ПЕРВЫЙ ВЗГЛЯД
В конце марта компания Agnitum (www.agnitum.com) объявила о выходе принципиально нового продукта - Outpost Office Firewall. В его основе лежит уже получивший популярность Outpost Firewall Pro.
Пользователь, знакомый с предыдущими версиями Outpost, без труда разберется
с интерфейсом клиента Outpost Office Firewall
Необходимость создания этой программы была вызвана изменением спектра угроз компьютеру, подключенному к локальной сети. Ведь опасность может не только исходить извне, но и быть внутренней. Согласно данным британских аналитиков из ассоциации National Hi-Tech Crime Unit, в 2004 г. около 83% компаний в стране оказались жертвами преступников, "работающих" в информационной сфере. В Великобритании каждая фирма ежегодно сталкивается в среднем с 254 попытками несанкционированного доступа к ее компьютерным системам. При этом следует учитывать, что очень часто агрессор не имеет какой-либо определенной цели и руководствуется исключительно хулиганскими соображениями, что крайне затрудняет ведение борьбы с ним традиционными методами служб безопасности.
К сожалению, надежда на то, что любой человек сможет самостоятельно защитить установленную на его машине систему, совершенно беспочвенна. Практика показывает, что пользователи ПК в основной своей массе знакомы с компьютером на уровне интерфейса отдельных прикладных программ, а в вопросах сетевой безопасности абсолютно некомпетентны. В корпоративных сетях проблема защиты рабочей станции еще как-то решается, хотя и не самым эффективным с точки зрения трудозатрат способом - выделенные для этого специалисты иногда удаленно, а чаще непосредственно на местах обслуживают и настраивают пользовательские машины. А вот в домашних и городских сетях дело с обеспечением безопасности абонентских компьютеров вообще в большинстве случаев пущено на самотек. В такой ситуации грамотные пользователи худо-бедно, но смогут защититься без посторонней помощи, машины же всех остальных постоянно заражаются вирусами сами и становятся источником заражения для других. Безусловно, забота о безопасности своего ПК - личное дело пользователя, ибо компьютер принадлежит непосредственно ему и все, что он делает с собственной системой, никого не касается. Тем более что весь сопутствующий этому процессу паразитный трафик оплачивает сам потребитель. Да и от компрометации личной информации пострадают только сами безалаберные ее владельцы - и больше никто. Таким образом, все, чем они могут досадить пользователю цивилизованному, - это спам, который непрерывным потоком уходит с зараженных машин. Конечно, при нынешних ценах на трафик просто так отмахнуться от этого нельзя.
При подробном рассмотрении вопроса выясняется, что пользователи зараженных машин не имели бы ничего против того, чтобы кто-то защитил их систему. Но при одном условии: им самим делать ничего не придется. Во-первых, потому что некогда. Во-вторых, потому что они сами не знают, что же именно надо делать. Если же говорить о пользователях корпоративных сетей, то здесь есть еще и третья причина: мало какой сотрудник компании будет заниматься тем, что не входит в круг его прямых служебных обязанностей.
В связи с изложенными выше соображениями можно констатировать: потребность в продукте, который обеспечит защиту пользовательской системы без участия того, кто с нею работает, стала весьма актуальной. Именно эту задачу и пытается решить пакет Outpost Office Firewall, не являющийся, таким образом, ни пользовательским, ни серверным вариантом известного продукта, упомянутого в начале статьи.
Офисная версия Outpost состоит из двух частей - клиентской, являющейся непосредственно межсетевым экраном, и сервера настроек, отвечающего как за конфигурирование этой клиентской части и управление ею, так и за сбор и хранение статистической информации. Среди нескольких поддерживаемых языков интерфейса есть и русский. Размер установочного файла - 14 Мб. Минимальная стоимость лицензии, позволяющей установить систему на десять рабочих станций, - $350.
Серверная часть программы состоит из командного центра, редактора настроек, службы публикации конфигураций и службы автоматического обновления. Интерфейс командного центра (Outpost Command Center) выполнен в виде стандартной оснастки консоли управления. Из такого центра, служащего основой серверной составляющей пакета, можно вызвать любую службу, которая в терминологии данной программы является серверной. В этом и заключается главная задача центра - никаких специфических функций помимо информационных он не выполняет.
В главном окне Outpost Command Center можно просмотреть истории загрузки публикаций, список установленных обновлений и перечень запросов конфигурации. В командном центре также содержатся сведения обо всех клиентских машинах, на которых установлен экран.
К сожалению, авторы программы не предусмотрели возможность установки центра и всех серверных служб на разные машины. Это, безусловно, является недостатком пакета, поскольку усложняет управление системой защиты с рабочего места системного администратора.
