Статья только в электронной версии журнала

Статья только в электронной версии журнала

ОБЗОР

Office Gateway - безопасные шлюзы, но не для новичков

Кен Филлипс (для PC Week Labs)

Пакет BorderWare Office Gateway, выпущенный недавно фирмой BorderWare Technologies, рассчитан на применение в малых офисах. Его пользователи получают безопасное подключение к Интернету и услуги электронной почты по сравнительно низкой цене - новое ПО в расчете на одного пользователя обходится примерно в $100.

Проведенное в PC Week Labs тестирование показало, что этот чисто программный продукт способен превратить обычный ПК в шлюз Интернета. Администратор сети найдет здесь брандмауэр, прокси-сервер, услуги электронной почты по протоколам SMTP и РОР3, серверы DNS, FTP и HTTP, способные обслуживать до 10 пользователей одного узла. В дополнение к базовому комплекту можно также приобрести модули для фильтрации URL и средства ВЧС (виртуальных частных сетей), которые делают применение Office Gateway еще более эффективным.

В новом пакете предусмотрены встроенные функции удаленного конфигурирования - они особенно пригодятся тем предприятиям и поставщикам услуг, которым приходится управлять шлюзами на расстоянии. Впрочем, сразу оговоримся, что с дистанционным управлением Office Gateway способен справиться далеко не каждый пользователь. Гибкость продукта и простота конфигурации нам понравились, однако богатство возможностей и сетевых функций делает его чересчур сложным для новичков.

Сегодня продукты наподобие Office Gateway выпускают самые разные производители, предлагая своим клиентам все или почти все, что необходимо удаленному офису для полномасштабного использования Интернет-технологий в повседневной работе. Чаще всего на рынке можно встретить аппаратно-программные комплекты, в основу которых положены специализированные вычислительные платформы, работающие под управлением высоконадежной операционной системы Unix и снабженные предустановленными программными брандмауэрами.

BorderWare Office Gateway снабжен набором стандартных прокси-серверов, ускоряющих его инсталляцию,

а при необходимости пользователь может в считанные минуты создать и собственные

Продукт BorderWare, в отличие от подобных комплектов, можно установить на самый обычный персональный компьютер, что значительно снижает его стоимость. Если не считать затрат на ПК, развертывание одного шлюза Office Gateway обойдется всего в $995. Машина, на которую устанавливается пакет, должна отличаться высокой надежностью, хотя может быть относительно медленной - сойдет даже компьютер, мало пригодный по своей производительности для чего-нибудь еще.

Аппаратно-программные комплекты, сравнимые по характеристикам с Office Gateway, стоят значительно дороже. Скажем, приобретая NetScreen-5 фирмы NetScreen Technologies, необходимо выложить $1495 за систему с сервером ВЧС плюс $4995 за удаленное управление 10 устройствами. И это не считая сервера электронной почты, который нужно приобретать отдельно. Правда, NetScreen-5 умеет формировать трафик для обеспечения максимальной пропускной способности канала, тогда как в Office Gateway такая функция отсутствует.

Как уже отмечалось, в BorderWare предусмотрена возможность фильтрации адресов URL, однако для ее реализации необходимо оформить весьма дорогостоящую ($1000 в год) подписку на услугу SmartFilter корпорации Secure Computing. Фильтрация адресов осуществляется на основе систематизированного списка запрещенных адресов, автоматически обновляемого раз в неделю, а также индивидуальных списков запрещенных и разрешенных адресов, которые ведутся администраторами на местах. Антивирусная защита, наличие переносимых кодов (mobile codes) и фильтрация содержимого в Office Gateway в настоящее время не предусмотрены. Для выполнения таких функций нужно предпринимать дополнительные меры, пропуская трафик через вспомогательный сервер.

Впрочем, как нас уверили представители BorderWare Technologies, в конце марта фирма намерена снабдить свой продукт средствами защиты от вирусов и фильтрации переносимых кодов.

