Как выбрать межсетевой экран для организации

Обновлено: 05.07.2024

Своей работой в управлении информационных технологий одного из банков я обязан обыкновенным компьютерным воришкам, и именно они дали мне возможность изучить все тонкости работы межсетевых экранов (МСЭ, firewall, брандмауэр) и других средств безопасности.

Началась история с того, что руководство банка решило использовать в своей работе Интернет. Было приобретено нужное оборудование и заключен договор с провайдером Интернет-услуг. А через месяц от этого провайдера пришел счет на кругленькую сумму в несколько сотен долларов. Изучение "расхода" трафика показало, что за месяц из организации "утекло" не менее 20 Гбайт данных, но никто не знал, каких и кто их владелец. Оставался открытым вопрос: вдруг это не рядовая электронная почта, а данные о совершенных финансовых сделках? Ответ удалось получить еще через месяц, когда администратор сети банка с прискорбием зафиксировал, что в его владения "вломился" злоумышленник, который пересылает десятки мегабайт информации за его, администратора, счет. Дилемма решалась единственным способом: работать с Интернетом можно только при наличии надежных средств защиты корпоративной сети, т. е. межсетевого экрана. И выбор достойного МСЭ стал моим первым производственным заданием.

С первого взгляда проблема не стоила выеденного яйца. В течение дня я собрал из различных комплектующих вполне сносный компьютер на базе Pentium, установил на него Linux, потратил пару дней на настройку IPTABLE и стал радоваться жизни. Но через две недели "опытной эксплуатации" оказалось, что радость была преждевременной. Более того, эти две недели в корне изменили мои взгляды на бесплатные продукты для защиты информации - они явно не годились для использования в крупной финансовой структуре - и заставили меня обратиться к коммерческим решениям.

Предварительный анализ российского рынка межсетевых экранов показал, что спектр таких продуктов чрезвычайно широк и выбрать то, что действительно нужно, не так-то просто. Здесь и пригодились институтские знания. Метод поиска оптимального решения, который казался когда-то сугубо теоретическим, приобрел практический смысл (см. врезку "Теория поиска оптимального решения в практике выбора МСЭ").

Теория поиска оптимального решения в практике выбора МСЭ

Чтобы выбрать наилучший по функциональным характеристикам МСЭ, нужно последовательно решить следующие задачи.

1. Определить критерии выбора межсетевого экрана, т. е. основные функциональные требования к нему.

2. Присвоить каждому критерию весовой коэффициент (сумма всех весовых коэффициентов должна была быть равна единице), указывающий на степень его важности.

3. Проанализировать наличие и качество реализации необходимых функций в подмножестве межсетевых экранов (отобранном, например, в определенном диапазоне цен). На этом этапе каждому МСЭ выставляется балл по десятибалльной шкале.

Основные критерии…

Прежде чем описывать критерии оценки, хочу дать один простой совет: когда поставщики начинают произносить не совсем понятные (причем обеим сторонам) умные слова, описывающие различные типы межсетевых экранов (stateful inspection, circuit-level gateway и т. п.), не пугайтесь и не смущайтесь. Это не что иное, как накручивание цены. Если же "смотреть в корень", то в настоящее время на рынке присутствуют только два типа МСЭ. Первый - это пакетные фильтры, реализованные в маршрутизаторах и некоторых средствах построения VPN, которые работают только на сетевом (в крайнем случае, транспортном) уровне и анализируют лишь заголовок сетевого пакета (адреса и порты отправителя и получателя). Второй тип - все остальные; они, помимо анализа заголовков, "умеют" анализировать и поле данных, позволяя эффективно обрабатывать трафик современных протоколов (мультимедиа, IP-телефония и т. д.).

На первый взгляд ничего сложного в этой задаче не было. Любой межсетевой экран и даже маршрутизатор позволяет создавать списки контроля доступа, блокирующие доступ по различным параметрам сетевого трафика (адрес и порт источника и получателя, тип протокола и т. д.). Однако при ближайшем рассмотрении реализовать данное требование в "нашем" банке оказалось не так-то просто. Во-первых, тесные дружеские отношения между сотрудниками банка давали им возможность пользоваться чужими компьютерами для выхода в Сеть. Во-вторых, в некоторых отделах "наиболее продвинутые" сотрудники, имеющие расширенные права доступа в Интернет, устанавливали на свой ПК прокси-сервер (обычно WinGate), обеспечивая тем самым через него свободу доступа другим "ущемленным" сотрудникам.

