![]() Specializovaný týdeník o výpočetní technice o Internetu (CW 41/96) Internet za ochrannou zdíCyberGuard Firewall 2.1.2 od firmy Harris Computer Systems Corp. Gauntlet Internet Firewall 3.1 od firmy Trusted Information Systems Inc.
AUTOŘI Mark Pace Brooks Talley Michelle Murdocková
Odborníci na zabezpečení a správci informačních systémů se shodují: Ochranná zeď, neboli tzv. firewall, je nejlepším způsobem, jak zabezpečit vaši interní síť. Každý prodejce však implementuje jinou technologii -- která z nich je nejbezpečnější?
Mnohé z toho, co se děje na Internetu -- dříve obývaném převážně profesionálními akademiky a čerstvými vysokoškoláky -- se stává nepostradatelným nástrojem pro obchodování. S přístupem k Internetu můžete používat World Wide Web k vyhledávání údajů o výrobcích a dalších informací, které vám pomohou plánovat rozhodnutí o nákupu. Telekonferenční systémy Usenet na Internetu umožňují zprostředkování diskuse o důležitých technologiích se vzdálenými kolegy a přes virtuální privátní sítě LAN lze posílat elektronickou poštu do vzdálených kanceláří a strategickým partnerům. S připojením k Internetu můžete uvádět ve známost zboží své společnosti a dokonce přebírat objednávky výrobků přes přímý interaktivní kanál. Ale stejně jako za všechno dobré, musíte za přístup k Internetu zaplatit určitou cenu. Jakožto celosvětová síť, navržená ve svém jádru jako otevřená, vyzývá Internet k útoku na zabezpečení. Bez řádného plánu a bez technologie a lidské síly k jeho podpoře byste mohli neúmyslně předat klíče k prostředkům svého podniku průnikářům (hackerům), kteří mají v úmyslu horší věci, než jen posílat zprávy podepsané vaším jménem na různé obskurní adresy. Logickou odpovědí na ohrožení bezpečnosti, které vyvolávají bezohlední obyvatelé Internetu, je ochranná zeď. Srovnávali jsme výrobky od tří předních prodejců ochranných zdí: CheckPoint Firewall-1 2.0 od firmy CheckPoint Software Technologies, CyberGuard Firewall 2.1.2 od firmy Harris Computer Systems a Gauntlet Internet Firewall 3.1 od firmy Trusted Information Systems. Bohužel jsme neměli čas ani prostředky, podívat se na více než tři výrobky, takže jsme vynechali BorderWare Firewall Server firmy Secure Computing a Eagle Firewall od společnosti Raptor Systems. Na NT verzi Eagle jsme se však v rychlosti podívali. Zvolili jsme ji proto, že Raptor je jediným předním výrobcem ochranných zdí s komerčně dostupným výrobkem pro Windows NT.
Volání a odezva Ačkoliv termín ochranná zeď, stejně jako většina žargonu z oblasti zabezpečení, odráží drama románu Roberta Ludluma, jedná se v zásadě o jednoduchý koncept: nepustit černé ovce k vašim privátním interním sítím. Ochranná zeď není precizní implementací specifické technologie -- právě naopak. Je to zastřešovací termín, zahrnující množství zabezpečovacích technik, navržených k tomu, aby vnější svět nemohl proniknout k vaší síti připojené k Internetu a zpustošit ji. Nicméně většina ochranných zdí, ať již zakoupených nebo vytvořených doma, izoluje vaši interní síť jedním nebo dvěma způsoby. První možností je odepření použití specifikovaných, nepříliš bezpečných služeb na vašem serveru pro styk s Internetem. Tento server je znám jako brána aplikací neboli proxy server. Druhou metodou je filtrování paketů, které nedovolí, aby provoz směřoval na vaši síť odjinud než z předem definovaných, důvěryhodných míst.
Dobrý plot dělá dobré sousedy Filtrování paketů, což je zvláštní druh směrování, je historicky považováno za nejzákladnější zabezpečení. Standardní směrovače používají vlastní inteligenci k rozhodování, kam by měly být jednotlivé pakety posílány, ale filtry paketů, založené na zabezpečovacích pravidlech definovaných koncovým uživatelem, tuto inteligenci rozšiřují, aby v prvé řadě určily, jestli má být paket poslán na vaši síť. Typický filtr paketů dokáže ověřovat adresu IP a služební informace -- tj. určuje, jestli provoz přichází z ověřeného místa a jestli se žádá o povolené služby. Díky systémové nezaujatosti těchto filtrů, jejich širokému použití a skutečnosti, že lidé zabývající se Internetem mají rozsáhlou znalost jejich zadních vrátek, je mnoho služeb, včetně Telnetu a FTP, virtuálně nepříliš bezpečných již ze své definice. Filtr paketů vám umožní stanovit pravidla, která takovéto služby blokují. Na rozdíl od některých dalších zabezpečovacích mechanismů je filtrování paketů pro uživatele krásně transparentní. Slouží mu také ke cti, že nenákladné směrovače, filtrující pakety, mohou vyhovujícím způsobem poskytovat jediný bod vstupu a výstupu na a z vaší sítě a mohou efektivně zablokovat služby, jež byly nepředloženě zpřístupněny na jednom nebo více strojích vaší sítě. Schopnosti filtrování paketů jsou navíc široce dostupné jak v komerčních výrobcích pro směrování tak i jako freeware. Kvůli značnému počtu paketů, které jsou legitimně předávány z a na Internet, je snadné zapomenout některé pakety odmítnout -- dokonce i ty triviální. Filtrování paketů, které povoluje přímý kontakt mezi Internetem a vaší sítí, není tudíž považováno za dostatečně bezpečné. Proxy server bude izolovat váš systém dokonaleji tím, že vytvoří fyzickou bariéru mezi vnitřkem a vnějškem (bez uživatelské transparence, vytvářející kompromisy). V proxy konfiguraci komunikují klienti uživatelů přímo s proxy serverem pro specifickou sadu protokolů, např. FTP, HTTP a Telnet. Proxy server, který běží na hostiteli s duálním umístěním (hostitel s dvěma připojeními k síti), rozhoduje, zda mají být požadavky klientů předány dále nebo ignorovány. Pro platné žádosti potom slouží jako prostředník mezi klientem a hostitelem. Ale zástupci (proxies) nejsou dokonalí. Například aplikační zástupci neadresují všechny potenciální slabiny zabezpečení všech možných protokolů (např. vysoce rozšiřitelného HTTP) a vyžadují, abyste měli zástupce pro každý protokol, který budete chtít podporovat. Gauntlet, vítěz našeho srovnávání, je ochrannou zdí tvořenou bránou aplikací. CheckPoint, který se umístil na druhém místě, není ani tradičním filtrem paketů, ani bránou aplikací. Firma CheckPoint Software nazývá technologii, kterou používá, Stateful Multilayer Inspection. Aby splňoval standardní funkce ochranné zdi v ukrývání interních adres IP, provádí CheckPoint jedinečnou formu překladu adres. Jinými slovy, jeho skriptovací jazyk sleduje a prozkoumává pakety skrz aplikační vrstvu a extrahuje pouze ta data, která se týkají zabezpečení. To odstraňuje potřebu mít pro každou službu spuštěnu oddělenou proxy aplikaci.
Věčná ostražitost Navzdory veškerému tlaku, který ochranné zdi snáší, pamatujte: Jestliže je vaše organizace připojena k Internetu, údržba bezpečnosti interních sítí a ochrana integrity dat společnosti nezačíná a nekončí instalací, jediného balíku softwaru nebo hardwaru. Začíná plánováním racionálních a efektivních zabezpečovacích strategií a procedur, jak lidských, tak elektronických. Na tato pravidla řízení se budete koneckonců odvolávat při programování své ochranné zdi. Dokonce i poté, co je nainstalována ochranná zeď, vaše zodpovědnost za bezpečnost nikdy nekončí. Ochranné zdi slibují mnohé, s výjimkou minimální péče a přísunu materiálu; mají daleko k technologii "nastav-a-zapomeň". Vaše ochranná zeď pouze neblokuje potenciálně nebezpečný provoz přicházející z velkého sítového mraku, jakým je Internet, ale také trasuje vnější a vnitřní dotazy. Avšak žádná černá skříňka na světě vás nemůže ochránit před neuplatňovanou politikou nebo nedostatečnou údržbou systému. Systém provozního deníku jakékoliv ochranné zdi budete muset během času pravidelně kontrolovat a spravovat, inteligentně reagovat na varování a vypátrat anomální vzorky provozu; posledně jmenovaná věc je náročným úkolem dokonce i pro odborníky. Důvodem, proč ochranné zdi existují, je samozřejmě bezpečnost, proto jsme ji měli při návrhu našich testů v mysli na prvním místě. Například jsme se méně zajímali o nablýskané uživatelské rozhraní a více o to, jak účinně nám umožňují nástroje správy určitého výrobku implementovat bezpečné prostředí, založené na naší zabezpečovací politice. Naším cílem bylo zajít až na hranice zabezpečení jednotlivých výrobků.
