Рынок ПО сетевого администрирования наводнен всевозможными брандмауэрами с удобными интерфейсами, но Portus 2.2, созданный в Livermore Software Laboratories International на базе ОС Unix и предназначенный для квалифицированных специалистов по сетевой безопасности, остался верен родовым традициям.
Как и многие ранние брандмауэры, Portus представляет собой набор стандартных средств, в который входят программы-посредники прикладного уровня, двухсторонние DNS-серверы, Socks-шлюз и SMTP-коммутатор электронной почты. Portus содержит также общий набор утилит для конфигурирования, аутентификации, ведения отчетности и мониторинга, что обеспечивает согласованное взаимодействие различных средств.
Не для новичков
Portus - не для тех новичков, которые хотели бы быстро разделаться с брандмауэром и закончить все дела к обеду. Для этого набора инструментов нужен опытный пользователь. Мощь пакета Portus заключается в том, что он позволяет создать очень гибкий брандмауэр, поддерживающий широкий спектр корпоративных приложений и сетевых топологий. Но за эту мощь приходится достаточно дорого платить. Для создания и эксплуатации брандмауэра Portus требуются время, а также опыт программирования и работы в системе Unix. Кроме того, нужно знать проблемы и решения, связанные с безопасностью сетей на базе протоколов TCP/IP.
Portus легко и быстро инсталлируется в стандартных Unix-системах Sun, Hewlett-Packard и IBM. Я производил тестирование Portus 2.2 в системе Solaris 2.5.1 с оборудованием на базе процессора Pentium. Поскольку она использует встроенные протоколы TCP/IP ОС Unix, то пакет мог поддерживать несколько сетевых карт для локальных сетей и WAN, включая карту 100 Мбит/с Ehternet. В тестируемой системе использовались сетевые карты 100Base-TX Ethernet корпораций 3Com и Digital. Для Sun Solaris отсутствовали некоторые функции пакета, в том числе обнаружения нападений типа Syn flood, но они войдут в последующие версии Portus.
Возвращение к vi
Инсталлировать Portus было легко. А вот заставить пакет работать так, как мне хотелось, оказалось довольно трудно. И совсем не потому, что документация не была полной, просто пришлось редактировать огромное число текстовых файлов. Для такой работы сейчас широко применяется графический интерфейс пользователя, поэтому я проклял все на свете, когда пришлось вернуться к старому текстовому редактору vi ОС Unix. Мне пришлось использовать vi, чтобы сообщать Portus, кто может передавать файлы по протоколу FTP, а кто нет.
Файлы конфигурирования большого корпоративного узла имеют тенденцию к достаточно сильному разрастанию, и для администратора может стать довольно обременительным их техническое сопровождение. Действительно, в моей тестовой конфигурации файлы каждого сервера-посредника содержали по несколько сотен строк.
Конфигурирование Portus напоминает рекламу Microsoft "И куда бы вы хотели направиться сегодня?". Для любой проблемы безопасности Portus предлагает несколько возможных решений. Возьмем, к примеру, FTP-передачу. Вы хотите использовать посредники? О'кей. В таком случае, что вы предпочитаете: аутентификацию или фильтрацию по IP-адресу? Хорошо. А по каким IP-адресам? Или, хотите использовать Socks и заставить каждого изменить свое клиентское ПО? Или?..
Но некоторых вещей Portus не делает. Пакет не воспринимает никакие посредники на базе протокола UDP (User Datagram Protocol - протокол пользовательских дейтаграмм), за исключением RealAudio, и поэтому вы не можете производить никакую фильтрацию на уровне пакетов. Отличные от IP протоколы, например IPX или AppleTalk, Portus вообще не понимает. Если вы хотите передать через брандмауэр информацию, относящуюся к TCP/IP-маршрутизации, то ваши возможности ограничиваются BGP-протоколом (Border Gateway Protocol - протокол граничного шлюза). Это один из наиболее сложных протоколов IP-маршрутизации, который используется только при магистральных передачах в сети Internet. Большинство организаций не работает с протоколом BGP именно из-за его сложности. Они предпочитают RIP-протокол (Routing Information Protocol - протокол информации маршрутизации) сети NetWare - намного более простой, хотя и не такой мощный, как IP.
Но если вам нужно что-то конкретное, то вы должны будете написать это сами. Именно такими соображениями руководствовались разработчики Portus.
Portus побуждает вас к созданию приложений, тесно взаимодействующих с брандмауэром. Например, для аутентификации клиентов, которым необходимо проходить через брандмауэр в обоих направлениях, применяются средства защиты на базе топологии Token Ring (такие как CriptoCard или SNK корпорации Digital Pathway). Когда приложение собирается пройти через брандмауэр, Portus может осуществить специальный обратный запрос к клиенту для подтверждения аутентификации. Это позволяет брандмауэру точно знать, кто пытается через него проникнуть. Аутентификация Band Autentification базируется на мощном методе, но он "работает" только в том случае, если вы можете соответствующим образом изменить ваше клиентское приложение, что не у каждого вызовет прилив энтузиазма.
Все эти заказные функции делают Portus больше похожим на набор "консалтинговых" блоков для построения брандмауэра, чем на законченный рабочий продукт.
Через неделю работы с Portus я по достоинству оценил чрезвычайную гибкость его средств. Но в то же время осознал, что мне удалось ознакомиться лишь с небольшой частью его возможностей, которые позволяют построить действительно хороший брандмауэр. Portus воплощает философию Unix применительно к брандмауэрам. Если вы, например, хотите получить такую простую вещь, как итоговый отчет с разбивкой трафика по дням, неделям и времени, то все это вам придется задавать самому. И хотя Portus делает копии текущих регистрационных файлов, нет никаких автоматических средств статистического анализа и архивации старых регистрационных файлов. А ведь это достаточно стандартные функции, которые большинство других разработчиков брандмауэров встраивают в свои продукты.
И наконец, Portus не предоставляет средство немедленного оповещения менеджера по сетевой безопасности о попытке взлома защиты. Хотя, разумеется, я мог сам создать это средство, используя диагностическую информацию, которую предоставляет Portus. Я потратил уйму времени, чтобы разобраться, как работают регистрационные файлы, какие сообщения можно получать оперативно, а что необходимо специально контролировать.
Итак, Portus может стать незаменимым инструментом обеспечения безопасности для опытного гуру, но он не является готовым брандмауэром.
Джоел Снайдер (Joel Snyder) - сотрудник компании Opus One (Туксон, шт. Аризона), специализирующейся в области межсетевого взаимодействия, электронной почты и телекоммуникаций. Адрес его электронной почты jms@opus1.com.
Коротко о продукте
Portus 2.2
Пакет инструментальных средств Portus 2.2 не предоставляет готовых решений и предназначен для тех сетевых менеджеров или консультантов, которые хотят построить свой собственный брандмауэр. Он помогает эксперту по Unix и сетевой безопасности извлечь максимально возможную пользу из такого брандмауэра.
Достоинства: надежность; простота; содержит все основные средства; совершенная аутентификация; независимость от операционной среды.
Недостатки: затруднена быстрая перенастройка брандмауэра; установка защиты требует достаточно кропотливой работы.
Цена: 10 000 дол.
Производитель: Livermore Software Laboratories International (Хьюстон, шт. Техас).
Тел.: (713) 974-3274; факс: (713) 978-6246; Web-узел: http://www.lsli.com.