можна?» (прив'язка не тільки до IP-адреси, а й до облікового записукористувача), «ЯК можна?» (з якого пристрою дозволено здійснювати доступ - з особистого або корпоративного, зі стаціонарного або мобільного). Все це дозволяє гнучкіше вибудовувати політику доступу і враховувати потреби сучасного підприємства, що постійно змінюються, з погляду інформаційної безпеки».

NGFW - це пристрій, який розширює функціонал традиційного міжмережевого екрану щодо додаткових сервісів інспекції та контролю користувачів і додатків, вважає Дмитро Ушаков. «Відповідно, міжмережевий екран наступного покоління – це, за великим рахунком, FW, IPS та система контролю поведінки користувачів та додатків, – наголошує він. – І в цьому сенсі Stonesoft StoneGate FW вже кілька років виконує функції NGFW».

Міжмережні екрани не тільки фільтрують вхідний трафік. Деякі NGFW можуть виявляти аномальну активність у вихідному трафікунаприклад, взаємодія через порт 80 з несанкціонованим сайтом або трафік, що збігається з однією з сигнатур. Це допомагає ідентифікувати та блокувати вихідні комунікації, у тому числі ініційовані шкідливими програмами. «Дедалі більше можливостей, які раніше реалізовувалися на виділених міжмережевих екранах, об'єднуються в одному програмно-апаратному комплексі. Ми вкладаємо в поняття NGFW якісне поєднання таких функцій, як стандартне екранування, контроль додатків, запобігання вторгненням», - каже Брендан Паттерсон, старший менеджер з управління продуктами WatchGuard Technologies.

NGFW дозволяють створювати політики ІБ на основі широкого набору контекстних даних, забезпечуючи більш високий рівень захисту, керованості та масштабованості. Трафік інтернет-сервісів (від електронної пошти до потокового відеота соціальних мереж) проходить через браузер по обмеженою кількістюпортів, і NGFW повинен мати здатність аналізу сеансів (з тим чи іншим рівнем деталізації) прийняття рішень залежно від контексту. Ще однією особливістю NGFW є підтримка ідентифікації користувачів (що можна застосовувати при створенні правил), причому для цього міжмережевий екран може використовувати власну інформацію, так і звертатися до Active Directory. «Уміння» розпізнавати та аналізувати трафік окремих додатківнабуло особливого значення з поширенням Web-додатків, які більшість міжмережевих екранів SPI можуть ідентифікувати лише як HTTP трафік через порт 80.

Купівля NGFW з наміром використовувати лише його функції фільтрації трафіку портами недоцільна, але й функції детального контролю додатків потрібні далеко не всім. До того ж варто подумати, чи має в своєму розпорядженні організація кваліфіковані ресурси, щоб конфігурувати і підтримувати складний набір правил NGFW. Не можна забувати і про швидкість. Найкраще налаштувати і протестувати NGFW в робочому середовищі. Пропускна здатність та зручність керування залишаються ключовими критеріями оцінки міжмережевих екранів. Окремий сегмент – продукти управління політиками (Firewall Policy Management, FPM). Gartner рекомендує застосовувати їх, якщо складність середовища ІТ перевищує можливості консолі управління FW.

Аналітики Gartner вважають, що традиційні міжмережеві екрани SPI - вже застаріла технологія, не здатна захистити від багатьох загроз, і тепер багато організацій розгортають NGFW. За прогнозом Gartner, через три роки 38% підприємств використовуватимуть NGFW, тоді як у 2011 році таких налічувалося лише 10%. У той же час кількість замовників, які розгортають комбіновані рішення (FW+IPS), знизиться з 60 до 45%, а кількість компаній, які користуються виключно міжмережевим екраном, - з 25 до 10%. У Росії, мабуть, результати будуть іншими.

«Як показує практика, традиційні міжмережові екрани досі мають величезний успіх, - нагадує Дмитро Ушаков. - Здебільшого це пов'язано з обмеженим контролем за реалізацією сервісів безпеки з боку регулюючих органів та, на жаль, із забезпеченням захисту ІТ за залишковим принципом – дешевше та за мінімумом. Мало хто замислюється про погрози та наслідки. Тому місце для традиційних екранів, безумовно, є, проте їх оснащуватимуть новими функціями. Наприклад, більш затребуваними стають пристрої, в яких, крім традиційного FW, є ще й засоби поглибленого аналізу міжмережевих потоків».

Тим часом, при вирішенні нових складних завдань розробникам часом доводиться йти на компроміс. За висновками лабораторії NSS нові функції NGFW, такі як детальний контроль на рівні додатків, часто знижують продуктивність та ефективність захисту в порівнянні з комбінацією традиційних міжмережевих екранів та IPS.Тільки половина протестованих систем ефективність захисту перевищувала 90%.

Дослідження NSS показало також, що засоби IPS у системах NGFW налаштовують рідко: зазвичай після розгортання застосовуються політики, задані за стандартними вендорами. Це негативно позначається на безпеці. Та й пропускна спроможність не відповідає заявленій: із восьми продуктів у п'яти вона виявилася нижчою. Крім того, у всіх протестованих NGFW максимальна кількість підключень не відповідала специфікаціям. Тестувальники лабораторії NSS дійшли висновку, що NGFW будуть готові до розгортання в корпоративних середовищах лише після підвищення продуктивності, та й загалом технології NGFW потребують удосконалення - системи повинні забезпечувати більше стабільну роботута високий ступінь безпеки.

Водночас більшість вендорів успішно розвивають свій бізнес. Наприклад, IDC відзначила Check Point як провідного виробника міжмережевих екранів/UTM: у II кварталі минулого року цей ветеран ринку міжмережевих екранів лідирував у даному сегменті за обсягом продажів, обійшовши найбільших постачальників мережевого обладнання. Частка Check Point на світовому ринку FW/UTM перевищує 20%, а Західної Європи наближається до 30%.

У лінійці Check Point – сім моделей пристроїв безпеки з архітектурою «програмних блейдів» (див. малюнок 4): моделі від 2200 до 61000 (остання є найшвидшим на сьогодні міжмережевим екраном). Високопродуктивні пристрої Check Point поєднують функції міжмережевого екрану, VPN, запобігання вторгненням, контролю додатків та мобільного доступу, запобігання витоку даних, підтримки ідентифікації, фільтрації URL, антиспаму, антивірусу та боротьби з ботами.

