Устройства почтовой безопасности

 ОБЗОРЫ

Системы BorderWare, CipherTrust и IronPort консолидируют приложения для защиты электронной почты

Спам, вирусы и направленные атаки превращают управление безопасностью электронной почты во все более сложную и трудную задачу. Тестовый центр eWeek Labs ознакомился с тремя устройствами, способными консолидировать функции защиты передаваемых сообщений в одной системе и в результате уменьшить заботы ИТ-администраторов.

Продукты, выпускаемые фирмами BorderWare Technologies, CipherTrust и IronPort Systems, открывают организациям новый путь к решению задачи обеспечения безопасности электронной почты, не требующий излишних инвестиций в многочисленные точечные приложения - от шлюзов для сообщений до ПО против спама - и в аппаратуру для их работы. Мы протестировали системы BorderWare MXtreme Mail Firewall MX 200 стоимостью $7995, CipherTrust IronMail 305 ($44 000) и IronPort C60, предлагаемую за $54 950.

CipherTrust IronMail обеспечивает "приборный" обзор общего состояния системы

IDS-модуль системы CipherTrust прост для задания правил

Во всех трех устройствах имеются агент передачи почты, возможности управления политикой, антивирусные средства и функции фильтрации спама. Тем не менее у них есть целый ряд как небольших, так и довольно существенных различий.

Мы убедились, что решение CipherTrust является наиболее универсальным - оно включает, в частности, прокси-сервис для Web-почты сторонних серверов.

Многие аспекты защиты охватывает и устройство BorderWare MXtreme, однако в нем недостаточно проработаны функции отчетов и консолидации управления при администрировании большого числа почтовых ящиков. Эти возможности появятся в следующей версии ПО для системы BorderWare.

Модель IronPort подойдет тем компаниям, которые уже имеют свой брандмауэр и прокси-сервер для управления доступом к Web-почте, но нуждаются в системе, умеющей фильтровать спам и вирусы, обрабатывая большие объемы входящей и исходящей почты.

Все три устройства снимают необходимость в шлюзах сообщений, антивирусных и антиспамовых системах, нередко требующих покупки отдельной аппаратуры. К тому же они упрощают работу с такими приложениями, обеспечивая единообразное управление и сервис отчетов.

Эти системы, однако, не гарантируют снижения уровня затрат на корпоративную почту. Все они используют антивирусные средства других фирм, так что компаниям придется вносить ежегодную плату за обновление этого ПО и антивирусных баз. Такие расходы лежат в диапазоне от $1,50 до $5 на одного пользователя в год, в зависимости от масштабов системы. Устройства BorderWare и IronPort также комплектуются сторонним ПО против спама, за которое надо ежегодно доплачивать от $3 до $7 на каждого пользователя. В случае применения собственных антиспамовых систем CipherTrust и BorderWare ежегодные выплаты за поддержку и обслуживание гарантируют их бесплатное обновление.

Все три решения предоставляют функции управления политикой, хотя ни в одном из них они не представлены в удовлетворительном объеме.

Не обладают эти системы и гибкостью точечных решений. Так, их возможности анализа контента ограничиваются поиском сообщений и вложений с секретными или нежелательными данными. По сравнению с ними, скажем, такое точечное решение, как Policy Manager фирмы Omniva, тесно взаимодействующее с групповым ПО, позволяет компаниям устанавливать политику фильтрации внутренней и внешней переписки и шифровать отправляемые сообщения. Решения на базе ПО групповой работы нередко предоставляют и лучшие функции управления процессами, связанными с аудитом сообщений, позволяют распространять ключи или обеспечивают Web-доступ для открытия зашифрованных сообщений.

MXtreme Mail Firewall MX 200

Выпущенная в марте система MXtreme Mail Firewall MX 200 фирмы BorderWare - наименее дорогостоящее из рассматриваемых решений, хотя и отлично защищает от атак по электронной почте. Устройство рассчитано на сравнительно небольшое (около 250) количество пользователей и соответствующие объемы переписки.