Ну и, наконец, основная проблема заключалась в том, что в данном банке очень широко использовался протокол динамической адресации DHCP. В результате IP-адреса компьютеров сотрудников менялись, как в калейдоскопе: сегодня у операционистки Ивановой адрес 192.168.1.1, завтра - 192.168.1.13, а послезавтра - 192.168.1.230. Поэтому межсетевой экран, использующий статические правила, основанные на IP-адресе, не был способен обеспечить эффективный контроль доступа и в список требований нужно было также включать поддержку динамической адресации.

Вообще говоря, желательно задавать правила, основываясь не на IP-адресах узлов корпоративной сети, а на имени пользователя, получающего доступ к Интернет-ресурсам. Разумеется, если вопрос однозначного соответствия IP-адреса и пользователя решается без помощи МСЭ, данное требование можно опустить.

Следующая проблема - адрес - типична для любой организации. Корпоративных узлов, имеющих уникальные адреса, много, а Интернет-провайдер, как правило (и наш банк не был исключением), выделяет всего один или несколько публичных адресов. Кроме того, внутренние адреса принадлежат множеству, не маршрутизируемому в рамках Интернета (например, 10.*.*.*, 172.16.0.0 - 172.31.255.255 и 192.168.*.*.). Пакеты с адресом источника такой сети никогда не достигнут адресата.

Выход - в трансляции сетевых адресов, которая не только спроецирует сотни немаршрутизируемых уникальных адресов в один, принадлежащий межсетевому экрану, но и позволит скрыть топологию корпоративной сети от любопытных глаз.

Как и любой уважающий себя банк, наш банк имел свой Web-сервер, на котором для всех интересующихся описывались история нашего банка, предлагаемые услуги и тарифы на обслуживание, контакты и т. д. и т. п. Размещать Web-сервер в виртуальном хостинге руководство наотрез отказалось, планируя в перспективе оказывать услуги Интернет-банкинга, и поэтому требовалось, с одной стороны, обеспечить открытый доступ внешних пользователей к Интернет-представительству банка, а с другой - закрыть доступ во внутреннюю сеть извне. Решение нашлось сразу - демилитаризованная зона. Поэтому, хотя проектирование сети не относится к выбору межсетевого экрана, я все же вписал в свой перечень новое требование - возможность задания различных требований безопасности по разным интерфейсам межсетевого экрана. Именно на эти интерфейсы "вешаются" и демилитаризованная зона, и отдельные сегменты (например, информационная и платежная системы) внутренней сети, и управление МСЭ.

Чтобы в дальнейшем не погрязнуть в тысячах записей, хранящихся в журнале регистрации, я вписал еще одно требование - наличие подсистемы генерации отчетов, которая позволяла бы проводить сортировку по различным признакам (адрес отправителя и получателя, пользователь, сервер, время и т. д.) и создавать как текстовые, так и графические сводки.

И наконец, в базовый перечень требований я включил "требования комфортности для администратора": удобство управления и графический интерфейс управления. Как выходец из мира Unix, я понимаю многих приверженцев этой ОС, ярых противников графического интерфейса, которые предпочитают создавать правила для межсетевого экрана из командной строки. Однако реальная жизнь расставила все по местам. Описывать тысячи объектов контроля, создавать такое же количество правил и просматривать отчеты из командной строки - непосильная задача и для самого верного "юниксоида", способная отвратить от дела любого, даже преданного идее администратора.

… и дополнительные требования

Конечно, межсетевой экран был отнюдь не единственным средством защиты банка. В единой системе безопасности используются и списки контроля доступа маршрутизаторов Cisco, и системы обнаружения атак, и средства контроля содержимого, и антивирусное ПО. Это множество "кирпичиков" должно было создать неприступную для любого злоумышленника стену. Однако не надо забывать, что каждый из "кирпичиков" имеет свою "идеологию" и требует отдельного конфигурирования и специальной настройки, что само по себе процесс трудоемкий, а потому подверженный ошибкам.

Заметим, что при расширении спектра деятельности банка и увеличении его филиальной сети растет как количество "кирпичиков" в системе защиты, так и трудоемкость настройки, а значит, и вероятность появления ошибок при конфигурировании. Задача любого администратора безопасности - сделать так, чтобы конфигурирование составляющих выполнялось централизованно и было непротиворечивым. Поэтому первым дополнением, которое я вписал в основной список, стало централизованное и по возможности единое управление разнородными средствами защиты. Наличие такого механизма существенно снижает издержки на конфигурирование системы защиты, уменьшает вероятность ошибок при ее настройке. И здесь хочется с сожалением отметить, что на сегодняшний день данному критерию удовлетворяют очень немногие коммерческие продукты.

