Казавшаяся бесконечной война между двумя технологиями организации брандмауэров — на базе proxy-технологии и на базе фильтрации пакетов — вероятно, вскоре все-таки закончится, поскольку все больше компаний вслед за Internet Dynamics и Network Associates объединяют оба подхода, рассчитывая совместить надежность защиты с функциями контроля и гибкостью. Компания CyberGuard также придерживается этой концепции в своей программной системе CyberGuard for NT 4.1, которая предлагает значительные возможности защиты и контроля, но не имеет целого ряда функций, уже реализованных в аналогичном продукте для платформы UnixWare. Учитывая незначительную долю рынка, контролируемого CyberGuard, вполне вероятно, что реализация гибридной модели кардинально повлияет на рыночное положение этой компании.
 | |
Однако CyberGuard несколько проигрывает в сравнении с брандмауэром Conclave компании Internet Dynamics, хотя и неплохо смотрится на фоне Gauntlet производства Network Associates, в котором возможности фильтрации пакетов недостаточны. CyberGuard подходит для небольших сетей уровня рабочих групп и подразделений, но более крупные организации, которым нужен полный набор функций, видимо, посчитают его не вполне совершенным.
Установка CyberGuard не требует сколько-нибудь значительных усилий. Пожалуй, это один из самых простых в установке пакетов, с которыми мне приходилось работать. Но несмотря на свою простоту, CyberGuard приступает к обеспечению безопасности сразу же после установки: подразумеваемые параметры его настройки запрещают любой доступ через брандмауэр.
Кроме того, CyberGuard предлагает наиболее развернутый перечень средств из тех, что мне приходилось видеть в брандмауэрах, способствующий укреплению безопасности операционной системы. В состав CyberGuard входят процедуры усиления защиты Windows NT, касающиеся, в частности, блокировки пустых паролей, ограничения доступа к файловой системе на уровне групп пользователей и устранение всех скрытых разделяемых ресурсов, за исключением взаимодействия параллельных процессов, и так далее.
|
CyberGuard for NT 4.1 Данный брандмауэр для Windows NT обеспечивает более мощную защиту за счет поддержки сразу двух методов - фильтрации пакетов и технологии proxy. Однако многие возможности, уже имеющиеся в аналогичном брандмауэре для платформы Unix, в варианте для NT пока отсутствуют. Достоинства: гибридная технология брандмауэра; простая установка; усиление защиты операционной системы Windows NT; балансировка нагрузки; протокол Internet Control Message Protocol работает со средствами трансляции сетевых адресов Network Address Translation (NAT). Недостатки: не предусмотрена поддержка статического варианта NAT; пароли аутентификации могут включать только буквы и цифры; отсутствует защита от атаки типа SYN flood; утомительная регистрация. Web-узел CyberGuard: www.cyberguard.com. Цена: 1495 долл. за версию на 25 пользователей; 9995 долл. за версию для неограниченного числа пользователей. Платформа: Windows NT 4.0. |
С другой стороны, поддерживается динамический вариант NAT, благодаря чему все внутренние клиенты могут выходить в Internet под одним внешним IP-адресом (обычно внешним IP-адресом брандмауэра).
К несомненным достоинствам CyberGuard стоит отнести очень тонкие средства управления в терминах протокола FTP, обладающие такими функциями, как изменение рабочего каталога, удаление, создание каталога, чтение файла и многих других; столь детализированные средства управления поддерживают весьма немногие брандмауэры. Однако отсутствие средств защиты от атак типа SYN flood — досадный недостаток этой версии брандмауэра; компания планирует добавить соответствующую функцию в очередную версию.
Но, пожалуй, самым уязвимым местом CyberGuard можно назвать регистрацию событий. Журналы регистрации на самом деле представляют собой отчеты, статически запрашиваемые из базы данных, что ограничивает гибкость. К тому же нет возможности настраивать запрос таким образом, чтобы журнал регистрации хранил информацию об источнике, назначении или службе.
Механизм балансировки нагрузки в CyberGuard далек от идеального, но он позволяет распределить нагрузку между серверами сети. Балансировка нагрузки осуществляется при помощи посредника Load Equalizer. Описав группу серверов, CyberGuard может распределять нагрузку в пределах группы, передавая соединения на серверы, которые могут их обработать. Это реализуется за счет поддержки таблицы соединений с каждым сервером в группе с последующим направлением новых запросов на соединение на серверы, поддерживающие на данный момент наименьшее число соединений. Но такой подход не столь эффективен, как распределение нагрузки брандмауэров на основе агентов, реализованное, к примеру, в CheckPoint.
Аутентификация в CyberGuard ограничена традиционными средствами, например паролями SecurID и NT. Компания CyberGuard не намерена в ближайшее время реализовать аутентификацию на основе инфраструктуры открытого ключа, такую как цифровые сертификаты.
Вместо этого CyberGuard предлагает отдельную базу данных имен пользователей и паролей, хотя пароли могут состоять только из букв и цифр. На самом деле это не очень хорошо, поскольку путем простого перебора букв от A до Z и цифр от 0 до 9 можно подобрать пароль. Число возможных сочетаний букв и цифр намного меньше, чем паролей, содержащих также и другие символы, в частности, !, @, # и ?. Компания признает эти ограничения и планирует в ближайшей версии обеспечить более надежные пароли.
CyberGuard благодаря использованию гибридной технологии создала вполне надежный брандмауэр, но компании необходимо расширить возможности продукта для NT, чтобы он был не хуже версии для платформы Unix. При расширении функциональности CyberGuard, предлагающий отличные процедуры установки и усиления защиты, мог бы стать брандмауэром, на который безусловно можно положиться.
Стюарт Макклур (stuart.mcclure@ey.com) — старший менеджер компании Ernst & Young Security Services