Filtrowanie z Panda GateDefender 8200

Panda GateDefender jest urządzeniem typu Secure Content Management (SCM), w którym połączono platformę sprzętową i system operacyjny z oprogramowaniem blokującym wirusy, spyware, spam, niepożądane treści oraz zabezpieczającym sieć korporacyjną przed innymi potencjalnymi zagrożeniami.

Panda GateDefender jest urządzeniem typu Secure Content Management (SCM), w którym połączono platformę sprzętową i system operacyjny z oprogramowaniem blokującym wirusy, spyware, spam, niepożądane treści oraz zabezpieczającym sieć korporacyjną przed innymi potencjalnymi zagrożeniami.

Jest to urządzenie funkcjonujące jako filtr pakietów na warstwie aplikacji, instalowane pomiędzy bramą/firewallem a przełącznikiem sieci lokalnej. Pracuje w trybie transparentnego mostu. Skanowaniu może być poddawany zarówno ruch wychodzący, jak i przychodzący.

Do testów redakcyjnych Networlda otrzymaliśmy najsilniejsze urządzenie Pandy, przeznaczone do obsługi powyżej 500 użytkowników. GateDefender 8200 wyposażono w procesor Dual Xeon 3,2 GHz 1 MB Cache oraz 2 GB RAM. Sprzęt ma wysokość 2U i jest przeznaczony do montowania w standardowych szafach 19".

Pierwszą rzeczą, na którą zwraca się uwagę po uruchomieniu jest głośność urządzenia. Wyposażono je w podwójny system zasilający i wentylacyjny, wskutek czego produkuje naprawdę sporą dawkę decybeli (dB). Należy je zdecydowanie umieszczać w wydzielonej fizycznie (i akustycznie!) serwerowni.

Dostęp do interfejsu zarządzania HTTPS jest realizowany z wykorzystaniem adresów prywatnych (a więc nierutowalnych poza sieć lokalną), które funkcjonują w sieci LAN wraz z adresami publicznymi. Przygotowanie urządzenia do pracy jest bezproblemowe.

Prosta konfiguracja

GateDefender 8200 wyposażono w procesor Dual Xeon 3,2 GHz 1 MB Cache oraz 2 GB RAM. Sprzęt ma wysokość 2U i jest przeznaczony do montowania w standardowych szafach 19".

GateDefender 8200 wyposażono w procesor Dual Xeon 3,2 GHz 1 MB Cache oraz 2 GB RAM. Sprzęt ma wysokość 2U i jest przeznaczony do montowania w standardowych szafach 19".

Konfiguracja urządzenia jest łatwa i intuicyjna, przeprowadzana za pośrednictwem szyfrowanego HTTPS. Słowa uznania należą się projektantom interfejsu graficznego GUI. Jest on przejrzysty i estetyczny, a ponadto działa szybko. Łatwo można odnaleźć szukaną funkcję. Dane konfiguracyjne mogą być eksportowane/importowane do pliku XML. Po zalogowaniu do panelu administracyjnego wyświetlane są ostrzeżenia o ewentualnych błędach w konfiguracji, konieczności zmiany domyślnych haseł itp.

W momencie podłączenia do Internetu urządzenie samodzielnie pobiera aktualizacje baz antywirusowych, antyspamowych, a także uaktualnia swój system. Sprawdzanie nowych wersji, jak podaje producent, odbywa się co 90 min.

Możliwości

Skanowanie i ochrona obejmuje protokoły HTTP, FTP, SMTP, POP3, IMAP4 i NNTP (grupy dyskusyjne). Wybór sposobu ochrony i protokołów należy do administratora. Może on zdefiniować porty, na których ma być przeprowadzane skanowanie danych usług, a także wybrać skanowanie plików tylko o konkretnych rozszerzeniach (np. doc, zip, tar).

Urządzenie budzi podziw mnogością oferowanych zabezpieczeń:

  • W ramach ochrony przed szkodliwym kodem (anty-malware) oferowane jest:

    - skanowanie przesyłanego ruchu pod względem występowania wirusów, robaków, trojanów, na podstawie uaktualnianej na bieżąco bazy wirusów. Adresat jest powiadamiany, że w adresowanej do niego wiadomości zawarty był , spyware itd.;

    - skanowanie heurystyczne chroniące przed nieznanymi jeszcze typami wirusów - ochrona tzw. dnia zerowego. Dostępne są trzy poziomy wrażliwości. Wiadomości wychwycone jako podejrzane mogą być przekierowywanie na wskazany adres e-mail;

    - ochrona przed phishingiem. Do tematu wiadomości zakwalifikowanej jako podejrzana może być dopisywane oznaczenie zdefiniowane przez administratora np. "[Phishing]", w sposób podobny jak w filtrach antyspamowych, np. spamassasinie;

    - ochrona anti-joke (przed żartami). Pozwala na wykrycie nieszkodliwych programów, które udają destrukcyjne działanie, np. wyświetlają komunikat o formatowaniu dysku;

    - wykrywane i usuwane z wiadomości są też dialery. Informacja o tym jest przekazywana do użytkownika;

    - ochrona przed narzędziami hakerskimi. Mechanizm ten stara się wykryć kod, który potencjalnie obniża bezpieczeństwo i może być wykorzystywany w niepożądanych celach.

    Logi zgromadzone przez system można łatwo filtrować według różnych kategorii, dat, adresów IP itp. Zbiorczy raport na temat filtrowanego ruchu może być również przesyłany pod wskazany adres.

    Logi zgromadzone przez system można łatwo filtrować według różnych kategorii, dat, adresów IP itp. Zbiorczy raport na temat filtrowanego ruchu może być również przesyłany pod wskazany adres.

  • Filtrowanie przesyłanych treści.

  • Wykrywanie spamu w wiadomościach pocztowych.

  • Filtrowanie odwiedzanych stron WWW. Pozwala zablokować dostęp do niepożądanych w czasie pracy stron, np. ogłoszeń o pracę, serwisów erotycznych itp.

    Do skanowania pod kątem antyspyware, phishingu czy anti-joke można wybrać tylko te protokoły, które były wcześniej wybrane do skanowania antywirusowego. Nie jest możliwe pominięcie ochrony antywirusowej.

    Administrator może wybrać czy po wykryciu szkodliwego kodu kasowana ma być cała wiadomość, czy tylko zainfekowany załącznik.

    Ostrzeżenia mogą być wysyłane na wskazany adres e-mail, do serwera Syslog lub poprzez SNMP. Istnieje możliwość samodzielnego zdefiniowania komunikatu, który będzie przesyłany do użytkownika lub wyświetlany w oknie przeglądarki w przypadku wykrycia szkodliwej zawartości wiadomości/strony.

    Aby sprawdzić skuteczność wyłapywania wirusów i spyware, musieliśmy najpierw zebrać kilka przykładowych egzemplarzy szkodników. Próbowaliśmy przesłać popularnego blastera, sassera, a także korzystaliśmy ze stron, które infekują komputer użytkownika spyware. Panda poradziła sobie z tymi zagrożeniami.

    (Prawie) skuteczne filtrowanie treści

    Ocena Panda GateDefender 8200

    Ocena Panda GateDefender 8200

    W przypadku filtrowania treści - "prawie" robi różnicę. Podejrzewaliśmy, że filtrowanie stron według określonych kontekstów (finanse, poszukiwanie pracy, pornografia) w języku polskim nie będzie działało zbyt skutecznie. Brak wsparcia języków narodowych jest powszechną wadą narzędzi do filtrowania treści. Niestety okazuje się, że podejrzenia były zasadne. O ile strona bankier.pl czy giełdy nowojorskiej została skutecznie rozpoznana, o tyle wyświetlenie strony polskiej giełdy gpw.pl czy też serwisów giełdowych na Onecie nie stanowiło problemów. Okazało się, że filtrowanie treści anglojęzycznych również można ominąć, wyświetlając kopię pożądanej strony zapisaną przez Google! Podobna technika okazała się skuteczna także przy stronach erotycznych. Stworzyliśmy również stronę html zawierającą wyrazy w ramach danego kontekstu zapisane w języku polskim, np. menadżer, seks. Żaden nie został wykryty przez kontekstowy filtr treści. Z kolei filtrowanie według treści związanych z IT zablokowało stronę NetWorlda, ale ku zaskoczeniu przepuściło serwis idg.pl, zdecydowanie poświęcony IT!

    Przy niedozwolonych stronach w przeglądarce użytkownika wyświetlany był komunikat w języku polskim informujący o zablokowaniu strony przez filtr.

    Wydaje się, że projektanci urządzenia kierowali się zasadą, że lepiej blokować mniej, niż zbyt dużo. Przyznać jednak należy, że stworzenie skutecznej filtracji danych kontekstów to dość trudne zadanie. Filtrowanie według słów wskazanych ręcznie przez administratora działa natomiast bez zarzutów. Bardzo przydatną funkcją z punktu widzenia pracodawcy jest możliwość kontekstowego filtrowania i blokowania stron odwiedzanych przez pracowników (np. serwisów erotycznych, blogów).

    Wydajność

    Jak głosi producent, urządzenie filtruje ruch internetowy z prędkością 170 Mb/s oraz skanuje do 350 wiadomości na sekundę, może także pracować w trybie load balancing.

    Przy włączeniu wszystkich opcji skanowania wyświetlanie stron www działa bez zauważalnych opóźnień. Natomiast przy pobieraniu dużych plików, np. poprzez FTP, przez 15-20 s szybkość transmisji wynosi 2 Kb/s, przy obciążeniu procesora urządzenia na poziomie 16%, następnie transmisja przyspiesza do prędkości osiąganej bez skanowania (w naszym przypadku 10 Mb/s), obciążając procesor 3-12%.

    Można tworzyć czarną i białą listę adresów, dla których ruch będzie blokowany lub niefiltrowany, a także wskazać użytkowników niepodlegających filtracji. Do rozpoznawania spamu zastosowano m.in. filtry Bayesa i heurystyczne.

    Ocena

    Podsumowując, Panda GateDefender 8200 należy do urządzeń sieciowych plug & play, a także skonfiguruj & zapomnij. Aktualizacje baz i oprogramowania realizowane są automatycznie. O ile wykrywanie wirusów funkcjonuje poprawnie, o tyle na filtrowaniu treści można się zawieść. Jest to cecha wspólna tego typu rozwiązań. Ciekawym rozwiązaniem jest ochrona anti-joke. Ocenę, czy wydatek 20 tys. zł netto jest adekwatny do oferowanych możliwości, pozostawiamy czytelnikom. Trzeba także oddzielnie dokupić terminowe licencje na każdy wybrany moduł: AntiVirus, AntiSpam i WebFilterModule.


  • TOP 200