У магічному квадранті аналітики Gartner віднесли Check Point і Palo Alto Networks до лідерів ринку міжмережевих екранів, а Fortinet, Cisco, Juniper Networks і Intel (McAfee) названі претендентами. Цілих сім вендорів виявилися «нішевими гравцями», і жодна компанія не потрапила до сектору «провидців». Втім, це не заважає замовникам віддавати перевагу продукції Cisco (див. рис. 5).

Зараз на ринку продовжується перехід до систем NGFW, здатних виявляти та блокувати різні види витончених атак та забезпечувати дотримання політик на рівні додатків. У 2012 році визнані гравці ринку прагнули вдосконалити свої рішення NGFW, щоб вони не поступалися своїми можливостями продуктам новачків галузі, а розробники інноваційних систем доповнювали їх засобами управління, виводячи на рівень відомих брендів.

ДРАЙВЕРИ ЗРОСТАННЯ І НОВІ РОЗРОБКИ

Хоча світовий ринок міжмережевих екранів насичений, він далекий від стагнації. Практично всі великі вендори представили продукти нового покоління з додатковими функціями. Драйвери зростання ринку міжмережевих екранів – мобільність, віртуалізація та хмарні обчислення – стимулюють потреби в нових засобах, пропонованих NGFW. Аналітики Gartner констатують зростання попиту на програмні версії міжмережевих екранів, що використовуються у віртуалізованих ЦОД (див. малюнок 6). У 2012 році частка віртуальних варіантів NGFW не перевищувала 2%, але, за прогнозами Gartner, до 2016-го вона зросте до 20%. Віртуальні версії міжмережевих екранів та рішень для захисту контенту добре підходять для розгортання у хмарних середовищах.

Малюнок 6.За даними Infonetics Research, витрати північноамериканських компаній на забезпечення інформаційної безпеки центрів обробки даних минулого року різко зросли.

Для віддалених офісів і SMB привабливим рішенням часто є хмарний міжмережевий екран, встановлений сервіс-провайдером. На думку деяких експертів, з розвитком мобільного доступу та хмарних архітектур потрібно змінювати і архітектуру безпеки: замість NGFW компанії частіше задіятимуть Web-шлюзи, що знаходяться під контролем провайдера, а великі організації - розділяти функції Web-шлюзів та міжмережевих екранів для покращення продуктивності та керованості , незважаючи на те, що деякі продукти NGFW здатні виконувати базові функції Web-шлюзів.

Дмитро Курашев вважає, що всі функції з обробки трафіку краще покласти на шлюзи, розміщені всередині компанії: «Найбільш правильним є використання хмарних сервісів для адміністрування та моніторингу серверних додатків, а також для збору статистики та аналізу». «Міжмережевий екран повинен бути встановлений за замовчуванням та у хмарного провайдера, та на боці замовника хмарних сервісів, - доповнює Олексій Лукацький. - Адже між ними знаходиться незахищене середовище, яке може стати плацдармом для проникнення в корпоративну мережу чи хмару шкідливих програм або для атак зловмисників. Тому засоби мережевої безпеки все одно потрібні».

Характерний приклад керованих сервісів безпеки - нещодавно анонсований у Росії набір сервісів захисту мережі клієнта від основних мережевих загроз, запропонований Orange Business Services. Сервіси Unified Defense дозволяють забезпечити централізований антивірусний захист всіх пристроїв у мережі, захистити корпоративні поштові скриньки від спаму та фільтрувати інтернет-трафік, за необхідності обмежуючи доступ співробітників до тих чи інших мережевих ресурсів на апаратному рівні. Крім того, до складу системи захисту включені міжмережевий екран, а також засоби виявлення та запобігання вторгненням.

Unified Defense базується на компактному пристрої UTM з функціональністю NGFW виробництва Fortinet, який встановлюється у мережі замовника та підтримується спеціалістами Orange. Продукт пропонується у двох версіях – для мереж, де забезпечується підтримка до 200 користувачів, а швидкість інтернет-каналу не перевищує 20 Мбіт/с (обладнання FortiGate 80C), а також для мереж, розрахованих на 1000 користувачів та канал 100 Мбіт/с (обладнання FortiGate 200B) (див. малюнок 7). В даний час сервіс доступний для клієнтів Orange, надалі планується надання послуги та в мережах сторонніх провайдерів.

Unified Defense на базі обладнання Fortinet дозволяє скористатися новими безпековими технологіями навіть компаніям з обмеженим ІТ-бюджетом. Однією з функцій клієнтського порталу є доступ до регулярних звітів про роботу системи, в тому числі до інформації про нейтралізовані загрози.

Глибокий аналіз трафіку дозволяє ідентифікувати програми, що обмінюються даними через мережу. Враховуючи сучасні тенденції перенесення додатків у хмару та розвитку сервісів SaaS, забезпечити попадання в корпоративну мережу лише затребуваних даних можна лише за більш високого рівня деталізації.Кожен вендор використовує під час створення NGFW власні підходи. Багато хто вибирає сигнатурний метод.

Так, наприклад, компанія Astaro (з 2011 року входить до складу Sophos) застосовує базу сигнатур додатків свого партнера Vineyard Networks. Завдяки цьому Astaro Security Gateway може розрізняти різні програми, що працюють на одному Web-сайті, застосовувати до них політики QoS, пріоритети трафіку та виділяти пропускну спроможність. У новій версії Astaro Security Gateway покращено інтерфейс адміністрування: за картою мережі можна в реальному часі задавати правила та швидко реагувати на нові загрози. У майбутніх версіях міжмережевого екрану Astaro з'явиться можливість передавати фахівцям пакети невідомого типуїх подальшого аналізу.

Торік Check Point на 90% поновила продуктову лінійку. Представлені моделі оптимізовані для архітектури «програмних блейдів» Check Point і мають, за даними розробника, приблизно втричі більшу продуктивність порівняно з попередніми поколіннями. Новий модуль Security Acceleration, створений на основі технології SecurityCore дозволяє значно збільшити продуктивність міжмережевого екрану шляхом прискорення ключових операцій. Згідно з Check Point, його пропускна здатність досягає 110 Гбіт/с, а затримка - менше 5 мкс. Як заявляють у компанії, це найпродуктивніший у галузі міжмережевий екран у форм-факторі 2U.