Следующее требование вполне закономерно вытекало из предыдущего и заключалось в возможности интеграции с другими средствами защиты. К таким средствам можно отнести антивирусное ПО, системы обнаружения и предотвращения атак, средства контроля содержимого, серверы аутентификации и решения PKI.

  • защита трафика, передаваемого между филиалами;
  • централизованное управление МСЭ, установленными в удаленных филиалах;
  • контроль доступа пользователей удаленных филиалов к ресурсам центрального офиса.

Однако надо помнить, что защита трафика все-таки не входит в задачи межсетевого экрана, а относится к перечню требований к средствам построения VPN. Тем не менее, учитывая, что многие современные МСЭ интегрированы с VPN, такое требование к межсетевому экрану вполне закономерно.

Всем знакомый термин контроль качества услуг (Quality of Service, QoS) в последние годы стал неотъемлемой частью технологии защиты информации. И это не случайно, поскольку межсетевые экраны стали обрабатывать критичный к задержкам трафик, генерируемый такими приложениями, как видеоконференц-связь, IP-телефония, RealAudio и т. д., которые предъявляют высокие требования к качеству передачи информации. А так как наш банк, идущий в ногу со временем, запланировал переход на IP-телефонию, то внесение в список данного критерия стало закономерным.

Кстати, несколько слов об IP-телефонии. Надо учитывать, что существующие протоколы (H.323, SIP и MGCP) функционируют по-разному, и слова в рекламной листовке о поддержке VoIP еще не означают, что МСЭ будет эффективно работать со всеми тремя протоколами.

Говоря о контроле качества услуг, нельзя не сказать и о производительности - достаточно важной характеристике сетевого устройства. На всякое средство, которое может ее снизить, в любой организации смотрят с подозрением, и наш банк - не исключение. Поэтому в перечне появился такой критерий, как отсутствие снижения производительности сети. Хотя справедливости ради надо заметить, что при использовании арендуемых банком каналов связи с пропускной способностью в несколько сотен килобит в секунду это требование практически всегда будет удовлетворено. Разумеется, если не брать в расчет построение VPN, которая вносит свои коррективы.

Еще одна важная характеристика сетевого оборудования - отказоустойчивость, а при внедрении услуг Интернет-банкинга она становится первоочередной. Можно выделить два распространенных на рынке решения, реализующих приложения с высокой степенью отказоустойчивости и доступности.

Первое - создание кластера из двух и более однотипных устройств, одно из которых выступает как основное, а остальные - как резервные, перехватывающие на себя управление при выходе из строя основного. Данный подход позволит обеспечить непрерывность работы Интернет-банка в случае выхода из строя межсетевого экрана. Второе решение - распараллеливание трафика между двумя и более серверами, обеспечивающими функции Интернет-банкинга. И хотя мне трудно представить себе, чтобы наши Интернет-услуги стали пользоваться в ближайшем будущем такой популярностью, что нам не хватит одного Web-сервера, я все же предусмотрительно внес в свой список требование балансировки нагрузки, указав для него самый низший приоритет. Уж лучше немного перестраховаться, чем потом кусать локти.

"Кролики - это не только ценный мех"

Не нужно забывать, что межсетевой экран - не просто программно-аппаратное решение, которое устанавливается в сети, это еще и система поддержки. Между пользователем и производителем (чаще всего зарубежным) всегда встает третье звено - поставщик (или несколько поставщиков), которое способно "свести на нет" все достоинства предлагаемого решения за счет низкого качества послепродажной и послегарантийной поддержки. Поэтому одним из последних в списке, но не последним по важности, было требование качественной технической поддержки. Желательно также, чтобы квалификация инженеров поставщика была подтверждена соответствующими сертификатами производителя.

Кроме того, для каждого продукта в системе защиты, не только для межсетевого экрана, должна существовать своя "инфраструктура", включающая комплект документации (желательно на русском языке), наличие у поставщика авторизованного обучения, квалифицированных консультаций и т. д. Все эти аспекты также должны приниматься во внимание при выборе того или иного продукта.

Последнее, о чем я задумался, когда формулировал требования к межсетевому экрану, - наличие сертификата соответствия требованиям регулирующих органов. И на вопрос о необходимости такого пункта не смог ответить однозначно, хотя дотошно проанализировал российское законодательство на эту тему. Оно оказалось столь несовершенным, что позволяет "рулить" в любую удобную сторону. В одних пунктах говорится о необходимости применения только сертифицированных решений для построения информационных систем. В других поясняется, что собственник информации волен принимать решения о степени защиты своих данных и используемых для обеспечения их безопасности средств самостоятельно. Такие противоречия могут трактоваться как угодно, в зависимости от условий.

