Персональные файрволы: проблемы безопасности сетевой инфраструктуры

СЕЙЧАС НАИБОЛЕЕ ВАЖНОЙ ЗАДАЧЕЙ ДЛЯ СОЗДАТЕЛЕЙ ЛЮБЫХ СРЕДСТВ БЕЗОПАСНОСТИ ЯВЛЯЕТСЯ ЦЕЛЫЙ РЯД МЕР ПО ИЗМЕНЕНИЮ СВОЕГО ПРОГРАММНОГО ОБЕСПЕЧЕНИЯ, НАЧИНАЯ ОТ ПРОСТОЙ ЕГО АДАПТАЦИИ И ЗАКАНЧИВАЯ ЗНАЧИТЕЛЬНЫМИ ПЕРЕДЕЛКАМИ ВСЕЙ АРХИТЕКТУРЫ СРЕДСТВ ЗАЩИТЫ.

Firewall для Windows Vista

Разработка Windows Vista стала одним из самых значительных проектов, реализованных в Microsoft. Одна из целей, поставленных перед разработчиками — адаптация сетевых технологий платформы Windows NT к меняющимся требованиям окружающего мира. Довольно часто можно услышать о том, что, в общем-то, ничего менять не нужно, и на текущий момент платформа Windows NT является достаточно стабильной, быстрой и отвечает многим современным требованиям. Системные администраторы в этом отношении — люди достаточно консервативные, и любые изменения в продукте, только было приобретшем стабильность и надежность, вызывают у них обоснованную настороженность. Стоило ли вообще что-то менять? Давайте попытаемся сформулировать ответы на эти вопросы.

Одна из наиболее сложных проблем, с которой столкнулась команда разработчиков Windows – недостаточно хорошая масштабируемость сетевой инфраструктуры платформы Windows NT. К сожалению, возможности Windows NT по обработке все возрастающих объемов сетевых данных серьезно ограничены не очень хорошей масштабируемостью на мультипроцессорных системах. Если для клиентской версии операционной системы это не самое нужное нововведение, то для разрабатываемой на ее основе серверной версии — один из наиболее критичных параметров. Довольно сложно говорить о масштабируемости Windows-серверов, если учесть, что драйверы сетевых протоколов до Windows Vista получали и обрабатывали поступающие данные, используя только один процессор. Любые неверные алгоритмы в драйвере протокола или неэффективно написанный код могли привести к тому, что внутри стека образовывалось узкое место, ограничивающее пропускную способность сервера, и он был не в состоянии эффективно обрабатывать поступающие данные.

Внедрение IPv6 многим не кажется актуальной задачей, - для нее еще нет практического применения. Однако, делая такие выводы, было бы полезно подумать не столько о том, что срок жизни конкретной операционной системы ограничен, сколько о необходимости постепенно готовить и администраторов, и разработчиков к тому, что IPv6 станет неотъемлемой частью сетевой инфраструктуры. Если уже сейчас не начать разработку программных продуктов для IPv6, то, когда в нем появится необходимость, очень многое окажется неготовым. Кроме того, очень тяжело поддерживать две совершенно независимые версии протоколов и сделать это полностью прозрачным для клиентских приложений.

Зачем Microsoft потребовалась возможность интеграции firewall’ов сторонних разработчиков? Этому существует несколько объяснений. Во-первых, нужно было что-то делать с тем, как в настоящее время разрабатываются драйверы для firewall’ов. К сожалению, сейчас построение полноценного firewall’а без значительной интеграции в работу ядра Windows NT не представляется возможным. Проблема в том, что вся программная основа, сделанная Microsoft для того, чтобы безболезненно интегрировать сторонние средства, была или малофункциональной, или слишком сложной и, как следствие, довольно ненадежной.

Достаточно ли устойчива сейчас Windows к сетевым атакам, направленным на стек протоколов TCP/IP? С каждой версией операционная система становилась все лучше и стабильнее. Например, Windows Server 2003 на момент своего выпуска была значительно надежнее, чем Windows NT 4.0. Прогресс налицо, особенно это касается работы с фрагментированными пакетами и их аномалиями. Вполне логично было бы ожидать, что Windows Vista будет еще надежнее. К сожалению, в ее случае оправдались не самые оптимистичные прогнозы и, хотя на сегодняшний день можно упомянуть очень небольшое количество известных уязвимостей, некоторые особенности работы стека дают основания считать, что они еще могут появиться.

Перед обсуждением риторического вопроса «а нужен ли firewall?» рассмотрим некоторые особенности реализации стека протоколов Windows NT.