Теория и практика выбора межсетевого экрана
Алексей Лукацкий,
руководитель отдела Интернет-решений НИП "Информзащита"
luka@infosec.ru
Своей работой в управлении информационных технологий одного из банков я обязан обыкновенным компьютерным воришкам, и именно они дали мне возможность изучить все тонкости работы межсетевых экранов (МСЭ, firewall, брандмауэр) и других средств безопасности.
Началась история с того, что руководство банка решило использовать в своей работе Интернет. Было приобретено нужное оборудование и заключен договор с провайдером Интернет-услуг. А через месяц от этого провайдера пришел счет на кругленькую сумму в несколько сотен долларов. Изучение "расхода" трафика показало, что за месяц из организации "утекло" не менее 20 Гбайт данных, но никто не знал, каких и кто их владелец. Оставался открытым вопрос: вдруг это не рядовая электронная почта, а данные о совершенных финансовых сделках? Ответ удалось получить еще через месяц, когда администратор сети банка с прискорбием зафиксировал, что в его владения "вломился" злоумышленник, который пересылает десятки мегабайт информации за его, администратора, счет. Дилемма решалась единственным способом: работать с Интернетом можно только при наличии надежных средств защиты корпоративной сети, т. е. межсетевого экрана. И выбор достойного МСЭ стал моим первым производственным заданием.
С первого взгляда проблема не стоила выеденного яйца. В течение дня я собрал из различных комплектующих вполне сносный компьютер на базе Pentium, установил на него Linux, потратил пару дней на настройку IPTABLE и стал радоваться жизни. Но через две недели "опытной эксплуатации" оказалось, что радость была преждевременной. Более того, эти две недели в корне изменили мои взгляды на бесплатные продукты для защиты информации – они явно не годились для использования в крупной финансовой структуре – и заставили меня обратиться к коммерческим решениям.
Предварительный анализ российского рынка межсетевых экранов показал, что спектр
таких продуктов чрезвычайно широк и выбрать то, что действительно нужно, не
так-то просто. Здесь и пригодились институтские знания. Метод поиска оптимального
решения, который казался когда-то сугубо теоретическим, приобрел практический
смысл (см. врезку "Теория поиска оптимального решения в практике выбора МСЭ").
Теория поиска оптимального решения в практике выбора МСЭЧтобы выбрать наилучший по функциональным характеристикам МСЭ, нужно 1. Определить критерии выбора межсетевого экрана, т. е. основные функциональные 2. Присвоить каждому критерию весовой коэффициент (сумма всех весовых 3. Проанализировать наличие и качество реализации необходимых функций 4. Перемножить весовые коэффициенты из п. 2 и полученный для каждого |
Основные критерии…
Прежде чем описывать критерии оценки, хочу дать один простой совет: когда поставщики начинают произносить не совсем понятные (причем обеим сторонам) умные слова, описывающие различные типы межсетевых экранов (stateful inspection, circuit-level gateway и т. п.), не пугайтесь и не смущайтесь. Это не что иное, как накручивание цены. Если же "смотреть в корень", то в настоящее время на рынке присутствуют только два типа МСЭ. Первый – это пакетные фильтры, реализованные в маршрутизаторах и некоторых средствах построения VPN, которые работают только на сетевом (в крайнем случае, транспортном) уровне и анализируют лишь заголовок сетевого пакета (адреса и порты отправителя и получателя). Второй тип – все остальные; они, помимо анализа заголовков, "умеют" анализировать и поле данных, позволяя эффективно обрабатывать трафик современных протоколов (мультимедиа, IP-телефония и т. д.).
Контроль доступа, разумеется, стал первым критерием выбора будущего
МСЭ. Он позволил бы отслеживать доступ сотрудников банка к внешним Интернет-ресурсам,
т. е. точно фиксировать, кто, куда и когда "ходит". При необходимости можно
запретить доступ определенного сотрудника к определенному серверу (например,
к http://www.anekdot.ru) или по определенному протоколу (например, RealAudio).
На первый взгляд ничего сложного в этой задаче не было. Любой межсетевой экран и даже маршрутизатор позволяет создавать списки контроля доступа, блокирующие доступ по различным параметрам сетевого трафика (адрес и порт источника и получателя, тип протокола и т. д.). Однако при ближайшем рассмотрении реализовать данное требование в "нашем" банке оказалось не так-то просто. Во-первых, тесные дружеские отношения между сотрудниками банка давали им возможность пользоваться чужими компьютерами для выхода в Сеть. Во-вторых, в некоторых отделах "наиболее продвинутые" сотрудники, имеющие расширенные права доступа в Интернет, устанавливали на свой ПК прокси-сервер (обычно WinGate), обеспечивая тем самым через него свободу доступа другим "ущемленным" сотрудникам.
