Достоинства и недостатки применения межсетевых экранов

Дмитрий
Амиров

Директор по маркетингу, "Айдеко"

1. Я думаю, что на этот вопрос можно дать ответ в двух разных контекстах. Если мы говорим о функциональности МЭ, то, безусловно, в первую очередь нужно обращать внимание на те возможности, которые в нем реализованы. Наиболее важны именно профильные функции, такие как сетевой фильтр, подсистема маршрутизации трафика, антивирусные модули. Во втором контексте мы должны рассматривать МЭ в качестве элемента IT-инфраструктуры, играющего огромную роль в формировании доверия к системе ИБ. И в этом случае огромное значение имеют такие факторы, как компетенция разработчиков решения, стабильность производителя, наличие сертификатов, подтверждающих корректность реализации тех или иных защитных мер.

2. Сложно говорить о преимуществах всех современных МЭ одновременно. Наверное, стоит отметить тот факт, что они становятся все более "понятны" высшему руководству предприятий. Это стало возможным благодаря нескольким факторам. Во-первых, проблемы ИБ обостряются с каждым годом, и они уже не остаются незамеченными, далекими от IT. Во-вторых, МЭ наделяются функциями, которые востребованы руководителями, далекими от сферы IT. Речь может идти о таких возможностях, как система формирования отчетов о сетевой активности пользователей, контентная фильтрация и многие другие.

3. Опять же не просто найти недостатки у целой продуктовой категории. Тем не менее одной из ключевых я вижу проблему в расширении границ понятия "межсетевой экран". На рынке появляются МЭ со встроенными IP-АТС. На мой взгляд, недопустима ситуация, когда функции безопасности перемешиваются с такими функциями, как скажем, IP-телефония.

Михаил
Кадер

Системный инженер, Cisco Systems

1. Критериев может быть достаточно много разных. На самом деле, они зависят от решаемой задачи. Например, если необходимо защищать центр обработки данных, то надо смотреть на производительность и возможности кластеризации, если мы защищаем множество маленьких офисов, то уместно говорить о стоимости устройств и поддержке взаимодействия с централизованными системами распределения информации об угрозах. Также всегда надо обращать внимание на то, какие данные мы должны защищать. Если это данные ограниченного распространения, то важную роль при выборе решения будет играть уровень сертификации МЭ. Опять же немалую роль играет наличие обученного персонала как у самого пользователя, так и у системных интеграторов разного уровня. Нужно обращать внимание и на наличие сервисной поддержки от самого производителя, включая русскоязычные центры компетенции и склады для быстрой замены оборудования, если это необходимо.

2. Современный МЭ - это устройство, которое может уметь почти все, начиная от анализа соединений канального, сетевого и транспортного уровней и заканчивая детальным анализом современных сетевых приложений, таких как работа с социальными сетями, облачными сервисами и т.п. То есть как различные технологии борьбы с вредоносным ПО постепенно "влились" в современные антивирусные системы, так и разнообразные методы борьбы с сетевыми угрозами любого уровня постепенно интегрировались в межсетевые экраны в виде встроенного функционала или интерфейса к внешним системам.

3. Недостатки - пожалуй, назову парочку наиболее очевидных. Если в рамках МЭ реализовано сразу много сервисов безопасности, например сам по себе МЭ, потом система предотвращения вторжений, сетевой антивирус и т.п., то одновременное включение всех этих функций может существенно снизить реальную производительность такого устройства, что мы и наблюдаем у ряда производителей. Второй - это то, что постоянно появляются новые и модернизируются существующие сетевые приложения, поэтому компания-разработчик МЭ должна иметь возможность быстрого и гибкого управления профилями защиты. Это тоже реализовано далеко не у всех производителей.

Андрей
Гольдштейн

Инженер по сетевой безопасности компании Netwell

1. При выборе МЭ в первую очередь, конечно же, необходимо руководствоваться тем, что он должен быть следующего поколения, то есть так называемый Next Generation Firewall.

