NEXT 1/2009 - Centrum ochrony sieci

Zarządzanie siecią nawet kilkunastu komputerów potrafi przysporzyć sporo kłopotów. Pozostawienie zbyt dużej swobody w działaniu użytkownikom prędzej czy później poskutkuje wprowadzeniem wirusa do intranetu, a to oznacza poważne szkody. Trzeba się przed tym ochronić najlepiej w scentralizowany i zautomatyzowany sposób.

Utworzenie w sieci lokalnej domeny i wpięcie do niej wszystkich stacji roboczych daje wiele możliwości ochrony zasobów i zarządzania nimi. Po pierwsze, umożliwia tworzenie kont użytkowników i przypisywanie im różnych uprawnień wedle potrzeb. Po drugie, pozwala na zdalne administrowanie komputerami. Ograniczanie użytkownikom domeny praw, np. przez redukcję typu konta z administratorskiego do zwykłego, jest krokiem właściwym, często koniecznym.

Ale do zagwarantowania pełni bezpieczeństwa stacjom roboczym (określanym często jako „końcówki” – bo stanowią najgłębiej położone węzły, jeśli weźmiemy pod uwagę topologię firmowej sieci) potrzebny jest dobry program typu Internet Security, czyli firewall i antywirus w jednym. Można instalować je osobno na każdym pececie, ale rozwiązanie to ma podstawową wadę: administrator nie ma nad ich pracą żadnej kontroli. Dlatego niemal niezbędnym narzędziem będzie instalacja centrum nadzoru nad nimi. Pakiety takie udostępniają bodaj wszystkie firmy produkujące antywirusy.

Czym i jak zarządzać?

Idea stojąca za sieciowymi centrami nadzoru jest prosta. Na specjalistycznym komputerze, niekoniecznie głównym serwerze, instalowany jest nadzorca. Pełni on zwykle dwojaką rolę: serwera polis zabezpieczeń oraz lokalną centralę dystrybucji baz danych wirusów. Ogranicza to ruch na łączu zewnętrznym firmy, bo poszczególne klienty mogą pobierać aktualizacje z maszyny w LAN-ie, a tylko ona jedna – z internetu. Do administracji serwerem służy konsola zarządzania, która również zainstalowana może być na dowolnym pececie w sieci lub poza nią, w WAN-ie, jeśli tylko oba komputery „widzą się” nawzajem. W większości przypadków do komunikacji wykorzystywane są jednak porty inne niż 80, ustawiane przy instalacji pakietu, co może ograniczyć taką możliwość. Niektóre pakiety pozwalają na ustawienie w sieci więcej niż jednego serwera. Mogą one być równorzędne (produkt G Daty) lub zhierarchizowane, czyli jeden główny z kilkoma podrzędnymi (G Data, ESET, Kaspersky). Oba rozwiązania pozwalają zachować kontrolę nad siecią w razie awarii serwera głównego.

Zdaniem redaktora

Krzysztof Roszak redaktor działów Software i Internet Możliwości centrów zarządzania programami antywirusowymi testowanych produktów są dość podobne. Warto więc zwrócić uwagę na jakość samych modułów bezpieczeństwa, które chronić będą stacje robocze. Idzie to ze sobą ściśle w parze, bo decydując się na serwer zarządzający danego producenta, jest się praktycznie skazanym na korzystanie z jego programów antywirusowych i firewalli. Jeśli w sieci pracują pecety pod kontrolą Linuksa, trzeba też sprawdzić, czy w ofercie producenta dostępne są klienty do tego systemu.

To, jakie pakiety bezpieczeństwa mogą być umieszczane na stacjach roboczych, jest ściśle zależne od serwera. Regułą jest, że możliwa jest administracja tylko aplikacjami tego samego producenta. Minimalny wyjątek stanowi tu Kaspersky Administration Kit, który może np. badać wskazane komputery pod kątem obecności niemal wszystkich popularnych biznesowych pakietów bezpieczeństwa i raportować ich status. O pełnym zarządzaniu nimi, rzecz jasna, nie ma mowy. Na tym nie koniec przeszkód. Jeśli dla początkowo małej, kilkupecetowej sieci użyte zostaną zwykłe, nienadzorowane centralnie (i tym samym tańsze) rozwiązania przeznaczone dla użytkowników domowych, może się okazać, że podczas rozbudowy infrastruktury konieczna będzie wymiana oprogramowania. Wszystkie przetestowane rozwiązania potrafią administrować tylko „biznesowymi” wersjami pakietów bezpieczeństwa. Potwierdza to tylko tezę, że kluczową kwestią przy tworzeniu nowej sieci firmowej jest dobre zaplanowanie, jakiego oprogramowania wymagają poszczególne stacje robocze.

Zazwyczaj pakiety bezpieczeństwa są jednocześnie klientami głównego serwera. Znów nieco inaczej wygląda kwestia w przypadku rozwiązań firmy Kaspersky. Tutaj program Antivirus for Windows Workstations jest tylko pakietem bezpieczeństwa, a do zarządzania nim potrzebna jest instalacja osobnej aplikacji na każdym komputerze.

Wdrożenie i konfiguracja

Instalacja centralnego systemu antywirusowego jest stosunkowo prosta dzięki możliwości wykonania jej zdalnie. Typowym scenariuszem jest zastosowanie metody typu „push installation”. W pierwszym kroku w konsoli administracyjnej należy wybrać komputery, na których zainstalowany będzie klient, po czym następuje automatyczne przesłanie programu agenta na wybrane komputery. Całość procesu odbywa się w tle, a jedyną czynnością, jaką musi wykonać pracujący wówczas użytkownik, jest wyrażenie zgody na ewentualny restart komputera.

Jeśli maszyny są połączone w domenę kontrolowaną przez mechanizm Active Directory, można użyć edytora zasad grup obiektów (Group Policy Object), by nakazać stacjom roboczym automatyczne pobranie z dowolnego udostępnionego na serwerze zasobu pliku instalatora i uruchomienie go natychmiast po włączeniu się do domeny. Inną opcją jest tzw. cicha instalacja, czyli umieszczenie pakietu instalacyjnego w skrypcie startowym użytkownika. Użycie tej metody wspierają narzędzia G DATA Client Security oraz NOD32 Remote Administrator – służą w nich do tego odpowiednie kreatory.

Konsola zarządzania to istne centrum dowodzenia – za jej pomocą wprowadzać można wybrane ustawienia i aplikować reguły pracy pakietów bezpieczeństwa na stacjach. Na niewiele by się to jednak zdało, gdyby każdemu klientowi trzeba było przypisywać je z osobna – już przy kilkunastu pecetach byłoby to uciążliwe dla administratora. Dlatego każdy pakiet centralnego zarządzania pozwala definiować grupy klientów i określać dla nich polisy bezpieczeństwa. Można – i należy! – uczynić to jeszcze przed instalacją czegokolwiek na komputerach. W ten sposób jeden zbiór reguł może być automatycznie przypisany np. do każdego peceta w dziale księgowości, a inny np. do komputerów dyrekcji.

Ocena:    (aby ocenić, musisz się zalogować w serwisie)

 del.icio.us |  Wykop mnie |  Digg this story |  dodajdo.com

• Na straży bezpieczeństwa »
  sieciowe centrum zarządzania bezpieczeństwem Panda
• Lokalna sieć pod kontrolą »
  pełne wersje
• Zarządzanie i kontrola zasobów IT »
  pełne wersje
• Drzwi na świat »
  wdrożenie bramy internetowej Untangle
• Ochrona przed szkodnikami »
  pełne wersje