Что же касается различия между сертифицированным и несертифицированным решением, то их практически нет. Абсолютное большинство продуктов выпускается массовым тиражом с единственной копии на мастер-диске. Поэтому сертифицированный продукт отличается от несертифицированного только наличием сертификата с голограммой, подтверждающего, что именно данный экземпляр (читай: компакт-диск) соответствует некоторому множеству требований, предъявляемых к средствам защиты данного класса.

Здесь справедливости ради надо заметить, что ситуация с "Общими критериями" пока до конца не ясна, до сих пор не появились новые законы и подзаконные акты, четко регламентирующие, как и кто будет жить "по-новому", т. е. по "Общим критериям". На момент написания этой статьи в России был зафиксирован только один межсетевой экран, получивший сертификат по новому ГОСТ, а именно Z-2 компании "Инфосистемы Джет".

Кстати, однажды на конференции представитель одной из российских сертификационных структур заметил, что даже в случае взлома сертифицированного средства вам некуда будет предъявить свои претензии. Точнее, предъявить-то их можно, а вот получить компенсацию за нанесенный моральный и материальный ущерб - вряд ли. Если, конечно, вы не воспользовались услугами страхования информационных рисков, но это уже тема другой статьи.

Учитывая все вышесказанное, я хотя и внес требование наличия сертификата в конец общего списка, обязательным его не считаю (возможно, многие специалисты со мной не согласятся).

Результатом моих изысканий стал список из 19 требований к межсетевому экрану (не стоит составлять перечень длиной более 20 пунктов - количество в этом случае переходит в повышение трудоемкости) и их весовых коэффициентов. Соответствие этим требованиям мне нужно было найти среди функциональных характеристик продуктов российских поставщиков.

Этот четко сформулированный перечень функций МСЭ позволил за несколько дней заполнить подготовленную таблицу и остановить свой выбор на… Но я, пожалуй, остановлюсь и не буду рекламировать здесь конкретное решение. Пусть каждый сделает свой выбор, тем более что в конкретном случае набор критериев оценки и их приоритеты могут существенно отличаться. А потому и результат будет совсем другим. Главное - следовать методике отбора в соответствии с теорией поиска оптимального решения, причем это относится к выбору не только межсетевого экрана, но и любого другого средства защиты.

Другие статьи из раздела

Демонстрация Chloride Trinergy

Chloride
Демонстрация Chloride Trinergy
Впервые в России компания Chloride Rus провела демонстрацию системы бесперебойного электропитания Chloride Trinergy®, а также ИБП Chloride 80-NET™, NXC и NX для своих партнеров и заказчиков.

Завершена реорганизация двух дочерних предприятий NEC Corporation в России

NEC Нева Коммуникационные Системы
Завершена реорганизация двух дочерних предприятий NEC Corporation в России
С 1 декабря 2010 года Генеральным директором ЗАО «NEC Нева Коммуникационные Системы» назначен Раймонд Армес, занимавший ранее пост Президента Shyam …

С 17 по 19 ноября 2010 в Москве, в КВЦ «Сокольники», состоялась VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010.

компания «Гротек»
С 17 по 19 ноября 2010 в Москве, в КВЦ «Сокольники», состоялась VII Международная выставка InfoSecurity Russia. StorageExpo. Documation’2010.
Новейшие решения защиты информации, хранения данных и документооборота и защиты персональных данных представили 104 организации. 4 019 руководителей …

RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша

Adaptec by PMC
RAID-контроллеры Adaptec Series 5Z с безбатарейной защитой кэша
Опытные сетевые администраторы знают, что задействование в работе кэш-памяти RAID-контроллера дает серьезные преимущества в производительности …

Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy

Chloride
Трехфазный ИБП Chloride от 200 до 1200 кВт: Trinergy
Trinergy — новое решение на рынке ИБП, впервые с динамическим режимом работы, масштабируемостью до 9.6 МВт и КПД до 99%. Уникальное сочетание …

30 ноября 2021 г. | Он-лайн формат
Dell Technologies Forum 2021


Цель данной статьи — сравнить сертифицированные межсетевые экраны, которые можно использовать при защите ИСПДн. В обзоре рассматриваются только сертифицированные программные продукты, список которых формировался из реестра ФСТЭК России.


