ОБЗОРЫ
Безопасностью своих сетей озабочены все компании, но не каждая может выделить на эти цели достаточно сил и средств. Выход предлагает фирма Axent Technologies, выпустившая аппаратно-программную систему VelociRaptor. Ее новинка обеспечивает надежную защиту сетей и при этом очень проста в установке и управлении.
В комплект VelociRaptor входит компьютер RaQ фирмы Cobalt Networks, на котором предустановлены разработанные фирмой Axent брандмауэр Raptor 6.5 и приложение организации виртуальных частных сетей PowerVPN. Брандмауэры Raptor хорошо известны в корпоративном мире как очень надежные стражи сетей, поэтому в достоинствах новинки Axent можно не сомневаться. По оценке специалистов Тестового центра eWeek Labs, система VelociRaptor лучше всего подойдет малому и среднему бизнесу, филиалам компаний и Интернет-провайдерам, т. е. тем, кто хочет обеспечить высокий уровень безопасности при минимальных затратах ресурсов на настройку и управление.
Выпуск VelociRaptor начался в ноябре; система предлагается в двух вариантах - на базе компьютеров RaQ3 и RaQ4. Каждый из них имеет высоту менее 4,5 см (1U), что очень удобно для Интернет-провайдеров, которым постоянно не хватает места для размещения оборудования. На обеих системах Cobalt установлено ядро операционной системы Linux 2.2, доработанное инженерами Axent для устранения брешей в системе безопасности.
Мы провели тестирование VelociRaptor на базе RaQ4 с 450 МГц процессором K6-2 фирмы Advanced Micro Devices, ОЗУ емкостью 256 Мб и четырьмя портами 10/100 Мбит/с Ethernet. Более дешевый брандмауэр на базе RaQ3 имеет такое же число портов, но оснащается процессором K6-2 с рабочей частотой 300 МГц и оперативной памятью 128 Мб.
Цена VelociRaptor зависит от количества уникальных IP-адресов, обслуживаемых системой. Если оно не превышает 25, версия на базе RaQ3 обойдется покупателю в $4995, система же с компьютером RaQ4 и поддержкой неограниченного количества адресов стоит $14 995. Таким образом, брандмауэр Axent оказывается дешевле других подобных устройств. В частности, аппаратная система NetStructure 3130 корпорации Intel, оснащенная брандмауэром и функциями ВЧС, стоит $20 000, а брандмауэр PIX 520 фирмы Cisco Systems - около $19 000. Разница в цене во многом определяется аппаратными средствами. Система Intel, к примеру, оснащается процессором с большей рабочей частотой и большим объемом памяти.
ВЧС скоростью не блещет
VelociRaptor обеспечивает очень надежную брандмауэрную защиту, но производительность созданных на базе этого устройства ВЧС оставляет желать лучшего. Пропускная способность таких сетей с шифрованием трафика по алгоритму Triple DES составляет всего 55 Мбит/с, т. е. она намного ниже, чем у конкурентов. Если вашей компании нужна высокоскоростная виртуальная частная сеть, обратите внимание на NetStructure 3130 корпорации Intel - при использовании стандарта шифрования Triple DES это устройство позволяет пересылать информацию со скоростью 90 Мбит/с. Правда, стоит оно дороже, да и брандмауэр здесь не столь надежный - поступающие извне пакеты проверяются в нем только на соответствие высланным запросам.
В брандмауэре Raptor из комплекта VelociRaptor входящий сетевой трафик направляется на так называемые посредники приложений (application proxies). Системы такого типа сложнее брандмауэров, в которых осуществляется фильтрация пакетов или их проверка на соответствие запросам, однако они обеспечивают более высокие уровень защиты и детализацию, так как контролируют и фильтруют данные каждого приложения в отдельности.
VelociRaptor предлагает встроенные посредники служб для поддержки целого ряда IP-протоколов и сервисов, включая NNTP, Н.323 - мультимедийный стандарт IP-сетей, а также файловую систему CIFS, которая обслуживает безопасное подключение к ресурсам SMB. Поддерживает VelociRaptor и службу GSP, благодаря чему администратор получает возможность создавать собственные приложения-посредники обобщенного типа, использующие нестандартные порты.
Настройка нового устройства Axent, как показало тестирование, очень проста и производится в два этапа. Прежде всего нужно сконфигурировать сетевой интерфейс для работы с RMC. Для этого мы с помощью ЖК-дисплея и кнопок на передней панели быстро установили IP-адреса для каждого порта. Когда это было сделано, система создала консоль RMC, а также генерировала пользовательское имя SRL и корневые пароли, необходимые для регистрации в этой системе.
На выбор менеджера
После окончания конфигурирования интерфейса, для завершения настройки нужно войти в систему с консоли RMC или клиента SRL. Консоль RMC создана на базе консоли управления MMC (Microsoft Management Console), поэтому она устанавливается только на системах под управлением Windows NT или Windows 2000. Мы инсталлировали RMC на сервере Windows 2000 Server, который находился внутри защищаемой сети. Управлять VelociRaptor можно и дистанционно по шифрованному подключению, используя для этого клиент SRL. Консоль управления весьма представительна и проста в работе.
Управление системой оказалось таким же простым, как и ее настройка. Зарегистрировавшись в VelociRaptor с консоли RMC, мы запустили мастера настройки, которые помогают легко конфигурировать базовые функции доступа во Всемирную патину по протоколам НТТР и FTP, а также доступ к электронной почте по протоколу SMTP.
Брандмауэр из комплекта VelociRaptor продемонстрировал высочайшую надежность. Мы не обнаружили в системе защиты ни одной бреши, ни одного слабого места, хотя сканировали все порты и предпринимали самые разные атаки. Для проверки системы использовался дистанционный сканер защищенности Nessus.org, установленный на внешнем компьютере под управлением Linux.
Свой брандмауэр Axent снабдила функцией Continuous System Hardening (постоянное усиление системы), котораяделает его совершенно непроницаемым для атак. Система непрерывно контролирует небезопасные и несанкционированные действия пользователей, а при выявлении подозрительных сеансов сразу же прерывает их и делает соответствующую запись в журнале.
Для создания ВЧС Axent оснастила VelociRaptor собственным ПО под названием PowerVPN. Инкапсуляция пакетов производится здесь на основе протокола IP Security, а аутентификация пользователя - с помощью сертификатов или секретных ключей. Шифрование информации в PowerVPN может производиться по алгоритмам DES и Triple DES.