Новый шаг в развитии аппаратных средств безопасности

БЕЗОПАСНОСТЬ

Sgs 1600 внимательно следит за клиентскими компьютерами

Камерон Стардевант

С появлением двух устройств среднего класса - Symantec Gateway Security 1660 и Symantec Gateway Security 1620 - корпоративные пользователи интегрированных систем безопасности производства компании Symantec получили возможность распространить защиту, осуществляемую этими средствами, на удаленные офисы и филиалы.

Оба устройства были выпущены в конце февраля. Они имеют высоту 1U (1,75 дюйма) и укомплектованы новым ПО Symantec Gateway Security (SGS) 3.0, которому приданы функции для борьбы со спамом и вирусами. В SGS 3.0 включены также средства управления, позволяющие администраторам связывать эти модули с SGS Advanced Manager 9500 - устройством, предназначенным для централизованного управления политикой, конфигурацией и регистрацией пользователей, а также для рассылки тревожных сообщений и составления отчетов продуктами линейки SGS.

Изменяемая в широких пределах конфигурация системы предотвращения вторжений

SGS 1660 поддается тонкой настройке, но сетевые администраторы могут быстро

начинать работу с заданными производителем настройками по умолчанию    

Мы использовали переднюю панель, чтобы иметь возможность легко следить

за состоянием нашей сети в целом

Сформулировать правила работы брандмауэра очень просто

Лаборатория eWeek Labs (www.eweek. com) протестировала два устройства SGS 1660, на которых было установлено ПО третьей версии. Каждое из них имело полноценный брандмауэр для защиты приложений, системы обнаружения и предотвращения вторжений (Intrusion Detection System - IDS и Intrusion Prevention System - IPS), возможности использования виртуальных частных сетей (VPN) с защитой по протоколам SSL (Secure Sockets Layer) и IP Security, средства антивирусного и антишпионского сканирования, фильтрации контента, отслеживания соответствия клиентов (client compliance) требованиям безопасности, а также поддержку "горячего" старта резервного оборудования и опции двусторонней связи с интернет-провайдером.

Мы тестировали оба изделия SGS 1660 в комплекте с устройством SGS Advanced Manager 9500, созданным на базе сервера Dell PowerEdge 2850 (высотой 2U, 3,5 дюйма). Это управляющее устройство было использовано для сбора всех тревожных сообщений и конфигурации политик, применяемых в работе SGS 1660.

Продукт SGS 1620, который мы не тестировали, обладает пропускной способностью 100 Мбит/с и рассчитан на 100 пользователей. SGS 1660, имеющий пропускную способность 200 Мбит/с и рассчитанный на 200 пользователей, располагает возможностями улучшения функционирования VPN. Ориентировочная розничная цена SGS 1620, включающая стоимость всех лицензий и подписок, составляет 1200 долл., SGS 1660 - примерно на 2600 долл. дороже.

Наши испытания показали, что SGS 1660 может служить устройством начального уровня для защиты сетей в небольших организациях или филиалах. Оно будет особенно полезным в компаниях с немногочисленным или не имеющим достаточного опыта штатом ИТ-специалистов. В ходе тестирования мы удостоверились в том, что устройство легко установить и сконфигурировать. Потребовалось всего несколько часов, чтобы настроить в нем возможности "горячего" резервирования и добавить основные политики работы брандмауэра для защиты нашей тестовой сети, состоящей из веб-серверов и настольных клиентских ПК. Как и в случае с любым брандмауэром, основные затраты времени, связанные с настройкой и эксплуатацией, приходятся на формулирование правил, которые приводят сетевой трафик в соответствие с потребностями бизнеса. В этом отношении SGS 1660 в лучшую сторону отличается от конкурирующих устройств, таких, например, как шлюз безопасности Check Point Express компании Check Point Software Technologies (www.checkpoint.com), который может устанавливаться на сервере IBM eServer xSeries 306, антивирус и брандмауэр FortiGate-300 Antivirus Firewall компании Fortinet (www.fortinet. com), устройство NetScreen-50 производства Juniper Networks (www.juniper.net). Все они выполняют сходные функции, но при этом ни одно из них не дублирует другое полностью.

Соответствие клиентов требованиям безопасности

Одной из функций SGA, явно предназначенной для усиления возможностей контроля доступа в точке подключения конечного пользователя, стал модуль отслеживания поведения клиентов (client compliance), который позволяет проверять - только проверять - наличие на компьютере работающих антивирусных инструментов и клиентской части брандмауэра Symantec.

Мы не считаем небольшое количество доступных проверок недостатком продукта Symantec (во всяком случае, это относится к данной версии). Представляется разумным, что компания, начиная работу в направлении проверки безопасности клиентских систем, ограничилась поиском только своих инструментов. Однако мы надеемся, что следующие версии продуктов семейства SGS будут проверять также наличие других распространенных брандмауэров и антивирусных средств. Если оставить этот момент в стороне, то способность устройств SGS на протяжении всего сеанса связи периодически проверять конечные точки подключения представляет собой важное усовершенствование SGS. Действительно, сетевые администраторы должны будут предусмотреть в своем арсенале средства, позволяющие гарантировать, что подверженный риску клиент, например ноутбук, будет проверяться при первоначальном подключении и периодически, пока он остается подключенным к сети, чтобы отразить опасность со стороны скрытых "червей" и другого вредоносного ПО, которое могло быть пропущено при первоначальном сканировании.

Эй, кто это там?

Системы IPS часто требуют тонкой настройки и почти всегда - трудоемкого обслуживания в течение первых недель эксплуатации. Symantec поставляет устройства SGS с настройкой IPS по умолчанию, которую мы сочли весьма полезной. Она позволяет менеджерам ИТ сравнительно быстро и легко приступить к эксплуатации устройств.

Во время испытаний использовавшиеся по умолчанию политики предотвращения вторжений работали достаточно хорошо, а широкий выбор пользовательских настроек дает ИТ-администраторам возможность уменьшить нагрузку на сеть. Например, мы могли применять нестрогую политику обеспечения безопасности при установлении связи с надежными компьютерами внутри сети и настраивать шаблон для распознавания вторжений на мониторинг одних видов трафика и полное блокирование других.

Каждую проверяемую сетевую службу, включая те, что обычно находятся под подозрением [а это DNS (Domain Name System), NetBIOS (Network Basic Input/Output System), TCP (Transmission Control Protocol), UDP (User Datagram Protocol) и ICMP (Internet Control Message Protocol)], можно дополнительно усовершенствовать, связав с определенными протоколами, например с протоколом HTTP, мониторинг которого способен осуществлять входящий в состав SGS 1660 модуль IPS. Этот модуль использует сигнатуры, дополнительно или полностью модифицируемые только корпорацией Symantec через службу Live Update. Хотя в нашей тестовой среде возможности влияния на скорость передачи трафика были незначительными, мы надеемся, что следующие версии модуля IPS позволят менеджерам ИТ вручную корректировать политики, чтобы более тонко управлять блокируемым трафиком.

В ходе испытаний нам потребовалось затратить совсем немного времени, чтобы согласовать различные комбинации заранее настроенных политик, которые мы связали с разными интерфейсами SGS 1660.

Мы рекомендуем сетевым администраторам начинать работу с самых простых настроек, разрешающих желательному сетевому трафику проходить через SGS 1660. Судя по опыту нашей работы, потребуется примерно неделю понаблюдать за сетью, чтобы надежно подстроить политику блокирования трафика системой предотвращения вторжений и добиться нужного сочетания защищенности сети и потребностей бизнеса.

Новыми в третьей версии ПО для SGS 1660 являются более 100 форм отчетности, которые значительно упрощают управление системой. Мы запускали программу составления отчетности с каждого из наших устройств SGS 1660. Как SGS 1660, так и SGS 1620 могут направлять информацию о событиях и тревожные сообщения устройству Advanced Manager 9500 для составления общего отчета, охватывающего всю организацию.

Некоторые из наиболее важных отчетов не имеют отношения к производительности сети или к происходящим в ней событиям. Скорее они касаются настройки устройств. Когда появляется необходимость проконтролировать текущие расходы, связанные с управлением таким сложным, использующим политики устройством, как SGS 1660, сведения о конфигурации приобретают важнейшее значение. Мы смогли создать шаблон для фильтрации контента, отчеты о записях DNS и глобальной политике IKE (Internet Key Exchange), содержащие подробные сведения о настройке нашего SGS 1660. Многие отчеты о политике сопровождаются соответствующими отчетами о производительности системы, которые администраторы сетей могут использовать для информирования бизнес-менеджеров о производительности сети.

Фильтрация контента, хотя и не является совершенно новой возможностью, в третьей версии ПО осуществляется более тонко. Мы проводили тестирование в основном с англоязычными сайтами. Однако данное ПО поддерживает двухбайтные символы, что позволяет отсеивать нежелательный контент на любом языке.

С техническим директором Камероном Стардевантом можно связаться по адресу: cameron_sturdevant@ziffdavis.com.