Брандмауэр Phoenix защищает небольшие сети от нескромных взглядов

EWEEK LABS//ОБЗОР    

Роджер Хартджи

Аппаратный брандмауэр Phoenix фирмы Progressive Systems ярко выделяется даже на явно переполненном предложениями рынке подобных систем. Основанный на технологии Adaptive Firewall, он отлично справляется со своей главной задачей - сделать сеть невидимой для внешнего мира. Правда, новому продукту не хватает поддержки стандарта IP Security, столь необходимого для виртуальных частных сетей, поэтому возможности его применения несколько ограничены. Устройство способно заинтересовать лишь те компании, которым в таких системах требуются только брандмауэрные функции и ничего больше.

Phoenix Adaptive Firewall Appliance имеет толщину около 4,5 см и предназначен для установки в стойках. В той конфигурации, которая тестировалась в eWeek Labs, брандмауэр стоит 4495 долл. Как показало тестирование, он очень прост в настройке и остается совершенно невидимым даже для изощренных средств обнаружения сетей.

Конечно, сегодня многие компании ищут в брандмауэрах более широкий набор функций, но Phoenix Adaptive Firewall Appliance вполне подойдет для малого и среднего бизнеса. Если в вашем штате нет собственных экспертов безопасности и вы хотите только защититься от “дикого” Интернета, этот брандмауэр станет для вас хорошим приобретением.

Программные средства организации виртуальных частных сетей, прилагаемые к устройству, лицензированы у фирмы

V-One (она использует их в своем брандмауэре SmartGate) и несовместимы с протоколом IPSec. Это несколько снижает сферу применения Phoenix, делая его пригодным только для построения однородных систем. Тем, кто хочет, чтобы брандмауэр защищал заодно и ВЧС, мы советуем обратить внимание на SonicWall Pro фирмы SonicWall (цена 2600 долл.) или WatchGuard FireBox II фирмы WatchGuard Technologies (цена 4990 долл.) - оба этих продукта поддерживают IPSec.

Надежное “железо”

Выпуск Phoenix Adaptive Firewall Appliance начался в середине апреля. В основу продукта положено разработанное фирмой Cobalt Networks устройство третьего поколения RaQ 3, характеризующееся высочайшим уровнем надежности. Модернизированная аппаратная платформа Phoenix теперь оснащена 350 МГц процессором Х86 (в прежних моделях использовался процессор MIPS фирмы MIPS Technologies), ОЗУ емкостью 64 Мб и тремя сетевыми адаптерами. Добавленный в систему третий адаптер дает компаниям возможность отделить защищенную внутреннюю сеть от сети так называемой демилитаризованной зоны DMZ, где можно разместить компоненты, связанные с внешним миром (например, почтовые серверы или Web-узлы).

Progressive System форматирует жесткий диск платформы, после чего устанавливает на нем собственные приложения и усиленную (безопасную) версию операционной системы Linux. Для скоростей на уровне канала Т-3 подобная аппаратная конфигурация может показаться чрезмерно облегченной, однако она очень близка к конфигурации старшей модели брандмауэра 520 Pix фирмы Cisco, оснащенного 350 МГц процессором Pentium II и 128 Мб ОЗУ.

Базовая настройка Phoenix предельно проста. Правда, когда мы обратились к прилагаемой маркетинговой брошюре, оказалось, что доступ к системе SMS (Secure Management System - система безопасного управления) на базе Java, которую предлагает Progressive, возможен только с помощью Web-браузера, поэтому нам пришлось прибегнуть к услугам Na-vigator корпорации Netscape Communications.

Чтобы обеспечить безопасное управление, Phoenix использует в каждом сеансе 90-битную аутентификацию и 56-битное шифрование по стандарту DES (Data Encryption Standard - стандарт шифрования данных). С помощью SMS мы могли также указать IP-адреса, с которых разрешается администрирование брандмауэра.

После того как доступ к машине был налажен, мы выбрали один из шаблонов для исходящего трафика и меньше чем за час завершили всю настройку. Впрочем, если нужно провести более сложное конфигурирование, одной лишь документации Progressive будет явно недостаточно. Скажем, открыть исходящий порт Instant Messenger фирмы America Online не составляет никакого труда, но чтобы разрешить несколько внешних Telnet-подключений, вам придется обращаться в службу технической поддержки.

Воспользовавшись стандартными утилитами наподобие ping и tracert, мы получили именно тот результат, который и должен был дать брандмауэр: тестовая сеть из 30 разных клиентских ПК оставалась невидимой извне.

После этого мы установили снаружи брандмауэра компьютер с ОС Linux, на котором был развернут инструментарий сканирования портов и отображения сетей Nmap фирмы Insecure.org, и попытались проверить диапазон IP-адресов. Но и этот типично хакерский прием ничего не дал.

Тогда была сделана попытка просканировать IP-адреса, которые заведомо использовались в тестовой сети, но и она не выявила ни малейших признаков брандмауэра. Следует особо отметить, что проведение всех этих экспериментов нисколько не повлияло на почтовый трафик, связь с Web-узлами и пересылку данных клиентам.

Но какой бы надежной ни была защита, администратору все же нужно знать о попытках ее взлома. Вот тут-то Phoenix и дает слабину. Progressive Technologies не предусмотрела в своем продукте никаких механизмов уведомления о подобных событиях.

Хакеры часто используют еще один трюк, помогающий им заметать следы, - они перегружают систему. Такие атаки могут превратиться для Phoenix в серьезную проблему. Когда мы выбрали самый экономичный вариант мониторинга и решили контролировать только начало и конец сеансов, журнальный файл после полудюжины сканирований портов невероятно разросся и его размер быстро превысил 10 Мб.

Роджер Хартджи - менеджер отдела информационных технологий фирмы Lava-Storm на западном побережье США. Связаться с ним можно по адресу: roger_hartje@hotmail.com.   

Резюме ДЛЯ РУКОВОДИТЕЛЕЙ

Брандмауэр Phoenix Adaptive Firewall Appliance, выпущенный фирмой Progressive Systems, очень прост в настройке и вполне подходит для малого и среднего бизнеса. Однако он не удовлетворит те компании, которым нужно обеспечить взаимодействие в разнородных сетях или наладить мониторинг, - им следует обратить внимание на подобные продукты более высокого уровня.

КРАТКОСРОЧНЫЙ ПРОГНОЗ. Брандмауэр Phoenix значительно упрощает настройку защиты внутренней сети. Даже компания, не имеющая в своем штате экспертов безопасности, способна добиться хороших результатов всего лишь за час-два.

ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Арсенал хакерских приемов пополняется каждый день, поэтому администраторам нужно внимательно следить за всеми обновлениями и дополнениями, которые будут выпускаться для аппаратного брандмауэра Phoenix.

+ Простота настройки; хорошая защита внутренней сети компании.

- Программные средства создания ВЧС несовместимы со стандартом IPSec; отсутствует механизм уведомления об атаках; недостаточно полная документация.

Phoenix Adaptive Firewall Appliance

Фирма Progressive Systems, Колумбус, шт. Огайо, (800) 558-7827, www.progressive-systems.com.

Методика оценки: www.pcweek.com/reviews/meth.html.