Контроль за посещениями Web-узла компании может стать сущим кошмаром для администраторов ее информационной сети. К счастью, на рынке существует множество пакетов контроля за доступом, которые помогают справиться с данной проблемой. Мы оценили шесть из них: getAccess 4.5 компании Entrust Technologies, NetPoint 4.0 компании Oblix, SiteMinder 4.5 фирмы Netegrity, DirectorySmart 4.5 от Open Network, ClearTrust SecureContol 4.5 фирмы Securant Technologies и Webthority 3.0, представленный Symantec.

ClearTrust SecureControl занял высшую строчку нашего рейтинга. Среди его уникальных функций — возможность задания правил (позволяет разрешать или запрещать доступ в зависимости от настраиваемых атрибутов пользователя), средство тестирования (предназначено для контроля учетных записей пользователей и проверки их прав доступа), а также инструментарий реагирования на события (обеспечивает инициализацию процедур, необходимых при возникновении системных событий). Кроме того, данный пакет способен взаимодействовать с межсетевым экраном (МЭ) Firewall-1 компании Check Point для блокирования IP-адреса потенциального взломщика и имеет развитый интуитивный интерфейс. Все это позволило SecureControl получить «Голубую ленту» Network World.

Второе место оспаривали сразу два претендента — NetPoint и SiteMinder. Программа Active Automation, входящая в состав NetPoint и предназначенная для автоматизации процессов реагирования на системные события, стала «сильным аргументом» в пользу продукта Oblix. Средства Active Responses продукта SiteMinder, активизирующиеся при возникновении определенных событий в системе, также заслуживают серьезного внимания. И NetPoint, и SiteMinder содержат средства тестирования, которые предназначены для проверки корректности заданных правил перед их применением к учетным записям пользователей. Оба пакета позволяют хранить всю программную логику в активном каталоге вместе с учетными записями, благодаря чему используется меньше аппаратных ресурсов.

Оставшиеся продукты не предоставляют такое же количество инструментальных средств, как предыдущие, но показали удовлетворительные результаты при тестировании. DirectorySmart дает возможность проверять системные события и включает в себя меню услуг, которое позволяет каждому пользователю создавать и настраивать собственную страницу-портал в формате HTML. Webthority оказался единственным продуктом контроля за доступом к Web-ресурсам, опирающимся исключительно на proxy-метод; в случае его применения не требуется изменений в аппаратном и программном обеспечении серверов информационного наполнения. GetAccess также содержит полезный инструментарий для создания личной Web-страницы каждого пользователя. С его помощью можно уменьшить число справочных запросов от пользователей, пытающихся получить доступ к контролируемым участкам корпоративного Web-узла. Мобильный компонент GetAccess поддерживает беспроводной доступ к системе и обеспечивает так называемый cookie-proxy-метод, при использовании которого все cookie-файлы кэшируются на proxy-сервере и не посылаются клиентским браузерам.

Абсолютная власть или делегирование?

Все протестированные нами продукты способны помочь в администрировании Web-среды большой компании. Для упрощения достаточно сложных задач отслеживания сотен тысяч учетных записей пользователей применяется механизм делегирования полномочий, который позволяет передавать отдельные права так называемым «субадминистраторам». В иерархии их типов основными являются два: это «суперадминистратор», обладающий правами контроля за всей системой, и «субадминистратор», который «ведает» лишь определенным набором учетных записей и ресурсов.

Пять из шести представленных продуктов позволяют делегировать полномочия. Однако Webthority компании Symantec не обеспечивает возможности создавать учетные записи администратора с ограниченными правами, поэтому администратор либо получает сразу все полномочия, либо не имеет их вообще.

При создании и администрировании учетных записей потребителей пакет ClearTrust SecureControl оказался наиболее интуитивным и простым в обращении. На внесение записей новых пользователей и присвоение им прав уходили считанные минуты. Интерфейсы пакетов Webthority и getAccess достаточно просты, но не столь функционально разнообразны. Интерфейс DirectorySmart позволяет легко осуществлять административные изменения, но некоторые системные сообщения показались нам недостаточно ясными.

