Wielofunkcyjny moduł bezpieczeństwa

Urządzenia podobne do modułu Threat Management Services (TMSzl), przeznaczone do instalowania w przełącznikach, nie są niczym nowym. Jednak mało jest rozwiązań, które - tak jak produkt HP - jednocześnie pełniłyby funkcję: zapory, IPS (zapobieganie włamaniom) i VPN (konfigurowanie wirtualnych sieci prywatnych).

Testy modułu (przeznaczonego dla przełączników ProCurve serii 5400zl i 8212zl) przeprowadzono po zainstalowaniu go w switchu ProCurve 5406zl. Choć moduł TMSzl nie oferuje niektórych nowych opcji zabezpieczeń (takich jak filtrowanie reputacyjne), to pozostałe mechanizmy ochrony pracują wyjątkowo stabilnie i niezawodnie, skutecznie chroniąc korporacyjne sieci LAN przed różnego rodzaju zagrożeniami.

Na rynku trudno znaleźć rozwiązania, które jednocześnie pełnią funkcję: zapory, IPS i VPN. Na przykład moduł bezpieczeństwa ASA 5500 produkowany przez Cisco nie zapewnia tych trzech mechanizmów, dlatego użytkownicy przełączników Catalyst 6500 muszą korzystać z oddzielnych modułów dedykowanych zaporze i IPS.

Ubuntu

Moduł TMSzl pracuje pod kontrolą oprogramowania Ubuntu Linux. Wyposażono go w procesor Intel Core 2 Duo 2,2 GHz (Merom) i 4 GB pamięci RAM. Jest to na tyle wydajna konfiguracja, że moduł radzi sobie bez problemu z ruchem, jaki występuje w większości firm. Testy wykazały jednak, że w przypadku konieczności monitorowania większej liczby portów (i większego ruchu), wydajność modułu może być zbyt mała.

TMSzl można konfigurować na dwa sposoby: przy użyciu graficznego interfejsu WWW lub za pomocą CLI. Pierwszą konfigurację sieci VLAN lepiej jednak przeprowadzić na samym przełączniku, a nie module. Może on obsługiwać maks. 19 sieci VLAN (przełącznik może wtedy pracować z większą liczbą sieci VPN, ale nie będą one wówczas chronione przez moduł). HP zapowiada zwiększenie obsługiwanych liczby sieci do 250.

TMSzl używa dwa najważniejsze protokoły routingu: Open Shortest Path First i Routing Information Protocol. Zarządzanie modułem nie przysparza większych trudności, chociaż podczas testowania występowały drobne kłopoty. I tak np. sygnatury IPS wchodziły w konflikt z regułami dostępu, a interfejs GUI nie pokazywał, czy i kiedy zasady polityki IPS dotyczą też reguł zdefiniowanych dla zapory.

Wielofunkcyjny moduł bezpieczeństwa
W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200