Защита корпоративных сетей от взломов и атак — одна из самых затратных и трудоемких задач, стоящих перед администраторами сетей и поставщиками решений. Ее дополнительно усложняет постоянная угроза атак типа «отказ в обслуживании» и возможность проникновения червей из Интернета.
Администраторы сетей постепенно осознали ценность систем обнаружения вторжений. Эти решения, в состав которых входят аппаратные и программные средства обнаружения попыток проникновения в сеть или взлома, позволяют загруженным работой администраторам выявлять в сети события, которые при других обстоятельствах могли бы остаться незамеченными. Однако многие специалисты по информационной безопасности отмечают, что в качестве средства борьбы с опытными хакерами эти системы оставляют желать лучшего. Подобно охранной сигнализации, такая система подает сигнал опасности, но ничего не может сделать для немедленного пресечения попытки вторжения.
Поэтому сегодня одна из самых актуальных задач — недопустить вторжения. Система предотвращения вторжения является для корпоративной сети тем же, чем являются стальные ставни для вашего дома: их задача не пустить посторонних внутрь.
Межсетевые экраны (МСЭ) хотя и должны защищать сети от вторжений, часто реагируют слишком медленно и в современном мире широкополосных соединений не всегда способны предотвратить вторжения. В МСЭ не всегда предусмотрены стратегии защиты, функции отчетности и возможности тонкой настройки, что позволило бы получить высокоэффективную систему обнаружения и блокирования вторжений, особенно в свете того, что для «обхода» МСЭ создаются все более сложные способы атак.
Все это открывает перед реселлерами широкие возможности по оказанию помощи в решении множества проблем защиты информации путем внедрения систем обнаружения и блокирования вторжений.
Инженеры Тест-центра CRN внимательно изучили продукт, который вполне может быть как раз таким идеальным решением для защиты сетей от непрошеных вторжений: это система McAfee IntruShield компании Network Associates, создававшаяся специально для предотвращения вторжений и атак. Она состоит из нескольких аппаратных и программных компонентов.
Главным аппаратным элементом является IntruShield Sensor — монтируемое в стойку устройство, которое обеспечивает мониторинг сетевого трафика и управление им. Это изделие служит также шлюзом для всей сети и в зависимости от модели может масштабироваться, обеспечивая пропускную способность до 2 Гбит/с. Инженеры Тест-центра выбрали для тестирования модель IntruShield 1200, так как она ориентирована на компании среднего размера и способна справиться с нагрузкой до 100 Мбит/с.
IntruShield Sensor обеспечивает различные уровни поддержки. Можно установить несколько таких блоков для преодоления последствий отказов, причем каждый блок можно настроить таким образом, что при отказе он будет либо пропускать весь трафик («открытый» режим), либо блокировать подозрительный трафик («закрытый» режим).
Аппараттура предоставляет несколько способов контроля трафика. Можно контролировать сетевой трафик выборочно либо осуществлять полный контроль всего трафика. Такая гибкость позволяет реселлерам использовать «пошаговый» подход при установке устройства: сначала реализовать функции мониторинга и регистрации трафика, затем выборочно контролировать часть трафика и, наконец, обеспечить полное обнаружение подозрительной деятельности и подключить функции блокировки.
Реселлеров порадует, что все модели IntruShield Sensor имеют одинаковый набор функций и различаются лишь числом портов и номинальной полосой пропускания.
Другой важной частью полного решения является консоль администратора, представляющая собой систему, работающую под управлением ОС Windows 2000. В состав системы входит диспетчер IntruShield Manager, отвечающий за подключение устройства IntruShield Sensor и управление его работой. Диспетчер использует базу данных MySQL, а за дополнительную плату можно приобрести СУБД Oracle. Network Associates рекомендует инсталлировать консоль на многопроцессорной рабочей станции или на сервере, имеющем как минимум 512 Мбайт памяти и достаточный объем дискового пространства. Управляющая система собирает всю статистику о трафике и обеспечивает через браузер доступ ко всей системе IntruShield.
Консоль на базе браузера интуитивно понятна. Она работает на любой системе с Microsoft Internet Explorer версии 5.5 и выше. После первоначальной регистрации администратор видит перед собой лаконичный экран, состояние системы на котором отображается в виде «приборной доски». С этого экрана можно проанализировать любой показатель трафика, создавать отчеты, а также задавать политики, — набор правил, с помощью которых на основе ряда критериев, включая известные и неизвестные атаки или обнаруженные аномалии, блокировать или пропускать трафик. Политики задаются с помощью мастера, что облегчает работу администратора.
IntruShield имеет превосходные функции отчетности, включая функцию составления предназначенных для руководства сводных отчетов с графиками, а также подробных отчетов по диагностике, которые легко создаются и могут генерироваться автоматически по расписанию с доставкой по электронной почте в формате PDF или HTML.
NA McAfee IntruShield 1200
Цена (в США): 10995 долл.
Гарантия: 90 дней
Дистрибьюторы: поставляется напрямую
Компания: Network Associates
Техническая оценка: ****
Оценка работы с каналом: ****
Программы работы с каналом: в середине 2003 г. Network Associates купила компанию IntruVert Networks и ее технологию McAfee IntruShield и сейчас работает над объединением программ работы с каналом. Представители по работе с каналом на местах обеспечивают обучение методике сбыта и техническую подготовку и участвуют в совместных звонках заказчикам. Компания предлагает также материалы по сбыту и другую поддержку. Фонды маркетинга зависят от объема продаж партнера.
Примечание: поставщики могут получить до пяти звезд за технические характеристики продукции, и до пяти — за предлагаемые программы для канала. Тест-центр CRN рекомендует продукцию каналу, если среднее значение этих двух оценок составляет не менее четырех.