Denne artikel stammer fra det trykte Computerworlds arkiv. Artiklen blev publiceret den Computerworld d. 5. marts 2004.
3Com satser stort på sikkerhedsmarkedet med en integreret
firewall, VPN, IDS, antivirus og antispam-enhed. Konkurrenten Cisco er dog ikke imponeret. Ej heller en sikkerhedsekspert.
Den seneste enhed til at integrere sikkerhedsfunktioner med netværk er 3Com Security
Switch 6200, der indeholder en Check Point firewall, parret med en VPN-enhed (Virtual Private Network) også fra Check Point. Dertil kommer indholdsscanning, hvilket giver mulighed for virustjek sammen med spamafvisning. Endvidere indeholder enheden også IDS (Intrusion Detection System).
Alle funktionerne håndteres af enhedens interne processorer og er fuldt konfigurerbare via software, idet enheden er baseret på Linux.
Det vil sige, at man via enhedens konfigurationssoftware er i stand til at opbygge den kombination af sikkerhedsfunktioner, der passer bedst til en given virksomheds behov. Firewallen kan håndtere to gigabyte/s, mens VPN-funktionerne klarer 300 megabit/s og IDS-funktionerne håndterer 500-700 megabyte/s, hvilket ifølge 3Com gør enheden velegnet til mellemstore virksomheder.
Enheden indeholder 18 styk 100 Mbit/s porte og 2 gigabit Ethernet porte i enheden, hvor 3Com forventer at næste version får flere højhastighedsporte.
Samlet enhed
Der er tale om en enhed, hvor 3Com har samlet sikkerhedsapplikationer fra CheckPoint, Trend, InterScan, Internet Security Systems, Enterasys og Snort.
Den kører på en 1,26 gigahertz Pentium III applikationsprocessor med 512 megabyte RAM. Der er også en 40 gigabyte disk til applikationer og logfiler.
I næste version forventer 3Com, at der vil komme flere hjemmeudviklede applikationer og tættere integration mellem alle applikationer.
3Com påpeger, at enheden kan rationalisere en virksomheds sikkerhedsopsætning, idet man ikke skal koordinere for eksempel firewall og IDS-enheder. Dertil angiver 3Com, at enheden sparer licensomkostninger, idet der kun skal betales en kombinationslicens for enheden.
Enheden kan konfigureres i en klyngefunktion, sådan at en standby-enhed kan overtage, hvis en primær 6200 fejler. Denne funktionalitet vil siden blive udbygget til at omfatte load balancing, sådan at to eller flere systemer kan fordele belastningen imellem sig.
Det sammen gælder funktionerne til indholdsstyring, som 3Com også forventer udbygget, sådan at IP-trafik kan styres efter indhold.
3Com har sikret sig, at enheden ikke kan hackes gennem forskellige sikkerhedsfunktioner deriblandt en VPN-sikret administrationsfunktion.
Kan få konsekvenser
Dermed har 3Com ført tidens tendens til at indbygge sikkerhedsfunktioner i aktive netværksenheder til et foreløbigt højdepunkt. Konkurrenten Cisco er dog ikke umiddelbart imponeret.
Teknisk direktør i Cisco Henrik Ballermann siger:
- Naturligvis er perimeter-forsvar vigtigt, men styrkelse af hele netværket er endnu vigtigere. Dels er sådan en integreret enhed sårbar, dels er det jo ikke al trafik i hele netværket, der går igennem den. Derved sikrer man ikke den interne trafik, hvilket ofte er der, hvor de største sikkerhedsproblemer opstår.
Også sikkerhedseksperten Ole Schmitto, der er administrerende direktør i eSec Managed Security A/S, er skeptisk over for denne type af enheder, idet han siger:
- Der kan være fornuft i at sammenbygge forskellige beslægtede sikkerhedsfunktioner i en enhed, som for eksempel firewall og IDS. Men at sammenbygge funktioner bare for at gøre det er ikke heldigt rent sikkerhedsmæssigt, specielt fordi en konfigurationsfejl kan få drabelige konsekvenser.
Billedtekst:
Denne 3Com Security Switch 6200 er markedets hidtil mest ekstreme bud på en sammenbygget sikkerhedsenhed. Den indeholder firewall, VPN, IDS, antivirus, antispam og indholdfiltrering.
