Одновременно с развитием возможностей сетей и, в частности, глобальной сети Интернет, растет и необходимость защиты частных сетей от проникновения нежелательных посетителей. По мере развития технологий ≈ не дремлют и хакеры, совершенствуя свои инструменты. Кто кого опередит в этой интеллектуальной гонке, какой должна быть система защиты корпоративной сети, что именно из предлагаемых на рынке программных продуктов следует выбрать, чтобы быть уверенным в защищенности своей сети?
Компания Novell известна во всем мире как создатель надежных сетевых технологий NetWare. Вместе с тем, большое внимание компания уделяет разработке продуктов, обеспечивающих защиту корпоративной сети, активно использующей Интернет. Первым продуктом, выполняющим роль защиты, был NetWare MultiProtocol Router. Продукт совершенствовался в течение ряда лет, появлялись новые возможности и в дальнейшем на его основе был создан новый комплекс продуктов ≈ BorderManager. Новейшая версия BorderManager Enterprise Edition 3.5 выпущена в июне 1999 г. (далее BMEE3.5). Продукт представляет собой объединение сервисов, интегрированных с NDS и обеспечивающих безопасность сети. BMEE3.5 ≈ комплексное решение, выполняющее не только функции защиты сети (Firewall), но и повышающее скорость, уменьшающее трафик. Применяя свой вариант набора компонентов BMEE3.5 и места установки сервисов, компания может использовать все возможности и технологии Интернет, защитив при этом свою информацию от внешних и внутренних нарушителей (взломщиков). Гарантируется строгая секретность и при этом высокая производительность сети.
Поскольку BorderManager интегрирован с NDS, т.е. все сервисы сконцентрированы в одном месте, сетевой администратор может контролировать секретность и возможность доступа глобально из одной точки управления. Аутентификация сервисов, пользователей и рабочих станций производится через NDS, и нет необходимости управлять доступом к каждому сервису в отдельности.
BMEE3.5- многоцелевое решение, включающее в себя следующие технологии:
Packet filtering (фильтрование пакетов) ≈ предоставляет защиту на сетевом уровне (OSI модели), контролируя, какой тип информации передается между сетью и хостом. BMEE3.5 поддерживает RIP фильтры и packet forwarding фильтры для контроля за информацией о сервисах и маршрутизацией. Фильтры применяются к протоколам IPX TM и TCP/IP. Фильтрование ≈ первый шаг на пути предотвращения нежелательного вмешательства. Хакерами разработаны различные способы проникновения в частную сеть. Например, атака фрагментами. При передаче информации по сети только первый фрагмент содержит полную транспортную информацию, остальные могут быть пропущены даже при установке фильтров на входящие адреса. Другой способ ≈ захват реального IP адреса частной сети и посылка пакетов с использованием этого адреса. Возможно также ╚засорение╩ сети пакетами с одинаковыми адресами отправки и приема. Фильтрование является защитой от таких проникновений.
Proxy Services ≈ этот компонент использует кэширование для ускорения доступа в Интернет и оптимизации использования глобальных линий, позволяет фильтровать протоколы и усиливать защиту, скрывая доменные имена и адреса частной сети и посылая все запросы через единый gateway. Разработаны различные типы прокси-серверов: пассивный, активный, негативный, иерархический.
Пассивное (базовое или по-требованию) кэширование ≈ клиент посылает запрос напрямую прокси-серверу, сервер ищет запрос в своем кэше и, если находит, предоставляет объект клиенту; если не находит, ≈ посылает запрос на оригинальный Web-сервер, полученные данные вносит в свой кэш, а копию передает клиенту. Активное кэширование ≈ информация, предоставляемая корпоративными Web-, FTP-серверами ╚аккумулируется╩ на прокси-сервере и по мере требования предоставляется клиентам, посылающим запрос через Интернет или Интранет. Негативное кэширование ≈ запоминаются те URL, что заведомо не существуют или не могут быть доставлены. Иерархическое кэширование ≈ распределение ролей между прокси-серверами на ╚родительский подчиненный╩. Схема может быть столь сложной, насколько это требуется в условиях компании. Поиск запрашиваемой информации ведется по уровням: если информация не содержится в данном уровне, ≈ передается запрос на более высокий уровень и т.д. Если и самый высокий по приоритету прокси-сервер не содержит нужной информации, посылается запрос на оригинальный Web-сервер.
Access control ≈ контроль доступа ≈ это процесс предоставления пользователям доступа в Интернет на основе определенных администратором правил через Novell IP Gateway или Proxy Services. Используя Cyber Patrol* (торговая марка третьей фирмы), можно определить правила, основанные на Cyber Patrol* URL категориях. Это позволяет фильтровать информацию ╚по темам╩, т.е. определять разрешенные или запрещенные к просмотру сайты Интернет соответственно объявленной их создателями направленности.
Novell IP Gateway (the IPX/IP gateway and the IP/IP gateway) предоставляет Windows* IPX и IP клиентам локальной сети доступ в Интернет без предоставления глобального IP адреса каждой локальной системе, поддерживает SOCKS клиентов, позволяет скрыть IP адреса локальной сети от Интернет и внедрить контроль доступа для локальных клиентов.
Используя NetWare (r) Administrator для управления Novell IP Gateway, можно ограничить TCP и UDP трафик для определенных портов и IP адресов, изменять порты сервисов, отслеживать использование gateway и получать статистические данные за выбранный временной период.
Network Address Translation (NAT) ≈ позволяет IP клиентам локальной сети получить доступ в Интернет без предоставления уникального глобального IP адреса каждому клиенту. Транслируя адреса, выступает в качестве фильтра, позволяя только обусловленные входящие соединения и гарантируя, что соединение не сможет быть инициировано извне. Возможна трансляция группы локальных адресов в один глобальный адрес Интернет, возможно создание таблицы трансляции (каждому адресу локальной сети предоставляется парный глобальный адрес), возможен смешанный вариант.
Virtual Private Network (VPN) ≈ используется для передачи информации через Интернет, образуя ╚секретный туннель╩, связывающий разбросанные по свету части Интранет-компании или отдельного пользователя и его компанию. Также применяется внутри компании, где необходима защита информации некоторых отделов. Сервис состоит из следующих компонентов: мастер сервер ≈ один в сети в таком статусе, управляет подчиненными серверами, предоставляет криптографическую информацию, используемую подчиненными серверами для генерации их криптографических ключей.
Подчиненный сервер ≈ все остальные VPN серверы. Образование туннеля ≈ VPN сервера ╚прячут╩ закодированные IP или IPX TM пакеты внутри IP пакетов и передают через Интернет или Интранет. Клиент ≈ дозванивающийся пользователь, через РРР подсоединяющийся к мастер-серверу или подчиненному серверу. Подсоединение может быть прямым ≈ звонок на сервер, может быть соединение через провайдера. VPN использует 128-bit или 40-bit кодирование. BMEE3.5 использует IPSEC стандарт для аутентификации и кодирования и SKIP стандарт для управления ключом. SKIP позволяет установить, сколько пакетов может пройти через закодированный туннель, прежде чем поменяется ключ.
BorderManager Alert ≈ отслеживает работоспособность и защищенность сервера и предупреждает о потенциальных и существующих проблемах, влияющих на работу сервисов BMEE3.5.
Novell BorderManager Authentication Services ≈ позволяет удаленным пользователям дозваниваться в сеть NetWare и получать доступ к ресурсам. Защита осуществляется при аутентификации пользователя, применяя Remote Authentication Dial-In User Service (RADIUS) протокол.
Всего два месяца осталось до начала 2000 года. Идет интенсивная замена как оборудования, так и программного обеспечения. Вожделенной целью каждого руководителя является стабильность и надежность при разумных затратах. Как и любой из продуктов компании Novell, BorderManager Enterprise Edition 3.5 надежен и стабилен. Защитив свою информацию с помощью BorderManager, выбрав при этом доступное по цене решение (от фильтрования пакетов до VPN), компания может сэкономить свои материальные и нематериальные ресурсы, так как потеря информации или последствия нежелательного проникновения в частную сеть могут обернуться огромными затратами, на много порядков превышающими затраты на организацию защиты.
Представительство Novell в СНГ:
121059, Москва, Бережковская наб., д.2. Бизнес-центр, офис 524. Тел.:(095)941-8075/73. факс: (095)941-8066. E-mail:
http://www.novell.ru