Аппаратно-программный брандмауэр Trusted Network закрывает основные бреши
Камерон Стардевант
Identity 2.0 производства Trusted Network Technologies представляет собой комбинированное аппаратно-программное решение, которое позволяет эффективно контролировать доступ к серверам и приложениям. Кроме того, оно дает клиентам возможность вести учет использования сети для последующего аудита.
В выпущенной в июле Identity 2.0 устранены многие слабые места, имевшиеся в первоначальной версии. Лаборатория eWeek Labs столкнулась с некоторыми трудностями в процессе интеграции информации Microsoft Active Directory с использованием административного веб-компонента I-Manager. Однако в целом комплекс Identity 2.0 работал хорошо. Мы рекомендуем ИТ-менеджерам обратить внимание на этот продукт, если им необходимо контролировать доступ к сегментам сети и проводить его аудит.
В состав Identity 2.0 входит вполне совершенный аппаратный брандмауэр под названием I-Gateway. Он располагается между пользователями и серверными ресурсами и работает в режиме реального времени. ПО Identity Driver устанавливается как на компьютерах пользователей, так и на серверах. Оно встраивает уникальную идентификационную информацию в пакеты данных, пересылаемые между защищенными системами в обоих направлениях. I-Manager служит интерфейсом управления. В ходе тестирования мы применяли его для инвентаризации пользователей и сетевых ресурсов, а также для создания политик безопасности.
Теоретически Identity 2.0 конкурирует с другими системами контроля безопасного доступа. Пользователи, успешно прошедшие аутентификацию с помощью I-Gateway, получают доступ к серверам и ресурсам в соответствии с правами, предоставленными им администратором сети. Хотя нам не известны другие продукты, в которых для модификации пакетов данных применялось бы именно такое сочетание устройства и ПО, мы не считаем, что менеджерам ИТ следует избегать данного подхода.
В новой версии Trusted Network устранила множество недостатков, первоначально имевшихся в Identity. Нам приятно было убедиться, что теперь устройство I-Gateway позволяет настраивать политику и получать сведения о ресурсах с помощью инструментов управления сетью на базе протокола SNMP. Кроме того, с версией 2.0 мы могли создавать политики для групп рабочих станций и серверов.
Возможности Identity в области составления отчетов всегда были впечатляющими. А версия 2.0 умеет формировать отчеты об активности I-Manager, в том числе о подключениях и применявшихся политиках.
Но даже несмотря на эти усовершенствования, менеджерам ИТ следует знать, что использование Identity 2.0 потребует большой работы по планированию, тестированию и сопровождению.
Изученное нами устройство Identity 2.0, работающее с гигабитной скоростью, стоит 15 тыс. долл. в расчете на 100 пользователей и 55 тыс. долл. для неограниченного числа клиентов. Это довольно высокие цены, учитывая, что в процессе установки и эксплуатации Identity 2.0 организациям придется прибегать к услугам фирмы-производителя. Интеграция каталога также добавит некоторую сумму - возможно, весьма значительную - к первоначальным расходам на приобретение Identity 2.0.
I-Gateway представляет собой монтируемое в стройку устройство высотой 2U (3,5 дюйма). Оно работает под управлением защищенной версии Linux. Расположение кнопок на передней панели - стандартное. Нам удалось установить и запустить его в течение нескольких минут.
Инженер из Trusted Network помог нам ознакомиться с процессом загрузки информации о сети, системе и пользователях. Мы рекомендуем средним и крупным организациям воспользоваться услугами Trusted Network при установке и запуске Identity 2.0.
Резюме для руководителей
Identity 2.0 Identity 2.0 компании Trusted Network хорошо подходит для проведения аудита доступа к приложениям и обеспечения безопасности на уровне сети. Для предоставления прав доступа используется комбинация работающего в режиме реального времени устройства и ПО, устанавливаемого на защищенных серверах и авторизованных рабочих станциях. Identity 2.0 встраивает идентифицирующую информацию в пакеты данных, пересылаемые между защищенными системами в обоих направлениях. На основе этой информации компонент I-Gateway определяет, является ли сетевой трафик допустимым. Дополнительные сведения можно получить по адресу: www.trustednetworktech.com. Анализ затрат. Identity 2.0 с устройством, работающим на гигабитной скорости, которое мы тестировали, стоит 15 тыс. долл. в расчете на 100 пользователей и 55 тыс. долл. для неограниченного числа клиентов. Стоимость лицензии сравнительно высока, учитывая тот факт, что для установки и обеспечения эффективной работы системы скорее всего потребуются услуги фирмы-производителя. Краткий список аналогов - Семейство продуктов InterSpect (Check Point Software Technologies) повышает безопасность в конечных точках сети. Обеспечивает наивысший уровень защиты от атак (www.checkpoint.com) - Cisco Secure Access Control Server (Cisco Systems) управляет доступом пользователей с применением различного сетевого оборудования производства Cisco, включая маршрутизаторы, брандмауэры и устройства для VоIP - Voice over IP (www.cisco.com) - Семейство аппаратных брандмауэров NetScreen для средних и крупных сетей (Juniper Networks) обеспечивает интегрированные и гибкие функции брандмауэра и управление на основе политик, которое может упростить решение некоторых задач контроля доступа с использованием идентификации (www.junipernetworks.com) |
Оценка основных характеристик | |
Удобство | Хорошо |
Возможности | Хорошо |
Управляемость | Хорошо |
Безопасность | Отлично |
Подготовка отчетов | Отлично |
При использовании Identity 2.0 необходимо выделить системные ресурсы для поддержания YADS (Yet Another Directory Synchronization; данный продукт работает с любой системой, совместимой с протоколом LDAP). Сначала мы столкнулись с трудностями, пытаясь заставить интерфейс I-Manager распознать информацию, хранящуюся у нас в Active Directory. Система легко и корректно импортировала сведения о пользователях из нашего контроллера домена Windows 2000, запущенного на сервере IBM eServer 325 с процессорами Xeon. Но неоднократные попытки войти в нее с правами, которые нам предоставила служба каталогов Active Directory, оказались безуспешными. Нам пришлось перезагрузить устройство Identity, прежде чем удалось воспользоваться импортированной информацией.
После перезагрузки мы смогли последовательно произвести несколько добавлений, изменений и удалений в списке пользователей в Active Directory без малейших проблем. Получение информации из каталога eTrust Directory корпорации Computer Associates International, построенного на базе LDAP, прошло без помех. Поэтому мы сочли, что наши трудности были вызваны какими-то особенностями применявшейся для тестирования инфраструктуры.