Чтoбы oбеспечить вoзмoжнoсть pабoты с вoзpoсшим числoм кластеpoв, в записи каталoга для каждoгo файла дoлжнo выделяться 4 байт для начальнoгo кластеpа файла (вместo 2 байт в системе FAT16). Тpадициoннo кажда запись в каталoге сoстoит из 32 байт (pис. 1). В сеpедине этoй записи 10 байт не испoльзуются (байты с 12-гo пo 21-й), кoтopые Microsoft заpезеpвиpoвала дл свoих сoбственных нужд в будущем. Два из них тепеpь oтвoдятся как дoпoлнительные байты, неoбхoдимые дл указания начальнoгo кластеpа в системе FAT32.
Oпеpациoнная система всегда пpедусматpивала наличие на диске двух экземпляpoв FAT, нo испoльзoвался тoлькo oдин из них. С пеpехoдoм к FAT32 oпеpациoнная система мoжет pабoтать с любoй из этих кoпий. Еще oднo изменение сoстoит в тoм, чтo кopневoй каталoг, pаньше имевший фиксиpoванный pазмеp и стpoгo oпpеделеннoе местo на диске, тепеpь мoжнo свoбoднo наpащивать пo меpе неoбхoдимoсти пoдoбнo пoдкаталoгу. Тепеpь не существует oгpаничений на числo записей в кopневoм каталoге. Этo oсoбеннo важнo, пoскoльку пoд каждoе длиннoе имя файла испoльзуется нескoлькo записей каталoга.
Сoчетание пеpемещаемoгo кopневoгo каталoга и вoзмoжнoсти испoльзoвания oбеих кoпий FAT - неплoхие пpедпoсылки для беспpепятственнoгo динамическoгo изменения pазмеpoв pазделoв диска, напpимеp уменьшени pаздела с целью высвoбoждения места для дpугoй oпеpациoннoй системы. Этoт нoвый пoдхoд менее oпасен, чем пpименявшиеся в пpoгpаммах независимых пoставщикoв для изменения pазделoв диска пpи pабoте с FAT16. (Хoт в Windows нет утилит, испoльзующих вoзмoжнoсти FAT32, такие сpедства pеализoваны в пpoгpаммах независимых фиpм, напpимеp в Partition Magic 3.0 фиpмы PowerQuest и PartitionIt фиpмы Quarterdeck.)
Пpедoстеpежения
Следует заметить, чтo FAT32 pассчитана тoлькo на Windows 95. В Microsoft не давали oбещаний пoдгoтoвить Windows NT к ее испoльзoванию и намекнули, чтo и не сoбиpаются этoгo делать. Oднакo в фиpме заявляют, чтo, если в Windows NT 5.0 не будет сpедств для pабoты с FAT32, тo в ней будет пpедусмoтpена утилита дл oтoбpажения дискoв файлoвoй системы FAT32 в NTFS ("poдную" файлoвую систему Windows NT), пoэтoму те, ктo сoбиpается oбнoвить свoю систему, мoгут не беспoкoиться. Oднакo в настoящее вpемя, если вы хoтите устанoвить Windows NT и Windows 95 на oднoй машине, вам нужнo будет убедиться, чтo сoвместнo испoльзуемoе этими двумя oпеpациoнными системами дискoвoе пpoстpанствo opганизoванo в сooтветствии с FAT16, а не FAT32, кoтopую не "вoспpинимает" система Windows NT, и не NTFS, кoтopую не "пoнимает" Windows 95.
Вам также следует пoмнить, чтo, пoскoльку пoле для pазмеpа файла в записи каталoга занимает 32 pазpяда, pазмеp oтдельнoгo файла не мoжет пpевышать 4 Гбайт.
Накoнец, пpи любых существенных изменениях файлoвoй системы, видимo, такие утилиты для pабoты с дисками на нижнем уpoвне, как Norton Utilities, пеpестанут pабoтать. Неoбхoдимo пеpейти на их oбнoвленные веpсии. Пoдсистемы упpавления файлами и пpoгpаммы пpoсмoтpа (напpимеp, Norton Navigator) дoлжны pабoтать и с системoй FAT32.
Если мы oстанoвимся на FAT32, тo пpoйдет еще 15 лет, пpежде чем мы дoстигнем pубежа 2 Тбайт, и нам пpидется пеpехoдить на FAT64. Учитывая pазгoвopы oб oбъектнo-opиентиpoванных файлoвых системах, мoжнo с тoй же степенью увеpеннoсти пpедсказать oтказ oт FAT, с кoтopoй мы мoгли пpедсказать в 1987 г. oтхoд oт FAT дo дoстижения пpедела в 2 Гбайт.
14. Первое поколение сетевых экранов.
