Na rynku pojawia się coraz więcej urządzeń chroniących sieci firmowe przed niebezpieczeństwami Internetu. Wystarczy przez chwilę poobserwować pakiety "pukające" do firmowej bramy internetowej, aby mieć pojęcie o regularnych atakach, próbach skanowania portów i ogromnej masie internetowych śmieci próbujących do nas dotrzeć. Przed tym właśnie mają nas chronić security appliances.

Dobrze by było, gdyby odciążały one administratora w monitorowaniu zagrożeń i przeciwdziałaniu im, gdyż - jak zapewniają reklamy - są projektowane według zasady "podłącz i zapomnij".

Do redakcyjnych testów polski oddział Trend Micro użyczył nam InterScan Gateway Security Appliance 1.0, przeznaczonego do ochrony firm średniej wielkości. Zapewne wielu z nas firma ta kojarzy się z programami antywirusowymi, jednak posiada w swojej ofercie gamę urządzeń zarówno do ogólnej ochrony bramy internetowej, jak i poszczególnych usług, np. poczty - InterScan Messaging Security Appliance czy ruchu http i ftp - InterScan Web Security Appliance.

IGSA należy umiejscowić pomiędzy firewallem a siecią wewnętrzną, gdyż stanowi ono niejako uzupełnienie zapory na wyższych warstwach.

Urządzenie, jak przystało na produkt związany z zagrożeniami i ochroną, jest koloru czerwonego.

Z praktycznego punktu widzenia nie ma to oczywiście żadnego znaczenia, ale obecnie wśród producentów panuje trend opakowywania urządzeń związanych z bezpieczeństwem właśnie w czerwone pudełka.

IGSA przeznaczone jest do montażu w standardowych szafach 19". Za pomocą panelu LCD umieszczonego na przedzie można sprawdzić aktualną konfigurację interfejsu sieciowego (IP, DHCP), obciążenie i zresetować urządzenie. Chociaż miejscem jego pracy jest szafa serwerowa, to uwagę zwraca estetyczne wykonanie.

Co pod maską?

Urządzenie podobnie jak inne ochronne appliance (np. Panda GateDefender Performa) jest niczym innym jak jednostką serwerową wysokości 1U. Fizyczną część stanowią procesor 3 GHz Intel Pentium 4, system operacyjny Linux z jądrem 2.6.x, interfejsy sieciowe 3 x 10/100/1000 (miedź), dysk twardy 80 GB, 2 gniazda USB 2.0 oraz port rozszerzenia PCI-X, 133 MHz/64 bity.

Imponująca funkcjonalność

Urządzenie oferuje wszystkie obecnie zalecane mechanizmy bezpieczeństwa występujące powyżej warstwy sieciowej: identyfikuje i blokuje wirusy, programy szpiegujące, spam, phishing, pharming (przekierowanie na fałszywą stronę, często poprzez atak na DNS), ataki komputerów-zombie, szkodliwe adresy URL oraz przeprowadza filtrowanie treści. IGSA może funkcjonować w trybie w pełni transparentnym lub jako proxy.

Szczegółowe skanowanie protokołów pocztowych

Skanować można cały przesyłany ruch bądź pliki o wskazanych rozszerzeniach. Oferowane jest także tzw. inteligentne skanowanie, gdzie kontroli poddawane są tylko pliki z rozszerzeniami, w których potencjalnie znajduje się szkodliwy kod. Można również zawęzić skanowanie do plików o określonej objętości lub do danego poziomu kompresji. O wykryciu szkodliwej zawartości powiadamiany jest administrator, nadawca i odbiorca wiadomości. Do przeskanowanych wiadomości może być dodawany komunikat informujący o wyniku skanowania (podobnie jak w SpamAssassinie). Przesyłany ruch może być sprawdzany nie tylko na okoliczność występowania wirusów, ale także spyware, grayware, adware, dialerów, "żartobliwych" programów, narzędzi wykorzystywanych potencjalnie przez hakerów i umożliwiających zdalny dostęp, aplikacji łamiących hasła.

Oprócz standardowego wzorca wirusów może być stosowany mechanizm IntelliTrap. Twórcy wirusów często próbują obejść filtry antywirusowe poprzez użycie różnych mechanizmów kompresji plików. IntelliTrap dokonuje heurystycznej analizy skompresowanych plików, aby zminimalizować ryzyko przedostania się wirusa lub bota w skompresowanym załączniku. Dokonuje tego bez dekompresji pliku.

IGSA oferuje ochronę tzw. dnia zerowego - usługa Outbreak Prevention. Mechanizm ten stara się wykryć wszelkie podejrzane działania i udziela administratorowi wskazówek o krokach ochronnych, zanim zostanie przygotowana skuteczna szczepionka. Każdemu potencjalnie niebezpiecznemu kodowi przypisywany jest kolor czerwony lub żółty, a administrator może określać politykę traktowania takich plików.

Walka ze spamem

Filtrowanie spamu działa nad wyraz sprawnie, co nie jest regułą w podobnych urządzeniach. Można wybrać skanowanie po całych wyrazach lub ciągu znaków.

Wadą jest natomiast brak możliwości edycji anglojęzycznych treści komunikatów wysyłanych do administratora oraz nadawcy i adresata odfiltrowanych wiadomości.

Filtrowanie http

Działa sprawnie, lecz tylko dla wyrazów anglojęzycznych, co niestety jest standardem rynkowym. Istnieje możliwość wybrania predefiniowanego filtru URL dla danego kontekstu: sex, job search itd. Przy uruchomieniu maksymalnego poziomu ochrony zauważalne jest lekkie opóźnienie - sama grafika przesyłana jest natychmiast, a na treść strony należy zaczekać do kilku sekund.

Czasochłonne filtrowanie ftp

Skanowanie ftp funkcjonuje poprawnie, jednak wprowadzane są zauważalne opóźnienia. Przy pobieraniu pliku użytkownik musi czekać w zależności od rozmiaru pliku, od kilku do kilkunastu sekund na rozpoczęcie przesyłania pliku. Po tym okresie transmisja przebiega sprawnie z zadowalającą prędkością. Podobny efekt zaobserwowaliśmy w Panda GateDefender. Plików ftp nie przesyłamy z taką częstotliwością jak np. http, więc zwłoka ta jest mniej dokuczliwa.

Natomiast przy przesyłaniu pliku o zabronionym rozszerzeniu na komputerze użytkownika zapisywana jest jego nazwa z rozszerzeniem, lecz bez zawartości tego pliku. Może to wprowadzać użytkownika w błąd, jeżeli nie zauważy, że pobrany plik ma zerową zawartość.

Poza skanowaniem ftp filtrowanie ruchu przebiega sprawnie, nie powodując zauważalnych przez użytkownika opóźnień.

Zmiany wprowadzone w panelu administracyjnym działają natychmiast. Uaktualnianie baz z wzorcami wirusów działa bezproblemowo, a użytkownik może zdefiniować częstotliwość ich aktualizowania. Urządzenie może w określonym czasie przeprowadzać Smart test, wykrywający błędy na dysku twardym urządzenia.

Przewaga sprzętowego IGSA nad ochroną z open source

Wielu administratorów podchodzi sceptycznie do urządzeń ochronnych "z pudełka", nie dowierzając w ich skuteczność. Innym hamulcem jest cena. Po co wydawać pieniądze, skoro można taką samą ochronę zrealizować za pomocą narzędzi open source, np. popularnego SpamAssassina?

Zalety IGSA są dwie. Po pierwsze nauczenie programów filtrujących skutecznego wyłapywania niepożądanych treści zabiera sporo czasu z niejednokrotnie nadal kiepskimi efektami, a dodatkowo do realizacji tak szerokiego arsenału funkcji ochronnych musielibyśmy zastosować kilka pakietów, natomiast w IGSA po paru kliknięciach myszką urządzenie osiąga pełną funkcjonalność. Po drugie ilość pracy, jaką należy zainwestować w kompletną konfigurację rozwiązania programowego oraz późniejszą kontrolę poprawności działania, może być w niektórych przypadkach zbliżona do ceny samego urządzenia. Urządzenie dostępne jest w wersji dla 100, 200, 300, 600, 800 i 1000 użytkowników w cenie od 4000 USD (100 użytkowników) do 17 000 USD (1000). Wadą jest konieczność dokupowania licencji na dodatkowe funkcje, jak anti-spam, anti-spyware itp.

<hr>InterScan GATEWAY Security Appliance

Producent: Trend Micro

Zalety: szerokie możliwości ochronne, ponadprzeciętna skuteczność filtrowa- nia niepożądanych treści, możliwość szczegółowej konfiguracji parametrów, ochrona "dnia zerowego", szybkie GUI

Wady: dodatkowe opłaty za rozszerzenie funkcjonalności o np. antyspam,brak możliwości edycji anglojęzycznych treści komunikatów wysyłanych do użytkowników, kontekstowe filtrowanie jedynie wyrazów anglojęzycznych

Cena: od 4000 USD (100 użytk.) do 17 000 USD (1000 użytk.).