Проблемы брандмауэров: риск  цена гибкости

 

Рынок брандмауэров, развивавшийся с целью компенсировать невозможность обеспечения серьезной защиты в чувствительных сетях путем фильтрации пакетов, раскололся надвое: брандмауэры на основе представителей (proxy) и те, которые рассчитаны на оценку соответствия (stateful inspection).

 

Все брандмауэры призваны быть "привратниками", выпуская пользователей защищенной сети в большой и опасный незащищенный мир. Однако эту задачу они выполняют по-разному, каждый  -  со своим уровнем гибкости доступа пользователей к удаленной информации и своим риском взлома защиты хакером.

 

Если компании совершенно необходимо, чтобы у пользователей был доступ к граничным протоколам Internet, то единственно возможное решение  -  применить технологию оценки соответствия. С другой стороны, не стихают дебаты на тему, сможет ли какой-либо хитрый хакер найти способ "подавить" эти брандмауэры путем размаркировки пакетов.

 

Первые брандмауэры были основаны на использовании программных агентов-представителей; большинство предлагаемых сегодня продуктов созданы именно по этой технологии.

 

Системы на базе представителей должны детально распознавать специфические IP-протоколы, такие, как FTP и HTTP. Любые пакеты, проходящие через брандмауэр, анализируются, для того чтобы убедиться, представляют ли они собой именно то, что значится в их описании. Например, пакеты, описанные как пакеты протокола HTTP, но на самом деле включающие данные Telnet, пропущены не будут.

 

Представители обеспечивают высокую степень безопасности, но несколько ограничены в своих возможностях взаимодействия с новыми IP-протоколами, наводнившими Internet.

 

Появление новых служб, таких, как RealAudio, требует от поставщиков брандмауэров встраивать в свои продукты еще один компонент ПО.

 

Некоторые поставщики гораздо активнее других стремятся сохранить современность своих брандмауэров путем добавления агентов для работы с новыми протоколами. Несколько брандмауэров все еще не совместимы со спецификацией SSL (Secure Socket Layer), применяемой для кодированных транзакций, к примеру в WWW. Некоторые IP-протоколы, включая User Datagram Protocol, просто не обрабатываются брандмауэрами на базе программных агентов, так как состоят из последовательностей пакетов, не образующих продолжительных сессий, которые можно отследить.

 

Этот недостаток можно исправить, увеличив число представителей и оставив определенные порты открытыми для любых пакетов. Но это делает бессмысленным само существование брандмауэра.

 

Регистрируя весь IP-трафик, проходящий через брандмауэр, ПО, использующее технологию оценки соответствия, избавляется от необходимости детально распознавать различные IP-протоколы, а лишь убеждается в том, что пакеты, приходящие снаружи, были прежде запрошены изнутри.

 

Такой подход представляет собой в общих чертах обновленное средство фильтрации пакетов, объединенное с "историческим контекстом".

 

Брандмауэры, отслеживающие состояние, количество которых стало возрастать в последнее время, обеспечивают хороший уровень безопасности и бо’льшую степень гибкости в поддержке новых протоколов, чем представители. Чтобы создать описание нового протокола, достаточно нажать несколько кнопок и задать число портов и типы IP-данных.

 

Майкл Суркан

 

Со старшим аналитиком Майклом Сурканом можно связаться по адресу: michael_surkan@zd.com.

 

КАК РАЗВИВАЛИСЬ БРАНДМАУЭРНЫЕ ТЕХНОЛОГИИ

 

Фильтрация пакетов

 

- Анализируется отдельно каждый пакет, контекст не рассматривается

 

- Работает на сетевом уровне; используется большинством маршрутизаторов

 

- Требует оставлять несколько портов открытыми для заранее определенных служб

 

- Не может работать в защищенном режиме с протоколами, не контролирующими наличие логического соединения, такими, как UDP

 

Брандмауэры на базе представителей

 

- Распознают с высокой точностью IP-протоколы, делая возможным анализ на уровне приложения; высокая степень безопасности

 

- Недостаточно гибки. Требуют нового ПО для новых протоколов Internet

 

- Не способны работать в защищенном режиме с протоколами, не контролирующими наличие логического соединения

 

Брандмауэры, производящие оценку состояния

 

- Анализируют пакеты, основываясь на контексте предыдущих передач, хранимых в базе данных; создают запись состояния

 

- Допускают работу с протоколами, не контролирующими наличие логического соединения с некоторой степенью защиты

 

- Дают наибольшую гибкость для работы с растущим числом протоколов Internet