UTM-устройства: комплексный подход к IT-безопасности. Системы сетевой безопасности класса UTM

Фото и видео

Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.

Российский рынок UTM-устройств представлен только иностранными производителями. Причем, некоторые компании, представляя свои решения и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Подобные устройства нельзя считать полноценной UTM-системой.

Аббревиатура UTM обозначает Unified Threat Management, что дословно можно перевести на русский язык примерно как: объединенное управление угрозами. В данной статье мы рассмотрим, какие же именно функции должно выполнять устройство, чтобы считаться полноценным UTM, каковы преимущества использования таких систем и от каких видов угроз они могут защитить.

Именно такой результат дал опрос более 1000 руководителей IT-подразделений крупных и средних европейских компаний, проведенный по заказу корпорации Intel. Целью опроса было желание определить проблему, которая в большей степени волнует специалистов отрасли. Ответ был вполне ожидаемый, более половины респондентов назвали проблему сетевой безопасности, проблему, требующей незамедлительного решения. Так же вполне ожидаемым можно назвать и другие результаты опроса. Например, фактор сетевой безопасности лидирует среди других проблем в области информационных технологий; степень его важности возросла на 15% по сравнению с ситуацией, существовавшей пять лет тому назад .
По результатам опроса, свыше 30% своего времени высококвалифицированные IT-специалисты тратят на решение как раз именно вопросов обеспечения безопасности . Ситуация, сложившаяся в крупных компаниях (со штатом свыше 500 сотрудников), еще более тревожна - около четверти респондентов тратят половину своего времени на решение этих вопросов.

Баланс угроз и защиты

Увы, но проблематика сетевой безопасности неразрывно связана с основополагающими технологиями, используемыми в современных телекоммуникациях. Так уж случилось, что при разработке семейства IP-протоколов приоритет был отдан надежности функционирования сети в целом. Во времена появления этих протоколов сетевая безопасность обеспечивалась совершенно другими способами, которые просто нереально использовать в условиях Глобальной сети. Можно громко сетовать на недальновидность разработчиков, но кардинально изменить ситуацию практически невозможно. Сейчас просто надо уметь защищаться от потенциальных угроз .
Главным принципом в этом умении должен быть баланс между потенциальными угрозами для сетевой безопасности и уровнем необходимой защиты . Должна быть обеспечена соизмеримость между затратами на безопасность и стоимостью возможного ущерба от реализованных угроз.
Для современного крупного и среднего предприятия информационные и телекоммуникационные технологии стали основой ведения бизнеса. Поэтому они оказались наиболее чувствительны к воздействию угроз. Чем масштабнее и сложнее сеть, тем больших усилий требует ее защита. При этом стоимость создания угроз на порядки меньше затрат на их нейтрализацию. Такое положение дел заставляет компании тщательно взвешивать последствия возможных рисков от различных угроз и выбирать соответствующие способы защиты от наиболее опасных.
В настоящее время наибольшие угрозы для корпоративной инфраструктуры представляют действия связанные с несанкционированным доступом к внутренним ресурсам и с блокированием нормальной работы сети. Существует довольно большое число таких угроз, но в основе каждой из них лежит совокупность технических и человеческих факторов. Например, проникновение вредоносной программы в корпоративную сеть может произойти не только вследствие пренебрежения со стороны администратора сети правилами безопасности, но также в силу излишнего любопытства сотрудника компании, решившего воспользоваться заманчивой ссылкой из почтового спама. Поэтому не стоит надеяться, что даже самые лучшие технические решения в области безопасности станут панацеей от всех бед.

Решения класса UTM

Безопасность всегда является относительным понятием. Если ее слишком много, то заметно усложняется пользование самой системой, которую мы собираемся защитить. Поэтому разумный компромисс становится первоочередным выбором в деле обеспечения сетевой безопасности. Для средних предприятий по российским меркам такой выбор вполне могут помочь сделать решения класса UTM (Unified Threat Management или United Threat Management) , позиционируемы как многофункциональные устройства сетевой и информационной безопасности. По своей сути эти решения представляют собой программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана (firewall), системы обнаружения и предотвращения вторжений в сеть (IPS), а также функции антивирусного шлюза (AV). Часто на эти комплексы возлагается решение дополнительных задач, например маршрутизации, коммутации или поддержки VPN сетей.
Зачастую поставщики решений UTM предлагают использовать их в малом бизнесе. Возможно, такой подход отчасти оправдан. Но все же малому бизнесу в нашей стране и проще, и дешевле воспользоваться сервисом безопасности от своего интернет-провайдера.
Как любое универсальное решение оборудование UTM имеет свои плюсы и минусы . К первым можно отнести экономию средств и времени на внедрение по сравнению с организацией защиты аналогичного уровня из отдельных устройств безопасности. Так же UTM представляет собой предварительно сбалансированное и протестированное решение, которое вполне может решить широкий круг задач по обеспечению безопасности. Наконец, решения этого класса не столь требовательны к уровню квалификации технического персонала. С их настройкой, управлением и обслуживанием вполне может справиться любой специалист.
Основным минусом UTM является факт, что любая функциональность универсального решения зачастую менее эффективна, чем аналогичная функциональность специализированного решения. Именно поэтому когда требуется высокая производительность или высокая степень защищенности специалисты по безопасности предпочитают использовать решения на основе интеграции отдельных продуктов.
Однако, несмотря на этот минус решения UTM становятся востребованными многими организациями, сильно отличающимися по масштабу и роду деятельности. По данным компании Rainbow Technologies, такие решения были успешно внедрены, например, для защиты сервера одного из Интернет магазинов бытовой техники, который подвергался регулярным DDoS-атакам. Так же решение UTM позволило заметно сократить объем спама в почтовой системе одного из автомобильных холдингов. Помимо решения локальных задач, есть опыт построения систем безопасности на базе решений UTM для распределенной сети, охватывающей центральный офис пивоваренной компании и ее филиалы.

Производители UTM и их продукты

Российский рынок оборудования класса UTM сформирован только предложениями зарубежных производителей. К сожалению, никто из отечественных производителей пока не смог предложить собственных решений в данном классе оборудования. Исключение составляет программное решение Eset NOD32 Firewall, которое по сообщению компании было создано российскими разработчиками.
Как уже отмечалось, на российском рынке решения UTM могут быть интересны главным образом средними компаниями, в корпоративной сети которых насчитывается до 100-150 рабочих мест. При отборе оборудования UTM для представления в обзоре главным критерием выбора стала его производительность в различных режимах работы, которая смогла бы обеспечить комфортную работы пользователей. Часто производители указывают характеристики производительности для режимов Firewall, предотвращения вторжения IPS и защиты от вирусов AV.

