Отчеты и предупреждения

Наиболее слабыми функциями испытанных нами брандмауэров оказались выдача предупредительных сообщений и генерация отчетов. Мы утверждаем, что любой брандмауэр, который не способен посылать предупредительные сигналы при обнаружении нападения, является неполным. Наиболее изощренными в этой области оказались Eagle компании Raptor и AltaVista Firewall компании Digital. Eagle обеспечивает ряд возможностей предупреждения, основанных на частоте событий. Например, можно задать следующее правило: "Если кто-либо запрашивает сеанс telnet более 100 раз в течение 5 минут, это означает, что возникла угроза безопасности сети". Когда включена функция предупреждения, Eagle выдает звуковой сигнал, посылает электронное сообщение или предупреждает администратора иным способом.

В AltaVista Firewall использована иная стратегия. Определено несколько аварийных уровней (состояний) брандмауэра - зеленый, желтый, оранжевый и красный, на каждом из которых можно задавать события, инициирующие переход брандмауэра на следующий уровень и осуществление им определенных действий. Например, брандмауэр позволяет указать, что если обнаружено слишком много неудачных попыток установления сеанса telnet, нужно перейти в "желтое" состояние, запретить работу посредника telnet на два часа и послать вам соответствующее сообщение. Можно дать указание остановить работу брандмауэра в определенной ситуации, например при нехватке свободного пространства на жестком диске. Через некоторое время (для Windows NT оно составляет 2 часа) брандмауэр снижает свой уровень аварийности. AltaVista Firewall отображает свое текущее состояние графически, изменяя соответствующим образом цвет фона на консоли оператора. Нам понравилось наблюдать, как AltaVista Firewall переходит на "оранжевый" уровень, когда мы испытывали его с помощью Firewall Scanner компании ISS.

Брандмауэры, работающие под Unix, такие как PORTUS, Gauntlet и Black Hole, весьма далеки от этих ухищрений. Их производители, видимо, полагают, что сетевой администратор должен разработать некое средство для анализа журналов регистрации событий и формирования предупредительных сообщений. Большинство продуктов очень слабо справляются и с такой важной задачей, как составление итоговых отчетов и рассылка их сетевым администраторам. Например, Centri компании Global Internet систематически посылает по электронной почте длинные, с трудом воспринимаемые отчеты. Любой сетевой администратор, заваленный такой информацией, очень скоро начнет просто игнорировать ее, а значит, пропускать сообщения о реальных проблемах. ПО генерации отчетов, включенное компанией Raptor в систему Eagle, слабее среднего уровня, однако компания предлагает дополнительный пакет, призванный помочь администраторам в анализе сетевого трафика.

На фоне слабых возможностей генерации отчетов, отмеченных в большинстве продуктов, выделяются Gauntlet, AltaVista Firewall и Black Hole. Gauntlet и AltaVista Firewall автоматически генерируют и посылают отчеты через заданные интервалы времени. Брандмауэр Black Hole компании Milkyway имеет и вовсе уникальные возможности составления отчетов. Он хранит собранную информацию в реляционной базе данных (Postgres) и позволяет использовать для генерации отчетов либо предварительно написанные сценарии, либо SQL-запросы.

Что же в итоге?

Хотелось бы еще раз подчеркнуть, что брандмауэры не являются универсальными продуктами. Каждый из них разработан на основе определенной философии безопасности. Настройка, которая легко может быть выполнена в одном продукте, в другом вообще недопустима. Невозможно правильно выбрать брандмауэр для вашей организации, не решив, как вы будете его устанавливать, настраивать, поддерживать и администрировать. Надеемся, что наш обзор поможет вам сделать правильный выбор и дать достойный отпор компьютерным варварам.

Результаты тестирования брандмауэров