Персональные брандмауэры для пользователей удаленного доступа

Что такое персональный брандмауэр и кому он нужен?

Определение «персонального» брандмауэра различается в зависимости от эксперта, которого вы слушаете. Некоторые приравнивают «персональные» к брандмауэрам на основе хоста, в то время как другие расширяют определение, включив в него готовые брандмауэры или аппаратные устройства, если они предназначены для защиты только одного домашнего компьютера или небольшой сети. В контексте этой статьи мы будем использовать более широкое определение и включим в него недорогие так называемые «удаленные» устройства и устройства «SOHO», предлагаемые многими крупными поставщиками брандмауэров.

Мы считаем, что каждый, кто подключается к вашей корпоративной сети удаленно и кто когда-либо также подключал этот компьютер к Интернету (по определению, все ваши VPN-клиенты и, на практике, скорее всего, все ваши клиенты удаленного доступа с коммутируемым доступом, тоже ) должны иметь персональный брандмауэр для защиты своих систем и сетей, к которым они подключены, особенно ваших! В то время как ваши локальные пользователи находятся за корпоративным брандмауэром, ваши удаленные пользователи открыты для доступа извне всякий раз, когда они подключаются или подключаются к своим широкополосным соединениям.

Вот почему вам нужна политика, требующая персональных брандмауэров для всех, кто хочет удаленно подключаться, будь то с домашнего компьютера, ноутбука или КПК, находясь в дороге (да, существуют программные пакеты брандмауэров для карманных компьютеров; см. мою статью «Защита вашего компьютера» ). Pocket PC на http://www.windowsecurity.com/articles/Securing-Pocket-PC.html). Но недостаточно просто потребовать, чтобы у них был брандмауэр; он также должен быть правильно настроен и включен. Многие домашние пользователи просто отключают свои брандмауэры или открывают их для всего, если у них возникают проблемы с доступом. Ваша политика должна конкретно указывать, как следует настраивать брандмауэр, и требовать его включения.

Применение политики персонального брандмауэра

Все это хорошо, но как применить политику к компьютерам, которые не находятся под вашим физическим контролем? Лучший способ — через собственный корпоративный брандмауэр или VPN/сервер удаленного доступа. Последние продукты большинства крупных поставщиков включают функцию, позволяющую блокировать соединения, если удаленный клиент не соответствует указанным вами критериям. Например, ISA Server 2004 называет это «карантин VPN». Другие поставщики называют это «управляемым VPN-клиентом» или другими терминами.

Как бы это не называлось, это хорошо. Одним из критериев, которые вы можете установить, является то, что на клиентах должны быть установлены и включены персональные брандмауэры. В противном случае в соединении будет отказано или клиент будет «помещен в карантин» и ему будет запрещен доступ к большей части внутренней сети. Вы можете настроить специальные серверы в «карантинной» сети, к которым эти клиенты могут получить доступ. Например, вы можете предоставить сервер, с которого они смогут загружать программное обеспечение, необходимое для установки в соответствии с вашими политиками.

Чтобы использовать эту функцию с большинством основных продуктов брандмауэра, вы должны использовать их проприетарное клиентское программное обеспечение VPN. Многие поставщики предлагают два VPN-клиента: бесплатный «базовый» и «управляемый» или «безопасный» клиент, который позволяет вам контролировать, а также стоит вам дополнительных денег. Однако с ISA Server все, что вам нужно, — это программное обеспечение VPN, которое уже встроено в современные операционные системы Windows. Даже без ISA вы можете использовать функцию управления карантином доступа к сети сервера удаленного доступа/VPN Windows Server 2003. Дополнительные сведения см. на странице http://www.windowsecurity.com/articles/Server-2003-Network-Access-Quarantine-Control-Security.html.

Выбор персонального брандмауэра

Конечно, вы можете просто позволить своим удаленным пользователям выбирать любой персональный брандмауэр, который им нравится (в конце концов, любой брандмауэр лучше, чем отсутствие брандмауэра), но лучше всего, чтобы все они использовали один и тот же брандмауэр. В конце концов, вас, вероятно, позовут поддержать, когда у них возникнут проблемы. Это проще сделать, когда их компьютерное оборудование выпускается компанией. Если он принадлежит им, возможно, вы не сможете указать им, какой брандмауэр использовать, но вы можете запретить им подключаться к сети компании, если они не используют предписанный брандмауэр.

Выбор правильного персонального брандмауэра для защиты удаленных пользователей открывает широкий спектр возможностей. Цены варьируются от бесплатных до нескольких сотен долларов. Программные брандмауэры, работающие на главном компьютере, менее дороги. Некоторые популярные варианты включают в себя:

• Брандмауэр Windows (ранее известный как брандмауэр подключения к Интернету или ICF), встроенный в Windows XP. Этот выбор имеет несколько важных преимуществ: он поставляется с Windows, поэтому ничего не нужно устанавливать, и это не требует дополнительных затрат. Это довольно примитивный брандмауэр, но его достаточно для большинства домашних пользователей, а XP Service Pack 2 (SP2) вносит некоторые улучшения в брандмауэр (мы подробно обсудим их в следующей статье).
• Зональная тревога от Zone Labs. Это был один из самых популярных персональных брандмауэров среди потребителей в течение многих лет. Zone Labs (www.zonelabs.com) предлагает бесплатный базовый брандмауэр, который можно загрузить с их веб-сайта, но он предназначен только для частных лиц и некоммерческих организаций. Это базовый брандмауэр с включенным базовым обнаружением вторжений. Для коммерческого использования (и я думаю, они будут утверждать, что когда человек подключается к вашей корпоративной сети, это коммерческое использование), цена составляет 39 долларов за лицензию для одного пользователя — разумная цена для надежного персонального брандмауэра. Это также дает вам версию «Pro», которая имеет больше функций и включает в себя автоматическую настройку программы, функции защиты личных данных и конфиденциальности, а также безопасность электронной почты. Есть ознакомительная версия, которую вы можете попробовать перед покупкой.
• Персональный брандмауэр Norton от Symantec. Продукт Norton также популярен среди потребителей и предназначен для работы в сочетании с их популярным антивирусным программным обеспечением. Он позволяет настраивать различные параметры брандмауэра для разных сетей, что может быть удобно для ноутбуков, которые подключаются к более чем одной сети. Он включает в себя обнаружение вторжений и контроль конфиденциальности, а также использует LiveUpdate для автоматической проверки обновлений в Интернете. Цена по прейскуранту $49,95.

Аппаратные средства, предназначенные для защиты удаленных сотрудников, стоят дороже. Например:

• Линксис и Нетгир (среди других компаний, производящих сетевое оборудование, предназначенное для домашних пользователей) предлагают недорогие комбинированные устройства межсетевого экрана и широкополосного маршрутизатора для пользователей DSL и кабельных модемов. Это довольно просто; они могут блокировать или скрывать порты, но обычно не включают сложные средства обнаружения вторжений или защиты от атак на уровне приложений. Стоимость составляет около 200 долларов, но также включает в себя функцию широкополосной маршрутизации.
• SonicWall и сторожевой страж предлагать межсетевые экраны, специально предназначенные для удаленных сотрудников и пользователей малых и домашних офисов (SOHO). Некоторые из них также могут выступать в качестве шлюзов VPN. Цены колеблются в пределах 400-600 долларов.
• Cisco PIX 501 — это бюджетный межсетевой экран и VPN-шлюз, предназначенный для небольших офисов, который можно использовать для удаленных сотрудников, особенно для тех, кто хочет защитить небольшую домашнюю сеть. Стоимость 500-800$ (в зависимости от количества пользователей, за 500$ можно получить 10 пользовательских лицензий).
• NetScreen 5 (5XP, 5XP Elite, 5GT, 5GT Plus, 5XT и 5XT Elite) подходят для удаленной работы и защищают небольшой офис, а также обеспечивают функциональность VPN-шлюза. Стоимость начинается чуть меньше 500 долларов.

Аппаратные средства обеспечивают решения «под ключ». Поскольку они нестандартны (не работают на том же компьютере, который защищают), они не влияют на производительность компьютера и не используют его ресурсы. Как правило, они работают под управлением проприетарных операционных систем, что затрудняет (хотя и не делает невозможным) их взлом.

Что, если удаленный работник, у которого дома установлено аппаратное устройство, решит взять этот ноутбук в отпуск и VPN из отеля или дома родственника? Аппаратные устройства больше подходят для защиты домашних сетей, к которым будут подключаться ваши удаленные пользователи, или настольных систем, которые остаются на месте. Программные брандмауэры, установленные на хосте, больше подходят для портативных систем, которые можно перемещать из одного места в другое.

Резюме

Существует множество доступных программных и аппаратных брандмауэров, разработанных с учетом потребностей удаленных сотрудников и способных обеспечить жизненно важную защиту компьютеров, подключенных к вашей сети через удаленный доступ. Ваша организация должна разработать письменную политику, требующую персональной защиты брандмауэром (и других средств защиты, таких как антивирус, последние обновления безопасности и пакеты обновлений) для всех клиентов удаленного доступа. Вы не должны полагаться на добровольное соблюдение пользователями требований, а вместо этого обеспечивать соблюдение требований с помощью средств управления удаленным доступом, таких как функции карантина Windows Server 2003/ISA Server или функции управляемого клиента/клиента безопасности других поставщиков брандмауэров корпоративного уровня. Сеть, которую вы сохраняете, может быть вашей собственной.