Статья только в электронной версии журнала
ОБЗОР
FaceTime создает надежную защиту при коммуникациях через брандмауэр
Френсис Чу
Разработанный FaceTime Communications продукт IM Guardian обеспечивает безопасность приложений IM (мгновенный обмен сообщениями) и P2P (взаимодействие ПК через Интернет без посредничества серверов).
Корпоративные пользователи IM Guardian получат в свое распоряжение мощный механизм защиты в режиме реального времени периметра сети при коммуникациях через сетевой экран. ПО препятствует неавторизованному доступу из приложений IM и P2P в корпоративную сеть посредством туннелирования портов и запрещает передачу файлов через IM-приложения.
IM Guardian расширяет функции управления коммуникациями и контроля за ними в режиме реального времени, присутствующие в другом продукте FaceTime, IM Director, который недавно приобрел способность к интеграции с MS Office Live Communications Server 2003.
| РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ |
| IM Guardian |
+ Сильное средство безопасности для слежения и контроля использования IM и P2P; простой интерфейс управления; хороший сервис отчетов. |
- Высокая стоимость для крупных организаций. |
| РЕЗЮМЕ IM Guardian фирмы FaceTime Communications, дополняющий ее же продукт IM Director, обеспечивает безопасность коммуникаций в режиме реального времени и групповых приложений, пересекающих корпоративный брандмауэр, и дает в руки ИТ-администраторов легко управляемую систему контроля IM и P2P. Стоимость IM Guardian учитывает число систем с доступом в Интернет и включает серверную лицензию. Его начальная цена составляет около $5000, но с ростом числа пользователей продукт резко дорожает. Дополнительная информация о IM Guardian и IM Director имеется на сайте www.facetime.com.. |
Удобство | A |
Возможности | B |
Производительность | B |
Совместимость | B |
Управляемость | A |
Маштабируемость | B |
Безопасность | A |
| В-хор., А-отлично. |
IM Director является базовой прокси-платформой для обнаружения IM-сеансов и управления IM-сообщениями в корпоративной среде. При помощи IM Director администраторы могут реализовывать свою политику использования IM на основе персональных полномочий, быстро фиксировать в корпоративном каталоге имена собеседников персонала компании в открытой сети и ограничивать (незаметно для клиентов) внутрикорпоративный IM-трафик пределами сети, установленными брандмауэром.
IM Guardian размещается за сетевым экраном, как правило, в "демилитаризованной зоне" и отслеживает весь входящий и исходящий трафик, контролируя протоколы IM и P2P. IM Guardian воздействует на сетевые подключения на седьмом (прикладном) уровне модели OSI, защищая от злоумышленников уязвимые места корпоративной сети.
Например, IM- и P2P-приложения поддерживают связь через прокси-серверы, и технически смышленый пользователь может задействовать IM-клиент (скажем, AOL Instant Messenger фирмы America Online) для туннелирования через нестандартный порт, чтобы установить подключение с возможностью пересылки внутренней информации через брандмауэр. IM Guardian сможет обнаружить IM-приложение, использующее неавторизованный прокси-сервер, и непосредственно заблокировать подключение.
Выпущенный в сентябре IM Guardian работает только под Red Hat Linux 9.0 фирмы Red Hat. ПО можно развернуть на группе серверов в качестве резерва и для балансировки нагрузки. Его стандартные аппаратные требования - процессор Pentium 4 с тактовой частотой 2 ГГц, 256 Мб ОЗУ и не менее 500 Мб доступного дискового пространства.
Стоимость IM Guardian учитывает число систем с доступом в Интернет, чей трафик должен контролироваться. Кроме того, оплачивается лицензия на каждый развертываемый сервер IM Guardian. Система начального уровня с поддержкой 100 узлов будет стоить около $5000.
Хотя IM Guardian можно применять отдельно от IM Director, более крупным организациям неплохо развернуть и второй из этих продуктов, учитывая выгоду использования его возможностей по управлению. Однако IM Director, стоящий $7000 только при 25 пользователях, не дешев. Если сюда добавить стоимость IM Guardian, получается, что безопасность IM-сервиса и управление им в крупных организациях потребуют порядочных затрат. Правда, для компаний с большим числом пользователей предусмотрены некоторые скидки.
Наша тестовая инсталляция IM Guardian прошла без затруднений. IM Guardian поставляется в загружаемом по сети файле формата .tar, а после установки на Linux-системах действует как прокси-сервис. IM Guardian автоматически находит в сети IM Director и его модули, даже при использовании брандмауэра с трансляцией сетевых адресов.
IM Guardian свободно интегрируется с любой системой IM Director, поддерживает через них управление IM и отслеживает большинство открытых протоколов IM и P2P.
У IM Guardian имеются два рабочих режима. В режиме Discovery обнаруживаются все работающие IM-системы и регистрируются все действия. Однако многие организации, по-видимому, предпочтут режим Policy Enforcement, в котором помимо обнаружения и регистрации действий осуществляется политика безопасности.
При тестировании IM Guardian обнаружил все подключения наших IM-клиентов и предоставил подробную статистику данных по сеансам. Мы легко сконфигурировали ПО для блокировки сеансов IM по IP-адресу или порту, используемому IM-клиентом.
Интерфейс IM Guardian на основе Web-браузера также может предоставлять подробные отчеты, весьма полезные для понимания работы IM в масштабе организации (см. рисунок).
