Статья только в электронной версии журнала
ОБЗОР
Камерон Стардевант (PC Week Labs)
Несмотря на ряд значительных недостатков, пакет ПО Net Partitioner фирмы Solsoft мог бы стать великолепным подарком администратору, ответственному за стратегии обеспечения безопасности сети с маршрутизаторами фирмы Cisco Systems или корпорации Nortel Networks - ведь компиляция и распространение с его помощью списков контроля доступа (Access Control List, ACL) требуют минимума времени и усилий.
Проведенные в Тестовом центре PC Week Labs испытания показали, что Net Partitioner заслуживает пристального внимания, поскольку этот продукт позволил нам очень быстро сконфигурировать сложные ACL-списки и обеспечить единообразное распространение стратегий по испытательной сети.
В то же время он отменил все назначения, сделанные другими средствами администрирования на основе стратегий, такими, как ПО Orchestream одноименного производителя (восстанавливать эти назначения пришлось вручную). Через пару лет подобные конфликты будут сведены к минимуму за счет внедрения стандартов, подобных Common Open Policy Service, четко разграничивающих полномочия в сфере администрирования.
Графический интерфейс Net Partitioner позволяет генерировать ACL-списки
Еще один недостаток этого продукта - отсутствие функции восстановления исходной конфигурации маршрутизатора.
Net Partitioner продается с конца прошлого года по цене $5000 за комплект, включающий консоль администрирования и лицензию на 10 администрируемых интерфейсов. В отличие от большинства конкурирующих продуктов, он поддерживает Windows NT и различные варианты Unix.
Крупнейшее преимущество Net Partitioner перед утилитами аналогичного назначения других производителей - проверка скомпилированной конфигурации на наличие ошибок в подключении устройств. В ходе тестирования мы даже получали предупреждения в тех случаях, когда предполагаемые изменения могли воспрепятствовать последующему конфигурированию устройств с консоли.
Мы установили Net Partitioner на сервер с ОС Windows NT 4.0 и с его помощью легко управляли стратегиями разграничения доступа на четырех маршрутизаторах производства Cisco. В настоящее время поддерживаются также маршрутизаторы Nortel, брандмауэр PIX производства Cisco и ряд брандмауэров для Linux.
Мы вручную создавали пиктограммы, представляющие наши маршрутизаторы и брандмауэры, а затем, используя ручной ввод в сочетании с запросами Get протокола SNMP, заполняли описывающие их информационные поля.
После ввода IP-адреса и номера версии операционной системы мы занялись установлением соединений между устройствами, осуществляющими фильтрацию пакетов IP. Далее мы задали стратегии управления соединениями между машинами различных классов и нашими сетями.
К сожалению, Net Partitioner не использует информацию о топологии сети, предоставляемую такими продуктами, как OpenView Network Node Manager компании Hewlett-Packard. Дополнение продукта этой способностью могло бы значительно сократить объемы обязательной, но утомительной работы по загрузке сведений обо всех устройствах в карту сети Net Partitioner.
Net Partitioner распознает более 130 различных IP-служб, включая DNS, SNMP, H.323 и HTTP и демонстрирует способность управлять любыми сетевыми протоколами, используемыми в нашей сети. Кроме того, мы использовали включенную в комплект Net Partitioner утилиту Service Inspector для описания нестандартных служб, что позволяет легко организовать контроль за работой заказных приложений.
Нет остановкам трафика!
Для задания стратегии обеспечения безопасности было достаточно просто выбрать пиктограмму необходимой службы и, используя функцию drag and drop, опустить ее на тот сегмент сети, из которого нужно разрешить доступ. В результате этих манипуляций Net Partitioner создаст конфигурационный файл, делающий возможной передачу трафика в указанном направлении со всеми заданными ограничениями, включая время дня.
Затем следует выполнить компиляцию, и Net Partitioner в соответствии с заданными требованиями создаст конфигурационный файл для всех устройств, фильтрующих IP-пакеты на пути из одной сети в другую.
Мы сконфигурировали в тестовой сети несколько потоков трафика от различных служб, выполняя компиляцию конфигурационного файла после каждого шага, так, чтобы в случае появления той или иной проблемы не нужно было гадать, какое именно изменение стало ее причиной. После того как все описания потоков были корректно скомпилированы, распространить изменения по фильтрующим устройствам не составило труда.
Хотя Net Partitioner ведет регистрационный журнал, из которого видно, какие конфигурации на какие фильтрующие устройства были загружены, возможность составления компактных отчетов по этим сведениям не предусмотрена. Например, после загрузки одной из стратегий в группу маршрутизаторов нельзя было, неразобравшись предварительно с записями в регистрационном журнале, выяснить, какие из них приняты в новый конфигурационный файл, а какие - нет.
К сожалению, не существует и удобного способа вернуть конфигурацию маршрутизатора или брандмауэра к предыдущему состоянию. Из-за этого нам приходилось делать резервные копии конфигурационных файлов вручную перед загрузкой новых конфигураций. Эта возможность должна быть встроена в продукт, поскольку иначе любой неверный шаг в ходе конфигурирования может привести к остановке трафика.
Несмотря на все эти недостатки, большинство сетевых менеджеров, по всей вероятности, признает, что Net Partitioner упрощает неблагодарную работу по конфигурированию ACL-списков.
С аналитиком Тестового центра PC Week Labs Камероном Стардевантом можно связаться по адресу: cameron_sturdevant@zd.com.
Взгляд из лаборатории: Панкай Чоудри
Любой продукт, упрощающий использование средств обеспечения безопасности, станет желанным пополнением в инструментарии сетевого администратора. К сожалению, хотя Net Partitioner хорошо помогает в работе с ACL-списками, его очень неудобно использовать вместе с другими механизмами обеспечения безопасности. Он может выводить из строя даже такие простые устройства, как фильтры маршрутной информации, оставляя автономные системы открытыми для несанкционированного использования.
Чтобы продукты этого рода работали как следует, они должны анализировать исходные конфигурации и ни в коем случае не разрушать то, что было сделано до них, - потому что необоснованное чувство защищенности даже хуже, чем отсутствие какой-либо защиты вообще.
С директором PC Week Labs на Западном побережье США Панкаем Чоудри можно связаться по адресу: pankaj_chowdhry@zd.com.
Резюме для руководителей
Net Partitioner
Несмотря на то что новый Net Partitioner фирмы Solsoft плохо сочетается с другими средствами сетевого администрирования, он безусловно сокращает затраты труда на конфигурирование ACL-списков, так что имеет смысл рассмотреть возможность его использования для администрирования разнородных маршрутизаторов и брандмауэров.
КРАТКОСРОЧНЫЙ ПРОГНОЗ. Внедрение Net Partitioner немедленно сократит расходы на конфигурирование маршрутизаторов и брандмауэров, упростив и централизовав выполнение сложных операций. Несмотря на необходимость тратить дополнительное время и усилия на проверку корректности измененной конфигурации при совместном использовании Net Partitioner с другими средствами конфигурирования, экономия с лихвой перекроет издержки.
ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Net Partitioner благодаря возможности хранения конфигурационной информации на центральном сервере администрирования упрощает текущее администрирование фильтрующих IP-трафик устройств, таких, например, как маршрутизаторы.
Диаграммные представления Net Partitioner облегчат понимание используемых стратегий обеспечения безопасности и упростят их модификацию.
( + ) Простой в использовании интерфейс; быстрое конфигурирование ACL-списков; возможность администрирования разных продуктов.
( - ) Отменяет настройки, выполненные другими средствами администрирования; не обладает функциями восстановления исходной конфигурации и генерации отчетов о произведенных изменениях.
Фирма Solsoft, Маунтин-Вью, шт. Калифорния, (877) 646-8225, www.solsoft.com.
Методика оценки: www.pcweek.com/reviews/meth.html.