Решение компании Check Point носит название UTM-1 Edge и представляет собой унифицированное устройство защиты, объединяющее межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а так же средства построения VPN и удаленного доступа. Входящий в решение firewall контролирует работу с большим числом приложений, протоколов и сервисов, а так же имеет механизм блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, трафика систем мгновенных сообщений (IM) и одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, трафика FTP и HTTP. При этом нет ограничений на объем файлов и осуществляется декомпрессия архивных файлов "на лету".
Решение UTM-1 Edge обладает развитыми возможностями работы в VPN сетях. Поддерживается динамическая маршрутизация OSPF и подключение VPN клиентов. Модель UTM-1 Edge W выпускается со встроенной точкой WiFi доступа IEEE 802.11b/g.
При необходимости крупномасштабных внедрений, UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление средствами безопасности значительно упрощается.

Компания Cisco традиционно уделяет вопросам сетевой безопасности повышенное внимание и предлагает широкий набор необходимых устройств. Для обзора мы решили выбрать модель Cisco ASA 5510 , которая ориентирована на обеспечение безопасности периметра корпоративной сети. Это оборудование входит в серию ASA 5500, включающую модульные системы защиты класса UTM. Такой подход позволяет адаптировать систему обеспечения безопасности к особенностям функционирования сети конкретного предприятия.
Cisco ASA 5510 поставляется в четырех основных комплектах — межсетевого экрана, средств построения VPN, системы предотвращения вторжений, а так же средств защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager для формирования инфраструктуры управления при разветвленной корпоративной сети, и система Cisco MARS, призванная осуществлять мониторинг сетевой среды и реагировать на нарушение безопасности в режиме реального времени.

Словацкая компания Eset поставляет программный комплекс Eset NOD32 Firewall класса UTM, включающий, помимо функций корпоративного файервола, систему антивирусной защиты Eset NOD32, средства фильтрации почтового (антиспам) и веб-трафика, системы обнаружения и предупреждения сетевых атак IDS и IPS. Решение поддерживает создание сетей VPN. Этот комплекс построен на основе серверной платформы, работающей под управлением Linux. Программная часть устройства разработана отечественной компанией Leta IT , подконтрольной российскому представительству Eset.
Данное решение позволяет контролировать сетевой трафик в режиме реального времени, поддерживается фильтрация контента по категориям веб-ресурсов. Обеспечивается защиту от атак типа DDoS и блокируются попытки сканирования портов. В решение Eset NOD32 Firewall включена поддержка серверов DNS, DHCP и управление изменением пропускной способности канала. Контролируются трафик почтовых протоколов SMTP, POP3.
Так же данное решение включает возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования.

Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя свои решения как способные обеспечить защиту сети при сохранении высокого уровня производительности, а так же надежной и прозрачной работы информационных систем предприятия в режиме реального времени. Для обзора мы выбрали модель FortiGate-224B , которая ориентирована для защиты периметра корпоративной сети с 150 - 200 пользователями.
Оборудование FortiGate-224B включает функциональность межсетевого экрана, сервера VPN, фильтрацию web-трафика, системы предотвращения вторжения, а так же антивирусную и антиспамовскую защиту. Эта модель имеет встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет обойтись без внешних устройств маршрутизации и коммутации. Для этого поддерживается маршрутизация по протоколам RIP, OSPF и BGP, а так же протоколы аутентификации пользователей перед предоставлением сетевых сервисов.

Компания SonicWALL предлагает широкий выбор устройств UTM, из которого в данный обзор попало решение NSA 240 . Это оборудование является младшей моделью в линейке, ориентированной на использование в качестве системы защиты корпоративной сети среднего предприятия и филиалов крупных компаний.
В основе данной линейки лежит использование всех средств защиты от потенциальных угроз. Это межсетевой экран, система защиты от вторжения, шлюзы защиты от вирусов и шпионского программного обеспечения. Есть фильтрация web-трафика по 56 категориям сайтов.
В качестве одной из изюминок своего решения компания SonicWALL отмечает технологию глубокого сканирования и анализа поступающего трафика. Для исключения снижения производительности данная технология использует параллельную обработку данных на многопроцессорном ядре.
Это оборудование поддерживает работу с VPN, обладает развитыми возможностями маршрутизации и поддерживает различные сетевые протоколы. Так же решение от SonicWALL способно обеспечить высокий уровень безопасности при обслуживании трафика VoIP по протоколам SIP и Н.323.

Из линейки продукции компания WatchGuard для обзора было выбрано решение Firebox X550e , которое позиционируется как система, обладающая развитой функциональностью для обеспечения сетевой безопасности и ориентирована на использовании в сетях малых и средних предприятий.
В основе решений класса UTM этого производителя лежит использование принципа защиты от смешенных сетевых атак. Для этого оборудование поддерживает межсетевой экран, систему предотвращения атак, антивирусный и антиспамовский шлюзы, фильтрацию web-ресурсов, а так же систему противодействия шпионскому программному обеспечению.
В этом оборудовании используется принцип совместной защиты, согласно которому сетевой трафик, проверенный по определенному критерию на одном уровне защиты не проверятся по этому же критерию на другом уровне. Такой подход позволяет обеспечивать высокую производительность оборудования.
Другим достоинством своего решения производитель называет поддержку технологии Zero Day, которая обеспечивает независимость обеспечения безопасности от наличия сигнатур. Такая особенность важна при появлении новых видов угроз, на которые еще не найдено эффективное противодействие. Обычно "окно уязвимости" длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий окна уязвимости заметно снижается.

Компания ZyXEL предлагает свое решение сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях, насчитывающих до 500 пользователей. Это решение ZyWALL 1050 предназначено для построения системы сетевой безопасности, включающую полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN в зависимости конфигурации сети.
Устройство поддерживает передачу трафика VoIP приложений по протоколам SIP и Н.323 на уровне firewall и NAT, а так же передачу трафика пакетной телефонии в туннелях сети VPN. При этом обеспечивается функционирование механизмов предотвращения атак и угроз для всех видов трафика, включая VoIP-трафик, работа антивирусной системы с полной базой сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама.
Решение ZyWALL 1050 поддерживает различных топологий частных сетей, рабоуа в режиме VPN-концентратора и объединение виртуальных сетей в зоны с едиными политиками безопасности.