Стоит отметить, что МЭ должен обладать достаточным запасом по производительности. Обязательно следует удостовериться в наличии всех необходимых сертификатов. Также рекомендую обратиться к специализированным отчетам, таким как "квадрат Гартнера", в которых как раз подробно рассматриваются различные производители МЭ, их плюсы и минусы. Однако не следует руководствоваться одними лишь сравнительными итогами, так как порой итоги не всегда корректно ранжированы.

2. Сегодня наряду с активным ростом количества корпоративных и пользовательских приложений, значительным ростом трафика сети Интернет, а также постоянным развитием различных угроз и вирусов современный МЭ должен отвечать следующим критериям:

• обеспечивать точную идентификацию приложения независимо от используемых портов, протоколов, средств шифрования (SSL или SSH) и тактики обхода средства анализа трафика. Результаты идентификации приложения должны стать основой всех политик безопасности;
• идентифицировать пользователя вне зависимости от его местоположения;
• защищать от попыток использования эксплойтов для известных уязвимостей и распространения вредоносных программ в трафике уровня приложений независимо от источника;
• обладать удобным графическим интерфейсом, который позволяет сформировать унифицированную политику безопасности;
• мультигигабитной производительностью с низкими задержками при всех включенных службах, причем заявленная производителем скорость работы не должна уменьшаться при включении того или иного функционала, например такого, как антивирусная проверка или IPS.

3. На текущий момент многие производители МЭ страдают от недостаточного набора функциональных возможностей для полноценной защиты приложений и корпоративных ресурсов предприятий, а также от низкой пропускной способности. При этом основной недостаток проявляется в самой архитектуре МЭ. Традиционные МЭ до сих пор используют старые правила и политики безопасности, основанные на IP-адресах и TCP/UDP портах, в то же время современные приложения могут использовать как нестандартные порты, так и динамически использовать целый пул портов TCP/UDP, легко обходя при этом политики безопасности традиционного МЭ.

Еще одним важным недостатком является применение дорогостоящих так называемых помощников МЭ, к которым можно отнести отдельно стоящие серверы URL-фильтрации, IPS, антивирусную защиту и т.д. Такой подход приводит к несогласованности политик безопасности и не позволяет решить проблему мониторинга и управления трафиком приложений, при этом возникает проблема в неточной или неполной классификации трафика, в сложных процедурах управления и дополнительных задержках, вызванных множеством процессов сканирования.

Ну а способ обхода перечисленных недостатков состоит в выборе межсетевого экрана нового поколения!

Кирилл
Прямов

Менеджер по маркетингу ООО "АльтЭль"

1. При выборе МЭ в первую очередь нужно оценить такие характеристики, как производительность, надежность и обеспечение отказоустойчивости, удобство эксплуатации (МЭ должен обладать достаточно мощными и гибкими средствами управления, иметь возможность централизованного управления, визуализации и контроля состояния сети), простота интеграции в существующую инфраструктуру сети и наличие сертификатов регулирующих органов. В зависимости от целей организации и предпочтений технических специалистов значение каждого критерия может быть различно. Для малого и среднего бизнеса в первую очередь важно получить доступное и легкое в администрировании решение. Для крупного - на первый план выходят производительность решения и надежность предоставляемой им защиты, позволяющие гарантировать непрерывность функционирования бизнеса, а также сертификаты, гарантирующие соответствие информационной системы организации ФЗ № 152 "О персональных данных". Для бюджетных учреждений в первую очередь важны низкая стоимость решения и его соответствие всем нормативным документам.

2. Основными задачами МЭ являются регламентация доступа внешних пользователей к внутренним ресурсам корпоративной сети и внутренних пользователей к внешним ресурсам, а также анализ трафика на предмет подозрительной активности. Основное достоинство МЭ - обеспечение защиты корпоративной сети при относительно низкой стоимости и настройки этих решений.

Современные МЭ, иногда называемые UTM-устройствами или Next Generation Firewall, объединяют в себе целый ряд дополнительных функций - антивирусной защиты, обнаружения и предотвращения вторжений (IPS/IDS), средства построения виртуальных частных сетей VPN, спам- и контент-фильтрации.

