БЕЗОПАСНОСТЬ
Но устройства FaceTime, McAfee и Mi5 нуждаются в поддержке на уровне настольных систем
Шлюзовые устройства, которые отслеживают и блокируют доступ к Web-сайтам и загрузкам, одаривающим пользователей шпионскими программами, предоставляют ИТ-администраторам эффективное средство подавления вредоносного ПО до того, как оно сможет инфицировать корпоративные ПК. Однако эту аппаратуру нельзя рассматривать как единственно достаточную линию обороны, так как она не имеет функций очистки и не может следить за ПК, вынесенными за пределы корпоративной сети.
Тестовый центр eWeek Labs недавно познакомился с тремя вариантами антишпионских аппаратных шлюзов: Real-Time Guardian 500 фирмы FaceTime Communications, Secure Web Gateway 3300 компании McAfee и Enterprise Spygate 005 фирмы Mi5.
Mi5 Enterprise Spygate 005 обеспечивает блокирование spyware при
линейном подключении либо мониторинг по боковому каналу
В целом мы убедились, что все они эффективно блокируют большинство угроз, используя встроенные "черные списки"URL-адресов и технологию доскональной инспекции для распознавания сигнатур опасного ПО. В плане обнаружения угроз наиболее универсально устройство SWG 3300 от McAfee, хотя оно существенно дороже остальных двух продуктов. Предложения FaceTime и Mi5 тоже располагают неплохим потенциалом и требуют гораздо меньших затрат, но сегодня они имеют и довольно серьезные недоработки.
Real-Time Guardian 500
Устройство RTG 500 фирмы FaceTime, использующее программную прошивку RTG 3.1 (Build 1413), эффективно блокирует то, что его производитель называет словом "greynets”, - трафик сомнительных (по крайней мере для корпоративной среды) приложений, скрытно просачивающихся через порт 80. Мы выяснили, что RTG позволяет воспрепятствовать не только переносу spyware через HTTP-подключения, но и несанкционированному использованию сервисов мгновенных сообщений (IM) и P2P-сетей. Однако разработчики RTG 500 упустили из внимания защиту систем при FTP-загрузках.
Резюме для руководителей FaceTime Real-Time Guardian 500 Real-Time Guardian 500 фирмы FaceTime Communications обеспечивает хорошую защиту HTTP-коммуникаций от шпионского ПО и отличается от всех протестированных продуктов наибольшей простотой и минимальной трудоемкостью развертывания, однако этот продукт полностью игнорирует угрозы по линии FTP. Дополнительные возможности блокирования нежелательного трафика обеспечивают модули, контролирующие использование IM и P2P-сетей. Скоро продукт значительно улучшится, так как FaceTime готовит к выпуску пакет, интегрирующий защиту на уровне шлюза и клиентских ПК. Дополнительная информация - на сайте www.facetime.com. Ценовой анализ. Полностью укомплектованный продукт Real-Time Guardian 500 стоит $14 995 и занимает средний ценовой уровень в тройке протестированных устройств, но его серьезный пробел в защите FTP потребует от пользователей лишних затрат. Однако устройство имеет ценную функцию контроля не-HTTP-приложений, проникающих через порт 80. |
Оценка основных характеристик | |
Развертывание | Отлично |
Web-блокирование | Хорошо |
Не-http-блокирование | Удовлетворительно |
Отчеты | Хорошо |
Управление | Хорошо |
Устройство RTG 500, предлагаемое в полнофункциональном варианте за $14 995, может одновременно обслуживать 2500 пользователей. Выпущенная в январе прошивка RTG 3.1 обеспечивает обязательную криптозащиту интерфейса управления и интеграцию с другой системой FaceTime - Greynet Enterprise Spyware Manager.
При работе с RTG 500 можно легко отслеживать дополнительные HTTP-порты
В тройке протестированных продуктов RTG 500 оказался самым простым для установки. Мы подключили устройство с внутренней стороны брандмауэра к порту коммутатора, служащему для мониторинга сети, что избавило от необходимости переконфигурировать сеть. Тем не менее пользователям следует удостовериться, что этот порт коммутатора поддерживает двустороннюю передачу данных, ведь для того чтобы заблокировать запрещенный трафик и попытки загрузки вредного ПО, RTG 500 надо отправлять сообщения TCP reset.
RTG 500 легко обнаружило наши ранее инфицированные клиенты и отклонило большинство попыток загрузить новые инфекции, хотя и пропустило пару "нечестных"антишпионских приложений, имеющих свои привешенные шпионские функции.
Устройство оснащено легко настраиваемыми средствами для формирования пользовательских черных списков и наравне с разработкой McAfee позволяет организовать мониторинг не только по порту 80, но и по добавочным HTTP-портам.
Что предлагает рынок - ProxySG фирмы Blue Coat Systems. Использует для защиты от spyware технологию кэширования Blue Coat и сторонние решения по Web-фильтрации (www.bluecoat.com). - Real-Time Guardian 500 фирмы FaceTime. Солидное решение для противодействия spyware, правда, без тонкой проработки функций управления; в ближайших планах производителя - интеграция шлюза и ПК в плане функциональности и управления (www.facetime.com). - Secure Web Gateway 3300 компании McAfee. Прекрасные возможности обнаружения шпионского ПО и вирусов на уровне шлюза при сравнительно высокой стоимости (www.mcafee.com). - Enterprise Spygate 005 фирмы Mi5. Как средство противодействия шпионскому ПО, устройство Enterprise Spygate 005 сегодня подходит для малого бизнеса, но в будущем имеет перспективы выйти на корпоративный уровень (www.mi5networks.com). - Web Filter компании SurfControl. Продукт SurfControl, выросший на базе технологии Web-фильтрации, также использует сигнатуры для обнаружения вредного ПО (www.surfcontrol.com). - InterScan Web Security Suite фирмы Trend Micro. Включает как шлюзовые, так и настольно-ориентированные решения для блокирования spyware и вирусов (www.trendmicro.com). |
Его функциональность защищает от угроз 18 категорий. Мы легко смогли задать исключения для конкретных IP-адресов. Однако продукт не настолько проработан, чтобы задавать разные политики для разных групп пользователей; он лишь дает возможность активизировать или отключить защиту от spyware для каждой отдельной группы. В настоящее время устройство также не умеет отслеживать и блокировать трафик FTP (у нас оно потерпело неудачу во всех тестовых FTP-загрузках), оставляя зияющую брешь в обороне от spyware. По словам представителей FaceTime, эта функция появится в будущих выпусках продуктов семейства RTG.
В комплекте с ePolicy Orchestrator продукт McAfee предоставляет наилучшие
возможности анализа отчетов о фильтрации spywarе
Защита по линиям шпионского ПО, IM и P2P управляется независимо, и мы, например, могли ввести в действие политику защиты от spyware, но при этом только отслеживать IM-активность. Мы убедились, что RTG 500 позволяет эффективно ограничивать использование IM и P2P-сетей, препятствуя несанкционированным подключениям корпоративных пользователей.
RTG 500 имеет неплохой сервис отчетов, но аналогичные функции продуктов McAfee и Mi5 проработаны лучше. Хотелось бы, чтобы устройство могло отключать те или иные фильтры прямо из интерфейса отчетов для быстрого реагирования на ложные срабатывания.
Secure Web Gateway 3300
Самыми полными возможностями защиты и наиболее гибкими функциями управления и использования отчетов среди всех трех проверявшихся продуктов обладает SWG 3300 компании McAfee. Но за все это надо заплатить порядочные деньги.
Мы познакомились с младшим из устройств McAfee - SWG 3300, включающим пару процессоров Intel Xeon 2,8 ГГц, 4-Гб ОЗУ, два порта Gigabit Ethernet и продублированный блок питания. Более совершенная модель SWG 3400 имеет ту же аппаратную базу плюс ASIC-ускоритель (application-specific integrated circuit), предназначенный для повышения производительности.
Нас огорчило, что SWG 3300 не снабжен обходным каналом передачи на случай отказа (как это сделано в устройстве Mi5), однако McAfee предоставляет опции кластеризации группы SWG-устройств для увеличения отказоустойчивости и производительности, чего пока нет в других проверявшихся продуктах.
Резюме для руководителей
McAfee Secure Web Gateway 3300 SWG 3300 компании McAfee обеспечивает наиболее полную защиту от spyware в ряду известных нам шлюзовых устройств. Дополнительным плюсом является тот факт, что SWG 3300 использует ту же инфраструктуру управления, что и настольные антивирусные и антишпионские решения McAfee. Хотя устройство не имеет аварийных функций транзитной передачи, только SWG 3300 можно объединять в кластеры для повышения пропускной способности и отказоустойчивости. Дополнительная информация - на сайте www.mcafee.com. Ценовой анализ. SWG 3300 отличается очень высокой стоимостью, но в сумму $23 085 входит бессрочная лицензия на обновление сигнатур шпионского ПО, и ее стоимость со временем амортизируется. Предлагаемый в дополнение модуль Web-фильтрации потребует значительных расходов ($13 250 в год), так что пользователям надо тщательно взвесить выгоды использования системы в существующей среде. |
Оценка основных характеристик | |
Развертывание | Хорошо |
Web-блокирование | Отлично |
Не-http-блокирование | Хорошо |
Отчеты | Отлично |
Управление | Хорошо |
В ряду сравниваемых аналогов SWG 3300 буквально подавляет своей ценой. Одна его аппаратная часть стоит $12 995 (правда, она вмещает и гораздо больше ресурсов); бессрочная лицензия для 1000 клиентов на ПО против вирусов и spyware стоит $10 090. А за пользование дополнительным модулем Web-фильтрации для 1000 клиентов придется выплачивать $13 250 в год.
