Провайдеры развертывают широкополосные сервисы доступа к Internet, но большая скорость соединений чревата для пользователей опасностями нападения извне. И если у крупного предприятия есть технические и финансовые возможности защитить свою информацию, то небольшим и средним фирмам приходится лишь надеяться на везение — современные средства защиты для них слишком дороги. Можно выделить три группы потребителей, которым необходимы подобные сервисы: пользователи коммутируемого доступа, абоненты домовых сетей и малые компании, подключенные к Internet по выделенной линии или DSL.
По идее, гарантировать безопасный доступ подписчиков в глобальные сети должны сами провайдеры, однако такие услуги предлагаются нечасто. Как бы то ни было, на рынке стали появляться продукты для провайдеров, призванные защитить от хакерских атак частных пользователей и мелкие предприятия.
Коммутируемый доступ
|
| Устройство ipGate выполнено на основе чипсетов VIA с малым энергопотреблением |
Предоставляя услуги коммутируемого доступа, провайдеры, как правило, по собственной инициативе используют определенный набор достаточно простых средств защиты. Обычно они ограничиваются проверкой на вирусы почтовых сообщений. Их противовирусные системы попросту отбрасывают вложения, заподозренные в наличии агрессивных кодов. Тем не менее вирусы могут заражать и важные письма, поэтому в общем случае радикальный подход неуместен. Возможный вариант — сохранение подозрительных вложений и информирование получателя о наличии в них вирусов. Тогда он способен получить нужную ему зараженную корреспонденцию.
Кроме того, беда модемных пулов - нападения одних пользователей на других, например с целью получения идентификационной информации. Для защиты от этих нападений провайдерам приходится блокировать на своих модемах определенные порты, скажем используемые для своего распространения некоторыми вирусами и «троянцами». К сожалению, такая защита не очень действенна, поскольку одним из самых популярных способов нападения является проникновение через Web (порт 80), который блокировать нельзя. Подобные методы позволяют защититься только от характерных атак — типа сканирования портов или внедрения известных троянских программ. В целом же услуга подключения к Internet по коммутируемым линиям предоставляется «как есть», без дополнительных условий и гарантий.
Домовые сети
В этом телекоммуникационном сегменте скорости взаимодействия выше, чем при коммутируемом доступе, и провайдерам приходиться уделять серьезное внимание обеспечению безопасности. Часто домовые сети плохо контролируются их владельцами, и подключаться к ним опасно из-за угрозы потерять конфиденциальные данные.
Использование инструментов защиты позволяет провайдерам лучше контролировать свою сеть и оказывать услуги бизнес-качества. Например, «Компания 2КОМ» применяет такую схему: в каждом доме устанавливается маршрутизатор, к которому клиенты подключаются по защищенному туннелю (протокол PPTP) с надежной аутентификацией. Прямые соединения между абонентами интерпретируются как атаки и пресекаются. Далее домовой маршрутизатор подключается к Internet. В рамках этой архитектуры провайдер услуг имеет больше возможностей для защиты клиентов как от внешних угроз, так и от неблагонадежных «соседей».
По сути, домашний маршрутизатор является сервером доступа, рассчитанным на поддержку сетей Ethernet (именно на этой технологии базируется большинство домовых сетей). В него должна быть встроена система аутентификации пользователей, а кроме того, предусматриваются механизмы учета потребляемых ресурсов. Обычно для этого используется протокол RADIUS. Он связывает сервер доступа с биллинговой системой, которая идентифицирует пользователя и разрешает предоставить ему определенный набор ресурсов. Соблюдение ограничений отслеживает домашний маршрутизатор. Биллинговая система располагается в защищенной зоне, а маршрутизатор - в общедоступной части сети, но логика его действий достаточно проста, и его можно сделать достаточно защищенным.
Одним из наиболее простых и распространенных способов защиты клиентов в этом случае является трансляция IP-адресов. Клиентские компьютеры имеют только внутренние адреса сети, то есть к ним нельзя обратиться из Internet напрямую. Правила доступа определяют, что соединение может быть инициировано только из внутренней сети. Даже если пользовательский компьютер удалось заразить троянской программой, подключиться к нему извне невозможно. Впрочем, бывает, что провайдеры выделяют клиентам и прямые IP-адреса, но тогда защита компьютеров становится их личной заботой.
Сейчас на рынке появляются устройства как зарубежного, так и российского производства, которые играют роль домашних маршрутизаторов с реализованными в них защитными механизмами. Один из таких продуктов — ipGate, разработанный и продвигаемый «Компанией 2КОМ». Устройство выполнено на основе чипсетов VIA с малым энергопотреблением. Оно не имеет вентиляторов и жестких дисков. Все исполняемые программы зашиты во flash-памяти, которая защищена от записи. Устройство умеет подсчитывать потребляемые пользователем ресурсы как по объемам трафика, так и по продолжительности сеансов подключения. Нужный способ учета определяет сама биллинговая система.
Выделенные линии
Услугой подключения к Internet по широкополосным каналам начинают пользоваться не только крупные корпорации, которые могут себе позволить полноценные системы защиты, но и небольшие компании, в чей штат не входят администраторы по безопасности. Фактически, эта услуга превращается в массовую, предлагаемую всеми крупными провайдерами по доступным ценам. Но при высокоскоростном подключении к Internet у клиентов возникает потребность в устройствах сетевой защиты и контроле за потребляемыми ресурсами. Обычно клиенты задумываются об этом уже при получении второго счета от провайдера, однако ISP редко предлагают средства защиты клиентов, поскольку продают трафик и заинтересованы в его увеличении.
Механизмы защиты корпоративных сетей на рынке существуют давно — это так называемые межсетевые экраны. Среди них есть как программно, так и аппаратно реализованные, но чтобы они выполняли свои функции должным образом, их должен контролировать администратор по безопасности. Кроме того, функциональность межсетевых экранов обычно ограничивается механизмами защиты сетевых соединений и, в некоторых случаях, антивирусным ПО.
Стоят такие устройства, как правило, от 1 тыс. долл., причем в эту сумму не входит стоимость сервисной поддержки, настройки и администрирования. Если же такая система взломана, понять это изнутри корпоративной сети достаточно сложно. Проще обнаружить взлом, наблюдая за системой со стороны.
Рассмотрим, что же необходимо для защиты небольших корпоративных сетей. Собственно механизмы защиты — такие же, как и для домашних сетей: это сокрытие внутренней инфраструктуры сети с помощью протокола трансляции адресов, защита от атак типа DoS (блокировки соединений), применение системы обнаружения вторжений (IDS) и антивирусной программы. Кроме обеспечения безопасности такие устройства могли бы обслуживать некоторые сервисы Internet, чтобы минимизировать потребление трафика, который обычно оплачивается помегабайтно. Например, в них уместно интегрировать Web-cash-сервер или корпоративную почтовую систему, а также программу защиты от спама.
«Компания 2КОМ» предлагает серию устройств и для этого рынка, которые называются ipGuard. Они также выполнены на основе платформы VIA, но оснащены внутренним диском, на котором сохраняются данные. Тем не менее исполняемые программы также записаны во flash-памяти с защитой от записи. На диске хранятся антивирусные базы, известные сигнатуры атак и сообщения электронной почты.
К такому шлюзу можно подключить дополнительный модем и организовать удаленный доступ сотрудников по телефонному соединению, минуя провайдера. К данному соединению применяются те же требования к защите, которые присущи Internet-доступу.
Почтовый сервис ipGuard настроен так, чтобы он начал действовать сразу после подключения к Internet. Администратору остается только «заводить» почтовые ящики клиентов, причем их количество ограничивается лишь потребностями компании. При использовании встроенного почтового сервиса внутренние сообщения не попадают во внешнюю линию, поэтому не увеличивают потребляемый от провайдера трафик. Система учета фиксирует сеансы работы пользователя — в какое время и какое количество данных он отправил/получил. Чтобы выйти в Internet, нужно указать свои учетное имя и пароль. В системе статистики фиксируются не рабочие станции, а имена конкретных пользователей, что упрощает анализ результатов.
Запись URL-серверов, на которые заходят клиенты, не ведется. С помощью решения ipGuard администратор способен установить правила применения сервисов для корпоративных пользователей. Можно ограничить как продолжительность Web-сеансов отдельных потребителей, так и список разрешенных им ресурсов.
Будучи провайдером услуг, «Компания 2КОМ» не только продает свои устройства, но и берет их на обслуживание. Иными словами, она предоставляет услугу удаленного администрирования системы защиты и отражения нападений. Например, если система мониторинга IDS заподозрила атаку на клиента, она сообщает об этом в сервисный центр 2КОМ, специалисты которого своими силами отражают нападение. Кроме того, поставщик следит за обновлением антивирусных баз и сигнатур атак на установленных шлюзах.
Стоит такой продукт около 750 долл. — включая годовую подписку на техническое сопровождение и удаленное администрирование. Появление подобных устройств по доступным ценам должно улучшить ситуацию с информационной защитой частных пользователей и мелких компаний на российском рынке.
D-Link тоже думает о малом бизнесе
Компания D-Link представила новую модель межсетевого экрана для защиты сетевых ресурсов малых и средних офисов. Продукты серии DFL-100 являются аппаратно реализованными решениями для обнаружения атак и защиты сети на основе фильтрации содержимого пакетов. Они выполняют также функции трехпортового коммутатора, VPN-шлюза и межсетевого экрана.
Порты производительностью 10/100 Mбит/с служат для подключения устройства к внутренней сети, к внешнему каналу с Internet через кабельный или DSL-модем и к демилитаризованной зоне. Выделенный DMZ-порт позволяет организовать доступ к Web-, Mail- или FTP-серверам компании непосредственно из Internet, не подвергая опасности внутреннюю сеть и уменьшая количество передаваемого трафика.
В целях организации безопасного соединения межсетевой экран DFL-100 способен поддерживать одновременную работу 80 туннелей VPN на основе протокола IPSec. Доступ удаленных пользователей в корпоративную сеть через публичный Internet осуществляется с помощью аппаратно ускоренных алгоритмов шифрования DES и 3DES.
D-Link DFL-100 предоставляет расширенные функции обнаружения и предотвращения атак. Новые функции межсетевого экрана, такие как поддержка технологии Stateful Packet Inspection (SPI), технологии связывания IP/МАС-адресов и виртуальной схемы отображения IP-адресов, позволяют повысить производительность и защиту основных приложений сети. DFL-100 способен распознавать и блокировать большинство атак типа «отказ в обслуживании» (DoS) и посылать предупреждения о них по электронной почте.