Некоторые производители систем, предупреждающих вторжения за счет блокировки опасного трафика, считают, что стратегия обеспечения безопасности должна предусматривать переход от защиты границ корпоративных сетей к установке оборудования IPS (Intrusion-Prevention System) в глубине охраняемой зоны. Развернув устройства IPS внутри сети, администратор сможет обнаруживать и автоматически блокировать любых сетевых червей, которые потенциально способны проникать в локальную сеть предприятия «стараниями» собственного служащего или партнера по бизнесу.
Silicon Defense и TippingPoint Technologies собираются независимо друг от друга представить изделия, реализующие данную стратегию. Их подход обещает быть новаторским, поскольку компании сообщают, что их продукты смогут автоматически блокировать опасный трафик везде, даже по периметру корпоративной сети.
Фирма Ubizen NV, специализирующаяся на управлении средствами безопасности, недавно опубликовала отчет о черве Slammer. В нем отмечалось, что, хотя такого червя легко остановить на периметре инфраструктуры, некоторые клиенты Ubizen NV все же пострадали от него. Источником угрозы стали «доверенные стороны» — коммутируемые линии, к которым подключаются отдельные рабочие места пользователей и переносные компьютеры, и выделенные соединения с партнерскими компаниями.
Сдерживание червей
Руководитель Silicon Defense Стюарт Сэнифорд пропагандирует политику «сдерживания червей». Именно на ее поддержку нацелено выпускаемое компанией оборудование CounterMalice.
«Черви всегда норовят заползти внутрь сети предприятия, поэтому необходимо обеспечить их сдерживание изнутри», — говорит Сэнифорд. Аппаратура CounterMalice обеспечивает производительность 500 Мбит/с и устанавливается в тех сегментах локальной сети, которые специалисты Silicon Defense выбирают на основании анализа защищаемой инфраструктуры. Как только червь начнет распространяться, он будет обнаружен и заблокирован.
«На угрозу необходимо реагировать в считанные секунды, поэтому необходимо передать эти задачи оборудованию, — подчеркивает Сэнифорд. — Бессмысленно ждать, когда системный администратор обнаружит вторжение и предпримет ответные действия».
Оборудование CounterMalice не только использует методы обнаружения на основе анализа сигнатур, но и блокирует активность сетевого червя, отметив отклонение IP-трафика от нормы. Причиной таких флуктуаций может оказаться, к примеру, сканирование ПК червем, вышедшим на поиск новой жертвы.
В оборудовании CounterMalice, стартовая цена которого составляет 25 тыс. долл., пока используется рудиментарный интерфейс командной строки. Однако к апрелю, когда начнется поставка оборудования на рынок, производитель обещает добавить более удобный интерфейс.
Заявка TippingPoint
Компания TippingPoint уже продает систему UnityOne 2000, которая предотвращает вторжение на основании анализа сигнатур и обеспечивает производительность 2 Гбит/с. Теперь она представила три новые модели оборудования IPS, предназначенного для использования внутри корпоративных сетей.
Модель UnityOne 400 обеспечивает пропускную способность 400 Мбит/с, UnityOne 1200 — 1,2 Гбит/с, а производительность UnityOne 2400 достигает 2,4 Гбит/с. Каждое устройство оснащено восемью портами, которые поддерживают работу локальных сетей, основанных на стандартах Ethernet, Fast Ethernet и Gigabit Ethernet. С одной и той же управляющей консоли можно конфигурировать все три типа устройств и получать от них отчеты. Представленные продукты блокируют 850 разновидностей атак, а их стоимость варьируется от 43 до 97 тыс. долл.
«Устройство UnityOne 2400 ориентировано на применение в центрах обработки данных», — рассказывает исполнительный директор TippingPoint Джон Макхейл. Специалисты компании оснастили свои изделия функциями резервирования: теперь UnityOne берет на себя задачи коммутации второго уровня при отказе основного линейного оборудования. Вся аппаратура поддерживает несколько протоколов маршрутизации, включая Interior Gateway Protocol (IGP).
TippingPoint по-прежнему поддерживает идею развертывания IPS на границе между корпоративной сетью и Internet. Но дополнительное размещение подобных устройств внутри сети, по словам Макхейла, способно придать ей еще большую стойкость к сетевым червям и другим видам атак.
В Университете Дейтона штата Огайо студенты порой заражают университетскую сеть вирусами из своих переносных компьютеров, по словам одного из руководителей университета Тома Дэнфорда. Поэтому руководство университета решило установить внутри сети устройство UnityOne 2000. «Существует вероятность того, что будет заблокирован легальный трафик. Однако наш опыт показывает, что в конце концов выявляется злонамеренный трафик», — отмечает Дэнфорд.
К маю TippingPoint планирует оснастить свое оборудование функциями, позволяющими предотвратить нарушение авторских прав.
Большинство организаций развертывают у себя системы «пассивного» обнаружения вторжений: они проводят мониторинг трафика и сообщают администратору о подозрительной активности отдельных пользователей, но не блокируют ее. Оборудование IPS, в том числе изделия IntruVert Networks, NetScreen Technologies, Internet Security Systems, Top Layer Networks и Check Point Software Technologies, пока еще не нашло широкого применения. Ожидается, что в ближайшее время список производителей таких решений пополнят традиционные разработчики продуктов IDS (Intrusion-Detection System).
«Оборудование этого класса относится к следующему поколению брандмауэров, работающих по принципу proxy-серверов, — говорит Мартин Рош, президент Sourcefire. — Мы рассчитываем выпустить свое изделие IPS уже в этом году. Однако мы по-прежнему считаем, что компаниям следует применять оба типа устройств, IDS и IPS, в качестве средств надзора и мониторинга работы сетей».
Уже в нынешнем году тестирование устройств IPS с функциями активного блокирования планируют провести Tolly Group, NSS Group и редакция Network World.