Правда, другие продукты из линейки MXtreme могут справляться с более значительными нагрузками. Подобно IronPort C60, модели MX 800 и MX 1000 имеют несколько процессоров и дисковые RAID-массивы. А проверявшаяся нами модель MX 200 по базовым возможностям более сопоставима с устройством CipherTrust IronMail.

Нам понравилось, что решение BorderWare предоставляет широкий выбор опций. Например, для борьбы со спамом у компании будет два варианта - встроенная версия антиспамовых инструментов фирмы Brightmail либо собственная подсистема BorderWare.

Антиспамовая система BorderWare использует базы данных Real-Time Black Hole Lists для блокировки известных распространителей спама, информацию Distributed Checksum Clearinghouse (распределенная система для обмена контрольными суммами сообщений, признанных спамом) для проверки массовых рассылок и статистический анализ опознавательных признаков для контент-анализа сообщений. В ней, правда, недостает пары полезных функций, которые часто облегчают обработку спама, а именно механизма обратной связи с пользователями и возможности выделять из спама легитимные сообщения.

Лицензия на работу с Brightmail требует доплаты, и все же считаем это ПО лучшим выбором, так как оно имеет высокую точность фильтрации. А чтобы достичь оптимального функционирования антиспамового решения BorderWare, пользователям придется потрудиться над его осваением и основательно повозиться с настройками.

BorderWare использовала в брандмауэре MXtreme ту же ОС S-core, что и в своем продукте Firewall Server. Устройство имеет усиленную защиту против атак на ОС и осуществляет контроль нестандартных сообщений для предотвращения атак на почтовый сервер.

MXtreme может выполнять и роль прокси-сервера для передачи Web-почты в Microsoft Exchange 5.5 и Windows 2000 Server, IBM Lotus Domino или Notes, а также в собственный почтовый сервер с протоколом POP3. Хотя входящий в общий пакет сервер POP3 вряд ли заинтересует организации, уже работающие с групповыми приложениями, его наличие повышает привлекательность устройства MXtreme для малого бизнеса и Интернет-провайдеров.

Нам понравилось, что в настройках MXtreme можно задействовать безопасную аутентификацию на базе разнообразных систем, в том числе RSA, SecurID и RADIUS (Remote Authentication Dial-In User Service).

MXtreme легко управляем через Web или собственную консоль KVM (клавиатура, видео, мышь). В отличие от других проверявшихся продуктов при его консольном конфигурировании используется не командная строка, а графический интерфейс.

В версии 3.1 ПО устройства отсутствуют инструменты для управления группой брандмауэров MXtreme в кластерной среде. Хотя ПО имеет подсистему формирования отчетов с двумя десятками шаблонов, хотелось бы, чтобы этот сервис стал более гибким. Зато очень хороша способность MXtreme выводить и пересылать отчеты по почте в двух форматах - PDF и HTML.

CipherTrust IronMail

Устройство IronMail в паре с обновленным ПО (в феврале выпущена его версия 4.0) будет хорошим подспорьем для компаний, желающих усилить безопасность по периметру своей сети и, профилируя сообщения, оперативно реагировать на угрозы новых вирусов и червей, не дожидаясь обновлений от поставщиков антивирусного ПО.

В сравнении с MXtreme устройство рассчитано на большее количество пользователей (около 2500) и большие объемы электронной почты. (При этом CipherTrust предлагает также вариант IronMail с продублированными аппаратными компонентами.) Мы убедились, что CipherTrust IronMail обеспечивает хорошую комбинацию функций защиты с инструментами управления, позволяя быстро наладить систему безопасности электронной почты.

Входящий в общий комплекс брандмауэр предоставляет администраторам широкий выбор конфигурационных опций. Так, с их помощью мы легко организовали маршрутизацию почты во внешние и внутренние домены. Довольно быстро удалось нам также сконфигурировать IronMail на роль прокси-сервиса Web-почты для сервера Exchange. Устройство может действовать и как прокси для POP3- и IMAP-серверов.

