Очередная версия LANDesk Security Suite 8.6 фирмы LANDesk Software заслуживает гораздо большего, чем еще одной единички в номере после запятой. На нее стоит обратить пристальное внимание тем менеджерам ИТ, которые хотят быть уверенными, что машины конечных пользователей правильно сконфигурированы и на них нет вредоносных программ.


LANDesk Security Suite 8.6 умеет и сканировать, и блокировать, и лечить
LANDesk Security Suite 8.6 умеет и сканировать, и блокировать, и лечить

Цена на появившийся в августе пакет вполне конкурентоспособна. Лицензия на него стоит 59 долл. в расчете на одно рабочее место плюс абонентская плата 29 долл. в год (также на каждое рабочее место), обеспечивающая получение контента и программных заплат безопасности от LANDesk.

Для сравнения напомним, что аппаратно-программные комплексы наподобие семейства EdgeWall 7000 Rx фирмы Vernier Networks стоят несколько дороже, однако они свободно интегрируются в уже развернутую защитную инфраструктуру с серверами RADIUS и каталогами. Да и доступ на сетевом уровне они контролируют эффективнее.

Все системы такого рода — и LANDesk Security Suite 8.6 здесь не исключение — оттачиваются под инфраструктуру NAC (Network Admission Control — управление сетевым доступом) фирмы Cisco Systems, широко используемую на крупных предприятиях. Модуль Cisco Clean Access в какой-то степени соперничает с LANDesk Trusted Access, который теперь входит в LANDesk Security Suite 8.6, а к тому же фирма приложила к своей новинке детальное руководство по ее включению в инфраструктуру Cisco NAC.

Периметр сетевой безопасности сегодня настолько текуч, что определить его границы очень трудно (если вообще возможно), а в таких условиях открываются богатые перспективы для использования LANDesk Security Suite 8.6, равно как и других средств контроля за доступом. Там, где уже развернут комплект LANDesk Management Suite или другие продукты LANDesk, подключение новых функций безопасности много времени не займет — это будет несложно сделать с помощью знакомого инструментария LANDesk. Однако даже в этом случае для работы нового модуля Trusted Access необходимо обновить агенты LANDesk на всех устройствах конечных пользователей, где имеются их прежние версии. Как показало проведенное в eWeek Labs тестирование, полное развертывание LANDesk Security Suite 8.6 может занять пару-тройку недель, а то и целый месяц. В данном плане новинка очень похожа на другие системы защиты от вирусов и “шпионских” программ, использующих комбинацию средств контроля сетевого доступа и управления устройствами конечного пользователя.


Поиск уязвимых мест и наложение программных заплат в LANDesk Security Suite 8.6 тесно интегрированы с решением других задач обслуживания конечных пользователей
Поиск уязвимых мест и наложение программных заплат в LANDesk Security Suite 8.6 тесно интегрированы с решением других задач обслуживания конечных пользователей
Функциональность Trusted Access требует очень серьезной настройки как в “чистой” среде LANDesk, так и в комплексе с Cisco NAC. Мы тестировали новинку только в первом режиме, где доступ клиентов в защищаемую сеть контролируется посредством DHCP (Dynamic Host Configuration Protocol — протокол динамической конфигурации хост-машин). Модуль добавляет в защищаемую сеть еще один уровень безопасности, не допуская в нее пользователей уязвимых и зараженных компьютеров, а за это приходится расплачиваться. Чтобы все компоненты LANDesk работали правильно, нужно приложить немало сил к четкому конфигурированию инфраструктуры. С этой целью мы в первую очередь создали виртуальные серверы на базе пакета ESX Server фирмы VMware, которые оказали существенную помощь в дальнейшей настройке. Такой же подход мы рекомендуем избрать и менеджерам ИТ, поскольку проверить работу комплексных компонентов намного проще в тестовой сети VMware.

Четырехсерверная конфигурация

Мы инсталлировали LANDesk Security Suite 8.6 на один виртуальный сервер, а также на три физических под управлением Microsoft Windows Server 2003. Первый выполнял функции стандартного сервера DHCP, второй контролировал состояние проверяемого пакета, третий предназначался для лечения зараженных систем, а четвертый использовался в качестве DHCP-сервера LANDesk. Конечно, для предварительного тестирования LANDesk перед широкомасштабным развертыванием на один сервер можно возложить и несколько функций, но, как показывает практика, гораздо удобнее распределить их по разным устройствам.

В ходе тестирования DHCP-сервер LANDesk играл роль точки управления сетевым доступом, через которую производились все подключения устройств к защищаемой сети. Добиться этого, правда, было нелегко, но в конце концов все заработало как нужно, и LANDesk Security Suite 8.6 тут же произвел загрузку контента безопасности — программные заплаты, информацию об уязвимых местах, описания шпионских программ, а также широкий спектр конфигураций антивирусной защиты и межсетевых экранов.


LANDesk Security Suite 8.6
LANDesk Security Suite 8.6
Среди всего прочего мы получили перечень потенциальных угроз, на основании которого разработали политику допуска в сеть конечных пользователей. В ней были учтены требуемый уровень заплат, конфигурация антивирусных сканеров и множество других факторов, включая параметры настройки брандмауэра и порядок проверки систем конечных пользователей на наличие шпионских программ. После этого LANDesk Security Suite 8.6 приступил к работе, в процессе которой оценивал не только получаемые результаты, но и то, когда последний раз производилась проверка пользовательского компьютера. Если машина требованиям соответствовала, все другие результаты авторизации и аутентификации признавались корректными и пользователю предоставлялся доступ в сеть.

Ох уж эта настройка...

Само собой разумеется, что перед подготовкой обзора мы перепробовали едва ли не все возможности настройки. Много времени и сил ушло у нас на конфигурирование персональных брандмауэров и антивирусных программ, необходимое для четкого обмена довольно большими объемами информации между агентом LANDesk и серверами управления. Справедливости ради отметим, что в комплект новинки входят шаблоны настройки для антивирусных сканеров фирм Trend Micro, Symantec и McAffee, хотя она совместима и с другим подобным инструментарием.

Для работы агента LANDesk достаточно правильно настроить межсетевой экран Windows XP, но когда конечных пользователей в системе много, такая операция может затянуться надолго. К счастью, LANDesk Security Suite 8.6 способен включать и конфигурировать брандмауэры Windows XP Service Pack 2 самостоятельно, благодаря чему параметры межсетевых экранов на своих клиентах Windows XP мы изменили довольно быстро.

Самая же большая проблема нас поджидала на сервере карантина и лечения. Выявить пользовательские устройства с неправильной конфигурацией и потенциальными брешами в системе безопасности (наподобие устаревших описаний вирусов), в конце концов, не так уж сложно. Гораздо сложнее оказалось разработать процедуры устранения таких недостатков, позволяющие рассылать необходимые программные заплаты по нашей тестовой сети. Но одновременно стало ясно, что большую часть этого процесса менеджеры ИТ смогут автоматизировать, предварительно отладив установку новинки на нескольких тестовых прогонах.