Выбор межсетевого экрана для определенного уровня защищенности персональных данных

В данном обзоре мы будем рассматривать межсетевые экраны, представленные в таблице 1. В этой таблице указано название межсетевого экрана и его класс. Данная таблица будет особенно полезна при подборе программного обеспечения для защиты персональных данных.

Таблица 1. Список сертифицированных ФСТЭК межсетевых экранов

Программный продукт Класс МЭ
МЭ «Блокпост-Экран 2000/ХР» 4
Специальное программное обеспечение межсетевой экран «Z-2», версия 2 2
Средство защиты информации TrustAccess 2
Средство защиты информации TrustAccess-S 2
Межсетевой экран StoneGate Firewall 2
Средство защиты информации Security Studio Endpoint Protection Personal Firewall 4
Программный комплекс «Сервер безопасности CSP VPN Server.Версия 3.1» 3
Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.1» 3
Программный комплекс «Клиент безопасности CSP VPN Client. Версия 3.1» 3
Программный комплекс межсетевой экран «Ideco ICS 3» 4
Программный комплекс «Трафик Инспектор 3.0» 3
Средство криптографической защиты информации «Континент-АП». Версия 3.7 3
Межсетевой экран «Киберсейф: Межсетевой экран» 3
Программный комплекс «Интернет-шлюз Ideco ICS 6» 3
VipNet Office Firewall 4

Все эти программные продукты, согласно реестру ФСТЭК, сертифицированы как межсетевые экраны.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г. для обеспечения 1 и 2 уровней защищенности персональных данных (далее ПД) применяются межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы (ИС) с сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом.

Сравнение межсетевых экранов

Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры.

Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети. Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно.

Наверное, читатель будет удивлен, но развертывание в ActiveDirectory не поддерживают много межсетевых экранов, представленных в таблице 1, то же самое можно сказать и о других функциях, таких как регулирование нагрузки и маскировка портов. Дабы не описывать, какой из межсетевых экранов поддерживает ту или иную функцию, мы систематизировали их характеристики в таблице 2.


Таблица 2. Возможности брандмауэров

Как будем сравнивать межсетевые экраны?

Основная задача межсетевых экранов при защите персональных — это защита ИСПДн. Поэтому администратору часто все равно, какими дополнительными функциями будет обладать межсетевой экран. Ему важны следующие факторы:

  1. Время защиты. Здесь понятно, чем быстрее, тем лучше.
  2. Удобство использования. Не все межсетевые экраны одинаково удобны, что и будет показано в обзоре.
  3. Стоимость. Часто финансовая сторона является решающей.
  4. Срок поставки. Нередко срок поставки оставляет желать лучшего, а защитить данные нужно уже сейчас.

Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата.

Брандмауэры в обзоре

Далее мы будем сравнивать три межсетевых экрана — VipNet Office Firewall, Киберсейф Межсетевой экран и TrustAccess.
Брандмауэр TrustAccess — это распределенный межсетевой экран с централизованным управлением, предназначенный для защиты серверов и рабочих станций от несанкционированного доступа, разграничения сетевого доступа к ИС предприятия.
Киберсейф Межсетевой экран — мощный межсетевой экран, разработанный для защиты компьютерных систем и локальной сети от внешних вредоносных воздействий.
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.

Время защиты ИСПДн

Что такое время защиты ИСПДн? По сути, это время развертывания программы на все компьютеры сети и время настройки правил. Последнее зависит от удобства использования брандмауэра, а вот первое — от приспособленности его установочного пакета к централизованной установке.

Все три межсетевых экрана распространяются в виде пакетов MSI, а это означает, что можно использовать средства развертывания ActiveDirectory для их централизованной установки. Казалось бы все просто. Но на практике оказывается, что нет.

На предприятии, как правило, используется централизованное управление межсетевыми экранами. А это означает, что на какой-то компьютер устанавливается сервер управления брандмауэрами, а на остальные устанавливаются программы-клиенты или как их еще называют агенты. Проблема вся в том, что при установке агента нужно задать определенные параметры — как минимум IP-адрес сервера управления, а может еще и пароль и т.д.
Следовательно, даже если вы развернете MSI-файлы на все компьютеры сети, настраивать их все равно придется вручную. А этого бы не очень хотелось, учитывая, что сеть большая. Даже если у вас всего 50 компьютеров вы только вдумайтесь — подойти к каждому ПК и настроить его.

Конечно, администратор может использовать редакторы вроде Orca для создания MST-файла.



