О требованиях к корпоративным межсетевым экранам
Межсетевые экраны (МСЭ) — это, пожалуй, одно из первых специализированных средств защиты, появившихся в сетях на базе протокола IP. Сначала они представляли собой обычные пакетные фильтры и умели «заглядывать» только в заголовки проходящих через них пакетов, теперь же они обладают недюжинным интеллектом и используются для защиты наших сетевых интересов, которые, как правило, являются неотъемлемой частью наших бизнес-требований. И несмотря на то, что многие аналитики предрекали им недолгую жизнь, это по-прежнему самое популярное средство обеспечения сетевой безопасности, по объемам продаж значительно превосходящее такие новомодные средства, как системы обнаружения и предотвращения вторжений.
о данным прошлогодних исследований состояния информационной безопасности, МСЭ уверенно держат второе по распространенности место после антивирусов. В настоящий момент межсетевые экраны являются необходимым (хотя и не достаточным) элементом построения системы сетевой безопасности каждого предприятия или провайдера услуг. Остальные технологии обеспечения безопасности, такие как антивирусная проверка, системы обнаружения и предотвращения вторжений и т.п., являются важным дополнением, однако они не в состоянии заменить межсетевые экраны, о которых и пойдет речь в этой статье.
Что такое межсетевые экраны и какими они бывают, в очередной раз напоминать не будем, а сразу обратимся к тем возможностям, которые сегодня наиболее востребованы на корпоративном рынке.
Рассказывая о межсетевых экранах, обычно проводят аналогии с неприступными стенами замка. В истории известны случаи, когда крепость падала по причине внутреннего мятежа, от которого ни стены, ни крепкие ворота не спасут. Так же и с межсетевыми экранами: помимо защиты периметра они должны обеспечивать защиту и внутренней локальной сети от несанкционированных действий. Ставить в каждый защищаемый сегмент по одному МСЭ — достаточно дорого и не всегда возможно чисто технически. Именно поэтому такой популярностью пользуются списки контроля доступа (Access Control List, ACL) на коммутаторах, отвечающих за распространение трафика внутри сети. Но функциональность ACL, какими бы эффективными они ни были, все-таки не намного выше, чем у первых пакетных фильтров. А поскольку угрозы во внутренней сети не менее опасны, чем во внешней, обеспечивать ее защиту крайне необходимо. Эту задачу выполняют межсетевые экраны, представляющие собой модули, вставляемые в шасси коммутатора. Такой подход позволяет анализировать весь трафик, передаваемый через коммутатор (с сотен и тысяч узлов), разграничивать доступ как между отдельными сетевыми сегментами, так и между виртуальными локальными сетями (Virtual Local Area Network, VLAN). С надежностью в данном случае тоже все в порядке. Выход из строя межсетевого экрана не скажется на стабильности сети — коммутатор обнаружит сбой и пустит трафик в обход неработающего модуля. Кстати, если применение такого модуля для коммутаторов невозможно и остается только внешнее устройство, то оно обязательно должно поддерживать технологию VLAN, чтобы администратор имел гибкие возможности по сегментации сети и созданию списков контроля доступа, учитывающих различные требования безопасности в разных сегментах.
Теперь рассмотрим ситуацию с другой стороны. В нашей сети имеется несколько сегментов с различными требованиями по безопасности. Большинство современных межсетевых экранов способно одномоментно работать только с одной политикой безопасности, что не всегда удобно, ибо для защиты того или иного количества сегментов нам понадобится столько же межсетевых экранов с разными политиками безопасности. А это уже расточительство, ведь под каждый МСЭ требуется свой сервер, а зачастую и вместе с резервным дублем. В этом случае нам может помочь технология виртуальных межсетевых экранов, которая позволяет построить в рамках одного устройства несколько виртуальных МСЭ, причем каждый из них будет иметь свою политику безопасности, собственное управление и мониторинг. Даже администраторы у этих виртуальных МСЭ могут быть разными. Такая функция незаменима для операторов связи, владельцев бизнес-центров и других провайдеров услуг, которые вынуждены обеспечивать защиту своих пользователей, минимизируя при этом затраты.