Основные характеристики UTM

Мнение специалиста

Дмитрий Костров, директор по проектам Дирекции технологической защиты корпоративного центра ОАО "МТС"

Сфера применения решений UTM главным образом распространяется на компании, относящиеся к предприятиям малого и среднего бизнеса. Само понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, согласно которому UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств. Обычно это межсетевой экран, VPN, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного и антиспамовского шлюзов и фильтрации URL.
Для того чтобы добиться действительно эффективной защиты устройство должно быть многоуровневым, активным и интегрированным. При этом многие производители средств защиты уже имеют достаточно широкую линейку продуктов, относящихся к UTM. Достаточная простота развертывания систем, а также получение системы "все в одном" делает рынок указанных устройств достаточно привлекательным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении данных устройств кажутся очень привлекательными.
Но это решение UTM похоже на "швейцарский нож" - есть инструмент на каждый случай, но чтобы пробить в стене дырку нужна настоящая дрель. Есть также вероятность, что появление защиты от новых атак, обновление сигнатур и т.п. не будет столь быстрыми, в отличие от поддержки отдельных устройств, стоящих в "классической" схеме защиты корпоративных сетей. Также остается проблема единой точки отказа.

Современное UTM-решение, отличающееся простотой настройки, безопасными предустановленными настройками и наличием всех модулей глубокого анализа трафика, необходимых для обеспечения безопасной фильтрации: системы предотвращения вторжений, контроля приложений, контент-фильтра. Давай посмотрим, что умеет Ideco.

Основные возможности

Возможности Ideco ICS:

  • Защита пользователей и корпоративной сети от внешних угроз - система предотвращения вторжений, контроль приложений (DPI), контентная фильтрация веб-трафика (включая HTTPS), антивирус и антиспам Касперского, защита опубликованных веб-серверов (Web Application Firewall), интеграция с DLP- и SIEM-системами, межсетевой экран.
  • Комплексное управление интернет-трафиком - авторизация пользователей, балансировка каналов, ограничение, приоритизация, отчеты.
  • Средства коммуникации и почта - почтовый сервер, многоуровневая фильтрация спама, защита от вирусов и фишинговых ссылок, полные возможности фильтрации при использовании в качестве релея, современный веб-интерфейс.
  • Построение корпоративной сети - безопасное подключение удаленных пользователей, организация защищенных каналов между филиалами (поддержка VPN с использованием PPTP, OpenVPN, IPsec позволяет соединить в сеть практически любые маршрутизаторы или программные шлюзы), использование нескольких подключений к провайдерам, маршрутизация, интеграция с Active Directory.

Ideco ICS объединяет в себе следующие модули безопасности:
* межсетевой экран;
* система предотвращения вторжений;
* контроль приложений;
* контент-фильтр (протокол HTTP и HTTPS);
* Web Application Firewall;
* антивирусная проверка трафика;
* антиспам и проверка почтового трафика;
* защита от DoS и брутфорс-атак;
* защищенный удаленный доступ по VPN.

Web Application Firewall - это модуль межсетевого экрана для защиты опубликованных веб-приложений. Нужно отметить, что среди российских UTM-решений Ideco ICS - единственное, где присутствует такая функциональность.
Обо всем этом ты можешь прочитать и на сайте компании, поэтому предлагаю перейти сразу к практике и посмотреть, как же выглядит Ideco ICS не на бумаге, а в реальной жизни. И начнем мы с его установки.

Установка Ideco ICS

В установке нет ничего сложного - нужно скачать ISO-образ из личного кабинета пользователя , записать его на флешку или диск (как кому нравится) и загрузиться.
Установка проходит очень быстро и без осложнений. Вот ее основные моменты:
1. Нужно проверить правильность установки времени и даты в BIOS - это очень важно для интеграции с Active Directory (впрочем, если время и дата неверные, они будут автоматически синхронизированы после подключения сервера к интернету).
2. Необходимо как минимум 3800 Мбайт оперативки.
3. Поддерживаются режимы установки, обновления и восстановления (рис. 1).
4. Все данные на накопителе будут уничтожены.
5. В процессе установки нужно настроить локальный сетевой интерфейс (рис. 2) и выбрать часовой пояс.
6. Установка потребует около 4 Гбайт дискового пространства
7. Инсталлятор сообщит имя пользователя администратора и пароль (рис. 3).






Установка проходит практически без вмешательства пользователя. Все, что нужно от пользователя, - ввести IP-адрес будущего шлюза и выбрать часовой пояс.

Управление шлюзом: консоль

Перезагружаемся (рис. 4). Если присмотреться, то видно, с использованием каких компонентов построен Ideco: суперсервер xinetd, bind DNS server, nginx, Squid, KLMS и другие.



Для доступа к консоли шлюза нужно ввести пароль servicemode. Меню управления шлюзом показано на рис. 5. Команды меню:
* Мониторинг сервера - отображает информацию о загрузке процессора, использовании памяти и диска (рис. 6).
* Мониторинг сети - информация об использовании сети (bmon).
* Сетевые параметры - здесь можно изменить IP-адрес и маску шлюза, а также просмотреть текущую конфигурацию сети (рис. 7).
* Резервные копии БД - средство создания резервных копий базы данных, здесь же можно восстановить БД из резервной копии.
* Консоль - полноценная консоль, в которой можно делать все, что хочется. Лично я первым делом посмотрел, сколько места заняла установка. Чуть более 3,2 Гбайт (рис. 8).
* Сервис - открывает подменю, где можно установить IP-адрес администратора, отключить правила firewall, разрешить интернет всем и вся, разрешить доступ к серверу по SSH, сбросить пароль администратора.
* Смена пароля - позволяет изменить пароль администратора.
* Перезагрузка сервера - перезагрузка сервера, в том числе полная и мягкая, то есть перезагрузка только служб, а не всего компьютера.
* Выход - выход из консоли управления.








Веб-интерфейс

Для доступа к веб-интерфейсу (все-таки возможностей в нем больше, чем в сервисном режиме) используется URL https://IP-адрес, где IP-адрес - это адрес, указанный в настройках. Для входа используются данные, изображенные на рис. 3. Главная страница веб-интерфейса изображена на рис. 10.





Собственно, что делать после того, как вошел в веб-интерфейс? Все зависит от поставленной задачи. Если задача заключается только в предоставлении доступа к интернету группе пользователей, то нужно как минимум выбрать внешний интерфейс (через который наш сервер будет предоставлять доступ к интернету) и добавить пользователей.

Добавление внешнего интерфейса

Чтобы добавить внешний интерфейс, нужно перейти в раздел «Серверы > Интерфейсы», выбрать роль интерфейса «Внешний», ввести его название и установить сетевые параметры. Обрати внимание, что можно установить IP-адрес для проверки связи (можно использовать сервер Google - 8.8.8.8), а также выбрать резервный интерфейс, если он есть. Если имеется два внешних интерфейса, то для основного нужно установить переключатель «Основной».


