Персональные МСЭ: благо или зло?

Персональные МСЭ: благо или зло?

Установка персональных межсетевых экранов (МСЭ) кажется удачной идеей, но множество сетевых администраторов полагают, что такие МСЭ создают им ненужные проблемы.

Персональный МСЭ - беспроигрышная технология, которая всегда должна устанавливаться на корпоративные сетевые компьютеры. Это утверждение кажется справедливым. Однако для многих администраторов сети персональные межсетевые экраны являются весьма проблемными технологиями, требующими эффективного и грамотного контроля и управления.

В то время как все больше корпоративных сетей призвано обслуживать удаленных работников, бизнес-партнеров и т.п., то есть пользователей, находящихся вне офиса, все чаще администраторы сети сталкиваются с проблемой беспорядочного использования персональных МСЭ. При этом проблема заключается не в самих файерволлах, а в том, что часто в одной сети используется множество разных типов МСЭ, иногда плохо настроенных, выполняющих противоречащие друг другу задачи и, в итоге, скорее нарушающих, нежели оптимизирующих рабочий процесс.

"Соперничающие" МСЭ

Сетевой МСЭ выполняет ту же роль, что и охранник при входе на территорию офиса компании, пропускающий внутрь одних посетителей и останавливающий других (в соответствии с инструкцией). А теперь представьте, что корпоративная сеть - это территория, на которой расположено множество офисов и причем у каждого - свой охранник, имеющий собственную уникальную инструкцию на предмет того, кого впускать, а кого - нет. Именно с такой ситуацией сталкиваются администраторы, когда имеют дело с корпоративной сетью, в состав которой входят десятки или даже сотни компьютеров, оборудованных своими собственными МСЭ. Получается, что некоторые посетители могут беспрепятственно попасть в одни офисы, но не допускаются в другие. Это значит, что воры или террористы могут без особого труда проникнуть в какой-то отдельный офис, будучи не опознанными охранником у главного входа, и при этом свободно разгуливать по территории между плохо защищенными объектами, нанося им любой урон. В этом случае спустя непродолжительное время начнется хаос, то есть бизнес будет парализован.

В корпоративной сети такие "соперничающие" друг с другом МСЭ могут превратить выполнение простых административных обязанностей в кошмар. В зависимости от того, как настроен каждый отдельный файерволл, принимаются или отклоняются дополнительные действия по усовершенствованию системы, ставятся соответствующие "заплатки" и т.п. Точно также, в зависимости от настройки МСЭ, злонамеренное ПО, угрожающее сети, может быть либо успешно заблокировано, либо беспрепятственно допущено в систему.

Самым простым решением может стать запрет на использование систем с персональными МСЭ. Но такая политика в итоге докажет свою несостоятельность, так как в этом случае конечные точки сети (а следовательно, вся сеть) будут подвержены разного рода угрозам. Гораздо целесообразнее создать политику, которая бы координировала установку персональных МСЭ и гарантировала, что эти "охранники" будут работать по одной и той же "инструкции".

Создание политики

Чтобы файерволлы работали слаженно и единообразно, необходимо создать общую корпоративную политику, касающуюся персональных МСЭ. Необходимо, чтобы на каждом сетевом компьютере был как минимум свой персональный файерволл определенного типа, одобренный администратором сети.

Тип файерволла или файерволлов, которые могут быть использованы в сети, зависит от структуры компании и от самих пользователей. Некоторые организации могут принять решение установить на компьютер каждого пользователя один определенный МСЭ, другие предлагают сотрудникам самим выбрать файерволл из предложенного списка. При составлении такого списка компании могут исходить из стоимости того или иного МСЭ или из соображений гибкости технологии и легкости ее настройки под пользователя. Многие предпочитают аппаратные МСЭ, которые, например, можно брать с собой и подсоединять к любому компьютеру, что, безусловно, очень удобно.

Следование политике предполагает нечто большее, чем просто прочтение пользователями соответствующих правил, ведь нарушение этих правил хотя бы одним сотрудником ставит под угрозу всю систему. Политика должна вводиться принудительно и контроль ее выполнения может осуществляться через системы удаленного доступа и контроля безопасности, реализуемого посредством множества корпоративных МСЭ. Ясно, что управлять удаленными межсетевыми экранами проще, если у всех пользователей установлены продукты одного и того же производителя.

Персональные МСЭ могут быть как благом, так и злом для ИТ-департамента компании: все зависит от того, насколько хорошо организована корпоративная система МСЭ и насколько грамотно она контролируется и координируется.

По материалам IT Security
www.itsecurity.com