Лукацкий А.В. СЕТЕВАЯ БЕЗОПАСНОСТЬ ПЕРЕХОДИТ НА АППАРАТНЫЙ УРОВЕНЬ

 

За последние два года во всем мире возрос интерес к аппаратным, а точнее к программно-аппаратным средствам обеспечения сетевой безопасности. Такие решения постепенно вытесняют "чисто" программные предложения и начинают играть первую скрипку на данном рынке.

Первоначально средства сетевой безопасности периметра реализовались как дополнительные механизмы фильтрации в маршрутизаторах. Такие устройства стоят от 4000 до 9000 долларов. Затем стали появляться другие решения, основанные на применении выделенных компьютеров для решения задач сетевой безопасности. Эти решения были более функциональными, чем фильтрующие маршрутизаторы, но и требовали больших затрат на приобретение (от 12000 до 20000) и поддержание их работоспособности.

В середине 90-х годов стали появляться интегрированные решения, объединяющие в себе возможности первых двух названных технологий. Эти решения, которые называются appliance, поставлялись, как специальные устройства, использующие обычные операционные системы, "урезанные" для выполнения только защитных функций. Удобство такого решения заключалось в том, что администратор или оператор защиты взаимодействовал с защитным устройством через графический интерфейс (GUI), минуя операционную систему. Стоимость таких систем составляет от 5000 до 12000 долларов. При этом необходимо отметить, что такие устройства, как Cisco 1720 VPN Access Router и аналогичные не является security appliance, т.к. это не более чем маршрутизатор с дополнительными функциями по обеспечению VPN.

К достоинству таких решений можно отнести:

·         Простота внедрения в технологию обработки информации. Поскольку такие устройства поставляются уже с предустановленной и настроенной операционной системой и защитными механизмами, необходимо только подключить его к сети, что выполняется в течение нескольких минут.

·         Производительность. За счет того, что из операционной системы исключаются все "ненужные" сервисы и подсистемы, устройство работает более эффективно с точки зрения надежности и скорости.

·         Простота управления. Данные устройства могут управляться с любой рабочей станции Windows 9x, NT, 2000 или Unix. Взаимодействие консоли управления с устройством осуществляется либо по стандартным протоколам, например, Telnet или SNMP, либо при помощи специализированных или защищенных протоколов, например, Ssh или SSL.

·         Отказоустойчивость и высокая доступность.

·         Сосредоточение на защите. Решение только задач обеспечения сетевой безопасности не приводит к трате ресурсов на выполнение других функций, например, маршрутизации и т.п. Обычно, попытка создать универсальное устройство, решающее сразу много задач, ни к чему хорошему не приводит.

В отчете, опубликованном независимой консалтинговой компанией Gartner Group в июне 1997 года, было написано, что к 2002 году 80% компаний с доходами от 20 до 200 миллионов долларов выберут именно аппаратные решения (appliance), а не программные. Основная причина такого выбора - обеспечение такого же высокого уровня защиты, как и в программных решениях, но за меньшие деньги. И вторая причина - простота и легкость интеграции таких решений в корпоративную систему.

На первый взгляд такие аппаратные реализации существенно дороже, но это только на первый взгляд. Стоимость программно-аппаратного решения составляет порядка $5000-12000. Стоимость решения, основанного на применении только программного обеспечения, выполняющего аналогичные функции, может быть существенно выше. И это несмотря на то, что само ПО стоит меньше. Такой эффект достигается за счет того, что стоимость программного решения включает в себя:

·         Стоимость компьютера (желательно brandname).

·         Стоимость лицензионного дистрибутива операционной системы.

·         Стоимость сопутствующего программного обеспечения (например, броузера Internet Explorer и СУБД Oracle).

·         Стоимость затрат на установку и настройку всего комплекса в целом. Обычно эти затраты составляют 20-30% от стоимости составляющих всего комплекса.

·         Стоимость поддержки всех составляющих комплекса (компьютера и его аппаратных составляющих, ОС, дополнительного ПО и т.д.).

Для программно-аппаратного решения этих "дополнительных" затрат не существует, т.к. они уже включены в стоимость "железа".

Однако сразу необходимо отметить, что для большинства российских компаний программно-аппаратные все же пока еще очень дороги, несмотря на указанные выше аспекты. Связано это с тем, что многие компании не приобретают компьютер специально для системы защиты, а пытаются использовать уже существующие (как правило, устаревшие) компьютеры. Кроме того, развитие компьютерного пиратства привело к тому, что и программное обеспечение на эти компьютеры ставится нелицензионное. Ну и, наконец, стоимость оплаты труда отечественных специалистов на порядок ниже, чем за рубежом. Все это приводит к тому, что в России основной упор делается именно на программные решения, несмотря на то, что программно-аппаратные решения считаются более эффективными и по стоимости и по производительности. Остается надеяться, что со временем ситуация изменится в лучшую сторону.

