Обзор
Версия 2.0 делает это в рамках протокола IP еще лучше прежней
Майкл Суркан (PC Week Labs)
Несмотря на то что рынок работающего на уровне пакетов ПО защиты от вторжений в компьютерные сети обогатился множеством других продуктов с тех пор, как фирма Internet Security Systems в большей или меньшей мере сама его создала в прошлом году, расширенная БД известных уязвимых мест и брешей защиты, включенная в версию RealSecure 2.0, делает этот продукт одним из наиболее эффективных решений в области сетевой безопасности, доступных на сегодняшний день.
RealSecure 2.0 может быть предварительно сконфигурирована для
выполнения определенных действий в случае обнаружения угрозы
Вместо того чтобы просто выполнять проверки систем и извещать администраторов сетей об обнаруженных слабостях или исследовать регистрационные журналы в поиске следов прошлых вторжений (как это делает конкурирующий продукт Kane Security Analyst фирмы Intrusion Detection), бета-версия RealSecure 2.0, прошедшая испытания в Тестовом центре PC Week Labs, автоматически обнаруживала широкий спектр атак на сеть и без промедления выполняла заранее предписанные действия.
Применение RealSecure 2.0 не исключает потребности в других средствах обеспечения сетевой безопасности, таких, как брандмауэры или средства шифрования пакетов, однако начинать строить свои оборонительные линии имеет смысл именно с этого приложения, поскольку осуществляемый им пассивный контроль не требует какого-либо переконфигурирования других систем. И в отличие от брандмауэров средства анализа пакетов с целью обнаружения вторжения идеально подходят для выявления не только внешних угроз, но и внутренних нарушений требований безопасности.
В дополнение к способности RealSecure выдавать тревожные уведомления в виде электронных почтовых отправлений, SNMP-сообщений и записей в регистрационном журнале версия 2.0 позволяет создавать также собственные специализированные команды и сценарии обработки событий.
Как и в предыдущих версиях, RealSecure показала себя настоящим экспертом по части пресечения атак на сеть на уровне пакетов, так что злоумышленники оказываются лишены возможности зайти особенно далеко в своих бесчинствах.
Но, к сожалению, одна из наиболее интересных возможностей RealSecure 2.0 - задание команд на переконфигурирование, связанных с обеспечением безопасности параметров аппаратуры, - распространяется лишь на два сетевых устройства: маршрутизаторы серии 7000 фирмы Cisco Systems и брандмауэр FireWall-1 фирмы Check Point Software.
При всех своих достоинствах RealSecure 2.0 не обеспечивает полного спектра потребностей корпорации в контроле за содержанием пакетов. Учитывая цену этого ПО - $9995 на каждый сегмент сети - и то, что для его функционирования необходим выделенный ПК или рабочая станция под управлением Unix, было бы не лишним дополнить его некоторыми возможностями контроля производительности сети.
Отставание от конкурентов
Кроме того, RealSecure отстает от конкурирующих продуктов также в части контроля за более невинными отклонениями от желательного использования сети. Например, ПО SessionWall-3 фирмы AbirNet уведомляет администраторов о случаях некорректного обращения с электронной почтой или Web-узлами; новейшая версия этого пакета даже сканирует электронную корреспонденцию на наличие вирусов.
RealSecure 2.0 поддерживает множество различных платформ, включая Windows NT 4.0 и Solaris 2.6. Оценочная версия RealSecure 2.0, ограниченная в возможностях контроля одной хост-машиной, опубликована для бесплатного копирования на Web-узле фирмы ISS.
Хотя для нас не составило труда инсталлировать как базовый механизм RealSecure 2.0, так и компоненты консоли администрирования на машину Vectra XU производства компании Hewlett-Packard с 200 МГц процессором Pentium Pro под управлением ОС Windows NT 4.0 Workstation, ISS рекомендует эксплуатировать свой продукт на выделенной машине с тактовой частотой процессора 200 МГц и по крайней мере 64 Мб ОЗУ. В противном случае может не хватить производительности для обработки потока пакетов большой интенсивности.
