, не утихают споры о том, подходят ли такие системы (например Internet Scanner компании Internet Security Systems, ISS, или Security Administrator Tool for Analyzing Networks, Satan) для тестирования брандмауэров. Мы попросили двух специалистов по защите информации, Криса Клауса и Маркуса Рэйнэма, высказать свое мнение по этому поводу. Рэйнэм является создателем нескольких брандмауэров; он считает, что сканер не эффективен для выявления уязвимых мест. Клаус - разработчик Internet Scanner; естественно, он уверен, что сканеры вполне подходят для этой цели. Послушаем, что они говорят.
МР: Тестирование брандмауэров - непростая задача, поскольку для этого нужно обладать глубокими знаниями в области защиты информации и навыками настройки сложнейших систем. Чтобы установить брандмауэр, вы должны четко разбираться в стратегии, которую пытаетесь реализовать. У меня есть два соображения на этот счет. Во-первых, - лабораторные тесты неэффективны; во-вторых, - любое тестирование брандмауэра будет свидетельствовать о наличии либо об отсутствии здравого смысла в стратегии и реализации системы.
Лабораторные тесты бесполезны - для их проведения создается полностью надуманная среда. Я повидал много неплохих брандмауэров, установленных в сети, которые были безграмотно сконфигурированы и выполняли какие-нибудь нелепые функции. Лабораторным тестированием выявить это невозможно. Лабораторный тест похож на испытание машины столкновением с некоторым объектом, движущимся на определенной скорости.
Все коммерческие брандмауэры, которые я видел, можно настроить таким образом, что они будут пропускать какую-нибудь ерунду в небезопасном режиме или вообще ничего не пропускать в режиме полной защиты. Для брандмауэра гораздо важнее то, как его используют, а не то, насколько хорошо он сделан. Инструменты и лабораторные тесты, проверяющие, насколько хорош брандмауэр, не интересны - нам необходимы инструменты, которые будут предупреждать сетевых администраторов о том, что те совершили какую-нибудь глупость. Я с уверенностью заявляю, что проблем с брандмауэрами из-за внутренних ошибок бывает гораздо меньше, нежели проблем, которые возникли из-за безответственных решений, приведших к нежелательным последствиям.
КК: Система для оценки качества защиты информации может помочь администратору сети ответить на три вопроса, непосредственно касающихся брандмауэра. Первая - правильно ли реализована в брандмауэре принятая на данном предприятии стратегия защиты информации? Вторая - защитит ли эта стратегия от внешних угроз? И третья - защищен ли сам брандмауэр?
Инструмент для оценки способен определить, какие сервисы и типы внешних воздействий блокируются брандмауэром, а какие - нет. Такой инструмент оперативно выявит возможные нарушения стратегии и реализации. Зачастую мы обнаруживаем, что принятая нами стратегия не позволяет удаленным пользователям подключаться к внутренней сети, а брандмауэр разрешает фактически любому человеку подключиться к внутренним машинам, оставляя всю сеть открытой для вторжений. Это происходит из-за неправильной настройки брандмауэра, что делает компанию чрезвычайно уязвимой. Это очень распространенная проблема, но при помощи инструмента оценки защищенности ее легко можно решить. Такой инструмент также может помочь в тестировании системы в лабораторных условиях и дать общий ответ на вопрос, защищен ли данный брандмауэр. Но после установки и запуска брандмауэра главной сферой применения вышеуказанного инструмента является проверка системы и ее реакции на возможные "бреши".
Чтобы внутренняя система стала более защищенной, инструмент оценки следует использовать и всей сети в целом. Наличие брандмауэра вызывает ложное ощущение безопасности, поскольку большинство людей полагаются лишь на него, а внутренняя сеть остается открытой для вторжений. Любой пират может обойти брандмауэр, если хоть кто-нибудь на вашем предприятии имеет открытый модем для удаленного доступа. Воспользовавшись инструментом оценки защищенности, вы можете быстро идентифицировать все машины вашей сети, определить вероятный риск и предпринять профилактические шаги, которые защитят уязвимые места от потенциальных нападений.
Инструмент для оценки защищенности как раз и начинает сигнализировать, если администраторы сетей сделают "какую-нибудь глупость".
МР: Я бы хотел внести небольшую поправку в слова Криса: автоматический инструмент для тестирования не может выявить степень защищенности того или иного участка; он может лишь определить, что данный участок не имеет очевидных уязвимых мест. Инструменты, выполняющие автоматическое тестирование, хороши лишь в том случае, если они сопровождаются достойной поддержкой и обновляемой информацией о возможных уязвимых местах. Думаю, что системы типа Internet Scanner в этом отношении незаменимы, поскольку они собирают данные об уязвимости. Правительство не раз пыталось финансировать подобные проекты, но все они оказались явно неудачными. Поэтому я согласен с тем, что автоматические инструменты для тестирования полезны при условии, если их применять по назначению.
Существуют, однако, примеры использования этих инструментов не по назначению. Меня пугает, например, проверка брандмауэров по автоматическим спискам. Если я собрался покупать брандмауэр, то не стану приобретать систему, изготовленную компанией, которая настолько мало знает о защите информации, что не смогла даже придумать какую-нибудь штуку, защищающую "обыкновенные", всем известные уязвимые места. На самом деле, по-моему, нет такого коммерческого брандмауэра, который бы не защищал все уязвимые места, определяемые Satan, ISS, Pingware и т.д.
КК: Я согласен, что наиболее полный набор тестов поможет пользователям понять, насколько хорошо они защищены. Если вы пользуетесь программой, которая уже целый год не обновлялась и которая способна выдать наличие не более 10 уязвимых мест, вы всегда будете получать отчет, утверждающий, что ваша сеть в безопасности. А вот использование всеобъемлющего инструмента подтвердит, что сеть полностью открыта для вторжений. Это и есть главная причина, по которой организации, заинтересованные в собственной безопасности, должны пользоваться постоянно обновляющимся инструментом.
Лабораторная оценка безопасности брандмауэра выявляет некоторые слабые места, которые необходимо защитить перед вводом его в эксплуатацию. Однако такая оценка не служит аналогом тестирования в рабочих условиях. Крайне необходимо повторить оценку уже после установки брандмауэра, чтобы убедиться в правильной его настройке и защищенности всех известных уязвимых мест. Вот тогда и необходимо выяснить, не делает ли брандмауэр того, что упущено настраивавшим его человеком. Инструмент для оценки защищенности ни в коем случае не может подменить человека, конфигурирующего брандмауэр, это всего лишь механизм, подтверждающий, что брандмауэр не уязвим перед некоторыми видами нападения.
МР: Итак, мы пришли к единому мнению, что инструменты хороши лишь в том случае, когда они используются по назначению. Меня прежде всего волнует невежество пользователей в области безопасности Internet, тем более, что сейчас этот вопрос стоит особенно остро. Все знают, что при подключении к Internet им нужна определенная безопасность, но мало кто понимает, что эта безопасность не отдельный продукт, а часть самого процесса.
Я уверен, что уже существует (или скоро появится в продаже) масса автоматических инструментов с названиями типа "тест-брандмауэра", играющих роль успокоительных пилюль для клиентов. Однако спокойствие, в основе которого лежит невежество, не может служить защитой. Что я хотел бы видеть и к созданию чего я призываю разработчиков оценочных инструментов, - это системы, помогающие клиентам понять, что защита информации - непрерывно меняющийся процесс. Создайте такие инструменты - и я отдам за вас свой голос. Если кто-то говорит: "Запускайте мой инструмент каждый месяц, и он покажет состояние вашей сети", - это просто чушь. Инструмент должен каждый месяц или каждую неделю, это все равно, запускаться сам и сообщать клиенту не только суть проблемы, но и ее масштабы, а также пути исправления. Мне кажется, первые шаги в этом направлении сделаны.
КК: Я согласен, что защита информации - это процесс непрерывного улучшения. Новые машины, новые приложения, новые версии ОС, новые конфигурации брандмауэров и новые уязвимые места придают ей крайне изменчивый облик. Поэтому пользователи и производители инструментов оценки должны работать в непрерывном режиме. Со своей стороны, мы постоянно расширяем количество обнаруживаемых уязвимых мест и масштабы применения нашего продукта. Конечные пользователи должны проводить систематические проверки на уязвимость с помощью надежных средств.
Маркус Рэйнэм руководит исследованиями в компании V-One. Он является главным разработчиком нескольких брандмауэров, включая Gauntlet и Internet Firewall Toolkit компании Trusted Information Systems.
Крис Клаус основал компанию Internet Security Systems в 1994 г.; он является разработчиком Internet Scanner. Клаус консультировал по вопросам защиты информации ряд организаций, включая NASA.
Возьмите в дорогу Socks5
В течение многих лет широкое распространение серверов-посредников было невозможно из-за того, что они не могли оказывать посредничество для сервисов, работающих по протоколу User Datagram Protocol (UDP). В отличие от TCP, UDP передает информацию без прерываний, что делает его гораздо более быстрым и более подходящим для определенных сервисов, например для передачи потока аудиоданных. ТСР отправляет пакет и ждет подтверждения получения. UDP же отправляет пакеты, не дожидаясь подтверждения. Лучше пропустить малый участок звукового потока, но слышать его, чем ждать, пока остановившаяся система получит корректные данные.
Чтобы спасти положение с посредничеством, был разработан Socks5. Протокол Socks5 - стандарт для взаимодействия сетевых посредников (proxy) на транспортном уровне. Рабочая группа IETF включила его в стандарт RFC 1928.
При использовании предыдущей версии Socks требовалась несложная предварительная модификация приложения, для которой нужно было осуществлять посредничество. К сожалению, большая часть современного ПО поставляется лишь в двоичном формате, что делает его модификацию невозможной. Для решения этой проблемы Socks5 изменяет не слой приложений-клиентов, а слой сокетов. Таким образом приложения-клиенты совершенно не зависят от того, осуществляется посредничество Socks или нет. Такой тип посредничества позволяет любому клиенту, защищенному брандмауэром, получить доступ ко всем сервисам Internet.
Socks5 также имеет мощную систему аутентификации, которая выполняется перед разрешением на посредничество. Такая аутентификация способна обеспечить безопасный доступ к внутренней сети предприятия через посредника. Socks5 также предоставляет доступ к API-интерфейсу Generic Security Service. Этот API гарантирует целостность и конфиденциальность сообщений и является частью стандарта RFC 1961.
Сейчас ведущим разработчиком продуктов на основе Socks является Лаборатория сетевых систем компании NEC. Она создала серверы для большинства наиболее популярных Unix-платформ и для NT. Большинство продуктов компании сейчас проходят бета-тестирование.