Přehled produktů
CheckPoint Firewall-1 2.0 Technologie, kterou používá CheckPoint Firewall-1 2.0 firmy CheckPoint Software Technologies, se nazývá Stateful Multilayer Inspection; v podstatě funguje jako ochranná zeď s filtrováním paketů, i když složitá a výkonná. Na rozdíl od CyberGuardu a Gauntletu CheckPoint neimplementuje zástupce v tradičním smyslu přísunu paketů do zástupce. Namísto toho jeho skriptovací jazyk sleduje a zkoumá pakety až do aplikační vrstvy a extrahuje pouze data definovaná jako vztahující se k zabezpečení. To odstraňuje potřebu spouštět pro každou službu oddělenou proxy aplikaci. CheckPoint pracuje jako server nebo brána běžící na pracovní stanici Intel x86 nebo Sparc firmy Sun Microsystems Computer, používající SunOS 4.1.3 nebo Solaris 2.3 a 2.4. Vyžaduje 10 MB místa na disku a 16 MB RAM. Podle IDC je CheckPoint jasnou jedničkou na trhu ochranných zdí pro Internet, s 4 000 komerčních ochranných zdí dodaných v roce 1995 a se 40 procenty celkového trhu. Jeho vlajková loď, CheckPoint Firewall-1, byl uvolněn v polovině roku 1994; v porovnání s CyberGuardem, který je hardwarovým a softwarovým systémem, je to výrobek založený pouze na softwaru. Dalším výrobkem CheckPointu je SecuRemote. Umožňuje mobilním a vzdáleným uživatelům Windows 95 připojit se ke svým základním sítím přes vytáčená připojení k Internetu.
CyberGuard Firewall 2.1.2 Systém firmy Harris Computer Systems může fungovat jako brána aplikací nebo filtr paketů. Můžete také implementovat kombinaci těchto dvou funkcí: Můžete např. nastavit filtr paketů tak, aby pouštěl vaše uživatele ven a proxy server, aby řídil, kdo vchází. Server může zastupovat následující služby: FTP (protokol přenosu souborů), Telnet, rlogin, HTTP, SMTP, Gopher, Network News Transfer Protocol a Real Audio. CyberGuard je softwarovým a hardwarovým systémem. Má grafické uživatelské rozhraní (GUI) pro nastavení, konfiguraci, monitorování a tvorbu hlášení. Hardware se skládá z klávesnice, monitoru a ohromné krabice, která obsahuje 32 MB lokální paměti, 1GB pevný disk a mikroprocesor RISC. Společnost Harris byla založena v roce 1967 a je rozdělena do dvou skupin: Trusted Systems Division a Real-Time Systems Division (RSD). V květnu Harris oznámil prodej RSD firmě Concurrent Computer. Po provedení prodeje se očekává, že firma Harris změní svůj název na CyberGuard a zaměří se výhradně na vývoj a marketing CyberGuardu a dalších výrobků pro zabezpečení sítí.
Gauntlet Internet Firewall 3.1 Gauntlet Internet Firewall 3.1 od firmy Trusted Information Systems (TIS) je komerčním výrobkem, který byl vytvořen pomocí produktu Firewall Toolkit firmy TIS. Firewall Toolkit je sada programů a konfiguračních postupů, navržených pro pomoc při vytváření síťové ochranné zdi; je zdarma dostupný na Internetu a byl použit k vytvoření mnoha dalších komerčně dostupných ochranných zdí pro Internet. Gauntlet je ochranná zeď brány aplikací. Ne nesmyslná architektura Gauntletu odráží skutečnost, že byla navržena odborníky na zabezpečení. Software této aplikace byl vytvořen tak, aby byl tak malý, jak je jen možné, protože čím je méně kódu, tím je větší šance, že bude software bez chyb. Při použití produktu Crystal Box může kterýkoliv zákazník TISu prozkoumat zdrojový kód a algoritmy, které tvoří ochrannou zeď Gauntlet. Protože jsou fakticky všechna porušení bezpečnosti způsobena někým, kdo kompromituje uživatelský účet, má Gauntlet pouze jeden účet (je pro správce ochranné zdi). Gauntlet může zastupovat následující služby: Telnet, rlogin, FTP, SMTP, Gopher, POP3, HTTP a X Windows System. Když jsme před téměř čtyřmi měsíci obdrželi Gauntlet, dodával se s bezplatným dnem konzultačních služeb; tato služba měla být specificky pro instalaci a konfiguraci systému. Celková cena byla 15 000 dolarů. Od té doby snížil TIS cenu systému na 11 500 dolarů a z konzultačních služeb udělal volitelnou možnost za 2 500 dolarů. Hodnotili jsme instalaci a úvodní konfiguraci a cenové kategorie založené na originálním balení firmy TIS, neboť to byl balík, který jsme obdrželi. TIS je jednou z mála společností zabývajících se ochrannými zdmi, která byla v zabezpečovací branži před uvedením výrobku, sloužícího jako ochranná zeď. Tato společnost byla založena v roce 1983 především pro provádění zabezpečovacích prací pro vládu Spojených států.
Instalace a počáteční konfigurace
CheckPoint Firewall-1 2.0 USPOKOJIVÝ Stejně jako u CyberGuardu, výchozí konfigurace CheckPointu nic nepřidává ani neubírá. Počáteční konfigurace rozhraní pro Ethernet je obtížnější než u ostatních výrobků, které jsme testovali. CheckPoint je tajemnější než CyberGuard nebo Gauntlet. Abyste jej nakonfigurovali pro svou síť, musíte mít buďto předchozí zkušenosti s konfigurací pracovní stanice Sun s dvěma síťovými kartami, nebo potřebujete unixového nadšence se spoustou volného času. Poté co nastavíte adresy IP v hostitelských souborech a nakonfigurujete výchozí směrování, jste připraveni k opětovnému zavedení operačního systému (reboot) a k nastavení systému tak, aby dělal to, k čemu je navržen: pouštět provoz ven a dovnitř spolehlivě a bezpečně. Na výchozí instalaci jsme pustili Internet Scanner firmy Internet Security Systems a nebyla ohlášena žádná známá zranitelná místa v zabezpečení.
CyberGuard Firewall 2.1.2 USPOKOJIVÝ Instalace CyberGuardu je přímočará. Na rozdíl od Gauntletu však není jeho výchozí konfigurace přizpůsobena pro určité prostředí. Z těchto tří ochranných zdí má CyberGuard nejlepší fyzickou prezentaci. Balík se dodává s X-terminálem Tektronix a 17" monitorem pro použití jako stanice pro správu. Samotná jednotka ochranné zdi je postavena jako tank (s výjimkou plastického krytu předních dveří), má dobrá kolečka pro snadné pojíždění a vaši šéfové budou mít zaručeně radost, že jste koupili něco tak velkého. Proces instalace a konfigurace je pro CyberGuard a CheckPoint velmi podobný (hlavní rozdíl je v tom, jak snadno se u CyberGuardu konfigurují rozhraní pro Ethernet). Jednoduše zapnete systém a čekáte. X-terminál vás nakonec vyzve, abyste se přihlásili a zadali heslo. Když je zadáte, požádá vás o vaši interní a externí adresu IP a potom znovu zavede systém (reboot). Když dokončil opětovné zavedení systému, spustili jsme na něm Internet Scanner a nebyly ohlášeny žádné díry v zabezpečení.
Gauntlet Internet Firewall 3.1 DOBRÝ Gauntlet vyčníval nad ostatními systémy, protože byl dodán se dnem konzultačních služeb; konzultantka tuto ochrannou zeď nainstalovala a nakonfigurovala ji pro naši síť. Instalační proces byl tak dobře navržen, že nám dokonce poskytl způsob, jak zálohovat systém předtím, než jsme jej začali používat. Operační systém Gauntletu je opravenou verzí BSDI Unixu. Opravné vsuvky a kompilace jádra proběhly během instalace, kterou provedla konzultantka. Poté co odešla, zanechala nám systém, který byl připraven k použití na naší síti. Nakonfigurovali jsme svůj proxy server prohlížeče a port a byli jsme schopni odsurfovat. Na výchozí konfiguraci jsme pustili Internet Scanner. Ohlásil, že Gauntlet nemá žádné známé díry v zabezpečení. Během tohoto prozkoumávání Gauntlet ohlásil možné problémy se zabezpečením; byla to jediná ochranná zeď, která odhalila Internet Scanner bez nutnosti další konfigurace.
