В то время как Cisco, Alcatel и Nortel остановились на довольно схожей идее использования карантинных зон, Enterasys продвигает более гибкий метод обеспечения сетевой безопасности
В июле компания Enterasys Networks анонсировала новые возможности коммутаторов ЛВС, которые позволят администраторам эффективнее отсекать пораженные вирусами или уязвимые для злоумышленников машины, пытающиеся получить доступ к корпоративным ресурсам. Технология этого вендора Trusted End-System Solution (TES) сочетает применение собственных аппаратных средств с клиентским или серверным ПО для оценки защищенности конечных устройств производства Zone Labs и Sygate. Таким образом, каждый коммутируемый порт Ethernet станет функционировать как шлюз безопасности при доступе в корпоративную сеть.
Технология TES обеспечивает эффективное взаимодействие продуктов Integrity от Zone Labs и программного комплекса Secure Enterprise фирмы Sygate с коммутаторами Enterasys Matrix серий C, E и N. Это решение тесно связано с комплектом управления сетевыми политиками на базе сервера Netsight Atlas Policy Manager, который применяется корпоративными клиентами в целях установки разрешенных сетевых профилей и политик для конечных пользователей. Netsight Atlas Policy Manager определяет, к каким ресурсам сети те или иные пользователи вправе получать доступ.
Ранее Enterasys анонсировала возможности своего менеджера политик безопасности по обеспечению правил доступа на коммутаторах. За основу формирования политик в этом случае берутся сигналы тревоги, приходящие от системы обнаружения вторжений (IDS) Enterasys Dragon.
Анонс технологии TES следует по пятам недавнего заявления Cisco об организации поддержки ее маршрутизаторами технологии Network Admission Control (NAC). Как известно, она предусматривает использование клиентских антивирусных продуктов для обеспечения безопасности удаленного сетевого доступа на маршрутизаторах Cisco. Лидер рынка заявил, что будет блокировать порты на коммутаторах посредством технологии NAC при обнаружении в сети клиентского устройства, настройки которого не соответствуют принятой политике защиты.
Концерн Alcatel тоже работает над технологией «отправки на карантин» в безопасную виртуальную ЛВС (VLAN) машин, потенциально зараженных «червями». Как сообщается, коммутаторы BayStack от Nortel способны задействовать аналогичную IDS и антивирусные программы сторонних вендоров для блокировки подозрительных клиентов.
Все последние разработки сетевых компаний свидетельствуют о тенденции придания коммутаторам механизмов, обеспечивающих корпоративную безопасность путем блокирования зараженных участков сети. «Нам нужен способ продвинуть средства реализации политики безопасности на границу локальной сети. Кроме того, необходимо, чтобы защита центральных ресурсов не требовала постоянного участия администратора сети», — говорит Майк Хокинс, заместитель директора по телекоммуникациям Университета штата Северная Каролина.
Коммутаторы OmniStack от Alcatel, Catalyst от Cisco и Matrix производства Enterasys размещены на главной территории университета и поддерживают 50 тыс. пользователей. Всего в сети насчитывается 75 тыс. портов LAN Ethernet и 400 точек доступа беспроводных ЛВС. «Мы эксплуатируем особенно сложную сеть в том смысле, что ее пользователи носят на своих машинах массу вредоносного кода. Сегодня ни одно решение не избавит нас сразу от всех проблем», — подчеркнул Хокинс.
Университет собирается усилить имеющуюся систему IDS, антивирусную и аппаратную инфраструктуру защиты интеллектуальными коммутаторами ЛВС, обеспечивающими безопасность пользовательских соединений на уровне порта. Хокинс считает, что в этом направлении Enterasys опережает других производителей.
Технология TES от Enerasys подразумевает использование клиентского ПО Sygate или Zone Labs для аудита каждого корпоративного ПК либо портативного компьютера. При регистрации сервер оценивает клиентов и обеспечивает первую линию защиты еще до того, как клиенты получают сетевой доступ на уровне 2 или IP-адрес от сервера DHCP.
Этот подход напоминает анонсированный корпорациями Alcatel, Cisco и Nortel. Что же касается технологии предоставления прав доступа, то, как полагает директор по исследованиям IDC Абнер Германофф, Enterasys не заявляет «я сделаю точно так же», а идет собственной дорогой. Cisco и Alcatel обрисовали свои планы обеспечения безопасности корпоративных сетей путем организации «карантина» потенциально опасных пользователей. Технология VLAN применяется ими на коммутаторах для создания соответствующих подсетей защиты, где может циркулировать потенциально опасный трафик. А Enterasys связывает гарантии безопасности со своим продуктом управления политиками Policy Manager, который позволяет реализовать более тонкий механизм аутентификации и назначения привилегий пользователям при доступе к сети.
Вместо однозначного отказа в доступе или «запирания» потенциально опасных клиентов в карантинной зоне с ограниченными правами доступа TES может присваивать им заранее определенный статус, подразумевающий некоторые полномочия. По словам технического директора Enterasys Джона Роуза, такой метод легче внедрить и использовать, поскольку он не требует формирования специальных VLAN в физической сети. Применение политик по отношению к потребителям обещает более высокий уровень контроля, чем подход типа «разрешено/отказано», который исповедуют конкурирующие производители коммутаторов.