Створена Check Point бібліотека AppWiki дозволяє ідентифікувати понад 5 тис. додатків та 100 тис. віджетів. Ці сигнатури використовуються програмними блейдами Check Point Application Control та Identity Awareness. Крім того, для ідентифікації клієнтських пристроїв та кінцевих користувачів програмне забезпечення інтегрується з Active Directory, а адміністратори можуть детально налаштовувати політики безпеки. Навчання співробітників відбувається в реальному часі: коли хтось із них порушує політику безпеки, клієнтська програма-агент Check Point UserCheck виводить спливаюче вікно, де пояснюється суть порушення і запитується підтвердження дії. Можливість надіслати запит адміністратору спрощує процес налаштування політик безпеки відповідно до потреб користувачів.

У програмну версію R74.40, призначену для ключових продуктів мережевої безпеки Check Point, включено понад 100 нових властивостей, у тому числі програмний блейд Anti-Bot та оновлена ​​версія Anti-Virus з технологією Check Point ThreatCloud: цей хмарний сервіс збирає інформацію про загрози та забезпечує захист шлюзів безпеки у режимі реального часу. Нове рішення для ЦОД та приватних хмар Check Point Virtual Systems дозволяє об'єднувати на одному пристрої до 250 віртуальних систем.

Компанія Cisco торік випустила власне рішення NGFW – нове покоління Adaptive Security Appliance (ASA), що стало відповіддю на технологію, розроблену Palo Alto Networks. ASA CX - міжмережевий екран, що враховує контекст, тобто розпізнає не просто IP-адреси, а додатки, користувачів та пристрої, а отже, що дозволяє відстежувати, як співробітник застосовує ті чи інші додатки на різному устаткуванні, та забезпечуватиме дотримання відповідних правил.

Функціонуючи на базі всіх моделей Cisco ASA 5500-X (від 5512-X до 5585-X), Cisco ASA CX забезпечує прив'язку правил до облікового запису користувача Active Directory, контроль за більш ніж 1100 додатками (Facebook, LinkedIn, Skype, BitTorrent, iCloud, Dropbox, Google Drive, MS Windows Azure, Salesforce CRM, Oracle e-Business Suite, MS Lync, Tor і т. д.), облік часу та направлення запиту на доступ, а також вирішення багатьох інших завдань. При цьому Cisco ASA CX є не просто автономною мультигігабітною платформою, а тісно інтегрується з іншими безпековими рішеннями Cisco- системою запобігання вторгненням Cisco IPS, системою авторизації та контролю мережевого доступу Cisco ISE, системою захисту Web-трафіку Cisco Web Security і т.д.

Як підкреслює Олексій Лукацький, такий міжмережевий екран враховує і розмитість периметра мережі. Наприклад, завдяки інтеграції з Cisco ISE та всією мережевою інфраструктурою Cisco він може розпізнати, що трафік надходить з особистого iPad співробітника, після чого, залежно від політики безпеки, динамічно заблокує його або дозволить доступ лише до певних внутрішніх ресурсів. Якщо цей доступ здійснюється з корпоративного мобільного пристрою, його привілеї можуть бути розширені.

При цьому ASA CX функціонує не тільки за принципом свій/чужий (особистий/корпоративний), але й враховує ОС, її версію, наявність оновлень та інших «латок», що використовується на мобільному пристрої, а також роботу антивіруса і актуальність його баз тощо. Доступ буде надаватися не за IP-адресами відправника та одержувача, а залежно від цілого комплексу параметрів, що дає можливість реалізувати гнучку політику підключення до ресурсів, що захищаються, незалежно від того, зовні чи зсередини знаходиться користувач і чи задіює він провідне або бездротове з'єднання, особистий чи корпоративний пристрій.

У міжмережевому екрані Dell SonicWALL застосовується база сигнатур, що постійно розширюється, що дозволяє ідентифікувати більше 3500 додатків та їх функцій.Технологія SonicWALL ReassemblyFree Deep Packet Inspection (RFDPI) сканує пакети кожного протоколу та інтерфейсу. Експерти SonicWALL Research Team створюють нові сигнатури, які автоматично доставляються в міжмережні екрани, що вже працюють. За потреби замовники можуть додавати сигнатури самостійно. У вікнах SonicWALL Visualization Dashboard та Real-Time Monitor адміністратори можуть бачити конкретні програмиу мережі, а також – хто і як їх використовує. Ці відомості корисні для налаштування політик та діагностики.

Функціональність свого продукту розширила компанія Entensys. У випущеній у листопаді 2012 UserGate Proxy&Firewall версії 6.0 з'явилися повноцінний сервер VPN, система IPS. Цей продукт UTM пропонується у формі програмного забезпечення або програмно-апаратного комплексу. Крім функцій, безпосередньо пов'язаних із безпекою, розробники приділили велику увагу фільтрації контенту та контролю за інтернет-додатками. У 2012 році були вдосконалені функції морфологічного аналізу інформації, що передається, для фільтрації вхідного та вихідного трафіку та випущено продуктивний та функціональний сервер фільтрації контенту UserGate Web Filter 3.0, який може використовуватися спільно з будь-яким стороннім рішенням UTM.

Компанія Fortinet, яку зазвичай асоціюють з UTM, торік представила FortiGate3240C – продукт, що належить швидше до класу NGFW.У пристроях Fortinet FortiGate для ідентифікації програм використовуються декодери протоколів та розшифровка мережного трафіку. Розробники ведуть базу даних, куди додають сигнатури нових додатків і з виходом нових версій оновлені сигнатури існуючих. Завдяки цій інформації продукти Fortinet розрізняють додатки та застосовують до кожного з них свої правила. У компанії стверджують, що її продукти мають вищий рівень продуктивності та інтеграції порівняно з конкуруючими рішеннями, оскільки всі технології розроблені нею самостійно. На функції NGFW звернули також увагу F5 Networks та Riverbed: спільно з McAfee (Intel) та іншими постачальниками рішень ІБ вони вбудовують їх в обладнання та програмне забезпечення для оптимізації трафіку глобальної мережі.