IDS (система обнаружения вторжений) IronMail позволяет следить за почтовым сервером на предмет использования сильных паролей и обнаружения попыток взлома парольной защиты. Кроме того, мы могли устанавливать правила, помогающие предотвратить почтовые атаки с применением вирусов и червей, и настраивать сервер на отправку предупреждений или блокировку сообщений по их контенту или отправителю.

Администраторы могут анализировать системный журнал MXtreme для оценки производительности

MXtreme пересылает сложные отчеты по почте в файлах разных форматов

Система IronMail использует внутреннее решение для подавления спама, но в то же время позволяет подключить к работе сразу две антивирусные программы компаний Sophos и McAfee.

Как в случае встроенных антиспамовых инструментов BorderWare, аналогичная подсистема IronMail принесет оптимальную отдачу, если администраторы хорошо поработают над ее настройкой. Продукт поддерживает базы Real-Time Black Hole Lists, обращенные имена DNS (Domain Name System), статистические просмотры и контроль Sender Provider Form для автоматической блокировки отправителей.

Для обработки спама от еще не известных отправителей IronMail имеет подсистему бейесовского анализа, профайлер и возможности отслеживания списков, составляемых пользователями или администраторами.

Мы могли управлять устройством через командную строку, KVM-консоль или Web. При этом Web-интерфейс позволяет контролировать практически все аспекты системы, в том числе и установки сети, обеспечивая больше гибкости, чем IronPort C60.

Как и в IronPort C60, Web-интерфейс IronMail предоставляет "приборный" обзор общего состояния системы. Мы, правда, предпочли бы иметь под рукой более широкий круг информации при настройке каждого ее компонента. Чтобы настроить систему полностью, нам пришлось перебрать серию вкладок и окон для задания конфигурации.

Сервис отчетов IronMail не содержит того же количества заготовок, что и другие проверявшиеся устройства, но все же предлагает ряд вариантов генерации отчетов, которые можно получать по электронной почте или передавать в другие системы посредством FTP.

IronPort G80

В аспекте «железа» IronPort G80 самое мощное из рассматриваемой тройки устройство, оснащенное двумя процессорами и запасным блоком питания. Младшие модели IronPort

-С10 С30 - более сопоставимы соответственно с Mxtreme Mail Firewall MX 200 и IronMail.

Как и MXtreme, IronPort использует подсистему фильтрации спама фирмы Brightmail, а в качестве антивирусного ПО в нем работает решение Sophos. Оба компонента вполне удовлетворительно решают свои задачи.

IronPort имеет удобный интерфейс для настройки фильтров от спама и вирусов

Сервис отчетов IronPort позволяет выводить данные о системе и ее модулях против спама и вирусов

Главные проблемы, с которыми мы столкнулись в устройстве IronPort, были связаны с функциями управления.

Его Web-консоль заведует четырьмя аспектами системы: показателями производительности, отчетами, фильтрацией спама и противовирусным контролем. Всем остальным надо управлять через командную строку. Конечно, это не позволяет серьезно нарушить работу системы через Web-браузер, но зато превращает в тяжкий труд выполнение других административных задач, скажем, управление системой фильтрации контента.

Добавим, что в отличие от других тестировавшихся устройств у C60 нет KVM-интерфейса - вместо него мы получали доступ к командной строке через Telnet. Оно также поддерживает протокол SSH (Secure Shell). Администраторы могут заблокировать использование Telnet или SSH на любом из трех сетевых адаптеров C60.

Нам понравилась работа модуля фильтрации контента и особенно тот факт, что он позволяет потребовать, чтобы определенная категория пользователей почты пересылала только зашифрованные сообщения. Это будет полезно тем организациям, которые обязаны выполнять закон HIPAA (Health Insurance Portability and Accountability Act), охраняющий личные секреты их клиентов.

Подсистема фильтрации контента, однако, не интегрирована с Web-средствами формирования отчетов.

Хотелось бы расширить и сам выбор генерируемых отчетов - их нынешние варианты в основном сосредоточены на производительности системы и работе компонентов для фильтрации спама и проверки на вирусы. Желательно также, чтобы продукт предоставлял возможность пересылки отчетов по электронной почте или через FTP.