ДЖЕФ ПЛЕЙТОН: «Сотрудничество предприятий отрасли становится преградой для сетевых угроз» |
СПЕЦИАЛИСТЫ Cisco Systems намерены обеспечить безопасность корпоративных сетей с помощью средств, которые предотвращают проникновение вирусов и «червей» из клиентских компьютеров. Об этом было заявлено 18 ноября на европейской и американской презентациях программы Network Admission Control (NAC), являющейся базовым компонентом стратегии создания сетей со средствами внутренней защиты (Self-Defending Network Initiative). Первыми участниками NAC стали три «антивирусные» компании: Network Associates, Symantec и Trend Micro.
Как это должно работать
Итак, сделан первый шаг к реализации концепции Self-Defending Network Initiative, базовыми компонентами которой являются разработка интегрированных средств защиты, решений системного уровня и сотрудничество с предприятиями отрасли. По словам директора Cisco по маркетингу технологий безопасности Джефа Плейтона, благодаря программе NAC каждый порт входа в корпоративную сеть должен превратиться в точку контроля, гарантирующую безопасность всей корпоративной информационной инфраструктуры. Контроль осуществляется за счет проверки состояния ПО пользовательских компьютеров сети, работающих под управлением Windows 2000, NT и XP. В дальнейшем планируется охватить и другие наиболее популярные операционные системы.
Основной элемент программы защиты, клиентское ПО Cisco Trust Agent, собирает данные от антивирусных программ Network Associates, Symantec, Trend Micro и предоставляет сведения об обновлениях их баз данных. Наряду с этим Trust Agent взаимодействует с установленным на компьютерах-клиентах ПО Cisco Security Agent, обеспечивающим, в частности, контроль за внесением корректировок в системы защиты ОС Microsoft. Вся полученная информация направляется на сервер контроля за доступом Cisco Access Control Server (ASC), одна из функций которого — поддержка управления политикой корпоративной безопасности.
Результатом взаимодействия серверов ASC и противовирусной защиты является выработка решения о возможности входа конкретного абонента в корпоративную сеть. Сведения о разрешении или запрете доступа отправляются на установленное «на краю» сети устройство третьего уровня, способное блокировать IP-адреса нежелательных пользователей.
Перспективы внедрения
Актуальность комплексной защиты корпоративных сетей очевидна: без принятия специальных мер весьма велика угроза их инфицирования собственными удаленными пользователями. По данным Джузеппе Веррини, приведенным вице-президентом Symantec в регионе EMEA, в 2003 году только «червь» Lovegate.F поразил 5 млн компьютеров, а Lovegate.G и Sobig.F добавили к этому числу еще около 3,5 млн ПК.
Согласно заявлениям представителей Cisco, компаниям Network Associates, Symantec и Trend Micro предоставлены лицензии на использование ПО Trust Agent для обеспечения его взаимодействия с собственными клиентскими приложениями. Сообщается также о планах поддержки специалистами Network Associates совместной работы Trust Agent с продуктами и технологиями McAfee Security в рамках программы McAfee Trusted Connection Strategy. В свою очередь, в Cisco намерены заняться интеграцией ПО Trust Agent и Security Agent. Компания Symantec планирует совместно с Cisco разработать консоль управления, которая будет использоваться для координации политики безопасности, основанной на контроле обновлений антивирусного ПО и проверке своевременности установки «заплаток» в операционные системы.
Реализация программы Network Admission Control потребует внесения модификаций в сетевую операционную систему Cisco IOS. Как ожидается, к середине следующего года решения, созданные в рамках программы NAC, будут поддерживать маршрутизаторы. Позже дело дойдет до коммутаторов Catalyst: при помощи протокола 802.1x в них будут блокироваться «подозрительные» порты. Безопасность подключения беспроводных сегментов должны обеспечивать средства протокола Cisco LEAP.
Новые продукты
Разработки в области обеспечения безопасности не ограничиваются только программой Network Admission Control. Незадолго до ее анонса было объявлено о расширении функциональности концентраторов Cisco VPN Series 300, в которые добавлена поддержка протокола Secure Sockets Layer (SSL). Это позволяет удаленным абонентам использовать снабженные SSL-функциями Web-браузеры для защищенного доступа к информационным системам предприятий. Такая возможность появится в январе 2004 года. Концентраторы Series 300 с программным обеспечением версии 4.1, которое дополнится новым ПО WebVPN, смогут одновременно поддерживать протокол SSL и соединения на основе технологии IPSec VPN.
WebVPN обеспечит доступ к Web-приложениям и электронной почте на базе протоколов POP, IMAP, SMTP и к таким системам, как Microsoft Outlook, Outlook Web Access, Notes и iNotes.
Комментируя анонс WebVPN, аналитики The Yankee Group подчеркивают, что результаты октябрьского опроса ИТ-менеджеров 250 средних и крупных компаний свидетельствуют о заинтересованности 95% респондентов в приобретении продуктов Cisco c технологией SSL VPN. В то же время ряд экспертов отмечают неспособность WebVPN работать с Web-порталами, базирующимися на продуктах Citrix Systems, и ограничения концентраторов VPN 3000 Series по числу одновременно обслуживаемых пользователей (не более 200).
Немногим ранее были анонсированы предназначенные для малых офисов маршрутизаторы Cisco 1711 и 1712 с многочисленными функциями обеспечения безопасности. Их параметры значительно улучшены по сравнению с характеристиками поставляемых в настоящее время маршрутизаторов серии 1710. Быстродействие в режиме VPN-шифрования увеличено в три раза (до 15 Мбит/с), скорость работы межсетевых экранов — с 6 до 20 Мбит/с, количество типов распознаваемых вторжений — с 57 до 100.
Возможные преграды
Используемые в продуктах Cisco технологии существенно упрощают передачу из клиентских систем информации, необходимой для реализации программы Network Admission Control, а возможность логического разделения коммуникационной инфраструктуры на виртуальные LAN позволяет довольно легко формировать «карантинные зоны». Однако, как полагают аналитики, препятствием к быстрому внедрению разрабатываемых средств будет необходимость реконфигурирования сетей крупных компаний и тестирования нового ПО на совместимость со всеми используемыми ОС и приложениями.
Вскоре после презентации программы NAC стало известно о решении Network Associates поставлять Cisco Trust Agent как отдельный продукт по крайней мере до середины следующего года.
В Gartner полагают, что развертывание программы NAC может сдерживать применение «фирменных» решений и технологий Cisco, которое препятствует распространению функциональности защиты на установленное в гетерогенных сетях оборудование других производителей. Тем временем в Cisco планируют выпустить спецификацию API-интерфейса прикладных программ для интеграции новых технологий с продуктами других компаний. Это должно обеспечить рост числа участников программы NAC за счет привлечения организаций, работающих в области ИБ.