У Juniper Networks функції NGFW шлюзів SRX Services Gateway реалізовані в пакеті AppSecure. Компонент AppTrack також використовує створену Juniper базу сигнатур додатків, доповнену сигнатурами, що формуються адміністраторами замовників. AppTrack ідентифікує програми, а компоненти AppFirewall та AppQoS забезпечують дотримання політик та контроль за трафіком додатків. Як заявляє виробник, ця платформа має високу масштабованість і функціонує на швидкості до 100 Гбіт/с.

McAfee, що входить в Intel, використовує для розпізнавання додатків у McAfee Firewall Enterprise технологію AppPrism, що ідентифікує тисячі програм незалежно від портів і протоколів. Поряд із цим застосовуються сигнатури, розроблені експертами McAfee Global Threat Intelligence. За допомогою AppPrism адміністратори можуть забороняти виконання не лише самих додатків, а й їхніх «ризикованих» компонентів- наприклад, блокувати функцію обміну файлами у Skype, дозволивши обмін повідомленнями. Як і Juniper, до переваг свого рішення McAfee відносить власну технологію та сигнатури додатків.

У технології App-ID компанії Palo Alto Networks для ідентифікації програм використовується кілька методів: розшифровка, виявлення, декодування, сигнатури, евристика та ін.. В ідентифікаторах App-ID може застосовуватися будь-яка їхня комбінація, що дозволяє виявляти всі версії програми, а також ОС, в яких вона працює. Відповідно до App-ID програми, міжмережевий екран Palo Alto застосовує для його трафіку те чи інше правило, наприклад, передачу файлу можна заблокувати. Крім того, App-ID можна доповнювати новими методами виявлення та ідентифікації програм, вбудовуючи їх у механізми класифікації.

Компанія Stonesoft у 2012 році не оновлювала свою лінійку міжмережевих екранів, але анонсувала нове рішення Evasion Prevention System (EPS). Цей інструмент призначений для виявлення та запобігання кібератакам, де використовуються динамічні техніки обходу захисту.(Advanced Evasion Technique, AET - техніки, що застосовуються спільно з мережевими атаками з метою обходу систем захисту) та експлуатуються вразливості систем захисту. Як розповів Дмитро Ушаков, продукт забезпечує додатковий рівень безпеки для вже встановлених в організаціях пристроїв NGFW, IPS та UTM, вразливих до AET. Це новий клас пристроїв, призначених для боротьби із витонченими спробами зловмисників проникнути в мережу організації.

«Сьогодні роботодавці розуміють, що їхнім співробітникам часом потрібен доступ до заборонених сайтів (сайти з підбору персоналу, соціальні мережі та ін.) та систем обміну повідомленнями (Skype, ICQ). У зв'язку з цим додатки з «білого» (можна) та «чорного» списків (не можна) переміщуються в область «сірих» (можна за певних умов або у певний час). Ці політики інформаційної безпеки пропонується формулювати як правила доступу» - розповідає Дмитро Ушаков.

За словами Олександра Кушнарьова, технічного консультанта компанії Rainbow Security (дистриб'ютора WatchGuard Technologies), WatchGuard представила нові віртуальні версії своїх продуктів XTMv та XCSv, а також апаратні платформи нового покоління «з найкращою на ринку продуктивністю UTM». У програмно-апаратних комплексах WatchGuard XTM за допомогою сервісу WatchGuard Reputation Enabled Defense реалізовано захист користувачів від шкідливих Web-сайтів за істотного зменшення навантаження на мережу. Цей сервіс забезпечує високий рівень захисту від Web-загроз, швидший Web-серфінг, гнучке управління та широкі можливості створення звітів.

«Ми бачимо, що потреба у пристроях UTM зростає. Апаратні платформи WatchGuard останнього покоління можуть обробляти трафік із увімкненими сервісами UTM з такою ж швидкістю, з якою попередні покоління могли виконувати лише просту пакетну фільтрацію.Для перетворення міжмережевих екранів WatchGuard на пристрій UTM достатньо активувати ліцензію. Якщо ж клієнт потребує лише фільтрації пакетів та організації тунелів VPN, йому підійде міжмережевий екран у класичному розумінні», - каже Олександр Кушнарьов.

Він підкреслює, що функції контролю додатків у NGFW зараз дуже потрібні: компанії хочуть регулювати доступ співробітників до соціальних мереж та ігрових сайтів. Серед актуальних засобів UTM - фільтрація URL з підтримкою бази російськомовних сайтів, а також повноцінна підтримкаагрегування портів та репутації зовнішніх ресурсів. Остання сприяє якісному виявленню та превентивному блокуванню трафіку від ботнетів. Крім того, більшість замовників зацікавлені в економії коштів, у використанні простих та зручних налаштуваньконфігурації, тому рішення "все в одному", такі як WatchGuard XTM, будуть для них відповідним варіантом.

Ще два-три роки тому замовники скептично ставилися до NGFW, але тепер коли конкуренція на цьому ринку досить висока, вони можуть вибирати з широкого спектру високоякісних продуктів NGFW. За прогнозами аналітиків Cyber ​​Security, аж до 2018 року світовий ринок міжмережевих екранів корпоративного класущорічно зростатиме більш ніж на 11%. Однак міжмережні екрани – не панацея. При виборі рішення потрібно чітко визначити, які функції необхідні, переконатися в тому, що заявлені вендором захисні властивостіможуть бути реалізовані в конкретному робочому середовищі, що в компанії (або аутсорсер) достатньо ресурсів для управління політиками безпеки.

І, звичайно, слід мати на увазі, що NGFW залишаються пристроями захисту периметра. Вони чудово виконують свою функцію при доступі в Інтернет, але « мобільна безпека»вимагає більшого. Сьогодні NGFW повинні посилюватися хмарними та мобільними рішеннямибезпеки та «вміти» розпізнавати контекст. Згодом ці рішення стануть доступнішими, простішими, функціональнішими, а хмарна модель внесе корективи в способи управління ними.

Сергій Орлов- провідний редактор «Журналу мережевих рішень/LAN». З ним можна зв'язатися на адресу:

Навіщо потрібен мережевий екран у роутері

Бездротова мережа потребує ретельного захисту, адже можливості для перехоплення інформації тут створюються найсприятливіші. Тому, якщо за допомогою маршрутизатора (роутера) в мережу об'єднується кілька комп'ютерів, екран має стояти і використовуватися не тільки на кожному комп'ютері, але і на роутері. Наприклад, функцію мережного екрана в роутері серії DI-XXX виконує SPI, яка здійснює додаткову перевірку пакетів. Предметом перевірки є належність пакетів до встановленого з'єднання.

