Камерон Стардевант

Очередная версия LANDesk Security Suite 8.6 фирмы LANDesk Software заслуживает гораздо большего, чем еще одной единички в номере после запятой. На нее стоит обратить пристальное внимание тем менеджерам ИТ, которые хотят быть уверенными, что машины конечных пользователей правильно сконфигурированы и на них нет вредоносных программ.

Цена на появившийся в августе пакет вполне конкурентоспособна. Лицензия на него стоит 59 долл. в расчете на одно рабочее место плюс абонентская плата 29 долл. в год (также на каждое рабочее место), обеспечивающая получение контента и программных заплат безопасности от LANDesk.

LANDesk Security Suite 8.6 умеет и сканировать, и блокировать, и лечить

Для сравнения напомним, что аппаратно-программные комплексы наподобие семейства EdgeWall 7000 Rx фирмы Vernier Networks стоят несколько дороже, однако они свободно интегрируются в уже развернутую защитную инфраструктуру с серверами RADIUS и каталогами. Да и доступ на сетевом уровне они контролируют эффективнее.

Все системы такого рода - и LANDesk Security Suite 8.6 здесь не исключение - оттачиваются под инфраструктуру NAC (Network Admission Control - управление сетевым доступом) фирмы Cisco Systems, широко используемую на крупных предприятиях. Модуль Cisco Clean Access в какой-то степени соперничает с LANDesk Trusted Access, который теперь входит в LANDesk Security Suite 8.6, а к тому же фирма приложила к своей новинке детальное руководство по ее включению в инфраструктуру Cisco NAC.

Периметр сетевой безопасности сегодня настолько текуч, что определить его границы очень трудно (если вообще возможно), а в таких условиях открываются богатые перспективы для использования LANDesk Security Suite 8.6, равно как и других средств контроля за доступом. Там, где уже развернут комплект LANDesk Management Suite или другие продукты LANDesk, подключение новых функций безопасности много времени не займет - это будет несложно сделать с помощью знакомого инструментария LANDesk. Однако даже в этом случае для работы нового модуля Trusted Access необходимо обновить агенты LANDesk на всех устройствах конечных пользователей, где имеются их прежние версии. Как показало проведенное в eWeek Labs тестирование, полное развертывание LANDesk Security Suite 8.6 может занять пару-тройку недель, а то и целый месяц. В данном плане новинка очень похожа на другие системы защиты от вирусов и “шпионских” программ, использующих комбинацию средств контроля сетевого доступа и управления устройствами конечного пользователя.

Резюме для руководителей

 

LANDesk Security Suite 8.6

Очередная версия инструментального набора фирмы LANDesk обеспечивает безопасность устройств конечных пользователей весьма эффективно. Оценка потенциальных угроз и корпоративная политика сочетаются здесь с контролем сетевого доступа и устранением выявленных недостатков. В сеть допускаются только те устройства, которые полностью соответствуют предъявляемым требованиям (на них установлена определенная версия антивирусного сканера и ОС, наложены необходимые программные заплаты). Как показало проведенное в eWeek Labs тестирование, машины с нарушением заданных условий эффективно блокируются до тех пор, пока не будут приняты соответствующие меры. Дополнительная информация о LANDesk Security Suite 8.6 приводится по адресу: www.landesk.com.

Ценовой анализ. Обеспечить безопасность на рабочих местах пользователей не так-то просто, поэтому менеджер ИТ должен быть готов уделить достаточно времени настройке комплекта безопасности LANDesk, межсетевых экранов на настольных системах и антивирусных средств. Затраты на все это вполне могут превысить сравнительно низкую цену лицензии LANDesk Security Suite 8.6, которая составляет всего 59 дол.

 

Краткий список аналогов

 - Quarantine Solution and SecurityExpressions фирмы Altiris. Поддерживает Cisco NAC и проверяет все устройства перед тем, как подключить их к сети (www.altiris.com).

- Clean Access Network Admission Control фирмы Cisco. Аппаратно-программный комплект, обеспечивающий выявление, изоляцию и очистку подозрительных систем перед их подключением к сети (www.cisco.com).

 - EdgeWall 7000 Rx фирмы Vernier Networks. Аппаратно-программный комплект, выполняющий примерно те же задачи, что и пакет LANDesk, но поддерживающий при этом виртуальные частные сети (www.verniernetworks.com).

Оценка основных характеристик

Возможности управления

Хорошо

Совместимость

Удовлетворительно

Безопасность

Отлично

Масштабируемость

Отлично

Функциональность Trusted Access требует очень серьезной настройки как в “чистой” среде LANDesk, так и в комплексе с Cisco NAC. Мы тестировали новинку только в первом режиме, где доступ клиентов в защищаемую сеть контролируется посредством DHCP (Dynamic Host Configuration Protocol - протокол динамической конфигурации хост-машин). Модуль добавляет в защищаемую сеть еще один уровень безопасности, не допуская в нее пользователей уязвимых и зараженных компьютеров, а за это приходится расплачиваться. Чтобы все компоненты LANDesk работали правильно, нужно приложить немало сил к четкому конфигурированию инфраструктуры. С этой целью мы в первую очередь создали виртуальные серверы на базе пакета ESX Server фирмы VMware, которые оказали существенную помощь в дальнейшей настройке. Такой же подход мы рекомендуем избрать и менеджерам ИТ, поскольку проверить работу комплексных компонентов намного проще в тестовой сети VMware.

