Безопасность в Интернет

В этом выпуске -- материал о самом распространенном из аппаратно-программных брандмауэров -- Cisco PIX Firewall

Межсетевой экран PIX Firewall

Брандмауэры (межсетевые экраны) семейства Cisco PIX (Private Internet Exchange) —- это лёгкие в установке, интегрированные аппаратно/программные устройства, обеспечивающие мощную защиту и высочайшую производительность. С их помощью вы сможете надёжным "щитом" отгородить свою внутреннюю сеть от внешнего мира.

Высокопроизводительный брандмауэр Cisco PIX Firewall надёжно отгораживает внутреннюю сеть компании от внешнего мира. В отличие от традиционных серверов-посредников (proxy), которые выполняют обработку каждого сетевого пакета по отдельности, существенно загружая при этом центральный процессор, брандмауэр Cisco PIX Firewall использует надёжную встроенную систему защиты, работающую в режиме реального времени. Благодаря этому, по своей производительности (более 256 тыс. одновременных соединений, более 6500 подключений в секунду, пропускная способность примерно 170 Мбит/с) Cisco PIX значительно превосходит другие аппаратные брандмауэры на базе UNIX или операционных систем общего назначения.

Брандмауэры традиционно использовались для обеспечения защиты по сетевому периметру. В основе такой защиты лежали параметрический контроль (stateful control) всех подключений между сетевыми сегментами, соединёнными друг с другом.

Сегодня заказчикам всё чаще требуется брандмауэр, который помимо контроля доступа позволяет использовать сервисы виртуальных частных сетей (VPN — virtual private network). Для виртуальных сетей, организованных и работающих на IP-уровне, рабочая группа IETF IP Security разработала предварительный набор стандартов, который получил название IPSec.

Стандарты IPSec призваны обеспечить безопасность частных сетей при передаче информации по Internet или по IP-сети. Стандарт IPSec гарантирует конфиденциальность, целостность и аутентичность информации. Использование шифрования по стандартам IPSec в брандмауэре PIX позволяет организовать безопасные виртуальные частные сети (VPN) между несколькими конечными пунктами, включая удалённые или мобильные ПК, на которых установлена ОС Windows и клиентское программное обеспечение VPN, маршрутизаторы Cisco, другие брандмауэры PIX или устройства шифрования, совместимые со стандартом IPSec.

IPSec использует несколько протоколов обеспечения безопасности и проведения аутентификации, важнейшим из которых является протокол Internet Key Exchange (IKE). Протокол IKE позволяет установить безопасное соединение между двумя пунктами при помощи цифровых подписей на основе системы открытых ключей (public key infrastructure — PKI). Использование протокола IKE позволяет довести число конечных пунктов в виртуальной частной сети до нескольких тысяч, используя для идентификации каждого конечного пункта идентификационную карточку с цифровой подписью. Для шифрования данных по протоколу IPSec в брандмауэре PIX используются алгоритмы DES (Data Encryption Standard) и Triple DES.

Для облегчения установки и управления в Cisco PIX используются графическая утилита Setup Wizard (мастер установки), работающая под управлением ОС Windows 95 и Windows NT, и графическое приложение Firewall Manager.

С помощью Firewall Manager сетевой администратор может легко сконфигурировать брандмауэр PIX и управлять им. Щёлкнув по значку нужного PIX, можно извлечь, отредактировать и централизованно контролировать правила безопасности. По отдельным вкладкам открывается доступ к конфигурационным данным, общим для всех управляемых брандмауэров PIX, а также к встроенным отчётам, где по каждому пользователю регистрируются посещённые Web-сайты и объём переданных файлов. Приложение PIX Firewall Manager автоматически в режиме реального времени отправляет администратору по электронной почте или на пейджер предупреждающие сообщения о попытках проникновения через межсетевой экран.