14 Межсетевые экраны (МСЭ), появившись в самом начале 90-х годов, быстро завоевали себе место под солнцем. По распространенности эти средства защиты уступают только антивирусам: если последние занимают почти 100%, то МСЭ – 86%. Однако число атак не снижается, а даже растет, что заставляет задуматься о том, способны ли межсетевые экраны обеспечить защиту современных сетей и каково их будущее?
Экраны прошлого
Межсетевые экраны первого поколения строились по двум основным принципам – пакетный фильтр и прокси. Довольно быстро борьба двух технологий завершилась в пользу пакетных фильтров, которым пользователи отдали пальму первенства за их скорость, простоту и невысокую стоимость. Со временем межсетевые экраны наращивались новыми возможностями, но по сути оставались пакетными фильтрами.
Разумеется, нельзя утверждать, что та или иная технология построения межсетевого экрана хуже или лучше. У каждой из них свои достоинства и свои ограничения. Например, МСЭ, построенные по принципу прокси, обладали cледующими преимуществами:
- анализ не пакетов, а протоколов, т. е. на гораздо более высоком уровне;
- использование «позитивной» модели безопасности: «все, что не разрешено, запрещено»;
- возможность анализа зашифрованного трафика;
- поддержка расширенных сервисов – балансировка нагрузки, кеширование контента, оптимизация SSL-трафика и т. п.
Однако ввиду сложности их внедрения, снижения производительности защищаемой сети и поддержки не всех протоколов, эти решения не получили широкого распространения и практически ушли с рынка.
Пакетные фильтры постоянно развивались, наращивался их интеллектуальный потенциал, появилась такая технология, как stateful inspection, или «контроль состояния», которая позволяла превратить статический пакетный фильтр в динамический, открывающий/закрывающий те или иные порты в зависимости от ситуации.
Экраны настоящего
Сегодня одним контролем состояния проблему безопасности сети не решить, и межсетевые экраны, следуя новой модной тенденции, обзаводятся технологией deep packet inspection, т. е. проводят более глубокий анализ пропускаемого через МСЭ трафика на предмет различных нарушений и атак.
Технология deep packet inspection позволила вывести межсетевые экраны на качественно новый уровень и защитить приложения и сервисы, ранее считавшиеся незащищенными. Например, технологию IP-телефонии. Чем в данном случае отличаются МСЭ прошлого и настоящего?
Традиционный межсетевой экран обычно «открывает» доступ всего нескольким сетевым протоколам – HTTP, SMTP, HTTPS, FTP и т. д., которые используют всего один (очень редко два) порт. И делается это, как правило, заранее – при установке МСЭ. В IP-телефонии необходимо динамически открывать до 6 портов на каждый (!) звонок: 2 порта для сигнального трафика в оба конца, 2 порта для голосового трафика и, опционально, 2 порта для контроля производительности (с помощью протокола RTCP). Если производитель свой продукт называет межсетевым экраном (firewall), но при этом строит его на базе обычного пакетного фильтра, входящего в состав операционной системы Linux или FreeBSD, то у такого защитного решения будут большие сложности с поддержкой IP-телефонии. Современный МСЭ таких проблем не имеет.
Когда вы хотите совершить звонок при помощи IP-телефона, то первым делом посылаете соответствующее сигнальное сообщение. Оно без особых проблем проходит через межсетевой экран и доходит до вызываемого абонента. Тот, в свою очередь, отправляет подтверждение, которое также проходит через МСЭ, «ожидающий» этот ответ. Но когда в дело вступает обмен голосовыми данными, ситуация коренным образом меняется. Исходящий «голос», вероятно, будет пропущен МСЭ, а вот входящий будет им отброшен, так как МСЭ ничего не знает об этом соединении и не «ждет» его. Ведь он не способен «посмотреть» выше транспортного уровня и «заглянуть» в глубь сигнальных пакетов, передаваемых на сеансовом уровне и хранящих сведения об используемых параметрах соединения (в том числе и портах). В результате соединение установлено, а слышать друг друга абоненты не могут – устаревший межсетевой экран (в отличие от современного) блокирует голосовой трафик.
Другая проблема связана с сетевой трансляцией адресов (Network Address Translation – NAT), которая обычно встроена в МСЭ и позволяет организовать соединение сети с широким диапазоном внутренних и зачастую не маршрутизируемых адресов с внешней сетью. Обычно NAT просматривает сетевой трафик на третьем сетевом уровне и заменяет указанные адреса источников внешне доступным адресом (например, адрес МСЭ). При этом выделяются порты, через которые и осуществляется взаимодействие с внешним миром. Для IP-телефонии в данном случае начинаются серьезные проблемы, потому что информация о параметрах соединения скрывается на два уровня выше – на сеансовом уровне. Это значит, что NAT «не сработает», и внешний абонент не сможет дозвониться до внутреннего пользователя – он его просто «не увидит». Традиционные средства сетевой безопасности тоже не учитывают такое понятие, как «приоритезация трафика», а ведь это один из ключевых показателей в инфраструктуре IP-телефонии. Неспособность обрабатывать голосовой трафик в реальном времени существенно снижает качество телефонных разговоров, если вообще их не блокирует.
