Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Тестируем МЭ уровня приложений

Майк Фратто

Эффективность средств защиты и высокая производительность продукта Sidewinder G2 компании Secure Computing обеспечили ему победу в наших испытаниях.

Не успев порадоваться тому, что вам наконец-то удалось правильно сконфигурировать межсетевой экран (МЭ) — отныне надежную защиту сетевого периметра вашей компании, — вы вдруг узнаете, что в ПО ее серверов общего пользования обнаружилась очередная “дыра”, сквозь которую злоумышленники способны легко проникнуть в корпоративную сеть. Но, позвольте, разве вы покупали межсетевой экран не для предотвращения любых атак? Откроем вам секрет: если вы приобрели межсетевой экран с контекстной фильтрацией пакетов (stateful packet-filtering firewall), то с его помощью вы сможете эффективно блокировать атаки сетевого уровня, но при этом ваши серверы общего пользования скорее всего останутся уязвимыми для атак прикладного уровня.

МЭ уровня приложений (application-layer firewalls) отличаются от МЭ с контекстной фильтрацией пакетов и шлюзов канального уровня (circuit-level gateways) по нескольким признакам. Во-первых, один МЭ прикладного уровня способен поддерживать несколько посредников приложений (application proxies). Размещаясь между клиентами и серверами, посредники осуществляют обмен информацией между ними, сбрасывая все подозрительные пакеты. Клиенты и серверы приложений никогда не взаимодействуют друг с другом непосредственно. Поскольку посредники хорошо “знают” свои приложения, им гораздо проще обрабатывать сложные протоколы, такие, как протокол Н.323, используемый для организации видеоконференций и передачи трафика VoIP (Voice over IP), или фирменный протокол Oracle SQL*Net. Посредники могут быть как прозрачными для клиентов и серверов приложений (не требуют конфигурирования ни на клиентской, ни на серверной стороне), так и непрозрачны-ми (клиент и сервер явно обращаются к посреднику). Прозрачность и непрозрачность посредников зависят от их конкретной реализации .

Полную версию данной статьи смотрите в 9-ом номере журнала за 2003 год.

Во-вторых, поскольку посредники прикладного уровня выполняют роль как клиентов, так и серверов, они могут осуществлять проверку пакетов на соответствие стандарту протокола. Например, если в полях заголовков пакетов HTTP встречаются символы, отличные от символов ASCII, такие пакеты должны сбрасываться как не соответствующие стандарту HTTP. Вместе с тем программные компоненты взло-ма, не нарушающие стандарт протокола HTTP, будут оставлены посредником без внимания.

И наконец, посредники приложений осуществляют глубокий анализ сеансов связи. Например, посредники SMTP можно сконфигурировать таким образом, чтобы они пропускали только самые необходимые команды, такие, как helo, mail from: и rcpt to:, блокируя команды, подобные expn и vrfy, которые используются взломщиками и спаммерами. Другие параметры, такие, как MIME-типы и размеры сообщений, тоже можно использовать для фильтрации трафика. Посредники приложений, применяемые в МЭ, редко анализируют полезную нагрузку пакетов, однако существуют посредники, ориентированные на протокол HTTP и просматривающие содержимое полей форм (см. предыдущий номер журнала — Прим. ред.).

Результаты тестирования

В данном обзоре мы сконцентрировали свое внимание на механизмах защиты, предоставляемых МЭ прикладного уровня. Кроме того, мы оценивали, как изменяется производительность МЭ прикладного уровня по сравнению с производительностью МЭ с контекстной фильтрацией пакетов. По нашей просьбе производители должны были прислать нам МЭ, обеспечивающие защиту широко распространенных протоколов, включая HTTP, SMTP, POP3, IMAP, SQL*Net, DNS, FTP и Н.323, а для тестирования производительности снабдить нас оборудовани-ем, способным обрабатывать трафик со скоростью до 1 Гбит/с. Четыре производителя из пяти удовлетворили нашу просьбу, и только компания WatchGuard Technologies прислала нам свое решение Fast Ethernet. Все межсетевые экраны, протестированные нами, работали поверх усиленных версий ОС общего назначения.