рис.1 Пользовательский интерфейс Firewall Manager

Firewall Manager также помогает анализировать работу Cisco PIX и вести учёт его активности. Составлять отчёты можно также при помощи CiscoSecure или других серверов TACACS+ или RADIUS, которые предоставляют такие сведения, как дата и время подключения, общее время соединения, общий объём переданных и принятых байтов, пропускная способность, выделенная каждому пользователю, тип использованных приложений и другие важные данные.

Основу высокой производительности устройств серии Cisco PIX Firewall составляет схема защиты, использующая алгоритм адаптивной безопасности (ASA — adaptive security algorithm). Этот способ менее сложен и более надёжен, чем фильтрация пакетов. Кроме того, он отличается большей производительностью и масштабируемостью, чем брандмауэры на базе прокси-серверов, работающие на уровне приложений.

Алгоритм адаптивной безопасности скрывает адреса пользователей от хакеров и эффективно контролирует доступ к внутренней сети, сравнивая входящие и выходящие пакеты с записями в таблице. Доступ через PIX разрешен только в том случае, если соответствующее соединение успешно прошло идентификацию. Алгоритм ASA защищает периметры системы безопасности между сетями, контролируемыми брандмауэром. Устойчивый, ориентированный на соединения алгоритм адаптивной безопасности обеспечивает безопасность для соединений, базируясь на адресах отправителя и получателя, случайной последовательности номеров пакетов TCP, номерах портов и добавочных тегах (флагах) TCP. Эта информация сохраняется в таблице и все входящие и исходящие пакеты сравниваются с записями в этой таблице.

Другой функциональной особенностью, повышающей производительность проведения аутентификации брандмауэром, является технология "сквозного посредника" (cut-through proxy), который сначала проверяет пользователя на уровне приложений. После окончания аутентификации пользователя и подтверждения соблюдения заданных правил брандмауэр PIX переводит контроль за потоком на более низкий уровень, что существенно повышает производительность.

Брандмауэр Cisco PIX 515-R (версия с ограничениями) поддерживает до 64 тыс. одновременных подключений, модель PIX 515-UR (версия без ограничений) обеспечивает 128 тыс. одновременных подключений, а PIX 520 — до 256 тыс. одновременных подключений! Каждая из этих моделей PIX позволяет обслуживать тысячи пользователей, причём все конечные пользователи будут работать с максимальной производительностью. Полностью загруженный сетевой экран PIX работает с более высокой скоростью и обеспечивает большее число одновременных соединений, чем любой другой продукт на базе ОС UNIX или Microsoft Windows NT. Межсетевой экран PIX пропускает трафик FTP и HTTP со скоростью до 170 Мбит/с, чего вполне достаточно для эксплуатации в высокоскоростной локальной сети кампуса или в глобальной сети с несколькими каналами T3.

рис.2 Задняя панель PIX 515 (фрагмент)

рис.3 Задняя панель PIX 515 (показаны 4 порта Ethernet)

Межсетевой экран Cisco PIX также позволяет расширять и изменять конфигурацию IP-сетей, не вызывая проблему нехватки адресов IP. Технология трансляции сетевых адресов (NAT — Network Address Translation) делает возможным использование как существующих адресов, так и адресов, не входящих в резервный пул адресов, выделенный организацией IANA (Internet Assigned Numbers Authority) для частных сетей (RFC 1918). PIX также можно настроить для выборочного (при необходимости) использования комбинации транслируемых и нетранслируемых адресов. Cisco гарантирует, что технология NAT функционально совместима со всеми другими функциями PIX, например, с поддержкой мультимедиа-приложений (в некоторых конкурирующих брандмауэрах выполнение мультимедийных приложений и NAT взаимно исключают друг друга).

Межсетевой экран Cisco PIX поддерживает трансляцию номеров портов (PAT -— port address translation) в сочетании с так называемым "мультиплексированием по каждому порту". Этот метод также позволяет "консервировать" IP-адреса. Технология PAT автоматически преобразует внутренние, локальные адреса пользователей в один внешний локальный адрес, используя при этом различные номера портов, чтобы отличать одну трансляцию адресов от другой. Применение технологии PAT позволяет обслуживать более 64 тыс. внутренних машин при помощи единственного внешнего IP-адреса.

Если незарегистрированные адреса совпадут с зарегистрированными IP-адресами, то программа Net Aliasing проследит, к какой сети относится каждый из таких адресов, чтобы доставить данные в соответствующую сеть.

• Алгоритм адаптивной безопасности (ASA) обеспечивает параметрическую защиту ресурсов внутренней сети при проведении всех сеансов TCP/IP
• Технология "сквозного посредника (Cut-Through Proxy)" обеспечивает высочайшую в отрасли производительность проведения аутентификации; сокращает стоимость владения за счёт повторного использования имеющейся базы данных аутентификации
• Надёжная, встроенная система, работающая в режиме реального времени, обеспечивает более строгую защиту, чем открытые, основанные на стандартах операционные системы, такие как UNIX и NT Workstation.
• Возможность использования нескольких плат сетевого интерфейса обеспечивает надёжную защиту Web-серверов и других серверов, доступных извне; несколько каналов extranet-сети к разным партнёрам; защита журнала регистрации событий; фильтрация URL-адресов
• Противодействие атакам типа "отказ в обслуживании" —сам брандмауэр, серверы и клиенты, находящиеся за ним, защищены от разрушительных или вредоносных атак хакеров; все транзакции и сервисы защищены от атак типа "отказ в обслуживании"
• До 256 тыс. одновременных подключений — значительно больше, чем могут обеспечить proxy-серверы
• Поддержка предложенного рабочей группой IETF стандарта IPSec обеспечивает взаимодействие виртуальных частных сетей, масштабирование и сокращение административных расходов
• Благодаря тому, что брандмауэр поддерживает большое число приложений, его использование не ухудшает производительность работы сетевых пользователей
• Утилиты PIX Firewall Manager и Setup Wizard экономят время и деньги, так как сокращают время простоя сети и расходы на инсталляцию
• Настраиваемые отчёты и учёт использования URL-адресов позволяют просматривать, насколько активно пользователи проводят свои транзакции через PIX
• Фильтрация URL-адресов позволяет контролировать, какие Web-сайты наиболее часто посещают пользователи; ведётся учётный журнал транзакций. Реализованная в PIX фильтрация URL-адресов — это результат партнёрства Cisco и компании NetPartners, разработавшей программное обеспечение WebSENSE server (работает на платформе Windows NT или UNIX). Брандмауэр PIX проверяет исходящие запросы к URL-адресам на соответствие правилам, установленным в WebSENSE server. В зависимости от ответа, полученного от WebSENSE server, брандмауэр PIX или разрешает, или запрещает подключение.
• Фильтрация Java-апплетов по каждому клиенту и IP-адресу позволяет останавливать выполнение потенциально опасных Java-приложений
• Утилита Mail Guard предотвращает задержки внешней почты на периметре сети и противодействует атакам типа "отказ в обслуживании"
• Поддержка мультимедиа-приложений исключает необходимость в специальной конфигурации клиентов
• Режимы Failover/Hot Standby обеспечивают высокую доступность и максимальную надёжность работы сети. Для повышения надёжности межсетевой экран PIX может быть установлен со специальными опциями Failover (отработка отказа) и Hot Standby ("горячий" резерв). Опция Failover предотвращает наличие единой точки возможного сбоя в сети. Если в сети установлены два межсетевых экрана PIX, работающих в параллельном режиме, то при выходе одного из них из строя второй PIX автоматически возьмёт на себя его нагрузку и продолжит выполнение всех функций по обеспечению безопасности.
• Трансляция сетевых адресов позволяет экономно использовать имеющиеся IP-адреса

Для моделей PIX 515 (версия 4.4) лицензия приобретается в зависимости от необходимого заказчику комплекта программных средств. Число одновременных исходящих подключений по протоколу TCP/IP ограничивается лишь аппаратными возможностями конкретной модели.

