Patrol помогает брандмауэрам нести их нелёгкую службу

EWEEK LABS//ОБЗОР    

Камерон Стардевант

BMC Software консолидировала управление безопасностью, охватив все самые важные функции, - но только для брандмауэров производства Check Point

Система Patrol for Firewalls фирмы BMC Software очень неплохо справляется с контролем за работой и текущим состоянием популярного брандмауэра FireWall-1 фирмы Check Point Software Technologies; однако первая версия наделена лишь самыми необходимыми функциями и не поддерживает средств защиты других производителей.

Те, кто не эксплуатирует никаких брандмауэров, кроме выпускаемых Check Point, и уже использует платформу администрирования вычислительной системы предприятия Patrol производства BMC, скорее всего сочтут модуль Patrol for Firewalls 1.1 (поступивший в продажу в мае по цене $3395) хорошей отправной точкой для начала консолидации администрирования средств обеспечения безопасности под управлением консоли централизованного администрирования Patrol.

Однако несовместимость с брандмауэрами других производителей в сочетании с отсутствием обычного для такого рода продуктов механизма выдачи уведомлений об атаках с указанием их характера означает, что администраторам вычислительных систем, в которых установлено гетерогенное ПО обеспечения безопасности, придется обходиться вместо Patrol for Firewalls собственными средствами мониторинга брандмауэров других производителей и вручную проверять, включены ли они и нормально ли работают.

Cистема Patrol контролирует работу брандмауэра FireWall-1

В ходе испытаний, проведенных в Тестовом центре eWeek Labs, мы обнаружили, что разработчики Patrol for Firewalls сосредоточили свои усилия на генерации отчетов о том, работает ли брандмауэр вообще, произошли ли какие-либо изменения в конфигурации и стратегиях и были ли неудачные попытки аутентификации пользователей. Собственно регистрационные журналы брандмауэров эта программа не анализирует. Большая часть информации, полученной нами в ходе испытаний Patrol for Firewalls, напоминает данные других агентских компонентов Patrol, которые можно загружать на любые машины, работающие под управлением самых разных операционных систем - от Windows NT до Linux.

В ходе тестирования Patrol for Firewalls мы одновременно получили уведомления об остановке брандмауэра FireWall-1 и о потере связи с сервером, на котором работает Patrol for Firewalls. Конкурирующие продукты, включая Netcool/Firewall фирмы Micromuse, в таких случаях не только извещают администратора о состоянии брандмауэров Check Point, но и выполняют анализ регистрационных журналов.

Patrol for Firewalls не уступает конкурентам в способности извещать центральную консоль об изменении стратегии на конкретном устройстве FireWall-1. Например, после того как мы модифицировали конфигурацию фильтра IP-адресов на одной из машин с FireWall-1, Patrol for Firewalls обнаружил изменение и направил на консоль соответствующее уведомление.

Эта возможность должна особенно пригодиться в тех отделах ИТ, где обязанности по администрированию брандмауэров распределены между многими сотрудниками. Так, если параметры системы обеспечения безопасности изменяются часто, Patrol for Firewalls можно использовать в качестве прочной второй линии обороны, позволяющей главному ответственному специалисту убедиться в том, что изменения в конфигурации системы безопасности осуществлены в надлежащее время. Для этого и предназначены генерируемые системой отчеты, содержащие сведения о том, когда новая конфигурация стратегии безопасности была загружена.

То, что надо

Patrol for Firewalls использует для интеграции с продуктами фирмы Check Point функции разработанной ею же архитектуры OPSEC (Open Platform for Security). Благодаря этой интеграции мы могли получать подробную информацию о конфигурации и работе брандмауэра Check Point FireWall-1, включая данные об объеме и типе обработанного им трафика. Таким образом, можно твердо рассчитывать на совместимость Patrol for Firewalls с другими средствами администрирования и обеспечения безопасности, опирающимися на широко распространенную инфраструктуру OPSEC.

Инсталляция и эксплуатация Patrol for Firewalls в среде администрирования вычислительной системы предприятия Patrol требуют минимальных затрат времени и усилий. Развертывание агентского компонента - или, как его называют представители BMC, “модуля знаний” - Patrol for Firewalls не вызывает никаких затруднений. Этот компонент существует в версиях для платформ Windows NT 2000 и Solaris версий 2.5.1 и более поздних.

Мы установили Patrol for Firewalls на систему Optiplex GX1p производства корпорации Dell Computer с 512 Мб ОЗУ, вычислительной мощности которой было более чем достаточно для решения тестовой задачи в нашей сети. Администраторам ИТ, уже использующим среду администрирования BMC Patrol, не придется долго привыкать к работе с новым модулем. Функции мониторинга и администрирования на основе стратегий, реализованные в Patrol for Firewalls, по всей вероятности, не скажутся на производительности оборудования, уже используемого для исполнения консоли и БД Patrol.

ПО Patrol for Firewalls без затруднений обнаружило в ходе тестирования все брандмауэры Check Point в нашей сети и поместило пиктограммки для них в окно графического интерфейса наподобие Windows Explorer. После этого, чтобы определить состояние любого из контролируемых брандмауэров, достаточно было одного взгляда на консоль Patrol. Как и предполагалось, это помогло также объединить функции мониторинга и генерации отчетов Patrol for Firewalls в интерфейс центральной консоли Patrol, откуда осуществляется мониторинг БД и серверов.

Кроме того, Patrol for Firewalls генерирует ряд пространных отчетов, содержащих информацию об IP-адресах источников и получателей проходящего через брандмауэр трафика, а также о неудачных попытках аутентификации. Еще мы получали отчеты о повторяющихся отказах в обслуживании запросов, поступивших из одного и того же источника, с указанием правила, послужившего основанием для отказа.

ПО Patrol for Firewalls помимо выдачи предупреждений на центральную консоль Patrol может еще и уведомлять администраторов о проблемах с безопасностью по электронной почте или через пейджер.        

Резюме ДЛЯ РУКОВОДИТЕЛЕЙ

Пользователи системы администрирования Patrol фирмы BMC, у которых уже установлены брандмауэры Check Point FireWall-1, найдут новый модуль Patrol for Firewalls полезным дополнением к своему инструментарию; однако он обеспечивает пользователя лишь элементарными сведениями и не способен определять характер атаки. Этот продукт контролирует состояние и конфигурацию брандмауэров производства Check Point и уведомляет администратора о последних изменениях в конфигурации, которые могут повлиять на способность этого ПО обеспечивать защиту сети.

КРАТКОСРОЧНЫЙ ПРОГНОЗ. Интеграция нового модуля в среду администрирования Patrol и обучение персонала службы ИТ его использованию не должны вызвать затруднений. Применение продукта, по всей вероятности, позволит сократить затраты, связанные с контролем состояния и конфигурации брандмауэров производства Check Point.

ДОЛГОСРОЧНЫЙ ПРОГНОЗ. Продукт BMC не вызовет сложностей с сопровождением и обеспечит полезной информацией за очень небольшие деньги. Со временем, однако, администраторам потребуются более совершенные средства, способные, в отличие от Patrol for Firewalls, определять характер атак.

Методика оценки: www.pcweek.com/reviews/meth.html.

Patrol for Firewalls 1.1

Фирма BMC Software, Хьюстон, шт. Техас, (800) 841-2031, www.bmc.com.

 + Соответствие стандартам OPSEC; простота в инсталляции и развертывании.

 - Отсутствие функции анализа атак; поддержка только брандмауэров производства Check Point.