К концу 90-х годов программно-аппаратные решения стали более активно продвигаться производителями, в т.ч. и на российском рынке. Кроме того, российские разработчики средств защиты, хотя и с некоторым опозданием, но тоже стали предлагать такого рода решения. В данной статье я хотел бы рассмотреть наиболее интересные программно-аппаратные решения, предлагаемые на российском рынке.

Эти средства можно отнести к трем наиболее распространенным классам средств защиты:

1.      Межсетевые экраны (firewall).

2.      Средства построения виртуальных частных сетей (Virtual Private Network, VPN).

3.      Средства обнаружения атак (intrusion detection systems, IDS).

Первые две категории являются наиболее распространенными среди аппаратных решений в области безопасности. Среди лидеров этого рынка можно назвать компании Cisco и CheckPoint, предлагающие продукты, ориентированные на различные компании, отличающиеся финансовыми доходами (уровни Small Office\Home Office, Branch Office и Enterprise Office).

Менее распространенными средствами, но получающими все большую известность, являются системы обнаружения атак, реализуемые в программно-аппаратных решениях. И лидирует здесь компания Internet Security Systems, Inc., известная в России уже три с лишним года. Решения других компаний либо еще не дошли до России, либо слишком дороги для отечественных потребителей.

Я не ставил перед собой цели сравнивать нижеописанные решения. Поскольку сравнивать различные средства - задача неблагодарная; особенно в России. Поскольку между конечным пользователем и производителем всегда встает третье звено (или несколько) - поставщик, который может свести "на нет" все достоинства предлагаемого решения за счет низкого качества послепродажной и послегарантийной поддержки. Вторая причина отказа от сравнения в том, что данные решения - это далеко не все, что должно сравниваться. Для каждого продукта должна существовать своя инфраструктура (которая также должна приниматься во внимание при выборе), включающая в себя качество документации и технической поддержки, наличие авторизованного обучения и квалифицированных консультаций, наличие круглосуточной поддержки и т.д. Ну и, наконец, сравнить и выбрать продукты может только конечный пользователь и только в своей собственной сети, чтобы проверить поведение и удобство использования того или иного решения именно в той технологии обработки информации, которая принята в организации.

Аппаратные межсетевые экраны

VPN-1 Appliance

Устройство VPN-1 Appliance разработано компанией CheckPoint Technologies (http://www.checkpoint.com) совместно с компанией Nokia Inc. (http://www.nokia.com) и входит в семейство VPN-1. Несмотря на свое название, данное устройство обеспечивает не только функции построения VPN, но и очень широкий спектр других возможностей, начиная с разграничения доступа к ресурсам и фильтрации трафика, и заканчивая маршрутизацией IP-протокола (при помощи протоколов RIP, OSPF, DVMRP, IGRP, BGP и VRRP). VPN-1 Appliance включает в себя широко известный в России и сертифицированный по 3-му классу Гостехкомиссией при Президенте РФ межсетевой экран Firewall-1. Это позволяет строить высокоэффективные и надежные защитные системы.

В зависимости от требований, предъявляемых заказчиком к производительности, числу сетевых интерфейсов и т.д., система VPN-1 Appliance может быть установлена на одну из трех аппаратных платформ, разработанных компанией Nokia:

 

	1. VPN-1 Appliance 330 - Идеальное решение для небольших или удаленных офисов, которым приходится делать выбор между приобретением коммуникационного оборудования (маршрутизаторов) и средств защиты Internet. Использование данной модели позволяет совместить обе этих функции в одном устройстве.
	2. VPN-1 Appliance 440 - Решение, выполненное по модульной архитекторе и предназначенное для функционирования в сегментах с повышенными требованиями по обеспечению высокой доступности.
	3. VPN-1 Appliance 650 - Данная платформа, также выполнена по модульному принципу и обладает максимальной производительностью по сравнению с другими платформами, а также возможностью горячей замены, вышедших из строя компонентов.

 

Для повышения надежности, VPN-1 Appliance может поставляться в конфигурации, позволяющей использовать режим "горячего резервирования", который устраняет проблему наличия критичной точки отказа. Если при работе двух параллельных VPN-1 Appliance один вышел из строя, его место в течении нескольких секунд займет второй, взяв на себя все функции обеспечения безопасности. Такая возможность реализуется при помощи технологии синхронизации таблиц состояния, разработанной компанией CheckPoint, и стандарта IETF VRRP (Virtual Router Redundancy Protocol).

