Mandrake Multi Network Firewall: интервью с создателями

Mandrake Multi Network Firewall - известный в мире Free Software брандмауэр. Он решает довольно много задач: фильтр пакетов и web-запросов, web proxy и IDS (система обнаружения вторжений). Об устройстве и возможностях данного решения нам подробнее расскажет Винсент Данен (Vincent Danen). В компании Mandrake Винсент отвечает за security-обновления Multi Network Firewall.


Алексей Доля: Расскажите немного о самом проекте Multiple Network Firewall, пожалуйста.

Винсент Данен: Ну, что ж, Multiple Network Firewall впервые появился в декабре 2002 года. До этого мы предлагали лишь Single Network Firewall, который основывался на Mandrake Linux 7.2. Single Network Firewall был предназначен для защиты лишь одной сети (например, локальной сети), в противоположность ему Multiple Network Firewall способен защитить сразу несколько сетей (локальную сеть, демилитаризованную зону, несколько локальных сетей и т.д.). У нас ушло не так много времени на разработку этого продукта. Около 6 месяцев. Мы как раз тогда выпустили Mandrake Linux 8.2 в марте 2002 года. Когда мы работали над Single Network Firewall, то хотели просто создать качественный брандмауэр. Думаю, нам это удалось. Однако ощутимо продвинулись вперед мы лишь с выходом Multiple Network Firewall. Этот брандмауэр намного более мощен, чем его предок. Например, он использует iptables и ядро версии 2.4, вместо ipchains и ядра версии 2.2 (основа Single Network Firewall).


Алексей Доля: Multiple Network Firewall поставляется на одном CD. Он работает прямо с CD или требует установки на жесткий диск?

Винсент Данен: Наш продукт должен быть установлен на жесткий диск. Он не является live CD.


Алексей Доля: У Multiple Network Firewall есть много конкурентов, например, SuSE Linux Firewall. Последний тоже поставляется на одном CD. В чем разница между этими двумя продуктами?

Винсент Данен: Честно говоря, чтобы ответить на этот вопрос, требуется лично взглянуть на SuSE Linux Firewall. Я с этим продуктом никогда не работал. В чем его основные особенности?


Алексей Доля: Multiple Network Firewall работает с жесткого диска, тогда как SuSE Linux Firewall работает прямо с CD. Основное преимущество SuSE Linux Firewall - это, так называемый, живой дистрибутив, который позволяет загружать систему прямо с привода CD-ROM в режиме "только чтение". При этом брандмауэр не требуется устанавливать на жесткий диск. Живая система дает ряд преимуществ: так как брандмауэр находится на CD, в нем ничего нельзя изменить (а значит, и взять под контроль). Важные же конфигурационные файлы, например настройки пакетной фильтрации ipchains, расположены на защищенном от записи гибком диске. Их тоже никак нельзя изменить программно. Почему разработчики Multiple Network Firewall решили отказаться от такой концепции? Вроде очень логично размещать сам брандмауэр на CD (без права записи), а конфигурационные файлы на дискете (с защитой от записи).

Винсент Данен: Нелегкий вопрос вы мне приготовили... Давайте рассуждать вместе. На первый взгляд умно разместить брандмауэр на CD, а конфигурационные файлы на дискете. Но у такого подхода есть минусы: так как основное программное обеспечение находится на CD, как его обновлять? Например, в ядре Linux недавно нашли несколько уязвимостей, которые влияют на iptables и код, обеспечивающий работу с сетью. Как в этом случае поступила SuSE? Наверное, пользователям пришлось переписывать новый ISO-образ или покупать новую версию. В обоих случаях пользователь чувствует определенный дискомфорт. Можно также заметить, что если в CD входит ядро Linux, то его можно считать уязвимым по прошествии 6 месяцев с момента выхода.
Преимущество же системы, базирующейся на жестком диске, в том, что вы всегда можете с ней сделать, что захотите. Мы не ограничиваем ваш выбор программного обеспечения. Например, в случае опасности мы обновляем лишь те программы, которые уязвимы. Вам надо будет лишь переписать их заново (это не целый диск или новый ISO-образ). Здесь проявляется гибкость по сравнению с системой, размещенной на CD. Если вы, например, захотите использовать другую версию Squid или другой proxy-фильтр - пожалуйста! В случае CD-дистрибутива вы всегда ограничены тем набором программ, что уже приобрели. А если вам понадобится перекомпилировать некоторое программное обеспечение, чтобы подогнать его под ваши нужды до миллиметра? Очень сложно на живом CD, очень просто с Multiple Network Firewall.
Надеюсь, я ответил на ваш вопрос.