На рынке можно найти и менее дорогие аппаратно-программные комплекты, однако в них отсутствуют серверы DNS, электронной почты, FTP и HTTP. В качестве примера приведем SonicWall SoHo/10 фирмы SonicWall ценой всего $495. При необходимости в него можно добавить функцию фильтрации URL (годовая подписка на услугу обойдется $175) и сервер ВЧС стоимостью $495.

Рекордно низкую цену имеет комплект 602Pro LAN фирмы Software602. Заплатив $149,95, пользователь получает богатый набор интегрированных функций, включая электронную почту и обработку факсов. Правда, до репутации брандмауэра BorderWare Office Gateway этому продукту еще далеко.

Создай собственную систему

Office Gateway комфортно разместился на нашем ПК Deskpro EN 6400 корпорации Compaq Computer с 400 МГц процессором. Впрочем, по утверждению представителей BorderWare, удовлетворительных результатов можно достичь даже при инсталляции этого ПО на машине со 133 МГЦ процессором Pentium. Пакет создан для среды BSD Unix, а его устанавка не требует почти никакого вмешательства пользователя, который может вообще ничего не знать о Unix. В ходе тестирования нам пришлось исправить лишь несколько ошибочных параметров дисковода. Office Gateway самостоятельно разбил диск на разделы, а затем задал несколько вопросов - на этом весь процесс установки завершился.

Мы не нашли ни одной лазейки к внутренним механизмам Unix, а это весьма ценная характеристика. К тому же, как оказалось, по умолчанию пакет блокирует всю пересылку трафика, за счет чего обеспечивается высокий уровень безопасности. Заплаты и дополнительные модули устанавливаются не из командной строки Unix, а с помощью графического интерфейса пользователя на консоли управления. Кроме локального ГИП мы установили на отдельном ПК также графический интерфейс дистанционного управления, созданный на базе Windows. Управлять шлюзом можно через Интернет, воспользовавшись для этого подключением SSL (Secure Socket Layer - уровень защищенных гнезд). Правда, для этого необходимо наличие одного из поддерживаемых аппаратных жетонов безопасности.

Запустить почтовый сервер Office Gateway нам не составило ни малейшего труда

К сожалению, документация по установке Office Gateway не слишком подробна. Конечно, настраивать функции этого продукта почти не приходится, но тому, кто устанавливает его, желательно знать хотя бы основополагающие принципы организации сетей. Без этого просто невозможно воспользоваться всеми предлагаемыми функциями.

Брандмауэр содержит комбинацию низкоуровневых пакетных фильтров, шлюзов и прокси-серверов прикладного уровня, которые ретранслируют трафик и блокируют прямую связь между внутренней сетью и внешним миром. Последнее особенно важно для защиты встроенного сервера SMTP. Создание специализированных прокси-серверов, как мы убедились в ходе экспертизы, не представляет никаких трудностей - в этом существенную помощь оказывает встроенный мастер.

Для обеспечения безопасности компьютеров внутренней сети в Office Gateway предусмотрена поддержка спецификации Network Address Translation. Кроме того, пакет использует раздельные доменные службы имен для внешних и внутренних адресов. При необходимости он может взаимодействовать и с DNS-серверами в локальной сети, которые в этом случае выполняют роль кэшируемых ретрансляторов.

Настройка электронной почты прошла без сучка и задоринки. С помощью мастера мы создали почтовые ящики РОР, затем указали почтовому клиенту IP-адрес соответствующего сервера. После этого все сразу же заработало, как надо.

К концу I квартала BorderWare Technologies планирует выпустить почтовый шлюз BorderWare Mail Gateway. Он разрабатывается с прицелом на те организации, которым нужен выделенный почтовый сервер для обработки очень больших объемов электронной почты.

Фильтрация адресов URL, как уже отмечалось, производится на основе систематизированного списка запрещенных узлов, автоматически обновляемого раз в неделю, а также индивидуальных списков запрещенных и разрешенных адресов, которые ведутся администраторами на местах.