Správa
CheckPoint Firewall-1 2.0 VELMI DOBRÝ Ačkoliv nebylo rozhraní CheckPointu tak snadno použitelné jako u CyberGuardu, byl to zdaleka nejmocnější (a nejužitečnější) nástroj pro správu z výrobků v tomto srovnání. Nabízí možnosti konfigurace pro pokročilé uživatele, síť a výstražný systém, které ostatní systémy nenabízejí. Z těchto tří systémů má CheckPoint nejschopnější a nejúčinnější rozhraní a nejvíce usnadňuje život správce, který se pokouší zabezpečit síť. I když není rozhraní CheckPointu tak snadno použitelné jako u CyberGuardu, je stabilnější. CheckPoint se konfiguruje a spravuje hlavně z programu s grafickým uživatelským rozhraním. Odsud také můžete konfigurovat pravidla filtrování, uživatele a chráněné systémy. Přes grafické rozhraní však nemůžete konfigurovat velmi častý překlad adres, musíte použít program s textovou nabídkou. Doufáme, že v příští verzi z něj CheckPoint udělá grafické rozhraní, neboť program s nabídkou je již dobře uspořádaný. Systém CheckPointu má nejvyspělejší možnosti konfigurace. Mohli jsme v různých chvílích uznat nebo zamítnout uživatele, stejně jako provoz do a ze systémů. Přes hlavní rozhraní je snadné přidat nebo odstranit pravidla pro filtrování paketů. Systémy ohlášení, záznamu událostí a varování byly z těchto tří výrobků nejobsáhlejší; umožňovaly nám rozevírat okna s výstrahami, posílat pasti (traps) SNMP nebo zprávy elektronické pošty a spouštět skript pro spuštění programu, který by např. někoho vyvolal. Jako kdyby tohle všechno nestačilo, byly informace o konfiguraci na rozdíl od CyberGuardu uloženy v databázích, díky čemuž bylo editování textového souboru minimální.
CyberGuard Firewall 2.1.2 DOBRÝ Uživatelské rozhraní CyberGuardu je z těchto tří výrobků nejintuitivnější a nejsnadněji použitelné; bohužel, konfigurace některých služeb (např. Sendmail) vyžaduje editování textového souboru. Nicméně, jeho intuitivní uživatelské rozhraní mu vyneslo větší skóre než Gauntletu. Všechny tři z námi testovaných ochranných zdí měly určitý druh grafické konfigurační utility, ale žádná nemohla být kompletně nakonfigurována s použitím svého elegantního rozhraní. Nedostatek úplného grafického uživatelského rozhraní v Gauntletu a CheckPointu nám opravdu nevadil, protože oba jasně podrobně udávaly, které příkazy jsou dostupné přes grafické uživatelské rozhraní (GUI) a které ne. Na druhé straně, u CyberGuardu je zcela nejasné, co by se mělo použít a kdy. V děleném okně služeb se jmény jsme našli chybu, která přidává před IP adresu privilegovaného hostitele dvě mezery. Tato chyba se objevuje při každém opětovném zavedení systému a zabraňuje službám se jmény v běhu. Abyste tomuto problému zabránili, jednoduše tyto dvě mezery smažte a řekněte systému, aby použil novou konfiguraci. Ačkoli se nezdálo, že by vytvářely problémy v zabezpečení, tento a další vtípky nás nechávaly v obavách o stabilitu systému.
Gauntlet Internet Firewall 3.1 USPOKOJIVÝ Gauntlet vábí grafickým uživatelským rozhraním, založeným na Webu. Bohužel, většinu stránek nelze použít. Kvůli naší frustraci z grafického uživatelského rozhraní, spojené se skutečností, že stanovení pravidel omezujících koncové uživatele vyžaduje spoustu editování textového souboru, neobdržel Gauntlet tak vysoké skóre jako CheckPoint a CyberGuard. Gauntlet používá k tomu, aby vám umožnil konfigurovat klíčové komponenty ochranné zdi, kombinaci textového a grafického rozhraní. Přijdete však na to, že budete muset editovat tabulky a další důležité soubory, jestliže chcete, aby byla pravidla přísnější než ta, která jsou nainstalována v systému na počátku (např. nepovolit uživatelům prohlížet si určitou stránku na Webu). To, co začalo u grafického uživatelského rozhraní Gauntletu založeného na Webu jako vzrušení, skončilo rozčarováním, když jsme si uvědomili, že většina užitečných stránek byla "ve výstavbě". Textové soubory, které grafické a textové rozhraní edituje, byly naštěstí jasně označeny, aby nás informovaly, že tyto soubory byly kompilovány databází Gauntletu a že bychom je neměli upravovat. Soubory, které rozhraní upravují, jsou standardními unixovými konfiguračními soubory. Poté, co změníte konfiguraci systému, konfigurační databáze Gauntletu znovu sestaví příslušné soubory a vyvolá hup, aby se změny aktivovaly. Vytvoření textových souborů z databáze je mnohem lepší, než prostá přímá editace textového souboru. Jestliže je konfigurační soubor nechtěně upraven, můžete tímto způsobem jednoduše aktualizovat soubory databází a soubor bude znovu správně nakonfigurován. Jestliže pohodlně zvládáte správu Unixu, nebude vám konfigurace Gauntletu a proces správy činit žádné potíže, protože jsou velmi přímočaré.
Zabezpečení
CheckPoint Firewall-1 2.0 USPOKOJIVÝ CheckPoint nás překvapil tím, že měl některé základní problémy v návrhu. Během zavádění systému jsme byli schopni proniknout do systému, který byl na několik vteřin ponechán naprosto nezabezpečen. Ačkoli to nemělo vliv na bezpečnost systému když již běžel, byli jsme šokováni, že takový problém CheckPoint Software přehlédl. Celkově je však teorie v pozadí základního návrhu CheckPointu oproti ostatním výrobkům špičková. CheckPoint je ze všech tří testovaných ochranných zdí nejneobvyklejší. K monitorování provozu používá jakýsi druh hybridní technologie filtrování paketů. CheckPoint poskytuje jedinečnou formu překladu adres jak k skrytí interních IP adres, tak k použití neregistrovaných adres. Tento systém nabízí všechny výhody tradičního filtrování paketů. Má podrobně rozpracované vedení provozního deníku a varování, což vám umožňuje vysledovat dokonce i ty úplně nejbezpečnější činnosti. Při testování softwaru na Sun Solaris jsme se dozvěděli více o tom, jak na sebe CheckPoint vzájemně působí s operačním systémem nižší úrovně. Během zavádění systému a předtím, než se CheckPoint ujme řízení, je aktivní směrování jádra Solarisu. V tomto bodě je systém zcela otevřený a ponechává tak široký tunel pro útok. Nedostatečné vyzkoušení a porozumění procedurám zavádění systému je překvapující; CheckPoint Software jasně potřebuje zvýšit testování kvality svého softwaru. Vyřešení tohoto problému není věcí změny návrhu, ale jednoduše trochy editování textových souborů. Není třeba říkat, že jsme byli zklamáni, když jsme našli tento problém a že jsme příslušně snížili bodové hodnocení bezpečnosti tohoto výrobku. Důrazně doporučujeme, aby uživatelé CheckPointu tento problém prozkoumali a nalezli jeho řešení, které funguje v jejich prostředí.
CyberGuard Firewall 2.1.2 DOBRÝ Nastavit hlášení monitorování a varování CyberGuardu vyžaduje dosti programování, což jsou věci, které lze jak v Gauntletu tak u CheckPointu udělat snadno. Na rozdíl od CheckPointu tento systém nikdy neponechal naši síť bezbrannou před útokem. Jeho silné zabezpečení a podrobné funkce provozního deníku mu také slouží ke cti. Z těchto tří ochranných zdí je CyberGuard nejvíce konvenční, a to jak filtr paketů, tak server brány aplikací. Tento systém také zajišťuje překlad síťových adres. Tato služba pro překlad např. může vzít FTP seanci a změnit zdrojovou adresu na adresu externího rozhraní na jednotce CyberGuard. S tím můžete skrýt adresy interní sítě a tak zabránit pokusu průnikáře (hackera) přesně stanovit, kde zaútočit. Tento systém nabízí podrobný provozní deník: vlastně tak podrobný, že se pravděpodobně přistihnete, že používáte pouze nižší úroveň podpory záznamu událostí, abyste nemuseli trávit přílišné množství času prokopáváním se skrz provozní deníky. Na druhou stranu, během útoku na systém vám může tento druh podrobného záznamu událostí poskytnout některé velmi cenné informace. Výstražný systém CyberGuardu je především navržen podle myšlenky, že vy, jakožto odborníci na Unix, budete schopni zřídit skriptovací úlohy, které by monitorovaly bezpečnostní provozní deníky a v případě útoku vás upozornily. Grafické rozhraní poskytuje jakousi schopnost monitorovat varování, ale žádný správce nebude sedět před konzolí 24 hodin denně. Byli jsme zklamáni nedostatkem výstražných mechanismů, vestavěných do systému. CyberGuard také sužuje několik podivných manýr při konfiguraci filtrů paketů přes grafické rozhraní. Když nastavíte filtr paketů, aby povolil, aby mohlo od každého cokoli odcházet nebo přicházet (relativně neužitečné nastavení s výjimkou testování), a potom jej přepnete zpátky, aby odmítal cokoli od kohokoli, nechá pakety stále procházet. Vše, co jsme museli udělat, abychom tuto situaci napravili, bylo znovuzavedení systému (reboot), ale polekalo nás to právě kvůli tomu, že bychom očekávali, že se systém aktualizuje bez opětovného zavedení.
