«Журнал сетевых решений/LAN»
HP Virus Throttle: в наше время защита сети — одно из ценнейших свойств сетевого оборудования
Билл Джонсон: «Virus Trottle — это только начало, в дальнейшем система будет совершенствоваться» |
В условиях повышения активности творцов вредоносных программ все больше производителей выпускают средства для борьбы с ними, все чаще соответствующее программное обеспечение встраивают в сетевое оборудование.
Одним из заметных анонсов года стала технология Virus Throttle («душитель вирусов») впервые представленная компанией Hewlett-Packard в середине февраля на конференции 2005 RSA в Сан-Франциско, в Европе ее продемонстрировали чуть позже.
С появлением быстро распространяющихся сетевых червей и вирусов администраторы просто не успевают реагировать на появление вируса, и атакованными оказываются все корпоративные системы.
Virus Throttle выявляет системы, пытающиеся установить большое число сетевых соединений (что является типичным признаком заражения вирусом или червем) и в течение нескольких миллисекунд реагирует на это аномальное поведение: для зараженной системы ограничивается число устанавливаемых сетевых соединений, а администратору отправляется уведомление. Это дает возможность сохранить нормальную работоспособность системы, не отсекая ее от сети.
Разработка Hewlett-Packard, не влияя на «законный» трафик, способна значительно замедлить распространение эпидемии, позволяя администратору принять необходимые меры. По существу, такой подход означает дополнительный уровень защиты против вирусных атак, не выявляемых сетевым экраном или антивирусными средствами.
Корпоративная сеть наделяется своего рода иммунитетом к прорвавшимся сквозь первую линию обороны вирусам, и администратору требуется намного меньше усилий для ликвидации последствий проникновения вредоносного программного кода.
В настоящее время это программное обеспечение доступно для серверов HP ProLiant, работающих под управлением операционных систем Windows 2000 или 2003 Server (в составе пакета ProLiant Essentials Intelligent Networking Pack), и коммутаторов HP ProCurve 5300.
Позднее данная технология будет поддерживаться в другом сетевом оборудовании семейства ProCurve.
По словам директора по исследованиям и разработкам подразделения HP ProCurve Networking Билла Джонсона, «удавка» не предназначена для замены других продуктов обеспечения информационной безопасности, а дополняет их. Администратор может задавать политики для коммутатора, настраивать на нескольких уровнях реакцию системы на аномальное поведение.
Наделение сетевой инфраструктуры достаточным интеллектом, позволяющим автоматически выявлять и «гасить» атаки до того, как они примут опасные масштабы, становится общей тенденцией.
В Hewlett-Packard намерены вести дальнейшие разработки в этом направлении, чтобы помочь заказчикам решить наиболее острые проблемы информационной безопасности и снизить стоимость администрирования. Кроме того, такой подход хорошо вписывается в концепцию «адаптивного предприятия» Hewlett-Packard, предполагающую гибкость в работе ИТ-инфраструктуры.
Коммутаторы ProCurve Switch 5300 обычно применяются на границе сети, и наделение их дополнительными функциями безопасности рассматривается как развитие архитектуры ProCurve Adaptive EDGE Architecture, предусматривающей принятие решений о «сетевых событиях», таких как доступ к сети, приоритизация и маршрутизация трафика, оптимизация пропускной способности.
В попытке отвоевать долю рынка Hewlett-Packard, подобно 3Com, позиционирует продукцию подразделения ProCurve Networking как недорогую альтернативу Cisco, хотя в компании предпочитают говорить не о привлекательной стоимости сетевых решений, а об их «ценности для бизнеса». А технология Virus Throttle предлагается как бесплатное дополнение к коммутаторам.
Среди других новинок Hewlett-Packard — семейство пограничных маршрутизаторов ProCurve Secure Router 7000dl. Пока что в него входят две модели — 7102dl и 7203dl, предназначенные для удаленных офисов (до 100 и до 1000 сотрудников соответственно).
В это же время начнутся поставки модуля контроля доступа ProCurve Switch xl Access Controller Module. Этот модуль для коммутаторов 5300xl позволяет управлять правилами доступа через ProCurve Secure Access Server или Integrated Access Manager.
К середине года коммутаторы серий HP 6400 и 9300 будут дополнены новой платформой с моделями Interconnect Fabric Chassis с 8 или 16 слотами.
А что вокруг
Другие компании также предлагают продукты для противодействия вредоносным программам. Наиболее традиционные среди них — системы обнаружения вторжений. Например, в Cisco IPS имеются механизмы обнаружения вредоносных программ, система может самостоятельно блокировать адрес, сеанс или пакет с вредоносным содержимым либо дать такую команду маршрутизатору, коммутатору, сетевому экрану. Аналогичные возможности у операционной системы маршрутизаторов Cisco IOS.
Блокировать аномальную активность, включая распространение червей, способны также модули Cisco Guard и Cisco Anomaly Guard для коммутаторов Catalyst 6500 и маршрутизаторов Cisco 7600.
Другой подход — применение программных агентов на клиентских ПК. Так Cisco Security Agent блокирует запуск червя на атакуемом компьютере, в случае его заражения пресекает все дальнейшие действия, а технология Cisco Network Admission Control позволяет не допустить инфицированный узел в сеть и отправить его в карантин (переадресовать в специальную подсеть). Все эти механизмы позволяют решить задачу обнаружения, отражения и локализации червей и других вредоносных программ, однако требуют отдельных (подчас серьезных) инвестиций.
Компания Enterasys Networks сделала концепцию защищенных сетей основой своей маркетинговой политики. Ее подход предполагает присваивание каждому подключающемуся пользователю сети своего набора прав (политики безопасности) по результатам аутентификации. Разработчики компании исходят из того, что лучше предотвратить проникновение «заразы» в сеть, чем потом с ней бороться. В Enterasys считают, что при разумной настройке политики безопасности проникновение сетевых червей практически невозможно. Такая политика предполагает запрет для всех пользовательских портов применения потенциально опасных протоколов (ICMP, TFTP, FTP, SNMP и т. д.), что не мешает нормальной работе. Блокада ICMP предотвращает обнаружение червем еще не зараженных рабочих станций, а запрет протоколов TFTP и FTP дает возможность «отсечь» типовой механизм распространения. При выявлении аномалий системой обнаружения вторжений автоматически меняется политика в отношении потенциально опасного порта или пользователя.