Журнал LinuxFormat - перейти на главную

LXF71:SmoothWall Firewall 4

Материал из Linuxformat
Перейти к: навигация, поиск


Содержание

SmoothWall Corporate Firewall

Старая рабочая станция и Cat5 - у Дэвида Колсона свой взгляд на безопасность.

Безопасность по-прежнему остается одной из сильных сторон Linux, и бесконечное множество сетевых приложений и утилит это подтверждает. Тем не менее, использование Linux может обернуться рядом проблем для безопасности корпорации или небольшой компании, и здесь все зависит от компетентности системного администратора, его владением такими утилитами, как как iptables и ifconfig.

K счастью, для тех, кто не хочет тратить свое драгоценное время на изучение Linux (и не хочет нести столь большую ответственность, если что-то вдруг пойдет не так), есть несколько простых в использовании сетевых брандмауэров. Kак правило, они предлагают web-интерфейс, позволяющий легко администрировать «стенку», пользуясь при этом всеми преимуществами сетевых возможностей Linux.

Многие из подобных брандмауэров развиваются в рамках открытых проектов и могут быть скачаны бесплатно, другие же являются коммерческими, предоставляя поддержку корпоративным пользователям.

Проект SmoothWall первоначально был открытым, но в определенный момент свободная GPL-версия была дополнена коммерческим вариантом. На текущий момент существует две версии SmoothWall: SmoothWall Express, который можно бесплатно скачать, использовать и модифицировать по своему усмотрению, и SmoothWall Corporate Firewall – коммерческий вариант программы.

Несмотря на то, что мы обычно выбираем свободно-распространяемый вариант программы, SmoothWall CF включает в себя много возможностей и дополнений, не доступных в версии Express, в том числе те, что интересны корпоративным пользователям.

Cтавим преграду

По существу SmoothWall CF – основной продукт в линейке SmoothWall: из всех продуктов компании, он востребован больше всех. Базовая установка предлагает фильтрацию пакетов и возможность обнаружения проникновений при помощи web-интерфейса, что позволяет даже новичку пользоваться всеми преимуществами Linux-системы.

В отличие от обычных продуктов сторонних фирм, которые надо интегрировать в уже рабочий Linux, SmoothWall CF установит все необходимое прямо с CD, не нуждаясь в каких-либо «закулисных» разрешениях OС. Брандмауэр SmoothWall CF будет работать почти на любой системе, хотя для использования других продуктов компании SmoothWall производительность компьютера все же должна быть повыше. Даже на устаревшей конфигурации - Pentium 200Мгц с 64Мб оперативной памяти, можно будет использовать основные возможности брандмауэра.

Установка SmoothWall CF предельно проста и потребует от пользователя лишь небольшого уточнения важных моментов перед тем, как программа установки скопирует необходимые файлы на диск. Для проведения установки потребуется IDE- или SCSI-устройство для чтения дисков. Tакже это можно сделать при помощи внешнего USB-устройства, которое будет отображено в Linux как SCSI CD-ROM. Ну и, конечно, вам потребуется клавиатура и монитор, правда после установки вы можете запустить систему и в автономном режиме, отключив и то, и другое (компьютер будет работать, пока сеть не перестанет нормально функционировать).

Kак всегда, прежде чем отключать клавиатуру, вам следует убедиться, что BIOS не станет выдавать сообщение об ошибке, не найдя клавиатуру, иначе на экране монитора появится абсурдное: “No Keyboard – Press F1”, что впоследствии введет систему в вечный анабиоз (особенно если нет под рукой клавиатуры). Система SmoothWall будет установлена и готова к запуску менее чем за 15 минут – одна из самых быстрых установок Linux, которая только бывает.

Фильтрация пакетов

Kонфигурирование фильтрации пакетов с помощью SmoothWall CF потребует базовых знаний протокола TCP/IP, однако в целом данное программное обеспечение будет понятно и новичкам. Почти все основные порты отмечены маркерами, так что вместо того, чтобы рыскать в документах в поисках надлежащего порта для IMAP, вы можете просто выбрать его из раскрывающегося списка. Простая конфигурация по контролю исходящего трафика и ограничению входящего соединения по SSH и RDP может быть создана в один момент, несмотря на то, что мы не смогли найти простое решение для копирования правил. Для 10 систем с запущенным SSH, нам пришлось вручную добавлять каждое правило, вместо того, чтобы скопировать и модифицировать уже существующее. Это нельзя назвать большим недостатком, однако конфигурация на большом количестве систем запросто превращается в рутину.

SmoothWall CF предлагает массу возможностей для работы с сетью, включая DHCP-сервисы, которые позволяют назначать статические и динамические IP-адреса для различных компьютеров сети.

Программа по умолчанию следит за вторжениями извне, данные о зловредных пакетах или нестандартной информации заносятся в журнал безопасности. Без этого, как известно, не может обойтись ни одна хорошая система обнаружения сетевых атак. Без анализа журнала невозможно восстановить картину вторжения, поэтому очень важно использовать этот инструмент и быть всегда начеку. Kак видно, система обнаружения сетевых атак SmoothWall носит уведомительный характер, чего вполне достаточно для сетей небольшого размера. Администратора крупной корпоративной сети может, в свою очередь, заинтересовать утилита SmoothMonitor – дополнение к уже существующей системе. В этом случае можно воспользоваться всем преимуществами системы обнаружения сетевых атак.

Oпциональные модули

Здесь мы рассмотрим дополнительные модули SmoothWall CF. В то время как возможности стандартной установки сильно ограничены, дополнительные модули помогут создать «продвинутую» систему, сравнимую с производительными продуктами компаний Cisco или Check Point.

Самым популярным дополнением в корпоративной среде является SmoothTunnel. Oн позволяет создавать защищенные «тоннели» между различными зонами действия спутника, либо между пользователями, находящимися в роуминге.

Поддерживаются стандартные защищенные протоколы IPSec (для передачи информации в виртуальных частных сетях) и L2TP (сетевой протокол тоннелирования канального уровня), позволяя пользователям Windows 2000/XP подключаться через VPN без лишних затрат (как известно, лицензия запрещает использование защищенного метода доступа к сети). Протокол L2TP, основанный на IPSec, создает тоннель точка-точка, открывающий непрерывный доступ между клиен- тами и внутренними системами.


Kонфигурация L2TP намного проще, чем IPSec, она может быть интересна пользователям, которые по каким-либо причинам не хотят устанавливать клиентов IPSec от сторонних производителей. Для тоннелей точка-точка между двумя статическими объектами (например, между административными зданиями), SmoothNode предоставляет SmoothTunnel по меньшей цене, привлекая тем самым организации с небольшими бюджетами.

Cтрогости на входе

Kаждой компании, предоставляющей своим сотрудникам доступ в Интернет, в разной степени приходится мириться с фактом злоупотребления Сетью, что может повлечь за собой серьезные убытки. В этой ситуации очень важно организовать управление доступом к веб-сайтам и контенту, который может быть неуместен на рабочем месте или даст шанс злоумышленникам проникнуть во внутреннюю сеть.

Утилиты фильтрации контента (содержимого всемирной сети) тщательно просматривают входящий и исходящий трафик, а также блокируют доступ к заранее заданным ресурсам перед тем, как на них зайдет конечный пользователь. Модуль SmoothGuardian добавляет эти возможности к другим инструментам управления сетью.

Фильтрация Интернет-контента требует индивидуального подхода в каждой корпоративной сети, и SmoothGuardian требует некоторого времени на точную надстройку. Информация, описывающая запрещенные сайты может быть динамически обновлена, что в свою очередь уменьшает потребность системного администратора постоянно следить за этим.

SmoothGuardian идеально функционирует вместе со SmoothRule – дополнением, которое активизирует основные политики сети (это не входит в фильтрацию Интернет активности). P2P-приложения, доступ к электронной почте и сетевая активность троянов может быть быстро отслежена и заблокирована при помощи SmoothRule.

Управления трафиком

SmoothHost – мощное приложение, позволяющее программе установки SMoothWall CF управлять трафиком от неограниченного числа платформ хостинга. Несмотря на стандартные для брандмауэров ограничения, все IP-адреса хостинга могут быть присвоены внешнему интерфейсу, что позволит обезопасить компьютеры и периферию частной сети. Что касается исходящего трафика, здесь ключевую роль играет система обнаружения сетевых атак.

SmoothTraffic явным образом определяет пропускную способность сети и присваивает приоритеты приложениям, сервисам или хостам, а также ведет подробный отчет, позволяя установить источники чрезмерного трафика. Это дает возможность клиентским приложениям самим управлять пропускной способностью даже в частных сетях. Tрафику также может быть назначен особый ряд приоритетов – это гарантирует, что интерактивный трафик (например VoIP) будет пропущен через «границу» первым.

Несмотря на дружественность и простоту, пакету SmoothWall CF определенно по силам поднять безопасность небольших организаций на новый уровень (причем цена продукта вполне приемлема). По мере роста организации, можно будет подключать различные дополнения от SmoothWall, правда уже за дополнительную плату.

На самом деле, если сравнивать стоимость SmoothWall Corporate Firewall с другими продуктами на этом рынке, например с Astaro Security Linux, становится понятным основное правило: все, что не входит в базовые функции доступно в виде дополнительных платных модулей.

Брандмауэр SmoothWall Advanced Firewall предлагает много возможностей, которые уже включены в базовый пакет, что кажется более разумным решением в плане рентабельности.

Cетевaя доступность

SmoothWall Corporate Firewall имеет поддержку до 4-х сетевых интерфейсов: три интерфейса Ethernet и ADSL-модем. Любой из них может быть установлен в качестве внутреннего, внешнего интерфейса или интерфейса демилитаризованной зоны – DMZ. Небольшим сетям, скорее всего, потребуются первые два интерфейса: один для подключения к Интернет, другой для внутренней сети. По мере роста последней, использование DMZ-сети будет отличным решением, так как незащищенные от внешнего доступа системы будут ограничены в доступе ко внутренним хостам. Это особенно важно, когда внутри сети находится важная информация, таким образом, плохо сконфигурированный DMZ может быстро стать точкой доступа к частной сети. SmoothWall CF позволяет вам с самого начала настроить простую сеть с возможностью добавления DMZ на будущее, для более безопасного расширения сети.

Персональные инструменты
купить
подписаться
Яндекс.Метрика