Aquí tenemos otro caso de un fabricante con amplia experiencia en software de seguridad que ha diseñado su propia línea de appliances, de cara a crear una protección integrada y razonablemente completa. Bien conocido por su software de seguridad, McAfee ha empaquetado un amplio conjunto de protecciones, desde antivirus a filtrado Web, en una potente caja de servidor de red de alto rendimiento. Curiosamente, en este equipo no se ha incluido un firewall, lo que hace que deba conectarse detrás de uno ya existente. Una carencia que hace que este sistema dotado por otra parte de excelentes cualidades, pierda parte de su capacidad de control integral de seguridad. Una decisión que parece estar motivada por el empleo de esta familia sobre instalaciones ya existentes, donde el firewall es un elemento ya configurado. En cualquier caso sería altamente deseable que toda la protección incluido el cortafuegos pudiera ser gestionada como el resto de elementos en este equipo.
El modelo WebShield 3100 corresponde al producto para pequeñas empresas, con capacidad para gestionar hasta 500 nodos en caso de emplearse para filtrado de correo y Web, cifras que prácticamente se duplican en caso de dedicar el dispositivo a una sola de estas tareas principales. El modelo WebShield 3200 duplica esos valores, con capacidad para unos 1.000 nodos en análisis combinado, 2.500 para revisar únicamente el tráfico Web y unos 2.000 usuario si sólo se desea análisis del correo, tanto entrante como saliente. McAfee también ha creado un equipo más potente, el 3400 en el que ha incluido un coprocesador de cálculo para facilitar las tareas específicas relacionadas con el tráfico VPN.
Además de contar para la parte de antivirus con la clásica revisión mediante comparación con un archivo de firmas, que se actualiza automáticamente, el WebShield incluye una protección proactiva denominada IntruShield que es capaz de identificar y detener amenazas desconocidas y proteger así a los equipos de la red hasta que esté disponible la actualización que corrige la vulnerabilidad o la firma que identifica y resuelve el código malicioso exacto.
La protección de correo incluye análisis de los protocolos SMTP y POP3, con capacidad para analizar unos 30.000 mensajes por hora. Para capacidades de tráfico más elevadas, el modelo WebShield 3200, destinado a empresas medianas, ofrece procesamiento de hasta 55.000 correos por hora y el WebShield 3300 de hasta 110.000 correos SMTP por hora.
En la parte de filtrado de correos se usa el motor de antispam de la conocida y reputada firma SpamAssasin. Adicionalmente puede instalarse un sistema SpamKiller para mejorar y reforzar la detección de correos no deseados. También hay detección, además de control de virus y spyware sobre los correos, mediante un sistema antiphising. La información para los mecanismo antispam se actualizan en un intervalo breve, entre 2 y minutos, con consultas automáticas a un servidor de McAfee que es alimentado por un equipo de búsqueda y análisis que trabaja en modo 24 x 7 x 365. Las técnicas antispam combinan varias técnicas, como filtros bayesianos, listas blancas y listas negras, análisis de la dirección URL, filtrado de contenido y detección heurística. Este conjunto asegura, según datos del fabricante que un 97% del correo basura es eliminado y que hay un 0% de falsos positivos, es decir, correos auténticos que sean mal clasificados como spam.
El módulo de filtrado Web se actualiza diariamente y contiene más de seis millones de direcciones URL, repartidas en 69 categorías, junto con la clásicas lista blanca y lista negra. Esto permite realizar un filtrado granular donde se bloqueen completamente, por ejemplo, los contenido de carácter sexual y se permitan algunos de la categoría de compras, pero no otros. De igual forma resulta sencillo bloquear o poner límites a ciertas acciones que consuman ancho de banda, como descargas de programas, de canciones MP3 o de video streaming.
La instalación del producto es notablemente simple y no requiere la creación de ninguna redirección del tráfico ni cambio en las configuraciones de las estaciones cliente. El equipo presenta dos conexiones LAN 10/100/1000, que actúan básicamente como entrada y salida de la conexión de red. El sistema puede operar como proxy explícito o como enrutador y enlace transparente.
El WebShield está preparado para compartir la carga cuando existen varios dispositivos en la misma instalación. Uno de ellos actúa como elemento de control y se encarga de redirigir parte de su tráfico hacia algunos de los restantes equipos. Esta capacidad hace que se pueda escalar fácilmente una instalación, añadiendo nuevas unidades. El primero de ellos se encarga de actuar como principal y reparte el tráfico necesario hacia los restantes. En las instalaciones puede haber más de un dispositivo de control y los diversos dispositivos secundarios son capaces de recibir carga de trabajo de cualquiera de los elementos principales.
En su interior hay una circuitería realizada alrededor de un Intel Celeron a 2,4 GHz, con 512 Mb de RAM y un disco duro de 80 Gb y que emplea como sistema operativo un Linux modificado (Bastille for Linux) de cara a reforzar la seguridad y fiabilidad del propio sistema operativo. El conjunto de la circuitería se aloja en una caja tipo rack 1U, de las empleadas como servidores integrados. Su origen de servidor queda patente por la presencia, poco habitual en este tipo de dispositivos, tanto de una disquetera como de un lector óptico. La presencia del segundo permite volcar rápidamente una configuración completa desde un CD. De hecho el equipo se acompaña de un disco imagen para reponer la configuración inicial del equipo.
Aunque se cuenta con conexión para monitor, una delantera y otra trasera, así como para teclado y ratón, en la trasera, estos elementos sólo son válidos para las tareas de restablecer o ampliar el software del sistema. Para el resto de tareas de configuración y mantenimiento se usa comunicación Web, bajo protocolo seguro https. Aunque, también hay un puerto USB – Ethernet, mediante adaptador, para realizar la gestión.
El coste del equipo es de unos 6.593 euros, a lo cual hay que sumar un coste anual de unos 1.972 euros por el soporte anual de hardware y software. La ventaja de este dispositivo es que, a diferencia de otros modelos analizados, el número de usuarios es ilimitado, dentro de las restricciones de rendimiento que puedan aparecer, con lo cual el coste resulta más atractivo para grandes empresas que para medianas.
Uno de los aspectos más notables de la serie WebShield es su configuración y administración. En particular la organización de los mecanismos de seguridad mediante toda una serie de políticas. Esto confiere a los administradores una gran facilidad a la hora de crear diferentes perfiles y aplicarlos.
Además, hay un sistema de informes detallados, junto con análisis de tendencias, lo que proporciona amplia información acerca de los eventuales intentos de intrusiones lo que, a su permite mejorar la respuesta. En lo relativo a informes, es notablemente fácil disponer de múltiples tipos de informes, ya que se basan en plantillas. Así, a diferencia de otros equipos similares que sólo disponen de un único modelo de informe, y como mucho capacidad para elegir el ordenamiento o filtrar tipos de datos, con este equipo resulta sencillo contar con una amplia variedad de informes diferentes. Como facilidad añadida, estos informes pueden planificarse para su envío planificado mediante correo a los administradores del sitio.
Ficha técnica
McAfee
Dirección: Avda. de Bruselas, 22.
28108 – Alcobendas. Madrid
Teléfono: 91 347 85 00
Fax: 91 347 85 50
Web: www.mcafee.com/es
Precio: 6.593, 63 euros + IVA