Данное устройство позволяет строить виртуальные частные сети по всем известным схемам:

·         "site-to-site", когда защищается соединение между несколькими офисами;

·         "client/server ", когда защищается соединение между определенным пользователем и сервером;

·         "remote access", когда защищается соединение между удаленными пользователями и офисом.

Как и многие другие аналогичные решения, VPN-1 Appliance поддерживает следующие стандарты и алгоритмы защиты:

·         Криптографические преобразования - RC4 (40 бит), CAST (40 и 128 бит), FWZ-1 (48 бит), DES (40 и 56 бит), Triple DES (168 бит), RSA (512 и 1024 бит), CBC-DES-MAC, MD5 и SHA-1.

·         Управление ключами - Диффи-Хеллмана, IKE, FWZ, SKIP, IPSec.

·         Схемы аутентификации пользователей - RADIUS, TACACS\TACACS+, S/Key, на базе токенов (SecurID), пароль в операционной системе и на МСЭ, цифровые сертификаты.

Данное устройство, как и другие описанные в этой статье, обеспечиваются высококачественной поддержкой в России. Однако в отличие от других производителей, для данного устройства в России существует еще и авторизованное обучение.

Из других, сертифицированных Гостехкомиссией России, программно-аппаратных решений на российском рынке известны межсетевой экран Cisco Secure Pix Firewall компании Cisco Systems (http://www.cisco.ru), межсетевой экран Firebox и Firebox II компании Rainbow Technologies (http://www.rainbow,msk.ru) и другие.

Аппаратные средства построения VPN

Континент-К

Данное устройство - одно из немногих, разработанных в России. Разработчик - НИП "Информзащита" (http://www.infosec.ru), известное своей технологией управления информационной безопасностью "Беркут" и своим семейством сертифицированных в Гостехкомиссии России средств разграничения доступа Secret Net. "Континент-К" обеспечивает защиту конфиденциальной информации в корпоративных сетях, использующих протоколы семейства TCP/IP. В качестве составных частей VPN могут выступать абонентские пункты, ЛВС предприятия или их отдельные фрагменты.

Криптомаршрутизатор "Континент-К" построен на основе ОС Free BSD. Хочется сразу отметить, что данная операционная система очень широко используется производителями для построения защитных аппаратных комплексов. Помимо "Континента-К" ОС Free BSD используется в решениях компании CheckPoint (VPN-1 Appliance), ISS (RealSecure for Nokia), МО ПНИЭИ ("ШИП") и т.д. Однако это уже не обычная операционная система, а "урезанная" ее версия, предназначенная для выполнения только защитных функций.

Программно-аппаратный комплекс "Континент-К", как и другие средства построения VPN, обеспечивает:

·         защиту внутренних сегментов сети от несанкционированного доступа со стороны пользователей сетей общего пользования;

·         скрытие внутренней структуры защищаемых сегментов сети (Network Address Translation, NAT);

·         защиту (зашифрование/расширование, имитозащиту) данных, передаваемых по каналам связи сетей общего пользования между защищаемыми сегментами сети (абонентскими пунктами);

·         безопасный доступ пользователей защищаемой корпоративной сети к ресурсам сетей общего пользования;

·         централизованное управление защитой сети.

Однако данное устройство отличается от своих зарубежных собратьев тем, что, во-первых, оно реализует криптографическую защиту в соответствие с ГОСТ 28147-89, а, во-вторых, имеет сертификат Гостехкомиссии России (№ 352 от 28.08.2000). В настоящий момент это устройство проходит сертификацию в ФАПСИ.

Комплекс "Континент-К" включает в свой состав следующие компоненты:

·         Криптографический шлюз (КШ), который обеспечивает криптографическую защиту информации при ее передаче по открытым каналам сетей общего пользования и защиту внутренних сегментов сети от проникновения извне.

·         Центр управления сетью криптографических шлюзов, который осуществляет управление работой всех КШ, входящих в состав виртуальной сети. ЦУС осуществляет контроль за состоянием всех зарегистрированных КШ, проводит рассылку ключевой информации, предоставляет администратору функции удаленного управления КШ, обеспечивает получение и хранение содержимого системных журналов КШ, а также ведение журнала событий НСД.

·         Программа управления сетью криптографических шлюзов, которая обеспечивает отображение состояний КШ, просмотр содержимого системных журналов КШ, изменение настроек маршрутизации и правил фильтрации пакетов

Поскольку устройство разработано в России, то пользователи "Континент-К" обеспечиваются качественной поддержкой самого производителя, могут пройти авторизованное обучение и, что немаловажно, получают документацию на русском языке.

Технические характеристики:

·         Общая пропускная способность криптомаршрутизатора (имитовставка, шифрование, туннелирование) - 30 Мбит/с (Celeron/500);

·         Увеличение размера пакета - 26-36 байт (с учетом дополнительного IP-заголовка);

·         Максимальное количество криптомаршрутизаторов в сети с одним центром управления - не более 5000;

·         Максимальное количество установленных программ управления - не ограничено;

·         Максимальное количество абонентских пунктов для одного криптомаршрутизатора - не более 500.

Аппаратные средства обнаружения атак

RealSecure for Nokia

Система RealSecure for Nokia, разработанная компаниями Internet Security Systems, Inc. (http://www.iss.net) и Nokia обеспечивает автоматизированное обнаружение и реагирование в реальном режиме времени на сетевые атаки, направленные на узлы корпоративной сети. Система RealSecure for Nokia одинаково эффективно обнаруживает как внешние атаки, так и внутренние злоупотребления, направленные на сервера приложений, Web-сервера, базы данных, рабочие станции, маршрутизаторы, межсетевые экраны и т.д.

Система RealSecure for Nokia - это уникальное решение, объединяющее в себе все функциональные возможности RealSecure Network Sensor и Nokia IP Network Security Solutions. Система RealSecure for Nokia может быть использована для:

·         Обнаружения атак, позволяющих "обойти" существующие защитные механизмы. К таким атакам могут быть отнесены: сканирование портов и использование сканеров безопасности, атаки типа "подбор пароля" и "отказ в обслуживании", использование "троянских коней", несанкционированное подключение к сети и т.д.;

·         Фильтрации сетевого трафика на основе заданных правил;

·         Контроля электронной почты (в т.ч. и на вирусы), передаваемой как в корпоративной сети, так и за ее пределы.

·         Анализа сетевого трафика, включающего изучение информационных потоков, используемых сетевых протоколов и т.д.

Система RealSecure for Nokia функционирует под управлением защищенной операционной системы IPSO, базирующейся на ОС FreeBSD. Система RealSecure for Nokia может управляться с единой консоли RealSecure WorkGroup Manager, которая позволяет централизованно управлять всеми компонентами, входящими в семейство RealSecure:

·         RealSecure Network Sensor;

·         RealSecure OS Sensor;

·         RealSecure Server Sensor;

·         RealSecure for Nokia.

Как только атака распознается, происходит оповещение администратора через консоль управления или электронную почту. Кроме того, атака может быть зарегистрирована в базе данных, а также все команды при реализации атаки могут быть записаны для дальнейшего воспроизведения и анализа. В случае осуществления атаки, которая может привести к выведению из строя узлов корпоративной сети, возможно автоматическое завершение соединения с атакующим узлом или реконфигурация межсетевых экранов и маршрутизаторов так, чтобы в дальнейшем соединения с атакующим узлом были запрещены.

Компонент RealSecure WorkManager отвечает за настройку и сбор информации от RealSecure for Nokia. Управление сенсорами системы RealSecure возможно также осуществлять при помощи дополнительных модулей, подключаемого к системам сетевого управления HP OpenView (RealSecure Manager for OpenView) и Tivoli (RealSecure Manager for Tivoli). Управление операционной системой, протоколами маршрутизации и т.д. осуществляется при помощи системы Web-ориентированного управления Nokia Network Voyager.

Данные устройства также поддерживают FDDI, ATM, V.35/X.21, Token Ring, HSSI, T1. Кроме того, данные устройства могут поставляться с аналоговыми модемами.

Помимо функций по обнаружению атак, RealSecure for Nokia обладает большими сетевыми возможностями, включая поддержку:

·         DVMRP, IGMPv2, Multicast Tunnel;

·         RIPv1, RIPv2 (с аутентификацией);

·         OSPFv2, VRRP, IGRP, BGP4, статическая маршрутизация;

·         Управление через SSH, Telnet и SNMPv1/v2.

RealSecure for Nokia может обнаруживать атаки в сетях TCP/IP и SMB/NetBIOS, построенных на базе Ethernet, Fast Ethernet, Gigabit Ethernet, Token Ring и FDDI.

Об авторе:

Алексей Викторович Лукацкий, ведущий специалист Научно-инженерного предприятия "Информзащита" (Москва), сертифицированный инструктор по безопасности компании Internet Security Systems, сертифицированный инженер по безопасности компании CheckPoint Technologies. Связаться с ним можно по тел. (095) 289-8998 или e-mail: luka@infosec.ru.

10 октября 2000 г.