«Один красный ящик…»

Евгений Васильченко, 

Обзор аппаратного межсетевого экрана WatchGuard FireBox II с богатым набором возможностей настройки и диагностики.

Информация в век цифровых технологий приравнена к деньгам, а раз так — ее нужно охранять. В Интернете всегда найдутся желающие поинтересоваться содержимым ваших жестких дисков или заменить первую страницу на сайте вашей компании лозунгом типа «Vasya Pupkin Was Here!» Это только вопрос времени. Хорошая система защиты информации от несанкционированного доступа на предприятии так же необходима, как и надежный сейф для хранения тех самых денег, в которые информация отливается.

В одном из западных журналов, посвященных сетевой безопасности, я натолкнулся на статью о сравнении нескольких популярных «межсетевых экранов» масштаба среднего предприятия. Победителем по многим категориям там выходила система, о которой я никогда не слышал, — WatchGuard LiveSecurity System от компании WatchGuard Technologies. Дочитав статью, проглотив кучу превосходных эпитетов и запив их пивом, я решил поискать в Рунете, кто этот продукт продает в России. Очень скоро я вышел на фирму Rainbow Technologies: пара звонков, короткие переговоры, и белая картонная коробка с надписью, утверждающей, что «All Network Security in One Red Box», у меня на столе. Почему красный ящик, спросите? Не поверите — он действительно красный, как огнетушитель или пожарный щит (см. фото). А как еще должно выглядеть устройство, которое называется «FireBox»?

fb2500_frnt

Было решено испытать FireBox в реальных условиях, то есть в локальной сети редакционного офиса «Компьютерры». Два-три дня я размышлял над новой топологией сети, изучил документацию к FireBox, продумал переход на фиктивные IP-адреса внутри сетки, активировал устройство, создал в нем необходимую конфигурацию и в ближайшие выходные переделал редакционную сеть так, чтобы прописать устройство на новое место жительства. Включил красный ящик. Все заработало, как задумывал.

fb2500_frnt_2

Итак, WatchGuard FireBox II — это аппаратный межсетевой экран, в простонародье — firewall. Вид спереди (см. фото) — симпатичные столбиковые индикаторы объема трафика, проходящего через firewall, и индикатор нагрузки на центральный процессор. Самое приятное (такого ни у кого не видел) — треугольный индикатор направлений трафика (Security Triangle Display). Показывает, между какими интерфейсами устройства в данный момент происходит обмен пакетами, и в каком направлении. Позволяет на глаз оценить, насколько правильно вы задали конфигурацию устройства. Например, если в конфигурации запрещены исходящие соединения из DMZ во внутреннюю сеть, а на индикаторе вы видите активный трафик в этом направлении — значит, что-то неладно и пора пересмотреть правила обработки пакетов. Есть еще на передней панели четыре индикатора различных состояний устройства (если кому интересно, что они обозначают, — RTFM).

Сам FireBox монтируется в стандартную промышленную 19-дюймовую стойку, но может стоять и на столе на собственных резиновых ножках.

Вид сзади — три сетевых интерфейса Fast Ethernet 10/100. Все правильно — один в локальную сеть, второй в маршрутизатор или другое устройство доступа. Куда третий? На ваше усмотрение (кое-кто даже модемные пулы туда «подвешивает»). А вообще, по документации, он нужен для создания «демилитаризованной» зоны — DMZ. Руководства по сетевой безопасности рекомендуют «сажать» в эту зону общедоступные сервисы, например Web- или почтовый сервер предприятия.

Немного огорчает отсутствие слотов расширения для установки дополнительных сетевых адаптеров, но для большинства организаций малого и среднего бизнеса и для стандартных задач, связанных с работой в Интернете, трех сетевых интерфейсов вполне достаточно.

Очень интересная возможность — один двойной разъем  PCMCIA Type II для установки модема (сам модем в комплект не входит). Это позволяет управлять настройкой FireBox удаленно, с другого компьютера, в терминологии WatchGuard — OOB (Out Of Band Management). В документации, правда, написано, что пока можно использовать одновременно лишь один слот PCMCIA — в следующих версиях ПО, возможно, будут задействованы оба разъема. Есть еще порт RS-232 (Console) для подключения к компьютеру с программным обеспечением WatchGuard LiveSecurity (например, для первоначальной настройки) и один служебный порт RS-232 для расширения системы (пока он не задействован).

Как выяснилось при помощи отвертки, FireBox — это хорошо замаскированный PC. Внутри установлена специализированная системная плата с тремя сетевыми интерфейсами, процессором Intel Pentium 200, flash-памятью на 8 Мбайт и двумя разъемами для модулей DIMM (модель FireBox II поставляется с одним модулем на 64 Мбайт). Есть даже два PCI-слота. Зачем — документация умалчивает, однако в службе технической поддержки мне объяснили, что они предназначены для установки аппаратных криптоускорителей для повышения скорости обмена информацией через VPN. Вообще, мануал грозит отменой гарантии, если мы будем лазить внутрь грязными руками. Но уж очень хочется открыть ящик Пандоры…

Что внутри? А вы догадайтесь, что сейчас модно ставить внутрь различных сетевых устройств? Конечно, Linux. Разумеется, не простой, а специальную урезанную и защищенную версию. WatchGuard Technologies гордится тем, что все компоненты системы были разработаны компанией самостоятельно и не базируются на общеизвестных исходных кодах.

Говорить о FireBox как об отдельном устройстве нельзя — это программно-аппаратный комплекс. Система в целом называется WatchGuard LiveSecurity Service и включает в себя следующие компоненты:
• подписную службу рассылки информации — Broadcast Service;
• набор программного обеспечения для управления и контроля — Control Center;
• программное обеспечение FireBox — SecuritySuite;
• собственно устройство FireBox.

Пара слов о программном обеспечении. Перед началом использования FireBox необходимо зарегистрироваться на сайте производителя — активировать годовую подписку на услугу LiveSecurity, которая позволяет в течение года после регистрации бесплатно пользоваться технической поддержкой, скачивать новые версии софта для FireBox, а также получать через специальные программы и по электронной почте дополнительную информацию о сетевой безопасности. Регулярно приходят сообщения о новых видах сетевых атак, о новых вирусах, ссылки на пакеты исправлений для различных программных продуктов, рекомендации и HOWTO по использованию продукта и прочие полезные вещи. Информация на сайте технической поддержки неплохо структурирована и, на мой взгляд, вполне достаточна для самостоятельного освоения управления устройством. Единственное нарекание — медленный доступ к страницам технической поддержки. Возможно, это связано с большой нагрузкой на Web-серверы производителя — доступ туда организован только по SSL. На сайте WatchGuard действуют форумы, где можно обсудить проблемы с другими пользователями системы.

До FireBox я не раз настраивал экраны на базе *nix-систем — ipfw, ipchains — и имел опыт общения с Cisco PIX Firewall. Сначала я весьма скептически смотрел на межсетевой экран, у которого отсутствует командная строка, но спустя пару дней общение через LiveSecurity мне даже стало нравиться.

CC2

Начнем с Control Center — центральной точки управления и мониторинга всей системы (см. скриншот). Он состоит из нескольких приложений:
• VPN Manager — действительно умеет делать VPN. Подробности ниже.
FBM1• FireBox Monitors — приложение для мониторинга различных параметров: трафика, количества соединений по тем или иным портам TCP/IP, авторизованных пользователей и аппаратных ресурсов. Очень удобный инструмент.
• Logging/Notification — система ведения журналов. Писать протоколы — любимое занятие красного ящика. Он может делать это на машине, где установлено LiveSecurity, и/или в syslog. Это дает возможность прикрутить к FireBox службы обнаружения вторжений (Intrusion Detection System). Я обучил бесплатный IDS Snort анализировать журнал от FireBox и сообщать о подозрительных событиях. Всё лучше, чем прочесывать в поисках километровый журнал. Начиная с версии LiveSecurity 5.0 на сайте производителя доступны дополнительные программы для интеграции софта FireBox с практически любыми IDS. Разработаны версии для систем NT/W2K, Solaris и Linux. Такого рода интеграция полезна тем, что можно автоматически заблокировать IP-адрес, который с точки зрения IDS ведет себя подозрительно. Помимо этого, FireBox способен самостоятельно, без помощи систем класса IDS, распознавать самые распространенные виды атак (сканирование портов и адресного пространства, IP Option, IP Spoofing, SYN Flood) и автоматически блокировать любые соединения с атакующего хоста.
• Historical Reports — модуль, служащий для составления удобных и красивых отчетов в формате HTML, анализа журналов работы FireBox, а также для создания и экспорта данных из журнала в другие системы. Подсистема обработки журнала позволяет задавать время открытия новых файлов журнала запуска того или иного отчета. Нет только одной мелочи — возможности указать, сколько последних журналов хранится на диске. Учитывая, что размер log-файлов весьма велик, нужно следить за тем, чтобы на диске, куда пишутся журналы, оставалось место. Или написать скрипт, периодически стирающий старые логи.
• HostWatch — утилита для динамического отслеживания соединений, проходящих через FireBox. Показывает, кто, откуда и куда соединился, по какому протоколу и как — то есть NAT, proxy-соединение и прочую информацию. Можно устанавливать фильтры, отслеживая только интересующий трафик, или просто «заморозить» текущую картинку и внимательно ее рассмотреть.
• Policy Manager — собственно менеджер правил межсетевого экрана. О нем немного ниже.

На мой взгляд, это достаточный набор инструментов для понимания того, что происходит с межсетевым экраном. Но не мониторингом единым жив firewall, и посему хочу рассказать о том, что живет внутри самого красного ящичка и что оно умеет. Внутреннее программное обеспечение FireBox называется SecuritySuite и работает под управлением специальной защищенной версии Linux Kernel 2.0. Вкратце о том, что оно умеет делать:
• NAT — Network Address Translation. NAT в FireBox возведена в степень культа. «Понатить» при желании можно все, что угодно. Есть возможность определить общие правила трансляции адресов и задать NAT на основе per-service. Например, транслировать все исходящие соединения из локальной сети в Интернет, но не транслировать исходящие соединения из ЛВС в DMZ по протоколу HTTP. Работа по определению правил NAT устроена элегантно и очень удобно. Можно задать исключения из правил, и начиная с версии Live Security 5.0 появляется возможность 1-to-1 NAT (то есть направления пакетов, посланных на определенные диапазоны адресов, на другие диапазоны).
CC1_big• Firewall — фильтрация пакетов. Ну что тут сказать — работает. Модуль сертифицирован как российскими, так и международными организациями. В России WatchGuard FireBox System версии 4.6 имеет сертификат Гостехкомиссии по третьему классу защиты информации с формулировкой «позволяет применять его для обработки информации, составляющей государственную тайну». Кроме того, устройство сертифицировано лабораторией ICSA Labs. На этом закругляюсь — не сглазить бы.
• Authentication — аутентификация пользователей. FireBox позволяет определить их подлинность несколькими способами: пользователи, непосредственно созданные на FireBox, Windows NT domain/server, RADIUS, SecureID server. Я протестировал аутентификацию «внутренних» пользователей FireBox и через RADIUS-сервер в домене Windows NT — все успешно работало. Одновременно можно применять только один способ аутентификации. Проверка подлинности пользователя позволяет оперировать доступом к ресурсам с помощью таких понятий, как «пользователь» и «группа». То есть можно, например, авторизованным пользователям разрешить доступ к определенным протоколам/хостам, а всем остальным запретить. Для проверки прав пользователя нужно из любого браузера обратиться по специальному порту. Появится окошко с Java-апплетом, предлагающим ввести ваши имя и пароль. Если проверка прошла успешно, окошко нужно минимизировать, и пока оно остается открытым, вы будете получать доступ к означенному ресурсу.
• Web Access Control. Позволяет установить доступ к ресурсам всемирной паутины. Можно фильтровать небезопасное содержимое — cookies, Java Applet, ActiveX, запрещать заполнение форм и пропускать только определенные типы HTTP-трафика. В состав входит  бесплатная служба WebBlocker, позволяющая ограничивать доступ к различными типам Web-сайтов — порно, насилие и т. д. Тест показал, что, например, порносайты эта служба блокирует прекрасно, но в базу попадают многие вполне безобидные российские сайты. Конечно, их можно исключить и вручную, но это не очень неудобно. Так что WebBlocker я отключил, хотя и жаль — вещь хорошая.
• VPN. FireBox поддерживает оба типа виртуальных частных сетей — для удаленных пользователей и для объединения ЛВС через Интернет. Для доступа удаленных пользователей доступно два протокола — бесплатный PPTP, идущий в комплекте, и IPSec. Второй требует приобретения пользовательских лицензий и специального дополнительного программного обеспечения — Mobile User VPN Client. Я протестировал работу FireBox как сервера PPTP для входа в домен Windows NT 4.0 — после небольшого изучения документации все заработало как нужно. Одновременно в версии устройства FireBox II могут работать до пятидесяти PPTP-клиентов, а новейшая линейка FireBox III поддерживает уже до тысячи туннелей VPN.

В дополнение могу сказать, что существуют еще две программные опции — High Availability и SpamScreen. Первая предназначена для «горячего» подключения резервного FireBox на случай выхода из строя основного. Вторая — подписная услуга, блокирующая спам при использовании встроенного в FireBox SMTP-proxy.

Кстати, о proxy. Создание и менеджмент правил обработки пакетов с WatchGuard Control Center — простое и увлекательное занятие. Идеология управления правилами фильтрации очень проста: у нас есть куча готовых пакетных фильтров и — внимание! — proxy-сервисов, под сетевые протоколы (FTP, DNS, SMTP) и общеизвестные приложения (ICQ, RealAudio etc). Если не хватает нужного пакетного фильтра (или не устраивают параметры стандартного) — его можно создать самому. После этого нам остается в программе Policy Manager указать, откуда и куда мы разрешаем входящие и исходящие соединения. Причем, скажем, одному SMTP-серверу можно задать использование SMTP-proxy, а другому — пакетную фильтрацию по порту 25. Вообще, мне показалось, что WatchGuard больше поощряет использование proxy-сервисов, иначе как объяснить наличие сервиса FTP-Proxy и отсутствие простого пакетного фильтра для этого протокола.

В заключение хочу напомнить, что безопасность — это не продукт, а процесс. И никакой, даже самый современный firewall, не является сам по себе магическим устройством, способным на 100 процентов защитить от посягательств ваши информационные ресурсы. Грамотно выстроить корпоративную систему безопасности можно только в комплексе с другими средствами защиты и административными мерами.


Автор
Евгений Васильченко

Комментарии