Создание пользователей

В разделе «Пользователи» нужно первым делом выбрать тип авторизации (рис. 16). В самом простом случае можно выбрать авторизацию по IP. Этот вариант подойдет для небольшой сети, когда понятно, кто есть кто, а также в случаях, когда нужно быстро развернуть шлюз для доступа к интернету, а полноценная настройка еще предстоит в будущем.
На боковой панели слева находятся кнопки «Добавить группу» и «Добавить пользователя». Пользователей целесообразно объединять в группы для более простого управления ими. Создадим группу «Офис» (рис. 12).



Затем интерфейс отобразит настройки группы (рис. 13). Нажми кнопку «Создать пользователей», чтобы вызвать инструмент группового добавления пользователей (рис. 14). Нужно задать префикс имени, префикс логина пользователя, а также диапазон IP-адресов добавляемых пользователей. Конечно, можно добавлять пользователей по одному, но это не очень удобно, особенно если есть возможность это автоматизировать.







Собственно, на этом все. Осталось только на клиентах установить IP-адрес нашего сервера Ideco ICS в качестве шлюза. Если тебе лень этим заниматься, в разделе «Сервер > DHCP» можно включить DHCP-сервер и установить его параметры (рис. 16). Как минимум нужно указать диапазон IP-адресов и назначение шлюза по умолчанию клиентам.



Если поставленная задача - просто предоставить пользователям доступ к интернету, то она уже выполнена. На все про все ушло минут двадцать (вместе с установкой Ideco ICS). Если не учитывать установку самой ОС, то на чтение этой статьи ты потратишь больше времени, чем на настройку сервера.

Блокировки и всевозможные ограничения

Все, что настраивалось до этого момента, можно довольно быстро настроить на любом Linux/FreeBSD-сервере. А вот сейчас начинается самое интересное. Перейди в раздел «Сервер», «Контент-фильтр». Здесь можно выбрать, какой именно контент будет блокироваться сервером. Так, в категории «Блокировка файлов» (рис. 17) показаны типы файлов, подлежащие блокировке. А в категории «Стандартные» можно заблокировать VPN (блокируются все популярные VPN-службы и программы в любых исполнениях), торренты, веб-прокси, сайты с контентом для взрослых и прочее.





Настройка подобного контент-фильтра вручную займет определенное время. С помощью Ideco ICS можно выполнить блокировку необходимых ресурсов за пару щелчков мыши. При этом тебе не нужно настраивать ни файрвол, ни прокси.
База стандартного контент-фильтра содержит 34 категории трафика и более чем 900 тысяч URL, а расширенного еще больше - 143 категории и 500 миллионов URL. Обе базы регулярно обновляются и поддерживаются в актуальном состоянии. Кроме возможности блокировки по типам сайтов, эти же базы позволяют категоризировать веб-отчетность по потреблению пользователями трафика. Другими словами, можно будет понять, сколько часов сотрудники тратят на работу, а сколько - на развлечения или собственные интересы в рабочее время.

Преимущества Ideco ICS

Основные фишки Ideco ICS:

  • Изначально все модули, службы, правила файрвола и контентной фильтрации настроены для обеспечения максимальной защиты сети и сервера.
  • Многие настройки нельзя изменить, то есть систему не получится настроить небезопасно, даже при всем своем желании или неопытности.
  • Простота настройки.
  • Поддержка интеграции с Active Directory.
  • Все пользователи и устройства должны быть обязательно авторизованы для выхода в интернет. Неавторизованный трафик запрещен, что позволяет всегда получать статистику по использованию интернета пользователями и устройствами.
  • Отечественные базы контентной фильтрации (расширенного контент-фильтра), более релевантные для российского интернет-сегмента, чем западные базы.
  • Полностью российское решение, включая базы фильтрации контента, антивирусов (антивирус Касперского, см. рис. 19), системы предотвращения вторжений (базы собственной разработки).
  • Блокировка попыток обхода системы контентной фильтрации (анонимайзеров), включая популярные плагины к браузерам, Opera VPN, Яндекс.Турбо.
  • Удобная система отчетности.

Почтовый сервер

Ideco ICS - это не только шлюз с возможностью интеграции с Active Directory. Продукт, помимо всего прочего, содержит еще и встроенный почтовый сервер, настроить который можно в разделе «Сервер > Почтовый сервер» (рис. 20).



Система предотвращения вторжений (IDS)

Ideco ICS «из коробки» оснащен системой предотвращения вторжений (IDS), которая позволяет еще и блокировать анонимайзеры. Для настройки IDS нужно перейти в раздел «Безопасность > Предотвращение вторжений» и включить IDS/IPS (рис. 21).



Вкладка «Правила» позволяет определить группы правил IDS (рис. 22). Именно здесь можно включить/выключить блокировку Opera VPN, анонимайзеров, атак и прочего.



Для работы IDS нужно минимум 8 Гбайт оперативки на сервере.
В числе возможностей - функции, обычные для системы предотвращения вторжений (блокировка атакующих, ботнетов и поиск опасных сигнатур в трафике), но, кроме того, система позволяет блокировать трафик по базе IP Reputation и GeoIP, без его глубокого анализа (что ускоряет фильтрацию трафика и повышает устойчивость к DoS- и DDoS-атакам), а также блокировать телеметрию Windows (функции слежения за пользователями данной операционной системы, что не делают продукты других вендоров).

Отчеты и статистика

Раздел «Отчеты» позволяет просмотреть и экспортировать различную статистическую информацию. Доступен экспорт отчетов в форматах HTML, CSV, XLS. Формат CSV удобен для последующего анализа отчетов в других программных продуктах.



Дополнительную информацию можно получить в обзоре от разработчиков Ideco:

Шлюз безопасности Ideco ICS - уникальное предложение на российском рынке UTM-решений: современный продукт, обеспечивающий разностороннюю защиту от сетевых угроз и при этом практически не требующий настройки. Развертывание данного решения занимает считаные минуты, а на выходе получаем полноценный шлюз со всевозможными функциями - от защиты и блокировки до поддержки Active Directory и развернутой отчетности.

ИЛЬЯ РОЗЕНКРАНЦ , менеджер по продукту ALTELL NEO компании «ООО «АльтЭль», сертифицированный специалист по иформационной безопасности (Check Point Sales Professional, McAfee Sales Professional), имеет сертификаты Cisco (CCNA, CCNP, IPTX), [email protected]

Защищаем сети по периметру
Обзор технологий UTM в решении ALTELL NEO

История развития UTM-устройств (Unified Threat Management, унифицированные средства защиты от угроз) началась около 25 лет назад, когда в 1988 году компания DEC изобрела свой пакетный фильтр, работающий на третьем уровне модели OSI (Open system interconnection) и анализирующий только заголовок пакета

Он и стал первым коммерческим «межсетевым экраном» (МЭ). В то время такой минималистический подход был полностью оправдан существующими реалиями угроз, в результате чего подобные МЭ без учета состояния (stateless inspection firewalls) стали неотъемлемой частью системы обеспечения ИБ.