Gauntlet Internet Firewall 3.1 VELMI DOBRÝ Při nebezpečném chování CheckPointu a nepředvídatelném chování CyberGuardu byl Gauntlet nejbezpečnějším systémem, který jsme testovali. Na rozdíl od ostatních ochranných zdí nepovoluje Gauntlet žádný přímý přístup k vaší zabezpečené síti. O veškerém přístupu rozhodují aplikační zástupci Gauntletu. To se tradičně pokládá za nejbezpečnější přístup k ochranným zdem, protože systémem ve skutečnosti neprocházejí žádné pakety. Zabezpečení klienti vyžadují informace od proxy serveru na jeho interní straně. Proxy server slouží na externí straně jako klient a žádá o informace, které vrací do proxy serveru. Proxy server potom změní svou roli z klienta zpět na server a vrací informace zabezpečenému klientu. Tento druh zastoupení se může také vyskytovat z externí sítě, aby umožnil přístup k interním službám. Gauntlet nabízí svazek postupů k ověřování pravosti známek (tokenů), včetně S/Key, SecureID, SNK a Fortezza. Secure ID a SNK nabízejí klíčované systémy, kde uživatelé nosí karty, které šifrují jejich hesla pro jednorázové použití v systému. S/Key nabízí zabezpečení tím, že poskytne uživateli počáteční klíč. Uživatel potom vloží tento klíč se svým heslem; vygeneruje se seznam slov, která mají být použita jako přihlašovací hesla. Tyto typy postupů umožňují poskytnout vzdáleným nebo cestujícím uživatelům přístup k zabezpečené interní síti z externí sítě. Všechny umožňují mít heslo na jedno použití, které lze bezpečně vyslat přes libovolnou síť.
Služby
CheckPoint Firewall-1 2.0 VÝTEČNÝ CheckPoint je v této kategorii jasným vítězem, neboť jeho vyspělý návrh mu umožňuje podporovat všechny služby, dokonce i na neregistrované síti. Tato schopnost činí z CheckPointu skvělou volbu pro jakoukoliv síť, která potřebuje přístup k nejposlednějším a nejskvělejším službám Internetu, např. k telefonu po Internetu. Pro úspěšnou ochrannou zeď je nezbytné, aby byla pro uživatele transparentní. Čím více procedurám je uživatel vystaven, tím pravděpodobněji udělá něco, co bude ústupkem na úkor zabezpečení. Pro ochrannou zeď je také důležité, aby poskytovala přístup k tolika službám na Internetu, jak je jen možné. Čekání na to, až bude vyvinut proxy server pro novou aplikaci, může trvat dlouho a v současnosti neexistují žádné osvědčené standardy pro zastupování v protokolové vrstvě namísto v aplikační vrstvě. CheckPoint zaujímá jedinečný přístup k poskytování přístupu ke všem službám na Internetu. Normálně by vám skutečnost, že CheckPoint je především směrovač s filtrováním paketů a ne aplikační brána, bránila v tom, abyste byli schopni používat cokoli jiného než číslo sítě registrované na Internetu. Technologie CheckPointu umožňuje přístup na Internet dokonce i z neregistrovaných čísel sítí. Nástroj sleduje pakety, jak procházejí směrovacím systémem. Tento mechanismus vybere všechny pakety, na kterých chce provést tento druh prozkoumání. Např. paket UDP (User Diagram Protokol) přijde na vnitřní zabezpečenou síť a směrovací mechanismus paket zachytí a pošle jej ven na externí síť. Když se vrátí paket odezvy, systém tento paket zkontroluje oproti své tabulce UDP, aby se ujistil, že je skutečně odpovědí a potom jej předá zpět na interní síť. Tohle umožňuje systému provádět ekvivalent zastupování libovolné služby. Žádná z ostatních ochranných zdí tuto úroveň podpory protokolu nenabízí.
CyberGuard Firewall 2.1.2 USPOKOJIVÝ CyberGuard se v této kategorii předvedl slabě, protože jedna z klíčových služeb nám několikrát přestala fungovat. Také neposkytuje některé klíčové služby, které bude většina míst vyžadovat. CyberGuard nabízí zástupce aplikací pro základní služby, např. elektronickou poštu, Domain Name System (DNS), HTTP, Network News Transfer Protocol (NNTP), FTP, Telnet a rlogin. Ale z těchto tří serverů má CyberGuard nejmenší podporu pro přístup k Internetu z neregistrované nebo skryté domény. Ačkoli tento systém skutečně obstarává překlad adres, upozorňuje vás, že přes server se zapnutým překladem nebude fungovat ani HTTP. CyberGuard neposkytuje žádné připojitelné proxy servery, aby umožnil služby, jako jsou Whois a Finger. Také nepodporuje zastupování X. Z pozitivní stránky však CyberGuard poskytuje proxy server Socks 4.2. To vám umožní používat aplikace jako je Real Audio. Můžeme také předpokládat, že s uvolněním Socks5 CyberGuard vylepší své služby, aby podporovaly zastupování všeho. Při používání všech služeb jsme měli nepříjemný pocit, stejný, jako jsme měli při konfiguraci. Služby DNS nám několikrát ukončily svou činnost a vyžadovaly, abychom je znovu spustili. Toto ukončení činnosti by mohlo být nejhorší noční můrou správkyně počítačové sítě, když ji celá firma volá, aby jí řekla, že Internet nefunguje. Na konci jsme měli pocit, že CyberGuard se nejlépe používal jako filtr paketů.
Gauntlet Internet Firewall 3.1 DOBRÝ Gauntlet používá zástupce jako svou metodu hovoru s vnějším světem. Služby Gauntletu jsou stabilní, efektivní a rychlé; Gauntlet však nepodporuje proxy server Socks, což mu zabránilo v tom, aby získal vyšší bodové ohodnocení. Gauntlet používá k zajištění vnějšího přístupu Firewall Toolkit od TIS. Tyto služby se již léta osvědčují na serverech Internetu. Stejně jako Socks jsou pokládány za standard mezi zastupujícími aplikacemi pro Internet. Firewall Toolkit má zástupce pro HTTP, Gopher, FTP, Telnet, R-služby BSD a X Windows. Má také zasouvatelného zástupce, kterého lze použít k zastoupení téměř každého protokolu TCP. Tato funkce umožňuje zastupování SMTP, NNTP, Whois a Finger. Během našeho testování bylo snadné rozpoznat, že tyto služby byly používány na Internetu mnoho let. Tyto brány jsou rychlé a umožňují všeobecně transparentní přístup k vnějšímu světu. Stáhli jsme soubory z několika strojů a byli jsme zcela spokojeni s tím, jak dobře systém zvládal vícenásobné žádosti a jak rychle zastupoval video, které jsme stahovali. Byli jsme zklamáni zjištěním, že nebyl podporován zástupce Socks. Bez něj nemůžete používat nejnovější aplikace, např. telefon po Internetu.
Jak jsme testovali
Bez zabezpečení nemělo absolutně žádný smysl toto srovnání provádět. Při psaní plánu našeho testu jsme měli toto na paměti. Samozřejmě, čím snadněji se ochranná zeď nastavuje a spravuje a čím více služeb podporuje, tím lépe. Všechny tyto činitele jsme brali v úvahu, ale naše testy byly především jednoznačně zaměřeny na to, jak dobře daný výrobek zachoval bezpečnost naší sítě, když přitom stále poskytoval uživatelům přístup k Internetu. Jako obvykle jsme se také podívali na dokumentaci, technickou podporu, politiku podpory a cenu.
VÝKON
Instalace a počáteční konfigurace V této kategorii jsme očekávali, že výchozí nastavení zabezpečení jednotlivých výrobků bude stoprocentně bezpečné. Abychom se ujistili, že tomu tak je, pustili jsme na výchozí konfiguraci Internet Scanner firmy Internet Security Systems. Výrobek musel být přinejmenším po instalaci naprosto bezpečný. Výrobky, které šlo snadno instalovat, obdržely body navíc. Jestliže výrobek poskytnutý prodejcem zahrnoval instalaci a konfiguraci na místě, dali jsme mu body navíc. Pokud bylo výsledkem dokončené instalace nezabezpečené prostředí, výrobek obdržel hodnocení jako nepřijatelný.
Správa Nastavení a správa ochranné zdi by se nemělo brát na lehkou váhu: Je to něco, co by se mělo ponechat odborníkovi, který rozumí otázkám bezpečnosti a bezpečnostní politice vaší firmy. Při realizaci ochranné zdi není snadnost použití nejdůležitějším faktorem, jasnost a účinnost ano. Bodové hodnocení výrobku jsme proto nesnižovali, pokud postrádal grafické uživatelské rozhraní nebo když používal jak textovou nabídku, tak grafické uživatelské rozhraní. Avšak jestliže měl obojí, očekávali jsme od něj, že bude jasně definovat, které funkce zastává grafické uživatelské rozhraní a které zastávají nabídky. Také jsme očekávali, že výrobek bude dodán s užitečnými nástroji pro správu. Bodové hodnocení výrobku jsme zvýšili, když bylo jeho uživatelské rozhraní obzvláště užitečné, nebo když mělo výjimečné schopnosti vedení provozního deníku. Bodové hodnocení výrobku jsme snížili, jestliže jej bylo těžké nakonfigurovat, nebo když měl problematická hlášení a zápis událostí.
