Rozestavte brány

V minuléme testu jsme vás seznámili se šesti softwarovými anti-spywarovými produkty, které dokáží bojovat se škodli...


V minuléme testu jsme vás seznámili se šesti softwarovými anti-spywarovými
produkty, které dokáží bojovat se škodlivým kódem v síti na úrovni lokálních
počítačů a serverů. Na každé PC je přitom nainstalována klientská aplikace,
kterou lze pak snadno ovládat pomocí vzdálené konzole. Další možností, jak se
bránit proti spywaru, je v místě přístupu k internetu instalovat bránu. Tento
způsob řešení se v našich testech přitom ukázal jako být velmi účinnou obranou.

Spyware může vaše podnikání zlikvidovat rychleji než spam nebo viry. Spam
pohlcuje kapacitu připojení vaší sítě i produktivitu (tím, že trávíte čas
promazáváním příchozí pošty), viry mažou soubory, vypisují na obrazovce
sebestředné zprávy a používají váš adresář jako odrazový můstek pro své
přetrvání v síti. A čím škodí spyware? Například záludně zaznamenává vaše
stisky kláves, přehrabuje se v souborech ve snaze najít hesla a data kreditek,
zasypává obrazovku reklamami a také třeba ochromuje rychlost vašeho počítače.
Do testu se našim kolegům z amerického NetworkWorldu podařilo získat čtyři
produkty, brány (gateway), které následeně testovali na předem připravené
infrastruktuře. Šlo o McAfee Secure Web Gateway, Trend Micro OfficeScan
Anti-Spyware Suite a InterScan Anti-Spyware Suite, Aladdin eSafe Version 5 a
Blue Coat Spyware Interceptor. Posledně jmenovaná firma sice na našem trhu
přímé zastoupení nemá, ale její produkty jsou dostupné přes obchodníky v
Německu.

Co jsme zjišťovali...
Naším nejdůležitějším kritériem při hodnocení anti-spywarových bran byla jejich
schopnost identifikace a odstranění spywaru. Velkou pozornost jsme rovněž
věnovali užitečnosti poskytovaných reportů, včasnosti varování a snadnosti
jejich instalace a používání. Naším hlavním cílem bylo ochránit síť před
uživateli, kteří se potulují internetem příliš volně, nebo před těmi, kteří do
kanceláře přinášejí neschválený a nevyzkoušený software.
Testovací infrastruktura sestávala z 10 klientů s instalovanou škálou
operačních systémů, a to včetně Windows NT, 98, 2000, Me, XP, Red Hat Linuxu a
Macintosh OS X. Síť dále obsahovala tři webové servery (Microsoft Internet
Information Server, Netscape Enterprise Server a Apache), dva poštovní servery
(Microsoft Exchange a SendMail), dva souborové servery (Windows 2000 Advanced
Server a Novell NetWare) a tři databázové servery (Oracle 8i, Sybase Adaptive
Server a Microsoft SQL Server). Kvůli sledování celkového využití a podrobného
obsahu zpráv jsme s pomocí protokolového analyzátoru Agilent Advisor prováděli
monitoring síťového provozu.
S pomocí klientů připojených k internetu jsme následně sbírali jak spyware, tak
zdrojový kód stránek, které spyware rozšiřují. Kterákoliv ze zúčastněných firem
(pokud měla zájem) mohla přispět individuálními případy spywaru nebo příklady
webových stránek tak, abychom je zahrnuli do našeho testovacího vzorku.
Nasbíraný materiál byl posléze přesunut do izolované (karanténní) sítě odpojené
od internetu. S touto oddělenou sítí jsme pak zacházeli jako s internetem a
emulovali malwarové URL a IP adresy. V našem testu jsme použili celkem 68
spywarových entit. Některé z nich byly dobře známé, běžné spywary, jiné byly
novinkami nebo méně frekventovanými kousky.
Nejlepšího výsledku a hodnocení dosáhl Secure Web Gateway od McAfee a po právu
získal naše ocenění. Secure Web Gateway odrazil v našich testech 90 % spywaru
(viz výsledky v tabulce), má intuitivní uživatelské rozhraní a jeho instalace
byla hračkou.

Bránění bránou
Zastavit spyware s pomocí brány v každém místě přístupu k internetu je postup,
který má jasně navrch oproti čištění jednotlivých serverů a stolních počítačů.
Brány se snadněji řídí, uživatelé do nich nemohou nijak zasahovat a stolní
počítače ani servery nemusejí nést další zátěž, kterou s sebou odhalování a
odstraňování spywaru přináší. Dokud brány filtrují každou jednotlivou část
spywaru a uživatelé do kanceláře nepřinášejí freeware nebo shareware, je postup
pomocí brány ideálním anti-spywarovým řešením.
Dva z testovaných produktů označovaných jako appliance Spyware Interceptor od
Blue Coat a McAfee Secure Web Gateway jsou síťovými zařízeními, která filtrují
veškerý příchozí a odchozí internetový provoz. Obě se instalují mezi
internetový router a přepínač nebo rozbočovač a oba dokáží filtrovat spyware
dříve, než se dostane do sítě a na stolní počítače. Další dva testované
produkty jsou softwarovými aplikacemi. Jde o eSafe 5
od Aladdin Knowledge Systems a InterScan Anti-Spyware Suite od Trend Micro. S
jejich pomocí jednoduše proměníte v počítači instalované dualní síťového
rozhraní v bránu (gateway). Jeden síťový konektor karty má přitom na starosti
spojení s internetem, zatímco druhý s lokální sítí. Instalovaný software pak
filtruje provoz probíhající mezi dvěma síťovými adaptéry.

McAfee
Secure Web Gateway
První produkt, o kterém se zmíníme McAfee Secure Web Gateway (SWG) během našeho
testování zastavil obdivuhodných 90 % spywaru. McAfee SWG (jedno ze zařízení
Secure Content Manager Appliance 4.0) patří k robustním produktům, které jsou
založeny na serveru Dell PowerEdge 1850, jehož velikost 1 U jej předurčuje k
montáži do stojanu. K softwarové výbavě patří Windows, anti-spywarový
filtrovací software a nástroje pro správu dostupné prostřednictvím prohlížeče.
Secure Web Gateway nám tedy poskytla možnost filtrování, dále podporu ICAP
protokolu (Internet Content Adaptation Protocol) a snadno ovladatelné rozhraní.
V případě potřeby může též posílat SNMP varování, což se vám bude hodit, pokud
používáte platformy jako například HP OpenView. Zařízení se snadno instaluje,
ke zprovoznění stačí tuto "krabičku" připojit k routeru a přepínači, zapnout ji
a přiřadit IP adresy.

Blue Coat
Spyware Interceptor
Dalšímu zařízení typu apliancess Blue Coat Spyware Interceptor se podařilo
odrazit méně, a to 82 % všeho příchozího spywaru. Podobně jako u nabídky od
McAfee se i v případě Spyware Interceptoru jedná o rackové zařízení postavené na
on-chip logice s výškou šasi 1 U. V případě tohoto produktu jde rovněž o
poměrně výkonné zařízení, které dokáže obsloužit síť s až 1 000 uživateli.
Spyware Interceptor používá k zachycení, analýze a zastavení vzdáleně
spustitelného malwaru něco, co Blue Coat nazývá Spyware Catching Object
Protection Engine. Tato brána tedy blokuje adresy známých spywarových stránek,
stahování nevyžádaných spustitelných souborů a známé spywarové soubory. Za
pozornost stojí, že Spyware Interceptor umožní přístup k nespustitelným částem
spywarových stránek, což znamená, že jsme si spywarové stránky mohli
prohlédnout, aniž bychom se museli bát infikace. Škoda jen, že Interceptor
neposkytuje SNMP varování.

Aladdin eSafe v5
Software eSafe ve verzi 5 vyvíjené společností Aladdin se během našeho
testování dokázal vypořádat s až 88 % spywaru. Při jeho identifikaci uplatňuje
pětici postupů: prohlíží digitální podpis tvůrce ActiveX, vyhledává pokusy o
zneužití bezpečnostních děr, srovnává spustitelné signatury s těmi u známého
spywaru, dává pozor na odkazy na známé spywarové webové stránky (URL nebo IP
adresy) a odhaluje pokusy spywaru komunikovat se spywarovými stránkami. ESafe
tak nejenže brání instalaci neodsouhlaseného softwaru na PC, ale také
upozorňuje administrátory na infikovaná PC, pokoušející se poslat data zpět
tvůrcům škodlivého softwaru. Jeho srozumitelné a detailní reporty poskytují
informace o tom, který spyware byl zablokován, jaké spywarové techniky byly
použity a z které webové stránky útok na systém přišel. Uživatelské rozhraní
eSafu je přitom promyšlené a je integrované se systémem správy sítě poskytuje
upozornění přes SNMP nebo výpisy ze syslogu.

Trend Micro
OfficeScan a InterScan Anti-Spyware Suite
Nakonec jsme si nechali dvojici spolupraujících produktů od společnosti Trend
Micro: jde o OfficeScan Anti-Spyware Suite (program byl součástí minulého
testu) a InterScan Anti-Spyware Suite. InterScan přestavuje první obrannou
linii proti spywaru, jedná se o gateway software. Instaluje se tedy na počítač,
který je umístěný v bodě přístupu do internetu. Naproti tomu OfficeScan je
anti-spywarový nástroj typu klient/server, který běží na stolních PC a na
serverech, jeho klienty lze ovládat prostřednictvím konzole přístupné přes
webový prohlížeč. Dvojice produktů Trend Micro (InterScan a OfficeScan) si v
průběhu našeho testování poradila s 86 % spywaru. K jeho identifikaci přitom
používá soubor se signaturami.
InterScan obsahuje dvě složky: InterScanWeb Security Suite a Trend Micro Damage
Cleanup Services. Ty spolu blokují příchozí spyware ze známých spywarových
stránek, odchozí přenosy spywaru, prohlížení známých spywarových stránek, a
dokonce detekují i spywarem infikované servery a klienty. Pokud je některý z
počítačů infikován, InterScan automaticky odesílá Damage Cleanup Services, aniž
by na napadené PC instaloval trvalého agenta. InterScan dokáže také poskytnout
SNMP varování v případě událostí, jakými jsou například startování a ukončení
služby, aktualizace souboru se signaturami, blokování spywaru. Naproti tomu
OfficeScan posílá SNMP varování pokaždé, když zabrání pokusu o instalaci
spywaru. Jak InterScan, tak OfficeScan spolupracují s Cisco routery, na nichž
je povolen Network Admission Control.
Jak již bylo zmíněno na počátku, OfficeScan je aplikací klient/server, a tedy
detekuje a blokuje spyware na serverech a jednotlivých počítačích. Primárně je
určen pro prostředí Windows, nicméně společnost nabízí ServerProtect i pro
Novell NetWare a Linux. Komponenta OfficeScanu Damage Cleanup Services v našich
testech odstranila z klientů většinu zbytků po spywaru. Z prohlížeče přístupná
centrální konzole OfficeScanu je srozumitelná a jednoduše použitelná. InterScan
a OfficeScan zaznamenávají i mnoho podrobností o každém případu výskytu
spywaru, přičemž tyto informace poskytují v rozličné škále užitečných zpráv.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.