Skip navigation
IDG.bg PC World Computerworld CIO CFO Networkworld Business How Кариерна зона
вход регистрация бюлетини

Сигурността на мрежовата инфраструктура

Networkworld България - брой 2, 2007 г. / Съдържание
1898 прочитания, 0

Макар и по презумпция недвусмислено ясно, заключението, че всички защитни решения, изградени върху незащитена мрежа, са обречени на провал, буди известно безпокойство. Но ако функциите за гарантиране на сигурността бъдат вградени в инфраструктурната платформа, място за тревога няма. Днес производителите на мрежово оборудване все по-активно проникват на пазара на хардуерни средства за защита. Всички големи играчи в този сегмент разполагат със собствен хардуерна защитна стена (междумрежов екран), а напоследък вече се налагат и устройства за защита, известни още като UTM (Unified Threat Management). За първи път концепцията за UTM излезе от устата на анализаторите на Gartner преди няколко години. Тогава под нея се подразбираше прилагането на четири задължителни модула – междумрежова защитна стена, система за предотвратяване на атаки, инструменти за идентифициране на опасно поведение и антивирусна програма. С времето към тях бяха добавени модули за защита от спам, различни видове вредоносни програми и изтичане на конфиденциална информация. Всички тези компоненти трябва да бъдат събрани в едно цялостно устройство, което се поставя на входната точка за достъп до Интернет, има собствен web интерфейс за управление и се управлява централизирано. В интерес на истината, продуктите от семейството на Cisco ASA са пример за класически UТМ устройства. Преди се смяташе, че интерес и нужда от UTM устройства ще имат главно средните по мащаб компании, за които не е изгодно да си купуват отделно всеки от компонентите. В същото време анализаторите допускаха, че по отношение на всяка функция комплексните системи ще отстъпват на специализираните решения. Затова големите компании ще спазят традицията да градят защитни стени от самостоятелни “тухлички”. Анализаторите зададоха и изисквания към новия клас устройства, на което производителите веднага реагираха подобаващо. След известно време се появиха и бързо добиха популярност и първите UTM. Оказа се, че те дават възможност за осъществяване на достатъчно ефективна защита от целия известен спектър на заплахи. При това се зароди и своеобразна синергия, тъй като различните програмни модули взаимно си „помагаха” за решаването на своите задачи. Освен това обединеното решение се оказа по-лесно за управляване и поддръжка от сложните системи, съдържащи отделни продукти. Така комплексните устройства за защита бавно, но сигурно започнаха да изместват традиционните решения. Типичен пример за тази тенденция бе появата на продукта на Cisco Adaptive Security Appliance (ASA). Само по себе си той е представител на класическото UTM, обединяващ мрежовите защитни технологии на Cisco и антивирусните филтри на Trend Micro. Компанията разработи достатъчно богат спектър от ASA  устройства — от малки „кутийки” за защита на домашното PC до импозантни маршрутизатори за обработка на мрежовия трафик в голяма корпорация или телеком оператор. Любопитното е, че цената на тези решения е приблизително същата като на устройствата от PIX семейството (предишното поколение firewall устройства). Засега Cisco не дава индикации за преход от PIX към ASA, но ценовата политика на фирмата говори сама за себе си. На практика клиентите получават повече за по-малко пари. И така останалите производители на мрежово оборудване са принудени да крачат по стъпките на Cisco, което вече доведе до формирането на няколко алианса. Така например, ZyXEL и Лабораторията Касперски разработиха заедно софтуерно-хардуерен антивирусен продукт, който защитава от най-разпространените вирусни заплахи. Продуктът работи в рамките на междумрежовия екран ZyWALL и изисква допълнително заплащане за ускорител. Със същото устройство обаче може да се осъществява филтриране на спама с продуктите на Лаборатория Касперски. Първоначално комплексното решение бе предназначено за SMB пазара, но плановете бяха да се пусне и пълноценно UTM решение. Свой аналог на UTM устройство пусна и Nokia. Тя влезе в сдружение с Check Point - друг производител на продукти от сферата на сигурността. Nokia разработи техническата платформа, специално предназначена за междумрежово екраниране. Тя обаче създаде не само техническата основа, но и защитената операционна система IPSO, която се родее с FreeBSD. С помощта на тази ОС може да се правят връзки с IPSec или SSL-VPN. Ако пък на устройството на Nokia се постави междумрежов екран на Check Point с допълнителни модули, функционалността му ще се окаже много близка до възможностите на UTM системите. Check Point твърди, че модулът SmartDefense може ефективно да отблъсква вирусите. По същността си обаче това е просто система за предотвратяване на атаките (IPS), която блокира всяка подозрителна активност. Между другото, в плановете на Nokia за 2007 г. е заложено пускането на пълноценно UTM. Един от големите конкуренти на Cisco, компанията Juniper също разработва UTM устройства. За целта тя сключи договор със Symantec, в рамките на който ще се създават универсални защитни устройства Integrated Security Gateways (ISG). Компаниите ще работят съвместно върху създаването на линията ISG устройства. Като допълнение към наличната защитна стена, VPN шлюза и системата за предотвратяване на атаки те интегрират в платформата спам филтър, средства за оповестяване при откриване на уязвимости и други функции. Освен това партньорите планират да взаимодействат чрез глобалните услуги за реагиране при инциденти. При Juniper тя се казва J-Security Team, а при Symantec — Global Intelligence Network. Засега обаче сред мрежовите производители пълноценни UTM устройства предлага само Cisco, докато останалите още са на фаза планиране. Вероятно след известно време клиентите сами ще започнат да изискват от производителите на мрежови устройства UTM продукти, тясно интегрирани с мрежовата инфраструктура. Така функциите по гарантиране на сигурността (като използване на междумрежови екрани, организация на VPN, филтриране на електронната поща и уеб) ще се поемат от мрежовото оборудване. Тогава необходимостта от закупуване на защитни решения на отделна платформа ще отпадне от само себе си.

(03.05.2007)

КОМЕНТАРИ

Трябва да сте регистриран потребител, за да коментирате статията
"Сигурността на мрежовата инфраструктура"



    

© Ай Си Ти Медиа ЕООД 1997 - 2012 съгласно общи условия за ползване