Мы исследовали следующие продукты: FireWall-1 Next Generation Feature Pack 3 компании Check Point Software Technologies, Internet Security & Acceleration (ISA) Server 2000 компании Microsoft, Sidewinder G2 компании Secure Computing, Enterprise Firewall with VPN 7.0 компании Symantec и Firebox 4500 компании WatchGuard Technologies. Компании Cisco Systems, NetScreen и SonicWall отклонили наше приглашение, посчитав свои продукты еще не вполне готовыми. Более всего нас удивил отказ компании CyberGuard, рыночная доля продуктов которой, по данным фирмы Gartner, составляет 12%. Ну да ладно, дело хозяйское.

В наши намерения входило исследование механизмов защитны прикладного уровня, дополняющих контекстную фильтрацию пакетов. Мы решили ограничиться лишь контролем входящего трафика, т. е. теми случаями, когда МЭ размещается перед серверами демилитаризованной зоны. Надо сказать, что возможности защиты протоколов заметно варьировались от продукта к продукту. Так, продукт компании WatchGuard не обеспечивал никакой защиты входящего трафика на уровне протокола HTTP, тогда как остальные МЭ по меньшей мере следили за его соблюдением, сбрасывая все пакеты, в заголовках которых содержались не-ASCII-символы. FireWall-1 NG, ISA и Enterprise Firewall успешно блокировали атаки с применением уникода, используя URL-шаблоны. Ни один из протестированных нами продуктов не обеспечивал поддержку протоколов POP3 и IMAP, и только Sidewinder G2 компании Secure Computing успешно блокировал атаку на кэш DNS (табл. 3, 4).

Производительность сетевого оборудования по-прежнему остается проблемой, особенно это относится к МЭ. Не нужно быть семи пядей во лбу, чтобы догадаться о том, что МЭ на базе посредников прикладного уровня заметно снижают производительность сети, поскольку выполняют большой объем работы по просмотру пакетов и установлению удвоенного числа соединений. Ни один из протестированных нами МЭ не достиг скорости, близкой к 1 Гбит/с. Когда мы тестировали передачу трафика HTTP, продукт ISA компании Microsoft продемонстрировал скорость работы, равную 170 Мбит/с. Такой показатель вполне приемлем для канала OC-3, но не годится для каналов связи, пропускная способность которых близка к 1 Гбит/с. Для сравнения, продукт FireWall-1 NG работал в режиме контекстной фильтрации пакетов на огромной скорости — 766 Мбит/с, а в режиме посредника — всего лишь на скорости 122 Мбит/с. Словом, посредники приложений обеспечивают более высокий уровень информационной защиты, но за счет снижения производительности.

Победителем нашего тестирования стал продукт Sidewinder G2 компании Secure Computing. Он обладает превосходными возможностями защиты и высокой производительностью, однако его средства генерации отчетов требуют усовершенствования.

Sidewinder G2 компании Secure Computing

Продукт Sidewinder G2 — это первая новая версия МЭ компании Secure Computing со времен покупки ею ПО Gauntlet компании Network Associates. Пакет Sidewinder устанавливается поверх усиленной ОС BSDI 4.3, наделенной механизмом type enforcement, и его конфигурирование осуществляется посредством инсталляционной программы-мастера или управляющего интерфейса GUI. Ушли в прошлое те дни, когда правильно установить этот МЭ могли только знатоки служб Bind, DNS и Sendmail. Компания Secure Computing проделала огромную и важную работу по упрощению процесса инсталляции своего продукта, сохранив при этом его замечательные качества защиты.

Единственная проблема безопасности, с которой мы столкнулись, тестируя этот экран, состоит в том, что его посредник HTTP не поддерживает блокировку указателей URL на основании заданных шаблонов строк. Такая поддержка была бы весьма кстати в качестве временной меры для блокировки какого-нибудь новейшего “червя”, ориентированного на конкретный URL-адрес, пока вы “латаете” дыры на своих Web-серверах. Однако, несмотря на этот недостаток, сочетание в Sidewinder мощной защиты и высокой производительности произвело на нас поистине неизгладимое впечатление.

Непревзойденные защитные возможности Sidewinder обеспечиваются его посредниками приложений. Он предоставляет лучшие защитные механизмы как для протокола Н.323, так и для службы DNS. Этот МЭ умеет селективно блокировать кодеки Н.323 и функции Т.120, такие, как чаты, совместное использование приложений и видеоконференции. Что же касается защиты службы DNS, то для этого в Sidewinder используется усиленный сервер Bind 9, который можно сконфигурировать как раздельный посредник DNS (split-DNS proxy) или как прозрачный посредник DNS (transparent-DNS proxy). Раздельный посредник DNS представляет собой совокупность двух серверов. Первый из них — некэширующий — доступен для внешнего мира и служит для разрешения только адресов общего пользования. Второй — кэширующий — позволяет внутренним клиентам разрешать адреса хостов как внутренней, так и внешней сети. Разделение службы DNS означает невозможность внешних пользователей обратиться с запросом к ее внутреннему серверу. Дополнительным преимуществом использования Bind 9 является следующее: когда сервер DNS получает ответ на запрос, содержащий псевдоним (CNAME) хоста, то пытается разрешить его сам, не доверяя полученному ответу.

Это блокировало все наши попытки “отравить” внутренний сервер DNS. Во всех других протестированных нами МЭ подпортить информацию, содержащуюся в кэше сервера DNS, не составило труда.

Управляющий интерфейс МЭ Sidewinder G2 радикально отличается от интерфейса его предыдущих версий, так что вам придется привыкать к нему. Его единственное слабое место — управление правилами экранирования. Они сначала создаются, а затем добавляются в соответствующие группы, формируя политику безопасности. Порядок групп и порядок правил в группах жестко определяют порядок правил в окончательной политике безопасности. Просматривая активную политику, мы не смогли ни отредактировать ни одного правила, ни определить, к каким группам эти правила принадлежат. Все это пришлось отслеживать вручную. В результате накапливается слишком много деталей, о которых нужно помнить, а ведь хорошая консоль управления должна делать все это сама. Кроме того, регистрация событий реального времени по-прежнему оставляет желать лучшего. Ручное сканирование системного журнала еще может как-то устроить опытных администраторов, но отнюдь не новичков.

Что касается производительности, то Sidewinder способен обрабатывать огромное число одновременных соединений — до 30 тыс., уступая по этому критерию лишь продукту Firebox 4500. Продукт ISA компании Microsoft контролирует тоже весьма приличное число соедине-ний — 10 тыс. Максимальная скорость передачи данных по соединениям у Sidewinder составляла 800 Мбит/с. При тестировании пропускной способности в режиме фильтрации пакетов приложений HTTP он показал результаты, чуть лучшие чем продукт FireWall-1 компании Check Point. Однако при выполнении того же самого теста в режиме контекстной фильтрации пакетов его пропускная способность увеличивалась лишь на 10 Мбит/с. Для сравнения: пропускная способность МЭ FireWall-1, работающего в этом же режиме, возрастала многократно. Поработав бок о бок с инженерами компании Secure Computing, мы установили, что столь незначительный рост пропускной способности Sidewinder был связан с недостатками механизма распределения памяти, с которыми мы так и не смогли справиться.

FireWall-1 NG Next Generation Feature Pack 3 компании Check Point Software Technologies

Многие ли из вас знают о том, что в ПО FireWall-1 NG содержатся посредники приложений? Уверен, что немногие. Компания Check Point включает посредники, именуя их серверами безопасности (Security Servers) в свой МЭ, начиная с версии 4.0. Мы установили, что при обработке трафика HTTP серверами безопасности производительность этого продукта очень сильно отличается от его же производительности при выключенных серверах. Когда мы переключались в режим сканирования приложений, производительность FireWall-1 NG резко падала, демонстрируя то, что мы всегда знали: для фильтрации на уровне приложений требуется гораздо больше вычислительных ресурсов, нежели для контекстной фильтрации пакетов. Однако это небольшая цена за заметное повышение уровня защищенности приложений, которую обеспечивают посредники.

Графический управляющий интерфейс Firewall-1 демонстрирует прежнюю парадигму, основанную на правилах. Он понятен и прост в использовании, а его средства генерации отчетов обеспечивают высокий уровень детализации информации. Из числа протестированных нами продуктов единственным, предоставляющим более подробные данные, является МЭ Enterprise Firewall компании Symantec. Если вы хотите использовать посредники приложений наряду с контекстной фильтрацией пакетов, то Firewall-1 обеспечит вам достаточно высокий уровень защиты и приличную производительность.

