Решение F5 на защите удалённого доступа

БРАНДМАУЭРЫ

Недешевое устройство FirePass 1000 нуждается в небольшой доработке

Хотя устройство FirePass 1000 - первый опыт фирмы F5 Networks на рынке средств безопасности - не лишено шероховатостей, оно может стать гибким и мощным решением для дистанционного SSL-доступа. Оно довольно дорого, но может заинтересовать организации, желающие избежать административных сложностей, которые неизбежны в решениях с серьезной криптографией.

Начальная стоимость FirePass 1000 для 25 пользователей составляет $9900 или $19 990 при 100 одновременных пользователях. Цена почти в $200 за каждого из сотни пользователей выглядит довольно высокой по сравнению со многими существующими VPN-решениями как в схемах SSL (Secure Sockets Layer), так и IPSec. Компаниям с более многочисленным персоналом предлагается устройство FirePass 4000 стоимостью $69990, рассчитанное на 1000 пользователей и способное удовлетворить еще более высокие запросы путем кластеризации. Оба устройства появились на рынке в октябре.

Виртуальные частные сети (VPN) на базе SSL почти не требуют настройки клиентов и поэтому гораздо удобнее для перегруженных работой администраторов, чем решения с протоколом IPSec. FirePass 1000 обеспечивает безопасное взаимодействие клиентов с хост-системами через SSL. Устройство расшифровывает трафик и, как посредник, адресует его соответствующему хосту в защищенной сети. Для доступа к корпоративным приложениям и данным удаленным пользователям FirePass по существу требуется только браузер с поддержкой HTTPS (HTTP Secure) и ActiveX или Java плюс подключение к Интернету.

Ряд сетевых сервисов (интрасеть, электронная почта и терминальный доступ к хост-системам) отображаются без помощи дополнительного клиента в браузере, а другие видны через тонкий клиент, сконфигурированный через соответствующий ActiveX-компонент F5 Webifyer либо подключаемый модуль Java (примеры - отображение сетевых дисков Windows и Terminal Services). Чтобы использовать имеющееся клиентское ПО своей организации, администраторы могут создавать туннели F5 AppTunnel к серверам, каждый из которых задается под одно конкретное приложение. Нам понравилась гибкость этой функции, однако пользователей может несколько смутить тот факт, что при обращении к приложению открывается окно, где для контроля нужно указать адрес обратной передачи данных. FirePass также обеспечивает полный сетевой SSL-VPN-доступ к голосовым приложениям, требующим широкого диапазона портов.

Плюсом FirePass по отношению к аналогичным продуктам корпорации Aventail и других производителей является ActiveX-утилита очистки кэша удаленного браузера, гарантирующая своевременное удаление всех загружавшихся корпоративных данных. Но при необходимости обеспечить безопасный клиентский доступ к приложениям интрасети с использованием JavaScript более предпочтительным может оказаться продукт Neoteris Access 1000, так как в этом случае FirePass способен корректно играть роль обратного прокси-сервера только благодаря обходным приемам.     

Проверяя FirePass в Тестовом центре eWeek Labs, мы поместили его в "демилитаризованной зоне" своей сети и настроили брандмауэр так, чтобы он не препятствовал обращению к службам защищенных серверов. Мы извлекли с помощью LDAP информацию о пользователях и группах из нашего Active Directory и настроили FirePass на аутентификацию в наш домен при любой попытке входа в систему. FirePass, кроме того, позволяет осуществлять аутентификацию для RADIUS-серверов (Remote Authentication Dial-In User Service) и доменов Windows NT, а также использовать внутреннюю базу данных.

FirePass имеет мощную подсистему политики, посредством которой мы смогли задать разные права доступа для отдельных групп пользователей, однако неудобен для общего обзора полномочий многочисленных групп. Мы бы предпочли, чтобы F5 добавила в свой продукт опцию просмотра по группам, позволяющую увидеть всю политику в отношении конкретной группы, а не рыться в каждом компоненте Webifyer.

Еще более впечатляет, что FirePass позволяет контролировать доступ в зависимости от относительной безопасности клиентской системы. FirePass поддерживает киоски, где пользователь не вправе инсталлировать подключаемые программы ActiveX или Java, а только имеет доступ к интрасети или электронной почте. Администраторы могут ограничить доступ к засекреченным приложениям, требуя наличия клиентского сертификата, а также надлежащего антивирусного ПО и персонального брандмауэра, хотя, по нашему мнению, развертывание на пользовательских ПК клиентских сертификатов несколько обесценивает внутренние достоинства технологии SSL VPN.

FirePass поддерживает целый ряд браузеров, позволяя работать со знакомой пользователю платформой. Однако мы обнаружили, что некоторые функции на разных платформах работали по-разному, особенно Webifyer для сетевых дисков. Представители F5 объяснили этот дефект, как и другие погрешности интерфейса и редкие зависания системы, тем, что наше тестовое устройство было оснащено поздней бета-версией ПО. Однако в любом случае новый продукт заслуживает пристального внимания администраторов.