Виктор Логачев,
к.ф.-м.н., ведущий специалист Департамента системной интеграции "Корпорации ЮНИ"
logachev@uni.ru

Сегодня все больше предприятий используют Интернет в качестве основной коммуникационной среды для бизнес-процессов. Глобальная сеть дает возможность обмениваться данными между удаленными подразделениями предприятий, взаимодействовать с партнерами, вести электронную коммерцию, оказывать услуги и осуществлять транзакции в режиме online… и многое другое. Вместе с тем угрозы, таящиеся в Интернете, могут привести к нарушению конфиденциальности и целостности данных или к отказу в доступе к информационным ресурсам, что, в свою очередь, может повлечь за собой значительный материальный ущерб для организации. В этих условиях защита внутренних информационных ресурсов от внешних угроз и безопасная передача данных по открытым каналам становятся актуальнейшей задачей ведения бизнеса, частично или полностью опирающегося на взаимодействие с глобальными сетями. Ключевой элемент решения этой задачи - применение межсетевых экранов и средств создания виртуальных частных сетей (Virtual Private Network, VPN).

Аппаратные средства создания VPN и межсетевых экранов

Многие компании сегодня применяют для защиты программно-аппаратные средства, реализующие функции межсетевых экранов и создания VPN. Их привлекательность заключается в высокой производительности, повышенной надежности (за счет реализации механизмов программной и аппаратной отказоустойчивости) и уменьшении затрат на внедрение, поддержку, администрирование и управление. Такие средства независимы от аппаратной и программной среды, в которую они интегрируются, отличаются простотой внедрения и эксплуатации. Обычно комплекс готов к выполнению своих функций через 10-15 мин после того, как его извлекли из коробки.

Особый интерес представляют полнофункциональные и недорогие устройства, специально созданные с ориентацией на сферу малого и среднего бизнеса. Эти решения привлекательны и для территориально распределенных корпораций любого масштаба, имеющих небольшие локальные сети в своих удаленных офисах. Можно устанавливать такие устройства у партнеров, клиентов, удаленных пользователей, в перспективе - у надомных работников.

Наличие средств централизованного управления переводит возможности применения устройств этого класса в другую плоскость. Они становятся особо интересными для корпораций со сложной распределенной структурой, куда входят региональные подразделения и офисы, филиалы и дочерние компании, пользующиеся общими корпоративными информационными ресурсами. Обычно в таких корпорациях есть отделы, занимающиеся централизованным управлением своей распределенной сетью. В этом случае организация централизованного управления защитой информационного обмена через глобальные сети - вполне естественная их задача. Эти решения также привлекательны для операторов связи и провайдеров, готовых оказывать услуги по конфигурированию и управлению средствами защиты информации, установленными на территории клиента.

Среди предлагаемых на рынке средств защиты этого класса есть, в частности, решения Check Point Software Technologies (http://www.checkpoint.com). Компания, широко известная в мире как разработчик программных средств обеспечения информационной безопасности, расширила круг своей продукции, создав программно-аппаратные решения, ориентированные на предприятия малого и среднего бизнеса. Ее дочерняя компания, SofaWare Technologies (http://www.sofaware.com), разработала две серии устройств: VPN-1 Edge (четыре модели) и Safe@Office (восемь моделей). Функциональность устройств базируется на хорошо известном ПО VPN-1/FireWall-1 и запатентованной Check Point технологии Stateful Inspection, а также на результатах их развития, примененных в программных продуктах VPN-1 Embedded NG. Те же технологии положены в основу еще одного модельного ряда устройств - Nokia IP40 (четыре модели), выполненных на аппаратной платформе компании Nokia (http://www.nokia.com). Все эти устройства показаны на рисунке.

Fig.1Fig.1bFig.1b
Устройства для создания межсетевых экранов и VPN (слева направо): VPN-1 Edge, Safe@Office и Nokia IP40.

Отметим, что четыре старших модели Safe@Office, наряду с функциональностью защиты периметра сети, реализуют еще и технологии создания беспроводных сетей; соответственно они имеют и характерное внешнее отличие - сдвоенную разнесенную антенну (на рисунке эти модели не представлены). Выпуск таких устройств связан с тенденцией все более широкого применения систем беспроводного доступа при развертывании сетей предприятий малого и среднего бизнеса.

Все перечисленные устройства созданы в рамках партнерской программы Open Platform for Secure Enterprise Connectivity (OPSEC), организованной компанией Check Point Technologies и охватывающей более 350 компаний по всему миру. Продукты этих компаний либо используют технологии Check Point, либо сертифицированы для совместной работы с ними. Кроме того, участие в программе предоставляет компаниям возможность интегрировать в свои продукты решения других фирм альянса OPSEC.

Все названные устройства легко и быстро интегрируются в сетевую инфраструктуру компании. Любой из комплексов может начать работу практически сразу после подключения, а основные настройки безопасности для него занимают несколько минут, благодаря поддержке более 150 сервисов и протоколов, включая службу мгновенных сообщений (Instant Messaging), приложения, работающие с базами данных, Voice over IP (VoIP), Microsoft NetMeeting и т. д. Отметим также, что устройства можно установить и настроить без привлечения специалистов, а прилагаемые программные средства управления ими имеют интуитивно понятный Web-ориентированный интерфейс управления.

Основные характеристики

Для предохранения сети от внешних атак межсетевые экраны разграничивают доступ между сетями, реализуя правила, на основе которых определяется легитимность попыток установить связь. Все рассматриваемые устройства имеют три уровня предустановленных настроек политик безопасности (высокий, средний и низкий) и позволяют создавать свои собственные настройки в зависимости от требований бизнеса. Используемая в них технология Stateful Inspection предусматривает инспектирование пакетов с учетом состояния соединения и позволяет контролировать данные вплоть до уровня приложения, не требуя при этом отдельного приложения-посредника (proxy) для каждого защищаемого протокола или сетевой службы. Это обеспечивает более эффективную и мощную защиту по сравнению с технологиями, используемыми в пакетных фильтрах и посредниках прикладного уровня.

Одно из главных достоинств VPN-сети - возможность использования дешевой Интернет-инфраструктуры для построения выделенной частной сети. Для создания VPN-соединений в устройствах реализованы алгоритмы шифрования Data Encryption Standard (DES), Triple DES и Advanced Encryption Standard (AES), пришедший на смену DES. При настройке VPN предоставляется возможность выбора алгоритма шифрования и длины ключей, за счет чего удается достичь требуемой предприятию степени защищенности при передаче информации по открытым каналам и выбрать оптимальное соотношение между уровнем защиты и скоростью шифрования/дешифрования.

Данные о производительности шлюзов безопасности производства компании SofaWare приведены в табл. 1 и 2. Для устройств Nokia IP40 (модели Tele 8, Satellite 16 и 32, Satellite U) число поддерживаемых межсетевым экраном узлов указано в наименовании модели, а производительность межсетевого экрана у всех одинакова - 80 Мбит/с. Производительность VPN у них тоже одинакова и составляет 18 Мбит/с (алгоритм шифрования Triple DES). Модель Tele 8 поддерживает восемь VPN-туннелей, все остальные - 10.

Таблица 1. Пропускная способность межсетевого экрана и производительность VPN для Safe@Office

Модель МСЭ VPN
  Число пользователей Производитель-ность, Мбит/с Число удаленных пользователей Производитель-ность*, Мбит/с
105 5 22 1 3
110 10 22 5 3
225 25 80 10 20
225U Не ограничено 150 25 30
405W 5 80 1 20
410W 10 80 5 20
425W 25 80 10 20
425UW Не ограничено 150 25 30
* При использовании алгоритма шифрования Triple DES (длина ключа 168 бит).

Таблица 2. Пропускная способность межсетевого экрана и производительность VPN для VPN-1 Edge

Модель МСЭ VPN
  Число пользователей Производитель-ность, Мбит/с Число удаленных пользователей Производитель-ность*, Мбит/с
S8 8 22 1 3
X16 16 80 10 20
X32 32 80 15 20
XU Не ограничено 150 25 30
* При использовании алгоритма шифрования Triple DES (длина ключа 168 бит).

Для удаленного администрирования предоставляется защищенный доступ по протоколу HTTPS к настройкам устройств, обновлению их встроенного ПО, а также возможность мониторинга событий, связанных с попытками доступа, из любой точки, где есть возможность подключения к Интернету. Устройства также поддерживают VPN-доступ по протоколу IPSec к информационным ресурсам предприятия для удаленных пользователей (для сотрудников в командировках или работающих дома). Каждое устройство проводит аутентификацию пользователя и шифрует сообщения для передачи по открытым каналам. При этом на ПК или ноутбуках удаленных пользователей должно быть установлено ПО VPN-1 SecuRemote от Check Point.

Интерфейсы

Все шлюзы безопасности семейств VPN-1 Edge и Safe@Office имеют четырехпортовый LAN-коммутатор, который позволяет получить множественный защищенный доступ к Интернету по одному соединению. Старшие серии продуктов, начиная с VPN-1 Edge X16 и Safe@Office 225, помимо этого, имеют последовательный и дополнительный WAN-порты. Наличие второго WAN-порта позволяет организовать резервное подключение к Интернету или создать демилитаризованную зону в сети предприятия. Последовательные порты можно использовать для резервного подключения по коммутируемым линиям.

У моделей Nokia IP40 имеется три Ethernet-порта: LAN, WAN и DMZ (для создания демилитаризованной зоны). Кроме того, есть последовательный порт для управления устройством по отдельному каналу на базе Nokia CLI, позволяющий получить доступ к системе управления в период сбоев, и последовательный порт для резервного подключения с использованием модема.

Компаниям, у которых постоянный доступ к информационным ресурсам выступает критичным фактором бизнеса, требуется резервирование каналов доступа в Интернет, а в особо критичных случаях - и резервирование самих устройств для обеспечения высокой доступности глобальных сетей. В таком случае программно-аппаратные комплексы осуществляют автоматическое переключение между основным и резервным шлюзами в режиме горячего резервирования.

Как уже отмечалось, устройства Safe@Office 400W, наряду с функциональностью младших серий, предоставляют и возможность создания беспроводных сетей или интеграции в существующие сети пользователей с предоставлением им беспроводного доступа. Кроме того, все модели устройства Safe@Office 400W дополнительно имеют два порта USB 2.0 и встроенный принт-сервер. С помощью последнего любой принтер, имеющий USB-интерфейс, можно превратить в принтер локальной сети, позволяя компании не тратить средства на более дорогой сетевой принтер или отдельный принт-сервер.

Работа в сети

Устройства поддерживают WAN-протоколы доступа PPPoE и PPTP. Они имеют встроенный DHCP-сервер (Dynamic Host Configuration Protocol). Network Address Translation (NAT) и Port Address Translation (PAT) обеспечивают сокрытие от внешнего мира сетевых адресов и топологии локальной сети. Устройства также поддерживают протоколы динамической маршрутизации и возможность создания VLAN.

Регистрация информации о попытках атак и создание интуитивно понятных отчетов, в которых цветом выделяются различные классы событий, дает возможность пользователям устройств легко отслеживать события, происходящие на границе между Интернетом и сетью предприятия. Кроме того, устройства предоставляют и более мощную функциональность: например, могут определить IP-адрес, с которого была инициирована атака, и с помощью утилиты Who Is идентифицировать его обладателя.

Аутентификация шлюзов и пользователей VPN выполняется с помощью цифровых сертификатов по протоколу X.509, ставшему промышленным стандартом. Можно также использовать заранее созданный общий ключ. Для устройств, управляемых централизованно, можно создавать цифровой сертификат, используя Check Point Internal Certification Authority, в основу которого положено создание общих ключей на базе 1024-битной инфраструктуры открытых ключей Диффи - Хеллмана. Эта возможность позволяет реализовать самую эффективную сегодня, ставшую промышленным стандартом, двухфакторную аутентификацию, избегая дополнительных затрат и сложностей установки, как это происходит в случае систем, использующих инфраструктуру открытых ключей - Public Key Infrastructure (PKI).

Наряду с более ранней технологией беспроводного доступа IEEE 802.11b (11 Мбит/с), устройство Safe@Office 400W поддерживает и самую последнюю - 802.11g (54 Мбит/с). Поддерживается и новый стандарт Super-G, который позволяет достигать выдающихся для беспроводных сетей скоростей - вплоть до 108 Мбит/с. Одно устройство Safe@Office 400W способно покрыть всю территорию офиса без применения ретрансляторов. Сдвоенная разнесенная антенна обеспечивает очень хорошую дальность приема/передачи и улучшенное качество сигнала за счет поддержки самой последней технологии увеличения дальности - extended-range (XR) technology. При условии установки XR-клиентов на рабочих станциях это позволяет троекратно увеличить радиус зоны покрытия - до 300 м в зданиях и до 1 км на открытом пространстве.

Рассматриваемые устройства позволяют легко инициировать (при помощи средств централизованного управления) различные дополнительные сервисы обеспечения безопасности (подписка на эти сервисы предоставляется за дополнительную плату). В числе этих сервисов следующие:

  • сервис обновления ПО, поддерживающий средства защиты в актуальном состоянии с точки зрения их готовности к отражению атак из Интернета, появлению новых вирусов и сетевых червей;
  • сервис сканирования сообщений электронной почты, который останавливает почтовые вирусы на границе шлюза, прежде чем они достигнут рабочих станций локальной сети;
  • фильтрация по содержимому - позволяет ограничить доступ пользователей к нежелательному содержимому Интернета, затрудняя реализацию угроз из сети и увеличивая производительность труда сотрудников;
  • сервис динамического DNS - позволяет применять динамические IP-адреса для создания соединений с низкой стоимостью для деловых коммуникаций.

Централизованное управление

Для всех рассматриваемых устройств существует единое средство централизованного управления - это Check Point Security Management Portal, программный комплекс управления системами различного масштаба, развернутыми на базе шлюзов безопасности в количестве от нескольких штук до десятков тысяч. Этот программный продукт разработан компанией SofaWare Technologies. Для семейств продуктов Nokia создано отдельное программное средство централизованного управления - Nokia Horizon Manager. Кроме того, устройства Nokia IP40, равно как и VPN-1 Edge, могут управляться созданными Check Point Software Technologies программными комплексами Smart Center, Smart Center Pro/Smart LSM.

Все названные средства централизованного управления (кроме Nokia Horizon Manager) оперируют настройкой межсетевых экранов, развертыванием VPN, автоматическим и защищенным обновлением встроенного в шлюзы безопасности ПО, управлением антивирусной защитой электронной почты, проверкой контента и удаленным мониторингом. С их помощью можно развертывать на базе рассматриваемых устройств централизованно управляемые и непрерывно работающие системы практически любого масштаба с легко создаваемыми и изменяемыми настройками, с простой инициализацией и хорошей масштабируемостью. Кроме того, сервисные возможности системы можно расширить за счет включения продуктов других производителей - участников альянса OPSEC.

***

Рассмотренные в статье устройства для создания межсетевых экранов и VPN на практике доказали свою эффективность. Широкие функциональные возможности, простота установки и конфигурирования, поддержка и актуализация ПО, расширение функциональности за счет новых сервисов - все это делает их в высшей степени подходящими для сетей предприятий различного масштаба и сфер деятельности. Наличие средств централизованного управления устройствами позволяет развертывать широкомасштабные системы и управлять ими, а также создавать защищенные системы с централизованным управлением для крупных корпораций и операторов связи.