Практически параллельно с этими событиями, в 1989-1990 годах, миру были представлены МЭ, работающие с данными четвертого уровня OSI, – так называемые МЭ с учетом состояний (stateful inspection firewall). Хотя неверно было бы думать, что ИБ-специалисты не рассматривали возможность контроля и фильтрации трафика на уровне приложений, на то время (начало 1990-х) реализация этого метода исключалась по причине недостаточной производительности вычислительных систем. Только к началу 2000-х производительность аппаратных платформ позволила выпустить первые коммерческие UTM-решения.

В настоящее время межсетевые экраны, уже давно доказавшие свою эффективность, остаются наравне с антивирусным ПО одними из самых распространенных средств защиты информационных систем. Однако появление новых видов комплексных атак и рост трафика на уровне приложений (IP-телефония, потоковое видео, облачные корпоративные приложения) зачастую сводят эффективность традиционных МЭ к нулю. Для того чтобы достойно противостоять подобным угрозам, ведущие мировые ИТ-компании развивают новые технологии, нацеленные на выявление и предотвращение атак, осуществляемых на самых разных уровнях (от атак через каналы связи до приложений).

Одним из решений описанной проблемы стала интеграция в межсетевой экран функций других специализированных устройств, например, веб-фильтра и криптографического шлюза. Получившийся тип устройств имеет обозначение UTM. Также становится популярным термин «межсетевые экраны нового поколения» (NGFW, Next Generation Firewall), фильтрующие трафик и на седьмом уровне модели OSI.

На заре эры UTM-устройств (2004-2005 годы) все их компоненты были уже созданы: активно применялись межсетевые экраны с режимом анализа состояний (stateful inspection), механизмы построения защищенных сетей по общедоступным каналам связи (VPN – virtual private network), сетевые комплексы обнаружения и предотвращения вторжений (IDS/IPS – intrusion detection/prevention system), веб-фильтры.

При этом рабочие места защищались набором средств для защиты на уровне приложений (антивирус, антиспам, антифишинг). Но решение одной проблемы (обеспечение необходимого уровня информационной безопасности) привело к появлению других: резко выросли требования к квалификации технического персонала, повысилось энергопотребление оборудования, увеличились требования к объему серверных комнат, стало сложнее управлять процессом обновления программной и аппаратной частей комплексной системы безопасности.

Кроме того, многократно возросли проблемы с интеграцией новых средств защиты информации в уже существующую инфраструктуру, зачастую состоявшую из продуктов разных разработчиков. По этой причине возникла идея объединить все перечисленные функции в одном устройстве, тем более что к тому времени аппаратные платформы достигли достаточного уровня производительности и могли одновременно справляться с несколькими задачами.

В результате на рынке появились решения, позволяющие снизить затраты на защиту информации и в то же время повысить уровень информационной безопасности, так как «начинка» UTM изначально отлажена и оптимизирована для одновременной работы всех включенных в нее функций.

Востребованность и правильность такого подхода подтверждают цифры международной исследовательской компании IDC, согласно которым в первой четверти 2014 года рост сегмента UTM-устройств составил 36,4% (по сравнению с аналогичным периодом предыдущего года). Для сравнения: общий рост рынка устройств защиты информации за аналогичный период составил 3,4%, и теперь на UTM-устройства приходится 37% этого рынка. В то же время спад выручки по направлению Firewall/VPN составил 21,2%.

Основываясь на вышеперечисленных трендах рынка информационной безопасности, на исходе первого десятилетия нового века многие производители представили свои межсетевые экраны нового поколения. Так, российская компания «АльтЭль» выпустила продукт ALTELL NEO.

В то же время в решениях для обеспечения информационной безопасности растет популярность использования интегрированных систем разных производителей для повышения уровня защиты: вендоры аппаратных средств защиты стали активнее сотрудничать с разработчиками профильного ПО. Например, в продукт ALTELL NEO были внедрены технологии «Лаборатории Касперского» для защиты данных на уровне приложений: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

В настоящее время множество игроков на рынке предлагают межсетевые экраны нового поколения, среди них Palo Alto, Check Point, Cisco, Intel Security. В существующих реалиях, когда курс доллара имеет высокую волатильность, многие заказчики, и в первую очередь госструктуры, рассматривают импортозамещение как возможность выполнить требования регуляторов и внутренних ИБ-процедур. В этой ситуации рассмотрение российских производителей UTM-решений выглядит логичным.

Рассмотрим основные функции UTM-межсетевых экранов ALTELL NEO.

Антивирус/антиспам

В настоящее время многие компании выбирают UTM-устройства для защиты периметра сети, в том числе благодаря возможности фильтровать входящую и исходящую электронную почту.

Первым российским полнофункциональным решением в этой области является высокопроизводительный межсетевой экран нового поколения ALTELL NEO. В его арсенале имеется два независимых антивируса и антиспам-решения: ClamAV (бесплатный продукт) и Kaspersky AV, SpamAssassin и Kaspersky AS соответственно.

Cтандартные возможности и функции UTM-устройств:

  • Поддержка работы в прозрачном (незаметном для конечного пользователя) режиме.
  • Поддержка DNS Black List.
  • Поддержка «черных», «белых» и «серых» списков.
  • Проверка наличия DNS-записи о сервере-отправителе.
  • Технология SPF (Sender Policy Framework, структура политики отправителя) – расширение для протокола отправки электронной почты через SMTP, позволяющее определить подлинность домена отправителя. SPF является одним из способов идентификации отправителя электронного письма и предоставляет дополнительную возможность фильтрации потока почты на предмет наличия в нем спамерских сообщений. С помощью SPF почта разделяется на «разрешенную» и «запрещенную» относительно домена получателя или отправителя.
  • Сервис SURBL (Spam URI Realtime Blocklists) – сервис, содержащий сведения не об IP-адресах, с которых поступает спам, а о сайтах, которые рекламируются в спамерских сообщениях. Поскольку большинство спам-писем (и фишерских писем в частности) призываtт посетить какой-либо сайт, и сайтов этих меньше, чем IP-адресов отправителей спама, то SURBL может работать более эффективно, чем RBL, – фильтровать до 80-90% спама при ложных срабатываниях не выше 0,001-0,05%.
  • Отсутствие технической возможности потери сообщений в фильтре.
  • Применение ЭЦП в отправляемых письмах с помощью технологии DKIM (DomainKeys Identified Mail). Данная технология позволяет подтвердить подлинность (аутентифицировать) отправителя письма, а также подтвердить отсутствие изменений в электронном письме во время его передачи от отправителя к получателю.
  • Передовые методы фильтрации: байесовская фильтрация, Razor.