Средства саморегистрации имеются во всех продуктах. Благодаря им пользователи могут самостоятельно создавать свои учетные записи, что снижает нагрузку на администраторов. В системах ClearTrust SecureControl, NetPoint и SiteMinder процесс саморегистрации происходит практически мгновенно, причем ClearTrust SecureContol и NetPoint требуют наименьшего количества действий для активизации. Оставшиеся пакеты предоставляют аналогичные возможности, но нуждаются в дополнительной настройке.

Продукты ClearTrust SecureContol, NetPoint и SiteMinder располагают встроенными средствами тестирования, которые позволяют администратору проверять заданные правила безопасного доступа к Web-узлу. Функции тестирования ускоряют присвоение прав и уменьшают количество потенциальных ошибок администрирования.

Продукт компании Oblix набрал дополнительные очки за счет внедренной в него поддержки автоматизации процессов: администратор получает предупреждения о происходящих в системе изменениях. Например, по завершении саморегистрации какого-либо пользователя администратору может быть отправлено письмо с соответствующим адресом URL, служащее извещением о необходимости присвоить данному потребителю определенные права доступа.

Средства удаленного контроля за сетевым доступом являются необходимыми компонентами системы, так как Web-узлы могут располагаться на удаленных серверах. Все продукты, протестированные нами, поддерживают тот или иной уровень удаленного управления через Web-браузер. NetPoint, SiteMinder, DirectorySmart, getAccess и Webthority имеют полные наборы средств удаленного управления, целиком основанных на HTML. SecureControl поддерживает два метода удаленного управления: администратор либо устанавливает клиент Java, либо использует сетевой графический интерфейс. Данный интерфейс запускается на сервере как программа-апплет и обеспечивает полную функциональность администрирования.

Создание логики

Применение систем контроля за доступом требует их корректной предварительной настройки. Корпоративному пользователю необходимо вначале настроить учетные записи и ресурсы пользователей, а затем описать логику программы. Под логикой мы подразумеваем системные правила, автоматически разрешающие или запрещающие доступ к различным Web-ресурсам.

NetPoint, DirectorySmart и SiteMinder позволяют хранить логические схемы прямо в активном каталоге. Данный подход порождает некоторые сложности при установке программы, так как структуру активного каталога приходится настраивать на поддержку данной информации. Сценарии, позволяющие изменять состояние активного каталога, входят в комплект поставки. Хранение логики в системной директории снимает потребность в наличии еще одной базы данных, а следовательно, и в дополнительной административной работе по ее поддержке. Кроме того, может снизиться потребность в оборудовании. Однако следует иметь в виду, что в этом случае системные журналы будут постоянно расти, приводя к снижению производительности при использовании зеркалирования информации между серверами.

ClearTrust SecureControl предполагает применение СУБД Oracle, которая поставляется в комплекте с программой для хранения всех учетных записей пользователей и программной логики. Компания Securant учла сложность работы с Oracle, поэтому от администратора не потребуется широких познаний в области СУБД для установки и использования ClearTrust SecureControl. Эта СУБД интегрирована и в getAccess, а вот пакет Webthority задействует для хранения логики собственную базу данных.

Обеспечение безопасности

Каждый из рассматриваемых пакетов обеспечивает защиту в режиме реального времени, то есть при модификации прав доступа потребителя изменения сразу же отражаются в системе. В процессе тестирования мы меняли права с «разрешено» на «запрещено», в то время как пользователь находился в системе. Каждый продукт смог заблокировать доступ, и следующие попытки загрузить информацию с Web-узла оказались безуспешными.

Что касается обнаружения несанкционированного доступа, все участвовавшие в эксперименте продукты блокировали учетную запись после некоторого количества неудачных попыток входа в систему. SecureContol оказался на шаг впереди остальных: он заблокировал IP-адрес «нарушителя» с помощью брандмауэра Check Point Firewall-1.