Мы установили SWG 3300 с тыльной стороны брандмауэра, выбрав режим прозрачного моста. Устройство может работать и в конфигурации маршрутизатора, а также в режиме прокси, причем в последнем случае используется протокол ICAP (Internet Content Adaptation Protocol), соединяющий SWG с действующими прокси-серверами.
В наших тестах устройство SWG 3300 явно превзошло остальные продукты, сумев распознать все ранее инфицированные узлы сети и все попытки загрузки вредных программ, за исключением LSP-ПО, которое инсталлируется при использовании сервисов New.net (LSP, или layered service provider, - посторонний программный модуль, внедряемый в системный Windows-обработчик TCP/IP. - Прим. переводчика).
SWG 3300 также безупречно отразило попытки загрузки с неизвестного Web-сервера и смогло заблокировать опасное ПО, поступавшее через FTP.
Для администрирования SWG можно использовать как встроенный Web-интерфейс, так и McAfee ePolicy Orchestrator, в зависимости от числа управляемых устройств или инсталляций ПО McAfee. Модель SWG 3300 предоставляет обширный выбор опций конфигурирования политики - гораздо больший, чем в других продуктах.
Enterprise Spygate 005
Mi5, предлагающая корпоративные устройства Enterprise Spygate, немножко запуталась с их позиционированием. Официально они предназначаются для обработки трафика крупных предприятий, однако оснащены слишком простыми средствами управления, рассчитанными на тех администраторов, которые работают в малом бизнесе и не хотят разбираться с обилием предлагаемых опций.
eWeek Labs познакомилась с устройством 005, средней моделью линейки Mi5 Enterprise Spygate, состоящей из пяти продуктов. Будучи рассчитано на объемы передачи 100 Мбит/с и 1000 подключенных пользователей, 005 предлагается за $5995 (само устройство) плюс $2995 за годичную подписку на обновление сигнатур.
Резюме для руководителей Mi5 Enterprise Spygate 005 Enterprise Spygate 005 фирмы Mi5 отличается специализированной направленностью на защиту от spyware. Продукт имеет хорошую библиотеку для обнаружения и фильтрации шпионского ПО, неплохой сервис отчетов и ряд удачных функций высокой готовности, но, к сожалению, не ориентирован на четко определенный сегмент рынка. Будучи новой разработкой молодой компании, устройство должно еще немного дозреть, чтобы стать серьезным кандидатом на применение в корпоративном секторе, и на это может уйти год. Дополнительная информация - на сайте www.mi5networks.com. Ценовой анализ. Enterprise Spygate 005 стоит $8990 и является самым доступным из рассмотренных продуктов. Он несколько ограничен во вспомогательных функциях, однако может стать неплохим приобретением непосредственно в плане защиты, если производитель расширит возможности управления. |
Оценка основных характеристик | |
Развертывание | Отлично |
Web-блокирование | Хорошо |
Не-http-блокирование | Хорошо |
Отчеты | Хорошо |
Управление | Удовлетворительно |
Данную модель легко можно запустить в работу, подключив к порту коммутатора для мониторинга сети, что позволяет отслеживать проникновение spyware без перемен в конфигурации сети. Однако блокировать Web-активность, в отличие от RTG 500 фирмы FaceTime, Mi5 005 в этой конфигурации не может. Для блокирования мы разместили 005 линейно - в режиме прозрачного моста между брандмауэром и локальной сетью. В отличие от McAfee SWG 3300 все варианты Mi5 имеют транзитный маршрут передачи данных, позволяющий передавать трафик в Интернет даже при отказе самого устройства или полном его выходе из строя.
В тестах Mi5 оказался слабейшим из трех продуктов - он не заметил несколько "нечестных"антишпионских приложений и даже предоставил пропуск к сайту, распространяющему инфекцию Windows Metafile Exploit.
Правда, это устройство сумело, хотя и несколько необычным образом, отреагировать на FTP-угрозы. Из-за некоторых аномалий реализации FTP в Microsoft Internet Explorer оно не может полностью прекратить FTP-загрузку, заменяя вместо этого инфицированные данные "мусорными"битами. Распространение инфекции останавливается, что регистрируется в главном протоколе, но пользователь остается в неведении и не понимает, почему загруженный файл оказывается неработоспособным.
У нас есть целый список претензий по управлению устройствами Enterprise Spygate. Мы не смогли организовать мониторинг добавочных HTTP-портов; у нас были загвоздки с использованием символов подстановки для задания собственных черных списков; у нас ничего не получилось с созданием политик, предусматривающих разные правила для разных ПК или диапазонов IP-адресов; наконец, нам приходилось вручную перезагружать антишпионский модуль и переключаться между управлением по основному и вспомогательному каналам, чтобы активизировать изменения фильтров.
Представители Mi5 охотно признают недостатки своей молодой и еще несовершенной линейки продуктов и обещают активно поработать над ее улучшением. И действительно, за время нашего знакомства с продуктом появилось четыре обновления его программной прошивки, одно из которых устранило проблему подстановочных символов в URL.