Введение В последнее время на рынке появились так называемые сетевые карты-брандмауэры, представляющие собой распределенные аппаратные брандмауэры для серверов и настольных ПК. Данные устройства расширяют устойчивые к внешним воздействиям возможности фильтрации и контроля на всю корпоративную сеть — включая системы, расположенные как внутри, так и снаружи сетевого периметра. Рассмотрим их подробнее на примере продукции компании 3COM.
Описание 3Com Embedded Firewall Централизованно управляемые карты-брандмауэры 3Com Embedded Firewall защищают ваши серверы и настольные ПК, обеспечивая превосходную устойчивость к внешним воздействиям, которую не могут предоставить чисто программные брандмауэры. Каждая карта-брандмауэр оборудована встроенной ASIC T2 микросхемой, обеспечивающей незаметную для конечного пользователя защиту локальных приложений и операционных систем и практически их неуязвимость для атак из Интернета, некорректных действий конечного пользователя или злонамеренных программ.
Рисунок 1: Различные варианты 3Com Embedded Firewall
Что не менее важно, каждая карта-брандмауэр может настраиваться и управляться только через аутентифицированный 3Com Embedded Firewall Policy Server. Даже если произошло проникновение в защищаемый компьютер, карта-брандмауэр сможет запретить использование пораженного компьютера в качестве стартовой площадки для дальнейшего распространения угрозы в вашей сети. Карта 3Com Firewall PCI Card вставляется в стандартный разъем PCI, заменяя обычные сетевые карты 10/100 Мбит/с. В среде Windows 2003, 2000, XP, 98, МЕ или NT задачи TCP-соединения и защиты перекладываются на встроенный процессор карты-брандмауэра, что обеспечивает повышение общей производительности системы. Возможна также установка 3Com Firewall PCI Card и под Linux (поддерживается ядро 2.4, протестирована на Redhat 7.3 - 9.0 и AS 3.0). Краткое описание карты:
--- Обеспечивает устойчивость к воздействию злонамеренных программ или враждебно настроенных пользователей, неавторизованному доступу или попыткам блокировки; карта-брандмауэр воспринимает команды только от аутентифицированного сервера политик. --- Упрощает установку уровня защиты для группы или функции и позволяет оперативно реагировать на обнаруженные сетевые атаки. --- Воспринимает централизованно установленные настройки и политики безопасности, а также команды управления от аутентифицированных серверов политик независимо от маршрутизаторов или потоков трафика. --- Обеспечивает независимое от своего хоста усиление уровня безопасности, круглосуточную защиту от вторжений и устойчивость, что укрепляет уверенность администраторов в надежности сети. --- Защищает открытые подключения к Интернету, например, конечные точки VPN и шлюзы широкополосного доступа, размещенные как до, так и после брандмауэра защиты периметра. --- Обеспечивает несколько уровней защиты пользователей, где бы они ни работали — от наименее строгого для соединений во внутренней локальной сети и до наиболее строгого в случае совместно используемых систем и систем, подключенных к Интернет. --- Позволяет усилить защиту Web-серверов, серверов электронной коммерции, подсетей DMZ и клиентских баз данных от атак из Интернета и неавторизованного доступа. --- Автоматически ограничивает коммуникации с системами за пределами сетевого периметра; обеспечивает игнорирование ненужных протоколов, блокирование ненужных портов, отклонение ping-запросов и отключение сниффинга пакетов и IP-спуфинга. --- Обеспечивает круглосуточную защиту; в случае, если карты-брандмауэры не имеют связи с сервером политик, они по умолчанию настроятся на максимальный уровень защиты. --- Дополняет другие, совместимые со спецификацией 802.3, решения защиты — включая коммутаторы с функциями обеспечения безопасности, брандмауэры/VPN, антивирусные сканеры и системы обнаружения вторжений (IDS). --- Позволяет снизить расходы на IT-администрирование благодаря круглосуточной защите, которая исключает ложные тревоги, генерируемые постоянно действующей системой обнаружения вторжений.
В ходе эксперимента были установлены карты на компьютеры под управлением Windows 2000 Workstation, установлен сервер управления, проведена настройка карт и опробована атака на компьютеры с аппаратным файерволом с помощью сканера безопасности XSpider 7 Demo (была использована бесплатная версия известного сканера от Positive Technologies).
Установка 3Com Firewall PCI Card Установка карты 3Com Firewall PCI Card ни чем не отличается от установки обычной сетевой карты. После того, как карта вставлена в разъем PCI, производится установка ее драйверов, которые находятся на прилагаемом CD-ROM с программным обеспечением (рисунок 3).
Рисунок 2: Установка драйвера карты 3Com Firewall PCI Card
А вот так выглядит список устройств с уже подключенной картой (рисунок 3).
Рисунок 3: 3Com Firewall PCI Card в диспетчере устройств Windows
В нашем случае в компьютере установлено две сетевые карты. Первая часть работы окончена. Карта установлена и опознана системой. Перед установкой программного клиента для настройки файервола производится выбор клиентской операционной системы (Рисунок 4).
Рисунок 4: Установкой программного клиента для 3Com Firewall PCI Card
Теперь начинается вторая, не менее ответственная часть работы – установка и настройка программного обеспечения для удаленного управления аппаратным файерволом.
Установка 3COM Embedded Firewall Policy Server На одном из компьютеров сети (как правило, это компьютер администратора безопасности сети) устанавливается 3COM Embedded Firewall Policy Server. Для его установки необходимо предварительно установить Windows 2000 Server или Windows Server 2003.
Рисунок 5: Выбор компонентов установки
После выбора необходимых компонент для установки (рисунок 5) осуществляется создание нового Embedded Firewall domain или добавление клиента в существующий (рисунок 6).
Рисунок 6: Выбор необходимого домена
После выбора домена осуществляется выбор необходимого порта. В нашем случае выбирались значения по умолчанию (рисунок 7).
Рисунок 7: Выбор портов
Затем задается имя домена, имя и пароль администратора и мы переходим к собственно настройке (рисунок 8).
Рисунок 8: Вход в консоль 3COM Embedded Firewall Policy Server
В ходе настройки указывается список открытых портов, IP-адресов для шифрованного (нешифрованного) обмена. После настройки была осуществлена попытка сканирования с помощью сканера безопасности XSpider. Как и следовало ожидать, попытка была безуспешной.
Заключение Областью применения данных аппаратных решений, на мой взгляд, может быть компьютерная сеть с повышенными требованиями к безопасности и защите от несанкционированного доступа (НСД). Основным достоинством данного решения может служить то, что пользователь не может нарушить политику безопасности, так как все настройки могут быть изменены лишь с компьютера администратора безопасности. Вместе с тем стоит помнить о том, что взлом аппаратных систем значительно сложнее чем взлом аналогичных программных продуктов.