Алексей Доля: Будем считать, что да. Давайте теперь обратимся к обновлениям. Вы говорите, что Multiple Network Firewall могут понадобиться обновления. Какие именно и как часто?

Винсент Данен: Речь идет о security-обновлениях. Проблемы могут быть в тех программах, которые поставляются вместе с Multiple Network Firewall, например, glibc, Apache и т.д. Множественные уязвимости могут содержаться и в программах, входящих в состав дистрибутива Linux. Не исключение и сам брандмауэр. Если где-то обнаруживается уязвимость, мы стараемся ее исправить и донести обновление до пользователя как можно быстрее.


Алексей Доля: В состав каждого дистрибутива Mandrake Linux входят несколько "стандартных" брандмауэров. Чем Multiple Network Firewall отличается от них?

Винсент Данен: "Стандартными" брандмауэрами, поставляемыми вместе с дистрибутивами Linux являются ipchains (для ядер версии 2.2) и iptables (для ядер версии 2.4 и выше). Shorewall - это легкая в управлении система для определения стандартных правил в iptables. То есть, базовая функциональность здесь идентична. В принципе, вы можете взять Mandrake Linux 9.2 и установить shorewall - получится то же самое. Вопрос лишь в том, какие усилия вам понадобится приложить, чтобы управлять получившимся тандемом. Multiple Network Firewall предлагает вам интуитивно понятный графический интерфейс, позволяющий конфигурировать правила и все возможные операции, которые можно совершить с вашей системой. Например, вам никогда не понадобится использовать командную строку, чтобы настроить какую-то часть Multiple Network Firewall. Конечно, никто не лишает вас этой возможности, но насильно набирать команды руками вас никто не заставляет. Все свои действия вы можете осуществить через web-интерфейс, который не входит в состав стандартного дистрибутива Mandrake Linux.
Вторым главным отличием является то, что Multiple Network Firewall - это специализированный брандмауэр. Другими словами, этот продукт выполняет функции брандмауэра и только. Наше решение позволяет создать физический слой защиты, расположенный между Интернет и вашей сетью. Почти как с аппаратным брандмауэром. То есть наш продукт находится в несколько другой весовой категории, чем брандмауэры, поставляемые со стандартными дистрибутивами Linux. Я хочу сказать, что правомернее сравнивать наш продукт именно с аппаратными брандмауэрами, которые вы можете купить, например, у Linksys или D-Link. В отличие от аппаратных комплексов защиты наше решение гибче и функциональнее. Вы можете настроить его под все свои нужды.
Multiple Network Firewall также позволяет в графическом режиме настраивать proxy-сервер Squid, DansGuardian и SquidGuard (фильтр содержимого).


Алексей Доля: То есть, если сравнивать Multiple Network Firewall с аппаратными брандмауэрами, то ваш продукт может предложить лишь фильтрацию содержимого. Я прав или есть что-то еще?

Винсент Данен: Конечно, есть! Возможность настройки, гибкость и расширяемость! Если я куплю аппаратный брандмауэр и захочу маршрутизировать в зависимости от адреса отправителя входящие ssh-соединения от брандмауэра к компьютерам из состава моей локальной сети - увы, я не смогу этого сделать. Multiple Network Firewall позволяет претворить мое желание в жизнь очень быстро и очень просто. Еще раз повторюсь: с нашим брандмауэром можно делать все что угодно. Этого лишены аппаратные и основанные на живом CD решения.