3. К основным недостаткам межсетевых экранов можно отнести:

• неспособность защитить локальную сеть организации от внутренних угроз - рекомендуется устанавливать и использовать DLP-решения для предотвращения утечек конфиденциальной информации;
• невозможность защиты соединений, установленных в обход средств МЭ. Для решения задачи необходимо обеспечить по возможности строгий контроль имеющихся в сети устройств передачи данных, используя как организационные, так и технические меры;
• возможность использования сервисов, ориентированных на работу с данными (Java, ActiveX-апплеты и другие сервисы) - решается применением специализированных средств защиты, обеспечивающих безопасность сети от враждебного "мобильного" кода;
• необходимость перестройки сетевой инфраструктуры при внедрении МЭ - решением проблемы может послужить правильное проектирование топологии сети на начальном этапе создания информационной системы.

Как правило, недостатки МЭ легко устраняются использованием специализированных решений, таких как корпоративное антивирусное ПО, DLP- и IPS/IDS-системы, а также системы мониторинга действий пользователей.

Оксана
Ульянинкова

Руководитель отдела продвижения решений компании "Код Безопасности"

1. МЭ может применяться для защиты корпоративного периметра, отдельных узлов и ключевых ресурсов (серверов БД, АРМ бухгалтеров и т.д.) или же для защиты рабочих мест от угроз из сети Интернет и контроля использования ресурсов сотрудниками. В зависимости от этого может применяться тот или иной вариант исполнения МЭ - аппаратно-программный, распределенный и персональный или же комбинация этих типов МЭ. Причем с развитием технологий виртуализации, различных облачных сервисов, Wi-Fi, активным использованием мобильных устройств в работе и т.д. Корпоративная сеть компании фактически не имеет границ, а значит защиту надо строить сразу в нескольких направлениях, одновременно применяя и традиционный МЭ и распределенный для защиты ключевых ресурсов.

Далее можно руководствоваться следующими критериями, которые в целом применимы ко всем типам МЭ:

• внедрение СЗИ в сетевую инфраструктуру;
• реализация политики безопасности, принятой в организации в вопросах обмена информацией;
• стоимость;
• заявленная производителем эффективность (хорошо, если есть подтверждение);
• совместимость с ОС, набором прикладных программ и другими СЗИ (здесь не лишними будут сертификаты совместимости);
• удобство внедрения и дальнейшей эксплуатации;
• наличие инструментов для централизованного управления и мониторинга;
• репутация вендора, которая играет не последнюю роль в выборе продукта.

Особняком стоит вопрос наличия у продукта сертификата ФСТЭК и ФСБ России, который автоматически сужает список средств защиты, оставляя в нем лишь те МЭ, которые включены в государственный реестр сертифицированных решений. Тут важены и уровень сертификата, отвечающий требованиям класса автоматизированной системы, и возможность использования продукта для создания СЗПДн.

2. Технология МЭ за последнее время серьезно продвинулась вперед. Если раньше большинство решений этого класса осуществляли фильтрацию только на сетевом уровне, то современные МЭ позволяют осуществлять глубокий анализ и разбор пакетов до 7-го уровня модели OSI. Появилась гибкость в применении, в частности сегодня МЭ успешно применяются в виртуальных средах, терминальном режиме, для фильтрации трафика на уровне машин и пользователей и т.д. Реализована возможность выполнения сразу большого комплекса задач, включая организацию защищенного удаленного доступа сотрудников. Не обошла стороной МЭ и тенденция сосредоточения нескольких классов защиты в одном решении. Показателем этого служит широкое распространение и востребованность на российском рынке UTM-решений и растущий интерес пользователей к МЭ нового поколения - Next Generation Firewalls, обеспечивающих еще более широкий спектр возможностей для защиты сетевых ресурсов компании. Актуальной задачей сегодня является и защита мобильных пользователей, то есть выполнение задачи безопасного доступа к корпоративным ресурсам с планшетных компьютеров и смартфонов.

3. К сожалению, как и все средства защиты, МЭ не эволюционируют наравне с угрозами. Скорость появления новых угроз в разы превышает темпы развития технологий межсетевого экранирования. Кроме того, они не могут полностью контролировать сетевую активность, так как обеспечивают безопасность только соединений, установленных непосредственно через них. Это означает, что злоумышленник может найти путь для проникновения в корпоративную сеть в обход МЭ. Также МЭ могут таить угрозу и в себе - это могут быть ошибки в ПО или ошибки, допущенные при конфигурировании правил.

Игорь
Шитов

Менеджер по продукту "ЗАСТАВА", "ЭЛВИС-ПЛЮС"

1. Некоторое время назад заказчикам было достаточно того, чтобы определенное решение обладало необходимыми сертификатами регуляторов. Но сейчас заказчик хочет, чтобы система МЭ ложилась на уже существующую информационную систему без смены ее устоявшейся архитектуры и обладала большой гибкостью. Тенденции постоянно меняются, и решения должны иметь возможность адаптации под любые требования, которые могут быть разными: персональные МЭ, закрытие одного сегмента, системы регионального или даже федерального уровня. Во всех этих случаях выигрывают производители программных решений с возможностью централизованного управления, ведь часто заказчик имеет корпоративные стандарты по "железу" или необходима быстрая миграция с одного решения на другое чисто на программном уровне.

2. Мы считаем важным принцип совмещения функций распределенного МЭ с системой VPN. Когда речь идет о защите периметра сети без возможности шифрования трафика, решение будет неполноценным.

Ну а если речь идет о системе распределенных МЭ, то построение крупных систем без мощной системы управления практически невозможно. Необходимость мониторинга в режиме реального времени и возможность удаленной настройки - самые главные современные требования. Очень важены интуитивно понятный графический интерфейс центра управления, возможность оперативного реагирования и быстрой диагностики проблем.

Зачастую в одной ИС сталкиваются несколько решений от разных производителей. Наличие международных стандартов (например, IPSEC) и их корректная реализация при разработке продукта позволяют объединять все эти решения в одну слаженную архитектуру. И что также очень важно - осуществлять централизованное управления из одного центра.

3. Несоответствие международным стандартам сетевой безопасности.

Высокая цена решения, зачастую необоснованная.

Отсутствие механизмов централизованного управления либо их неудобство.

Сейчас существуют российские решения, которые доказали свою надежность и гибкость при построении как небольших систем МЭ, так и систем федерального уровня, даже в условиях конкуренции с лучшими зарубежными продуктами.

Дмитрий
Ушаков

Руководитель отдела по подготовке и внедрению технических решений Stonesoft Russia

1. Выбор МЭ (как одного из основных и зачастую единственного средства защиты периметра) - непростая задача, которая требует очень серьезного предварительного анализа всех бизнес- и технических требований. Если организация выбирает для себя новое решение, то сегодня стоит обратить внимание на рынок МЭ нового поколения (Next Generation Firewall - NGFW). Они обладают целым рядом достоинств, которые заключаются в наличии большого числа агрегированных функций в самом устройстве защиты, что позволяет заказчику сэкономить при развитии и построении защищенной инфраструктуры.

Экран следующего поколения - это по большому счету МЭ и система IPS с механизмами динамического слежения за сетевыми потоками в одном.

Российская специфика диктует необходимость выбора сертифицированных средств защиты.

Аналитики отмечают, что все более востребованными становятся средства автоматизированного управления и централизованного администрирования решений по ИБ с автоматической верификацией политик безопасности, базовыми шаблонами и рекомендациями по защите, модулями оптимизации политик, ведения инцидентов, создания отчетов, визуализации потоков.

2. Современные МЭ играют роль периметрального экрана, шлюза удаленного доступа, системы контроля утечек, системы обнаружения вторжений, антивирусного шлюза и др. Это уже многокомпонентные сложные устройства.

К сожалению, зачастую многофункциональность накладывает свой отпечаток - сложность настройки и падение производительности. Как способ борьбы с указанными недостатками требуется отличная концепция построения многофункциональных решений следующего поколения, с тем чтобы они могли решать свои задачи не только на достаточно высоком уровне, но и на высокой скорости, а также у администратора не возникало бы проблем с изучением и использованием их функциональных возможностей.

Также интеграция функций может быть выполнена на разных уровнях. В итоге нельзя просто сказать, что именно можно использовать как проверенную функцию - в разных решениях они будут вести себя по-разному.

3. Основная функция классического МЭ - фильтрация трафика по ограниченному набору правил. На сегодняшний день этого уже недостаточно.

Основной недостаток реализации дополнительных функций в МЭ - падение производительности. Нужно четко следить за тем, чтобы включение очередной функции не привело к тому, чтобы остальные отлаженные бизнес-процессы не встали. А также за тем, что устройство выполняет поставленные перед ним задачи. Поэтому что касается вопросов производительности, то исходя из соображений целесообразности и эффективности зачастую используется не весь набор возможных функций, а только самые необходимые, например шлюз удаленного доступа, функция МЭ и система IPS. А для контроля эффективности реализации сервисов защиты следует использовать старый прием - функциональное тестирование.

Комментарий эксперта

Антон
Разумов

Руководитель группы консультантов по безопасности, Check Point

МЭ в первые годы своего появления и развития использовались для разграничения доступа. Фактически это были пакетные фильтры, обеспечивающие минимальный уровень безопасности.

С изобретением Stateful Inspection в 1993 г. началась новая эра. МЭ стали отслеживать процедуру установления соединения и корректно закрывать временно открытые порты при ее завершении. Фактически поддержка технологии Stateful Inspection является абсолютно необходимой для современного МЭ. И ее необходимость требуется многими стандартами.

Поскольку развивались как технологии защиты, так и нападения, в 2004-2005 гг. стал популярным термин UTM. Речь шла о том, что устройство защиты должно включать в себя не только МЭ, но и встроенную систему предотвращения атак (IPS), антивирус. И при этом, разумеется, все эти компоненты должны не только выполняться на одном устройстве, но и управляться с единой унифицированной консоли.

В настоящее время актуальными являются Next Generation Firewall. Некоторые функции, присущие современным МЭ:

• Обязательна поддержка технологии Stateful Inspection. Механизмы отказоустойчивости должны обеспечивать переключение между членами кластера с сохранением установленных сессий (в том числе в случае установленных VPN-каналов).
• IPS. Помимо проверок на известные сигнатуры атак, должна выполняться инспекция валидности протокола: соответствие стандартам, ожидаемость использования.
• Антивирус и antimalware. Трафик, проходящий через шлюз, должен проверяться на вирусы и другие виды зловредного ПО.
• Антиспам. Полезно иметь возможность блокирования спама без дополнительных устройств.
• Удаленный доступ для различных устройств (Windows, Mac OS, iOS, Android).
• Фильтрация URL. Особое внимание следует уделять оперативной переклассификации ресурсов между категориями. Например, если разрешенный сайт был взломан и начал распространять вредоносное ПО, доступ к нему должен быть оперативно заблокирован.
• Контроль приложений. Даже известными стандартными портами, например tcp/80, tcp/443 (http, https), могут пользоваться различные приложения. И несмотря на то что используется один и тот же порт, необходимо формировать индивидуальные политики для разных приложений. И даже внутри приложения следует обеспечивать гранулированность политик (например, разрешить Facebook, но запретить Facebook games).
• Предотвращение утечки данных (DLP). В том числе должен проверяться шифрованный трафик (SSL).
• Идентификация и вовлечение пользователей. Политики вышеописанных компонентов должны формироваться не целиком на организацию, а с учетом идентификации пользователей, принадлежности их к группам в Active Directory, используемых устройств. В сомнительных случаях следует вовлекать пользователей в процесс и обучать их.

Как видите, за последние годы шлюзы безопасности далеко шагнули вперед, и из простых межсетевых экранов превратились в комплексные устройства обеспечения безопасности на многих уровнях.