СЕТЕВОЕ АНТИВИРУСНОЕ СРЕДСТВО
Aladdin Knowledge Systems
eSafe Enterprise 2.2
Создателям вирусов и борцам с вирусами, по-видимому, так и суждено пребывать в бесконечном цикле противостояния: первые предпринимают атаки, вторые наскоро воздвигают защитные укрепления, затем создаются новые вирусы, и битва разгорается вновь. Однако некоторые производители средств безопасности полны решимости разорвать этот порочный круг, разрабатывая решения, которые позволяют на шаг опережать противника.
К числу этих компаний принадлежит Aladdin Knowledge Systems. Ее клиентская программа eSafe Enterprise 2.2 устанавливается на каждой пользовательской системе, входящей в сеть. В программе объединены несколько технологий, обеспечивающих превентивную защиту от вирусов, макровирусов, «червей» и агрессивного мобильного кода, например от апплетов Java и объектов ActiveX.
Клиент eSafe действует подобно стандартному антивирусному сканеру, просматривая файлы в поисках известных вирусов. Регулярные обновления позволяют ему быть в курсе последних новинок по части атак. Однако, наряду с этим, Aladdin предлагает возможности блокирования некоторых сценариев поведения программ. Любой вирус должен выполнить определенные действия, чтобы тиражировать самого себя: например, он добавляет программный код в загрузочные сектора или пытается проникнуть в программные файлы. Клиент eSafe отслеживает такие действия и в результате способен предотвращать новые атаки, еще не известные сканеру.
Aladdin манипулирует мобильным кодом с помощью своей технологии Sandbox II. Когда такой код запускается в настольной системе пользователя, Sandbox II проверяет системные ресурсы, к которым код пытается получить доступ. Заранее составленный список контроля доступа определяет, разрешен ли данному коду доступ к этим ресурсам. Если возникают подозрения на несанкционированные действия, Sandbox II изолирует код и извещает пользователя о происшедшем.
Управление всеми настольными клиентами осуществляется централизованным образом с консоли eConsole. Администраторы могут в удаленном режиме настраивать клиентов во всей корпоративной сети — группами или по отдельности. Программные обновления устанавливаются с сервера eConsole автоматически; администратор может блокировать любые пользовательские конфигурации, чтобы предотвратить случайное или намеренное внесение изменений в политику безопасности.
Клиенты Enterprise 2.2 поддерживают Windows 95/98 и Windows NT/2000, а eConsole — Windows NT/2000 и NetWare 3.x/4.x/5.x.
СИСТЕМА ВЫЯВЛЕНИЯ ВТОРЖЕНИЙ
Entercept Security Technologies
Entercept 2.0
Большинство систем выявления вторжений (Intrusion Detection System, IDS), защищающих хосты, используют известные сигнатуры атак: в IDS имеется база данных всевозможных профилей атак, и, когда распознается ситуация, соответствующая какому-либо из этих профилей, IDS генерирует предупреждение и останавливает потенциальную атаку.
Но что, если злоумышленник использует технические приемы, для которых сигнатура еще не составлена? Если вам повезет и атаке подвергнется не ваш компьютер, то спустя какое-то время противоядие будет найдено, и вы сможете обновить свою коллекцию сигнатур. Такой метод реагирования «постфактум» можно считать вполне приемлемым — до тех пор пока под огнем не окажетесь вы сами.
Система Entercept 2.0, выпущенная в июле 2000 г., исповедует иной, упреждающий подход к обеспечению безопасности хостов. Сердцевину технологии Entercept составляет программный агент, размещаемый вблизи ядра ОС компьютера. Агент ведет мониторинг системных и прикладных вызовов, прежде чем они достигают ядра. Поскольку эти вызовы определены достаточно строго, агент может идентифицировать потенциально опасные действия, даже если они не вписываются ни в какую из заранее описанных сигнатур атаки, и блокировать новые или неизвестные атаки. Используя механизм, основанный на наборе правил, агент может остановить операцию, известить администратора или позволить операции продолжиться, просто сделав запись о ней в журнале.
Entercept 2.0 не только умеет отражать неизвестные атаки, но и комплектуется полным набором сигнатур известных атак, причем эта база данных регулярно обновляется. Здесь можно найти защиту от целого ряда традиционных атак, таких, как переполнение буферов, «троянские кони» и т. п. Кроме того, система охраняет доступ к излюбленным целям злоумышленников: реестр, пароли и механизмы аутентификации.