Web-сервер, входящий в пакет Office Gateway, может оказаться очень удобным для распространения информации, однако по соображениям безопасности допускается возможность его работы только со статическими страницами. Поддержка CGI-сценариев в нем не предусмотрена. Гораздо большую пользу на обычных узлах принесет сервер FTP, способный работать как в анонимном, так и в безопасном (с применением персональных идентификаторов или жетонов безопасности) режиме.

Не всем по зубам

Office Gateway может отражать множество атак типа “отказ в обслуживании”. Это достигается за счет фильтрации фрагментов пакетов и принятия ряда других мер. Обнаружив такую атаку, пакет не только отражает ее, но и уведомляет о произошедшем администратора, делая при этом необходимую запись в журнальном файле. Кроме того, продукт BorderWare Technologies не позволяет любителям массовой рассылки использовать брандмауэр в качестве ретранслятора почтового мусора. Правда, перекрыть обходные пути спэма через внутренние почтовые ящики он не в силах.

Нам очень понравился богатый набор диагностических утилит, встроенных в административный ГИП. Среди них мы нашли и монитор активности, систематизирующий информацию по различным службам Интернета, и средства просмотра таблиц перекодировки сервера имен, и утилиту traceroot, позволяющую проследить путь пакета, и многое другое.

Доплатив $400, можно снабдить пакет Office Gateway и сервером ВЧС, который поддерживает алгоритмы шифрования Triple DES и Blowfish, а кроме того полностью совместим с протоколами IP Security и Internet Key Exchange, благодаря чему безопасное соединение между двумя системами может устанавливаться автоматически, без участия оператора.

Здесь возможны два варианта организации виртуальных частных сетей: между парами серверов, а также между сервером и клиентом. В первом случае ВЧС связывают доверяющие друг другу офисы, а во втором - пользователей со стандартными клиентами, поддерживающими IPSec (BorderWare рекомендует применять ВЧС-клиенты корпорации Shiva).

Вместо сервера ВЧС фирмы BorderWare Technologies на узлах можно устанавливать систему SmartGate корпорации V-One. При той же цене и степени интеграции она предлагает большую детализацию правил доступа, поддерживает жетоны безопасности и отличается простотой развертывания.

С внештатным редактором Кеном Филлипсом можно связаться по адресу: kenp@wtp.net.

Резюме для руководителей

BorderWare Office Gateway 1.0

Новый продукт фирмы BorderWare Technologies рассчитан на компании с малыми удаленными офисами, в каждом из которых не более 10 сотрудников. Применение Office Gateway позволяет консолидировать и защищать все функции доступа в Интернет. Пакет стоит относительно недорого, прост в настройке, однако его развертывание может потребовать привлечения опытных специалистов извне.

КРАТКОСРОЧНЫЕ ПРОГНОЗЫ. Приобретая Office Gateway, малые компании получают уникальную возможность обзавестись сразу и прокси-сервером, и брандмауэром, и сервером электронной почты. Кроме того, они найдут здесь богатый выбор других серверов и функций, которые, благодаря тесной интеграции с главными компонентами и высокому уровню безопасности, еще больше повышают ценность нового продукта. Да и возможность его установки на старых ПК, непригодных ни для чего другого, позволит сэкономить немало денег.

ДОЛГОСРОЧНЫЕ ПРОГНОЗЫ. Функции безопасности, предусмотренные в BorderWare Office Gateway, окажут помощь в предотвращении попыток взлома и атак, которые могут обойтись компании очень дорого. Правда, пакет трудно назвать масштабируемым - он способен поддерживать не более 10 пользователей, а это значит, что со временем многие узлы, созданные на его основе, придется перевооружать.

( + ) Сочетание самых необходимых серверов в одной безопасной упаковке; возможности дистанционного управления; наличие серверов электронной почты, доменной службы имен, FTP и НТТР; возможность подключения дополнительных модулей фильтрации URL и организации ВЧС.

( - ) Способность обслуживать лишь 10 пользователей; полномасштабная конфигурация требует хорошего знания сетей; отсутствие защиты от вирусов.

Фирма BorderWare Technologies, Торонто, Канада, (905) 804-1855, www.borderware.com.

Методика оценки: www.pcweek.com/reviews/meth.html.

Версия для печати