Выяснить, сколько денег организации этого типа готовы потратить на защиту межсетевым экраном, нелегко. Некоторые компании придают безопасности чрезвычайно большое значение и готовы заплатить более 10 тыс. долл. за превосходный межсетевой экран с проверкой пакетов и контролем на прикладном уровне. С другой стороны, многие средние и крупные предприятия, которые нуждаются в надежной защите, неохотно платят более 2500 долл. за этот решающий компонент инфраструктуры сетевой безопасности. В целом большинство организаций такого размера охотно тратит от 5000 до 6000 долл. за хороший межсетевой экран.
В таблице 3.3 показан выбор межсетевых экранов, обычно развертываемых в более крупных предприятиях с высоким уровнем безопасности. SonicWALL PRO 4060 и Cisco PIX 515E-UR-FE-BUN выполнены на основе традиционного аппаратного межсетевого экрана и обеспечивают соответствующий уровень сетевой безопасности. Проверка пакетов на соответствие заданным условиям — основа этих продуктов обеспечения безопасности, для ее реализации не требуется дорогостоящих модулей расширения. Обе модели отличаются высокой производительностью, но им не хватает возможностей балансировки нагрузки и передачи функций отказавшего устройства исправному, если они крайне необходимы для бесперебойного доступа к важнейшим данным.
В отличие от них, устройство RoadBLOCK F302PLUS на базе ISA Server 2004 компании RimApp обеспечивает исчерпывающий контроль на прикладном уровне по приемлемой цене. В стандартной конфигурации реализованы фильтры Web-узлов, проверка загружаемых из Internet файлов на вирусы и фильтры спама. Кроме того, с помощью модулей RainWall и RainConnect компании Rainfinity устройство RoadBLOCK обеспечивает балансировку нагрузки и передачу функций отказавшего устройства исправному как для аппаратных межсетевых экранов RoadBLOCK, так и для каналов связи Internet-провайдеров. Устройство RoadBLOCK поддерживает все упомянутые выше высокоуровневые функции подготовки отчетов и протоколирования и располагает мощными функциями управления пользовательским и групповым доступом из входящих и исходящих соединений через межсетевой экран.
Оптимальный выбор
Высокоуровневые сетевые межсетевые экраны, представленные в данном разделе, обеспечивают превосходный уровень безопасности и высокую производительность для средних и крупных предприятий. При выборе оптимального межсетевого экрана следует в первую очередь обратить внимание на контроль на прикладном уровне и исчерпывающие возможности протоколирования и подготовки отчетов о доступе пользователей и приложений. Кроме того, при выборе аппаратного межсетевого экрана важно помнить об отказоустойчивости.
Таблица 3.2. Аппаратные межсетевые экраны для малых предприятий с высокими требованиями к безопасности
| Характеристика | SonicWALL Pro 3060 | Cisco PIX-515E-R-DMZ | Network Engines NS6200 | Symantec SGS 5420 |
| Цена в долларах | 2319 | 2699 | 2499 | 2999 |
| Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да (умеренно) | Да (ограничено) |
| Контроль прикладного протокола | Да | Да | Да | Да |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Да | Нет |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да | Нет |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да | Нет |
| Поддержка Exchange | Нет | Нет | Да | Нет |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да | Нет |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да | Да |
| VPN-клиент | Нет | Да | Да | Нет |
| 10/100-Мбит/с порты ЛВС | 5 | 2 | 3 | 5 |
| Порты WAN | 1 | 1 | 1 | 1 |
| Балансировка нагрузки | Нет | Нет | Да | Нет |
| Число пользователей | Неогр. | Неогр. | Неогр. | 50 |
| Передача функций отказавшего межсетевого экрана исправному устройству | Нет | Нет | Нет | Нет |
| Переключение Internet-провайдера и полосы пропускания | Нет | Нет | Нет | |
| Настройка | Web-интерфейс | Командная строка и Web-интерфейс | Ограниченный Web и FIPS-совместимый RDP | Web-интерфейс |
| Процессор | 2-ГГц Intel | 1-ГГц Intel | 2-ГГц Intel | Intel |
| Web-кэширование и proxy | Нет | Нет | Да | Нет |
Таблица 3.3. Аппаратные межсетевые экраны для крупных предприятий с высокими требованиями к безопасности
| Характеристика | SonicWALL Pro 4060 | Cisco PIX-515E UR-FE-BUN | RimApp RoadBLOCK F302PLUS |
| Цена в долларах | 4995 | 5145 | 5580 |
| Контроль на прикладном уровне с учетом состояния | Нет | Да (ограничено) | Да |
| Контроль прикладного протокола | Да | Да | Да |
| Проверка пакетов на соответствие заданным условиям | Да | Да | Да |
| Прозрачная аутентификация Windows | Нет | Нет | Да |