Разумеется, некоторые операции, специфические для вашей организации, могут сбить Entercept с толку и инициировать ложную тревогу. Чтобы избежать этого, базу данных политики Entercept можно настроить так, чтобы действия, предпринимаемые администратором, выполнялись беспрепятственно.
В ведении центральной консоли могут находиться до 1000 агентов. Они регулярно загружают общие и специализированные обновления информации об атаках с консоли, а та в свою очередь проводит собственные обновления с помощью средства Entercept Instant Update. Вся связь осуществляется с применением шифрования по алгоритму Triple DES.
Entercept 2.0 выпускается в версиях для Windows NT/2000 и для платформ MicroSparc 32 и UltraSparc 32, использующих системы Solaris 2.6 и 2.7. Административная консоль работает под управлением Windows NT/2000.
МЕЖСЕТЕВОЙ ЭКРАН
Symantec
VelociRaptor
Межсетевые экраны, выполненные в виде автономных устройств, удовлетворяют насущные потребности корпоративных сетей в средствах безопасности, обеспечивая мощную защиту, сравнительную простоту установки и управления, а также приемлемую стоимость. Компании небольших и средних размеров могут защитить с их помощью центральную локальную сеть или среду удаленного офиса, не подрывая свой бюджет и не заставляя администраторов ломать голову над таинством установки.
Компании Axent Technologies (приобретенной Symantec в 2000 г.) удалось вложить в свой небольшой продукт VelociRaptor немало ценных возможностей. Он адресован главным образом предприятиям небольших и средних масштабов и предлагает известное ПО межсетевого экрана Raptor 6.5, интегрированное в сервер Cobalt RaQ формата 1U. По словам представителей Axent, данное решение обеспечивает производительность около 90 Мбит/с. В качестве операционной системы VelociRaptor использует усиленное ядро Linux, которое образует дополнительный уровень защиты: из него убраны ненужные службы и функции и тем самым число потенциально уязвимых мест ОС сокращено до минимума.
VelociRaptor представляет собой proxy-экран прикладного уровня. Такое решение считается более надежным, чем другие методы, например инспектирование пакетов с запоминанием состояния. Proxy-экран фильтрует трафик прикладного уровня, обеспечивая надлежащую безопасность с очень высокой степенью детализации. VelociRaptor поддерживает proxy-сервисы для многих распространенных служб — HTTP, ftp, DNS, telnet и др.
Сегодня экраны довольно часто оснащаются поддержкой VPN, и в этом отношении VelociRaptor не является исключением. В устройство интегрирован пакет Axent Power, правда, предлагаемая им пропускная способность составляет всего лишь 10 Мбит/с. Power поддерживает шифрование по протоколам DES и Triple DES и разнообразные схемы аутентификации.
Axent заявляет, что VelociRaptor можно установить за полчаса, начиная отсчет с момента вскрытия коробки и заканчивая пуском в обычном режиме. Установку помогают проводить несколько программ-мастеров; продуктом можно управлять в удаленном режиме с консоли Microsoft Management Console. Все эти возможности делают VelociRaptor особенно удобным для удаленных офисов, где нет своих администраторов.
VelociRaptor может работать с четырьмя соединениями Ethernet на 10/100 Мбит/c. Он поддерживает преобразование сетевых адресов (NAT) и ведение подробных файлов журналов, которые можно экспортировать для последующего анализа. Базовая версия обеспечивает защиту до 25 уникальных адресов IP. VelociRaptor допускает масштабирование до 100, 250 или неограниченного числа адресов.
VPN
Check Point Software Technologies
Check Point VPN-1, версия 4.1/Check Point 2000
В 2000 г. почтенный продукт Check Point VPN-1 был подвергнут косметической операции, в результате которой радикально изменился не только его внешний вид, но и функциональный диапазон. Этот основополагающий продукт, проверенный временем и закаленный во многих испытаниях, заметно обогатил свои возможности с точки зрения управляемости, доступности и совместимости и по-прежнему остается безусловным лидером весьма насыщенного рынка VPN.
В состав VPN-1 версии 4.1 включен пакет Check Point 2000 с расширенным кругом поддерживаемых платформ — в него вошли Windows 2000 и Linux. Кроме того, в нем поддерживается множество разнообразных методов аутентификации, в том числе Remote Authentication Dial-In User Interface (RADIUS), аппаратные токены и Terminal Access Controller Access Control System (TACACS).