Під час сесії з'єднання відкривається порт, який можуть намагатися атакувати сторонні пакети, особливо сприятливий момент для цього – коли сесія завершена, а порт залишається відкритим ще кілька хвилин. Тому SPI запам'ятовує поточний стан сесії та аналізує всі вхідні пакети. Вони повинні відповідати очікуваним - приходити з тієї адреси, на яку було надіслано запит, мати певні номери. Якщо пакет не відповідає сесії, тобто є некоректним, він блокується і ця подія реєструється в лозі. Ще мережний екран на роутері дозволяє блокувати вихідні з'єднання із зараженого комп'ютера.

Компанія D-Link є відомим розробником та постачальником апаратних рішень для побудови комп'ютерних мереж будь-якого масштабу. До лінійки продуктів також входять пристрої для захисту мережі від зовнішніх загроз: міжмережеві екрани та системи виявлення вторгнень. Ми звернулися до представника D-Link із проханням розповісти, які технології використовуються в апаратних рішеннях для забезпечення IT-безпеки, ніж апаратні рішення відрізняються від своїх програмних аналогів і в яких випадках, який клас продуктів є найбільш оптимальним. Певна частина інтерв'ю також присвячена специфіці російського ринку рішень у сфері IT-безпеки, а також його тенденцій та перспектив. На наші запитання відповідає Іван Мартинюк, консультант із проектів компанії D-Link.

Іван Мартинюк, консультант з проектів компанії D-Link

Олексій Частка: Ви не могли трохи розповісти про свою компанію?

Іван Мартинюк: За мірками IT-індустрії компанія D-Link є досить старою компанією. Вона була організована у березні 1986 року. 87 регіональних офісів компанії здійснюють продаж та підтримку обладнання на території більш ніж 100 країн світу. У компанії працює понад три тисячі співробітників. Якщо говорити про сферу діяльності компанії, то D-Link є найбільшим виробником мережного обладнання для сегментів малого та середнього бізнесу, так, згідно з низкою досліджень споживчого сектору ринку мережевого обладнання, проведених аналітичною компанією Synergy Research Group, D-Link займає перше місце у світі. обсягу продажу обладнання у цьому секторі. За даними Synergy Research Group, у першому кварталі 2004 року компанія D-Link продала понад 8 мільйонів мережевих пристроїв, що майже вдвічі перевищує кількість пристроїв, проданих її найближчим конкурентом. А за оцінками IDC, D-Link займає перше місце з продажу комутаторів та бездротового обладнанняу країнах Азіатсько-Тихоокеанського регіону.


Олексій Частка: Як давно ви займаєтеся розробкою продуктів для захисту мереж? Що це за продукти?

Іван Мартинюк: Перші спеціалізовані продукти для захисту мереж з'явилися у нашої компанії не дуже давно - у 2002 році. Відносно пізня поява компанії у цьому сегменті викликана політикою роботи на ринку. D-Link займається випуском тільки масової "усталеної" продукції, яка має високий ринковий попит. Компанія не розробляє новітні технологіїта протоколи, а використовує у своїх продуктах вже добре налагоджені стандартизовані специфікації. Ще однією відмінністю нашої компанії є те, що ми самі не тільки розробляємо пристрої аж до розробки деяких мікросхем і пишемо для них програмне забезпечення, А ще й самі робимо їх на власних заводах. Компанія має кілька центрів розробки та заводів, які знаходяться в різних країнах світу. Продукти для захисту мереж розробляються та виробляються на Тайвані. На сьогоднішній день, ця продуктова лінійка досить широка і включає: маршрутизатори і комутатори, що володіють функціями захисту мереж, міжмережеві екрани і системи виявлення вторгнень, а також спеціалізовані пристрої, наприклад, бездротові шлюзи, які володіють деякими функціональними особливостями, спеціально призначеними для використання у бездротових мережах, - це специфічні для бездротових мереж засоби забезпечення безпеки, засоби автентифікації та тарифікації користувачів та ін.


Олексій Частка: Ви не могли б докладно розповісти про функціонал ваших міжмережевих екранів та засобів виявлення вторгнень, від яких атак вони захищають?

Іван Мартинюк: На сьогоднішній день існує три покоління міжмережевих екранів Перше покоління – це міжмережеві екрани з пакетною фільтрацією. Ці пристрої можуть виконувати аналіз пакетів на мережному та транспортному рівнях, тобто аналізувати IP-адреси, а також TCP та UDP портиджерела та призначення, і на підставі цієї інформації приймати рішення про те, що робити далі із цим пакетом: дозволити його проходження, заборонити, змінити пріоритет тощо. Друге покоління пристроїв – це міжмережевий екран посередники (Proxy). Дані пристрої можуть виконувати аналіз інформації на всіх семи рівнях, аж до рівня програм і, відповідно, забезпечують дуже високий рівень захисту. При цьому такі пристрої не безпосередньо передають пакети зовнішній світ, а виступають як агент-посередник між внутрішніми додатками і зовнішніми службами, що у разі спроби злому призводить до злому міжмережевого екрану, а не внутрішнього хоста. Відповідно, такі пристрої для забезпечення високої продуктивностівимагають високошвидкісних апаратних платформ та мають найвищу вартість. Третє покоління - це міжмережевий екран з аналізом пакетів і збереженням стану (Stateful Packet Inspections - SPI). Ці пристрої по своїй роботі схожі на екрани з пакетною фільтрацією, але вони аналізують більшу кількість полів у пакетах, наприклад, прапори і послідовні номери пакетів, а також зберігають інформацію про пакети, що проходили раніше, і, відповідно, забезпечують більш високий рівень захисту. Такі пристрої можуть забороняти проходження пакетів з одного інтерфейсу на інший, якщо вони не є частиною попередньо встановленої сесії в зворотному напрямкуабо розривати сесію, якщо в ній помічені якісь порушення. Дані пристрої вимагають практично таких же обчислювальних ресурсів, як і міжмережевих екранів з пакетною фільтрацією і не сильно відрізняються від них за ціною, але забезпечують набагато більший рівень захисту.
Системи виявлення вторгнень (Intrusion Detection System - IDS) - це ще більш інтелектуальні пристрої, які не тільки працюють на всіх семи рівнях, а й містять засоби, що дозволяють детальніше аналізувати вміст пакетів і виявляти замасковані троянські програми та віруси або інші шкідливі дії. Для цього такі системи містять заздалегідь підготовлені бази сигнатур атак і вірусів, а також мають системи евристичного аналізу, що дозволяють в деяких випадках блокувати атаки, сигнатури яких не містяться в базі.
Якщо говорити про наші пристрої, то в залежності від моделі вони володіють одними або іншими функціональними можливостями.