У нас не возникло никаких проблем с исполнением RealSecure 2.0 в ЛС стандарта Fast Ethernet; однако официальная сертификация продукта ISS для использования с этой 100 Мбит/с сетевой технологией ожидается только к концу года. На сегодня ПО RealSecure 2.0 сертифицировано для работы с сетями Token-Ring - в версии 1.0 поддержка этой технологии отсутствовала.
Хотя предоставленная в наше распоряжение бета-версия демонстрировала по большей части замечательную стабильность, с исполнением пользовательских команд у нас периодически возникали сложности.
Консоль администрирования RealSecure не слишком изменилась по сравнению с версией 1.0, однако в терминологии и организации появились кое-какие отличия. Нам пришлась очень по душе возможность доступа к одним и тем же механизмам контроля пакетов одновременно с нескольких консолей, при том что условия лицензирования допускают инсталляцию произвольного количества консолей без дополнительной оплаты. Это упрощает работу в ситуации, когда нескольким администраторам необходимо следить за работой сети одновременно.
RealSecure позволяет просматривать журнал регистрации атак на сеть с различными уровнями детализации. Его записи можно группировать по признакам IP-адреса или вида атаки, что позволило нам легко составить довольно отчетливое представление о функционировании индивидуальных хост-машин в нашей сети.
Действовать таким образом намного проще, чем рыться в результатах работы обычного анализатора протоколов, в которых без разбора перечисляются измеренные характеристики всех пакетов подряд. RealSecure самостоятельно отбрасывает все лишнее и распределяет пакеты по видам выполняемых работ. В простом классификаторе отображаются идентификаторы и пароли пользователей, переданные открытым текстом по протоколу FTP.
Функции генерации отчетов базируются в RealSecure 2.0 на специальной версии ПО Crystal Reports фирмы Seagate Technology, что обеспечивает создание наглядных диаграмм и графиков работы сети.
Кроме того, мы имели возможность задавать для RealSecure новые последовательности пакетов, чтобы система могла контролировать дополнительные виды работ с сетью.
Попав не в те руки, RealSecure может стать по-настоящему опасным оружием. Однако вероятность несанкционированного доступа к этому средству весьма незначительна, поскольку для доступа требуется специальный зарегистрированный ключ, сгенерированный ISS, который к тому же определяет ограничения на диапазон подлежащих контролю IP-адресов.
Резюме для руководителей
Бета-версия RealSecure 2.0
Работающее на уровне пакетов ПО обнаружения вторжений в сети, созданное фирмой Internet Security Systems, стало более совершенным благодаря расширению списка известных уязвимых мест сетей и возможности использования настраиваемых сценариев реакции на события. В результате получилось великолепное средство обнаружения попыток вторжения в реальном масштабе времени. Однако RealSecure 2.0 недостает функций контроля рабочих параметров сети и фильтрации электронных почтовых отправлений - при создании полномасштабных систем защиты компаниям не удастся обойтись без приобретения других продуктов.
Исчерпывающий список распознаваемых видов атак против сети; настраиваемые сценарии реакции на события; автоматическое переконфигурирование связанных с обеспечением безопасности параметров маршрутизаторов и брандмауэров; простой в использовании графический интерфейс; доступ к механизмам контроля с нескольких консолей одновременно.
Отсутствие средств контроля за рабочими параметрами сети и фильтрации электронных почтовых отправлений; функции переконфигурирования связанных с обеспечением безопасности параметров настройки аппаратуры ограничены одним семейством маршрутизаторов и одним брандмауэром; ошибка в бета-версии программы приводит к невозможности исполнения некоторых пользовательских команд.
Фирма Internet Security Systems, Атланта, шт. Джорджия, (800) 776-2362, www.iss.net.
Методика оценки: www.pcweek.com/reviews/meth.html.
