ОБЗОРЫ

Система TippingPoint намного улучшает сетевую защиту

Камерон Стардевант

Новинка фирмы TippingPoint Technologies под названием UnityOne-1200, которая почти неделю контролировала подключение сети eWeek Labs к Интернету, настолько успешно справлялась с отражением как реальных, так и инсценированных атак, что мы присудили ей приз "Выбор аналитика".

Дешевым, правда, этот комплекс не назовешь, поэтому менеджерам ИТ, прежде чем приступать к развертыванию любой системы предупреждения атак, стоит провести полномасштабное сканирование брешей. Это поможет им четко определить объем и опасность имеющихся проблем.

Отчеты UnityOne-1200 позволяют легко обнаруживать даже новейшие типы атак

Устройства семейства UnityOne имеют пропускную способность от 200 Мбит/с до 2 Гбит/с, а стоят от 24 995 до 89 995 долл. В eWeek Labs тестирование проходила система на 1,2 Гбит/с по цене 64 995 долл.

Все модели этого семейства оснащаются встроенным Web-приложением Local Security Manager. Тем же, кому его возможностей кажется мало или требуется несколько устройств UnityOne, предлагается система управления безопасностью Security Management System за 9995 долл.

Выпуск обновленной версии UnityOne-1200 начался в марте. Для проверки мы установили ее перед сетевым экраном на периферии своей сети. После этого весь трафик, который прибор признавал "вредным", тут же отсеивался и на брандмауэр не попадал.

Новые аппаратные компоненты сделали защиту от вторжений еще надежнее, повысилась эффективность и программного обеспечения. Как показали результаты тестирования, TippingPoint значительно усовершенствовала логику, которая применяется для анализа трафика, и отлично разобралась в тонкостях политики безопасности.

Отчеты UnityOne-1200 позволяют легко обнаруживать даже новейшие типы атак

Тем не менее для обеспечения оптимальной защиты UnityOne-1200 необходимо скрупулезно настроить и постоянно следить за его параметрами. Непрерывно меняющиеся сетевые угрозы, возникновение новых опасностей - все это заставит ИТ-менеджеров, после того как TippingPoint предложит им обновление Digital Vaccine, самостоятельно определять стандартные настройки.

В ходе тестирования, скажем, мы последовали рекомендациям фирмы и для ряда проб SNMP установили многие параметры защиты на уровень "permit and notify" ("разрешить и уведомить"). Однако начальная проверка уязвимости нашей инфраструктуры, проведенная инженерами фирмы Counterpane Internet Security, выявила несколько брешей в конфигурации SNMP. После этого мы в сотрудничестве со специалистами TippingPoint решили изменить данное правило на "block and notify" ("запретить и уведомить").

Впрочем, для подавляющего большинства сигнатур атак и правил оценки рекомендованные разработчиками настройки подойдут отлично. В стандартной конфигурации UnityOne-1200 успешно отражал и наши пробы, и атаки типа "отказ в обслуживании".

При тестировании новинки мы не стали отключать свой сетевой экран Firebox V80 фирмы WatchGuard. Хотя UnityOne-1200 и проводит контекстнозависимый анализ пакетов, однако заменить брандмауэры с их возможностями VPN и другими политиками доступа он не может (да и не предназначен для этого). К тому же по журналу регистрации сетевого экрана мы могли проверить, не было ли "протечек" через систему TippingPoint. Как оказалось, за неделю тестирования ни одна атака до брандмауэра не добралась.

РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ

UnityOne-1200

- Возможность размещения как перед сетевым экраном, так и позади него; эффективная борьба с новыми типами сетевых атак благодаря периодическому выпуску обновлений Digital Vaccine; очень высокая производительность аппаратной части, в результате чего работа устройства нисколько не сказывается на пропускной способности сети.

- Высокая начальная цена; некоторые рекомендуемые параметры настройки не смогли воспрепятствовать разведке тестовой сети.

РЕЗЮМЕ

Аппаратно-программный комплекс UnityOne-1200 фирмы TippingPoint представляет собой весьма совершенную систему предупреждения атак. Действуя непосредственно в канале связи, она отсеивает опасный трафик и нисколько не мешает при этом санкционированной работе пользователей. UnityOne-1200 нуждается в настройке, однако игра здесь стоит свеч. Как показало проведенное в eWeek Labs тестирование, новое устройство успешно предотвращает самые разные типы атак, включая "отказ в обслуживании", которые способны вызвать серьезные перебои в работе сети. Начальная цена UnityOne составляет 24 995 долл. Дополнительную информацию можно найти на сайте www.tippingpoint.com.

КРАТКИЙ СПИСОК АНАЛОГОВ

- InterSpect фирмы Check Point Software Technologies

- McAfee IntruShield фирмы Network Associates

- NetScreen-IDP фирмы NetScreen Technologies

ОЦЕНКА ОСНОВНЫХ ХАРАКТЕРИСТИК

УДОБСТВО  

ХОРОШО

ВОЗМОЖНОСТИ  

ОТЛИЧНО

ПРОИЗВОДИТЕЛЬНОСТЬ  

ОТЛИЧНО

УПРАВЛЯЕМОСТЬ  

ХОРОШО

МАСШТАБИРУЕМОСТЬ  

ОТЛИЧНО

БЕЗОПАСНОСТЬ

ОТЛИЧНО

При установке UnityOne-1200 мы внесли в конфигурацию лишь несколько незначительных изменений, после чего представили инженерам Counterpane возможность провести ночной сеанс сканирования. Проба - это еще не сама атака, а лишь ее предвестник, поэтому мы сначала не блокировали попыток разведки своей сети. Когда же специалисты из Counterpane обнаружили несколько брешей, которые могли вызвать переполнение буфера в интерфейсе WebDAV (Web-based Distributed Authoring and Versioning - распределенная Web-авторизация и контроль версий), а также множество проблем с DLL, мы несколько часов потратили на настройку UnityOne-1200. В конце концов нам удалось закрыть и эти уязвимые места. Серия проведенных сканирований позволила с минимальными усилиями избавиться от подобных брешей.

Хотя работа UnityOne-1200 практически не требовала нашего вмешательства, менеджерам ИТ все же стоит выделить одну-две штатные единицы исключительно на управление доступом и конфигурирование правил. Как показало тестирование, интерфейс пользователя у новинки несколько запутанный и в нем нелегко разобраться даже после многократного выполнения одной и той же операции. Особенно это заметно, когда дело доходит до распространения новых модулей Digital Vaccine, регулярно выпускаемых Центром контроля угроз TippingPoint.

Во многом процесс рассылки обновления может автоматизировать Security Management System, однако, как нам кажется, ИТ-сотрудников без работы она не оставит. Практика показала, что на изучение каждого обновления и рекомендуемых действий, которые TippingPoint увязывает с правилами Digital Vaccine, уходит по меньшей мере нескольких часов напряженного труда. Впрочем, это время затрачивается не зря. Четко заданные правила помогут отразить атаки из Интернета, которые в противном случае могли бы потребовать гораздо больших усилий по их устранению и в конечном итоге привести к потере дохода.