Персональные межсетевые экраны

За последние несколько лет в структуре корпоративных сетей произошли се­рьезные изменения. Если раньше границы таких сетей можно было четко очер­тить, то сейчас это практически невозможно. Еще недавно такая граница проходила через все маршрутизаторы или иные устройства (например модемы), через которые осуществлялся выход во внешние сети. В удаленных офисах организации ситуация была схожа. Однако сейчас полноправным пользователем защищаемой межсетевым экраном сети является сотрудник, находящийся за пределами защи­щаемого периметра. К таким сотрудникам относятся пользователи, работающие на дому или находящиеся в командировке. Требуется ли им защита? Несомненно. Но все традиционные межсетевые экраны построены так, что защищаемые поль­зователи и ресурсы должны находиться под сенью их защиты, т. е. с внутренней стороны, что является невозможным для мобильных пользователей. Чтобы устра­нить эту проблему было предложено два подхода — виртуальные частные сети (virtual private network, VPN), которые будут описаны далее, и распределенные межсетевые экраны (distributed firewall). Примером первого решения можно на­звать VPN-1 компании Check Point Software (http://www.checkpoint.com). Та­кая схема, похожая на осьминога, раскинувшего свои щупальца, обладала только одним недостатком — сам удаленный узел был подвержен атакам, хотя доступ в корпоративную сеть был защищен от несанкционированных воздействий. Уста­новленный на удаленное рабочее место троянский конь мог дать возможность проникнуть злоумышленнику через межсетевой экран и по защищенному каналу. Ведь VPN шифрует и обычный, и несанкционированный трафик, не делая между ними различий. Тогда-то и родилась идея распределенного межсетевого экрана (distributed firewall), который являлся бы мини-экраном, защищающим не всю сеть, а только отдельный компьютер. Примерами такого решения является BlacklСЕ Agent компании Internet Security Systems (http://www.iss.net) или RealSecure Server Sensor того же производителя. Это решение понравилось и домашним пользователям, которые наконец-то получили возможность защиты своих компь­ютеров от рыскающих по сети злоумышленников. Но, так как многие функции распределенного МСЭ (например, централизованное управление или рассылка политики безопасности) для домашних пользователей были лишними, то техноло­гия распределенного МСЭ была модифицирована и новый подход получил назва­ние «персонального межсетевого экрана» (personal firewall), яркими представите­лями, которого являются ZoneAlarm и BlacklCE Defender компаний ZoneLabs (http://www.zonelabs.com) и ISS соответственно. Компания Check Point Softwa­re оказалась впереди и здесь, предложив решение VPN-1 SecureClient и VPN-1 SecureServer, которые не только защищают от внешних атак компьютеры, на ко­торых они установлены, но и обеспечивают защиту трафика, передаваемого за пределы данного узла (т. е. организуя client\server VPN). Именно такое реше­ние сделало подвластными межсетевым экранам сети с нечетко очерченными границами.

В чем отличие персонального межсетевого экрана от распределенного? Главное отличие одно — наличие функции централизованного управления. Если пер­сональные межсетевые экраны управляются только с того компьютера, на кото­ром они установлены, и идеально подходят для домашнего применения, то распре­деленные межсетевые экраны могут управляться централизованно, с единой консоли управления, установленной в главном офисе организации. Такие отличия позволили некоторым производителям выпускать свои решения в двух версиях — персональной (для домашних пользователей) и распределенной (для корпоратив­ных пользователей). Так, напри мер, поступила компания Internet Security Sys­tems, которая предлагает персональный межсетевой экран BlacklCE Defender и распределенный межсетевой экран BlacklCE Agent.

Какими функциями должен обладать эффективный персональный МСЭ? Во-первых, этот экран не должен быть пассивной программой, которая только и де­лает, что блокирует входящий на компьютер трафик по заданным критериям, к которым обычно относятся адрес и порт источника. Злоумышленники давно нау­чились обходить такие простые защитные механизмы, и в сети Internet можно найти большое число программ, которые могут проникнуть через многие традици­онные защитные барьеры. Примером такой программы является троянский конь SubSeven 2.2, позволяющий выполнять большое число функций на скомпромети­рованном компьютере без ведома его владельца. Чтобы защититься, необходим инструмент, который позволит проводить более глубокий анализ каждого сетево­го пакета, направленного на защищаемый узел. Таким инструментом является система обнаружения атак, которая в трафике, пропущенном через межсетевой экран, обнаруживает следы хакерской деятельности. Она не доверяет слепо таким разрешительным признакам, как адрес и порт источника.

К сожалению, приходится отметить, что немногие межсетевые экраны обла­дают встроенной системой обнаружения атак. Одним из таких решений является системы BlacklCE Defender и BlacklCE Agent компании Internet Security Systems. Любой из компонентов семейства BlacklCE содержит два основных модуля, осу­ществляющих обнаружение и блокирование несанкционированной деятельно­сти — BlacklCE Firewall и BlacklCE IDS. BlacklCE Firewall отвечает за блокирова­ние сетевого трафика с определенных IP-адресов и TCP/UDP-портов. Предвари­тельное блокирование трафика по определенным критериям позволяет увеличить производительность системы за счет снижения числа «лишних» операций на об­работку неразрешенного трафика. Настройка данного компонента может осуще­ствлять как вручную, так и в автоматическом режиме. В последнем случае рекон­фигурация происходит после обнаружения несанкционированной деятельности модулем BlacklCE IDS.

Следующим механизмом, которым должен обладать эффективный персональ­ный межсетевой экран, является защита от опасного содержимого, которое мож­но получить из Internet. К такому содержимому можно отнести апплеты Java и управляющие элементы ActiveX, код ShockWave и сценарии JavaScript, Jscript и VBScript. С помощью этих незаменимых и удобных технологий можно выполнить большое число несанкционированных действий на компьютере. Начиная от вне­дрения вирусов и установки троянских коней и заканчивая кражей или удалени­ем всей информации. Также персональные межсетевые экраны должны защищать от cookies, которые могут раскрыть конфиденциальную информацию о владельце компьютера.

В некоторые персональные МСЭ (например в Norton Internet Security компании Symantec) встроены антивирусные системы, которые помимо обнаружения троянцев могут обнаруживать и большое число вирусов, включая макрос-вирусы и Internet-черви. Зачастую производители встраивают в свою продукцию модули VPN (например PGP Desktop Security или VPN-1 SecureClient), которые отвеча­ют за обеспечение защищенного взаимодействия с центральным офисом.

Так как распределенные экраны управляются централизованно, то они долж­ны обладать эффективным механизмом настройки, администрирования и контро­ля, позволяющим администратору безопасности без дополнительных усилий по­лучить подробную информацию о зафиксированных попытках проникновения на защищаемые узлы. Мало того, в некоторых случаях необходимо инициировать процедуру расследования компьютерного преступления или собрать доказатель­ства для обращения в правоохранительные органы. И здесь будет незаменимым механизм отслеживания злоумышленника (back 'tracing), реализованный в неко­торых межсетевых экранах. Например, уже упоминаемые BlacklCE Agent и De­fender позволяют отследить злоумышленника, осуществляющего атаку на защищаемый компьютер, и собрать о хакере следующую информацию:

• IP-, DNS-, WINS-, NetBIOS- и МАС-адреса компьютера, с которого осуще­ствляется атака;

• имя, под которым злоумышленник вошел в сеть..

Немаловажной является возможность удаленного обновления программного обеспечения персонального межсетевого экрана (например в VPN-1 SecureCli­ent). В противном случае администратору приходилось бы самостоятельно посе­щать каждого из владельцев компьютера и обновлять его защитное ПО. Предста­вьте, какую бурю возмущений это вызвало бы у владельцев компьютеров, кото­рых отрывали бы от своей работы. Удаленное же и, главное, незаметное для владельца компьютера, обновление (включая и обновление сигнатур атак и виру­сов) снимает эту проблему и облегчает нелегкий труд администратора безопас­ности. Осуществляя удаленное управление, не стоит забывать и о защите трафика, передаваемого между центральной консолью и удаленными агентами. Зло­умышленник может перехватить или подменить эти команды, что нарушит защищенность удаленных узлов.