Все продукты поддерживают протокол защищенных соединений SSL. Однако в Webthority обработка SSL-сообщений может быть передана с информационного сервера на proxy-сервер, что является наиболее выгодным способом безопасной доставки информации пользователю. По этой схеме Web-браузер, используя SSL, связывается с proxy-сервером, а последний соединяется с информационным сервером по обычному протоколу HTTP.

Способы аутентификации, поддерживаемые данными продуктами, позволяют опознать пользователя не только по его имени и паролю. Они включают в себя расширенные методы, основанные на применении смарт-карт и сервера RADIUS. Вдобавок все пакеты поддерживают сертификаты X.509, служащие для взаимодействия с установленной инфраструктурой открытых ключей (PKI).

Хотя средства составления отчетов есть во всех рассматриваемых продуктах, DirectorySmart предоставляет еще и превосходное средство интерактивной проверки записей, позволяющее просматривать журнал модификаций и попыток доступа в систему.

SiteMinder поставляется вместе с инструментарием выявления неисправностей в системе — наряду с базовыми средствами составления отчетов. Например, можно вывести на терминал любую из четырех служб контроля за доступом (ведение учетных записей, администрирование, авторизация и аутентификация), что позволит просматривать все системные операции по мере их выполнения и легко вносить необходимые изменения.

Производительность

При оценке данного параметра учитывались корректность функционирования самих продуктов и систем резервирования, а также возможность поддержки нескольких сетевых доменов.

Что касается резервирования, масштабируемости и распределения загрузки, характеристики тестировавшихся пакетов оказались удивительно схожими. Обеспечивается резервирование и масштабируемость на компонентном уровне. Каждый из продуктов использует различные имена для обозначения внутренних модулей, но все они поддерживают несколько собственных копий, позволяющих осуществлять резервирование в масштабах системы в целом.

Функция поддержки нескольких доменов, также называемая Single Sign-on, реализуется с помощью cookie-файлов зашифрованных сеансов. Для каждого ресурса запрашиваемого домена система контроля за доступом проверяет права конкретного пользователя. Если доступ разрешен, создается cookie-файл, который посылается на клиентский Web-браузер. Все шесть продуктов могли обслуживать несколько доменов после единственного предъявления пароля.

Работа в корпоративной сети

Мы учитывали поддержку служб каталогов, операционных систем и Web-серверов, действующих в реальной корпоративной сети. При оценке выполнения первой задачи мы использовали внешний каталог, в котором хранились учетные записи. Методы взаимодействия с ним различных программ несколько отличались друг от друга. К примеру, ClearTrust SecureControl импортировал учетные записи из активного каталога в свою базу данных Oracle. И хотя мы предпочли бы, чтобы продукт компании Securant позволял осуществлять прямой доступ к активному каталогу, его средство импорта работало безотказно и даже могло применять расписание операций импорта на рекуррентной основе.

DirectorySmart, SiteMinder, NetPoint и Webthority связывались с активным каталогом напрямую, и проблем с доступом к учетным записям не возникало. В случае с getAccess мы задействовали базу данных Oracle, так как поддержка активного каталога в имевшейся у нас версии была недокументированной. В любом случае система работала без ошибок.

Мы не стали тестировать каждый каталог, поддерживаемый данными продуктами, но выяснили, что все решения используют облегченный протокол службы каталогов (LDAP) и открытый интерфейс доступа к базам данных (ODBC).

Оценка переносимости продуктов на разные платформы базировалась на знании о том, на какой ОС базируется сам продукт. В ходе тестирования мы использовали Windows 2000 и NT, но в отношении каждого продукта была заявлена и поддержка ОС Solaris компании Sun. ClearTrust SecureControl, помимо всего, поддерживает ОС AIX компании IBM и ОС HP-UX компании Hewlett-Packard, SiteMinder — HP-UX, а DirectorySmart — AIX.

Протестированные нами продукты способны взаимодействовать с различными Web-серверами. Например, каждая из программ совместима с Microsoft?s Internet Information Server (IIS) и iPlanet?s Web Server. Продукты ClearTrust SecureControl и Webthority поддерживают любой существующий Web-сервер (благодаря встроенным средствам proxy), Netegrity — чуть меньше, но тоже немало (в том числе Apache и Domino компании Lotus Development). OpenNetwork обеспечивает взаимодействие с HTTP server корпорации IBM.

Другие особенности

Протокол беспроводных приложений (WAP) предоставляет доступ к сетевым ресурсам с мобильных телефонов. Данный протокол не поддерживает сеансовые cookie-файлы, которые используются системами контроля за сетевым доступом для хранения сеансового идентификатора пользователя. Функции беспроводного доступа нами не были протестированы, так как это выходит за рамки наших исследований. Тем не менее известно, что продукты getAccess и SecureControl поставляются с поддержкой протокола WAP, а также мобильных телефонов с сетевыми функциями и беспроводных карманных компьютеров.

Другая бросающаяся в глаза особенность — наличие средств создания личной страницы-портала каждого пользователя. Программы getAccess и DirectorySmart автоматически генерировали такие страницы и персонализировали их в соответствии с данными о потребителе. Кроме того, они содержали ссылки на доступные ему ресурсы. Конечно, остальные продукты тоже предоставляют средства создания личных порталов, однако нам понравилось, что getAccess и DirectorySmart могут создавать их автоматически.

В рамках нашего тестирования мы определяли удобство обслуживания систем как возможность настройки программы для работы с существующим информационным окружением. В частности, мы обращали внимание на то, какие прикладные программные интерфейсы (API) доступны для настройки каждого продукта. Компания Securant обеспечила поддержку «фирменной» версии Java, языка Си и технологии COM, и такое решение оказалось более простым и расширяемым, чем использование в других продуктах. OpenNetwork предоставляет API для Java, C++ и Си, а пакеты NetPoint, SiteMinder и getAccess — для C++ и Java.

Система Webthority явно проигрывает из-за отсутствия готовых программных интерфейсов, однако их можно заказать у разработчика — фирмы Symantec. Помимо этого она предлагает средства информационного наполнения сайтов и персонализации их содержания на основе учетных записей пользователей.

Пакет Webthority оказался наиболее простым в инсталляции. Нам пришлось лишь определить активный каталог и изменить настройки службы имен доменов (DNS), чтобы обращения к Web-серверу адресовались внутреннему proxy-серверу Webthority. Установка ClearTrust SecureControl в целом оказалась прозрачной, хотя и требовала множества шагов. Сначала мы инсталлировали СУБД Oracle, а затем — саму программу. Оба процесса завершились без ошибок. Однако для импортирования учетных записей в базу данных понадобилось установить модуль миграции активного каталога и связать его с этим каталогом. Инсталляция систем NetPoint, SiteMinder, DirectorySmart и getAccess прошла сложнее, поскольку нужно было изменить настройки хранилища пользовательских данных.

Несмотря на то что данные продукты достаточно просты в обращении, мы призываем оценивать их с учетом потребностей конкретной компании. Любой производитель средств контроля за сетевым доступом использует для решения одних и тех же задач лишь немного различающиеся системные архитектуры, но каждый из их продуктов имеет свои достоинства. Хорошей новостью можно считать тот факт, что все протестированные системы сумеют обеспечить вашей фирме необходимый уровень контроля за пользователями, посещающими корпоративную сеть через Internet.

Cтив Льюис (slewis@ex-pressnet.com) — специалист по информационному обеспечению, работает в Государственном департаменте США

Стив Уилсон (swilson@grci.com) — инженер по безопасности компании GRC International

Мартин Де Круз (martin@dcruze.com) — инженер по оптике фирмы Corvis

Поделитесь материалом с коллегами и друзьями