Check Point 2000 дополнен интерфейсом прикладного программирования, обеспечивающим поддержку средств аутентификации от сторонних компаний, включая токены, продукты сканирования отпечатков пальцев и распознавания голоса, а также другие биометрические устройства.
Сегодня, когда практически все приложения приобретают критически важное значение для работы сети, модуль обеспечения высокой готовности (High Availability Module) в составе Check Point 2000 приобретает особую ценность, поскольку он гарантирует резервирование шлюзов VPN центрального узла. В случае отказа шлюза сеансы автоматически переключаются на заранее определенный резервный шлюз. Система выдает соответствующее предупреждение по электронной почте, средствами SNMP или на пейджер. Для предотвращения потери соединений можно использовать функции синхронизации таблиц состояний между членами кластеров. Шлюзы можно добавлять и удалять из кластера, не проводя его реконфигурацию или перезагрузку.
Что касается управления, здесь главным усовершенствованием является Visual Policy Editor — графический интерфейс для существующего редактора политики Check Point. Visual Policy Editor создает визуальную карту конфигурации защиты вашей сети и позволяет установить, как те или иные правила политики отразятся на работе сети. Это объектно-ориентированное средство гораздо удобнее для пользователя, чем необъятный список правил. Редактор позволяет нанести на карту все объекты — сети VPN, брандмауэры, маршрутизаторы, серверы и т. п. — и иллюстрирует их взаимосвязи друг с другом. Вы можете определять группы объектов или же манипулировать свойствами отдельных объектов. Visual Policy Editor дает возможность опробовать различные топологии и определить оптимальную структуру сети, благодаря чему вам придется меньше заниматься настройкой конфигурации и уточнением политики после установки.
Check Point 2000 инспектирует файлы журналов, отслеживая подозрительные события — несколько неудачных входов в сеть подряд, операции сканирования портов, атаки по типу SYN-Holding, подмену адресов. Механизм инспекции Check Point с запоминанием состояния также включает усовершенствованные возможности фильтрации и регистрации URL-адресов.
АУТЕНТИФИКАЦИЯ/КОНТРОЛЬ ДОСТУПА
Entrust Technologies
Entrust/PKI 5.1
Инфраструктуру открытых ключей (Public Key Infrastructure, PKI) трудно контролировать даже при самых благоприятных обстоятельствах, так что управляемость становится решающим фактором развертывания и сопровождения системы PKI.
Entrust/PKI 5.1 — незаурядное явление с точки зрения управляемости. Entrust начинает с рационализации архитектуры и затем укрепляет ее за счет возможностей массового управления пользователями, гибкой системой администрирования с набором заранее определенных ролей, в соответствии с различными уровнями привилегий и с возможностью создания нестандартных ролей. Сетевые администраторы смогут более гибко делегировать свои полномочия, предоставляя больше прав администраторам нижестоящих уровней и формируя более распределенную структуру управления.
Если для интеграции современных средств ролевого управления в другие продукты приходится прибегать к довольно громоздким процедурам, то Entrust/PKI 5.1 избавляет администраторов от большого объема работ, связанных с редактированием текста, чем обычно сопровождаются такие процедуры.
Продукт предлагает эффективные методы создания и модификации групп пользователей — очень полезная возможность для компании, где имеет место высокая текучесть кадров либо сотрудники часто переходят в другие отделы или на другие должности. Вы также сможете сэкономить массу времени благодаря гибким, простым в использовании средствам аудита журналов.
Еще больше облегчает администрирование вспомогательный модуль автоматической регистрации на базе Web под названием Entrust/AutoRA. Другой дополнительный пакет, Entrust/Roaming 5.1, позволяет входить в систему с любой рабочей станции.
Entrust/PKI 5.1 поддерживает как иерархическую, так и одноранговую структуру PKI. В иерархической конфигурации корневой орган сертификации (Certificate Authority, CA) может быть отключен, и это никак не отразится на работе подчиненных ему органов сертификации. Такая структура способствует укреплению безопасности и особенно удобна в той среде, где обязательным требованием является строгий контроль за соблюдением политики безопасности.
Версия 5.1 поддерживает сертификаты WAP. Она позволяет временно приостановить действие сертификата, чтобы можно было объективно оценить, восстанавливать ли данного пользователя в правах или окончательно лишить его прав доступа. Кроме того, версия 5.1 предлагает расширенную поддержку PKCS 11 и разнообразных аппаратных средств, таких, как токены и смарт-карты.