Серверы безопасности добавляются через механизм управления ресурсами. Вы можете сконфигурировать специальные функции защиты, позволяющие, например, контролировать длину строк указателей URL для протокола HTTP или MIME-типы для протокола SMTP. Сконфигурировав ресурс, вы добавляете его к базе правил — и это все, что от вас требуется. Защита для каждого конкретного ресурса конфигурируется в процессе диалога SmartDefense. В качестве примера возьмем протокол HTTP. Опции SmartDefense посредника Security Server для приложений HTTP могут быть применимы как ко всем серверам безопасности, так и к одному-единственному такому серверу, выбранному в базе правил. Мы могли ограничивать длину строк указателей URL и заголовков HTTP и требовать применения в заголовках пакетов HTTP только символов ASCII. Учитывая тот факт, что для переполнения буфера Web-сервера взломщик обычно использует в поле заголовка длинные строки или не-ASCII-символы, обе выбранные нами функции будут надежно блокировать запросы, не соответствующие стандарту протокола HTTP.

При тестировании производительности FireWall-1 NG работал в режиме контекстной фильтрации пакетов на скорости 766 Мбит/с. После активизации серверов безопасности производительность FireWall-1 упала до 122 Мбит/с. Налицо все тот же компромисс между производительностью и защищенностью. Однако имейте в виду, что использование посредников приложений с этим МЭ или с любым другим протестированным нами не исключает применение и других механизмов защиты. Чтобы добиться оптимального соотношения безопасности и производительности, в базе правил МЭ можно задавать как фильтрацию пакетов посредниками приложений, так и контекстную фильтрацию.

Помимо серверов безопасности FireWall-1 NG предоставляет и другие механизмы защиты. Некоторые типы атак, включая совпадение URL с регулярными выражениями (URL regular expression matching), подмену IP-адресов (IP spoofing), отказ в обслуживании (Denial of Service — DoS), а также и другие сетевые и транспортные аномалии, перехватываются на уровне ядра ОС без участия серверов безопасности. Это повышает защищенность сети и не снижает производительность.

В FireWall-1 NG обеспечивается хорошее сочетание производительности и защищенности. Однако, на наш взгляд, Sidewinder с его механизмом соблюдения типа, разделенным посредником DNS и посредниками приложений Н.323 и SMTP все-таки лучше этого МЭ. Но если вы уже являетесь пользователем FireWall-1, то знайте, что отныне можете добиться более высокого уровня сетевой защиты.

Enterprise Firewall with VPN 7.0 компании Symantec

Продукт Symantec Enterprise Firewall (SEF) обеспечивает несколько более высокий уровень защиты протокола HTTP, чем продукт Sidewinder, но ему недостает опций фильтрации трафика NetMeeting. Работает же SEF медленнее других протестированных нами МЭ. При сканировании приложений HTTP он развивал скорость значительно ниже 100 Мбит/с. Возможности консоли управления у SEF не уступают таковым, имеющимся у продукта компании Check Point, а его средства регистрации событий являются лучшими среди всех аналогичных средств, протестированных нами.

Что касается возможностей защиты приложений, то здесь SEF зарекомендовал себя хорошо. Он блокировал все наши попытки “пропихнуть” через него некорректные пакеты трафика HTTP, DNS и SMTP. Добавляя в графу Advanced Services базы правил продукта SEF директиву http.urlpattern, мы могли отфильтровывать трафик, который содержал указатели URL, не соответствующие правилам политики безопасности. Например, чтобы заблокировать атаку Unicode, нацеленную на наш “незалатанный” Web-сервер IIS5, мы ввели соответствующие шаблоны, такие, как scripts/..%с0%af... Аналогичным образом можно создать шаблон для любой строки URL, которую вы хотите заблокировать. Обе эти возможности пригодятся вам в качестве временной меры для блокировки известных атак. Продукт SEF изначально содержит файл шаблонов с наиболее распространенными сигнатурами.

Так же как и Sidewinder, SEF блокирует попытки маршрутизации по источнику и ретрансляции сообщений SMTP. Уникальность SEF состоит в том, что он может обнаруживать telnet-соединения с портом 25 и сбрасывать их. По-видимому, здесь используется тот факт, что через telnet сообщения передаются посимвольно, тогда как настоящие клиенты SMTP передают строки целиком.

Что касается производительности, то, как уже говорилось выше, работает SEF сравнительно медленно. Как только мы приступили к наращиванию числа соединений с этим МЭ, загрузка его процессора сразу же подскочила до 100%. При скорости передачи 67 Мбит/с и числе соединений в секунду, равном 330, начались сплошные сбои в работе. Достигнув предела насыщения, МЭ перестал открывать новые соединения.

Internet Security & Acceleration (ISA) Server 2000 компании Microsoft

Продукт ISA является полнофункциональным посредником HTTP. Однако он не поддерживает некоторые ключевые протоколы. Уникальность этого МЭ состоит в том, что он может быть инсталлирован на Web-сервер или сервер Exchange и тесно интегрирован с ОС Windows 2000 и ПО Outlook Web Access (OWA). Вместе с тем нам удалось выявить проблему с посредником DNS, для которого компания Microsoft выпустила корректирующий код (более подробную информацию об этом можно найти в Microsoft Knowledge Base, статья Q331065). Наше тестирование позволило также обнаружить, что ISA не позволяет ни создавать правила контекстной фильтрации пакетов для нескольких внутренних сетей, ни инсталлировать посредники прозрачными для входящего трафика. Эти важные эксплуатационные возможности предоставляют другие протестированные нами МЭ. Работая со скоростью 170 Мбит/с, ISA оказался самым производительным посредником HTTP нашего обзора.

Что касается фильтрации URL, то здесь ISA тоже опережает другие протестированные нами МЭ. Получив URL-ссылку, он сначала декодирует все содержащиеся в ней строки Unicode или ASCII и только потом направляет ее хосту назначения. Чтобы заблокировать атаки типа directory-traversal, мы просто ввели в фильтр URLScan строку “../..”, избавив себя от утомительного написания регулярных выражений.

Тестируя ISA с помощью ПО Hailstorm компании Cenzic, мы обратили внимание на то, что во время процедуры регистрации фильтр POP3 искал длинные строки только в поле имени пользователя. Мы проинформировали об этом компанию Microsoft, и она подтвердила нам, что POP3 работает именно так, как и должен работать, однако, по нашему мнению, помимо поля имени пользователя, чувствительными к атакам могут оказаться и другие поля, фильтр же обеспечивает лишь ограниченную защиту. И наконец, мы установили, что фильтр приложений SMTP осуществляет блокировку лишь для входящего трафика. Мы запустили утилиту Netcat с внутренней стороны МЭ и подключились к посреднику SMTP через telnet. Хоть мы и не могли посылать команды с клиента на сервер, зато могли посылать их с сервера на клиент.

Firebox 4500 компании WatchGuard

Продукт Firebox хорош там, где большая часть HTTP-трафика генерируется внутренними клиентами. Однако мы не можем рекомендовать этот экран для защиты Web-сервера, поскольку соответствующий посредник не следит за соблюдением протокола HTTP в трафике, поступающем из внешней сети. Продукт Firebox ничуть не лучше любого МЭ с контекстной фильтрацией пакетов. Тем не менее его посредник SMTP оказался превосходным. Оснащенный лишь портами Fast Ethernet, Firebox легко обрабатывал поступающий на него трафик HTTP со скоростью 90 Мбит/с.

Посредник SMTP блокировал все наши попытки ретранслировать почтовые сообщения и “вычищал” все поля заголовков, не разрешенные к использованию. Все некорректные пакеты возвращались назад отправителю. Однако, находясь под нагрузкой, Firebox перестает реагировать на команды станции управления. Хотя компания WatchGuard и не отрицает, что при разработке своего продукта делала упор исключительно на его производительности, мы считаем, что потеря управления МЭ — вещь недопустимая.





  
9 '2003
СОДЕРЖАНИЕ

электронная Россия

• "Электронная Россия" - человеку, бизнесу, обществу

бизнес

• Учимся на практике: что стоит за ROI

• Проекты, которые не окупаются

инфраструктура

• Модернизация сетевой инфраструктуры, или Когда звезды благоприятствуют

• Четыре сценария построения совершенной сети

информационные системы

• Прогнозирование рабочей нагрузки в Call-центрах

• Семь раз отмерь, один раз отрежь и не суетись понапрасну

• Web-сервисы: проблемы безопасности

• Тестируем платформы Web-сервисов, основанных на SOAP

• MRTG следит за сетью

сети связи

• Cisco об отказоустойчивости IP-телефонии

• Удаленное IP-видео

• Пора обратить внимание на SIP

• IP в погоне за "пятью девятками"

• Подготовка сети к установке IP-УАТС и гарантии QoS

кабельные системы

• Смазка для протягивания кабелей

• Не поскупитесь на кабельный тестер

защита данных

• Тестируем МЭ уровня приложений

новые продукты

• Новый коммутатор фирмы D-Link, Онлайновые ИБП Powercom Vanguard, Улучшенные кабели ЗАО "Трансвок"


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх