Организация защиты межсетевого взаимодействия через каналы третьих фирм Результаты обследования существующей структуры сети компании.
Как видно из обследования предприятий, в данный момент используется пять разных видов продуктов для контроля межсетевого трафика • Списки доступа маршрутизатора Cisco •ПО UserGate - используется для контроля и регулирования доступа пользователей в Интернет) • ПО на платформе Linux (Squid, Iptables) – используется для тех же целей, что и UserGate, плюс для трансляции адресов • Microsoft ISA – построение VPN каналов • 3Com Office Connect Firewall – Защита прокси-серверов, почтовых серверов от несанкционированного доступа из Интернет
Отметим только достаточно крупные и поверхностные недостатки без анализа возможностей конкретных продуктов: • Только два продукта (Cisco и Microsoft) обладают общепризнанными сертификатами соответствия заявленным возможностям (EAL). Поэтому нет никакой уверенности, что остальные продукты будут работать так, как заявляет их производитель. • В большинстве продуктов отсутствует возможность детального и неотрекаемого аудита, как по использованию сетевых ресурсов, так и деятельности администраторов. • Приходится контролировать как минимум 15 разных политик, что не способствует снижению ошибок при администрировании (что нашло подтверждение при обследовании – некоторые ошибки были исправлены во время анализа конфигураций). • При расширении системы количество политик будет неизбежно расти. • Ни один из продуктов не сможет обеспечить в будущем высокую доступность сервисов.
Постановка задачи
Задачи, которые были поставлены на основе проведенного анализа текущего состояния системы и требований для будущего развития и решаемые в данном проекте:
1. Минимизация используемых видов продуктов. 2. Минимизация количества администрируемых политик. 3. Координированный контроль трафика во всех точках межсетевого взаимодействия. 4. Координированный контроль использования полосы пропускания каналов (QoS) 5. Качественный контроль протоколов TCP/IP (Наиболее полный список контролируемых угроз) 6. Высокая доступность сервисов в Головном офисе. 7. Максимально детализированный аудит контролируемого трафика/полосы. 8. Надежный и подробный аудит действия администраторов. 9. Возможность предотвращения действующих угроз и оперативное (превентивное) реагирование на вновь возникающие угрозы. 10. Масштабирование. 11. Интеграция с другими системами (системы контроля содержимого трафика, системы идентификации/аутентификации, системы каталогов, и т. д.)
Предложение
Предлагается использовать ПО FireWall-1 фирмы CheckPoint. У этой фирмы в настоящее время наиболее богатый опыт в области контроля и анализа сетевого internet-трафика (с 1994 года) и ее ПО активнее всех используется в мире. Это наиболее гибкое, масштабируемое и полное решение в данном сегменте в настоящее время. Оно почти полностью удовлетворяет поставленным задачам. Функциональность, которую данная линейка продуктов не может обеспечить (например, борьба с вирусами, борьба со спамом, разграничение доступа к сайтам по виду информации, генерация отчетов по аудиту(если нужны срезы, которые отсутствуют в предопределенных шаблонах)) легко решается с помощью ПО третьих фирм, при этом не нарушается скоординированность и целостность решения.
Рассматривается два варианта возможного использования, различающиеся по цене и гибкости управления (Остальная функциональность и качество инспектирования трафика в обоих вариантах идентичны).
1. Вариант создания однодоменной архитектуры с одной координированной политикой для всех инспекционных модулей и строго централизованным управлением администраторами с разными функциональными правами (чтение/запись, только запись, только просмотр логов, только работа с учетными записями пользователей) и их комбинацией.
2. Вариант создания мультидоменной архитектуры, когда для каждого домена (предприятия) существуют собственные политики, основой которых являются общие правила, определяемые главным администратором и дополняющиеся правилами, создаваемыми локальными администраторами (локальные правила не могут отменять правила помещенные вверху списка и переопределяют правила, находящиеся внизу списка). Схематично это представлено на схеме. В результате в этой системе возможно разграничение прав для администраторов не только по функциональному признаку, но и по доступу к конкретным частям политик. С нашей точки зрения, предпочтителен второй вариант, т. к. как было отмечено выше, из 15 существующих в настоящее время политик только одна является общей для всех, и администрируется из головного офиса. Налицо есть требование создания актуальных только для данного предприятия правил контроля трафика, которыми эффективнее всего управлять локально. Второй вариант позволяет комбинировать централизованный и локальный подход и при этом сохраняет координированность контроля всеми политиками из одного центра, а также вести централизованный аудит, как использования трафика, так и работы администраторов.
Топология (мультидоменная архитектура)
Отличие данного решения от однодоменной архитектуры в использовании ПО CheckPoint Provider-1 Multi Domain Server (MDS), который является контейнером для шести (по числу доменов) модулей Customer Management Add-on (CMA).
