602Pro Lan Suite 2003: и безопасность тоже
1 июль, 2003 - 23:00Игорь Дериев
Встроенные средства защиты 602Pro Lan Suite 2002 были немногочисленны и совершенно
просты: аутентификация да IP-фильтры. При этом пакет предоставлял довольно обширный
перечень возможностей (скажем, отображение портов на внутренние адреса), эксперименты
с которыми вполне могли привести к ошибкам в конфигурации, а стало быть, и к пробелам
в безопасности. Стоит также учесть, что 602Pro Lan Suite 2002, в общем-то, рассчитан
отнюдь не на больших специалистов, хотя любому, кто берется за настройку подобных
продуктов, несомненно, придется разобраться в кое-каких понятиях и технологиях.
Впрочем, как известно, "незнание законов не освобождает от ответственности".
Также совершенно понятно, что подобные нарекания в отношении 602Pro Lan Suite возникали постоянно, поэтому не удивительно, что в конце концов разработчики были вынуждены пойти навстречу своим пользователям. В недавно вышедшей версии 2003 наконец-то появился полноценный (все-таки не стоит забывать, что это -- продукт для небольших организаций) межсетевой экран, готовый защитить любые подвластные ему соединения. При этом создатели пакета остались верны своим традициям, и 602Pro Lan Suite 2003 (правда, в минимальной конфигурации, но об этом -- дальше) на пять клиентских лицензий по-прежнему распространяется бесплатно и без каких-либо ограничений.
Межсетевой экран...
|
Главное нововведение версии 602Pro
Lan Suite 2003 -- брандмауэр
|
Раз уж речь зашла именно о безопасности,
давайте познакомимся с этим компонентом чуть поближе. Межсетевой экран 602Pro
Lan Suite 2003 работает по принципу пакетной фильтрации (т. е. принимает решение
о легитимности каждого пакета по отдельности), разграничивая два или более сетевых
сегмента. Для этого в соответствующем окне настроек достаточно выбрать адаптеры,
подключенные к внутренней сети, -- если этого не сделать, защита будет распространяться
только на сам компьютер с 602Pro Lan Suite 2003. В принципе, существуют и более
совершенные подходы (скажем, динамическая фильтрация), но разработчики, видимо,
посчитали их избыточными для тех задач, на которые рассчитан пакет. Кроме того,
в нем дополнительно можно отфильтровывать входящие SYN-пакеты, тем самым гарантируя,
что вся информация поступает в ответ на ваши запросы. Зато применение более простого
механизма требует меньше "лошадиных сил" от аппаратной части, что может
оказаться критичным в малом офисе.
Межсетевой экран управляется набором правил -- не только общего характера, но и в явном виде описывающих (по отдельности) всю заложенную в 602Pro Lan Suite 2003 функциональность, что упрощает управление доступом к конкретным сервисам. Пользователь может создавать и собственные правила, основываясь на адресах (отдельных или диапазонах), протоколах, портах, а также организовывать их в группы с тем, чтобы подключать или отключать одновременно. Несколько необычно, что все критерии являются исключительно "разрешительными", т. е. чтобы запретить какую-то активность по конкретным протоколам/портам, нужно просто убрать из конфигурации все описывающие ее правила.
В отличие от более "дружественных" (но и обычно рассчитанных на менее ответственные задачи) продуктов, протоколы и порты указываются без привязки к каким-либо службам и приложениям, т. е. чтобы самому настроить брандмауэр "с нуля", придется как следует разобраться с "материальной частью" (справедливости ради нужно сказать, что базовая информация и полезные ссылки содержатся в справочной системе). Поэтому в 602Pro Lan Suite 2003 имеются предустановки безопасности, традиционно -- Low, Medium и High (для примера, минимальный режим фактически блокирует только внешнюю NetBIOS-активность). В любом случае обращаться с межсетевым экраном 602Pro Lan Suite 2003 следует крайне осторожно -- не случайно буквально этими словами начинается соответствующий раздел справочной системы.
...и прочая, и прочая, и прочая
|
Так выглядит интерфейс для создания
собственных правил
|
Интересно, что, по большому счету, и все
остальные нововведения и доработки 602Pro Lan Suite 2003 имеют отношение к безопасности.
Наконец-то разработчики догадались (или решились) разделить IP-фильтры по сервисам
-- отдельно для администрирования, Web-, почтового и прочих серверов. На самом
деле даже трудно сообразить, почему это не было сделано изначально. При этом IP-фильтры
имеют меньший приоритет, чем брандмауэр, т. е. для того чтобы они вступили в действие
(при активном межсетевом экране), вначале необходимо вообще разрешить тот или
иной сервис.
Кроме того, появилась специальная версия пакета -- Antivirus Edition со встроенным модулем BitDefender (румынские разработчики антивирусных продуктов, похоже, пользуются невероятной популярностью в мире!) для автоматической проверки почтовых вложений. К сожалению, она уже не бесплатная, даже за пакет на пять клиентских лицензий придется выложить $60. Сумма, безусловно, несоизмеримая со стоимостью настоящих серверных продуктов. С другой стороны, в 602Pro Lan Suite 2003 по-прежнему сохранен механизм интеграции бесплатного антивируса AVG, который вроде бы ничем особо и не хуже. Впрочем, наверняка у коммерческого продукта найдутся какие-то преимущества, но познакомиться с ним ближе нам не довелось. На поверхности же лежат лишь кое-какие удобства -- вроде автоматического обновления (правда, бесплатно этот сервис предлагается только на один год) и специальных сигнатур для проверенных сообщений.
Остальные нововведения 602Pro Lan Suite 2003 можно действительно расценить как доработки, во всяком случае они значительно менее интересны и важны: улучшена работа с SMTP за счет поддержки команд ETRN и ATRN; более удобными и очевидными стали инструменты настройки (и в меню программы, и в Web-интерфейсе); поддерживается Windows Server 2003. Все это действительно из разряда "приятных мелочей", а для смены версий вполне бы хватило и одного межсетевого экрана.
Подытожить эту небольшую статью совершенно просто: и без того неплохой и интересный
продукт "возмужал" и, несомненно, стал еще лучше. С точки зрения функциональности
602Pro Lan Suite 2003 по-прежнему нет равных, достаточно познакомиться со сравнительной
таблицей на странице
www.software602.com/products/ls/compare.html.
Даже вполне оправданный по отношению к подобным маркетинговым материалам скепсис
общую картину вряд ли изменит. Появление межсетевого экрана и встроенного антивируса
существенно упрочили позиции пакета в крайне важной области -- безопасности, при
этом, скажем, никто из конкурентов не предлагает поддержку SSL. Конечно, в 602Pro
Lan Suite 2003 отсутствуют некоторые тонкие настройки и функции, свойственные
более специализированному ПО, однако сочетание широты возможностей и простоты
в управлении делают его очень привлекательным выбором именно в малых офисах.