Еще один минус: не автоматизирован процесс установки клиентских частей на компьютеры сети напрямую из командного центра. Хотя все предпосылки для этого имеются: инсталлятор клиентской части выполнен в виде msi-файла. Таким образом, для инсталляции программы на все компьютеры домена Active Directory можно применять групповые политики. Подобная процедура хорошо знакома системным администраторам, которые используют в корпоративной сети технологию Active Directory, а значит, изучать новые методики им не придется. Это является неоспоримым достоинством программы, чьи авторы приняли абсолютно верное решение - не усложнять жизнь пользователя "оригинальным" подходом, раз существуют готовые общеизвестные технологии.
Однако в методике установки клиентских программ есть один недостаток, который следует признать серьезным. Массовая автоматическая установка возможна только в доменах Active Directory, что исключает из списка операционных систем для клиентских машин пока еще широко используемую среду Windows 98. Другими словами, на всех компьютерах с операционными системами, не поддерживающими технологию Active Directory, установкой придется заниматься вручную, что, конечно, неудобно, а в больших сетях еще и ресурсозатратно.
Разочарование ждет всех пользователей предыдущих версий программы Outpost Firewall: офисная версия не имеет обратной совместимости. Поэтому перед установкой клиентской части на пользовательские компьютеры все более ранние версии придется предварительно удалить. При этом, естественно, пропадут сделанные прежде настройки. Впрочем, при переходе на единую конфигурационную систему это уже не столь важно.
С другой стороны, настройки системы позволяют предоставить пользователю возможность свободно изменять правила защитной системы, действительные на его компьютере. Если для корпоративного пользователя это не критично, то для абонента городской или домашней сети такая свобода является безусловной ценностью, от которой он вряд ли откажется ради безопасности. Поэтому не стоит ожидать, что он придет в восторг от невозможности импортировать настройки предыдущей версии. Хотя, скорее всего старый файл конфигурации можно будет использовать после его редактирования вручную.
Все настройки серверной части производятся из единого командного центра
Служба централизованного обновления помогает существенно экономить трафик - администратор сети один раз скачивает обновление программы с официального сайта компании и помещает его на сервер локальной сети, откуда обновление становится доступным для всех клиентов.
Система обновлений способна работать в полностью автоматическом режиме, благодаря чему можно избежать довольно распространенной ситуации, когда пользователь забывает обновить программу, что, к сожалению, весьма характерно для корпоративной сети. Следовательно, авторам программы удалось реализовать методику, которая устроит и корпоративного, и домашнего пользователя. Кстати, трансляция обновлений осуществляется по внутреннему протоколу программы. Это дает возможность не только организовать ведение статистики, но и упростить доступ к ресурсу, содержащему обновления.
Настройка клиентских экранов производится в Outpost Configuration Editor. В ходе этой процедуры определяются правила для каждого приложения, активизируется контроль компонентов, задаются глобальные правила, настройки ICMP и LAN. Как и в предыдущих версиях этой программы, экраны на клиентских машинах способны работать в нескольких режимах: блокировки, обучения и разрешения. Конкретный режим работы также определяется в редакторе конфигурации.
Большое число стандартных правил для основной массы приложений позволит
сэкономить время при настройке системы
Авторы программы позаботились об администраторах, которым бывает лень описывать все приложения, - теперь готовая база настроек включает в себя правила для значительного числа наиболее распространенных программ. Однако без ручной доводки все равно не обойтись - получать зарплату просто так пока не поможет никакая программа. Предыдущая фраза относится не ко всем приложениям. Например, браузер Mozilla превосходно работает по шаблонной схеме, а вот почтовый клиент Mozilla Thunderbird может проявить характер и заупрямиться, особенно если ему активно помогает антивирусная программа.
Для того чтобы клиент начал руководствоваться заданными в редакторе конфигурации правилами, эту конфигурацию надо опубликовать, после чего она принимается клиентом к исполнению при каждой перезагрузке пользовательского компьютера. Обновить конфигурацию можно также и вручную.
Процедура такой публикации выявляет еще один недостаток Outpost Office Firewall. Правила публикуются либо для всех, либо ни для кого. Разделить компьютеры сети на группы, для каждой из которых будут действовать собственные правила, пока невозможно. Но этот недостаток настолько очевиден, что сомневаться в его быстром преодолении не приходится; должно быть, разработчики просто торопились выпустить новую версию и решили закрыть глаза на некоторые функциональные неудобства.
Клиентская часть Outpost Office Firewall внешне ничем не отличается от традиционной и привычной всем программы Outpost Firewall Pro. Правда, по умолчанию система будет загружаться в фоновом режиме и не станет выводить никаких значков в системный лоток (system tray). Это позволит пользователю работать, не отвлекаясь на сообщения от различных приложений.
