En lo esencial, Check Point Integrity y Sygate Enterprise Protection son efectivos firewalls basados en políticas. Ese es el pastel. La cubierta glaseada es su capacidad de monitorear otras aplicaciones para cumplir con los requerimientos de configuración y enviar a cuarentena las máquinas con problemas hasta que puedan ser actualizadas con las más recientes definiciones de antivirus, parches de Windows, etcétera. Combinando una fuerte seguridad en el cliente y una administración de políticas flexible, ambos productos ayudan a prevenir que entren en la red de la empresa, desde los clientes infectados, el spyware, los troyanos, gusanos y los virus. Además, para asegurar que todos los extremos de la red son seguros y están actualizados, ambos productos pueden hacer cumplir las políticas controlando cuáles aplicaciones del cliente pueden tener acceso a la red con base en casi cualquier criterio que se desee aplicar. El administrador de políticas de Sygate tiene plantillas de políticas para despliegues comunes de parches de seguridad, firewalls personales, y software antivirus y anti-spyware para ayudar a una fácil instalación. Dependiendo de qué tipo de adaptador esté siendo usado para conectarse a la red (Ethernet, Wi-Fi, VPN) Sygate puede aplicar apropiadamente los controles restrictivos de acceso. Los sistemas que no cumplen son colocados en un segmento de la red aislado en cuarentena, desde donde pueden descargar el software necesario para cumplir con los requerimientos de seguridad. Asimismo, el Sygate Enforcement Agent (SEA) realiza comprobaciones del cumplimiento de las políticas durante la conexión inicial y periódicamente por medio de un cronometrador o durante un cambio en la ubicación de la red. Además, obliga al cumplimiento de las políticas cuando los clientes están desconectados de la red de la empresa, y los conecta automáticamente a su sitio de descarga de actualizaciones y parches para ponerlos en orden, con o sin intervención del usuario. Para el cumplimiento con las políticas de seguridad en los extremos no administrados, Sygate proporciona el ODA (On-Demand Agent), una aplicación Java que es descargada al cliente cuando se conecta y crea un escritorio virtual encriptado con software de antivirus actualizado, definiciones de antivirus, un software contra la captura de lo que teclea el cliente, y un firewall personal. Después de la sesión, ODA borra todos los rastros y se remueve a sí mismo del sistema. Check Point Integrity tiene buena parte de esa funcionalidad. En lugar de proporcionar un gateway propio que obligue al cumplimiento de las políticas, Integrity trabaja con VPN-1 de Check Point, SSL VPN de Connectra, y IPS de InterSpect. Trabaja con switches de Cisco Systems, Enterasys, Extreme Networks, Foundry, HP y otros fabricantes, y cuenta con Aventail, Cisco, Juniper, Microsoft, y Nortel entre sus socios en SSL VPN. Sygate tiene socios propios, incluyendo muchos de los mismos nombres, y su Enforcer da a los clientes que pueden no tener una infraestructura 802.1x la opción de implementar NAC sin comprar equipo adicional. Como el agente de Sygate, Integrity Client comprueba el cumplimiento de políticas en la conexión y durante las sesiones, y brinda capacidades de auto-forzamiento y auto-remedio. Check Point también proporciona un cliente sobre demanda, llamado Integrity Clientless Security, el cual utiliza ActiveX para instalar un navegador seguro (Integrity Secure Browser) en los sistemas no administrados. El Secure Browser crea un portal cautivo por medio de una conexión a Check Point o a una SSL VPN asociada, también encriptando los datos de la sesión, bloqueando el copiado y el registro de tecleado del cache del navegador, y removiendo todos los rastros cuando la sesión es terminada. En ambas soluciones, el control efectivo del acceso a la red comienza con una fuerte seguridad del cliente. Los clientes Sygate y Check Point incorporan firewalls completos, centrados en las aplicaciones y con protección de sobreflujo del buffer. Además, Check Point tiene anti-spyware y anti-troyanos nativos, y protección de la mensajería instantánea. Sygate proporciona protección anti-troyanos nativa, y la versión que probé usaba Lavasoft Ad-Aware SE Professional para detectar y remover el spyware. Más aún, Sygate utilizará tecnologías de Symantec para combatir el spyware. Ambos carecen actualmente de la capacidad de un rastreador de virus integrado. Durante las pruebas, mientras entré como usuario final normal sin privilegios de administración, traté de sabotear ambos clientes para ver si podía tirarlos. El agente de Check Point resistió todos mis intentos de deshabilitarlo. Pude eliminar el agente Sygate borrando archivos, pero las opciones de políticas de Sygate te permiten poner en cuarentena o aislar cualquier extremo en el cual el agente no esté corriendo. Tanto Check Point como Sygate también permiten esconder los agentes de la vista de los usuarios, e incluso protegerlos de escaneos de puertos. Creación y ejecución de políticas Para la administración de políticas y SEAs, Sygate utiliza una interface de operador basada en Java. Como todas las consolas basadas en Java, algunas veces puede ser lenta para responder, pero probó ser lo suficientemente concisa durante mis pruebas. Check Point usa una interface de operador Web asegurada con SSL para manejar la integridad de los clientes. Las interfaces de administración de ambos productos están divididas en un panel izquierdo estilo tabla de contenidos y una ventana principal tabulada, y ambas ejecutan tareas administrativas, desde la instalación del cliente hasta la configuración del firewall y las políticas, con la misma sencillez. Un agradable extra en la consola de Sygate es la historia de los cambios (Change History) en el fondo de la pantalla, proporcionando útil información histórica y administrativa. En general, prefiero la interface de Sygate, aunque la firma todavía tiene que trabajar para alcanzar la perfección. Mientras que Check Point hace un buen trabajo escondiendo la complejidad, el poder que Sygate fácilmente da a los administradores puede a veces ser atemorizante. Para grandes ambientes, Sygate permite asignar un administrador por grupo funcional de dominio, y proporciona una decente cantidad de granularidad en permisos administrativos (desde entradas de sólo lectura hasta de sólo vista y otros por el estilo). Check Point soporta administración multidominio, lo cual hace la administración de grandes organizaciones más fácil al crear dominios para administradores y zonas para clientes en los extremos. Además, Check Point tiene administración en múltiples niveles con bitácoras para monitorear los cambios hechos por diferentes administradores en los clientes de los extremos. Como en Sygate, los dominios son aislados de manera que no tienen que compartir información innecesaria con administradores no autorizados. Una gran ventaja que Sygate tiene sobre Check Point es que un administrador puede manejar el uso de dispositivos USB y otros periféricos, algo especialmente importante en organizaciones preocupadas por el movimiento de información delicada por medio de medios de almacenamiento USB. SEA puede bloquear las lecturas, escrituras, y ejecución de código desde dispositivos específicos y varios tipos de drives portátiles y no portátiles. Tanto Sygate como Check Point te permiten crear una lista blanca de aplicaciones desde fuentes de referencia como archivos de imagen de computadoras de escritorio o portátiles. En el caso Check Point, cuando un programa desconocido intenta acceder a la red, Integrity busca en la base de datos Program Advisor una política de acceso, permitiendo o negando automáticamente el acceso a la red con base en la respuesta del Program Advisor, o recomendando una política para la aprobación del administrador. Para no ser superado, Sygate tiene OS Protection, en la cual el SEA monitorea el comportamiento de las aplicaciones y bloquea las acciones maliciosas o no aprobadas, previniendo que las aplicaciones modifiquen o creen claves de registro particulares, por ejemplo. SEA también tiene aprendizaje de aplicaciones (Application Learning), que permite al administrador aprender el comportamiento de usuarios y computadoras y entonces crear fácilmente políticas empresariales que tomen en cuenta ese comportamiento. Sygate y Check Point te permiten crear fácilmente políticas basadas en usuarios, grupos, y direcciones IP. Ambas tienen soporte para políticas separadas dependiendo de cómo esté conectado el usuario, con cable Ethernet o inalámbricamente, o de manera remota por VPN o servidor de acceso remoto. Esta flexibilidad es especialmente crítica en el caso de los trabajadores móviles. Tampoco encontrarás diferencias significativas en las capacidades de reporte de estos productos. Esta función ha sido actualizada considerablemente desde la versión previa de Integrity, y ahora es totalmente extensiva, con gráficas breves que complementan los datos presentados. Considerado todo, cualquiera de estos productos le servirán bien. Unas cuantas diferencias, así como compatibilidad con su infraestructura actual de red y VPN, pueden conducirlo a elegir una sobre la otra. Sygate incluye un gateway de ejecución en el precio de lista, y va más allá de la solución de Check Point para proporcionar control sobre el uso de dispositivos periféricos. Las ventajas de Check Point incluyen un agente más robusto, una lista más larga de switches y de socios VPN, e integración con los productos de seguridad de redes de Check Point. La reciente compra de Sygate y WholeSecurity por parte de Symantec abriga promesas para las capacidades de seguridad en la parte del cliente de Sygate. También es razonable esperar que la solución de Sygate se integrará con los IPS y otros productos de Symantec, y que se impulsarán las alianzas con fabricantes de infraestructura de red. En resumen, a dónde van estos productos es más importante que dónde están hoy. Si se encuentra en el mercado de control de acceso a la red basado en políticas, no pierda de vista estos desarrollos.