Рис. 1. Редактор Orca. Попытка создать MST-файл для TrustAccess.Agent.1.3.msi

Киберсейф Межсетевой экран самостоятельно создает MST-файл, нужно лишь установить его на один компьютер, получить заветный MST-файл и указать его в групповой политике. О том, как это сделать, можно прочитать в статье «Разграничение информационных систем при защите персональных данных». За какие-то полсача (а то и меньше) вы сможете развернуть межсетевой экран на все компьютеры сети.

Именно поэтому Киберсейф Межсетевой экран получает оценку 5, а его конкуренты — 3 (спасибо хоть инсталляторы выполнены в формате MSI, а не .exe).

Продукт Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Удобство использования

Брандмауэр — это не текстовый процессор. Это довольно специфический программный продукт, использование которого сводится к принципу «установил, настроил, забыл». С одной стороны, удобство использования — второстепенный фактор. Например, iptables в Linux нельзя назвать удобным, но ведь им же пользуются? С другой — чем удобнее брандмауэр, тем быстрее получится защитить ИСПДн и выполнять некоторые функции по ее администрированию.

Что ж, давайте посмотрим, насколько удобны рассматриваемые межсетевые экраны в процессе создания и защиты ИСПДн.

Начнем мы с VipNet Office Firewall, который, на наш взгляд, не очень удобный. Выделить компьютеры в группы можно только по IP-адресам (рис. 2). Другими словами, есть привязка к IP-адресам и вам нужно или выделять различные ИСПДн в разные подсети, или же разбивать одну подсеть на диапазоны IP-адресов. Например, есть три ИСПДн: Управление, Бухгалтерия, IT. Вам нужно настроить DHCP-сервер так, чтобы компьютерам из группы Управление «раздавались» IP-адреса из диапазона 192.168.1.10 — 192.168.1.20, Бухгалтерия 192.168.1.21 — 192.168.1.31 и т.д. Это не очень удобно. Именно за это с VipNet Office Firewall будет снят один балл.



Рис. 2. При создании групп компьютеров наблюдается явная привязка к IP-адресу

В межсетевом экране Киберсейф, наоборот, нет никакой привязки к IP-адресу. Компьютеры, входящие в состав группы, могут находиться в разных подсетях, в разных диапазонах одной подсети и даже находиться за пределами сети. Посмотрите на рис. 3. Филиалы компании расположены в разных городах (Ростов, Новороссийск и т.д.). Создать группы очень просто — достаточно перетащить имена компьютеров в нужную группу и нажать кнопку Применить. После этого можно нажать кнопку Установить правила для формирования специфических для каждой группы правил.



Рис. 3. Управление группами в Киберсейф Межсетевой экран

Что касается TrustAccess, то нужно отметить тесную интеграцию с самой системой. В конфигурацию брандмауэра импортируются уже созданные системные группы пользователей и компьютеров, что облегчает управление межсетевым экраном в среде ActiveDirectory. Вы можете не создавать ИСПДн в самом брандмауэре, а использовать уже имеющиеся группы компьютеров в домене Active Directory.



Рис. 4. Группы пользователей и компьютеров (TrustAccess)

Все три брандмауэра позволяют создавать так называемые расписания, благодаря которым администратор может настроить прохождение пакетов по расписанию, например, запретить доступ к Интернету в нерабочее время. В VipNet Office Firewall расписания создаются в разделе Расписания (рис. 5), а в Киберсейф Межсетевой экран время работы правила задается при определении самого правила (рис. 6).



Рис. 5. Расписания в VipNet Office Firewall



Рис. 6. Время работы правила в Киберсейф Межсетевой экран



Рис. 7. Расписание в TrustAccess

Все три брандмауэра предоставляют очень удобные средства для создания самих правил. А TrustAccess еще и предоставляет удобный мастер создания правила.



Рис. 8. Создание правила в TrustAccess

Взглянем на еще одну особенность — инструменты для получения отчетов (журналов, логов). В TrustAccess для сбора отчетов и информации о событиях нужно установить сервер событий (EventServer) и сервер отчетов (ReportServer). Не то, что это недостаток, а скорее особенность («feature», как говорил Билл Гейтс) данного брандмауэра. Что касается, межсетевых экранов Киберсейф и VipNet Office, то оба брандмауэра предоставляют удобные средства просмотра журнала IP-пакетов. Разница лишь в том, что у Киберсейф Межсетевой экран сначала отображаются все пакеты, и вы можете отфильтровать нужные, используя возможности встроенного в заголовок таблицы фильтра (рис. 9). А в VipNet Office Firewall сначала нужно установить фильтры, а потом уже просмотреть результат.



Рис. 9. Управление журналом IP-пакетов в Киберсейф Межсетевой экран



Рис. 10. Управление журналом IP-пакетов в VipNet Office Firewall

С межсетевого экрана Киберсейф пришлось снять 0.5 балла за отсутствие функции экспорта журнала в Excel или HTML. Функция далеко не критическая, но иногда полезно просто и быстро экспортировать из журнала несколько строк, например, для «разбора полетов».

Итак, результаты этого раздела:

Продукт Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Стоимость

Обойти финансовую сторону вопроса просто невозможно, ведь часто она становится решающей при выборе того или иного продукта. Так, стоимость одной лицензии ViPNet Office Firewall 4.1 (лицензия на 1 год на 1 компьютер) составляет 15 710 р. А стоимость лицензии на 1 сервер и 5 рабочих станций TrustAccess обойдется в 23 925 р. Со стоимостью данных программных продуктов вы сможете ознакомиться по ссылкам в конце статьи.

Запомните эти две цифры 15710 р. за один ПК (в год) и 23 925 р. за 1 сервер и 5 ПК (в год). А теперь внимание: за эти деньги можно купить лицензию на 25 узлов Киберсейф Межсетевой экран (15178 р.) или немного добавить и будет вполне достаточно на лицензию на 50 узлов (24025 р.). Но самое главное в этом продукте — это не стоимость. Самое главное — это срок действия лицензии и технической поддержки. Лицензия на Киберсейф Межсетевой экран — без срока действия, как и техническая поддержка. То есть вы платите один раз и получаете программный продукт с пожизненной лицензией и технической поддержкой.

Продукт Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Срок поставки

По нашему опыту время поставки VipNet Office Firewall составляет около 2-3 недель после обращения в ОАО «Инфотекс». Честно говоря, это довольно долго, учитывая, что покупается программный продукт, а не ПАК.
Время поставки TrustAccess, если заказывать через «Софтлайн», составляет от 1 дня. Более реальный срок — 3 дня, учитывая некоторую задержку «Софтлайна». Хотя могут поставить и за 1 день, здесь все зависит от загруженности «Софтлайна». Опять-таки — это личный опыт, реальный срок конкретному заказчику может отличаться. Но в любом случае срок поставки довольно низкий, что нельзя не отметить.

Что касается программного продукта КиберСейф Межсетевой экран, то производитель гарантирует поставку электронной версии в течение 15 минут после оплаты.

Продукт Оценка
VipNet Office Firewall
Киберсейф Межсетевой экран
TrustAccess

Что выбрать?

Если ориентироваться только по стоимости продукта и технической поддержки, то выбор очевиден — Киберсейф Межсетевой экран. Киберсейф Межсетевой экран обладает оптимальным соотношением функционал/цена. С другой стороны, если вам нужна поддержка Secret Net, то нужно смотреть в сторону TrustAccess. А вот VipNet Office Firewall можем порекомендовать разве что как хороший персональный брандмауэр, но для этих целей существует множество других и к тому же бесплатных решений.

image

Автор: Денис Батранков, советник по безопасности корпоративных сетей.

Существует три главных критерия выбора межсетевых экранов нового поколения (NGFW): качество, цена и производительность.

Есть еще такие критерии как удобство управления, стабильность работы, существующие интеграции, наличие обученных инженеров, уровни техподдержки, страна-производитель, санкции, сертификация, поддержка русских приложений и русских URL, возможность работы без подписок, и эти критерии я буду тоже постепенно рассматривать. Начнем с основных.

Качество защиты NGFW

Качество защиты определяется набором встроенного функционала и качеством работы каждой отдельной функции. Преимуществом NGFW является то, что здесь один функционал дополняет другой. Например, инспекция приложений дополняет IPS, или песочница помогает URL фильтрации и так далее. По качеству выбирать просто: существуют публичные независимые тесты лаборатории NSS Labs, где тестируется эффективность защиты NGFW. NSS в основном проверяет движок системы предотвращения атак (IPS). Согласно последнему групповому тесту 12 различных производителей, которые провела NSS Labs в 2019 году, лидером по эффективности защиты является Palo Alto Networks, с результатом 97,9%. Если посмотреть на весь список, то пятерка лидеров выглядит так в порядке убывания эффективности защиты:

  1. Palo Alto Networks
  2. Check Point
  3. WatchGuard
  4. Forcepoint
  5. Huawei

Сами результаты тестов NSS Labs стоят 4500$ и их нужно покупать у NSS Labs (подробнее). И также можно воспользоваться лайфхаком: вызвать к себе на встречу представителя любого вендора и они показывают тесты NSS labs своим заказчикам бесплатно.

Однако IPS не единственный критерий, по которому стоит судить о качестве NGFW. Перечислю функционал, который должен быть в современном NGFW.

Цена NGFW

Часть заказчиков при выборе производителя NGFW исходят из цены. Здесь я обрадую: все производители в последнее время стоят одинаково. Если у производителя функций меньше и его качество хуже, то он все равно просит денег как лучший NGFW. Да, производители после торгов выдают разную скидку, но точно цены не отличаются в 2-3 раза больше, как это сейчас на рынке автомобилей или недвижимости. Одновременно качественно, дешево и быстро не бывает – таких продуктов нет ни в какой отрасли. Если вам предлагают такое чудо, то стоит поискать подвох. Для примера, часто производители завышают свою производительность, чтобы показать, что другие производители дороже, поэтому нужно быть осторожным выбирая NGFW по datasheet. На бумаге вы купите быстрое устройство, а в реальности – в 2-3 раза медленнее. Что означает, что вы переплатили производителю в 2-3 раза и не купили настоящее устройство, которое выдержит требуемую нагрузку. Иногда возникает вопрос, а почему именно NGFW: ведь можно купить нужную защиту по отдельности: антивирус, веб фильтр, IPS, песочницу и др. Тут рынок уже дал ответ – когда мы покупаем по отдельности, то получается еще дороже. Поэтому купить NGFW дешевле. Вашим критерием должна быть не цена, а ценность. Важно понимать, какие функции защиты актуальны для вашей компании. И нужно оценить сможет ли купленное устройство это реализовать. На периметре Интернет у предприятия обычно 200-400 различных приложений и все они требуют индивидуального подхода. В ЦОД работает около 50 различных приложений. Кому-то нужно защищаться от криптолокера в SMB или электронной почте, кому-то защищать уязвимости в голосовом трафике, кому-то блокировать атаки на WEB сервера, кому-то анализировать SQL запросы к базам данных. И когда у вас есть список приложений, которые вы хотите защитить – уже можно переходить к подбору конкретных моделей. И прийти с вашими требованиями к производителю. Скорость любого NGFW в первую очередь зависит от набора ваших приложений, которые он будет инспектировать и тех функций защиты, которые будут включены в устройстве. Основной принцип ценообразования: чем больше сложных функций безопасности вы хотите получить в одном устройств, тем дороже NGFW (потому что это требует дополнительных подписок и разработки) и тем медленнее он работает (потому что в одну секунду ему требуется сделать больше работы). Например, приложения SMB, FTP, Skype являются сложными для анализа файлов и поэтому устройство надо покупать мощнее и, соответственно, дороже.

Скорость NGFW

У каждого производителя обычно есть набор моделей под разные скорости с разной ценой. Обычно логика простая: в 2 раза быстрее устройство стоит в 2 раза дороже.

И по идее все поставщики пишут данные о своей производительности для того, чтобы заказчики могли подобрать устройство в сравнении моделей друг с другом и затем сравнили цены для одной и той же скорости. Те принципы выбора, которые используются для свитчей и роутеров уже нельзя использовать, поскольку роутеры пакеты не собирают в файлы и не анализируют. Представьте, что вы хотите смотреть вирусы в SMTP: там файлы передаются в форматe BASE64, который надо собрать в единый поток из фреймов и перекодировать в бинарный вид, чтобы проверить сигнатурами. А для FTP проще – там файлы сразу передаются в бинарном виде. Поэтому основными двумя параметрами, которые влияют на производительность: какие приложения надо анализировать и каким функционалом. Например, если одно и то же устройство настроить проверять файлы всеми сигнатурами своими, а потом только половиной своих сигнатур – это значит оно будет в 2 раза быстрее самого себя, хотя вы лишь просто поменяли функционал. Продвинутые производители добавляют в устройство для проверки сигнатур специализированные чипы ускорения ASIC и FPGA. Их преимущество в том, что на них не влияет число включенных сигнатур– они одинаковы быстры с 1% и с 100% включенных сигнатур. Также как в играх используют графические ускорители, в безопасности тоже можно выделить часть функций на специализированные чипы.

Сравнивать производительность NGFW по datasheet некорректно, поскольку производители публикуют скорости на разных приложениях, и с разным включенным функционалом защиты. Возьмем, например, datasheet четырех основных производителей, которые представлены на рыке России: Cisco, Check Point, Fortinet, Palo Alto Networks. И проанализируем основные термины, которые они используют и как эти термины используются.

Читайте также: