Ж у р н а л   о   к о м п ь ю т е р н ы х   с е т я х   и   т е л е к о м м у н и к а ц и о н н ы х   т е х н о л о г и я х
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК: ПОДПИСКА НА НОВОСТИ: НОМЕР:
    ДОМОЙ • Архив: Новостей | Конференций | НомеровПодписка
 
   
 
   
    
РЕДАКЦИЯ
 
Все о журнале
Подписка
Как проехать
Где купить
Отдел рекламы
График выхода журнала
Адреса в Интернет

РУБРИКАТОР
   
• Инфраструктура
• Информационные
   системы

• Сети связи
• Защита данных
• Кабельные системы
• Бизнес
• Колонка редактора
• Электронная
   коммерция

• Только на сервере
• Системы
   учрежденческой
   связи

• Новые продукты


Rambler's Top100

  

Хладнокровные “черви”

Майкл Дж. Димариа

Передача зловредного ПО в процессе работы службы мгновенных сообщений (Instant Messaging — IM) — это последний “писк моды” в сетевом вредительстве. Мы протестировали три устройства, производители которых обещают укрепить защиту корпоративных сетей.

Представьте себе, что кто-то прислал пользователю с псевдонимом Bobee518 ссылку на пикантные фотографии Паулы Абдул — исполнительницы роли судьи в шоу “Американский идол”. Ну кто из нас мог бы устоять и не заглянуть в них? Вот и Боб не устоял. К несчастью, ссылка была послана по IM-сети, и вместе с ней к Бобу в компьютер проник новейший вариант IM-“червя” Kelvir — того самого, который однажды вынудил агентство “Рейтер” закрыть свою IM-сеть. Все закончилось тем, что Боб лишился своего рабочего места.

Сможет ли ваша система защиты преградить путь этому страшному “червю”? А что нужно делать со зловредным ПО, встроенным в зашифрованные zip-файлы, доставляемые по публичной IM-сети? Да и сможете ли вы хотя бы установить того вашего служащего, которому принадлежит псевдоним Bobee518? Маловероятно. Именно поэтому мы являемся ярыми сторонниками применения частных IM-систем для внутренних коммуникаций в организациях. Особенно если такая система может быть интегрирована с инфраструктурой корпоративной унифицированной связи и IP-телефонии — с тем, чтобы IM- и IP-клиенты могли совместно пользоваться информацией о присутствии абонента на рабочем месте, в также работать с унифицированными реги-страционными именами и адресами. Частные IM-системы, такие, как Antepo, IBM SameTime и Microsoft OCS (Office Communications Server), обеспечивают информационную безопасность, аудит и контроль. Это быстрорастущий сектор рынка ИТ, на котором, согласно данным организации Gartner, к 2010 г. ожидается продажа лицензий на сумму 688 млн долл. Для сравнения: в 2006 г. этот показатель достиг 334 млн долл.

Но даже организации, имеющие частные IM-системы, в общем случае нуждаются в доступе к публичным сетям, таким, как AIM (IM-сеть компании America On Line) или Yahoo Messenger . Поэтому так необходимо тщательно отбирать тех служащих, которым будет разрешено связываться с внешним миром, — с субподрядчиками, поставщиками, заказчиками и клиентами.

Однако открытость не должна означать уязвимость в отношении атак с применением методов социальной инженерии, IM-спама и вирусов. С этой целью, работая с публичными IM-сетями, вы можете, установив специализированное защитное устройство, прибегнуть к фильтрации, аудиту, контролю доступа, а также к блокировке зловредного ПО. Такие устройства способны полностью блокировать выход в публичные IM-сети и стоят сравнительно недорого — цена протестированных нами продуктов находилась в диапазоне от 5 тыс. до 10 тыс. долл. в расчете на 100 пользователей.

Есть и более дешевые способы ограничить использование IM-сетей. Это блокировка настольных систем, закрытие обычно используемых IM-портов или изменение конфигураций доменных имен.

Данные варианты не гарантируют вам абсолютной защиты, но они достаточно эффективны в тех случаях, если речь идет о пресечении случайных несанкционированных действий пользователей.

Мы обратились к поставщикам с просьбой прислать нам производимые ими сетевые устройства защиты IM-систем на тестирование в нашу лабораторию Real-World Labs Сиракузского университета (выдвинутые нами требования см. “Устройства защиты IM-систем”). Свои продукты прислали три поставщика. Компания Akonix Systems предоставила устройство защиты IM-систем A6000, компания FaceTime Communications — устройство FaceTime Enterprise Edition и компания Secure Computing — устройство IronIM.

Компания Barracuda Networks отклонила наше предложение, сославшись на то, что ее продукт находится в стадии модернизации. Компания IM-Age Software выразила свою заинтересованность в тестировании, но так ничего и не прислала нам. Что касается компаний McAfee, Sipera Systems, Symantec и Trend Micro, то, как оказалось, их продукты не отвечают выдвинутым нами квалификационным требованиям.

Три принятых к тестированию устройства функционируют в качестве промежуточных (прокси) IM-серверов, которые применяют к IM-переговорам правила заранее сформулированной политики, регистрируют все транзакции, блокируют неавторизованные IM-системы как на глобальном, так и на пользовательском уровне, и сканируют контент на предмет обнаружения вирусов и шпионского ПО. Мы протестировали устройства с целью определить, могут ли они детектировать нелегальные сети, версии программ-клиентов и неавторизованных пользователей и способны ли они просматривать сообщения на предмет детектирования вирусов и IM-спама. Устройства конфигурировались таким образом, чтобы сообщения между внутренними пользователями не проходили через Интернет без должной необходимости. Такая необходимость возникает, например, при передаче сообщений в удаленные офисы филиалов компании — в этом случае сообщения следует зашифровать. Наконец, система должна быть способна регистрировать переговоры и осуществлять их аудит. Описанными базовыми функциями располагают все протестированные нами устройства.

Поскольку присланные продукты используют пассивный порт мониторинга, они оказывают минимальное влияние на производительность сети. Единственный недостаток защитных устройств в варианте сервера-посредника состоит в том, что при отказе устройства или прекращении его работы останавливается и вся IM-система. К счастью, все три устройства поддерживают кластеризацию.

Для хранения архивов IM-сообщений и данных аудита необходима БД. Все рассматриваемые продукты могут записывать информацию в централизованную БД и сохранять настройки заданных политик. Устройство A6000 компании Akonix и устройство IronIM компании Secure Computing поддерживают встроенные БД, а устройство FaceTime требует для этой цели наличия БД Microsoft SQL или Oracle. Продукт FaceTime Enterprise состоит из собственно защитного устройства RTGuardian и ПО аудита и реализации политик, именуемого IMAuditor. RTGuardian блокирует нелегальные IM-сети и пиринговые соединения и осуществляет сканирование на предмет поиска вирусов и шпионского ПО. Политики устанавливаются пользователем в среде программы IMAuditor, которая требует отдельного сервера.

Проведение политики

Блокировка зловредного ПО — это только часть дела. Распространение IM-сетей как средства связи и ведения бизнеса привело к то-му, что к ним применяются те же регулирующие положения, что и к электронной почте. Проводимая вами политика пользования IM-системой (а ведь у вас обязательно есть такая политика, не правда ли?) должна четко обозначить те области, которые с точки зрения информационной безопасности могут быть затронуты использованием пиринговых коммуникаций. В некоторых областях деятельности федеральное или региональное законодательство требует, например, регистрации всех переговоров. Более того, вам необходимо подумать о том, не отправляют ли ваши служащие секретную информацию.

Независимо от типа IM-системы — администрируемой публичной или частной — существует ряд основных требований. Это контроль доступа, безопасность, регистрация и раскрытие информации компетентным органам. Устройства защиты IM-систем могут помочь вам в выполнении всех этих требований. Фактически, все поставщики, принявшие участие в нашем обзоре, поддерживают в частных IM-системах функции контроля доступа и регистрации. Поэтому даже пользователи пакетов SameTime и LCS (Live Communications Server) могут извлечь из этого немалую пользу.

Некоторые приложения-клиенты IM, базирующиеся на платформе Win32, обеспечивают автоматическую регистрацию сообщений, при которой информация обо всех коммуникациях сохраняется в текстовом файле на локальном жестком диске. Предоставление пользователю при этом возможности отключать регистрацию и уничтожать регистрационные файлы, а также отсутствие централизованного хранения и функции поиска приводит к трудностям при предъявлении организации юридически обоснованных требований о раскрытии информации — в лучшем случае на это уходит очень много времени, а в худшем — раскрытие вообще становится невозможным.

Организации, к которым не применимы требования хранения информации, все равно должны предусматривать возможность проведения аудита. Защитные устройства IM могут помечать переговоры, в которых упоминаются обозначения продуктов, фигурируют данные с форматом, похожим на формат номеров кредитных карточек или карточек социального страхования, а также содержатся любые иные подозрительные фразы.

Если вам необходимо контролировать каждое слово переговоров, то предпочтение отдайте продуктам компаний Akonix и FaceTime. Устройство А6000 обеспечивает развитые функции аудита, поиска и просмотра информации, предусматривая при этом два уровня доступа — для рецензентов и аудиторов. При этом в регистрационных журналах можно вести поиск по разным критериям: по пользователям, группам пользователей, доменам и IM-системе в целом. Помеченные события, например, выявленные при сканировании переговоров на предмет обнаружения ключевых слов, отображаются на специальном экранном интерфейсе типа “приборная доска”, что очень удобно. Рецензенты могут быть наделены минимальными правами, позволяющими считывать только помеченные сообщения или сообщения, выбранные случайно, и им предоставляется возможность “прикреплять” к переговорам свои аннотации. Права рецензентов распространяются на отдельных пользователей и их группы, что позволяет проводить рецензирование для подразделений организации. Аудиторы имеют право проверять все сообщения, наделять правами рецензентов и аннотировать любые переговоры.

Продукт компании FaceTime менее функционален. На “приборной доске” отображается обобщенная статистика. Панель управления упрощает доступ к помеченным сообщениям, но в этом случае рецензентам предоставляются минимальные возможности.

Устройство IronIM разработано, по-видимому, для того, чтобы переложить ответственность за соответствие нормативным требованиям на систему аудита электронной почты. Сообщения можно архивировать, и устройство обеспечивает поиск в этом архиве по ключевым фразам, датам или именам участников переговоров, но поиск по универсальным шаблонам (wild-card) не поддерживается. Ключевые слова могут помечаться автоматически, причем подозрительные сообщения направляются в специальный ящик электронной почты. Компания Secure Computing предлагает отдельное ПО аудита электронной почты.

Чтобы защитить, надо увидеть

Устройства безопасности IM-сетей не “встраиваются в сеть”, подобно МЭ, и их установка не такая уж простая задача: тут недостаточно просто подсоединить сетевой кабель и считать, что “дело в шляпе”.

Пропуск всего IM-трафика через защитное устройство возможно организовать несколькими способами. Наименее привлекательный из них сводится к модификации настроек IM-клиента с целью использовать устройство как сервер-посредник или МЭ. Еще один способ (и, видимо, лучший) — задействовать DNS-перенаправление, при котором для публичных IM-сетей DNS-информация модифицируется таким образом, чтобы указывать на защитное устройство. Этот вариант, естественно, применим в случае наличия у вас контроля над своими DNS-серверами. Однако небольшие организации обыкновенно пользуются внешними DNS-службами, тогда придется модифицировать файлы hosts. У вас может также быть возможность перенаправлять трафик при помощи коммутатора уровня 7 с функцией инспектирования контента.

Для тех, кому не нравится ни один из описанных способов, компании Akonix и FaceTime предлагают мониторинг посредством специализированного порта. При этом коммутатор, находящийся перед магистральным или Интернет-соединением, надо сконфигурировать так, чтобы он перенаправлял весь трафик на защитное устройство. Если устройство обнаруживает неавторизованный IM-трафик, оно разрывает соединение путем выдачи сигнала сброса в соответствии с протоколом TCP.

Компания Secure Computing планирует реализовать функцию мониторинга в своем устройстве IronIM уже в текущем году. Возможна также его интеграция с другими продуктами компании. На данный момент IronIM не детектирует и не блокирует IM-трафик, который в него не перенаправлен.

Учтите, что злонамеренные пользователи могут “победить” систему защиты, модифицируя DNS-информацию своих хостов или используя нераспознаваемое клиентское ПО. Наши испытания показали, что все устройства отвергли попытки коммуникаций посредством Web-клиентов IM AIM 5.9 и AIM Express, но ни одно из них не блокировало IM-сайт Meebo.com.

Блокировать и парировать

Все протестированные нами продукты нуждаются в совершенствовании функций блокировки и фильтрации. Мы испытали их антивирусные механизмы с помощью файла, инфицированного вирусом eicar, который позволил проверить антивирусную функциональность без реального распространения “живого” вируса по Интернету. Присвоив нашей зловещей “посылочке” невинное имя, мы поместили ее в обычный и в зашифрованный zip-файл. Мы также ввели eicar в архив очень большого размера — 6-гигабайтовый файл с символами “0”, сжатый до 6 Мбайт, чтобы заполнить объем памяти устройств.

И устройство A6000 с антивирусной программой Sophos и устройство IronIM с антивирусным механизмом Authenium пропустили зашифрованный файл, не произведя в нем никаких пометок. Оба устройства остановили передачу других инфицированных файлов. К счастью, атака с применением зашифрованного файла является сравнительно неопасной, поскольку в этом случае для ее успеха требуется так обмануть пользователя, чтобы он запустил инфицированный код. Однако хотелось бы все-таки иметь возможность автоматического отказа от приема зашифрованных zip-файлов.

Компания FaceTime оказалась единственным поставщиком, который не включил антивирусный механизм в свое устройство и не приложил к нему какое-либо программное средство; правда, им поддерживаются внешние антивирусные механизмы от компаний CA, McAfee, Symantec и Trend Micro. Если вы еще не приобрели лицензию на какой-либо антивирусный продукт, то столкнетесь с дополнительными расходами.

Нам понравилось, что устройства Akonix и FaceTime могут детектировать, блокировать и устанавливать правила обработки Web-трафика. Нам удалось заблокировать доступ к клиенту AIM Express, при этом клиент AIM оставался доступным. Устройство IronIM не располагает избирательностью такого уровня. Кроме того, отсутствие поддержки порта мониторинга сильно повредило этому устройству в наших глазах. Пока же нам пришлось запретить внутренним хостам пользоваться внешним DNS-сервером и блокировать прямой доступ к IM-сетям, находящимся за МЭ. Устройство компания Secure Computing поддерживает наименьшее количество IM-сетей (полный перечень сетей, поддерживаемых устройствами, см. “Характеристики устройств защиты IM-сетей”).

Если говорить об IM-сети AOL, то, работая с последней версией клиента AIM, мы столкнулись с общей для всех устройств проблемой. В шестую версию AIM компания AOL внесла изменения, добавив поддержку шифрования трафика, что ограничило возможности использования серверов-посредников. Из-за этого ни одно из тестируемых нами устройств не могло инспектировать контент или проводить аудит сообщений, пересылаемых через AIM 6. Пока поставщики будут решать эту проблему, организациям стоит продолжать пользоваться версией AIM 5.9 или клиентами третьих фирм.

Время пользователей

Администрирование пользователей — это самое слабое место IM-систем, и защитные устройства не являются здесь исключением. В общем случае пользователи не имеют своих IM-описателей, которые хранились бы в корпоративном справочнике LDAP. Все поставщики должны были предусмотреть в своих продуктах автоматизированный способ установления соответствия между описателями публичной IM-сети и именами пользователей.

Компании Akonix и Secure Computing решают этот вопрос путем саморегистрации пользователей в IM-сети. Когда, например, в AIM регистрируется новое экранное имя, устройство выдает пользователю запрос на регистрацию. Запрашиваемый вводит свои пользовательские имя и пароль службы Active Directory, чтобы ассоциировать с ними экранное имя. Если пользователь уклоняется от регистрации или вводит некорректные пользовательское имя и пароль, то его IM-трафик блокируется.

Компания FaceTime такую функцию не предлагает в своем устройстве. Вместо этого оно запрашивает у сервера LDAP или Active Directory пользовательское имя лица, зарегистрировавшегося с данным IP-адресом. Все поставщики поддерживают установление соответствия и ввод экранных имен вручную. Ни одна из протестированных систем не требует модификации или записи сведений о правах доступа в службу Active Directory.

Пользователи и группы пользователей могут быть наделены определенными правами доступа. Вы можете обязать всех своих служащих пользоваться AIM как стандартным средством связи, но при этом нескольким сотрудникам отдела продаж разрешить пользоваться IM-клиентами MSN Messenger. Для этого надо просто создать из них группу, и установить для нее права доступа к MSN. Компания Secure Computing поддерживает организацию групп с неизменным составом, организуемых на основе экранных имен.

К сожалению, это означает, что при наличии у пользователя нескольких экранных имен все они должны быть введены в группу. за исключением А6000, тестируемые устройства поддерживают LDAP-запросы в режиме реального времени, но не извлекает автоматически информацию по группе пользователей.

Средства управления, имеющиеся в распоряжении пользователя устройства компании FaceTime, намного превосходят те, которые предлагают ее конкуренты. Экранные имена всех наших пользователей группировались в одну учетную запись. Мы легко могли вводить новых пользователей в статические и динамические группы и устанавливать политики либо по пользователям, либо по группам. В число опций входят возможности указывать служащим, к каким сетям они могут иметь доступ, могут ли пересылать файлы и связываться с внешними пользователями.

Устройство А6000 имеет аналогичные возможности; правила можно устанавливать в отношении всех администрируемых внутренних пользователей, всех внешних пользователей, всех пользователей вообще, конкретных IP-сетей и отдельных пользователей/групп. У нас была возможность установить политики по пользователям и группам LDAP, но данное устройство не поддерживает LDAP-запросы в режиме реального времени.

Компания Secure Computing поддерживает LDAP-запросы в упомянутом выше режиме и образование групп пользователей; однако нам не удалось задать правила для связи внутренних пользователей, отличные от правил для внешних пользователей. В общем, мы обнаружили ограниченность избирательности устройства компании Secure Computing по конфигурированию. Оно просто задействует или блокирует передачу всех файлов, в то время как устройства двух других компаний блокируют передачу файлов с заданными расширениями.

Цены рассматриваемых устройств рассчитываются очень просто. Для тестирования мы запросили устройства, обслуживающие не менее 100 работающих пользователей одновременно, находящихся в трех разных местах и действующих в соответствии с заданными нами сценариями. Для простоты расчета мы ранжировали устройства по стоимости, исходя из цены базового варианта одного устройства, обслуживающего 100 пользователей. Самым дешевым оказался продукт компании Akonix, цена которого (в описанном варианте) составляет 4995 долл. с учетом годовой лицензии на антивирусное/противошпионское ПО. Стоимость подключения одного дополнительного пользователя находится в пределах от 10 до 75 долл., что зависит от опций и скидки на оптовую продажу.

Компания Secure Computing оценила свое устройство IronIM (S-Class) в 5995 долл.; дополнительно взимаются годовая плата в размере 1000 долл. за противошпионское и антивирусное ПО (10 долл. с пользователя) и плата за техническую поддержку в течение года в размере 1498 долл. Общая же стоимость данного устройства составляет 8493 долл.

Компания FaceTime возьмет с вас 9995 долл. за само устройство, лицензию на IMAuditor и годовую лицензию на противошпионское ПО. Сюда не входит стоимость лицензии на сервер Windows и БД, которая начинается с 7500 долл.

Обратите внимание на тот факт, что все три поставщика взимают годовую плату за антивирусное и противошпионское ПО.

В целом нам понравились все три устройства. Навигация их интерфейсов управления достаточно проста и большинство администраторов не будут испытывать никаких проблем с ней. Компании Akonix и FaceTime — многолетние конкуренты в данном секторе рынка — предоставили совершенно зрелые продукты, которые стоят тех денег, что за них просят. Чтобы приблизиться к ним, устройство компании Secure Computing нужно доработать и оснастить дополнительными функциями.

Продукт компании Akonix занял первое место и заслужил наш титул “Выбор редакции”, получив прекрасные оценки в категориях блокировка IM-трафика и стоимость. Компании FaceTime и Secure Computing сражались за второе место. Победителем стало устройство от FaceTime благодаря уверенной поддержке разнообразных IM-систем и усиленной защите. Устройство компании Secure Computing заняло третье место, так как не было способно блокировать нелегальные сети. Тем не менее будет интересно посмотреть, как компания усовершенствует свое устройство IronIM в ближайшие месяцы..





  
9 '2007
СОДЕРЖАНИЕ

бизнес

• Измеряем качество работы контакт-центра

инфраструктура

• Беспроводные ячеистые сети на пути к успеху

• Отвод тепла в ЦОДе. Анализ проектов. Часть 2

• Дедупликация данных сокращает обьемы информационных хранилищ

• Системы FSO: пропускная способность растет, цены снижаются

информационные системы

• Аутсорсинг приложений: собака та же, блохи другие

• Развитые интернет-приложения

сети связи

• Три поколения провалов в телефонии

кабельные системы

• Кабельные смазки и характеристики высокопроизводительных кабелей

• Администрирование СКС и принцип конструктивной неоднородности

• Ленточные кабели и соблюдение полярности оптических соединений

защита данных

• Хладнокровные «черви»


• Калейдоскоп



 Copyright © 1997-2007 ООО "Сети и Системы Связи". Тел. (495) 234-53-21. Факс (495) 974-7110. вверх