Олексій Частка: Які конкретно технології та алгоритми застосовуються для захисту мереж, тобто як саме працюють ваші міжмережові екрани?

Іван Мартинюк: Всі наші міжмережові екрани: DFL-100, DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100, DFL-1500 є екранами з аналізом пакетів та збереженням стану (SPI), підтримують функцію трансляції адрес ( Network Address Translation - NAT), яка дозволяє приховати внутрішню структуру мережі, що захищають від атак типу "відмова в обслуговуванні" (DoS - це окрема група атак, спрямованих на виведення хоста або служби з робочого стану), дозволяють обмежити доступ локальних користувачів до певних зовнішніх web-ресурсам та підтримують засоби побудови віртуальних приватних мереж (Virtual Private Network - VPN) за допомогою протоколів: IPSec, PPTP та L2TP. Причому, всі вищезгадані функції забезпечення безпеки підтримуються не лише у спеціалізованих пристроях - міжмережевих екранах, а й у дешевших - інтернет-шлюзах серії DI-8xx (DI-804HV, DI-808HV, DI-824VUP+). Роздрібна вартість наймолодшого пристрою (DI-804HV) складає всього 99 $, що робить його доступним практично для кожної компанії та навіть домашніх користувачів.
Старші моделі пристроїв підтримують інші, складніші механізми забезпечення безпеки. Наприклад, пристрої: DFL-200, DFL-600, DFL-700, DFL-900, DFL-1100 та DFL-1500 дозволяють проводити аутентифікацію користувачів вбудованими або зовнішніми засобами. DFL-600, DFL-700, DFL-900, DFL-1100 та DFL-1500 дозволяють керувати смугою пропускання каналу. DFL-200, DFL-700, DFL-900, DFL-1100 та DFL-1500 мають вбудований модуль системи виявлення вторгнень (IDS), з оновлюваною базою сигнатур. DFL-900 та DFL-1500 мають вбудовані модулі-посередники (Proxy) для протоколів: HTTP, FTP, SMTP та POP3, тобто. є міжмережевими екранами-посередниками, і під час роботи на цих протоколах забезпечують як високий рівень безпеки, а й дозволяють виконувати контроль вмісту. Наприклад, дозволяють обмежити доступ користувача до певних web-ресурсів, причому, на відміну від інших моделей, де адміністратор повинен був вводити ці ресурси вручну, DFL-900 і DFL-1500 є вбудована категоризована база, яка автоматично оновлюється, і єдине, що Потрібно адміністратору - це вибрати дозволені чи заборонені для доступу категорії веб-сайтів. Також доступ може бути обмежений на основі вмісту веб-сторінки або певного ресурсу, який адміністратор ввів вручну. Може бути заблоковано виконання Javaабо ActiveX аплетів та скриптів, завантаження Cookies. На протоколах FTP, SMTP та POP3 може бути заблоковано завантаження певних типів файлів. Пристрої: DFL-1100 та DFL-1500 підтримують режим високої доступності, тобто дозволяють встановити паралельно два пристрої та в автоматичному режимі переключитися на резервний, якщо основне вийшло з ладу.
Крім того, всі пристрої відрізняються один від одного продуктивністю, кількістю інтерфейсів, наявністю деяких додаткових функціональних можливостей та, звичайно, вартістю.


Олексій Частка: Як працюють ваші системи виявлення вторгнень?

Іван Мартинюк: Наші системи виявлення вторгнень (DFL-2100 та DFL-2400) є класичними прозорими мережевими системами виявлення вторгнень (Transparent Network based Intrusion Detection System - TNIDS). Тобто, це виділені апаратні пристрої, які встановлюються в розрив мережі і аналізують весь трафік, що проходить через них. Аналіз може проводитися на основі бази сигнатур, яка періодично оновлюється, або на основі евристичного аналізу, що дозволяє виявляти нові атаки, яких немає у переліку сигнатур. У разі виявлення атаки, система записує інформацію в лог файл, може виконати повідомлення системного адміністратора, заблокувати проходження пакетів або розірвати сесію. Із системами постачається спеціальне програмне забезпечення - Policy Server, що дозволяє виконувати гнучке управління системами виявлення вторгнень, приймати повідомлення про атаки, оновлювати бази сигнатур, створювати системному адміністратору свої власні сигнатури, створювати різні звіти та виконувати моніторинг трафіку у реальному режимі часу. Між собою DFL-2100 та DFL-2400 відрізняються лише продуктивністю.


Олексій Частка: Ви не могли б порівняти концепції використання апаратних та програмних засобів захисту мереж (брандмауерів та систем виявлення вторгнень)? Які плюси та мінуси є у цих двох категорій продуктів щодо один одного?

Іван Мартинюк: При розробці програмних рішеньіснує менше різних технологічних обмежень і до цього процесу залучається, як правило, менша кількість розробників, відповідно, питома вартість таких рішень найчастіше нижча. Це слушно і для міжмережевих екранів. Вартість програмних міжмережевих екранів у порівнянні з аналогічними за функціональними можливостями апаратними рішеннями – нижче. При цьому програмні рішення виявляються гнучкішими. До них у майбутньому простіше додати додаткові функціональні можливості або виправити допущені раніше помилки. З того, що я сказав, виходить, що апаратні рішення як би і не потрібні - програмні та функціональніші та дешевші. Але не все так просто. По-перше, для кінцевого користувача програмне рішення може виявитися дорожчим, ніж апаратне, оскільки закінчене рішення включає не тільки вартість програмного забезпечення міжмережевого екрану, а й вартість операційної системи, поверх якої працює брандмауер, а також вартість апаратної платформи, продуктивність якої повинна бути набагато вищою, ніж у випадку апаратного рішення. Безкоштовні міжмережеві екрани, що вільно розповсюджуються, практично не застосовуються компаніями. За аналізами різних агентств таке програмне забезпечення застосовує близько 3-5% компаній. Низький відсоток використання обумовлений переважно проблемами з підтримкою, що дуже критично для даного класу обладнання, а в деяких випадках і з якістю такого програмного забезпечення. По-друге, програмні рішення мають ще цілий ряд недоліків, і основним з них є те, що їх злом або обхід можна зробити не безпосередньо, а через вразливості операційної системи, поверх якої вони працюють. А кількість вразливостей, що містяться в операційних системах, набагато вища, ніж у спеціалізованому програмному забезпеченні міжмережевого екрану або їх апаратних аналогах. Крім того, надійність програмних рішень нижча, оскільки вони працюють на універсальних апаратних платформах, які містять велику кількість компонентів (чим менше компонентів містить система, тим вища її надійність). Причому, деякі з цих компонентів містять: механічні елементи, що рухаються (вінчестери, вентилятори), у яких напрацювання на відмову набагато нижче, ніж у електронних; магнітні елементи (вінчестери), які мають низьку стійкість до пошкоджень і схильні електромагнітного випромінювання; велика кількість контактних груп, тобто. висока ймовірність виникнення проблем, пов'язаних із порушенням контакту. Програмні міжмережові екрани вимагають вищого рівня кваліфікації від обслуговуючого їх персоналу, оскільки необхідно правильно налаштувати не тільки сам екран, а й операційну систему, що не так просто, як багато хто вважає. Деякі програмні міжмережеві екрани навіть не продаються без надання платних послугз їхнього налаштування. Програмні міжмережові екрани дорожчі в обслуговуванні, оскільки необхідно постійно відстежувати не тільки виявлені вразливості у спеціалізованому програмному забезпеченні та встановлювати латки, а й уразливості операційних систем, яких, як я вже сказав, набагато більше. Крім того, можливі деякі проблеми із сумісністю між програмним забезпеченням, особливо після встановлення додаткових латок. Також необхідно постійно відстежувати стан механічних та магнітних компонентів на відсутність ушкоджень. Приміщення, в якому знаходиться програмний міжмережевий екран, повинне мати суворіші правила щодо допуску персоналу, оскільки універсальна апаратна платформа дозволяє зробити підключення до неї різними шляхами. Це і зовнішні порти (USB, LPT, RS-232), і вбудовані приводи (CD, Floppy), а, розкривши платформу можна підключитися через IDE або SCSI інтерфейс. При цьому операційна системадозволяє встановити різні шкідливі програми. І, нарешті, універсальна апаратна платформа має велику споживану потужність, що негативно позначається на час роботи від джерела безперебійного живлення у разі зникнення електроенергії. Суперечки про те, які рішення, зрештою, програмні чи апаратні краще ведуться давно, але я хотів би помітити, що будь-які технічні засоби- це лише інструмент у руках тих, хто їх експлуатує. І в більшості випадків, проблеми з безпекою відбуваються через неуважність або низьку кваліфікацію відповідального за це персоналу, а не вибору тієї чи іншої платформи.


Олексій Частка: У яких випадках ви вважаєте за доцільне використовувати саме апаратні рішення для захисту мереж, а в яких - програмні? Бажано кілька прикладів сценаріїв використання продуктів.

Іван Мартинюк: Застосування програмних міжмережевих екранів виправдане у разі необхідності використання якоїсь дуже специфічної функціональної можливості, якої не мають апаратні рішення, наприклад, необхідний модуль посередник для якогось екзотичного протоколу, або навпаки, необхідно отримати дуже дешеве рішення, при цьому у компанії або користувача вже є апаратна платформа та операційна система. У будь-якому випадку, потрібно враховувати всі недоліки та переваги обох рішень та вибирати компромісне.


Олексій Частка: Чи правильно я розумію, що домашнім користувачам апаратні брандмауери просто не потрібні?

Іван Мартинюк: Я б так не сказав. Застосування тих чи інших засобів захисту залежить від того, хто цей користувач: домашній чи корпоративний, велика це компанія чи маленька, як від вартості інформації, яку треба захищати, тобто. від втрат, які зазнає користувач у разі порушення однієї чи кількох функцій захисту - порушення конфіденційності, цілісності чи доступності інформації. Як правило, дійсно, чим більше компанія, тим більше у неї інформації, яка носить конфіденційний характер і втрати компанії в цьому випадку вищі. Але й звичайний користувачНаприклад, керівник тієї ж компанії на своєму домашньому комп'ютері може містити інформацію, втрата якої може обійтися дуже дорого. Відповідно, його комп'ютер повинен бути захищений не гірше, ніж корпоративна мережа. Вибір засобів захисту та їх вартість, як правило, і визначається вартістю інформації, що захищається. Інакше кажучи, немає сенсу витрачатися коштом захисту більше, ніж коштує сама інформація. Проблема полягає в іншому – у визначенні вартості інформації. Якщо йдеться про захист інформації, що належить державі, то тут набирають чинності законодавчі акти, які регламентують необхідний рівеньзахисту.


Олексій Частка: Судячи з досвіду ведення бізнесу в Росії, ви можете простежити темпи зростання ринку апаратних засобів захисту мереж за останні кілька років?

Іван Мартинюк: Я вже казав, що компанія має трирічний досвід роботи в цьому сегменті ринку І для нас 2004 рік у цьому плані був показовим. Обсяги продажів пристроїв у грошах порівняно з попереднім роком збільшилися більш ніж на 170%. Якщо судити з звітів аналітичних агентств, то минулого року значне зростання в цьому сегменті спостерігалося не тільки у нас, а й в інших компаній, що випускають таке обладнання. Ринок систем безпеки у тому вигляді, в якому він існує, сформувався десь у 1997 році, але тільки починаючи з минулого року його можна вважати масовим.


Олексій Частка: Чи є специфіка ведення бізнесу у російському сегменті ринку апаратних засобів захисту порівняно з іншими країнами?

Іван Мартинюк: Так, справді російський ринок трохи відрізняється від світового Пов'язано це, швидше за все, з економічним станом країни та менталітетом. По-перше, відрізняється сама структура ринку систем забезпечення безпеки. Якщо у світовому масштабі ринок апаратних засобів більш ніж удвічі перевищує ринок програмних продуктів, то Росії їх частки приблизно однакові. Викликано це певними економічними проблемами та, відповідно, високим рівнем поширення піратського програмного забезпечення. У Росії її практично відсутня дуже популярний інших країнах ринок аутсорсингових послуг у сфері забезпечення безпеки. Даний бізнесне розвинений, оскільки багато керівників вважають небезпечним віддавати вирішення проблем захисту інформації третім особам, і економічно вигіднішим вирішувати проблеми силами власних фахівців, рівень кваліфікації яких найчастіше не відповідає мінімальним вимогам. Те, що Російські мережі краще захищені, і у нас більш високий рівень персоналу - це такий же міф, як і те, що програмне забезпечення, що вільно розповсюджується, надійніше комерційного. Тому і спосіб ведення бізнесу в Росії дещо відрізняється. У нас особливу увагу доводиться приділяти не роботі із системними інтеграторами та аутсорсинговими компаніями, а з кінцевими користувачами, споживачами продукції


Олексій Частка: Можете зробити прогноз на майбутнє, як розвиватиметься галузь захисту інформації у найближчі кілька років?

Іван Мартинюк: В Останнім часомвсе більше збитків та незручностей користувачам приносять атаки, реалізовані на рівні додатків, а також віруси, Spyware і спам. Відповідно, розробниками буде більше уваги приділено системам, які працюють саме на цьому рівні - це й різні міжмережні екрани-посередники, системи контролю вмісту (Content Management), системи виявлення та запобігання вторгненням. Отримають більшого поширення, і будуть розвиватися у функціональному плані різні розподілені системи, що дозволяють приймати рішення про атаку та спосіб її відображення на підставі інформації, отриманої від різних джерел, систем та зондів.


Олексій Частка: Ви не могли розкрити думку фахівців відомої компанії The Yankee Group про те, що найближчими роками акцент при побудові захисних систем плавно переміщатиметься - від протидії "зовнішнім" хакерським нападам до захисту від нападів "зсередини"?

Іван Мартинюк: Якщо подивитися на звіти різних аналітичних агентств, то можна помітити один парадокс З одного боку, компаній, які використовують засоби захисту, що забезпечують безпеку по периметру мережі - набагато більше, ніж тих, що захищаються і від атак зсередини, а з іншого, втрати компаній від реалізованих "внутрішніх" атак набагато вищі, ніж від "зовнішніх" . Фахівці в цій галузі, природно, сподіваються, що колись персонал компаній, відповідальний за забезпечення безпеки, схаменеться, і приділятиме увагу внутрішнім загрозам не менше, ніж зовнішнім.


Олексій Частка: Яку технічну підтримку ви надаєте покупцям своїх продуктів? Судячи з інформації наданої на вашому сайті, D-Link надає додаткові сервісні послуги, FAQ, Базу Знань, HELPER та багато іншого. Чи не можна докладніше?

Іван Мартинюк: Хоча компанія D-Link і спеціалізується на виробництві обладнання для сегментів малого та середнього бізнесу, але в нашому арсеналі є досить високофункціональні та складні продукти, освоїти які не просто навіть висококваліфікованому фахівцю. Якщо ви зайдете на наш web-сайт, то побачите, що компанія має дуже велику кількість регіональних офісів, які надають підтримку на місцях. Чим ближче ви до людини, тим краще її розумієте і зможете запропонувати їй краще технічне рішення або вирішити її більш оперативно. У цьому випадку людині простіше зателефонувати або під'їхати, або ви самі можете під'їхати до користувача і вирішити проблему на місці. Компанія також підтримує російськомовний web-сайт, на якому можна знайти детальну інформаціюпро продукти, дізнатися, де їх можна придбати, прочитати новини. Одним з найбільших розділів сайту є розділ технічної підтримки, який містить відповіді на питання, що часто ставляться (FAQ), базу знань ( Knowledge Base), в якій є відповіді на багато технічних питань, помічник (Helper), який стане в нагоді при побудові мережі початківцям, емулятори інтерфейсів пристроїв, форум, де можна обговорити різні технічні аспекти застосування обладнання, як з іншими користувачами, так і співробітниками D-Link , а також безліч іншої корисної технічної інформації. Окрім веб-сайту, підтримується і FTP-сайт, звідки можна завантажити повні посібники користувача для пристроїв, причому багато з них перекладено російською мовою, а також прошивки, драйвера та інше програмне забезпечення та документацію для обладнання.


Олексій Частка: Крім технічної підтримки ви займаєтеся навчанням? Семінари, курси?

Іван Мартинюк: У всіх наших регіональних офісах регулярно проводяться безкоштовні технічні семінари, які дозволяють інтерактивно спілкуватися з користувачами та донести до них ту інформацію, яку неможливо надати через засоби масової інформації чи веб-сайт. Підвищення технічного рівня IT-фахівців у результаті позитивно позначається на рівні технічних рішень, реалізованих ними та обсягах продажу нашого обладнання. Семінари складаються з двох частин: теоретичної, де розповідається про принципи побудови мереж, мережевих протоколах, технології і наші продукти і практично, де показується, як ці продукти налаштовувати під конкретні завдання.


Олексій Частка: Хочете сказати що-небудь нашим читачам наостанок?

Іван Мартинюк: Хотілося б помітити, що міжмережеві екрани та системи виявлення вторгнень є необхідними, але не достатніми засобами захисту інформації. До цього питання потрібно підходити масштабно та впроваджувати так звану "Комплексну систему захисту інформації", яка є комплексом організаційно-правових і технічних заходів. Вирішення завдання інформаційної безпеки завжди починають з аналізу інформації, що циркулює на підприємстві, її класифікації та визначення цінності, потім виявляють безліч потенційно можливих загроз, причому багато з них можуть бути природного характеру, наприклад, відмова обладнання, природні катаклізми, помилка персоналу та ін. і лише після цього вибирають необхідну модель та засоби захисту. Крім того, навіть правильно спроектована та побудована система захисту не завжди ефективно захищатиме вашу мережу, оскільки її логічна та фізична структура постійно змінюється, постійно змінюється організаційна структура підприємства, і з'являються нові види загроз. Систему захисту завжди необхідно аналізувати і підлаштовувати під обставини, що змінилися. Безпека – це процес.


Олексій Частка: Дуже дякую, що погодилися відповісти на наші запитання Ми й надалі стежитимемо за успіхами вашої компанії та її продуктів!