Четырехсерверная конфигурация

Мы инсталлировали LANDesk Security Suite 8.6 на один виртуальный сервер, а также на три физических под управлением Microsoft Windows Server 2003. Первый выполнял функции стандартного сервера DHCP, второй контролировал состояние проверяемого пакета, третий предназначался для лечения зараженных систем, а четвертый использовался в качестве DHCP-сервера LANDesk. Конечно, для предварительного тестирования LANDesk перед широкомасштабным развертыванием на один сервер можно возложить и несколько функций, но, как показывает практика, гораздо удобнее распределить их по разным устройствам.

В ходе тестирования DHCP-сервер LANDesk играл роль точки управления сетевым доступом, через которую производились все подключения устройств к защищаемой сети. Добиться этого, правда, было нелегко, но в конце концов все заработало, как нужно, и LANDesk Security Suite 8.6 тут же произвел загрузку контента безопасности - программные заплаты, информацию об уязвимых местах, описания шпионских программ, а также широкий спектр конфигураций антивирусной защиты и межсетевых экранов.

Поиск уязвимых мест и наложение программных заплат в LANDesk Security Suite 8.6

тесно интегрированы с решением других задач обслуживания конечных пользователей

Среди всего прочего мы получили перечень потенциальных угроз, на основании которого разработали политику допуска в сеть конечных пользователей. В ней были учтены требуемый уровень заплат, конфигурация антивирусных сканеров и множество других факторов, включая параметры настройки брандмауэра и порядок проверки систем конечных пользователей на наличие шпионских программ. После этого LANDesk Security Suite 8.6 приступил к работе, в процессе которой оценивал не только получаемые результаты, но и то, когда последний раз производилась проверка пользовательского компьютера. Если машина требованиям соответствовала, все другие результаты авторизации и аутентификации признавались корректными и пользователю предоставлялся доступ в сеть.

Ох уж эта настройка...

Само собой разумеется, что перед подготовкой обзора мы перепробовали едва ли не все возможности настройки. Много времени и сил ушло у нас на конфигурирование персональных брандмауэров и антивирусных программ, необходимое для четкого обмена довольно большими объемами информации между агентом LANDesk и серверами управления. Справедливости ради отметим, что в комплект новинки входят шаблоны настройки для антивирусных сканеров фирм Trend Micro, Symantec и McAffee, хотя она совместима и с другим подобным инструментарием.

В помощь менеджеру

Камерон Стардевант

Заявка на средство контроля над доступом конечных пользователей в сеть должна обязательно учитывать, какие типы ноутбуков, карманных компьютеров и ПК используются на предприятии, а также принимать во внимание уже развернутую сетевую инфраструктуру. Система должна быть совместимой со всеми устройствами конечных пользователей и обеспечивать блокирование любых брешей безопасности, не закрытых установленным сетевым инструментарием. Ниже приводится несколько вопросов, ответы на которые помогут менеджеру ИТ правильно составить запрос.

Что собой представляет предлагаемая система? Является ли она комплектом безопасности корпоративного уровня, позволяющим контролировать доступ к защищенным ресурсам с устройств конечных пользователей? Способна ли она справиться с требуемым количеством и разнообразием сетевых пользовательских устройств (например, обслужить 10 тыс. ноутбуков с системой Windows XP SP2)?

Затраты

Во что обойдется сопровождение системы? Многие из проверенных в eWeek Labs средств контроля за доступом конечных пользователей обеспечивают защиту от вирусов или “шпионских” программ по ежемесячному тарифу.

Сколько будет стоить в год техническое сопровождение программ и оборудования, необходимых для выполнения основных функций контроля доступа?

В какую сумму выльется развертывание решения?

Предлагается ли обучение работе с системой или имеются ли профессиональные курсы? Каким образом можно отладить повседневное использование системы в соответствии с конкретными требованиями организации?

Имеются ли пользовательские группы или конференции, посвященные предлагаемому решению? Действует ли форум онлайновой поддержки? Обратите внимание на возможность получения платной или общественной помощи по использованию решения.

Интеграция

Совместимо ли предлагаемое решение с другими средствами управления устройствами конечных пользователей? С каким именно инструментарием инвентаризации и управления лицензиями его можно объединять?

Интегрируется ли предлагаемое решение с системами авторизации пользователей, их аутентификации и учета, которые уже используются в сети?

Совместимо ли решение с технологиями VPN? А с инструментарием на базе SSL (Secure Socket Layer - уровень защищенных гнезд) или IP-Security, уже используемым для контроля за сетевым доступом?

 

Агенты

 Нужно ли устанавливать агенты на устройствах конечных пользователей? Менеджеру ИТ следует иметь в виду, что применение агентов повышает стоимость технического сопровождения.

Для работы агента LANDesk достаточно правильно настроить межсетевой экран Windows XP, но когда конечных пользователей в системе много, такая операция может затянуться надолго. К счастью, LANDesk Security Suite 8.6 способен включать и конфигурировать брандмауэры Windows XP Service Pack 2 самостоятельно, благодаря чему параметры межсетевых экранов на своих клиентах Windows XP мы изменили довольно быстро.

Самая же большая проблема нас поджидала на сервере карантина и лечения. Выявить пользовательские устройства с неправильной конфигурацией и потенциальными брешами в системе безопасности (наподобие устаревших описаний вирусов), в конце концов, не так уж сложно. Гораздо сложнее оказалось разработать процедуры устранения таких недостатков, позволяющие рассылать необходимые программные заплаты по нашей тестовой сети. Но одновременно стало ясно, что большую часть этого процесса менеджеры ИТ смогут автоматизировать, предварительно отладив установку новинки на нескольких тестовых прогонах.