Статья только в электронной версии журнала
Система TippingPoint существенно улучшает сетевую защиту
Камерон Стардевант
Новинка фирмы TippingPoint Technologies под названием UnityOne-1200, которая почти неделю контролировала подключение сети eWeek Labs к Интернету, настолько успешно справлялась с отражением реальных и инсценированных атак, что мы присудили ей приз "Выбор аналитика".
Дешевым, правда, этот комплекс не назовешь, так что менеджерам ИТ, прежде чем приступать к развертыванию какой-либо системы предупреждения атак, стоит провести полномасштабное сканирование брешей. Это поможет им четко определить объем и опасность возникающих проблем.
Устройства семейства UnityOne имеют пропускную способность от 200 Мбит/с до 2 Гбит/с, а стоят от 24 995 до 89 995 долл. В eWeek Labs тестирование проходила система 1,2 Гбит/с ценой 64 995 долл.
Все модели этого семейства оснащаются встроенным Web-приложением Local Security Manager. Тем же, кому его возможностей мало или кому нужно управлять несколькими устройствами UnityOne, предлагается система управления безопасностью Security Management System за 9995 долл.
Выпуск обновленной версии UnityOne-1200 начался в марте. Для проверки мы установили ее перед сетевым экраном на периферии нашей сети. После этого весь трафик, который UnityOne признавал "вредным", тут же отсеивался и на брандмауэр не попадал.
Благодаря новым аппаратным компонентам защита от вторжений стала еще надежнее, намного повысилась и эффективность ПО. Как показали результаты тестирования, TippingPoint значительно усовершенствовала логику анализа трафика и отлично разобралась в тонкостях политики безопасности.
Тем не менее для обеспечения оптимальной защиты UnityOne-1200 необходимо скрупулезно настроить и постоянно следить за его параметрами. Непрерывно меняющиеся сетевые угрозы, возникновение новых опасностей - все это заставит менеджеров ИТ, когда TippingPoint предложит им обновления Digital Vaccine, самостоятельно определять стандартные настройки.
К примеру, в ходе тестирования мы последовали рекомендациям фирмы и для ряда проб SNMP установили многие параметры защиты на уровень permit and notify (разрешить и уведомить). Однако начальная проверка уязвимости нашей инфраструктуры выявила несколько брешей в конфигурации SNMP. И тогда в сотрудничестве со специалистами TippingPoint мы решили изменить данное правило на block and notify (блокировать и уведомить).
Впрочем, для подавляющего большинства сигнатур атак и правил оценки рекомендованные разработчиками настройки подойдут отлично. В стандартной конфигурации UnityOne-1200 успешно отражал и наши пробы, и атаки типа "отказ от обслуживания".
При тестировании новинки мы не стали отключать от сети установленный в ней экран Firebox V80 фирмы WatchGuard. Хотя UnityOne-1200 и проводит контекстно-зависимый анализ пакетов, заменить брандмауэры с их возможностями VPN и другими политиками доступа он не может (да и не предназначен для этого). К тому же журнал регистрации сетевого экрана позволил нам проверить, не было ли "протечек" через систему TippingPoint. Как оказалось, за неделю тестирования ни одна атака так и не добралась до брандмауэра.
| РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ |
| UnityOne-1200 |
+ Возможность размещения как перед сетевым экраном, так и за ним; эффективная борьба с новыми типами сетевых атак благодаря периодическому выпуску обновлений Digital Vaccine; очень высокая производительность аппаратной части, благодаря которой работа устройства нисколько не сказывается на пропускной способности сети. |
- Высокая начальная цена; некоторые рекомендуемые параметры настройки не смогли воспрепятствовать разведке тестовой сети. |
|
РЕЗЮМЕ Аппаратно-программный комплекс UnityOne-1200 фирмы TippingPoint представляет собой самую современную систему предупреждения атак. Действуя непосредственно в канале связи, она отсеивает опасный трафик и нисколько не мешает при этом санкционированной работе пользователей. UnityOne-1200 нуждается в настройке, однако игра стоит свеч. Как показало проведенное в eWeek Labs тестирование, новое устройство успешно предотвращает самые разные типы атак, включая "отказ от обслуживания", способен вызвать серьезные перебои в работе сети. Начальная цена UnityOne составляет 24 995 долл. Дополнительную информацию можно найти на сайте www.tippingpoint.com.
КРАТКИЙ СПИСОК АНАЛОГОВ - InterSpect фирмы Check Point Software Technologies - McAfee IntruShield компании Network Associates - NetScreen-IDP разработки NetScreen Technologies |
| ОЦЕНКА ОСНОВНЫХ ХАРАКТЕРИСТИК | |
УДОБСТВО | ХОРОШО |
ВОЗМОЖНОСТИ | ОТЛИЧНО |
ПРОИЗВОДИТЕЛЬНОСТЬ | ОТЛИЧНО |
СОВМЕСТИМОСТЬ | ХОРОШО |
УПРАВЛЯЕМОСТЬ | ХОРОШО |
МАСШТАБИРУЕМОСТЬ | отлиЧНО |
При установке UnityOne-1200 мы внесли в конфигурацию лишь несколько незначительных изменений, а затем предоставили Counterpane возможность провести ночной сеанс сканирования. Обычно пробы - это не сами атаки, а лишь их предвестники, так что сначала мы не блокировали попыток разведки своей сети. После того как инженеры Counterpane обнаружили несколько брешей, которые могли вызвать переполнение буфера в интерфейсе WebDAV (Web-based Distributed Authoring and Versioning - распределенная Web-проверка и контроль версий), а также множество проблем с DLL, мы несколько часов потратили на настройку UnityOne-1200. В конце концов, нам удалось закрыть и эти уязвимые места. Несколько проведенных сеансов сканирования позволили с минимальными усилиями избавиться от подобных брешей.
Хотя работа UnityOne-1200 практически не требовала нашего вмешательства, менеджерам ИТ все же имеет смысл выделить одну-две штатные единицы исключительно на управление доступом и конфигурирование правил. Как показало тестирование, интерфейс пользователя у системы несколько запутан и в нем нелегко разобраться даже после многократного выполнения одной и той же операции. Это особенно заметно, когда дело доходит до распространения новых модулей Digital Vaccine, которые регулярно выпускает центр контроля угроз TippingPoint.
Частично рассылку обновлений может автоматизировать Security Management System, однако, как нам кажется, ИТ-сотрудников без работы она не оставит. Практика показала, что изучение каждого обновления и рекомендуемых действий, которые TippingPoint увязывает с правилами Digital Vaccine требует по меньшей мере нескольких часов напряженного труда. Впрочем и усилия не пропадают даром. Четко заданные правила помогут отразить атаки из Интернета, которые в противном случае могли бы привести к потере дохода и ненужной трате драгоценного рабочего времени отдела ИТ.
Отчеты UnityOne-1200 легко позволяют обнаруживать даже новейшие типы атак
Жестко контролировать внешний трафик нам помогли некоторые стандартные правила отражения атак
