Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Тематический план
Отдел рекламы
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

StormWatch — надежная защита для корпоративных сетей

Майк Фратто

Компания Okena включила в новую версию своего пакета StormWatch, предназначенного для предотвращения вторжений в корпоративные сети, множество новых функций. Они расширяют его возможности, упрощают управление и обеспечивают защиту от потенциальных взломщиков. StormWatch 2.0 взаимодействует непосредственно с ядром ОС, управляя доступом приложений к системным ресурсам (например, при чтении и записи файлов), доступом к портам TCP/UDP как клиентов, так и серверов, а также к объектам COM. Кроме того, это ПО накладывает ограничения на то, каким приложениям, вплоть до их версий, разрешена работа в системе. В StormWatch используются определяющие политику доступа наборы правил, пересылаемые размещенным на хостах агентам. Когда приложение запрашивает некоторый ресурс у операционной системы, StormWatch проверяет соответствие запроса политике и, соответственно, разрешает или блокирует доступ. Средства администрирования этого продукта обеспечивают такие возможности управления, которые редко встретишь в продуктах для предотвращения вторжений.

В нашей лаборатории Real-World Сиракузского университета мы тестировали StormWatch с операционными системами Microsoft Windows 2000 Server Pro и Windows NT 4.0 SP6a. Управляющая станция работала под управлением ОС Windows 2000 Server SP2. Компания Okena сообщила нам, что также работает над поддержкой ОС Unix. Тестирование этого мощного инструментария в течение более чем недели не оставило меня равнодушным. Реализация управления доступом приложений почти всегда очень сложна из-за многочисленных модулей DLL, которые используются приложениями в их работе. Okena решила эту проблему, предложив несколько готовых наборов правил. Они позволяют работать ОС и ПО Microsoft Office корректно, а также разрешают прохождение трафиков NetBIOS и HTTP. С этими наборами правил вы можете быстро приступить к работе, но будьте готовы потратить время на составление профилей ваших приложений.

Что касается цены, то для продукта StormWatch она покажется дорогой, но учтите, что, будучи правильно сконфигурированным, он убережет вас от потерь, связанных с нарушениями работы приложений из-за чьих-то неавторизованных действий. Блокируя “червей” типа CodeRed и Nimda, вы быстро окупите эту цену, если сравнить ее с расходами на восстановление после атак.

Компоненты политики

Чтобы использовать возможности контроля доступа, имеющиеся в StormWatch, начните с установки готовых наборов правил или создайте свои собственные. Политика в StormWatch представляет собой упорядоченный список правил, которые определяют, как приложения могут обращаться к объектам — группам ресурсов, таким, как файлы или процессы. События сравниваются с действующими правилами до тех пор, пока не обнаружится соответствие или не кончится список правил. Если событие соответствует правилу, то совершается предусмотренное этим правилом действие. StormWatch упорядочивает правила в зависимости от выполняемого действия, а также от того, включено ли протоколирование. Всего имеются пять возможных действий. На самом верху иерархии располагается действие “отклонить, с самым высоким приоритетом” (high priority deny). Предусмотрены также действия “разрешить отклонить” (allow to deny) и “отклонить” (deny), последнее находится в самом низу иерархии. Кроме того, правило, предусматривающее протоколирование, имеет более высокий приоритет, чем правило с таким же действием, но без протоколирования.

Объекты, имеющиеся в ОС, определяются с помощью переменных. Коипания Okena заранее определила ряд переменных, в частности, System_DLL и Executable_File_Type. Они задают каталоги и файлы, логически группируемые с помощью шаблонов. Переменные могут быть определены для файлов, записей реестра, объектов COM, сетевых адресов и портов TCP/UDP. Все наборы системных файлов, которые оказались нужны мне, были уже заданы, поэтому мне не пришлось что-нибудь добавлять.

Тест pinball

Чтобы проверить, как работает StormWatch, я решил установить политику доступа, которая разрешала бы мне только играть на компьютере в pinball. Во-первых, я должен был задать класс приложения, т. е. определить все файлы, используемые pinball, включая модули DLL. Класс приложения может быть ограничен как самим приложением, так и запускаемыми им дочерними приложениями. Чтобы облегчить создание класса приложения, StormWatch предлагает режим Test Mode, отключающий все правила на хосте, но ведущий наблюдение за всеми действиями приложения и их протоколирование. Полученный результат представляет собой профиль приложения. Я установил режим Test Mode и несколько минут играл в pinball, чтобы сформировать профиль. Заглянув в журнал, я увидел, что там перечислены все использованные приложением pinball.exe файлы.

К сожалению, в StormWatch отсутствует возможность автоматического генерирования профилей из журналов, поэтому мне пришлось создавать профиль pinball.exe вручную. Многие из файлов находились в каталоге pinball или System32, что упростило мою задачу. Однако создание профилей для более крупных приложений, таких, как Corel WordPerfect или Lotus Notes, могло бы отнять несколько часов или дней, поскольку в процессе работы приложения DLL-модули загружаются не сразу, а по мере необходимости. Это означает, что для создания точного профиля вы должны задействовать все функции, к которым обычно обращается пользователь. Я надеюсь, что компания Okena скоро автоматизирует процесс создания профилей приложений. Ввод имен файлов оказался делом несложным. Переменная, соответствующая каталогу System32, была уже определена, а поскольку я мог использовать шаблоны, то для создания профиля мне пришлось ввести всего несколько записей.

Определив класс приложения, я сформировал политику, которая разрешала доступ к файлу pinball.exe и необходимым системным приложениям. StormWatch позволяет манипулировать порядком правил политики, но предложенный метод показался мне неудобным. Например, в нашей сети имеется несколько менеджеров SNMP, и появление каждого очередного SNMP-запроса приводило к тому, что отклоняющее его правило вносило запись в журнал. Чтобы прекратить протоколирование SNMP-запросов, я был вынужден модифицировать существующее правило таким образом, чтобы заблокировать весь трафик портов с 1 по 160 и со 162 по 65 535. Затем я добавил правило, блокирующее порт 161 без протоколирования. Хотя это не такая уж большая проблема, но она несколько усложняет дело. Я бы предпочел упорядочивать правила так, как, на мой взгляд, кажется целесообразным, а не ловчить, чтобы заставить StormWatch делать то, что мне нужно.

Тестируя продукт, я обнаружил, что должен быть очень осторожным разрабатывая политику. Моя первая политика отклоняла доступ всех приложений ко всем системным файлам. Это означало, что я мог загружать систему, но не мог войти в нее. При попытке зарегистрироваться ОС Windows 2000 аварийно завершала работу и перезагружалась, поскольку я блокировал доступ ко всем критически важным системным файлам. В StormWatch имеется заранее подготовленная политика, которая позволяет ОС нормально функционировать, и когда я ввел ее в действие, все заработало надлежащим образом.

В ходе тестирования я обнаружил еще один важный недостаток StormWatch: когда администратор работает с продуктом, вносимые им изменения не имеют немедленного эффекта. Они помещаются в очередь, и, чтобы изменения возымели эффект, администратор должен сначала сгенерировать правила. К сожалению, все действия выполняются независимо от того, кто их инициировал. Таким образом, одни администраторы могут легко менять все в установках, сделанных другими администраторами. Было бы лучше, если бы администраторы имели возможность активизировать, редактировать и удалять только ими внесенные модификации, до того, как они войдут в силу.

Однако, несмотря на отдельные логические проблемы с настройкой, StormWatch может эффективно защищать наиболее уязвимые точки вашей сети — серверы и хосты. Ограничивая действия, которые могут выполнять приложения, данный продукт реализует профилактический поход к системной защите.

Okena StormWatch 2.0
Цена: 2 210 долл. за управляющую консоль;
795 долл. и 50 долл. за интеллектуальный
агент для сервера и интеллектуальный агент
для настольной системы, соответственно.
http://www.okena.com





  
2 '2002
СОДЕРЖАНИЕ

колонка редактора

• Автомобиль - это не роскошь, а средство общения

бизнес

• Окупаемость инвестиций. Иногда это пустые слова

• Плавание за золотым руном

локальные сети

• Не стоит прогибаться под изменчивый мир?

• iSCSI - новая эра в развитии сетей хранения данных

• Точки доступа, соответствующие стандарту 802.11b

корпоративные сети

• Интеграция приложений на основе Web

• Выбор технологии и системы спутниковой связи для корпоративной или ведомственной сети

• Станут ли Windows и другие платформы более открытыми благодаря Web-службам?

• Персонализация электронного взаимодействия

услуги сетей связи

• VoDSL. От "коробок" - к решениям

• Современные аспекты управления сетями. Часть I

• Классика и модерн ИС

защита данных

• Механизмы защиты корпоративных сетей

• Персональные межсетевые экраны

• Межсетевое экранирование как услуга

только на сервере

• О привязанности к поставщикам услуг связи

• Планирование поставок: внедрение специализированного ПО встречает сопротивление

• StormWatch - надежная защита для корпоративных сетей


• Калейдоскоп



 Copyright © 1997-2005 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх