Не так давно мы писали о разработке компании McAfee, направленной на защиту сети предприятия от вирусов, шпионского ПО (spyware), почтового спама и управления фильтрацией Web-контента. На этот раз речь пойдет о другом устройстве, предназначенном для обеспечения безопасности сети от внешних угроз: атак «нулевого дня», DoS-атак, шпионского и вредоносного ПО, бот-сетей, а также от угроз для VoIP.

McAfee IntruShield 1400

Тип устройства аппаратно-программный комплекс защиты ИС предприятия

Высота 1U

Количество портов 4

Пропускная способность до 200 Mbps

SYN rate (количество 64-байтовых пакетов в секунду) до 64 000

Предоставлен «БАКОТЕК»

Цена 59 360 грн

Гарантия 12 мес (продлеваемая)

Удобное управление; поддержка систем аутентификации; высокая степень готовности

Не обнаружено

Неплохое решение для организации защиты сетей любого масштаба

Функционирование современной сетевой инфраструктуры любого масштаба может быть нарушено путем несанкционированных действий, производимых злоумышленниками извне. При этом совсем не обязательно, чтобы ЛВС была подключена к глобальной сети общего пользования, например Интернет. Известны случаи, когда типичные для внешних угроз проявления (такие как действия вредоносного ПО) осуществлялись из внутренних сегментов и даже при включении в состав сети случайного источника – «гостевой» рабочей станции или ноутбука.

Собственно, рассматриваемый программно-аппаратный комплекс предназначен для того, чтобы обеспечить максимально эффективную защиту ключевых узлов от указанных угроз методом непрерывного контроля сетевого трафика. Программная часть McAfee IntruShield включает технологию анализа сигнатур, аномалий и DoS-атак, позволяющую с высокой точностью определить и предотвратить атаки в ЛВС с полосой пропускания от 100 Mbps до нескольких гигабит, причем IntruShield производит их упреждающее блокирование до того, как они смогут причинить какой-либо вред.

Программные модули IPS (Intrusion Prevention System) функционируют под управлением специализированной операционной системы. Большинство технологий (практически все они защищены патентами), реализуемых этими модулями, также предлагаются в качестве отдельно поставляемого ПО. О некоторых возможностях устройства расскажем подробнее.

Главная задача McAfee IntruShield заключается в обнаружении попыток вторжения (включая сетевые атаки с помощью «червей», таких как Sasser). Кроме того, он обеспечивает повышенную безопасность за счет интеграции средств многоуровневой защиты от шпионского и рекламного ПО, номеронабирателей, перехватчиков клавиатурного ввода (keylogger), взломщиков паролей и программ дистанционного управления. Осуществляется это посредством предотвращения загрузки нежелательных программ с возможностью блокирования связи со «шпионящим» ПО и его дальнейшим распространением. Предусмотрена защита Web-клиентов и «рабочих столов» пользователей, в том числе и от атак уязвимостей, для которых еще не выпущены «заплатки».

Модуль предотвращения DoS- и DDoS-атак рассчитан на функционирование в реальном времени, защищая сеть как от открытых, так и от зашифрованных вторжений (для сенсора I-2700). В процессе работы он выполняет проверку сетевого трафика с запоминанием состояния и разбором свыше 100 протоколов, используя при этом более 3000 многопризнаковых и многотриггерных сигнатур, включая анализ аномалий, пакетов приложений и протоколов, а также алгоритмы выявления shellcode. Одной из функций этого IPS служит возможность уведомления операторов об обнаружении аномального трафика, что позволяет оперативно предотвратить, например, распространение вирусов путем локализации очага заражения и блокирования сегмента от остальной сети.

Конструкция McAfee IntruShield рассчитана на монтаж в стандартную стойку, представляя собой модуль 1U. Все разъемы для подключения вынесены на переднюю панель, что упрощает соединение с коммутационным оборудованием. Для подключения устройства к локальной сети достаточно подсоединить сенсоры к защищаемым узлам, при этом подразумевается, что основные настройки (присвоение IP-адресов, инициализация политик авторизации и других функций) уже выполнены.

По умолчанию IntruShield предварительно настроен на функцию Блокирование по умолчанию и поставляется с заранее сформулированной политикой Рекомендовано для блокирования, которая обеспечивает предотвращение большого количества атак – такой подход значительно ускоряет ввод устройства в эксплуатацию. Впоследствии в правила можно внести требуемые изменения.

Для работы с McAfee IntruShield предусмотрена возможность подключения локальной операторской консоли разъемом DB9, но, в основном, все настройки, мониторинг и управление осуществляются дистанционно посредством Web-интерфейса. В комплект поставки также входит ПО Security Manager, допускающее возможность управления двумя устройствами IntruShield.

Доступные оператору средства управления модулем защиты позволяют быстро производить настройку под конкретные требования, используя пакет из четырнадцати готовых предопределенных правил безопасности или формируя свои. Они обеспечивают возможность комплексной аутентификации пользователей по внешним базам данных, таким как Radius, LDAP и TACAS, а также разрешают проводить обновление сигнатур в реальном масштабе времени без необходимости перезагрузки сенсоров и отключения сети.

Отдельно стоит отметить технологию виртуализации IntruShield, которая распространяется как на IPS, так и на встроенный брандмауэр. Посредством нее возможна поддержка большого количества виртуальных сенсоров IPS на физическое устройство (100 для I-2700, 32 для I-1400, 16 для I-1200), причем каждая виртуальная IPS допускает собственную модульную политику безопасности.

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365