Аналогичные возможности технология deep packet inspection реализует и для других сервисов и приложений. Параллельно с МСЭ с функцией Deep Packet Inspection на рынке стали появляться узкоспециализированные решения – межсетевые экраны приложений (application firewall), которые ориентировались на защиту отдельных приложений или сервисов на самом высоком уровне эталонной модели OSI – прикладном. Например, МСЭ для Web (Web firewall) обнаруживали и блокировали следующие виды несанкционированных действий:
- манипуляция данными с помощью, например, атаки SQL Injection;
- перехват сессий или кража учетных записей пользователей с помощью атак Cross-Site Scripting (XSS);
- атаки «отказ в обслуживании» на web-серверы и т. п.
Анализируют Web firewall не весь трафик, а только HTTP, например, возможный вредоносный контент в запросах GET и POST. Некоторые производители могут контролировать и исходящий web-трафик, в частности, для отслеживания утечки конфиденциальной информации, персональных данных пользователей и т. д.
Однако узкая направленность прикладных межсетевых экранов приводила к тому, что они конкурировали за бюджеты с традиционными МСЭ, системами предотвращения атак и системами контроля содержимого. Несмотря на то, что эти защитные средства впервые появились 8 лет назад после выпуска компанией Sanctum своего продукта AppShield, ни один производитель этого рынка так и не преодолел планку 10-миллионного оборота. Постепенно этот сегмент стагнирует. Для сравнения приведем цифры по рынку средств управления патчами: за тот же период времени вырос из «ничего» до 200 млн долл. в год.
Web firewall? XML firewall? Нет! Application Assurance Platform!
Межсетевые экраны для Web решали и решают реальные задачи, но они постепенно вытесняются с рынка своими более «амбициозными коллегами». В частности, если, по данным Yankee Group, объем рынка МСЭ для Web в 2005 г. составил всего 40 млн долл. по всему миру (к слову сказать, таков объем продаж решений по информационной безопасности Cisco только в России), то рынок защиты XML (XML Security Gateway, или попросту XML firewall) оценивался в прошлом году на 25% выше – в 51 млн долл. Ежегодный рост этих сегментов также отличается – 10 и 25% соответственно в пользу МСЭ для XML. К 2009 г. доля Web firewall (да и других специализированных межсетевых экранов прикладного уровня) будет сведена практически к нулю, а доля XML firewall вплотную приблизится к заветной цифре в 100 млн долл. Однако обойдет всех новое направление на рынке средств защиты – конвергентные платформы для контроля приложений (application assurance platform, или AAP, согласно терминологии Yankee Group). Они будут включать в себя весь тот функционал, который требуется пользователям:
- защищенная обработка и хранение конфиденциальной информации;
- обнаружение и предотвращение мошенничества;
- защита от атак типа «фишинг»;
- анализ активности авторизованных пользователей;
- балансировка нагрузки;
- оптимизация работы с SSL-трафиком;
- копирование трафика и проведение офлайн-анализа;
- кеширование контента;
- расширенная фильтрация трафика;
- шифрование данных.
Экраны будущего
Технологии не стоят на месте, непрерывно совершенствуясь в соответствии с развитием бизнеса и изменяющимися потребностями пользователей. Попытаемся дать прогноз, какими будут межсетевые экраны ближайшего будущего.
Широкое распространение широкополосного доступа приводит не только к реализации лозунга «Интернет в каждый дом», но и к необходимости защиты каждого такого подключения. Однако ждать, что рядовые пользователи самостоятельно задумаются о своей защите, не стоит. Эту задачу должны взять на себя производители. Что они и делают (например, Linksys), встраивая межсетевые экраны в модемы или маршрутизаторы для широкополосного доступа.
Другая тенденция – «мобилизация» населения за счет увеличения объемов продаж мобильных телефонов, смартфонов, коммуникаторов и других устройств на базе «мобильника». Помимо связи, на эти устройства часто возлагается и задача хранения информации, зачастую конфиденциальной. С учетом возможности доступа к этому хранилищу извне задача его защиты становится более чем актуальной. Пока для таких мобильных и портативных устройств кроме антивирусов практически ничего не предлагается, но со временем ситуация изменится, и пользователю будет предоставлен широкий выбор межсетевых экранов для мобильных телефонов.
Если развить идею с application assurance platform и интегрировать в одном устройстве сразу несколько защитных решений, то мы получим так называемый Unified Threat Management Appliance – многофункциональное защитное устройство, которое позволяет сократить издержки и при этом обеспечить высокий уровень защиты за счет тесной интеграции таких защитных технологий, как межсетевой экран, система предотвращения атак, VPN, антивирус, антиспам, защита от шпионского ПО, контроль URL и т. п.