| Протоколирование всех имен пользователей и приложений Web и Winsock | Нет | Нет | Да |
| Контроль на прикладном уровне через туннели SSL | Нет | Нет | Да |
| Поддержка Exchange | Нет | Нет | Да |
| Контроль шлюзового и клиентского трафика VPN на прикладном уровне | Нет | Нет | Да |
| Обнаружение и предотвращение несанкционированного доступа | Да | Да | Да |
| Сервер удаленного доступа VPN и шлюз VPN | Да | Да | Да |
| VPN-клиент | Нет | Да | Да |
| 10/100-Мбит/с порты ЛВС | 5 | 6 | 2-5 |
| Порты WAN | 1 | 1-4 | 1-5 |
| Балансировка нагрузки | Нет | Нет | Да |
| Число пользователей | Неограниченно | Неограниченно | Неограниченно |
| Передача функций отказавшего межсетевого экрана исправному устройству | Да | Да | Да |
| Переключение Internet-провайдера и объединение полосы пропускания | Да | Нет | Да |
| Конфигурирование Web-интерфейс | Командная строка и Web-интерфейс | Исчерпывающий Web и FIPS-совместимый RDP | |
| Процессор | 2-ГГц Intel | 433-МГц Celeron | 2,8-ГГц Intel |
| Web - кэширование и proxy | Нет | Нет | Да |
Система обнаружение вторжение
IDS являются программными или аппаратными системами, которые автоматизируют процесс просмотра событий, возникающих в компьютерной системе или сети, и анализируют их с точки зрения безопасности. Так как количество сетевых атак возрастает, IDS становятся необходимым дополнением инфраструктуры безопасности.
Обнаружение проникновения является процессом мониторинга событий, происходящих в компьютерной системе или сети, и анализа их. Проникновения определяются как попытки компрометации конфиденциальности, целостности, доступности или обхода механизмов безопасности компьютера или сети. Проникновения могут осуществляться как атакующими, получающими доступ к системам из Интернета, так и авторизованными пользователями систем, пытающимися получить дополнительные привилегии, которых у них нет. IDS являются программными или аппаратными устройствами, которые автоматизируют процесс мониторинга и анализа событий, происходящих в сети или системе, с целью обнаружения проникновений.
IDS состоят из трех функциональных компонентов: информационных источников, анализа и ответа. Система получает информацию о событии из одного или более источников информации, выполняет определяемый конфигурацией анализ данных события и затем создает специальные ответы – от простейших отчетов до активного вмешательства при определении проникновений.
Почему следует использовать IDS
Обнаружение проникновения позволяет организациям защищать свои системы от угроз, которые связаны с возрастанием сетевой активности и важностью информационных систем. При понимании уровня и природы современных угроз сетевой безопасности, вопрос не в том, следует ли использовать системы обнаружения проникновений, а в том, какие возможности и особенности систем обнаружения проникновений следует использовать.
Почему следует использовать IDS, особенно если уже имеются межсетевые экраны, антивирусные инструментальные средства и другие средства защиты?
Каждое средство защиты адресовано конкретной угрозе безопасности в системе. Более того, каждое средство защиты имеет слабые и сильные стороны. Только комбинируя их (данная комбинация иногда называет безопасностью в глубину), можно защититься от максимально большого спектра атак.
Межсетевые экраны являются механизмами создания барьера, преграждая вход некоторым типам сетевого трафика и разрешая другие типы трафика. Создание такого барьера происходит на основе политики межсетевого экрана. IDS служат механизмами мониторинга, наблюдения активности и принятия решений о том, являются ли наблюдаемые события подозрительными. Они могут обнаружить атакующих, которые обошли межсетевой экран, и выдать отчет об этом администратору, который, в свою очередь, предпримет шаги по предотвращению атаки.
IDS становятся необходимым дополнением инфраструктуры безопасности в каждой организации. Технологии обнаружения проникновений не делают систему абсолютно безопасной. Тем не менее практическая польза от IDS существует, и не маленькая. Использование IDS помогает достичь нескольких целей:
1. Возможность иметь реакцию на атаку позволяет заставить атакующего нести ответственность за собственную деятельность. Это определяется следующим образом: "Я могу прореагировать на атаку, которая произведена на мою систему, так как я знаю, кто это сделал или где его найти". Это трудно реализовать в сетях TCP/IP, где протоколы позволяют атакующим подделать идентификацию адресов источника или другие идентификаторы источника. Также очень трудно осуществить подотчетность в любой системе, которая имеет слабые механизмы идентификации и аутентификации.