В том случае, когда необходимо внедрить межсетевой экран в сегмент, в котором невозможно изменение топологии сети, адресации и т.п., поможет «прозрачный» МСЭ (transparent firewall), который позволяет быстро и эффективно установить защитное устройство в корпоративную сеть без необходимости изменения топологии и адресации сети. При этом сам межсетевой экран становится невидимым для любого пользователя (поскольку не имеет IP-адресов), в том числе для злоумышленника, что позволяет обеспечить защиту МСЭ от компрометации и атак на него.
О термине «брандмауэр»Брандмауэры впервые появились в поездах — вспомните фильмы о революции. Уголь, который использовался для работы паровоза, находился поблизости от топки, что значительно повышало риск возгорания угольной пыли. Пожар в машинном отделении мог перекинуться на вагоны, а это уже грозило прямыми убытками для транспортных компаний. Для предотвращения пожаров паровозы были оборудованы позади машинного отделения железной переборкой, которую и назвали брандмауэром. Он, кстати, не защищает машиниста. По большому счету, брандмауэр предназначался не для защиты от пожара, а для его локализации. Термин «брандмауэр» по отношению к межсетевым экранам появился в начале или середине 90-х годов из-за отсутствия сколь-нибудь толкового перевода английского термина «firewall». Поскольку «firewall» (английское слово) и «брандмауэр» (немецкое слово) означали одно и то же, а термин «брандмауэр» в России уже был известен достаточно давно, то переводчики и журналисты стали использовать именно его. Кстати, Россия является единственной страной, где термин «брандмауэр» используется в том числе и для обозначения межсетевого экрана, — даже в Германии такого нет! |
||
В современных сетях нередко используются критичные к задержкам приложения — IP-телефония, видеоконференции и другие мультимедиапротоколы. И весь этот трафик проходит через межсетевой экран, который должен уметь с ним работать: высокоприоритетный трафик пропускается в первую очередь, а почта или файлы — во вторую. Поэтому при выборе межсетевого экрана следует обратить внимание на поддержку QoS (Quality of Service), LLQ (Low-Latency Queueing), CBWFQ (Сlass-Based Weighted Fair Queueing) и других методов контроля качества.
В отношении IP-телефонии следует отметить, что существующие протоколы H.323, SIP (Session Initiation Protocol), SCCP (Skinny Client Control Protocol) и MGCP (Media Gateway Control Protocol) работают по-разному и что рекламные заявления о поддержке VoIP еще не означают, что МСЭ будет эффективно функционировать со всеми семействами протоколов. В зависимости от используемого стандарта IP-телефонии применение межсетевых экранов может повлечь за собой те или иные проблемы. Например, после того как с помощью протокола SIP абонентские пункты обменялись информацией о параметрах соединения, все взаимодействие осуществляется через динамически выделенные порты с номерами, превышающими 1023. В этом случае МСЭ заранее не знает о том, какой порт будет использован для обмена голосовыми данными, и, следовательно, будет такой обмен блокировать. Поэтому межсетевой экран должен уметь анализировать SIP-пакеты с целью определения используемых для взаимодействия портов и динамически создавать или изменять свои правила. Аналогичное требование предъявляется и к другим протоколам IP-телефонии. Еще одна проблема связана с тем, что не все МСЭ умеют грамотно обрабатывать не только заголовок протокола IP-телефонии, но и его содержание — ведь зачастую важная информация находится внутри него. Например, сведения об адресах абонентов в протоколе SIP находятся именно в теле данных. Неумение межсетевого экрана «вникать в суть» может привести к невозможности обмена голосовыми данными через межсетевой экран или к «открытию» в нем слишком большой дыры, которой могут воспользоваться злоумышленники.
Современный межсетевой экран — это такое же критичное устройство, как и маршрутизатор. Тем более что через МСЭ зачастую проходит критичный трафик. Следовательно, межсетевой экран должен быть отказоустойчивым и предлагать различные варианты для поддержания высокой доступности и отказоустойчивости защищаемой сети. Например, МСЭ могут быть установлены в паре («основной—резервный»), внутри которой осуществляется автоматическая синхронизация конфигурации устройств и текущего состояния соединений. В случае выхода основного устройства из строя все соединения автоматически и прозрачно для пользователей переключаются на резервный межсетевой экран. Предусмотрена и работа в режиме active/active («основной—основной»), что позволяет контролировать даже сети с асимметричной маршрутизацией. Помимо названного механизма обеспечения отказоустойчивости возможна поддержка и других: EtherChannel, 802.1w, 802.1s, HSRP (Hot Standby Routing Protocol), VRRP (Virtual Router Redundancy Protocol) и т.д.
Межсетевые экраны, будучи критичными элементами сетевой инфраструктуры, должны блокировать любой несанкционированный доступ к своим возможностям и механизмам. Это достигается за счет разных механизмов собственной безопасности. Скажем, ролевое управление позволяет наделить администраторов различными правами по управлению любым из межсетевых экранов, установленных в корпоративной сети: один администратор, например, получает право получать доступ к конфигурации МСЭ только на чтение, другой — настраивать только встроенные функции VPN, третий — только отслеживать сигналы тревоги, генерируемые защитным средством, и т.п.
Весьма немаловажным критерием выбора является управление межсетевым экраном. Корпоративными пользователями могут быть востребованы следующие функции:
- наследование политик — в любой крупной сети существует большое количество межсетевых экранов, и каждый из них имеет свою политику безопасности. Но существуют и общие правила, которые применяются ко всем МСЭ без исключения. Чтобы каждый раз не создавать с самого начала политики безопасности, можно воспользоваться механизмом наследования, знакомым многим читателям по аналогичной концепции в объектно-ориентированном программировании. Теперь вместо того, чтобы создавать правила политики с нуля, мы формируем базовую политику, которая ложится в основу всех остальных политик. Иными словами, при создании новой политики мы учитываем все свойства ее прародительницы и добавляем только новые специфичные правила;
- клонирование политик — при внедрении нескольких однотипных межсетевых экранов нецелесообразно каждый раз заново писать политику безопасности даже с механизмом наследования. Поэтому хороший МСЭ должен уметь клонировать уже готовые политики и применять их ко всем однотипным устройствам;
- взаимодействие ИТ и ИБ — зачастую между отделами информационной безопасности и департаментами информационных технологий возникает конфликт, в результате которого «безопасники» не имеют доступа к устройствам защиты и не могут обеспечивать для них политику безопасности, а «айтишники» не могут создавать эту политику, поскольку вынуждены получать ее от «безопасников». Поэтому, как правило, к одному устройству должны иметь доступ два типа пользователей — сотрудники отдела ИБ, создающие политику, дающие команду на ее внедрение и контролирующие процесс выполнения задания, и сотрудники департамента ИТ, которые получают задание «сверху», анализируют его и по возможности внедряют на «подшефные» им устройства защиты. Чтобы решить этот конфликт интересов, межсетевой экран должен поддерживать встроенную систему документооборота, переход на следующей этап которой возможен только после утверждения предыдущего;
- контроль распространения политик — если МСЭ в момент распределения политик безопасности или новой версии ПО не активен, то должна предоставляться возможность постановки задания на обновление в очередь и возврата к нему, когда межсетевой экран вновь подключится к центру управления;
- анализ эффективности правил политики безопасности — при создании правила политики безопасности заранее неизвестно, как оно будет работать и будет ли работать вообще. Может статься, что оно окажется бесполезным и за весь жизненный цикл так ни разу и не сработает. Чтобы отследить такую ситуацию и не допустить траты ресурсов МСЭ на недействующие правила, можно использовать механизм ACL Hit Count, позволяющий проверить, сколько раз каждое из правил политики безопасности применялось в реальности. Если оно не использовалось ни разу, это правило необходимо удалить из политики безопасности, что сделает ее более короткой и простой в восприятии;
- контроль непротиворечивости — представьте, что администратор, работавший до вас, создал правило, запрещающее работу узла А по ICQ. Вы, придя на новое место, захотели разрешить этому узлу работать по ICQ. Налицо конфликт двух правил, обнаружить который не очень просто, поскольку таких правил в политике несколько десятков или даже сотен. При решении этой задачи не обойтись без механизма контроля непротиворечивости правил МСЭ, который автоматически обнаружит все нестыковки и противоречия и сообщит об этом администратору.
В этой статье мы рассмотрели только часть функций, которые могут понадобиться при выборе корпоративного межсетевого экрана. Очень многое осталось за рамками данного материала. Но, видимо, вы уже поняли, что выбор межсетевого экрана — непростая задача, которая требует очень серьезного предварительного анализа всех бизнес- и технических требований эксплуатации МСЭ. Только в таком случае можно добиться высокой эффективности от этого пусть и не очень современного, но все еще популярного средства защиты.
