Обзор аппаратных хостовых файерволов
Сетевые карты-брандмауэры защищают серверы и настольные ПК, обеспечивая превосходную устойчивость к внешним воздействиям, которую не могут гарантировать программные брандмауэры.
В наше время рынок персональных файерволов (межсетевых экранов) достаточно велик. В основном в этом перечне представлены программные решения, например Symantec Client Security, Agnitum Outpost Firewall, AtGuard, встроенный в Windows ХР-файервол и многие другие. Все эти файерволы имеют один недостаток: они управляются конечным пользователем, что в случае корпоративного применения становится больше недостатком, чем достоинством. Это означает, что в любой момент правила могут быть изменены (естественно, если у пользователя компьютера есть право на их изменение). Другим недостатком является невозможность централизованного управления клиентами.
В последнее время на рынке появились так называемые "сетевые карты-брандмауэры", представляющие собой распределенные аппаратные брандмауэры для серверов и настольных ПК. Данные устройства расширяют устойчивые к внешним воздействиям возможности фильтрации и контроля на всю корпоративную сеть, включая системы, расположенные как внутри, так и снаружи сетевого периметра. Рассмотрим их подробнее на примере продукции компании 3COM.
Внешний вид сетевой карты
Каждая карта-брандмауэр оборудована встроенной А51СТ2-микросхемой, гарантирующей незаметную для конечного пользователя защиту локальных приложений, операционных систем и практически их неуязвимость для атак хакеров, некорректныхдействий конечного пользователя или злонамеренных программ.
Каждая карта-брандмауэр, что не менее важно, может настраиваться и управляться только через аутентифицированный 3Com Embedded Firewall Policy Server. Даже если произошло проникновение в защищаемый компьютер, карта-брандмауэр сможет запретить использование пораженного компьютера в качестве стартовой площадки для дальнейшего распространения угрозы в сети.
Карта 3Com Firewall PCI Card вставляется в стандартный разъем PCI, заменяя обычные сетевые карты 10/100 Мбит/с. В среде Windows 2003, 2000, XP, 98, МЕ или NT задачи TCP-соединения и защиты перекладываются на встроенный процессор карты-брандмауэра, что обеспечивает повышение общей производительности системы. Возможна также установка 3Com Firewall PCI Card и под Linux (поддерживается ядро 2.4, протестирована на Redhat 7.3 - 9.0 и AS 3.0).
Перечислим возможности, которыми обладает эта карта:
- обеспечивает устойчивость к воздействию злонамеренных программ или враждебно настроенных пользователей, неавторизованному доступу или попыткам блокировки; карта-брандмауэр воспринимает команды только от аутентифицированного сервера политик;
- упрощает установку уровня защиты для группы или функции и позволяет оперативно реагировать на обнаруженные сетевые атаки;
- воспринимает централизованно установленные настройки и политики безопасности, а также команды управления от аутентифицированных серверов политик независимо от маршрутизаторов или потоков трафика;
- обеспечивает независимое от своего хоста усиление уровня безопасности, круглосуточную защиту от вторжений и устойчивость, что укрепляет уверенность администраторов в надежности сети;
- защищает открытые подключения к интернету, например, конечные точки VPN и шлюзы широкополосного доступа, размещенные как до, так и после брандмауэра защиты периметра;
- обеспечивает несколько уровней защиты пользователей, где бы они ни работали - от наименее строгого для соединений во внутренней локальной сети до наиболее строгого в случае совместно используемых систем и систем, подключенных к интернету;
- позволяет усилить защиту вэб-серверов, серверов электронной коммерции, подсетей DMZ и клиентских баз да иных от атак из интернета и неавторизованного доступа;
- автоматически ограничивает коммуникации с системами за пределами сетевого периметра; обеспечивает игнорирование ненужных протоколов, блокирование ненужных портов, отклонение ping-запросов и отключение сниффинга пакетов и IР-спуфинга;
- обеспечивает круглосуточную защиту - в случае, если карты-брандмауэры не имеют связи с сервером политик, они по умолчанию настроятся на максимальный уровень защиты;
- дополняет другие, совместимые со спецификацией 802.3, решения защиты, включая коммутаторы с функциями обеспечения безопасности, брандмауэры/VPN, антивирусные сканеры и системы обнаружения вторжений (IDS);
- позволяет снизить расходы на IT-администрирование благодаря круглосуточной защите, которая исключает ложные тревоги, генерируемые постоянно действующей системой обнаружения вторжений.
В ходе эксперимента были установлены карты на компьютеры под управлением Windows 2000 Workstation, а также установлен сервер управления, проведена настройка карт и опробована атака на компьютеры с аппаратным файерволом с помощью сканера безопасности XSpider 7 Demo (использовалась бесплатная версия известного сканера от Positive Technologies). Установка сетевой картыУстановка сетевой карты-брандмауэра ничем не отличается от установки обычной сетевой карты. После того как карта вставлена в разъем PCI, производится установка ее драйверов, которые находятся на прилагаемом CD-ROM с программным обеспечением.
Установка драйвера карты
Затем начинается вторая, не менее ответственная часть работы, - установка и настройка программного обеспечения для удаленного управления аппаратным файерволом. Установка 3COM Embedded Firewall Policy ServerНа одном из компьютеров сети (как правило, это компьютер администратора безопасности сети) устанавливается 3COM Embedded Firewall Policy Server. Для этого необходимо предварительно установить Windows 2000 Server или Windows Server 2003.
Выбор необходимых компонентов установки
После выбора необходимых компонентов установки осуществляется создание нового Embedded Firewall domain или добавление клиента в существующий.
Выбор необходимого домена
Выбор портов
Теперь производится выбор необходимого порта. В нашем случае выбирались значения по умолчанию.
Затем задается имя домена, имя и пароль администратора, и мы переходим к собственно настройке.
Из меню программ запускаем 3Com Embedded Firewall Management Console. Окно логина:
Вход в систему
В ходе настройки указывается список открытых портов, IP-адресов для шифрованного (нешифрованного) обмена.
После запуска консоли управления необходимо активировать Policy Server. Находясь в Management Console, нужно выбрать пункт меню Tools, а в нем - опцию License Manager, после чего ввести необходимые лицензии.
Стоит отметить, что существует два типа лицензий Policy Server: обычная, которая поддерживает до 8333 устройств, и стартовая, которая поддерживает 10 устройств. Сетевые карты всех типов Embedded Firewall Solution уже содержат в себе прединсталлированные лицензии.
Следующим шагом станет создание или экспорт политик безопасности.
3Com Embedded Firewall Management Console
Политики безопасности могут быть созданы самостоятельно на основе набора правил 2-4 уровней модели OSI. В нашем примере мы воспользуемся экспортом правил из набора Роlicy Sever, которые хранятся в файле predefined-policies-rulesets.xml.
Выбор настройки
Инсталлированные политики появляются в меню политик консоли управления.
Политики консоли управления
После создания политик необходимо подключить к Policy Server устройства (сетевые карты), которыми он будет управлять. Этот процесс происходит в два этапа. Сначала создается инсталляционный пакет, который затем копируется и инсталлируется на компьютеры с установленными EFW-сетевыми картами. Затем все успешно инсталлированные устройства подключаются в консоль для дальнейшего назначения политик.
Создание инсталляционного пакета производится посредством пункта меню Tools — Create NIC Installation.
Далее этот пакет копируется на все ПК с установленными EFW-сетевыми картами и запускается файл setup.exe из пакета инсталляции. После успешной инсталляции ПК готов к подключению к Policy Server.
Выбор пакета инсталляции
После успешной установки сетевые карты автоматически регистрируются на Policy Server. Когда ПК с установленной EFW-картой завершает свою последнюю перезагрузку, карта появляется в разделе устройств консоли управления.
Созданные ранее политики применяются выборочно или полностью к списку устройств, которые находятся под контролем консоли управления.
После настройки нами была осуществлена попытка сканирования с помощью сканера безопасности XSpider. Как и следовало ожидать, попытка была безуспешной.
Областью применения этих аппаратных решений, на наш взгляд, может быть компьютерная сеть с повышенными требованиями к безопасности и защите от несанкционированного доступа (НСД). Основным достоинством такого решения может служить то, что администратор сети имеет возможность централизованного управления политиками и аудита большого количества устройств, а пользователь при этом не может нарушить политику безопасности.
Также стоит отметить, что это решение позволяет организовывать высокопроизводительные VPN-соединения при достаточно низкой стоимости порта.
Вместе с тем надо учитывать, что взлом аппаратных систем осуществить значительно сложнее, чем взлом аналогичных программных продуктов.
Автор: Владимир Безмалый
Источник: www.seti.com.ua
|