БЕЗОПАСНОСТЬ

Yoggie упаковала в миниатюрное устройство мощные технологии защиты

Gatekeeper Pro - настоящее чудо миниатюризации, способное защитить от сетевых опасностей любой хост, где бы тот ни находился. В это крохотное устройство размером чуть больше визитной карточки израильская фирма Yoggie (www.yoggie.com) вместила целый ряд самых современных технологий безопасности. Используемый в нем процессор с рабочей частотой 500 МГц специально создан для выполнения защитных функций, а сдвоенная подсистема памяти не позволяет хакерам изменить усиленную Linux (эта ОС жестко "прошита" в первом блоке оперативной памяти, откуда автоматически загружается во второй блок при каждом включении устройства).

Инновационный подход позволил Yoggie создать специализированное персональное защитное устройство с богатым арсеналом функций безопасности. Заложенная в Gatekeeper Pro антивирусная технология Kaspersky Lab блокирует вирусы и программы-шпионы, не пропуская их на защищаемую клиентскую машину. Дополнительная защита каналов связи обеспечивается за счет встроенных прокси-серверов для протоколов HTTP, FTP, SMTP и POP3 (Post Office Protocol Version 3 - почтовый протокол, версия 3). В дополнение ко всему этому Gatekeeper Pro оснащен двунаправленным межсетевым экраном, клиентом IPSec (IP Security - IP-безопасность) и модулем IDS/IPS (Intrusion Detection System/Intrusion Prevention System - система обнаружения взломов/система предупреждения взломов).

Отсеивание спама и защита от фишинга выполняются посредством механизма MailShell, а для фильтрации Web-контента используется технология фирмы SurfControl. Имеется в Gatekeeper Pro и механизм проверки протокола Layer-8, который Yoggie специально разработала для отражения новых, неизвестных типов атак.

Инновационный подход позволил Yoggie создать специализированное персональное защитное устройство с богатым арсеналом функций безопасности.

Обеспечив защиту на сетевом уровне, фирма устранила (по крайней мере теоретически) первопричину множества опасений, зачастую возникающих у администраторов в отношении средств защиты на базе хостов. Поскольку Gatekeeper Pro является специализированным аппаратным средством, их больше не должна тревожить перспектива конфликтов со средствами защиты, перегрузки памяти и отбора циклов ЦПУ на нужды обеспечения безопасности. Более того, новинка избавляет администраторов от сложностей управления большим числом систем.

Вот только Gatekeeper Pro не обеспечивает защиту на уровне файловой системы, а это значит, что сохраняется опасность заражения системы с USB-устройств внешней памяти, компакт-дисков и DVD. Другими словами, здесь не обойтись без установки на компьютер дополнительных защитных программ. Одну из них - антивирус Касперского с годовой подпиской - Yoggie включила в комплект Gatekeeper Pro. Это, правда, может понравиться далеко не всем. Во-первых, у администратора появляется еще одно приложение, которым нужно управлять, а во-вторых, оно может оказаться совершенно ненужным и требовать лишних затрат там, где уже используются другие средства защиты от вирусов.

Вместе с годовой лицензией на обновление программных компонентов Gatekeeper Pro стоит 220 долл. По истечении 12 месяцев покупатель может за 40 долл. заключить дополнительный сервисный контракт, дающий право на модернизацию программного обеспечения (включая лицензию на клиентскую версию антивируса Касперского) в течение следующего года. В ближайшее время Yoggie обещает выпустить облегченный вариант своей новинки - Gatekeeper Basic ценой 180 долл., где в отличие от модели Gatekeeper Pro не будет средств защиты электронной почты, фильтрации Web-контента и борьбы с программами-шпионами.

Yoggie оснастила свой

Gatekeeper Pro кабелем USB,

который “по совместительству”

защищает устройство от ударов

Gatekeeper Pro можно установить двумя способами - последовательно и с перенаправлением трафика. Тестируя первый вариант, мы подключили один из Ethernet-портов к своему сетевому коммутатору, другой соединили с тестовым компьютером ThinkPad T60 фирмы Lenovo Group. Отметим, что напряжение питания может подаваться на устройство либо через USB-порт ноутбука, либо от дополнительного источника питания (в комплект поставки он не входит).

При последовательном включении Gatekeeper Pro, как и полагается устройству сетевой безопасности, обеспечивает защиту любых устройств и операционных систем. Подключенный к устройству клиент оказывается по существу в отдельной подсети NAT (Network Address Translation - преобразование сетевых адресов), полностью изолированной от остальных сетевых сегментов. Для этого, правда, пользователь должен быть подключен к проводной вычислительной сети, что в сегодняшнем беспроводном мире становится все большей редкостью. С учетом данного обстоятельства Yoggie предусмотрела режим с перенаправлением трафика, требующий установки на клиентской операционной системе специального драйвера (на сегодняшний день он реализован только для Windows XP). Такой драйвер, располагаясь под сетевым стеком операционной системы, направляет весь входящий трафик на Gatekeeper Pro, где производятся его проверка и чистка. После обработки трафик вновь возвращается в операционную систему. Устройство Yoggie при этом подключается только к порту USB защищаемого компьютера. Режим с перенаправлением позволяет обеспечивать безопасность при любом подключении к сети, будь то Wi-Fi, WWAN (Wireless WAN - беспроводная ГВС), Bluetooth либо проводное соединение через порт USB или PCMCIA.

Автоматически обнаружив наличие Gatekeeper, драйвер по умолчанию позволяет компьютеру выходить в сеть только через это устройство. Как только пользователь отключит его от порта USB, доступ компьютера в сеть сразу же прервется. При желании администратор может разрешить и прямой доступ с компьютера в сеть, задав пользовательский пароль, по которому можно обходить защитные барьеры Yoggie и временно подключаться к сети напрямую. Но это конечно же сразу делает компьютер пользователя уязвимым для сетевых атак.

Сходные продукты

     - Gatekeeper Pro фирмы Yoggie просто не имеет аналогов среди известных нам устройств. По своей функциональности новинка в какой-то степени сходна с программными средствами сетевой защиты наподобие Client Security 3.1 производства Symantec (www.symantec.com) или Total Protection for Enterprise фирмы McAffee (www.mcaffee.com), а своими размерами и способностью работать в частных сетях напоминает мобильные маршрутизаторы компаний Belkin (www.belkin.com) и Linksys (www.linksys.com).

Как показало тестирование, Gatekeeper Pro успешно защищает систему от внешних воздействий. Просканировав порты с помощью Nmap Security Scanner, мы убедились, что межсетевой экран этого устройства скрывает (но не закрывает) их. Если же какой-то из портов нужен для работы размещенного на защищаемой системе сервиса, его можно транслировать в положение перед Gatekeeper Pro. Когда же мы попытались загрузить через FTP и НТТР зараженные вирусами файлы, в том числе и сжатые в формат .zip, новинка их сразу же распознала и на компьютер не пропустила.

Yoggie постаралась предельно упростить конфигурирование Gatekeeper Pro и управление этим устройством, однако недостаточно позаботилась о пояснении выполняемых действий. Взять, к примеру, выбор уровня защиты (он может быть высоким, средним или низким), который производится простым перемещением бегунка на графическом Web-интерфейсе. Казалось бы, все очень просто, но... Ни из онлайновой справки, ни из прилагаемой документации мы так и не узнали, чем же эти уровни отличаются друг от друга: все сводилось к общим словам насчет компромисса между безопасностью и функциональностью. И только представитель Yoggie рассказал, что главное различие между ними заключается в настройке межсетевого экрана. Средний уровень, который устанавливается по умолчанию, предполагает блокировку всего входящего трафика и свободный пропуск всего исходящего. При высоком же уровне защиты исходящие подключения разрешены только по нескольким портам (по мере обнаружения других различий мы будем публиковать их в блоге blogs.eweek.com/signaling_it).

Как уже упоминалось, управлять каждым устройством Gatekeeper Pro можно индивидуально через специальную Web-страницу, но корпорациям такой способ подойдет едва ли. Им стоит подумать о приобретении сервера управления Yoggie Management Server - специализированного устройства, предназначенного для управления политикой Gatekeeper Pro и подготовки отчетов в масштабах целого предприятия. Правда, сказать что-либо об этом сервере мы пока не можем, так как на момент подготовки настоящего обзора протестировать его не удалось.

В самом начале испытаний Web-серфинг через Gatekeeper Pro был очень медленным, что в общем-то не удивительно. Выступая в роли Web-прокси, это устройство самостоятельно ищет адрес каждой запрошенной страницы на сервере DNS (Domain Name System - доменная система имен). К сожалению, в конфигурации устройства можно указать только один такой сервер, и если тот в данный момент перегружен или не работает, система все равно будет дожидаться его ответа. В отличие от обычных клиентских устройств Gatekeeper Pro, увы, не в состоянии переключиться на вторичный сервер DNS.

Устройство способно обрабатывать файлы размером не более 10 Мб, поэтому администратору придется либо запретить пересылку бoльших файлов, либо ограничиться их частичным сканированием.

Нельзя не отметить и некоторую ограниченность новинки по объемам и типам сканируемого трафика. Устройство способно обрабатывать файлы размером не более 10 Мб, поэтому администратору придется либо запретить пересылку бoльших файлов, либо ограничиться их частичным сканированием. К тому же Gatekeeper Pro оснащен портами USB 1.1 с пропускной способностью 12 Мбит/с и не поддерживает технологию USB 2.0 с расчетной скоростью до 480 Мбит/с. Применение устаревшей спецификации грозит создать заторы при работе в быстрых сегментах ЛВС, особенно в режиме перенаправления трафика. Представители Yoggie, впрочем, поясняют, что это устройство рассчитано в первую очередь на мобильных пользователей, которые имеют дело со сравнительно медленными подключениями. В офисах же, где и без того созданы мощные оборонительные рубежи, оно может оказаться излишним.

Несколько насторожили нас и слишком уж малые размеры устройства. Конечно, способность Yoggie упаковать в свой миниатюрный продукт так много функций заслуживает всяческого уважения, однако не стоит забывать: чем меньше предмет, тем легче он теряется. Не очень нам понравилось и то, что Gatekeeper Pro висит на USB-кабеле. Было бы намного лучше, если бы Yoggie реализовала его в виде карты PCI Express Mini-Card, а затем в сотрудничестве с производителями ноутбуков встроила в компьютер. Другой вариант - выполнить защитный модуль в виде USB-переходника, обеспечив тем самым дополнительную защиту от опасностей, которые могут таиться во внешних жестких дисках.

И напоследок еще одно замечание. Yoggie на сегодняшний день не может предложить пользователям практически никаких ресурсов поддержки. Нет ни онлайновой справочной службы, ни форумов. Нам, скажем, чтобы снять возникавшие у нас вопросы, пришлось звонить в Израиль. К счастью, необходимую информацию можно достаточно быстро получить по электронной почте, обратившись по адресу: support@yoggie.com.

С техническим аналитиком Эндрю Гарсиа можно связаться по адресу: andrew_garcia@ziffdavis.com.