Интернет и проблемы безопасности

Итак, вы подключились к Интернет. Вы имеете свой почтовый ящик, активно используете Интернет для дела и отдыха, подумываете о представительстве вашей фирмы в великой Сети. Словом, вам нравится эта технология… Как раз сейчас настало время подумать о безопасности.

Начать лучше с небольшого отступления. Предположим, раньше
вы жили в небольшой деревне М-ского района Н-ской волости.
Всех соседей вы знали с малых лет, и отношения между людьми
были такими, что ни у кого не возникало даже мысли о недоверии к окружающим. Вы привыкли, что в качестве средства защиты своего жилища можно применять простую палку, чтобы подпереть ею ворота на время отлучки в большой город. Но вот жизнь круто изменилась, и вы вынуждены переехать в этот самый большой город. Конечно, люди вокруг самые разные и большинство из них подходят под определение «добрый человек». Но вместе с тем здесь наверняка найдется сообщество индивидуумов, привыкшее жить за чужой счет. Палкой тут не обойтись, думаете вы и, скрепя сердце, тратите некоторое количество денег на замок для двери нового жилища.

Теперь посмотрим на информационные технологии. До тех пор, пока вы используете только локальную сеть, вопросы безопасности решаются скорее на административном уровне. Пароли, права доступа и пр. — это второй уровень обороны. Ваша организация тщательно подбирает новых сотрудников, и у вас «не возникает даже мысли о недоверии к окружающим».

Сообщество Интернет изначально создавалось как университетское. Открытые стандарты, протоколы и службы Сети обеспечивали ее существование и развитие. Ограниченное число пользователей Интернет были, как правило, профессионалами и придерживались неписаного кодекса чести. Технология WWW (World Wide Web) — всемирная паутина — кардинально изменила Сеть. С момента ее появления и по сей день наблюдается лавинообразное увеличение количества пользователей Интернет со всеми вытекающими отсюда последствиями. Сообщество претерпело необратимые изменения. Количество людей, не следующих кодексу чести, растет, а Сеть по-прежнему развивается согласно устоявшимся правилам.

Все это, с одной стороны, подталкивает развитие Интернет, а с другой — не способствует использованию Сети для деловых приложений. В прессе все чаще появляются публикации о «победах» хакеров над тем или иным состоятельным учреждением: где-то они перевели деньги из банка на собственный счет, где-то получили доступ к секретным документам и т. д. и т. п.

Возможно, проблемы у вас никогда и не появятся. Используя в качестве средства защиты надежное русское «авось», вы оставляете все как есть. Если дело обстоит так, тогда эта статья не для вас. Предположим, что вам есть что терять и ваша компания обладает информацией, которая ни в коем случае не должна попасть в чужие руки, а подключение к Интернет стало для вас неотъемлемой частью бизнес-процесса. Тогда все, что написано ниже, предназначено именно вам.

Можно ли вообще говорить о безопасности в сочетании со словом Интернет? Можно ли иметь доступ ко всему спектру информации, не беспокоясь о сохранности информации собственной? Мы готовы ответить утвердительно — да!

Для решения задачи безопасного подключения к Интернет применяются продукты класса firewall (он же брандмауэр, межсетевой экран). Что это такое? Как правило, это компьютер, подключенный одновременно к двум или более сетям. С одной стороны — к локальной сети вашего предприятия, с другой — к оборудованию, обеспечивающему физическое соединение с общественной сетью, чаще всего Интернет. Таким образом, firewall является ключевой точкой, через которую происходит ваше общение с потенциально опасным внешним миром.

Все данные, передаваемые между внутренней (защищенной) ЛВС и Интернет, проходят через компьютер, который работает под управлением firewall. Средства сопряжения физического канала (такие как Маршрутизатор) с точки зрения политики безопасности относятся к элементам «внешнего мира». Публично доступные корпоративные сервера, такие как Web, почтовый сервер и сервер телеконференций, выносятся в «зону демилитаризации». Такое решение позволяет распределить нагрузку между различными сегментами сети и полностью исключить возможность вторжения на охраняемую территорию.

Существует великое множество брандмауэров различных производителей. Среди них есть как коммерческие, так и бесплатные (freeware) продукты. Остановимся только на одном продукте, реально доступном на Российском рынке и распространяемом компанией Урал Релком. Речь пойдет о решении мирового лидера в области защиты информации, компании Check Point Software Technologies Ltd., брандмауэре FireWall-1.

Что же он умеет?

Firewall-1 инспектирует все исходящие и входящие данные перед их обработкой операционной системой, обеспечивая наивысший уровень защиты. Это его первая и основная задача.

Исходя из требований максимальной защищенности, любой трафик, который не разрешен, — запрещен!

FireWall-1 работает под управлением различных операционных систем на разных аппаратных платформах, что обеспечивает необходимый уровень масштабируемости.

Уникальная запатентованная технология Stateful Inspection проверяет доступ и анализирует данные на всех уровнях их представления, исключая противоречие между прозрачностью соединения и безопасностью, присутствующее в построенных на устаревших технологиях аналогичных продуктах. Практически это означает, что пользователи защищаемой сети могут просто не знать о существовании FireWall-1. Их работа в Сети по-прежнему происходит так же просто и прозрачно, как и раньше.

Инициируя только уполномоченный сеанс, Firewall-1 по существу ограничивает доступ к определенным приложениям. Достаточно разработать политику безопасности и один раз установить ее на шлюзе, чтобы доступ в вашу сеть (равно как и из нее) получали только те приложения, которые нужны для дела. При этом вы можете определить и рабочие места, с которых разрешается такая работа, и время, и конкретных специалистов...

Firewall-1 обеспечивает полностью защищенное двунаправленное соединение для более чем 150 сервисов, приложений и служб Интернет, а встроенный механизм позволяет определять и поддерживать любые новые или заказные приложения. Интернет развивается очень быстро, и такая возможность действительно оказывается востребованной.

Поддерживаются известные технологии динамической фильтрации пакетов и преобразования сетевого адреса, позволяющие скрыть внутренние адреса от злоумышленника за пределами сети.

Ключевым свойством продукта является возможность его использования как средства для создания виртуальной частной сети. Работая с мощными криптографическими алгоритмами, FireWall-1 позволяет использовать Интернет для развертывания собственной корпоративной сети. При этом данные, передаваемые между ее узлами, надежно шифруются. Такой же шифрованный канал связи может быть установлен и между корпоративной сетью и клиентом/сотрудником корпорации, также подключенным к Интернет, независимо от места его подключения.

Хотелось бы выделить возможность централизованной загрузки правил фильтрации и проверки набора правил на непротиворечивость. А также централизованный сбор и анализ регистрационной информации, получение сигналов о попытках выполнения действий, запрещенных политикой безопасности.

Еще одно преимущество Check Point Firewall-1 заключается в поддержке неограниченного количества сетевых интерфейсов, тогда как большинство конкурирующих продуктов ограничиваются двумя. Это позволяет, с одной стороны, создать классическую зону демилитаризации, а с другой — использовать продукт как средство сегментации локальной сети с разграничением доступа пользователей в каждый из сегментов.

Firewall-1 обеспечивает полную интеграцию по управлению доступом с популярными маршрутизаторами, поддерживает удаленное управление. Графическая среда позволяет в реальном времени видеть состояние всех шлюзов в сети. Firewall-1 способен отслеживать и протоколировать любое отдельное соединение. Имеются мощные утилиты для анализа всей проходящей через него информации. Используя FireWall-1, вы реально можете установить несколько шлюзов в различных местах вашей корпоративной сети и управлять ими из одной точки. При этом неважно, насколько далеко друг от друга расположены firewall’ы. Вы в состоянии определить и внедрить единую политику безопасности на организацию любого размера.

В комбинации с удобным пользовательским интерфейсом и централизованным управлением Check Point Firewall-1 обеспечивает наиболее полное и надежное решение проблемы безопасности в компьютерных сетях. Продукт сертифицирован Государственной Технической Комиссией при Президенте РФ (сертификат №111) как средство защиты от несанкционированного доступа 4 класса. А совсем недавно, 16 ноября 1998 г., объявлено о выходе новой, четвертой, версии FireWall-1. Check Point активно развивает свой флагманский продукт, отслеживая потребности клиентов и следуя в фарватере передовых технологий Интернет.

В заключение — несколько цифр. По различным оценкам, Firewall-1 занимает от 35 до 50% мирового рынка брандмауэров. Во всем мире проведено свыше 40 000 инсталляций продукта. Лидеры капиталистической индустрии доверили охрану своих секретов именно FireWall-1. А вы?

20219, Екатеринбург,

ул. Антона Валека, 13-401.

Коротков Андрей Борисович, тел. 77-64-86.

E-Mail: ako@mplik.ru