Bezpečnost Očekávali jsme, že výrobek bude poskytovat naší síti maximální bezpečnost a současně umožní našim uživatelům přistupovat k Internetu. Jestliže byl výrobek během našich testů v jakoukoliv chvíli nezabezpečen, třeba i jen na několik vteřin, neobdržel vyšší hodnocení než uspokojivý. Protože průnikáři (hackeři) neustále vynalézají nové způsoby, jak proniknout do zabezpečených sítí, nemůže být komerční výrobek nikdy stoprocentně bezpečný: Hodnocení výtečný proto nebylo v této kategorii možné. Pokud výrobek nedokázal ohlásit neškodné útoky, nebo útoky nepřesně zaznamenal, snížili jsme jeho hodnocení. Samozřejmě, když nedokázal ohlásit vážné útoky, nebo když nějakým způsobem vyžadoval kompromis na úkor dlouhodobé bezpečnosti sítě, obdržel hodnocení nepřijatelný.
Služby Na Internetu je nepřeberné množství dostupných služeb a všechny bohužel nejsou bezpečné. Ochranné zdi tedy poskytují zástupce, aby zabránili přímému fyzickému kontaktu mezi stranou vyžadující službu a vaší sítí. Pro tuto úlohu jsme se nedívali pouze na počet a typ služeb, které jednotlivé výrobky podporovaly, ale také na to, jak bezpečně byly tyto služby implementovány. Čím snadnější bylo nakonfigurovat, monitorovat a sledovat zástupce těchto služeb, tím vyšší bylo bodové hodnocení výrobku. Pokud výrobek dokázal bezpečně podporovat neomezené množství služeb, dostalo se mu ohodnocení vynikající. Když výrobek nepodporoval hlavní služby, jako je FTP, HTTP, Telnet a SMTP, jeho hodnocení jsme snížili.
PODPORA A CENA
Dokumentace Očekávali jsme, že dokumentace bude dávat explicitní pokyny k tomu, jak výrobek nejlépe nainstalovat a nakonfigurovat. Udělovali jsme body navíc za průvodce pro rychlý začátek, přímé a psané výukové programy, kartu pro rychlou referenci, důkladnou přímou nápovědu a další užitečné materiály. Slabá organizace, chybějící informace nebo neúplný rejstřík hodnocení snižovaly.
Technická podpora Hodnocení technické podpory jsme založili na kvalitě služeb, kterých se nám dostalo během několika anonymních telefonátů prodejci. Body navíc jsme udělili za zvláštní ochotu pomoci nebo užitečné tipy a záporné body za neopětované telefonáty a dlouhá čekání na drátě.
Politika podpory Aby obdržel hodnocení uspokojivý, musel výrobek poskytovat určité období bezplatné podpory a alespoň jednu alternativu k telefonu, např. podporu přes CompuServe, Internet nebo privátní BBS. Body navíc jsme dávali za záruku případného vrácení peněz, rozšířené hodiny podpory, telefonní linku bez poplatků a plány zákaznické podpory.
Cena Bodové hodnocení ceny odráží cenu balíku, přičemž je vzata v úvahu konkurence a zamýšlený trh. Hodnocení neodráží celkovou hodnotu výrobku, také nebereme v úvahu výkon ani další přidané funkce.
JEDEN PROTI JEDNOMU -- CHRIS W. KLAUS A MARCUS J.RANUM
Znamená vyhledávání zranitelných míst, že je vaše ochranná zeď bezpečná?
Skener je zařízení, které hledá na síti specifické díry v zabezpečení a hlásí správci všechny interní nebo externí problémy se zabezpečením sítě. Od představení skeneru loni v létě se hodně debatovalo, jestli je použití skenerů (např. Internet Scanner od firmy Internet Security Systems [ISS] nebo Security Administrator Tool for Analyzing Networks [Satan]) vhodným způsobem, jak testovat ochranné zdi, zda nemají zranitelná místa v zabezpečení. Požádali jsem dva odborníky na bezpečnost -- Marcuse J. Ranuma a Chrise W. Klause -- aby se s námi podělili o svůj názor na tuto záležitost. Ranum je autorem několika ochranných zdí; v podstatě věří, že používání skeneru je neefektivním způsobem, jak testovat zranitelná místa v zabezpečení. Klaus na druhou stranu vyvinul Internet Scanner; je zřejmé, že věří, že skenery jsou efektivním způsobem, jak testovat díry v zabezpečení. Zde je to, co museli říci.
MJR: Testování ochranných zdí je obtížným problémem, protože slučuje něco, co vyžaduje intenzivní expertýzu s něčím, co je vysoce konfigurovatelné. K nastavení ochranné zdi potřebujete rozumět politice, kterou zkoušíte implementovat a tomu, jak ji reflektovat v ochranné zdi při instalaci. To mi říká dvě věci: Jedna -- laboratorní testy ochranných zdí nejsou velmi užitečné; druhá -- jakékoli testy ochranných zdí budou obnášet rozumnou kontrolu politiky ochranné zdi stejně jako její implementace. Laboratorní testy nejsou užitečné kvůli naprosto vymyšlenému prostředí, které vytvářejí. V minulosti jsem se podíval na velké množství ochranných zdí na sítích různých lidí a viděl jsem spoustu perfektně dobrých ochranných zdí, které byly nakonfigurovány, aby dělaly něco hloupého, když jsou nabuzeny. Laboratorní test tohle neodhalí. Abych použil chatrnou analogii, laboratorní test je jako test auta v nárazu do předvídatelného objektu při předvídatelné rychlosti. V reálném světě někteří správci ochranných zdí jedou přes útesy rychlostí 150 km/h, zatímco ostatní se plouží podél dálniční krajnice rychlostí 9 km/h. Každou komerční zeď, kterou jsem viděl, lze nakonfigurovat tak, aby buďto povolovala procházet něčemu hloupému ve svém nezabezpečeném režimu, nebo aby nepovolila projít ničemu v absolutně bezpečném režimu. Na ochranné zdi je její implementace méně důležitá než to, jak je buzena. Testovací nástroje a laboratorní testy, které testují implementaci, nejsou zajímavé -- co potřebujeme, jsou nástroje, které řeknou správcům sítí, že udělali něco hloupého. Viděl jsem daleko méně problémů s ochrannými zdmi, které jsou výsledkem chyb v programu nebo omylů než problémů, které jsou výsledkem záměrných rozhodnutí nechat něco nebezpečného přihodit se.
CWK: Balík pro ohodnocení bezpečnosti může pomoci správci sítě rozhodnout tři věci, týkající se ochranných zdí: Za prvé -- byla bezpečnostní politika firmy řádně implementována v ochranné zdi? Za druhé -- bude tato implementovaná politika chránit proti hrozbám z vnějšku? A za třetí -- je bezpečný vlastní systém ochranné zdi? Nástroj pro ohodnocení může pomoci rozhodnout, jaké služby a nechráněná vystavení jsou skrze ochrannou zeď povolena nebo odepřena. Krátce, můžete rychle ukázat na porušení politiky a implementace. Mnohokrát přijdeme na to, že písemná politika zabraňuje lidem z venku v připojení k interní síti, když ochranná zeď ve skutečnosti umožňuje komukoliv připojit se ke strojům uvnitř a tak ponechává celou síť otevřenu k útoku. Je to proto, že ochranná zeď byla špatně nakonfigurována, což způsobuje, že společnost je těžce zranitelná. Tento problém je dosti častý a lze jej snadno opravit, když je identifikován nástrojem pro ohodnocení bezpečnosti. Nástroj pro ohodnocení bezpečnosti může pomoci otestovat systém ochranné zdi, když je v laboratoři, abychom dostali základní čáru -- "je toto bezpečný systém ochranné zdi?" Ale když je ochranná zeď nabuzena a používá se v reálném světě, je nejdůležitější použít nástroj pro ohodnocení bezpečnosti k důkladnému prověření ochranné zdi a její implementace, jestli nemá případné díry v zabezpečení. Další nezbytností pro zabezpečenější interní síť je použití nástroje pro ohodnocení bezpečnosti na celou interní síť. Ochranná zeď často obstarává falešnou představu bezpečnosti, protože příliš mnoho lidí se spoléhá pouze na ochrannou zeď a interní síť je široce otevřena útoku. Vetřelci mohou překonat ochrannou zeď, když má někdo v organizaci otevřený modem, který umožňuje vzdálený přístup. Pomocí nástroje pro ohodnocení bezpečnosti můžete rychle identifikovat všechny stroje ve vaší síti a možná rizika a podniknout aktivní opravné kroky v uzavírání těchto zranitelných míst předtím, než se vetřelec pokusí dostat dovnitř. Tyto nástroje pro ohodnocení bezpečnosti říkají správcům sítí, že udělali "něco hloupého".
MJR: Rád bych drobně poopravil jeden z Chrisových komentářů: Automatizovaný testovací nástroj nemůže ukázat, že je něco bezpečného, může pouze ukázat, že něco nemá zjevnou díru. Nástroje, které provádějí automatizované testování jsou cenné pouze tehdy, když jsou dobře udržované a mají čerstvé informace o zranitelnosti. Myslím si, že výrobky jako je Internet Scanner, vykonávají v této oblasti cennou službu, neboť slouží jako clearingová banka pro data pro testování zranitelnosti. Byly zde pokusy financované vládou o provedení stejné věci, byla to ale nápadná selhání. Takže stoprocentně souhlasím, že automatizované testovací nástroje jsou cenné, pokud jsou vhodně používány. Existují však některá použití těchto nástrojů, která nejsou vhodná. Například z testování ochranných zdí s automatickými kontrolními seznamy mám strach. Když si kupuji ochrannou zeď, nechci ji od někoho, který tak málo rozumí zabezpečení, že neví, jak se vyhnout všem "normálně" známým zranitelnostem. Vlastně nevím o jediné komerční ochranné zdi, která by neodolávala všem zranitelnostem, které identifikuje Satan, ISS nebo Pingware [od firmy Bell Communications Research ] atd.
CWK: Shodneme se, že nejúplnější soubor testů pomůže uživatelům získat nejlepší pochopení toho, jak jsou chráněni. Jestliže použijete bezplatný nástroj (public domain), který nebyl rok aktualizován a kontroluje pouze 10 zranitelností, můžete lehce dostat hlášení o zabezpečení sítě, které prohlašuje, že jste bezpečni. Ale použití úplnějšího nástroje může ukázat, že vaše celková síť je zcela široce otevřena útoku. To je hlavním důvodem, proč organizace, které berou bezpečnost vážně, potřebují nástroj, který je stále aktualizován. Provádění ohodnocení bezpečnosti ochranné zdi v laboratoři může odhalit některá zranitelná místa, která by měla být opravena předtím, než půjde do pole. Tohle však nenahrazuje provedení testu v poli. Je důležité znovu ohodnotit ochrannou zeď, když pracuje v poli, kvůli ověření, že byla správně nakonfigurována a všechna známá zranitelná místa jsou před útokem zavřena. V tuto chvíli se stává cenným ověření, že ochranná zeď nedělá nic, co přehlédla osoba, která ji kontrolovala. Nástroj pro ohodnocení bezpečnosti by neměl být náhražkou za lidi, kteří ochrannou zeď nastavují, ale pouze nástrojem k ověření, že ochranná zeď není zranitelná určitou sadou testů.
MJR: Myslím, že jsme se shodli, že tyto nástroje jsou cenné, pokud jsou řádně používány. Co mne znepokojuje, je to, že nyní, kdy je bezpečnost Internetu žhavým tématem, je úroveň nevědomosti mezi zákazníky stále velmi vysoká. Všichni vědí, že potřebují nějaké zabezpečení, jestliže jsou připojeni k Internetu, ale málo si jich uvědomuje, že zabezpečení je součástí určitého procesu a že to není výrobek. Když jsem prodával ochranné zdi a objevil se Satan, měli jsme určitě 2 000 zákazníků, kteří se ptali: "Nachází Satan na vaší ochranné zdi nějaká zranitelná místa?" Samozřejmě, že ne, protože by to byla opravdu neuspokojivá ochranná zeď, kdyby měla takové křiklavé díry, to je ale úroveň nejistoty, kterou naši zákazníci cítí. Věřím, že existuje, nebo už brzy bude, spousta marketingu okolo automatizovaných kontrolních nástrojů, jako jsou "testy ochranných zdí", aby byli zákazníci klidnější. Ale dodávání klidu zákazníkům v jejich nevědomosti také není zabezpečením. Co chci vidět a co vyzývám vývojáře kontrolních nástrojů aby dodávali, jsou nástroje, které rozšiřují zákazníkovo pochopení, že zabezpečení je nepřetržitým procesem. Podporujte je v tom a dostanete můj hlas. Myslím si, že je selháním říci "Spouštějte můj nástroj každý měsíc a uvidíte, jaká je vaše síť". Nástroj by se měl sám spouštět každý měsíc nebo týden nebo kdy a říci zákazníkovi nejen jaký je problém, ale jeho význam a jak jej odstranit. Myslím, že směřujeme tímto směrem, a je dobře, že se to nemůže stát dostatečně rychle. Co nechci vidět, jsou prodejci ohlašující "Satanem testované" ochranné zdi, jakožto trik, aby se zákazníci cítili zmateně a bezpečně.
CWK: Také souhlasíme, že bezpečnost je procesem neustálého vylepšování. Nové stroje, nové aplikace, nové verze operačních systémů, nové konfigurace ochranných zdí a nově objevená zranitelná místa tvoří stále se měnící profil zabezpečení. To diktuje, že koncoví uživatelé a prodejci nástrojů k ověřování bezpečnosti musí pracovat v nepřetržitém režimu. Na naší straně soustavně zvyšujeme počet zranitelných míst, která testujeme, stejně jako použitelnost našeho výrobku. Koncoví uživatelé musí spolehlivým způsobem soustavně prověřovat své bezpečnostní postupy.
Marcus J. Ranum je vedoucím vědeckým pracovníkem u V-OneCorp. Je hlavním autorem několika ochranných zdí pro Internet, včetně zdi Gauntlet od firmy Trusted Information Systems a produktu Internet Firewall Toolkit. Chris W. Klaus vytvořil v roce 1994 firmu Internet Security Systems; vyvinul Internet Scanner. Kromě svých vývojářských aktivit Klaus poskytl konzultace o zabezpečení mnoha organizacím, včetně NASA.
Orel se vznesl, aby lovil na trhu Windows NT Brooks Talley
Ochranné zdi se během pouhých několika let poněkud změnily: Prodejci pravidelně přidávají nové funkce a usnadňují správu a přitom navrhují nové způsoby, jak implementovat zabezpečení. Jedna věc však zůstala neměnná: Ochranné zdi běhají na Unixu. Firma Raptor Systems je prvním významným prodejcem ochranných zdí, který uvedl na trh verzi své ochranné zdi pro Windows NT. Nazývá se Eagle NT (eagle = orel, pozn. red.). Eagle jsme instalovali na stroji Dell Dimension XP90 s 32 MB RAM. Vlastní instalační program byl velmi přímočarý. Když byl Eagle nainstalován, jeho výkon se podobal výkonu námi testovaných proxy serverů založených na Unixu -- při přístupu přes zástupce byla výkonnost sítě pouze zanedbatelně pomalejší. Eagle je v podstatě brána aplikací. Podporuje všechny běžné služby, jako jsou HTTP, FTP a SMTP. Kromě jeho vestavěných zástupců lze nakonfigurovat Generic Service Passer, aby pojal příchozí provoz, jako je Network News Transfer Protocol. Pro obousměrný TCP provoz lze Proxyd Daemon, což je proxy-to-proxy server použitý pro přístup zpravodajských služeb Usenetu, nakonfigurovat tak, aby povoloval průchod předdefinované službě nebo číslu portu. Eagle rozumně varuje před použitím Proxydu, neboť by mohl být nakonfigurován, aby povoloval průchod ve své podstatě nezabezpečeným protokolům. Eagle bohužel nepodporuje zastupování User Datagram Protocolu, což znamená, že služby Internetu, jako je Real Audio, nebudou uživatelům uvnitř ochranné zdi Eagle přístupné. Na Eagle je nejvíce matoucí vzhled jeho uživatelského rozhraní. Zřejmě v úsilí o zpříjemnění výrobku správcům Unixu, se Eagle vzdal standardního uživatelského rozhraní Windows NT. Místo toho jsou dialogová okna jasně ve stylu X Windows. Ačkoli toto není problém, chování rozhraní bude trochu vyvádět z míry pracoviště s Windows NT, která neměla nikdy co do činění s Unixem. Navzdory tomu, že vypadá a vzbuzuje pocit Unixu, bylo rozhraní pro správu v Eagle velmi snadno použitelné, i když nepracuje s uživateli a skupinami Windows NT. Pomocí vlastních nástrojů Eagle jsme vytvořili několik uživatelů a skupin a nakonfigurovali jsme pro ně různá pravidla. Eagle podporuje jak postup s použitím hesla, tak postup s ověřením pravosti S/Key známek (tokenů) a široký rozsah pravidel pro přístup. Raptor se zabývá jedním z primárních zájmů, které mají profesionálové zabývající se informačními systémy ohledně ochranných zdí na NT: zabezpečením. Eagle se instaluje na pracovní stanici nebo serveru Windows NT a zablokuje NetBIOS, NetBEUI, Dynamic Host Configuration Protocol, Windows Internet Naming Service a Remote Access Service. Nespokojen se zabezpečením systému při instalaci, Eagle instaluje příhodně pojmenovanou službu Vulture (sup), která při běhu ochranné zdi každých 60 vteřin kontroluje, jestli neprobíhají nesystémové procesy a ukončuje je. Pokud bude doručování IP nebo zdrojové kódování náhodně (nebo potměšile) odblokováno, Vulture je také zablokuje. Eagle se také honosí robustním ohlašovacím strojem, nazvaným SAM (Suspicious Activity Monitor -- Monitor podezřelých činností), který lze nakonfigurovat, aby upozorňoval administrátora zvukově, elektronickou poštou, pagerem nebo dokonce faxem. SAM nikdy nespí a bude křičet o pomoc, kdykoli provoz přesáhne práh, který administrátor nastaví. Např. jsme nakonfigurovali SAM, aby nás upozornil, kdyby byly otevřeny více než dvě seance Telnet z ověřeného hostitele vně ochranné zdi. Celkově vzato, Eagle je životaschopným systémem pro pracoviště s Windows NT. Raptor prodává celou sadu výrobků pro zabezpečení sítí, včetně ochranné zdi Eagle, která je k dispozici pro několik druhů Unixu. Jeho řada výrobků také zahrnuje EagleNomad, který je navržen pro mobilní uživatele, vyžadující vzdálený přístup ke svým interním sítím přes Internet.