Использование технологии антивируса/антиспама позволяет компаниям, например, банкам, выполнять требования Банка России по защите от вредоносного кода. В отличие, скажем, от СТО БР ИББС и 382-П, где этой тематике было отведено немного места, уже больше года мы имеем полноценный документ: письмо 49-Т от 24 марта 2014 года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». В документах расписаны как технические, так и организационные требования.

Применение UTM-решений с антивирусом позволит и интернет-провайдеру предоставить очищенный трафик, и банку выполнить рекомендации регулятора по части сегментации и возможности локализации эпидемий вредоносного кода.

Система обнаружения и предотвращения вторжений – IDPS

Системы обнаружения и предотвращения вторжений, IDS/IPS или IDPS (Intrusion detection/prevention system, аналогичный русскоязычный термин – СОВ/СПВ), – необходимое звено защиты внутренней сети организации. Основное предназначение подобных систем – выявление фактов неавторизованного доступа в корпоративную сеть и принятие мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения, перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника.

В ALTELL NEO реализовано несколько технологий IDPS, различающихся по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов IDPS от компании «АльтЭль» выполняют следующие функции:

  • Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов либо систему SIEM.
  • Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDPS. Возможна также программируемая реакция с использованием скриптов.
  • Генерация отчетов. Отчеты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что позволяет не только самостоятельно определить угрозу, но и успешно заблокировать ее. В этом сценарии функционал IPS, реализованный в ALTELL NEO, гораздо шире IDS и включает в себя следующие возможности:

  • Блокирование атаки (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям).
  • Изменение защищаемой среды (изменение конфигурации сетевых устройств для предотвращения атаки).
  • Нейтрализация атаки (например, удаление из письма инфицированного файла и отправка его получателю уже очищенным либо работа в режиме прокси, т.е. анализ входящих запросов и отсечение данных в заголовках пакетов).

Преимущества любых технологий неизбежно сопровождаются некоторыми недостатками. Например, система IDPS не всегда может точно определить инцидент ИБ, а иногда способна принять нормальное поведение трафика/пользователя за инцидент.

В первом варианте принято говорить о false negative (ложноотрицательном результате), во втором варианте говорят о false positive (ложном срабатывании). Ни одно из существующих сегодня решений не позволяет полностью исключить ни FP-, ни FN- события. Поэтому организация в каждом случае должна самостоятельно решить, какая из этих групп рисков представляет большую угрозу, после чего настроить решение соответственно.

Существуют различные методики обнаружения инцидентов с помощью технологий IDPS. Большинство реализаций IDPS использует комбинацию данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз. Стоит отметить, что в оборудовании ALTELL NEO реализованы все нижеописанные технологии.

Обнаружение атак в почте, основанное на сигнатурах

Сигнатурой называют шаблон, который, будучи обнаружен в трафике или почтовом сообщении, однозначно идентифицирует конкретную атаку. Обнаружение атаки по сигнатурам – это процесс сравнения контента с базой сигнатур, хранящейся внутри решения. Примерами сигнатур являются:

  • соединение telnet пользователя root, что будет являться нарушением определенной политики безопасности компании;
  • входящее электронной письмо с темой «бесплатные картинки» с приложенным файлом freepics.exe;
  • лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но очень неэффективен при атаках, для которых еще нет сигнатур.

Встроенная в ALTELL NEO система антивируса/антиспама позволяет фильтровать от 120 до 800 писем в минуту.

Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности элементов сети с событиями, отклоняющимися от нормального уровня. У IPS, использующих этот метод, есть т.н. профили, которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени.

Например, в профиль может быть записано повышение веб-трафика на 13% в рабочие дни. IDPS в дальнейшем использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением. При превышении этого порогового значения на консоль управления администратора безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе атрибутов, взятых из поведенческого анализа пользователей, например, количества отосланных электронных писем, количества неудачных попыток входа в систему, уровня загрузки процессора сервера в определенный период времени, и многих других.

Данный метод позволяет блокировать атаки, которые обошли фильтрацию сигнатурного анализа.

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO, лежит открытая технология Suricata, доработанная под потребности компании. В отличие от более распространенной открытой IDS/IPS Snort, Suricata обладает рядом преимуществ, например, позволяет добиться более высокой производительности за счет распараллеливания обработки трафика по ядрам процессора и меньшего числа ложных срабатываний.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит два-три раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение как функции IDS, так и IPS происходит на выбранном администратором интерфейсе устройства – одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функционально отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Правила безопасности разрабатываются сообществом Emerging Threats. Правила основаны на многолетнем совместном опыте экспертов в области сетевой безопасности и постоянно совершенствуются. Обновление правил происходит автоматически (для этого в ALTELL NEO должно быть настроено подключение к интернету). При необходимости можно настроить ручное обновление.

Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов от 1 до 3, при этом приоритет 1 является высоким, приоритет 2 – средним, приоритет 3 – низким.

В соответствии с данными приоритетами может быть назначено действие, которое в режиме реального времени будет выполнять система IDS/IPS при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть одним из следующих:

  • Alert (режим IDS) – трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил.
  • Drop (режим IPS) – анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение.
  • Reject (режим IPS) – в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение.
  • Pass (режим IDS и IPS) – в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам системой не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчеты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в системе внешнего мониторинга и управления (СВМиУ) собственной разработки. СВМиУ собирает исходные данные (alert) с одного или нескольких устройств ALTELL NEO.

Система обнаружения и предотвращения вторжений ALTELL NEO работает на скоростях от 80 Мбит/с
до 3200 Мбит/с.

Система веб-фильтрации

В ALTELL NEO встроен модуль веб-прокси (посредник) для фильтрации запросов пользователей и кэширования данных, получаемых из Всемирной сети.

Посредник может работать в нескольких режимах, которые можно комбинировать для решения разных задач.По контексту применения выделяются следующие режимы работы:

  • взаимодействия с клиентским ПО (например, веб-браузерами пользователей): «прозрачный» и «непрозрачный»;
  • аутентификации пользователей прокси: без аутентификации, с аутентификацией на основе LDAP, с аутентификацией на основе NTLM;
  • обработки запросов пользователей (URL содержимого, IP-адрес источника и так далее): с фильтрацией и без фильтрации;
  • обработки веб-содержимого, полученного в ответ на запросы пользователей: с кэшированием и без кэширования;
  • с включенным и отключенным режимом проксирования SSL.

Рынок UTM достаточно большой, и он продолжает расти, на нем представлены как аппаратные, так и программные решения. Какое из них использовать, это вопрос каждый специалист, каждая организация решают исходя из своих предпочтений и возможностей. Главное – иметь подходящий по параметрам сервер, ведь теперь одна система будет выполнять несколько проверок, и нагрузка существенно возрастет.

Одно из преимуществ современных UTM-устройств – их универсальность, и ALTELL NEO является хорошим образцом этого подхода. В зависимости от размеров компании могут использоваться решения различных классов: от настольных до серверных 2U-систем производительностью до 18,5 Гбит/с. Технологии «Лаборатории Касперского», лежащие в основе антивирусного функционала ALTELL NEO, позволяют обновлять антивирусные базы от 10 до 25 раз в день. При этом средний размер обновления обычно не превышает 50 Кб, что составляет одно из лучших в индустрии соотношений частота/размер.


Вконтакте

В последнее время все большую популярность в мире приобретают так называемые UTM-устройства, объединяющие в одной аппаратной системе целый комплекс функций ИТ-безопасности. Чтобы лучше разобраться в этих продуктах и понять их преимущество по сравнению с обычными решениями, мы обратились к компании Rainbow Technologies. На наши вопросы отвечает Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow.


Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow



Алексей Доля: Вы не могли бы рассказать о UTM-продуктах (Unified Threat Management) в целом? Что это такое и для чего они используются?

Дeян Момчилович: В последнее время, говоря об информационной безопасности, СМИ все чаще используют новый термин - UTM-устройства. Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим ИТ-рынок. По их классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.
UTM-устройства используются для легкого, быстрого и эффективного построения системы безопасности сетевых ресурсов. Они пользуются особой популярностью у компаний, относящихся к SMB (Small and Medium Business) благодаря простоте использования и экономичности.
Чтобы называться полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. То есть, должно выполнять следующие три функции. Во-первых, обеспечивать многоуровневую защиту в сети. Во-вторых, выполнять функции антивирусного фильтра, системы предотвращения вторжений и защиты от шпионского ПО на уровне сетевого шлюза. В-третьих, защищать от небезопасных web-сайтов и спама. При этом каждая функция отвечает за определенные операции. Например, многоуровневая защита обеспечивает активный глубокий анализ потока данных и передает информацию о подозрительном трафике различным модулям устройства, которые занимаются обнаружением аномалий в трафике, анализом поведения хостов и сигнатурным сканированием файлов.
Отдельно стоит остановиться на защите от небезопасных web-сайтов и спама. Бесконтрольное перемещение сотрудников компании по Интернету повышает вероятность заражения шпионским ПО, троянскими программами и многими вирусами. Вдобавок, снижается производительность труда, уменьшается пропускная способность сети и может даже случиться, что компании придется отвечать перед законом за определенные нарушения. Служба URL-фильтрации позволяет наложить запрет на сайты с небезопасным или нежелательным содержимым. Можно упорядочить доступ к Web-ресурсам в зависимости от дня недели, потребностей подразделения или индивидуальных запросов пользователя. Что касается спама, то он может полностью заполнить почтовый сервер, перегрузить сетевые ресурсы и отрицательно сказаться на производительности труда сотрудников. Он также может являться носителем различных видов опасных атак, включая вирусы, социальную инженерию или фишинг. При использовании выделенной службы блокирования спама, можно эффективно остановить лишний трафик на сетевом шлюзе, прежде чем он попадет в сеть и нанесет вред.


Алексей Доля: В чем проявляется преимущество UTM-решений по сравнению с другими продуктами ИТ-безопасности?

Дeян Момчилович: Можно приобрести и установить отдельные устройства, такие как: межсетевой экран, антивирусный шлюз, систему предотвращения вторжений и т.д. А можно использовать одно устройство, выполняющее все эти функции. По сравнению с использованием отдельных систем, работа с комплексом UTM имеет целый ряд преимуществ. Во-первых, финансовая выгода. Интегрированные системы, в отличие от решений многоуровневой безопасности, которые строятся с помощью множества отдельных устройств, используют намного меньше оборудования. Это отражается на итоговой стоимости. Полностью интегрированное решение может включать в себя межсетевой экран, VPN, многоуровневую систему безопасности, антивирусный фильтр, системы предотвращения вторжений и защиты от шпионского ПО, фильтр URL и системы централизованного мониторинга и управления.
Во-вторых, остановка атак на сетевом шлюзе без прерывания рабочего процесса. Многоуровневый подход позволяет избежать катастрофы, блокируя сетевые атаки там, где они пытаются проникнуть в сеть. Так как уровни осуществляют защиту совместно, то проверенный по определенному критерию трафик повторно, на других уровнях, по тому же критерию еще раз не проверяется. Поэтому скорость трафика не снижается и чувствительные к скорости приложения, остаются доступными для работы.
В-третьих, простота установки и использования. Интегрированные системы с централизованным управлением позволяют легко настраивать, а также управлять устройствами и службами. Это значительно упрощает работу администраторов и снижает операционные расходы. Возможность с легкостью установить и развернуть системы, используя помощь "мастеров", оптимальные настройки "по умолчанию" и другие автоматизированные средства, снимают многие технические барьеры на пути быстрого создания системы безопасности сети.
Есть и еще одно немаловажное отличие UTM-систем от традиционных решений. Дело в том, что решения, основанные на сигнатурах, в течение многих лет являются основой арсенала решений безопасности и используют базу данных известных шаблонов для обнаружения и блокирования вредоносного трафика прежде, чем он попадет внутрь сети. Эти системы обеспечивают защиту против таких угроз и нарушений политик безопасности как: троянские программы, переполнение буфера, случайное исполнение вредоносного SQL кода, службы мгновенных сообщений и общения типа "точка-точка" (используемого в Napster, Gnutella и Kazaa).
В то же время, после выявления и идентификации предполагаемой угрозы до создания соответствующих файлов сигнатур, доступных для скачивания, может пройти от нескольких часов до нескольких недель. Этот "лаг" создает окно уязвимости (рис.1), в течение которого сети открыты для атаки:



Рис. 1. "Жизненный цикл атаки и окно уязвимости"


В UTM-устройствах многоуровневая система безопасности работает совместно с решениями, основанными на сигнатурах и другими службами, обеспечивая более эффективную защиту от сложных угроз, которые появляются с пугающей частотой.


Алексей Доля: Какие UTM-решения представляет ваша компания? Какие функции они выполняют?

Дeян Момчилович: Rainbow Technologies является дистрибьютором американской компании WatchGuard на территории России и стран СНГ. По данным всемирно известного аналитического агентства IDC, WatchGuard является лидером по продажам UTM-устройств для SMB в США и Европе (данные 2005 года). На наш рынок поставляется линейка UTM-устройств Firebox X, рассчитанная как на крупные корпорации, так и на небольшие фирмы.
Firebox X Edge - это межсетевой экран и конечное VPN-устройство для малого бизнеса. Он предназначен для удаленных друг от друга офисов и мобильных пользователей и защищает корпоративные ресурсы от "неумышленных угроз" со стороны удаленных пользователей, возникающих при доступе в сеть.



Firebox X Edge


Firebox X Core от WatchGuard - флагманская линейка UTM-устройств, обеспечивающая Zero-Day Protection - защиту от новых и неизвестных угроз еще до их возникновения и обнаружения. Попадающий в сеть трафик проверяется на множестве уровней, благодаря чему активно блокируются: вирусы, черви, шпионское ПО, трояны и смешанные угрозы без использования сигнатур.

Firebox X Peak представляет собой UTM - защиту для более разветвленных сетей, обеспечивая пропускную способность межсетевого экрана вплоть до 1 Гб.


Алексей Доля: Чем ваши UTM-продукты отличаются от UTM-продуктов конкурентов?

Дeян Момчилович: Сегодня в России представлены UTM-устройства только иностранных производителей. Причем, большинство из них, представляя свои устройства и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Наряду с неоспоримыми преимуществами, о которых говорилось ранее, данный подход обладает и серьезными недостатками:

Отдельные устройства при использовании общей платформы потребляют большое количество вычислительных ресурсов, что приводит к повышенным требованиям к аппаратной составляющей подобного решения, тем самым, увеличивая общую стоимость.

Являясь формально объединенными в одной коробке, отдельные устройства являются, по существу, независимыми друг от друга и не обмениваются между собой результатами анализа трафика, проходящего через них. Это приводит к тому, что трафик, поступающий в сеть, или, исходящий из сети, должен проходить через все устройства, часто подвергаясь дублирующим проверкам. В результате, скорость прохождения трафика через устройство резко падает.

Благодаря отсутствию взаимодействия между отдельными функциональными блоками устройства, отмеченному выше, увеличивается вероятность попадания в сеть потенциально опасного трафика.

В основе UTM-решений компании WatchGuard лежит архитектура Intelligent Layered Security (ILS), которая позволяет избавиться от перечисленных недостатков, присущих другим UTM-решениям. Рассмотрим подробнее принципы работы ILS. Эта архитектура является сердцевиной линейки UTM-устройств Firebox X компании WatchGuard и обеспечивает эффективную защиту для развивающихся предприятий. Используя динамическое взаимодействие между уровнями, ILS обеспечивает безопасность при оптимальной производительности устройства.
Архитектура ILS состоит из шести слоев защиты (рис.2), взаимодействующих друг с другом. Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный попускается внутрь сети. Это позволяет противостоять как известным, так и неизвестным атакам, обеспечивая максимальную защиту при минимальных затратах.



Рис. 2. "Архитектура Intelligent Layered Security и UTM"


Каждый слой защиты выполняет следующие функции:

1. Службы внешней безопасности взаимодействуют с внутренней защитой сети (антивирусы на рабочих станциях и пр.).

2. Служба проверки целостности данных проверяет целостность пакетов, проходящих через устройство и соответствие этих пакетов протоколам передачи.

3. Служба работы с VPN проверяет трафик на принадлежность к зашифрованным внешним соединениям организации.

4. Межсетевой экран с динамическим анализом состояния ограничивает трафик к источникам и пунктам назначения в соответствии с настроенной политикой безопасности.

5. Служба глубокого анализа приложений отсекает опасные файлы по шаблонам или по типам файлов, блокирует опасные команды, преобразует данные для того, чтобы избежать утечки критичных данных.

6. Служба проверки содержимого использует технологии, основанные на применении сигнатур, блокировании спама и фильтрации URL.

Все эти уровни защиты активно взаимодействуют друг с другом, передавая данные, полученные при анализе трафика в одном слое всем другим слоям. Что позволяет:

1. Уменьшить использование вычислительных ресурсов UTM-устройства, и, уменьшив требования к аппаратной части, снизить общую стоимость.

2. Добиться минимального замедления прохождения трафика через UTM-устройство, благодаря проведению не всех, а только необходимых проверок.

3. Противостоять не только известным угрозам, но и обеспечивать защиту от новых, еще не выявленных атак.


Алексей Доля: Какую техническую поддержку получают пользователи ваших UTM-продуктов?

Дeян Момчилович: Основой всех решений WatchGuard является непрерывная поддержка защищенности периметра сети на самом высоком уровне, что достигается при помощи электронного сервиса LiveSecurity. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Все продукты линейки Firebox X обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая, на сегодняшний день, является наиболее полной в ИТ-индустрии системой дистанционной технической поддержки и услуг.
LiveSecurity состоит из нескольких модулей. Они, в свою очередь, включают в себя: техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства, а также специальные сообщения LiveSecurity Broadcasts (оперативное оповещение об угрозах и методах борьбы с ними).



Firebox X


Алексей Доля: Сколько стоят ваши UTM-решения и во сколько ежегодно обходится их эксплуатация? Где можно приобрести ваши продукты?

Дeян Момчилович: Мы не работаем с конечными пользователями, так как не имеем структуры розничных продаж - это наша торговая политика. Приобрести UTM-устройства WatchGuard Firebox X можно у наших партнеров - системных интеграторов или реселлеров, список которых есть на сайте http://www.rainbow.msk.ru . У них же можно получить информацию и о розничной стоимости этих устройств.


Алексей Доля: Каковы Ваши прогнозы по продажам UTM-устройств в нашей стране?

Дeян Момчилович: Во всем мире продажи UTM-устройств растут. И наш рынок - не исключение. По сравнению с 2002 годом, сегмент UTM-устройств к 2005 году вырос на 160% (по данным исследования мирового рынка агентством IDC). Эта цифра говорит об очень стремительном росте, и, несмотря на то, что российский рынок значительно "запаздывает" от США и Европы, мы также прогнозируем значительное увеличение популярности UTM-устройств и на нем уже в самое ближайшее время.


Алексей Доля: Спасибо, что уделили нам время и ответили на все вопросы. Удачи и всего хорошего!
Понравилась статья? Поделиться с друзьями:
Вам также может быть интересно
ВКонтакте «Доступ закрыт» — как зайти Браузер блокирует вконтакте
Браузеры
Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной...
Определяем серию продукта видеокарт Nvidia
Телефон
Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной...
Как восстановить визуальные закладки в мозиле
Телефон
Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной...
Как удалиться из фотостраны навсегда?
Соцсети
Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной...