Обзор "Средства защиты информации и бизнеса 2007" подготовлен При поддержке
CNewsAnalytics Radware

Пример решения: Новый уровень защиты UserGate

Пример решения: Новый уровень защиты UserGateНовая версия UserGate делает упор на повышение безопасности работы локальных сетей от внешних угроз. К типовым функциям прокси-сервера — администрированию доступа, добавились функции файервола и антивирусной защиты, что расширяет возможности программы и делает ее еще более привлекательной для использования в локальных сетях малого и среднего бизнеса и частных домовых сетях.

UserGate давно известен как продукт, решающий многие проблемы системных администраторов при раздаче прав пользователям на доступ в Интернет. В четвертой версии в программе появился собственный файервол, "прозрачный прокси" и возможность работы с VPN-трафиком. Но дальше — больше. В следующем развитии, в релизе 4.2 добавился антивирусный модуль, включающий в себя либо антивирус Касперского, либо антивирус Панда, либо оба вместе. Об этих антивирусах чуть позже, а пока речь пойдет о самом UserGate.

UserGate — прокси сервер, выполняющий функции контроля и распределения прав при организации выхода в Интернет пользователей локальных сетей через один внешний IP-адрес. Этот прокси-сервер имеет гибкое управление ограничениями по каждому пользователю в отдельности или группе в целом, удобные средства мониторинга всех процессов в сети, встроенную биллинговую систему и ряд дополнительных сервисов для администратора сети. Решение используют как в корпоративных сетях с малым и средним числом компьютеров, так и в частных локальных сетях.

Программа очень часто обновляется, иногда до двух раз в месяц. Учитывая то, что в реальном использовании находятся прокси-сервера UserGate разных версий, компания-разработчик одновременно осуществляет поддержку нескольких версий программы. На данный момент поддерживается предыдущая (3-я) и актуальная (4-я) версии.

Интерфейс программы

Отличия третьей от четвертой версии значительные. Главные дополнения: собственный gateway firewall, "прозрачный прокси", возможность работы с VPN-трафиком и появление антивирусов. Ну, а по мелочам: улучшенный интерфейс, модифицированные модули статистики и авторизации, новый удобный клиент администрирования, не говоря уже об исправленных багах и многочисленных улучшениях работы программы.

Администрирование пользователей

Администрирование пользователей — основная функция программы. С помощью несложных правил администратор сети может гибко управлять подключением пользователей к локальной сети и Интернету. Ограничения можно вводить для групп и отдельных пользователей по времени, протоколам, определенным ресурсам, скорости доступа в Сеть.

Администрирование осуществляется либо через драйвер NAT (Network Address Translation — Трансляция сетевого адреса), либо через прокси-сервер. Администрирование через NAT обладает большей производительностью. Переадресация портов обеспечивает нормальную работу приложений, требующих трафика на конкретный IP-адрес.

Биллинговая система

Биллинговая система — не новшество четвертой версии, но важность этой функции заставляет остановиться на ней специально. Подсчет расходов на Интернет и переход на экономичный тариф зачастую невозможен без этого инструмента. Создание тарифной сетки подключений и правил использования этих тарифов позволит автоматически переходить с одного выгодного тарифа на другой.

Пополнение счета пользователя

Но основное назначение биллинговой системы — управление доступом пользователей в зависимости от выделенной им квоты. Благодаря этому инструменту можно осуществлять допуск пользователя в соответсвии с внесенным им финансовым вкладом (для домовых сетей), либо разрешенной начальством квоте. Благодаря учету трафика конкретного пользователя и с учетом использования наиболее выгодного тарифа в конкретный промежуток времени можно максимально эффективно использовать даже небольшие финансовые ресурсы.

Встроенный файервол

Собственный файервол в составе UserGate задумывался давно, но задача его создания решалась достаточно долго, почти год. Почему? Создание собственного, пусть и gateway, а не персонального, файервола требовало наличия программистов серьезного уровня, каковых не много. Возможно именно прочувствованные на собственной шкуре трудности по созданию непрофильного продукта и побудили компанию Entensys не заниматься разработкой собственного антивирусного движка, а интегрировать на этот раз чужие разработки. Конечно, встроенные антивирусы вместе с файерволлом позволяют говорить о движении программы в направлении к классу Internet Security. Однако новый UserGate — это программа не совсем такого класса. Прежде всего потому, что предназначена не для частного использования, а для контроля за работой сети. И потому, что антивирусные движки не имеют возможности проверки локальных файлов, а проверяют только трафик. И, наконец, собственный файервол, как уже говорилось, шлюзовый, а не персональный. Так что класс этого продукта точно указать невозможно.

Создание правил для UserGate

Файервол UserGate обрабатывает пакеты, не прошедшие обработку на уровне правил NAT. Если пакет был обработан драйвером NAT (Network Address Translation — внутренняя технология учета трафика), он не обрабатывается файерволом. Возможности в создании правил во встроенном файерволе UserGate для непроходящих через NAT пакетов довольно просты. Действие можно либо разрешить, либо запретить — не более. Есть возможность организовать доступ к определенным ресурсам компьютера из Интернета, обеспечив, таким образом публикацию веб-серверов.

"Прозрачный прокси"

Как уже отмечалось, UserGate рассчитан на сети малых и средних компаний и домашние (домовые) локальные сети. Не секрет, что такие сети обслуживаются, в большинстве своем, "продвинутыми" пользователями — то есть не профессиональными (читай: не сертифицированными) системными администраторами. Таким "администраторам поневоле" порой не хватает знаний, опыта и времени в настройке правил и самой программы. В такой ситуации будет очень удобна функция "прозрачный прокси", которая позволяет работать с программой даже такому неопытному сисадмину.

Суть "прозрачного прокси" в том, что при его включении происходит пересылка клиентских запросов, перехваченных драйвером NAT, на порт HTTP-прокси UserGate. В результате этого отпадает необходимость в настройках браузеров пользователей локальной сети. А ведь без этой функции приходилось указывать адрес и порт прокси в LAN для каждого из компьютеров, кому разрешен выход в Сеть. Либо приходилось отказываться от возможности контроля за посещаемыми сайтами. Теперь, включив "прозрачный прокси", можно и не обегать всю территорию организации или домовой сети, настраивая в браузерах прокси, и не терять при этом возможность ограничить доступ пользователей к сайтам определенного содержания. "Прозрачный прокси" — это следующий шаг после реализации "прозрачного FTP" в третьей версии программы.

VPN

Особенность VPN сетей в том, что они не требуют создания собственных линий коммутации, то есть финансовых вложений. Они используют общедоступные линии связи, поэтому естественно, что такие сети будут развиваться дальше и учет трафика в них становится реальной потребностью, которую и можно реализовать с помощью UserGate. Правда, реализация этой функции в программе еще не совершенна: довольно много нареканий от пользователей на "подвисания" и "вываливания" программы при учете VPN-трафика. В оправдание разработчиков скажем, что способов реализации сетей VPN столько, что все их предусмотреть невозможно, кроме того, пока не во всех случаях возможен учет трафика по протоколу L2TP/IPSec. Работа по совершенствованию управления VPN-трафиком ведется и ведется постоянно.

Управление VPN-трафиком — одна из ключевых возможностей в новой версии. Возможность подсчета трафика для защищенных, туннелированных соединений важна для достаточно большой группы задач. Это — аудио- и видеоконференции, линии "клиент-банк", сети магазинов электронного контента, коммьюнити-сети, территориально разнесенные сети предприятий и так далее.

Антивирусы

Появление антивирусов в составе прокси-сервера может вызвать вопросы. Прежде всего — в оправданности этого шага. Нам кажется, что такая интеграция имеет смысл. Конечно, такие встроенные антивирусы работают ограниченно: проверяют только трафик и не имеют возможности проверить локальные файлы даже на сервере, где установлен сам UserGate. Однако для большинства организаций использование, если так можно выразиться "полных" антивирусов не оправдано. Если в конторе стоят тонкие клиенты или на рабочих станциях нет никаких устройств для внешних носителей (Floppy, CD, картридеров и прочих), то появление вирусной заразы возможно только через Интернет. В этом случае проверка трафика обеспечивает полную защиту всей сети от угроз заражения. А организация может существенно сэкономить на антивирусной защите.

Настройки параметров антивируса Касперского

В качестве встроенных антивирусов используются "Антивирус Касперского" и Panda. Версии движков не самые актуальные: "Антивирус Касперского" с движком четвертой версии, Panda — пятой. Но не секрет, что сами движки антивирусной проверки меняются крайне редко. С проверкой текущего трафика они справляются без проблем, не особо перегружая сервер. В качестве конкретного примера приведем следующий факт. Сервер: 2-х ядерный Zeon 3 Ггц, по 1 Мб кэша на ядро, 3 Гб оперативной памяти. Нагрузку на сервер создавал сам UserGate (при включенных антивирусах, полная проверка по всем видам трафика) и 50-60 активных пользователей, которые через прокси грузили сервер. Нагрузка составляла на 20-60 % в зависимости от количества запросов. Если такая нагрузка администратору может показаться большой, то можно отключить тот или иной движок или ограничить проверку по видам трафика.

Установите порядок проверки трафика

При обнаружении вирусов в почте UserGate выдает сообщения о том, что один или несколько прикрепленных файлов содержали вирус, и были удалены UserGate. При обнаружении вируса в HTTP трафике страница не отображается и выводится сообщение, что на ней был обнаружен вирус. Для админа будут полезно в этом случае почаще заглядывать в логи antivirus.log в папке \usergate4\logging, ведь пользователи могут и не сообщить о неполучении почты и зараженной странице.

Наличие в программе двух антивирусных движков мы считаем вполне логичным. Как известно, ни один движок не может гарантировать 100% защиты от вирусов, поэтому двойная защита предпочтительнее. Кроме того, не надо забывать про скорость реакции антивирусных компаний на появление новых вирусов. И хоть обе компании — и "Лаборатория Касперского", и Panda Software известны своей оперативностью, тем не менее, вероятность того, что кто-то из них не успеет отреагировать вовремя, теоретически имеется. То есть пользователи UserGat'а имеет двойную страховку, а особо это важно в периоды эпидемий. Ради интереса мы связались с одной из известных компаний, занимающейся вопросами безопасности в Сети, и попросили высказать мнение по поводу двойной антивирусной защиты в UserGate. Отзыв был самый положительный, и это не смотря на то, что у компании этой имелись собственные продукты — в некотором роде, конкуренты UserGate. Ну, и в качестве последнего аргумента в пользу двух движков приведем пример известного в Северной Америке канадского двухъядерного антивируса CA Anti-Virus.

Дополнительным плюсом антивирусной защиты можно назвать неограниченную по времени возможность обновления антивирусных баз с сайтов антивирусных лабораторий Касперского и Pand'ы, а также гибкие возможности настроек порядка проверки трафика движками. Любой из движков можно отключить полностью, либо от проверки того или иного вида трафика. Более того, администратор может задать последовательность проверки трафика одного движка за другим. Никаких ограничений или рекомендаций на это UserGate не накладывает, администратор может использовать тот движок, который лучше знает или к которому привык. Управление антивирусами крайне простое, интуитивно понятное, все делается с помощью мыши.

Если в локальной сети уже установлены файервол и антивирус стороннего производителя, то никто не мешает их использовать вместо встроенных в UserGate. И антивирус, и файервол в UserGate легко отключаются, и это позволяет без проблем применять другие, более продвинутые средства защиты. А поскольку антивирусы прокси-сервера используются только для проверки трафика, то они не конфликтуют с установленными на локальные компьютеры антивирусами. Почти аналогичная картина совместимости со сторонними файерволами, вот только на период настройки UserGate сторонний файерволл необходимо отключить.

Вернуться на главную страницу обзора

Версия для печати

Опубликовано в 2007 г.

Техноблог | Форумы | ТВ | Архив
Toolbar | КПК-версия | Подписка на новости  | RSS