Алексей Доля: Я уже понял, что Multiple Network Firewall является шлюзом между Интернет и интрасетью предприятия. Интернет - это внешний мир, интранет - внутренний. Есть ли ограничения для клиентских ПК, входящих в состав внутренней сети? Например, сможет ли Multiple Network Firewall работать с машинами под управлением Windows или BSD?

Винсент Данен: Да, Multiple Network Firewall работает с любыми клиентскими ПК. Именно это и позволяет во многих случаях сэкономить финансы.


Алексей Доля: В каких случаях целесообразно использовать Multiple Network Firewall?

Винсент Данен: Брандмауэр рационально использовать в тех случаях, когда вам требуется защитить свою локальную сеть. Вместо того, чтобы подключать каждый компьютер к Интернет напрямую, следует подключить к Интернет компьютер с Multiple Network Firewall, а к нему уже - весь парк машин. Все соединения будут проходить через брандмауэр, именно там можно настроить все правила и параметры. Такая концепция позволяет обеспечить намного более высокий уровень безопасности, чем подключение к Интернет каждого компьютера в отдельности и индивидуальная настройка брандмауэра на каждой машине. Наше решение позволяет также сэкономить деньги. Например, если ваша сеть содержит компьютеры под управлением Windows, вам придется потратиться на брандмауэр для каждой из них.


Алексей Доля: Что означают слова "multi network" в названии "Multiple Network Firewall"?

Винсент Данен: Именно то, что написано. :) Если расшифровать, то за брандмауэром могут скрываться несколько сетей. Ваша демилитаризованная зона - первая сеть, ваша локальная сеть - вторая. В случае расширения своей сети, вам, возможно, захочется создать несколько локальных сетей, независимых и отдельных, но подключенных к Интернет. Multiple Network Firewall позволит вам соединить все ваши локальные сети (плюс демилитаризованную зону) с Интернет через один компьютер. Это дешево и эффективно.


Алексей Доля: В Multiple Network Firewall реализованы какие-нибудь эксклюзивные технологии?

Винсент Данен: Если сравнивать с другими брандмауэрами, работающими под Linux, то нет. Если проводить параллель с аппаратными брандмауэрами (продуктами типа Linksys и D-Link), то мы предлагаем дополнительную возможность фильтрации содержимого с помощью DansGuardian и SquidGuard. Это очень эффективный способ оградить свою сеть от ненужных материалов.


Алексей Доля: Что входит в состав Multiple Network Firewall?

Винсент Данен: В состав решения входят Система Обнаружения Вторжений (IDS), брандмауэр (iptables, так же известный как netfilter), фильтрация содержимого (SquidGuard, DansGuardian), web proxy (Squid). То, как будут сконфигурированы все эти составляющие, зависит от конечного пользователя. Мы никого не заставляем использовать, например, web-proxy или фильтрацию содержимого. Все очень гибко и поддается любой настройке.


Алексей Доля: Насколько я знаю, разработчики Multiple Network Firewall утверждают, что их продукт использует "безопасное ядро". Получается, что одно ядро Linux безопаснее другого?

Винсент Данен: Да. Начиная с версии 2.4, в ядро встроено несколько дополнительных возможностей (в плане информационной безопасности). В дополнение к этому мы решили использовать Grsecurity, это security-patch для ядер версии 2.4, который позволяет ввести некоторые ограничения на действия обычного пользователя системы. Например, запрещается доступ к /proc, чтобы пользователь не смог получить информацию о системе. Стандартные ядра версии Normal 2.4 не содержат этот patch.


Алексей Доля: Что входит в функциональные обязанности фильтров содержимого? Они блокируют порно, спам и какие-то виды трафика?

Винсент Данен: Это, прежде всего, web-фильтры. Они не блокируют спам. Они блокируют лишь те запросы, которые вы зададите. Это может быть порно, картинки с изображением жестоких сцен, наркотики, азартные игры и т.д. Но это лишь web-трафик, не имеющий никакого отношения к e-mail.


Алексей Доля: Получается, что Multiple Network Firewall состоит из нескольких разных частей. Причастна ли компания Mandrake к созданию и разработке хоть одной из этих частей? Или все Системы Обнаружения Вторжений, средства фильтрации трафика и брандмауэр являются продуктами третьих фирм?

Винсент Данен: Вы правильно заметили: MandrakeSoft лишь собирает весь дистрибутив воедино, выбирая лучшее на сегодня программное обеспечение и разрабатывая утилиты, чтобы его было легко конфигурировать и настраивать. Например, web-интерфейс мы разработали сами.


Алексей Доля: Какая Система Обнаружения Вторжений входит в состав Multiple Network Firewall?

Винсент Данен: Snort и Prelude.


Алексей Доля: Вы говорите: " MandrakeSoft лишь собирает весь дистрибутив воедино, выбирая лучшее на сегодня программное обеспечение". Откуда вы знаете, что оно лучшее?

Винсент Данен: Слово "лучшее" используется для более понятного восприятия. Мы выбираем то программное обеспечение, которое, по мнению наших инженеров, лучше всего подходит для решения возникающих задач. Я не утверждаю, что эти программы "лучше всех на свете", просто, на наш взгляд, они лучше всего подходят именно для нашего продукта.


Алексей Доля: И еще раз, закрепим материал. Multiple Network Firewall это продукт, составленный из программ третьих фирм. MandrakeSoft их тщательно протестировала и упаковала в одну "коробку". Также она разработала мощную оболочку для настройки всех входящих в решение программ. В дополнение к этому есть возможность настраивать все это добро через web-интерфейс. Я прав?

Винсент Данен: Честно говоря, не очень. Предпоследнее предложение меня немного беспокоит. Конечно, все программы можно настраивать через оболочку, но это стандартный способ. Настоящая магия продукта заключается в возможности администрирования всего решения и всех его компонентов вместе и по отдельности через сеть. С помощью удобного и приятного web-интерфейса. Это очень и очень важно.


Алексей Доля: Что ж, думаю, наши читатели поняли, какие задачи можно решать с помощью Mandrake Multi Network Firewall. Большое спасибо за то, что уделили нам время и ответили на все наши вопросы!

***


В следующей таблице собраны все возможности данного продукта (решаемые задачи, возможности продукта, поддержка сети, VPN и т.д.).

Возможности Mandrake Multi Network Firewall
 Возможности MNF Комментарий
 Firewall Throughput Hardware-зависимый
 Concurrent Connections Hardware-зависимый
 Packet Filtering Method Stateful Packet
 DoS, DDos Protection Да
 Transparent Mode Да
 Network Address Translation Да
 Port Address Translation Да
 Translation Predefined Services Да
 Customizable Services Да
 Number of Nodes Не ограничено
 Network Access Rules Да
 Vulnerability Scanning Да
 Web Content Filtering Да
 Custom Web Blocking Да
 Malicious Code Filtering Java, ActiveX, Proxy, Cookies, Digital Certs
 VPN Client Pass Да
 PPPoE/L2TP Support Да
 DHCP Client Support Да
 DHCP Server Support Да
 Total Static Routes Hardware-независимый
 Diagnostic Tools Ping, Trace, NSLookup
 Logging and Alerting Syslog, Email
 Dual Power Supplies Support UPS
 VPN Encryption Включена
 Encryption Methods 3DES, DES, ARCFour
 Authentication MD5, SHA-1
 Key Management IKE, Manual
 VPN Interoperability IPSec
 VPN Tunnels Hardware-независимый
 DES (56-Bit) Speed Hardware-независимый
 3DES (168-Bit) Speed Hardware-независимый
 Perfect Forward Secrecy Да
 Prevent Replay Attacks Да
 User Authentication Hardware-независимый
 PKI/Digital Certificates Да
 VPN Clients Included Linux (неограниченное число)