ОБЗОРЫ

Эндрю Гарсиа

CyberGatekeeper LAN (CGLAN) версии 3.0 производства InfoExpress - прекрасное средство управления доступом в беспроводных сетях. Оно может стать ценным приобретением для организаций, нуждающихся в таких инструментах. Если, конечно, сможет работать с установленным у них оборудованием.

CGLAN 3.0 включает сервер CyberGatekeeper высотой 1U, пакет программ Policy Manager и лицензию на одновременное использование 50 точек доступа. Цены начинаются с 10 тыс. долл. Комплект, рассчитанный на 500 пользователей, стоит 26 тыс. долл.    

С помощью CGLAN 3.0 администраторы могут учесть множество факторов при формулировании политики доступа в сеть

Основной проблемой является весьма ограниченная поддержка аппаратных платформ. В данный момент CGLAN может работать только в сочетании с коммутаторами проводных сетей Cisco Systems и Nortel Networks и беспроводными коммутаторами фирмы Airespace. Между тем было бы очень желательно, чтобы InfoExpress распространила поддержку на семейство устройств Cisco для беспроводных сетей Aironet.

Используя гибкие возможности, заложенные фирмой Airespace в списки контроля доступа (ACL - access control list), CGLAN изолирует устройства, не соответствующие политике доступа. Происходит это без нарушения работы сети: CGLAN требует, чтобы на всех устройствах, пытающихся получить доступ к сети, была установлена программа-агент. Компания InfoExpress поставляет программы-агенты для Windows и Linux. Имеется также агент на базе веб-технологии, что упрощает установку продукта. Однако ко времени тестирования с беспроводным модулем работала только Windows-программа.

Каждый агент заранее настроен на IP-адрес сервера CGLAN, поэтому может устанавливаться без создания помех для сетевого трафика. Благодаря этому нам не пришлось менять сетевую архитектуру. Это большое достоинство, несмотря на трудности с рассылкой агента по сети предприятия.

Мы тестировали CGLAN с беспроводным коммутатором Airespace 4012 (его можно купить отдельно по цене от 12 тыс. долл.) и точками доступа Airespace 1200 (цена 400 долл.). С помощью CyberGatekeeper Policy Manager, установленного на рабочую станцию под управлением Windows XP, нам удалось сформулировать простую политику проверки настольных компьютеров на наличие последних обновлений антивирусного ПО и брандмауэров. Затем мы загрузили эту политику в сервер CGLAN. Поскольку сервер использует программы-агенты, он может глубоко проникать в операционные системы. Это позволяет администраторам создавать программы поиска активных процессов и несанкционированных приложений, а также выявлять необходимость в установке "заплаток".

РЕЗЮМЕ ДЛЯ РУКОВОДИТЕЛЕЙ

CyberGatekeeper LAN 3.0  

+ Не требует перепроектирования сети; богатый выбор компонентов для составления правил; в любой момент сессии быстро выявляет клиентов, нарушивших предъявляемые требования; на сайте технической поддержки доступно большое количество шаблонов.

- Поддерживается только небольшая часть оборудования для проводных и беспроводных сетей; довольно сложная организация проверки клиентов; требуются программы-агенты на всех компьютерах сети.

 

РЕЗЮМЕ

Новая версия продукта фирмы InfoExpress позволяет контролировать доступ не только в проводные, но и в беспроводные сети. Умело используя широкие возможности Airespace ACL, CGLAN (цена - 9995 долл.) автоматизирует задачи предоставления доступа и изоляции клиентских компьютеров. При этом программа руководствуется тем, насколько клиенты соблюдают требования безопасности, какие на них установлены приложения и есть ли последние обновления ПО. Однако CGLAN работает с аппаратурой очень немногих производителей. Дополнительную информацию можно получить по адресу: www.infoexpress.com.

КРАТКИЙ СПИСОК АНАЛОГОВ

- SecureSmart (Perfigo)

- Identity (Trusted Network Technologies)

- Integrated System (Vernier Networks)

ОЦЕНКА ОСНОВНЫХ ХАРАКТЕРИСТИК  

УДОБСТВО  

ХОРОШО  

ВОЗМОЖНОСТИ  

ОТЛИЧНО  

ПРОИЗВОДИТЕЛЬНОСТЬ  

ОТЛИЧНО  

СОВМЕСТИМОСТЬ  

УДОВЛ  

УПРАВЛЯЕМОСТЬ  

ХОРОШО  

МАСШТАБИРУЕМОСТЬ  

ХОРОШО  

БЕЗОПАСНОСТЬ  

ОТЛИЧНО  

Для проверки параметров каждого приложения администратор создает базовый тест (Basic Test). Несколько базовых тестов можно объединить в составной (Compound Test), использующий сложный набор правил. При организации этих тестов не исключены сложности (см. иллюстрацию). Однако на сайте технической поддержки InfoExpress имеется множество шаблонов для наиболее распространенных приложений.

Когда клиенты первый раз подключаются к беспроводной сети, коммутатор 4012 предоставляет им ограниченный доступ, основываясь на принятом по умолчанию списке контроля доступа (ACL). Затем программа-агент загружает политику с сервера CGLAN и проверяет клиентский компьютер на соответствие ей. Если проверка прошла успешно, CGLAN уведомляет об этом коммутатор 4012 и тот предоставляет доступ к сети. Программа-агент продолжает проверку на протяжении всей сессии. Клиентские машины, вошедшие в противоречие с заданной политикой, автоматически изолируются.

CGLAN обладает удобной системой уведомлений. Когда компьютер нарушает установленные правила, на экране появляется сообщение. Его можно отредактировать таким образом, чтобы объяснялись причины прекращения доступа в сеть. Оно может также содержать ссылки на веб-серверы с последними "заплатками" или обновлениями для антивирусных программ.