Socks5: Lepší způsob cestování Mark Pace
Proxy serverům mnoho let velmi překážela skutečnost, že nedokážou zastupovat služby UDP (User Datagram Protocol). UDP, na rozdíl od TCP (Transmission Control Protocol), vysílá informace nepřerušené, díky čemuž je mnohem rychlejší a pro určité služby vhodnější. Kontinuální audio je dobrým příkladem toho, kdy je UDP vhodnější než TCP. TCP pošle paket a potom čeká na odezvu, která říká: "Ano, dostal jsem to." Na druhé straně UDP pošle paket na cestu a potom pošle další bez toho, že byl čekal nebo se staral o to, jestli se první paket dostal na místo určení. Je lepší utrousit malinký kousek zvuku a stále slyšet tok zvuku, než zastavit přehrávání celého toku při čekání na TCP, aby opravil jakoukoliv nastalou chybu. Socks5 byl vyvinut, aby zachránil situaci pro zastupování (proxying). Protokol Sock5, také známý jako prověřený průchod ochrannou zdí, je otevřeným internetovským standardem pro provádění síťových zastupování v přenosové vrstvě. Byl publikován ve standardech Internet Engineering Task Force a spadá pod standard RFC 1928. Předchozí verze Socks vyžadovala jednoduchý zápis do kódu programu klienta, který požaduje zastupování. Většina dnes používaného softwaru se bohužel dodává pouze v binárním formátu a je proto nemožné je upravovat. Aby tento problém vyřešil a přidal podporu pro UDP, Socks5 upravuje namísto aplikace klienta socket vrstvu. To umožňuje, že si aplikace klienta vůbec nemusí být vědomy zastupování pomocí Socks5, které se odehrává. Tento druh zastupování umožňuje libovolnému klientovi za ochrannou zdí nebo neregistrovanému číslu sítě Internet IP, aby získaly přístup ke všem službám, které Internet nabízí. Socks5 také adresuje požadavek účinného ověření pravosti před povolením zastupování. Tento druh ověření pravosti by mohl umožnit bezpečný proxy přístup k podnikové zabezpečené síti. Socks5 dále nabízí přístup k Generic Security Service API. Toto API umožňuje integritu zpráv a jejich důvěrnost a spadá pod standard RFC 1961. Networking Systems Laboratory společnosti NEC v současné době vede ve vývoji Socks. Má servery pokrývající nejoblíbenější platformy Unixu stejně jako server pro Windows NT. U většiny jejích výrobků stále ještě probíhají závěrečné testy, lze si je ale stáhnout ze serverů NEC. Socks5 řeší problémy svého předchůdce a přidává novou, užitečnou funkci. Vypadá jako požehnání pro trh se zástupci. Více informací o protokolu Socks5 najdete na stránce Web firmy NEC na adrese http://www.socks.nec.com.
Slovníček pojmů
Překlad adres: Funkce některých internetovských ochranných zdí, která skrývá před vnějším světem interní IP adresy.
Ověření pravosti: Proces, kterým ochranná zeď prochází, aby určila identitu uživatele, který se pokouší o přístup k svěřenému systému.
Hostitel bašty: Systém, instalovaný na síti, který je zesílen, aby odolal útoku. Obvykle se jedná o součást ochranné zdi, hostitel bašty provozuje některou formu operačního systému pro obecné použití namísto operačního systému, který je v ROM nebo jako firmware.
DNS (Domain Name System): Protokol infrastruktury, který překládá názvy strojů a míst ze zápisu čitelného pro člověka, např. netpart.com, na číselné adresy, aby mohly síťové programy na tyto stroje a místa posílat zprávy. Je také zapojen do směrování elektronické pošty.
Hostitel s duálním umístěním: Počítačový systém k obecnému použití, který má alespoň dvě síťová rozhraní, z nichž je každé připojeno k jiné síti. V konfiguracích ochranných zdí se brána s duálním umístěním typicky pokouší zablokovat nebo filtrovat část nebo celý provoz, který se pokouší projít mezi zabezpečenou a nezabezpečenou sítí.
Internet Scanner: Síťový skener od firmy Internet Security Systems, používaný správci zabezpečení a sítí ke kontrole sítě, jestli neobsahuje díry v zabezpečení.
Záznam událostí: Proces ukládání informací o událostech, které se odehrály v ochranné zdi nebo síti.
Zdržení záznamu událostí: Množství času, po který jsou kontrolní deníky pozdrženy a udržovány.
Zpracování záznamu událostí: Jak kontrolní provozní deníky zpracovávají nebo sumarizují data nebo hledají klíčové události.
Politika: Sada pravidel definovaných vaší organizací, která ovládá přijatelná použití počítačových prostředků, zabezpečovací metody a operační procedury.
Filtrování paketů: Akce, kterou zařízení podniká, aby selektivně řídilo tok dat do a ze sítě. K dosažení filtrování paketů definujete sadu pravidel, která specifikují, jakým typům paketů má být povoleno dostat se dovnitř a jaké typy mají být zablokovány. Filtrování paketů se může odehrávat ve směrovači, v mostu (bridge) nebo na individuálním hostiteli. Někdy je známé jako podrobná prohlídka (screening).
Proxy server: Typičtí zástupci přijmou připojení od uživatele, rozhodnou, jestli má uživatel nebo IP adresa klienta povoleno používat zástupce, potom jménem uživatele dokončí připojení ke vzdálenému cíli. Většina ochranných zdí má zástupce pro sadu protokolů, jako je FTP (File Transfer Protocol), HTTP a Telnet.
Satan (Security Administrator Tool for Analyzing Networks - Nástroj správce zabezpečení k analýze síti): První ze síťových skenerů. Je to nástroj, který prověřuje vaši síť, jestli nemá díry v zabezpečení. Kritici tohoto zařízení říkají, že Satan může být snadno použit průnikáři (hackery) k ozkoušení slabých míst určitého cíle, který chtějí napadnout.
SMTP (Simple Mail Transfer Protocol): Standardní protokol komunikace po Internetu, používaný k přenosu elektronické pošty. Většina internetovských ochranných zdí obsahuje zástupce, který ho podporuje.
TCP (Transmission Control Protocol): Část základního protokolu Internetu TCP/IP. TCP je protokol přenosové vrstvy bez mezifází orientované na připojení. Obstarává spolehlivé, posloupné a neduplikovatelné doručení bytů vzdálenému nebo lokálnímu uživateli. TCP poskytuje spolehlivou komunikaci přes tok bytů mezi páry procesů v hostitelích, kteří jsou připojeni k vzájemně propojeným sítím.
Rychlý pohled na výsledky
Bodové hodnocení
Gauntlet Internet Firewall 3.1, 6.5 CheckPoint Firewall-1 2.0, 6.3 CyberGuard Firewall 2.1.2, 4.6
Žádná ochranná zeď není absolutně neproniknutelná. Po světě běhá příliš mnoho hackerů, kteří nemají na práci nic lepšího, než hledat způsob, jak se dostat do vaší sítě. Ochranná zeď je však stále nejlepším způsobem, jak si držet potenciální narušitele od těla. Z produktů, které jsme testovali, se jako nejlepší ukázal Gauntlet od firmy Trusted Information Systems. K vytvoření ochranných zdí se používají dvě základní technologie: brány aplikací (také známé jako proxy servery) a filtry paketů. Brány aplikací jsou pokládány za bezpečnější, protože izolují síť kompletněji. S bránami aplikací jsou však některé problémy. Specificky, musíte mít zástupce pro každý protokol (např. HTTP a FTP [File Transfer Protocol]), který chcete podporovat. Náš vítěz používá paradigma brány aplikací. Ne nesmyslný návrh Gauntlet Internet Firewall 3.1 odráží jeho kořeny: Byl vytvořen odborníky na zabezpečení, kteří kvůli barevnému grafickému uživatelskému rozhraní nedělali ústupky na úkor bezpečnosti. Gauntlet je nejen bezpečný, ale přichází s působivou politikou podpory, má profesionální zaměstnance technické podpory a -- jako kdyby tohle všechno nestačilo -- je to nejméně nákladný výrobek, jaký jsme testovali. Buďte si jisti, že Gauntlet není bez chyb. Holedbá se grafickým uživatelským rozhraním na bázi Webu, když jsme se ho ale pokusili použít, byla většina užitečných stránek "ve výstavbě". Dále, nastavení restriktivních pravidel (např. nepovolit uživatelům, aby se podívali na určitou stránku na Webu) vyžaduje celkem hodně úprav textového souboru. Gauntlet také trpěl v kategorii služeb, protože překvapivě nepodporuje proxy server Socks. Tyto stížnosti však nejsou podstatné. CheckPoint Firewall-1 2.0 od firmy CheckPoint Software Technologies skončil jako druhý, neboť jsme v jeho brnění našli malou, ale důležitou díru. Během zavádění systému je úplně otevřen útoku -- i když pouze na několik vteřin. Velký dojem na nás však udělalo jeho mocné grafické uživatelské rozhraní -- nejlepší nástroj pro správu, který jsme v tomto srovnání používali. Inovativní návrh CheckPointu, který je modelován podle filtrování paketů, po vás nevyžaduje, abyste čekali až bude vyvinut proxy server, předtím než můžete tuto službu poskytnout svým uživatelům. Pro uživatele je transparentní a má podrobné zaznamenávání událostí a varování, což vám umožňuje vysledovat dokonce i ty nejbezpečnější činnosti. Konečně, dodává se s řádnou dokumentací a vynikající politikou podpory a stojí pouze o 3 900 dolarů více než Gauntlet, který je na prvním místě. CyberGuard Firewall 2.1.2 firmy Harris Computer Systems nás zklamal. Průměrná hodnocení v několika kategoriích způsobila, že jeho konečné hodnocení je o téměř celé dva body za vítězem. CyberGuard je jak filtr paketů, tak brána aplikací; bohužel, ani jedno není velmi dobře implementováno. Nejlepší věc, kterou o něm můžeme říct je, že grafické uživatelské rozhraní je snadno použitelné. Je ironií, že právě grafické uživatelské rozhraní tohoto produktu nám způsobilo tolik problémů. Rozhraní se tak často chovalo podivně, že jsme měli nepříjemný pocit ze stability celého systému. Také nás nenadchlo množství služeb, které CyberGuard podporuje. Z těchto tří výrobků měl CyberGuard nejmenší podporu přístupu k Internetu z neregistrované nebo skryté domény. Jako kdyby to nestačilo, stojí dvakrát tolik co Gauntlet.
Vnější/nezabezpečená síť klient Windows 95 X-server Web server klient Unix Internet Scanner
ochranná zeď/proxy server
Vnitřní/zabezpečená síť DNS/SMTP/Telnet/FTP server Web server X-klient klient Windows 95 klient Windows 95 klient Unix
Internetové ochranné zdi
|
Váha | CheckPoint Firewall-1 2.0 | CyberGuard Firewall 2.1.1 | Gauntlet Internet Firewall 3.1 | |
---|---|---|---|---|
CheckPoint Software Technologies | Harris Computer Systems | Trusted Information Systems | ||
Výkon
| ||||
Instalace a počáteční konfigurace | 10 % | Uspokojivý, 0,4, CheckPoint je nepochybně nejobtížněji instalovatelný ze všech tří produktů. Pro úspěšné nainstalování potřebujete předchozí zkušenosti s Unixem. | Uspokojivý, 0,4, CyberGuard je lehké nainstalovat a nakonfigurovat. Fyzická prezentace systému je velkolepá: 17" monitor, X-terminál a další kusy hardwaru jsou součástí balíku. | Dobrý, 0,6, Gauntlet je dodáván s jednodenní konzultační službou, která je určena speciálně pro instalaci a konfiguraci. Není třeba zdůrazňovat, že instalace byla hračkou. |
Správa | 15 % | Velmi dobrý, 1,2, Grafické uživatelské rozhraní CheckPointu bylo nejlepší z testovaných. Má široké možnosti konfigurace, což administraci velmi usnadňuje. | Dobrý, 0,9, Ačkoli nenastaly žádné bezpečnostní problémy, několik malých chyb v uživatelském rozhraní nás znejistělo. Fakt, že rozhraní tohoto produktu bylo nejsnadněji použitelné ze všech tří testovaných, však uchránil CyberGuard od horšího hodnocení. | Uspokojivý, 0,6, Gauntlet má jak textová menu, tak webovské rozhraní. Mnoho užitečných webovských stránek je však naneštěstí ve výstavbě a nejsou použitelné. Díky tomu se Gauntlet umístil v této kategorii na posledním místě. |
Bezpečnost | 30 % | Uspokojivý, 1,2, Ač je to překvapivé, CheckPoint je po několik sekund během zavádění systému zcela otevřen útoku. Ironií přitom je, že bezpečnostní návrh tohoto produktu ve svých základech převyšuje ostatní konkurenty. | Dobrý, 1,8, Správné nastavení monitorovacích a poplašných funkcí CyberGuardu vyžaduje na rozdíl od konkurenčních produktů velké množství programování. V jeho prospěch hovoří vysoká bezpečnost a skvělé možnosti pro přilogování. | Velmi dobrý, 2.4, Beze všech pochybností je Gauntlet nejbezpečnější ze všech tří systémů. Na rozdíl od ostatních nedovoluje přímý přístup do zabezpečené sítě a podporuje řadu autentizačních schémat. |
Služby | 15 % | Výborný, 1,5, CheckPoint je jediný produkt, který využívá technologii Stateful Multilayer Inspection. Tento moderní návrh umožňuje podporu všech služeb, jako jsou HTTP a FTP, dokonce na neregistrované síti. | Uspokojivý, 0,6, CyberGuard podporuje základní služby, jako je e-mail, Telnet a rlogin, ze všech tří systémů má však nejhorší podporu pro přístup k Internetu z neregistrované domény. Na rozdíl od Gauntletu je podporován Socks 4.2 proxy server. | Dobrý, 0,9, Gauntlet využívá zástupce pro komunikaci s okolním světem. Jeho služby jsou stabilní, efektivní a rychlé. Nepodporuje však Socks proxy server, což zapříčinilo, že nedostal více bodů. |
Podpora a cena
| ||||
Dokumentace | 10 % | Velmi dobrý, 0,8, Dokumentace CheckPointu byla nejkompletnější z testovaných produktů. Nabízí množství jasných příkladů, jak provést nastavení systému pro různé konfigurace. | Slabý, 0,2, Dokumentace CyberGuardu vás sice může navést správným směrem, ale nikdy vás nedovede až k cíli. V několika případech nepokrývala problematiku, se kterou jsme potřebovali poradit (například konfigurace HTTP proxy serveru), jinak, než v nejobvyklejších případech. | Uspokojivý, 0,4, Dokumentace Gauntletu připomíná unixový manuál. To je skvělé pro lidi, kteří rádi čtou manuály pro zábavu, zklame to však uživatele hledajícího jednoduchou radu. |
Technická podpora | 10 % | Uspokojivý, 0,4, Technickou podporu jsme volali třikrát, ve všech případech trvalo nejméně dvě hodiny, než se nám někdo ozval zpět. Jakmile jsme však měli možnost s někým mluvit, všechny naše otázky byly zodpovězeny správně a profesionálně. | Uspokojivý, 0,4, Dva z našich telefonických dotazů byly zodpovězeny ihned, ve třetím případě jsme museli čekat, až se nám někdo ozve zpět. K tomu došlo po 45 minutách. Všechny naše otázky byly zodpovězeny korektně, cítili jsme však frustraci na straně techniků z některých jednoduchých otázek. | Velmi dobrý, 0,8, Uskutečnili jsme tři hovory, ve všech případech jsme získali okamžitou odpověď a všechny naše otázky byly zodpovězeny správně a profesionálně. |
Politika podpory | 5 % | Výborný, 0,5, Lepší podporu nemůžete žádat. Záruční doba je 90 dní, do 30 dnů lze dostat zpět své peníze. K dispozici je bezplatná telefonní linka, podpora prostřednictvím BBS, Internetu a faxu. | Uspokojivý, 0,2, Protože CyberGuard je prodáván prostřednictvím distributorů a OEM partnerů, velmi záleží na tom, kde nakupujete. V minimálním případě je poskytována 90denní záruka a podpora přes Internet, BBS a fax. | Velmi dobrý, 0,4, Firma TIS nabízí bezplatnou 30denní podporu a 30denní záruku vrácení peněz. K dispozici je bezplatná telefonní linka, podpora přes Internet, BBS a fax. |
Cena | 5 % | Dobrý, 0,3, Podniková verze včetně podpory pro neomezený počet uzlů stojí 18 900 dolarů. | Slabý, 0,1, Testovali jsme vysoce výkonnou verzi vybavenou mikroprocesorem 88110 RISC. Katalogová cena této verze je 31 995 dolarů. | Velmi dobrý, 0,4, Produkt stojí 15 000 dolarů a v ceně je jednodenní konzultace. |
Výsledné hodnocení | 6,3 | 4,6 | 6,5 |
Vysvětlivky Posuzujeme pouze ostré verze produktů, nikdy ne beta-verze. Produkty nebo řešení dostávají v různých kategoriích známku od nepřijatelný až po výborný. Body se odvodí vynásobením váhy každého kritéria jeho známkou.
Výborný = 10 -- Vynikající ve všech oblastech. Velmi dobrý = 8 -- Splňuje všechna základní kritéria a nabízí významné výhody. Dobrý = 6 -- Splňuje základní kritéria a má několik dalších schopností. Uspokojivý = 4 -- Splňuje základní kritéria. Slabý = 2 Selhává v základních oblastech. Nepřijatelný = 0 Nesplňuje minimální kritéria.
Body se sčítají a dají celkové konečné hodnocení do 10. Produkty s bodovou tolerancí 0,2 se liší málo. Váhy udávají průměrnou relativní důležitost pro čtenáře, kteří kupují a používají tuto kategorii produktů. Celkovou zprávu si každý může upravit podle potřeb své společnosti použitím vlastních vah a přepočítáním konečných bodů.
| <<< | CW o Internetu | COMPUTERWORLD | IDG CZ homepage | |