Фирма Ascend Communications при разработке средств обеспечения безопасности для своих маршрутизаторов Ascend не ограничилась обычной фильтрацией пакетов. Ее новый продукт Secure Access, выпущенный в июне, оснащен рядом функций, которые свойственны, скорее, автономным брандмауэрам.
Добавочное ПО для Pipeline 50 и Pipeline 75 стоит $500, а для Pipeline 130 и MAX 200 - $1 000, что значительно дешевле по сравнению со специализированными брандмауэрами. Благодаря этому оно хорошо подойдет малым компаниям, делающим первые шаги в Internet.
В то же время Secure Access лишен функций регистрации и подачи сигналов предупреждения, знакомых нам по более дорогостоящим продуктам. Без рабочей станции под управлением Unix или инструментальной программы SYSLOG независимого производителя в этом продукте нельзя даже сохранить данные безопасного входа в систему. Отсутствует в нем и возможность организации виртуальных частных сетей, ставшая де-факто стандартной в автономных брандмауэрах.
Составная часть системы
Программная часть Secure Access пред устанавливается на большинстве новых маршрутизаторов Ascend, но для работы с ней необходимо дополнительно приобрести кодовый ключ. На ранее выпущенных устройствах требуется замена программы в ПЗУ.
В ходе тестирования мы использовали маршрутизатор Pipeline 75, на котором ПО Secure Access уже было приведено в рабочее состояние.
Чтобы предотвратить прохождение всего внешнего трафика, было достаточно запустить 16-разрядную управляющую утилиту на базе Windows и указать в ней IP-адрес нашего Internet-маршрутизатора. Затем мы определили, какой исходящий трафик может пропускаться через брандмауэр и на какие хост-компьютеры. Сделать это также труда не составило: понадобилось лишь открыть список предустановленных IP-протоколов и щелкнуть мышью на соответствующей опции (мы выбрали "FTP"). На ПК под управлением Windows NT Workstation, подключенном к тестовой сети, пришлось также установить ПО Secure Access Manager.
Для передачи FTP-сообщений посредством Secure Access мы воспользовались
16-разрядной Windows-утилитой
Использование Windows-инструментария управления значительно облегчает работу с Secure Access и дает этому ПО несомненное преимущество перед маршрутизаторами конкурентов. Ведь конфигурирование устройств фирмы Cisco Systems, например, требует привлечения специальных консультантов, без помощи которых зачастую невозможно отладить один из самых сложных аспектов их работы - фильтрацию пакетов.
Комплексная безопасность
В Secure Access применен еще один метод обеспечения безопасности, выделяющий его среди других подобных продуктов. Весь получаемый из Internet трафик проверяется на предмет соответствия высланным запросам, и в систему пропускается лишь та его часть, которая поступила в ответ на них. Такой способ "проверки на соответствие" (stateful inspection) приобретает все б’ольшую популярность в старших моделях брандмауэров. Другие маршрутизаторы, как правило, ограничиваются лишь фильтрацией пакетов, осуществляя анализ каждого из них индивидуально, без учета дополнительных условий.
К сожалению, нас разочаровали возможности продукта по управлению входом в систему. Утилита управления позволила установить уровень детализации данных о пользователе, но для сохранения конфигурации требуется какая-либо из существующих инструментальных программ SYSLOG. Одну из них, условно-бесплатную утилиту Windows SYSLOG, нам удалось найти в Internet. Фирма Ascend предлагает использовать для регистрации рабочую станцию Unix (в этой операционной системе SYSLOG является стандартным компонентом), однако нам такой подход показался несколько нелогичным, так как управлять Secure Access можно только из среды Windows.
По заявлению представителей фирмы-производителя, вскоре на Web-узле Ascend планируется разместить бесплатную программу Windows SYSLOG, которая затем будет включаться в новые версии продукта.
Нельзя не отметить и отсутствие в Secure Access функции предупреждения, которая бы сообщала по электронной почте или пейджинговой связи о предварительно заданных событиях. В будущем фирма намерена добавить в свой продукт возможность генерации SNMP-ловушек.
Кроме того, в последующих версиях Secure Access будут обеспечены возможности шифрования в виртуальных частных сетях и аутентификации удаленных пользователей.
Майкл Суркан
СОВЕТЫ КОРПОРАТИВНОМУ ПОКУПАТЕЛЮ
СИЛА И СЛАБОСТЬ
Secure Access 1.0
Фирма Ascend Communications
Аламеда, шт. Калифорния; (510) 769-6001 http://www.ascend.com
+ Придает маршрутизатору возможности брандмауэра по цене, значительно меньшей, чем у автономных средств защиты; применение Windows-инструментария значительно упрощает конфигурирование продукта.
- Сохранить параметры входа в систему можно лишь с помощью утилиты независимого разработчика; не предусмотрены средства уведомления администратора о попытках несанкционированного проникновения в систему; отсутствует поддержка виртуальных частных сетей и шифрования.
РЕЗЮМЕ
Secure Access 1.0 фирмы Ascend по сравнению с другими известными нам маршрутизаторами обеспечивает наивысший уровень безопасности, однако этот продукт лишен полноценных функций регистрации и предупреждения. Последнее делает нежелательным его использование в больших компаниях вместо автономных брандмауэров. На узлах, где необходимы виртуальные частные сети, также следует применять более функциональные автономные брандмауэры.