БЕЗОПАСНОСТЬ
Новый недорогой брандмауэр корпорации On Technology защищает сети, работающие как по протоколам IP, так и IPX
Подобно Королевской Гвардии, охраняющей Букингемский Дворец, брандмауэр On Guard 1.0 корпорации On Technology неусыпно стоит на страже корпоративных сетей, защищая их круглосуточно.
Система защиты On Guard, поставки которой начались в июне, вполне выдерживает сравнение с конкурирующими продуктами. Она стала одной из первых систем, в которых администрирование брандмауэра осуществляется программой, работающей под управлением ОС Windows. Однако продукт недотягивает до лучших брандмауэров из разрастающегося семейства таких систем, работающих на ПК с процессорами корпорации Intel.
Например, он обеспечивает тот уровень защиты, что и Firewall-1 фирмы CheckPoint Software Technologies, однако не поддерживает VPN (Virtual Private Network) и аутентификацию пользователей по Internet. Эти функции планируется реализовать в следующей версии.
И все-таки у менеджеров информационных систем есть три веские причины для того, чтобы серьезно относиться к On Guard: во первых, это первая система защиты, поддерживающая как IP-протокол, так и протокол IPX. Таким образом, On Guard - единственное доступное на сегодня решение для тех компаний, которые хотят установить у себя брандмауэры для защиты одного подразделения от другого во внутрикорпоративных сетях intranet.
Во-вторых, это одна из первых систем, работающих под управлением ОС Windows. Это означает, что системой можно управлять с любого ПК, на котором она установлена. Таким образом, не требуются как дорогая аппаратура, на которой функционирует ОС Unix, так и знание этой системы.
On Guard: параметры IPX-защиты можно задать с помощью программы,
работающей под управлением Microsoft Windows
В-третьих, On Guard по цене конкурентоспособна в отношении других подобных систем и стоит значительно меньше большинства систем для ОС Unix.
Полная система On Guard, включающая в себя 66 МГц ПК 486 Vectra VE компании Hewlett-Packard с 4 Мб ОЗУ и лицензию на 100 IP-адресов, стоит $6490. Система с лицензией на 255 IP-адресов стоит $11 490, а система с неограниченным количеством IP-адресов и аппаратным обеспечением продается за $16 490.
Модуль трансляции IP-адресов, который позволяет внутренним сетям поддерживать адресные схемы, отличные от тех, которые используются в Internet, поставляется вместе с системой бесплатно.
Тестовый центр PC Week Labs протестировал полную систему HP Vectra. Подключение к нашей сети состояло в присоединении кабеля 10BaseT от нашего смоделированного Internet-концентратора к разъему Ethernet на ПК Vectra, обозначенному как Internet. Второй разъем Ethernet, обозначенный secured network, был подсоединен к нашей сети.
On Guard обеспечивает истинный принцип управления "без применения рук" в такой степени, что клавиатура кажется излишней, поскольку она необходима только для загрузки системы. Более того, монитор, вероятно, можно вообще выключить, поскольку на него не выводится буквально никакой информации, кроме слова READY ("ГОТОВ"). Мы предпочли бы иметь возможность видеть информацию о состоянии системы на Vectra вместо удаленного ПК.
Когда мы в первый раз запустили 16-разрядную управляющую программу On Guard Manager, она автоматически распознала специальные сообщения, посланные брандмауэром On Guard, и предложила выбрать IP-адрес и пароль для устройства. Для защиты от любопытных глаз On Guard Manager использует шифрование по протоколу Message Digest Protocol 5, который не дает возможности извлечь пароли из информации, посылаемой брандмауэром, в случае перехвата сетевых пакетов.
Мастер Express Setup Wizard помог нам за несколько простых шагов определить диапазон защищаемых IP-адресов и сделать нашу рабочую станцию HP Series 700, на которой установлена ОС Unix, FTP-сервером для Internet. Безусловно, система On Guard воспрепятствовала нам в доступе из Internet к любой из функций Telnet или FTP на других рабочих станциях с Unix.
Разделяя стихийный дрейф в сторону применения схем proxy-фильтров и шлюзов приложений, применяемых во многих брандмауэрах, On Guard использует гибридную пакетную архитектуру фильтрации, названную SMLI (Stateful Multi-Layer Inspection).
Отслеживая сетевые соединения и номера портов, On Guard может выполнять виртуальные сетевые сессии даже с такими относительно небезопасными IP-протоколами, как UDP (User Datagram Protocol), закрывая порт, когда он не нужен. Такой алгоритм выходит за пределы обычно применяемой в маршрутизаторах схемы фильтрации пакетов: "все или ничего", при которой пакетам либо позволяется проходить через данный порт, либо нет.
Архитектура SMLI дает On Guard гибкость в приспособлении системы к специальным требованиям, которой лишены многие брандмауэры.
Поскольку нет необходимости в переписывании пакетов, что необходимо при использовании proxy-брандмауэров, On Guard может обеспечить высокую производительность на устаревших ПК. Использованный нами компьютер на процессоре 486 66 МГц, был способен обрабатывать тестовые файлы со скоростью более 4 Мбит/с, что заметно превосходит требования Internet-соединений T-1, скорость которых 1,544 Мбит/с.
On Guard выдержал попытки программы проверки безопасности Internet Scanner Version 3.3 фирмы Internet Security Systems взломать его защиту. Без брандмауэра On Guard было выявлено 12 уязвимых мест в нашей сети. После включения защиты все слабые точки в Internet исчезли.
Фирма On Technology использовала преимущества своей технологии низкоуровневой фильтрации для реализации первого брандмауэра для протокола IPX. В отличие от маршрутизаторов, которые можно запрограммировать так, чтобы они просто блокировали рассылку сообщений IPX или SAP ( Service Advertisment Protocol протокол обслуживания сообщений) по данной сети, On Guard дает администраторам возможность определять, к каким функциям NetWare будет разрешен доступ удаленным пользователям.
Создав Security Classes для IPX, мы смогли ограничить возможности пользователей удаленной ЛВС, разрешив им только печатать на нашем сервере NetWare 4.1. Система On Guard автоматически обнаружила серверы NetWare в нашей ЛВС.
Хотя в таком виде система поддержания секретности для протокола IPX уместна только для внутренних корпоративных мультипротокольных сетей intranet, она желательна в случае больших сетей, для которых актуальна защита от попыток неавторизованных пользователей расшифровать пароли для доступа к файл-серверам NetWare.
Майкл Суркан
Со старшим аналитиком Майклом Сурканом можно связаться по адресу: michael_surkan@zd.com.
Методика тестирования
Два 12-портовых концентратора 10BaseT AdvanceStack компании Hewlett-Packard были использованы для моделирования внутрикорпоративной ЛВС и Internet. Система защиты On Guard действовала как мост. При этом один кабель был проложен между концентраторами, а другой подключен к плате Ethernet на системе защиты.
Наша сеть состояла из рабочих Unix-станций HP 700 и сервера Windows NT 3.51 Server со службами NFS и FTP. Два 90 МГц Pentium-ПК Micron были использованы в ЛВС как серверы NetWare 4.1 и Windows NT 3.51 Server.
Третий ПК Micron, работающий под управлением Windows NT 3.51, использовался в нашей сети Internet для доступа к серверам HP 700 и NetWare. Компьютер SPARC 10 фирмы Sun Microsystems использовался в нашей "Internet" для запуска приложений проверки безопасности, для чего мы использовали пакет Internet Scanner фирмы Security Systems.
SCOREBOARD
ON GUARD 1.0
Корпорация On Technology
+---------------------------------------------------+
|Анализируемые функции |
+----------------------------------------+----------+
|Возможности фильтрации | А |
+----------------------------------------+----------+
|Поддержка протоколов | B |
+----------------------------------------+----------+
|Производительность | A |
+----------------------------------------+----------+
|Легкость использования/инсталляции |
+----------------------------------------+----------+
|Интерфейс пользователя | B |
+----------------------------------------+----------+
|Онлайновая помощь | B |
+----------------------------------------+----------+
|Документация | B |
+----------------------------------------+----------+
|Инсталляция | A |
+----------------------------------------+----------+
|Средства создания отчетов |
+----------------------------------------+----------+
|Протоколирование трафика | C |
+----------------------------------------+----------+
|Сообщения тревоги | C |
+----------------------------------------+----------+
|Безопасность |
+----------------------------------------+----------+
|Поддержка аутентификации | F |
+----------------------------------------+----------+
|Шифрование | NA |
+----------------------------------------+----------+
NA - не реализовано
СИЛА И СЛАБОСТЬ
On Guard 1.0
Корпорация On Technology
Кеймбридж, шт. Массачусетс,
(800) 767-6683
http://www.on.com
+ Система брандмауэра с полными возможностями, использование которой не требует степени доктора философии в области Unix; поддерживает как фильтрацию IPX, так и IP. Может управляться с любого Windows-ПК на базе процессоров Intel, подключенного к ЛВС. Конкурентоспособные цены.
- В системе отсутствует поддержка Virtual Private Network. (Компания планирует добавить поддержку VPN в следующей версии.) Отсутствует также аутентификация пользователей, пытающихся войти в сеть из Internet, нет настраиваемого перехвата ошибок; сообщения об особых ситуациях имеют слишком общий характер.
РЕЗЮМЕ
On Guard является прекрасным приобретением для малых и средних отделов ИС с посредственными знаниями Unix и сетевых пакетов. Эта система предлагает единственное доступное решение для больших корпоративных узлов, которые нуждаются в построении систем защиты между сетями intranet. Так как эта версия имеет номер 1.0, она отстает от других систем в части наиболее продвинутых возможностей, таких, как поддержка VPN и аутентификация пользователей.