Ну и, наконец, основная проблема заключалась в том, что в данном банке очень
широко использовался протокол динамической адресации DHCP. В результате IP-адреса
компьютеров сотрудников менялись, как в калейдоскопе: сегодня у операционистки
Ивановой адрес 192.168.1.1, завтра – 192.168.1.13, а послезавтра – 192.168.1.230.
Поэтому межсетевой экран, использующий статические правила, основанные на IP-адресе,
не был способен обеспечить эффективный контроль доступа и в список требований
нужно было также включать поддержку динамической адресации.
Вообще говоря, желательно задавать правила, основываясь не на IP-адресах узлов корпоративной сети, а на имени пользователя, получающего доступ к Интернет-ресурсам. Разумеется, если вопрос однозначного соответствия IP-адреса и пользователя решается без помощи МСЭ, данное требование можно опустить.
Следующая проблема – адрес – типична для любой организации. Корпоративных узлов, имеющих уникальные адреса, много, а Интернет-провайдер, как правило (и наш банк не был исключением), выделяет всего один или несколько публичных адресов. Кроме того, внутренние адреса принадлежат множеству, не маршрутизируемому в рамках Интернета (например, 10.*.*.*, 172.16.0.0 – 172.31.255.255 и 192.168.*.*.). Пакеты с адресом источника такой сети никогда не достигнут адресата.
Выход – в трансляции сетевых адресов, которая не только спроецирует
сотни немаршрутизируемых уникальных адресов в один, принадлежащий межсетевому
экрану, но и позволит скрыть топологию корпоративной сети от любопытных глаз.
Как и любой уважающий себя банк, наш банк имел свой Web-сервер, на котором
для всех интересующихся описывались история нашего банка, предлагаемые услуги
и тарифы на обслуживание, контакты и т. д. и т. п. Размещать Web-сервер в виртуальном
хостинге руководство наотрез отказалось, планируя в перспективе оказывать услуги
Интернет-банкинга, и поэтому требовалось, с одной стороны, обеспечить открытый
доступ внешних пользователей к Интернет-представительству банка, а с другой
– закрыть доступ во внутреннюю сеть извне. Решение нашлось сразу – демилитаризованная
зона. Поэтому, хотя проектирование сети не относится к выбору межсетевого экрана,
я все же вписал в свой перечень новое требование – возможность задания различных
требований безопасности по разным интерфейсам межсетевого экрана. Именно
на эти интерфейсы "вешаются" и демилитаризованная зона, и отдельные сегменты
(например, информационная и платежная системы) внутренней сети, и управление
МСЭ.
Расширяя первое требование (контроль доступа), я решил контролировать не только то, кто и куда "ходит", но и объем информации, передаваемой из Интернета и в Интернет по различным протоколам, в основном HTTP, SMTP и FTP. (В моей практике уже был случай, когда программист отдела автоматизации в течение нескольких дней скачивал дистрибутив ОС Linux Mandrake, который распространяется на трех CD.)
Чтобы в дальнейшем не погрязнуть в тысячах записей, хранящихся в журнале регистрации,
я вписал еще одно требование – наличие подсистемы генерации отчетов,
которая позволяла бы проводить сортировку по различным признакам (адрес отправителя
и получателя, пользователь, сервер, время и т. д.) и создавать как текстовые,
так и графические сводки.
И наконец, в базовый перечень требований я включил "требования комфортности
для администратора": удобство управления и графический интерфейс управления.
Как выходец из мира Unix, я понимаю многих приверженцев этой ОС, ярых противников
графического интерфейса, которые предпочитают создавать правила для межсетевого
экрана из командной строки. Однако реальная жизнь расставила все по местам.
Описывать тысячи объектов контроля, создавать такое же количество правил и просматривать
отчеты из командной строки – непосильная задача и для самого верного "юниксоида",
способная отвратить от дела любого, даже преданного идее администратора.
… и дополнительные требования
Конечно, межсетевой экран был отнюдь не единственным средством защиты банка. В единой системе безопасности используются и списки контроля доступа маршрутизаторов Cisco, и системы обнаружения атак, и средства контроля содержимого, и антивирусное ПО. Это множество "кирпичиков" должно было создать неприступную для любого злоумышленника стену. Однако не надо забывать, что каждый из "кирпичиков" имеет свою "идеологию" и требует отдельного конфигурирования и специальной настройки, что само по себе процесс трудоемкий, а потому подверженный ошибкам.
Заметим, что при расширении спектра деятельности банка и увеличении его филиальной
сети растет как количество "кирпичиков" в системе защиты, так и трудоемкость
настройки, а значит, и вероятность появления ошибок при конфигурировании. Задача
любого администратора безопасности – сделать так, чтобы конфигурирование составляющих
выполнялось централизованно и было непротиворечивым. Поэтому первым дополнением,
которое я вписал в основной список, стало централизованное и по возможности
единое управление разнородными средствами защиты. Наличие такого механизма
существенно снижает издержки на конфигурирование системы защиты, уменьшает вероятность
ошибок при ее настройке. И здесь хочется с сожалением отметить, что на сегодняшний
день данному критерию удовлетворяют очень немногие коммерческие продукты.
Следующее требование вполне закономерно вытекало из предыдущего и заключалось
в возможности интеграции с другими средствами защиты. К таким средствам
можно отнести антивирусное ПО, системы обнаружения и предотвращения атак, средства
контроля содержимого, серверы аутентификации и решения PKI.
В случае расширения бизнеса и создания филиальной сети банка непременно появились бы еще три задачи, требующие незамедлительного решения:
- защита трафика, передаваемого между филиалами;
- централизованное управление МСЭ, установленными в удаленных филиалах;
- контроль доступа пользователей удаленных филиалов к ресурсам центрального офиса.
Однако надо помнить, что защита трафика все-таки не входит в задачи межсетевого экрана, а относится к перечню требований к средствам построения VPN. Тем не менее, учитывая, что многие современные МСЭ интегрированы с VPN, такое требование к межсетевому экрану вполне закономерно.
Всем знакомый термин контроль качества услуг (Quality of Service, QoS)
в последние годы стал неотъемлемой частью технологии защиты информации. И это
не случайно, поскольку межсетевые экраны стали обрабатывать критичный к задержкам
трафик, генерируемый такими приложениями, как видеоконференц-связь, IP-телефония,
RealAudio и т. д., которые предъявляют высокие требования к качеству передачи
информации. А так как наш банк, идущий в ногу со временем, запланировал переход
на IP-телефонию, то внесение в список данного критерия стало закономерным.
Кстати, несколько слов об IP-телефонии. Надо учитывать, что существующие протоколы (H.323, SIP и MGCP) функционируют по-разному, и слова в рекламной листовке о поддержке VoIP еще не означают, что МСЭ будет эффективно работать со всеми тремя протоколами.
Говоря о контроле качества услуг, нельзя не сказать и о производительности
– достаточно важной характеристике сетевого устройства. На всякое средство,
которое может ее снизить, в любой организации смотрят с подозрением, и наш банк
– не исключение. Поэтому в перечне появился такой критерий, как отсутствие
снижения производительности сети. Хотя справедливости ради надо заметить,
что при использовании арендуемых банком каналов связи с пропускной способностью
в несколько сотен килобит в секунду это требование практически всегда будет
удовлетворено. Разумеется, если не брать в расчет построение VPN, которая вносит
свои коррективы.
Еще одна важная характеристика сетевого оборудования – отказоустойчивость, а при внедрении услуг Интернет-банкинга она становится первоочередной. Можно выделить два распространенных на рынке решения, реализующих приложения с высокой степенью отказоустойчивости и доступности.
Первое – создание кластера из двух и более однотипных устройств, одно из которых
выступает как основное, а остальные – как резервные, перехватывающие на себя
управление при выходе из строя основного. Данный подход позволит обеспечить
непрерывность работы Интернет-банка в случае выхода из строя межсетевого экрана.
Второе решение – распараллеливание трафика между двумя и более серверами, обеспечивающими
функции Интернет-банкинга. И хотя мне трудно представить себе, чтобы наши Интернет-услуги
стали пользоваться в ближайшем будущем такой популярностью, что нам не хватит
одного Web-сервера, я все же предусмотрительно внес в свой список требование
балансировки нагрузки, указав для него самый низший приоритет. Уж лучше
немного перестраховаться, чем потом кусать локти.
"Кролики – это не только ценный мех"
Не нужно забывать, что межсетевой экран – не просто программно-аппаратное решение,
которое устанавливается в сети, это еще и система поддержки. Между пользователем
и производителем (чаще всего зарубежным) всегда встает третье звено – поставщик
(или несколько поставщиков), которое способно "свести на нет" все достоинства
предлагаемого решения за счет низкого качества послепродажной и послегарантийной
поддержки. Поэтому одним из последних в списке, но не последним по важности,
было требование качественной технической поддержки. Желательно также,
чтобы квалификация инженеров поставщика была подтверждена соответствующими сертификатами
производителя.
Кроме того, для каждого продукта в системе защиты, не только для межсетевого экрана, должна существовать своя "инфраструктура", включающая комплект документации (желательно на русском языке), наличие у поставщика авторизованного обучения, квалифицированных консультаций и т. д. Все эти аспекты также должны приниматься во внимание при выборе того или иного продукта.
Последнее, о чем я задумался, когда формулировал требования к межсетевому экрану,
– наличие сертификата соответствия требованиям регулирующих органов.
И на вопрос о необходимости такого пункта не смог ответить однозначно, хотя
дотошно проанализировал российское законодательство на эту тему. Оно оказалось
столь несовершенным, что позволяет "рулить" в любую удобную сторону. В одних
пунктах говорится о необходимости применения только сертифицированных решений
для построения информационных систем. В других поясняется, что собственник информации
волен принимать решения о степени защиты своих данных и используемых для обеспечения
их безопасности средств самостоятельно. Такие противоречия могут трактоваться
как угодно, в зависимости от условий.
Что же касается различия между сертифицированным и несертифицированным решением, то их практически нет. Абсолютное большинство продуктов выпускается массовым тиражом с единственной копии на мастер-диске. Поэтому сертифицированный продукт отличается от несертифицированного только наличием сертификата с голограммой, подтверждающего, что именно данный экземпляр (читай: компакт-диск) соответствует некоторому множеству требований, предъявляемых к средствам защиты данного класса.
Позволю себе лирическое отступление о требованиях. Сейчас Россия стоит на перепутье. С одной стороны, действуют "старые" руководящие документы Гостехкомиссии России, которые разделяют все МСЭ на несколько классов, каждый со своими требованиями по безопасности. С другой стороны – Россия стремится в ВТО, и мы с 1 января 2004 г. перешли на использование принятых в Европе "Общих критериев" (Common Criteria), относительно нового подхода к созданию защищенных информационных систем. И предлагаемые российскому потребителю межсетевые экраны с 2004 г. должны соответствовать уже новому ГОСТ/ИСО МЭК 15408-2002 "Общие критерии оценки безопасности информационных технологий" и соответственно новым руководящим документам (где определены так называемые профили защиты и задания по безопасности).
Здесь справедливости ради надо заметить, что ситуация с "Общими критериями" пока до конца не ясна, до сих пор не появились новые законы и подзаконные акты, четко регламентирующие, как и кто будет жить "по-новому", т. е. по "Общим критериям". На момент написания этой статьи в России был зафиксирован только один межсетевой экран, получивший сертификат по новому ГОСТ, а именно Z-2 компании "Инфосистемы Джет".
Кстати, однажды на конференции представитель одной из российских сертификационных структур заметил, что даже в случае взлома сертифицированного средства вам некуда будет предъявить свои претензии. Точнее, предъявить-то их можно, а вот получить компенсацию за нанесенный моральный и материальный ущерб – вряд ли. Если, конечно, вы не воспользовались услугами страхования информационных рисков, но это уже тема другой статьи.
Учитывая все вышесказанное, я хотя и внес требование наличия сертификата в конец общего списка, обязательным его не считаю (возможно, многие специалисты со мной не согласятся).
Итог
Результатом моих изысканий стал список из 19 требований к межсетевому экрану (не стоит составлять перечень длиной более 20 пунктов – количество в этом случае переходит в повышение трудоемкости) и их весовых коэффициентов. Соответствие этим требованиям мне нужно было найти среди функциональных характеристик продуктов российских поставщиков.
Этот четко сформулированный перечень функций МСЭ позволил за несколько дней заполнить подготовленную таблицу и остановить свой выбор на… Но я, пожалуй, остановлюсь и не буду рекламировать здесь конкретное решение. Пусть каждый сделает свой выбор, тем более что в конкретном случае набор критериев оценки и их приоритеты могут существенно отличаться. А потому и результат будет совсем другим. Главное – следовать методике отбора в соответствии с теорией поиска оптимального решения, причем это относится к выбору не только межсетевого экрана, но и любого другого средства защиты.