Ускоренный ритм жизни современного общества требует постоянного поступления новейшей и достоверной информации. Чтобы эффективно и оперативно предоставлять и обрабатывать информацию, создаются компьютерные сети, открывающие доступ к неограниченным источникам информации через Интернет и электронную почту.
Однако и в этом есть обратная сторона. В данном случае это информационная безопасность (или небезопасность) бизнеса. Эта проблема существует не так давно, но уже сейчас по своей значимости она превосходит "физическую" безопасность предпринимательства. Ведь сейчас достаточно проникнуть в локальную сеть компании и получить все, что пожелаешь. Статистика свидетельствует - процент раскрываемости преступлений в сфере высоких технологий гораздо ниже, чем традиционных уголовных.
Вот тут и начинается самое интересное. Рынок предоставления услуг и средств защиты информации достаточно велик и насыщен: электронные замки, антивирусные программы, межсетевые экраны, средства шифрования. Одним словом, есть из чего выбрать. Проблема только в том, как сформировать систему информационной безопасности с минимальными затратами и удовлетворительным уровнем надежности.
Информационная безопасность - это в первую очередь не набор средств защиты, а политика предприятия по охране своих информационных ресурсов. То есть увязывание и согласование всех средств защиты информации, чтобы они использовались максимально эффективно. Без выполнения этого требования они так и останутся мертвым "железом".
Первым барьером на пути взломщика в локальную сеть фирмы становится межсетевой экран. Современный межсетевой экран - это целый интегрированный комплекс защитных средств. Составляющие межсетевого экрана.
Пакетный фильтр
Современный межсетевой экран должен поддерживать как пакетную, так и контекстную фильтрацию. Это называется гибридная технология фильтрации IP-трафика. Наиболее приемлема пакетная фильтрация с запоминанием исходного состояния (Stateful Dynamic Packet Filtering). При таком типе фильтрации можно использовать самые прогрессивные, мультимедийные протоколы, в которых отсутствует фиксированное назначение порта.
Кроме пакетной фильтрации, межсетевой экран должен выполнять и контекстную проверку пакетов. Вредоносные коды сегодня распространяются молниеносно, и к моменту выхода релизов компаний-производителей антивирусов многие информационные ресурсы уже оказываются заражены. Проблему заражения вирусами можно решить при помощи межсетевого экрана путем простого блокирования прохождения исполнимого кода (exe, VBC и т. п.) по протоколу SMTP. Для такого блокирования необходимо, чтобы межсетевой экран мог "отфильтровать" потенциально опасный почтовый трафик, хотя бы по типу содержимого (MIME-тип) пакета. Ряд производителей межсетевых экранов игнорируют эту проблему и пытаются переложить решение задачи на создателей антивирусного программного обеспечения. Хотя опыт показал, что на практике такой подход недееспособен.
Современный аппаратный экран должен поддерживать трансляцию сетевых адресов (NAT) с возможностью как статической, так и динамической трансляции адресов. Особый интерес представляет статическая трансляция адресов, или перенаправление портов (Port Forwarding). Этот вид трансляции существенно повышает уровень защищенности публичных ресурсов. Взламывая защищенный таким образом информационный ресурс, хакер фактически имеет дело с межсетевым экраном, а не с сервером приложений (SMTP, FTP или Web). Если межсетевой экран имеет функцию блокирования опций IP-пакета, такие попытки заранее обречены на неудачу.
Виртуальные частные сети.
Вторая составляющая современного межсетевого экрана - средства построения виртуальных частных сетей (VPN). VPN стали мировым стандартом для защищенного объединения территориально разделенных ЛВС в единую информационную сеть. Из разнообразных стандартов и алгоритмов шифрования информации в VPN более всего распространен стандарт IPSec. Он гарантирует гибкие и надежные средства построения VPN, а благодаря поддержке протоколов PKI и IKE избавляет администратора от лишней работы по поддержанию виртуальных частных каналов, связанной с генерацией и распространением ключевой информации.
Существует целый ряд специализированных устройств для создания VPN. Однако, на практике, часто возникают проблемы совместимости с ними.
Современный межсетевой экран должен корректно поддерживать следующие стандарты и протоколы: IPSec, PKI, IKE. Кроме того, желательно, чтобы он поддерживал возможности как "стволовых" VPN (между локальными сетями), так и клиентских (между локальной сетью и удаленным пользователем).
Графическая система настройки, управления и мониторинга.
Еще одна беда - острая нехватка квалифицированных специалистов в области защиты информации. Бороться с ней можно при помощи совершенно "прозрачной" и логичной системы настройки, управления и мониторинга межсетевого экрана. У современного межсетевого экрана должен быть интуитивно понятный графический интерфейс пользователя (GUI), снижающий вероятность неумышленной ошибки администратора при настройке. В идеале экран должен иметь систему защиты от ошибок при настройке, то есть предупреждать администратора о противоречии правил фильтрации.
Как и любое коммуникационное оборудование, межсетевой экран должен иметь системы мониторинга в режиме реального времени. Только выполнение этого правила позволит своевременно реагировать на попытки взлома и другие нетипичные сетевые события. Средства мониторинга могут быть графическими или текстовыми. Графические более предпочтительны, поскольку они отражают состояние межсетевого экрана в произвольные промежутки времени, а текстовые дают лишь "мгновенный" снимок.
Система обновления ПО
Представление об информационной безопасности Интернета постоянно меняется. То, что сегодня считается безопасным и допустимым, завтра может оказаться весьма опасным. Современный межсетевой экран должен иметь встроенную систему обновления ПО в режиме online. Это предполагает доставку на рабочее место администратора по безопасности информации новых версий или патчей ПО межсетевого экрана, а также рекомендаций по его настройке, что позволяет более эффективно противостоять вновь возникшим угрозам. Использование такой технологии позволит свести к минимуму временные промежутки между выпуском новых версий и их установкой у пользователей.
Сервисные программы и утилиты.
Еще один неотъемлемый атрибут современного межсетевого экрана - сервисные программы и утилиты. Это средства анализа накопленной межсетевым экраном статистической информации, подготовки и генерации графических отчетов о его работе, а также средства управления доступом к информационным ресурсам Интернета.
Средства анализа журнала (log-файла) межсетевого экрана должны выполнять произвольную выборку данных по любому значащему полю плоской таблицы этого файла. Поскольку анализ работы межсетевого экрана - необходимая операция для поддержания достаточного уровня безопасности, средства анализа должны содержаться в комплекте поставки.
Средства управления доступом пользователей к информационным ресурсам Интернета в зависимости от наполнения способны существенно поднять производительность работы сотрудников, не позволяя им отвлекаться на информацию, в которой нет производственной необходимости. Казалось бы, каким образом это влияет на информационную безопасность предприятия в целом? Как правило, все "веселые" сайты буквально нашпигованы "троянцами", скриптовыми вирусами и иным вредоносным кодом.
Современные межсетевые экраны поддерживают и еще ряд возможностей: например, управление полосой пропускания канала доступа в Интернет, поддержка динамической перенастройки списков доступа маршрутизаторов и т. п.
Watch Guard Fire Box System.
Один из примеров корректной реализации концепции современного межсетевого экрана - программно-аппаратный комплекс Watch Guard Fire Box System.
Watch Guard Fire Box System подходит для сетей любого масштаба, поскольку к нему не применяется понятие лицензирования. Для фильтрации используется гибридный метод, включающий в себя как пакетную фильтрацию (Stateful Dynamic Packet Filtering), так и контекстный анализ на уровне фильтров - посредников приложений (Transparent Proxy). Скорость обработки пакетов составляет от 130 до 180 Мбит/с. Комплекс оснащен системой автоматического блокирования нападающих хостов на срок от одной минуты до месяца, системой защиты от сканирования, блокирования манипуляций с IP-пакетом, а также обнаружения атак типа ip-spoofing и mac-spoofing.
Управление межсетевым экраном происходит при помощи единого центра управления по зашифрованному каналу, что обеспечивает высокий уровень устойчивости. Любую программную составляющую или утилиту можно вызвать непосредственно из центра управления. Первоначальное конфигурирование и дальнейшая точная настройка межсетевого экрана выполняются при помощи интуитивно понятной системы мастеров и графических утилит со встроенной системой защиты от ошибок. Среднее время настройки комплекса не превышает 5 мин. Объем защищаемой комплексом сети не ограничен, включая логически разделенные сегменты.
Watch Guard Fire Box System стандартно имеет системы мониторинга и предупреждения о нападении в режиме реального времени. Встроенные средства мониторинга (рис. 1 и 2) позволяют отображать как технические параметры межсетевого экрана (загрузка портов, процессора, объем трафика и т. п.), так и логические (количество, направление и прочие данные об установленных через межсетевой экран соединениях). Система предупреждения о нападении способна оповещать администратора о попытках нарушения установленной политики безопасности при помощи e-mail, пейджера или любого другого SMS-совместимого устройства, всплывающего окна Windows или запуска любой установленной программы. Это позволит администратору максимально быстро получить информацию о нападении и принять адекватные меры.
Рис. 1. Всесторонний мониторинг межсетевого экрана в режиме реального времени.
Рис. 2. Наглядное отображение всех сетевых событий.
Обладая встроенными средствами обработки отчетной информации, подготовки и генерации графических отчетов о работе межсетевого экрана, Watch Guard Fire Box System позволяет без привлечения других обработчиков log-файла представлять графические отчеты по заранее заданным шаблонам.
Для онлайнового обновления ПО используется фирменная технология Watch Guard Live Secure. Она позволяет администратору в режиме реального времени получать обновления ПО межсетевого экрана, рекомендации по настройке для противодействия новым видам атак, обучающие статьи, предупреждения о новых вирусах.
Таким образом, в Watch Guard Fire Box System имеются все основные составляющие современного межсетевого экрана. И качество этого решения подтверждается практикой: по всему миру за четыре года было установлено свыше 20 тыс. таких межсетевых экранов.