• Модель с комплектом программных средств начального уровня PIX 515-R (restricted —- с ограничениями) обеспечивает до 50 тыс. одновременных подключений. PIX 515-R не обеспечивает отработку отказов (failover) и может иметь не более двух интерфейсов 10/100 Ethernet. Модель с комплектом программных средств среднего класса PIX 515-UR обеспечивает до 100 тыс. подключений, способна отрабатывать отказы и позволяет установить до шести интерфейсов 10/100 Ethernet.
• Для модели PIX 520 можно приобрести лицензии на комплект ПО начального уровня, среднего уровня и без ограничений. Брандмауэр PIX 520 обеспечивает 250 тыс. одновременных подключений, способен отрабатывать отказы и позволяет установить до шести интерфейсов 10/100 Ethernet, или до четырёх интерфейсов Token Ring, или до двух интерфейсов FDDI.

• Один порт 10/100BaseT Ethernet (до четырёх сетевых адаптеров на одно шасси PIX — не применимо к модели PIX 515)
• Token Ring 4/16 Мбит/с (до четырёх сетевых адаптеров на одно шасси PIX — не применимо к модели PIX 515)
• Четыре порта 10/100 BaseT Ethernet (можно использовать в сочетании с одним или более сетевым адаптером, оснащённым одним портом 10/100 Ethernet —не применимо к модели PIX 515)
• FDDI (максимум два сетевых адаптера на одно шасси PIX — не применимо к модели PIX 515)

Примечание: допускается использование только сетевых адаптеров, приобретённых у фирмы Cisco или её авторизованных реселлеров. При использовании других адаптеров гарантия на брандмауэр аннулируется.

• Internet Protocol (IP)
• Transmission Control Protocol (TCP)
• User Datagram Protocol (UDP)
• Internet Control Message Protocol (ICMP)
• Generic Route Encapsulation (GRE)
• Address Resolution Protocol (ARP)
• Domain Name System (DNS)
• Simple Network Management Protocol (SNMP)
• Boot Protocol
• HyperText Transport Protocol (HTTP)
• File Transfer protocol (FTP)
• Trivial File Transfer protocol (TFTP)
• Archie
• Gopher
• Telnet
• NetBIOS over IP (Microsoft Networking)
• Point-to-Point Tunneling Protocol (PPTP)
• SQL*Net (клиент/серверный протокол фирмы Oracle)
• Сервисы Remote Procedure Call (RPC), разработанные фирмой Sun, включая Network File System (NFS)
• Berkeley Standard Distribution (BSD)-Rcmds
• AAA (authentication, authorization, accounting — аутентификация, авторизация и учёт)

• Microsoft NetShow
• White Pine CU-SeeMe
• RealNetworks RealAudio and RealVideo
• Xing StreamWorks
• VDOnet VDOLive
• VXtreme WebTheater
• VocalTec Internet Phone

• Microsoft NetMeeting
• Intel Internet Video Phone
• White Pine Meeting Point

В заключение я хотел бы отметить, что мнение о высокой цене данного продукта слегка устарело. PIX 506, младшая модель Cisco PIX Firewall, в базовой комплектации стоит 2000 USD.

Также хотел бы призвать всех вас задавать любые вопросы по вышеописанному продукту мне, по адресу andboc@mail.ru. Специалисты корпорация Стинс Коман, серебряного партнера компании Cisco Systems помогут мне ответить на все ваши вопросы.

Другие материалы о PIX Firewall можно найти на сайте российского представительства Cisco Systems (более свежую информацию на cisco.com), а также на сайте Стинс Коман.

В следующем номере -- об основном конкуренте PIX Firewall, программном брандмауэре CheckPoint Firewall-1

Искренне ваш, А.Бочаров