ТЕСТОВАЯ ЛАБОРАТОРИЯ
EdgeWall 7000 Rx объединяет разрозненные системы контроля доступа
Камерон Стардевант
EdgeWall 7000 Rx компании Vernier Networks представляет собой устройство, эффективно управляющее доступом в сеть. Оно может включаться в различные инфраструктуры аутентификации и авторизации пользователей сети и предоставлять предприятиям среднего и крупного размера единый механизм управления и повышенную безопасность.
Это устройство имеет высоту 1U (1,75 дюйма) и монтируется в стойку. Его поставки начались в ноябре, и оно продается с предустановленным ПО удаленного доступа Vernier 7000 Rx. Цена продукта на тысячу пользователей составляет 19 тыс. долл.
Новая модель легко вписалась в тестовую сеть eWeek Labs. Поскольку интеграция в сеть - не такое уж сложное дело, то первый вопрос для менеджеров ИТ, оценивающих EdgeWall 7000 Rx, должен звучать так: “Таит ли существующее регулирование доступа в сеть такие опасности, которые оправдывали бы добавление наделенного многочисленными функциями продукта к нашему набору средств управления?”.
С этой точки зрения наши тесты показывают, что EdgeWall 7000 Rx, безусловно, заслуживает рассмотрения. Это эффективное решение, позволяющее не пускать в защищенную сеть червей, вирусы, а также не имеющие полномочий или некорректно сконфигурированные устройства.
Продукт успешно выдерживает сравнение с конкурирующими устройствами и может использоваться совместно с такими развивающимися средствами контроля доступа в сеть, как Cisco Systems Network Admission Control, Microsoft Network Access Protection (предназначается для будущих версий Windows, включая Vista) и спецификации The Trusted Computing Group.
EdgeWall 7000 Rx компании Vernier использует политики доступа
и существующую инфраструктуру обеспечения безопасности
сети для управления правами конечных
пользователей на доступ к сетевым ресурсам
Наши тесты показали, что EdgeWall 7000 Rx может даже вызвать довольно неожиданное повышение производительности сети благодаря тому, что в нем консолидируется несколько трудно поддающихся обработке правил контроля доступа. Это несомненно лучше, чем отслеживать политики и процедуры тонкой настройки правил по всем брандмауэрам, концентраторам VPN, маршрутизаторам и другим устройствам, составляющим инфраструктуру сети.
Хотя четко спроектированный интерфейс EdgeWall 7000 Rx на базе Web прост в использовании, ИТ-менедежерам, вероятно, потребуется затратить по меньшей мере несколько недель на подстройку прав пользователей, фильтров угроз, политик безопасности и параметров интеграции сети, чтобы все в целом работало гладко.
В процессе тестирования устройство прекрасно справлялось с ограничением доступа конечных пользователей только к тем сетевым ресурсам, которыми им разрешено пользоваться. Модель EdgeWall 7000 Rx предоставляет возможность контроля доступа главным образом на уровне сети, а не на уровне приложений. Это делает ее особенно полезным в качестве устройства контроля доступа удаленных пользователей. Все функции выполняются при перехвате пользователей и конечных устройств в точке входа в сеть, еще при регистрации.
Игра на поле NAM
Выпустив EdgeWall 7000 Rx, компания Vernier вступила в области управления сетевым доступом (Network Access Management, NAM). Наиболее часто технология NAM применяется для того, чтобы гарантировать, что антивирусные программы на устройствах удаленных конечных пользователей сконфигурированы правильно. И это стало одним из первых испытаний, которому мы подвергли EdgeWall 7000 Rx. Данный тест дал впечатляющие результаты. Все машины конечных пользователей были приведены в соответствие с нашей антивирусной политикой.
Перед установкой EdgeWall 7000 Rx мы обзавелись ноутбуком для дистанционного доступа в нашу защищенную сеть. В сети имелось большое количество приложений и сетевых ресурсов, которые в типичном случае должны быть доступны удаленному пользователю, включая электронную почту, портал и несколько сетевых дисков, предназначенных для совместного использования.
Мы без проблем подключились к защищенной сети с помощью Windows Server 2003 Enterprise Edition с запущенной службой Microsoft Routing and Remote Access, которая позволяет создавать виртуальные частные сети (VPN). Для этого теста основная часть сетевой инфраструктуры была создана с использованием ESX Server компании VMware.
| Посторонних не впустят
Протестированная нами модель EdgeWall 7000 Rx хорошо справляется со сканированием сеансов связи с удаленными пользователями и блокированием червей и вирусов, а также неавторизованных пользователей, даже когда те подключаются по протоколу SSL (Secure Sockets Layer) или IP Security VPN. В ходе тестирования мы уделили основное внимание удаленным пользователям, поскольку это новая возможность, появившаяся у семейства EdgeWall Rx. Устройства EdgeWall могут работать и внутри сети (на схеме этот вариант не показан) для предотвращения или контроля за распространением вредоносного ПО. Источник: eWEEK Labs. |
Во время тестирования все шло прекрасно, пока мы не разрешили конечному пользователю посетить несколько онлайновых казино и других не столь безобидных сайтов. Это позволило ноутбуку собрать чудную коллекцию шпионских программ. Кроме того, мы загрузили в ноутбук несколько тестовых сообщений электронной почты с прикрепленными файлами, содержащими нечто похожее на вирус, которые мы часто используем для предварительных тестов в лаборатории eWeek Labs.
Поскольку тестируемое устройство подключалось к нашей защищенной сети по зашифрованному безопасному туннелю VPN, ни одна система охраны периметра не смогла распознать или остановить вредоносные программы на компьютере нашего удаленного пользователя. Без большого труда - главным образом потому, что наша тестовая сеть очень тщательно контролируется и в ней не запускаются приложения производственного назначения, - нам удалось с помощью VMware вернуть испытательную среду в первоначальное состояние.
Затем мы инсталлировали EdgeWall 7000 Rx. Администрирование осуществляется с помощью Web-консоли. Доступ к ней может получить главный администратор (Super Admin), администратор сети (Network Admin; такие полномочия предоставляются большинству операторов) или администратор политик (Policy Admin). Мы считаем, что для начала это неплохо. Но нам хотелось бы также, чтобы администратор имел больше возможностей для контроля за использованием прав. Например, чтобы он мог ограничить права действующего администратора сети управлением логическими параметрами (такими, как “все почтовые серверы” или “любой ресурс в Атланте”).
Хотя мы считаем, что четкий интерфейс спроектирован хорошо, нельзя обойти вниманием тот факт, что ИТ-менеджерам придется потратить немало времени на работу с EdgeWall 7000 Rx, чтобы правильно сконфигурировать устройство. В нашем сценарии испытаний использовалось только одно такое устройство, но если бы их было несколько, политики пришлось бы устанавливать на все с помощью пакета Vernier Control Server. А в нашем случае этот пакет был инсталлирован на том же устройстве EdgeWall 7000 Rx.
Control Server значительно сокращает объем административных задач. Но пользовательский интерфейс имеет семь закладок и в общей сложности более 15 меню. Чтобы добиться правильной работы продукта, все это необходимо настроить. Даже после установки EdgeWall 7000 Rx ИТ-менеджерам придется возвращаться к Control Server и производить подстройку всякий раз, когда изменяется какой-либо элемент системы безопасности сети, например сервер аутентификации или каталог.
| Резюме для руководителей
EdgeWall 7000 Rx Средство контроля доступа компании Vernier располагается позади имеющегося устройства для создания VPN и позволяет пользователям получать доступ к сетевым ресурсам только в соответствии с имеющимися у них полномочиями. EdgeWall 7000 Rx может значительно сократить время, необходимое администраторам для управления удаленными пользователями. Это достигается благодаря тому, что политики задаются централизованно. Без этого устройства правила были бы распределены по брандмауэрам, маршрутизаторам и другим устройствам, обеспечивающим безопасность сети. Получить дополнительную информацию можно на сайте www.verniernetworks.com. Анализ затрат ИТ-менеджерам следует подсчитать общую стоимость ущерба, причиненного удаленными пользователями, которые входят в сеть со взломанных ноутбуков через безопасные соединения. Устройство EdgeWall 7000 Rx, цены на которое начинаются с 19 тыс. долл., может устранить эти затраты. Кроме того, оно может обеспечить централизованное управление доступом удаленных пользователей. Это, вероятно, оправдает и первоначальные затраты на приобретение, и текущие расходы на обслуживание устройства в течение года или около того. Краткий список аналогов Identity-Driven Access Gateway (Caymas Systems). Не может конкурировать на равных, но безусловно является хорошим продуктом для управления удаленным доступом, предоставляющим многие возможности, которыми обладает EdgeWall 7000 Rx (www.caymas.com) Устройство Clean Access Network Admission Control (Cisco). Результат приобретения корпорацией Cisco компании Perfigo (www.cisco.com/en/US/products/ps6128/index.html) |
| Оценка основных характеристик | |
Управляемость | Хорошо |
Безопасность | Отлично |
Возможности | Отлично |
Совместимость | Хорошо |
Удобство | Хорошо |
Необходимо подчеркнуть, что EdgeWall 7000 Rx отлично вписался в нашу сеть и прекрасно интегрировался с имевшимися сетевыми системами. Мы легко сконфигурировали устройство в качестве клиента системы аутентификации пользователей Steel-Belted Radius компании Funk Software. Удалось нам настроить EdgeWall 7000 Rx и на сбор информации о пользователях из множества других источников, таких как Microsoft Active Directory, чтобы производить аутентификацию и авторизацию пользователей нашей тестовой сети. Во время испытаний ни один пользователь не смог получить доступ к сетевым ресурсам без соответствующих полномочий.
Кроме того, EdgeWall 7000 Rx позволяет компаниям создать центр коррекции, в который можно переадресовывать пользователей, если они не отвечают условиям доступа к сети - например, когда у них отсутствует обновленная защита от вирусов или другие программы, которые ИТ-администратор счел необходимыми. Мы создали сайт коррекции, на который отсылались удаленные пользователи, не установившие у себя нужную версию антивирусной базы данных корпорации Symantec. Это позволяло пользователям проходить аутентификацию на безопасном сайте и загружать обновленные файлы с сигнатурами вирусов.
После того как пользователи, следуя инструкциям, производили антивирусное сканирование, они получали доступ в сеть.
Таким образом, предоставляемые устройством EdgeWall 7000 Rx широкие возможности контроля нашего сетового периметра в конечном итоге перевесили трудности администрирования.
