ILYA ROSENKRANTS, ALTELL NEO voditelj proizvoda u AltEl LLC, certificirani stručnjak za informacijsku sigurnost (Check Point Sales Professional, McAfee Sales Professional), posjeduje Cisco certifikate (CCNA, CCNP, IPTX), [e-mail zaštićen]

Štitimo mreže duž perimetra
Pregled UTM tehnologija ALTELL rješenje NEO

Povijest razvoja UTM uređaja (Unified Threat Management, objedinjeni alati za zaštitu od prijetnji) započela je prije otprilike 25 godina, kada je 1988. DEC izumio svoj paketni filter, koji je radio na trećoj razini modela OSI (Open system interconnection) i analizirao samo zaglavlje paketa

Postao je prvi komercijalni "firewall" (FW). Tada je takav minimalistički pristup bio u potpunosti opravdan postojećim realnim prijetnjama, zbog čega su takvi bezdržavni inspekcijski vatrozidi postali sastavni dio sustava informacijske sigurnosti.

Gotovo paralelno s tim događajima, 1989.-1990., svijetu su predstavljeni vatrozidi koji rade s OSI slojem 4 podataka, tzv. stateful inspekcijski vatrozid. Iako bi bilo pogrešno misliti da stručnjaci za informacijsku sigurnost nisu razmatrali mogućnost praćenja i filtriranja prometa na aplikativnoj razini, u to vrijeme (početkom 1990-ih) implementacija ove metode bila je isključena zbog nedovoljnih performansi računalni sustavi. Tek su početkom 2000-ih performanse hardverskih platformi omogućile izdavanje prvih komercijalnih UTM rješenja.

Trenutno su vatrozidi, koji su odavno dokazali svoju učinkovitost, uz antivirusni softver jedno od najčešćih sredstava zaštite. informacijski sustavi. Međutim, pojava novih vrsta složenih napada i rast prometa na aplikativnoj razini (IP telefonija, video streaming, cloud poslovne aplikacije) često smanjuju učinkovitost tradicionalnih ME na nulu. Kako bi se adekvatno suprotstavile takvim prijetnjama, vodeće svjetske IT tvrtke razvijaju nove tehnologije usmjerene na prepoznavanje i sprječavanje napada koji se izvode na većinu različite razine(od napada preko komunikacijskih kanala do aplikacija).

Jedno od rješenja opisanog problema bila je integracija u vatrozid funkcije drugih specijaliziranih uređaja, na primjer, web filtar i kriptografski pristupnik. Rezultirajući tip uređaja označen je kao UTM. Popularan postaje i izraz “vatrozid nove generacije” (NGFW, Next Generation Firewall) koji filtrira promet na sedmoj razini OSI modela.

U praskozorje ere UTM uređaja (2004.-2005.) sve njihove komponente već su bile stvorene: vatrozidi s načinom pregleda stanja, mehanizmi za izgradnju sigurnih mreža preko javnih komunikacijskih kanala (VPN - virtualna privatna mreža), mrežni kompleksi bili su aktivno aktivni. korištena detekcija i prevencija upada (IDS/IPS – sustav detekcije/prevencije upada), web filtri.

Istodobno su radna mjesta zaštićena skupom zaštitnih alata na aplikativnoj razini (antivirus, antispam, anti-phishing). Ali rješenje jednog problema (osiguravanje potrebne razine informacijske sigurnosti) dovelo je do pojave drugih: zahtjevi za kvalifikacijama tehničkog osoblja naglo su porasli, potrošnja energije opreme je porasla, zahtjevi za volumen poslužiteljskih soba porasli, te je postalo teže upravljati procesom ažuriranja softverskih i hardverskih dijelova integriranog sigurnosnog sustava.

Osim toga, problemi s integracijom novih alata za informacijsku sigurnost u postojeću infrastrukturu, koja se često sastoji od proizvoda različitih programera. Iz tog razloga pojavila se ideja da se sve navedene funkcije kombiniraju u jednom uređaju, pogotovo jer su do tada hardverske platforme dosegle dovoljnu razinu performansi i mogle su se nositi s nekoliko zadataka istovremeno.

Kao rezultat toga, na tržištu su se pojavila rješenja koja smanjuju troškove zaštite informacija i istodobno povećavaju razinu informacijske sigurnosti, budući da je UTM "nadjev" inicijalno otklonjen i optimiziran za istovremeni rad svih funkcija koje su u njemu uključene. .

Zahtjevnost i ispravnost ovakvog pristupa potvrđuju i podaci međunarodne istraživačke tvrtke IDC, prema kojima je u prvom kvartalu 2014. godine rast segmenta UTM uređaja iznosio 36,4% (u odnosu na isto razdoblje prethodne godine). Usporedbe radi, ukupni rast tržišta uređaja za informacijsku sigurnost u istom razdoblju iznosio je 3,4%, a UTM uređaji sada čine 37% ovog tržišta. Istodobno, pad prihoda u Firewall/VPN segmentu iznosio je 21,2%.

Na temelju navedenih trendova na tržištu informacijske sigurnosti, krajem prvog desetljeća novog stoljeća mnogi su proizvođači predstavili svoju novu generaciju vatrozida. Tako, Ruska tvrtka AltEl je izbacio proizvod ALTELL NEO.

U isto vrijeme, u rješenjima informacijske sigurnosti, korištenje integriranih sustava različitih proizvođača za povećanje razine zaštite postaje sve popularnije: proizvođači hardverske sigurnosti počeli su aktivnije surađivati ​​sa specijaliziranim programerima softvera. Na primjer, tehnologije Kaspersky Laba uvedene su u proizvod ALTELL NEO za zaštitu podataka na razini aplikacije: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

Trenutno mnogi igrači na tržištu nude nove generacije vatrozida, uključujući Palo Alto, Check Point, Cisco, Intel Security. U sadašnjoj stvarnosti, kada je tečaj dolara vrlo volatilan, mnogi kupci, a prvenstveno vladine agencije, razmatraju zamjenu uvoza kao priliku za ispunjavanje zahtjeva regulatora i internih procedura za sigurnost informacija. U ovoj situaciji, razmatranje Ruski proizvođači UTM rješenja se čine logičnim.

Pogledajmo glavne funkcije vatrozida ALTELL NEO UTM.

Antivirus/antispam

Trenutačno mnoge tvrtke odabiru UTM uređaje za zaštitu mrežnog perimetra, uključujući mogućnost filtriranja dolazne i odlazne e-pošte.

Prvo rusko potpuno opremljeno rješenje na ovom području je visokoučinkoviti vatrozid nove generacije ALTELL NEO. U svom arsenalu ima dva nezavisni antivirus i antispam rješenja: ClamAV (besplatan proizvod) i Kaspersky AV, SpamAssassin i Kaspersky AS, redom.

Standardne mogućnosti i funkcije UTM uređaja:

• Podrška za rad u transparentnom (nevidljivom za krajnji korisnik) način rada.
• Podrška za DNS crnu listu.
• Podrška za crne, bijele i sive liste.
• Provjera prisutnosti DNS zapisa o poslužitelju koji šalje.
• SPF (Sender Policy Framework) tehnologija - proširenje za protokol slanja E-mail putem SMTP-a, što vam omogućuje određivanje autentičnosti domene pošiljatelja. SPF je jedan od načina identifikacije pošiljatelja e-pošte i pruža dodatna prilika Filtriranje tijeka pošte radi prisutnosti neželjenih poruka. Pomoću SPF-a pošta se dijeli na "dopuštenu" i "zabranjenu" u odnosu na domenu primatelja ili pošiljatelja.
• Usluga SURBL (Spam URI Realtime Blocklists) je usluga koja sadrži informacije ne o IP adresama s kojih dolazi neželjena pošta, već o stranicama koje se reklamiraju u neželjenim porukama. Budući da većina spam e-pošte (a posebno phishing e-pošte) poziva na posjet web-mjestu, a tih je web-mjesta manje od IP adresa pošiljatelja neželjene pošte, SURBL može raditi učinkovitije od RBL-a - filtrira do 80-90% neželjene pošte na lažno pozitivni rezultati nisu veći od 0,001-0,05%.
• Ne postoji tehnička mogućnost gubitka poruka u filtru.
• Korištenje digitalnih potpisa u poslanim pismima pomoću tehnologije DKIM (DomainKeys Identified Mail). Ova tehnologija vam omogućuje da potvrdite autentičnost (autentifikaciju) pošiljatelja pisma, kao i da potvrdite odsutnost promjena u e-pošti tijekom prijenosa od pošiljatelja do primatelja.
• Napredne tehnike filtriranja: Bayesovo filtriranje, Razor.

Korištenje antivirusne/anti-spam tehnologije omogućuje tvrtkama, na primjer bankama, da se pridržavaju zahtjeva Banke Rusije za zaštitu od zlonamjerni kod. Za razliku od, recimo, STO BR IBBS i 382-P, gdje je malo prostora posvećeno ovoj temi, već više od godinu dana imamo punopravni dokument: pismo 49-T od 24. ožujka 2014. "O preporukama za organiziranje korištenja zaštite od zlonamjernog koda u bankarskim aktivnostima." Dokumenti opisuju tehničke i organizacijske zahtjeve.

Korištenje UTM rješenja s antivirusom omogućit će i pružatelju internetskih usluga da osigura čist promet i banci da se pridržava preporuka regulatora u vezi s segmentacijom i sposobnošću lokaliziranja izbijanja zlonamjernog koda.

Sustav za otkrivanje i sprječavanje upada – IDPS

Sustavi za otkrivanje i sprječavanje upada, IDS/IPS ili IDPS (Intrusion detection/prevention system, sličan ruski izraz - IDS/SPV), neophodna su karika u zaštiti interne mreže organizacije. Glavna svrha takvih sustava je identificirati slučajeve neovlaštenog pristupa korporativnoj mreži i poduzeti protumjere: informirati stručnjake za informacijsku sigurnost o činjenici upada, prekinuti vezu, ponovno konfigurirati vatrozid kako bi se blokirale daljnje radnje napadača.

ALTELL NEO implementira nekoliko IDPS tehnologija, koje se razlikuju po vrstama detektiranih događaja i po metodologiji koja se koristi za identifikaciju incidenata. Osim funkcija praćenja i analiziranja događaja za prepoznavanje incidenata, IDPS iz AltEl-a obavlja sljedeće funkcije:

• Snimanje informacija o događajima. Obično se informacije pohranjuju lokalno, ali se mogu poslati u bilo koji centralizirani sustav za prikupljanje dnevnika ili SIEM sustav.
• Obavještavanje sigurnosnih administratora o incidentima informacijske sigurnosti. Ova vrsta obavijesti naziva se upozorenje i može se provesti kroz nekoliko kanala: e-pošta, SNMP zamke, poruke zapisnika sustava, konzola za upravljanje IDPS sustavom. Moguće su i programabilne reakcije pomoću skripti.
• Generiranje izvješća. Izvješća se izrađuju kako bi se saželi svi podaci za traženi događaj(e).

IPS tehnologija nadopunjuje IDS tehnologiju utoliko što omogućuje ne samo neovisno identificiranje prijetnje, već i njezino uspješno blokiranje. U ovom scenariju, IPS funkcionalnost implementirana u ALTELL NEO mnogo je šira od IDS-a i uključuje sljedeće značajke:

• Blokiranje napada (prekid sesije korisnika koji krši sigurnosnu politiku, blokiranje pristupa resursima, hostovima, aplikacijama).
• Promjena zaštićenog okruženja (promjena konfiguracije mrežnih uređaja radi sprječavanja napada).
• Neutraliziranje napada (na primjer, uklanjanje zaraženu datoteku i slanje primatelju koji je već odobren ili radi u proxy modu, tj. analiza pristiglih zahtjeva i odsijecanje podataka u zaglavljima paketa).

Prednosti bilo koje tehnologije neizbježno dolaze s nekim nedostacima. Na primjer, IDPS sustav možda neće uvijek točno identificirati incident informacijske sigurnosti i ponekad može zamijeniti normalno ponašanje prometa/korisnika s incidentom.

U prvoj opciji uobičajeno je govoriti o lažno negativnom (lažno negativan rezultat), u drugoj opciji govore o lažno pozitivnom ( lažna uzbuna). Nijedno od danas postojećih rješenja ne može u potpunosti eliminirati niti FP niti FN događaje. Stoga organizacija mora samostalno u svakom slučaju odlučiti koja od ovih rizičnih skupina predstavlja najveću prijetnju, te prema tome prilagoditi rješenje.

Postoje različite tehnike za otkrivanje incidenata pomoću IDPS tehnologija. Većina IDPS implementacija koristi kombinaciju ovih tehnologija za pružanje višeg stupnja otkrivanja prijetnji. Važno je napomenuti da oprema ALTELL NEO implementira sve dolje opisane tehnologije.

Detekcija napada e-poštom temeljena na potpisu

Potpis je uzorak koji, kada se otkrije u prometu ili poštanska poruka, jedinstveno identificira određeni napad. Detekcija napada temeljena na potpisu proces je usporedbe sadržaja s bazom podataka potpisa pohranjenom unutar rješenja. Primjeri potpisa su:

• telnet vezu od strane root korisnika, što bi predstavljalo kršenje određenih sigurnosnih politika tvrtke;
• dolazna e-pošta s predmetom " besplatne slike» s priloženom datotekom freepics.exe;
• dnevnik operativnog sustava s kodom 645, koji označava da je revizija hosta onemogućena.

Ova je metoda vrlo učinkovita u otkrivanju poznatih prijetnji, ali je vrlo neučinkovita protiv napada za koje još nema potpisa.

Anti-virus/anti-spam sustav ugrađen u ALTELL NEO omogućuje vam filtriranje od 120 do 800 slova u minuti.

Otkrivanje napada na temelju nenormalnog ponašanja

Ova se metoda temelji na usporedbi normalne aktivnosti mrežnih elemenata s događajima koji odstupaju od normalne razine. IPS ovom metodom imaju tzv. profili koji odražavaju normalno ponašanje korisnika, mrežnih čvorova, veza, aplikacija i prometa. Ovi se profili stvaraju tijekom "razdoblja obuke" tijekom određenog vremenskog razdoblja.

Na primjer, profil može zabilježiti povećanje web prometa od 13% radnim danima. IDPS dalje koristi statističke metode kada se uspoređuju različite karakteristike stvarne aktivnosti s danom vrijednošću praga. Kada se prekorači ova vrijednost praga, odgovarajuća poruka se šalje na upravljačku konzolu administratora sigurnosti. Profili se mogu kreirati na temelju atributa preuzetih iz analize ponašanja korisnika, kao što su broj poslanih e-poruka, broj neuspjelih pokušaja prijave, razina korištenja CPU-a poslužitelja u određenom vremenskom razdoblju i mnogi drugi.

Ova metoda vam omogućuje blokiranje napada koji zaobilaze filtriranje analize potpisa.

IDS/IPS koji koristi naša tvrtka u novoj generaciji vatrozida ALTELL NEO temelji se na otvorenoj Suricata tehnologiji, modificiranoj da zadovolji potrebe tvrtke. Za razliku od uobičajenijeg otvorenog IDS/IPS Snort-a, Suricata ima niz prednosti, na primjer, omogućuje vam da postignete veću izvedbu paraleliziranjem obrade prometa preko procesorskih jezgri i manje lažno pozitivnih rezultata.

Vrijedno je uzeti u obzir da su za ispravan rad IDS/IPS-a potrebne ažurne baze podataka potpisa. ALTELL NEO u tu svrhu koristi otvorenu Nacionalnu bazu podataka o ranjivostima i Bugtraq. Baze podataka ažuriraju se dva do tri puta dnevno, što osigurava optimalnu razinu informacijske sigurnosti.

Sustav ALTELL NEO može raditi u dva načina rada: način otkrivanja upada (IDS) i način sprječavanja upada (IPS). Omogućavanje i IDS i IPS funkcija događa se na sučelju uređaja koje je odabrao administrator – jednom ili više njih. Također je moguće pozvati IPS funkcije prilikom konfiguriranja pravila vatrozida za specifičan tip prometa koji treba provjeriti. Funkcionalna razlika između IDS-a i IPS-a je u tome što se u IPS načinu rada mrežni napadi mogu blokirati u stvarnom vremenu.

Sigurnosna pravila razvila je zajednica Emerging Threats. Pravila se temelje na višegodišnjem zajedničkom iskustvu stručnjaka na području mrežne sigurnosti i stalno se unapređuju. Pravila se ažuriraju automatski (za to je u ALTELL NEO potrebno konfigurirati internetsku vezu). Ako je potrebno, možete postaviti ručno ažuriranje.

Svakom pravilu dodijeljen je prioritet prema klasi napada na temelju učestalosti korištenja i važnosti. Standardne razine prioriteta kreću se od 1 do 3, pri čemu je prioritet 1 visok, prioritet 2 srednji, a prioritet 3 nizak.

Na temelju ovih prioriteta može se dodijeliti radnja koju će IDS/IPS sustav poduzeti u stvarnom vremenu kada detektira mrežni promet koji odgovara potpisu pravila. Radnja može biti jedna od sljedećih:

• Upozorenje (IDS način) – promet je dopušten i proslijeđen primatelju. U zapisnik događaja upisuje se upozorenje. Ova radnja je zadana za sva pravila.
• Ispuštanje (IPS način rada) – analiza paketa se zaustavlja, ne vrši se daljnja usporedba za usklađenost s preostalim pravilima. Paket se odbacuje i u dnevnik se upisuje upozorenje.
• Odbaci (IPS način rada) – u ovom načinu rada paket se odbacuje i u dnevnik se upisuje upozorenje. U tom slučaju šalje se odgovarajuća poruka pošiljatelju i primatelju paketa.
• Prolaz (način IDS i IPS) – u ovom načinu analiza paketa prestaje i sustav ne vrši daljnju usporedbu za usklađenost s preostalim pravilima. Paket se prosljeđuje na svoje odredište i ne generira se upozorenje.

Izvještaje o prometu koji prolazi kroz ALTELL NEO sustav za detekciju i prevenciju upada moguće je generirati u vanjskom nadzorno-kontrolnom sustavu (EMS) vlastitog dizajna. SVMiU prikuplja početne podatke (upozorenje) s jednog ili više ALTELL NEO uređaja.

ALTELL NEO sustav za detekciju i prevenciju upada radi brzinama od 80 Mbit/s
do 3200 Mbit/s.

Sustav web filtriranja

ALTELL NEO ima ugrađeni web proxy modul (posrednik) za filtriranje korisničkih zahtjeva i predmemoriju podataka primljenih s World Wide Weba.

Posrednik može raditi u nekoliko načina, koji se mogu kombinirati za rješavanje različitih problema. Na temelju konteksta primjene razlikuju se sljedeći načini rada:

• interakcija s klijentskim softverom (na primjer, korisničkim web preglednicima): “transparentno” i “neprozirno”;
• proxy provjera autentičnosti korisnika: bez provjere autentičnosti, s provjerom autentičnosti temeljenom na LDAP-u, s provjerom autentičnosti temeljenom na NTLM-u;
• obrada korisničkih zahtjeva (URL sadržaja, izvorna IP adresa, itd.): sa i bez filtriranja;
• obrada web sadržaja primljenih kao odgovor na zahtjeve korisnika: sa i bez predmemoriranja;
• s omogućenim i onemogućenim SSL proxy načinom.

UTM tržište je veliko i raste, s dostupnim hardverskim i softverskim rješenjima. Koji će koristiti stvar je svakog stručnjaka i svake organizacije da odluči na temelju svojih preferencija i mogućnosti. Glavna stvar je imati poslužitelj s odgovarajućim parametrima, jer će sada jedan sustav izvršiti nekoliko provjera, a opterećenje će se značajno povećati.

Jedna od prednosti modernih UTM uređaja je njihova svestranost, a ALTELL NEO je dobar primjer ovakvog pristupa. Ovisno o veličini tvrtke, mogu se koristiti rješenja različitih klasa: od desktop do 2U poslužiteljskih sustava s performansama do 18,5 Gbit/s. Tehnologije Kaspersky Laba koje su temelj antivirusne funkcionalnosti ALTELL NEO-a omogućuju vam ažuriranje antivirusnih baza podataka od 10 do 25 puta dnevno. Međutim, prosječna veličina ažuriranja obično ne prelazi 50 KB, što je jedan od najboljih omjera učestalosti/veličine u industriji.

U kontaktu s

Postoji mišljenje da su UTM i NGFW ista stvar. Želim odbaciti ovo mišljenje.

Što se prvo dogodilo?

Tako je, prvo je bio UTM (Unified Threat Management). Ovo je sustav sve u jednom. Netko pametan se sjetio instalirati nekoliko zaštitnih motora na jednom poslužitelju odjednom. Sigurnosni profesionalci sada imaju priliku istovremeno primiti kontrolu i rad nekoliko sigurnosnih motora iz jedne kutije. Sada vatrozid, VPN, IPS, antivirus, web filter i antispam rade zajedno. Netko drugi koristi druge motore, na primjer DLP. Danas su SSL i SSH mehanizam za dešifriranje i mehanizam za analiziranje i blokiranje aplikacija obavezni na svih 7 slojeva OSI ISO modela. U pravilu se motori preuzimaju od različitih dobavljača ili čak besplatni, na primjer, IPS od SNORT-a, clamav antivirus ili iptables firewall. Budući da je vatrozid ujedno i usmjerivač ili preklopnik za promet, i mehanizam za dinamičko usmjeravanje je najčešće nekog proizvođača. Kako je potražnja rasla, na tržištu su se pojavili veliki igrači koji su mogli kupiti nekoliko dobar razvoj događaja za rad traženog motora i objediniti njihov rad unutar jednog UTM uređaja. Na primjer, Check Point je kupio IPS od NFR-a, Cisco je kupio IPS od Sourcefirea. Popularni brendovi vidljivi su na Gartner UTM kvadratu. U 2017. UTM lideri prema Gartneru su Check Point, Fortinet i Sophos.

Nedostaci UTM arhitekture. Zašto su nastali NGFW-ovi?

Slika 1. Primjer UTM radne arhitekture.

Prvi arhitektonski izazov UTM-a bilo je da su svi motori unutra naizmjenično slali jedan drugome mrežni paketi i čekali smo da prethodni motor završi svoj posao prije nego što smo pokrenuli naš. Kao rezultat toga, što više značajki dobavljač ugradi u svoj uređaj, to sporije radi. Zbog toga korisnici takvih uređaja moraju isključiti IPS i antivirus ili dio svojih potpisa kako bi promet uopće tekao. Odnosno, činilo se da plaćaju sigurnosni uređaj, ali ga koriste samo kao usmjerivač. Trebalo je nešto smisliti kako zaštitni motori ne bi čekali jedan drugoga i radili paralelno.
Novi potez proizvođača NGFW-a je da koriste specijalizirane čipove koji gledaju isti promet u isto vrijeme. To je postalo moguće jer je svaki procesor počeo biti odgovoran za vlastitu funkciju: IPS potpisi su ušiveni u jedan, antivirusni potpisi u drugi, a URL potpisi u treći. Možete omogućiti sve potpise u svim motorima - promet je potpuno zaštićen bez smanjenja performansi. Programabilni čipovi ove vrste nazivaju se FPGA (programmable logicintegrated circuit) ili u engleskoj literaturi FPGA. Njihova razlika od ASIC-ova je u tome što se mogu reprogramirati u hodu i obavljati nove funkcije, na primjer, provjeravati nove potpise nakon ažuriranja mikrokoda ili bilo koje druge funkcije. To je ono što NGFW koristi - sva ažuriranja se ubacuju izravno u FPGA čipove.

Slika 2. Primjer arhitekture Palo Alto Networks NGFW.

Drugi arhitektonski izazov UTM-a postalo je tako da je za rad svih operacija datoteka potreban tvrdi disk. Koja je brzina čitanja s tvrdog diska? 100 megabajta u sekundi. Što će UTM učiniti ako imate 10 Gbit brzine u svom podatkovnom centru? Ako 300 ljudi u vašoj tvrtki odluči preuzeti mapu datoteka preko Microsoftove mreže (SMB protokol), što će onda učiniti UTM? Loši UTM-ovi jednostavno će se učitati na 100% i prestati raditi. U naprednim UTM-ovima, za ovaj slučaj, ugrađeni su različiti mehanizmi za automatsko onemogućavanje rada zaštitnih motora: antivirus-bypass, ips-bypass i drugi, koji isključuju sigurnosne funkcije kada opterećenje hardvera premaši njegove mogućnosti. Što ako trebate ne samo spremiti datoteku, već i raspakirati arhivu? Brzina rada dalje se smanjuje. Stoga se UTM uglavnom koristio u malim tvrtkama gdje brzine nisu bile važne ili gdje je sigurnost bila opcija.

Praksa pokazuje da čim se brzina mreže poveća, tada u UTM-u morate isključiti sve motore osim usmjeravanja i vatrozida za pakete ili jednostavno instalirati obični vatrozid. Odnosno, zadatak je dugo bio nekako ubrzati rad antivirusa datoteka.

Novi arhitektonski pomak kod prvog proizvođača NGFW-a, koji se pojavio 2007. godine, bio je da se datoteke više ne spremaju na disk, odnosno da se sva analiza prometa, dekodiranje i sklapanje datoteka za antivirusno skeniranje počinje vršiti u memoriji. Ovo je znatno poboljšalo rad sigurnosnih uređaja i odvojilo ih od performansi tvrdih diskova. Brzine mreže rastu sve brže teške brzine diskovi. Samo će NGFW spasiti zaštitare. Trenutno, prema Gartneru, postoje dva lidera u NGFW: Palo Alto Networks i Check Point.

Kako rade s aplikacijama sloja 7 u UTM-u i NGFW-u?

S pojavom NGFW-a kupci imaju novu priliku – definiranje Layer 7 aplikacija. Mrežni inženjeri proučavaju sedmoslojni model mrežne interakcije OSI ISO. Na razini 4 ovog modela oni rade TCP protokoli i UDP, koji se smatra dovoljnim za analizu prometa i upravljanje prometom u posljednjih 20 godina IP mreža. To jest, obični vatrozid jednostavno prikazuje IP adrese i portove. Što se događa na sljedećih 5-7 razina? Vatrozid nove generacije vidi sve razine apstrakcije i pokazuje koja je aplikacija prenijela koju datoteku. Ovo uvelike poboljšava IT-ovo razumijevanje mrežnih interakcija i povećava sigurnost izlažući tuneliranje unutar otvorenih aplikacija i dopuštajući im da blokiraju aplikaciju, a ne samo port. Na primjer, kako blokirati skype ili bittorent običnim vatrozidom stare generacije? Da, nema šanse.

Dobavljači UTM-a na kraju su dodali mehanizam za definiranje aplikacija. Međutim, oni imaju dva motora za upravljanje prometom - priključak 4 uključen TCP razina, UDP i ICMP te na razini traženja sadržaja aplikacija u prometu kao što su teamviewer, tor, skype. Ispostavilo se da UTM ima nekoliko politika: jedna kontrolira portove, druga kontrolira aplikacije. I to stvara puno poteškoća, kao rezultat toga, nitko ne koristi politiku upravljanja aplikacijama.

Prilažem prezentaciju na temu vizualizacije na razini aplikacije. Ovo također dotiče temu Shadow IT-a. Ali o tome kasnije..

Suvremeni internet prepun je mnogih prijetnji, pa administratori troše lavovski dio svog vremena na osiguranje mrežne sigurnosti. Pojava višenamjenskih UTM sigurnosnih uređaja odmah je privukla pozornost sigurnosnih stručnjaka jer... kombiniraju višestruke sigurnosne module s jednostavnom implementacijom i upravljanjem. Danas možete pronaći mnogo implementacija, tako da odabir ponekad nije tako jednostavan. Pokušajmo razumjeti značajke popularnih rješenja.

Što je UTM?

S obzirom na porast mrežnih i virusnih napada, neželjene pošte, potreba za organiziranjem sigurna razmjena podataka, tvrtke trebaju sigurnost koja je pouzdana i kojom se lako upravlja. Problem je posebno akutan u mrežama malih i srednjih poduzeća, gdje često nema tehničke i financijske mogućnosti za implementaciju heterogenih sigurnosnih sustava. A u takvim organizacijama obično nema dovoljno obučenih stručnjaka. Upravo za te uvjete razvijeni su višenamjenski višerazinski mrežni uređaji nazvani UTM (Unified Threat Management, jedinstveni sigurnosni uređaj). Izrastao iz vatrozida, UTM danas objedinjuje funkcije nekoliko rješenja - vatrozid s DPI (Deep Packet Inspection), sustav zaštite od upada (IDS/IPS), antispam, antivirus i filtriranje sadržaja. Takvi uređaji često imaju mogućnosti organiziranja VPN-a, provjere autentičnosti korisnika, balansiranja opterećenja, obračuna prometa itd. Uređaji klase "sve u jednom" s jednostruka konzola postavke vam omogućuju brzo stavljanje u rad, a naknadno je također lako ažurirati sve funkcije ili dodati nove. Sve što je potrebno od stručnjaka je razumijevanje što i kako zaštititi. Trošak UTM-a obično je niži od kupnje više aplikacija/uređaja, tako da je ukupni trošak niži.

Pojam UTM skovao je Charles Kolodgy iz analitičke tvrtke IDC (InternationalData Corporation) u dokumentu “ Širom svijeta Threat Management Security Appliances 2004-2008 Forecast”, objavljen u rujnu 2004., kako bi se identificirali svestrani sigurnosni uređaji koji se mogu nositi s rastućim brojem mrežnih napada. U početku se pretpostavljalo da će postojati samo tri funkcije (firewall, DPI i antivirus), ali sada su mogućnosti koje pružaju UTM uređaji mnogo šire.

Tržište UTM-a je prilično veliko i pokazuje godišnji rast od 25-30% (postupno istiskujući “čiste” vatrozide), stoga su gotovo svi veliki igrači već predstavili svoja rješenja, kako hardverska tako i softverska. Koju koristiti često je stvar ukusa i povjerenja u programera, kao i dostupnost odgovarajuće podrške i, naravno, specifičnih uvjeta. Jedina stvar je da biste trebali odabrati pouzdan i produktivan poslužitelj uzimajući u obzir planirano opterećenje, jer će sada jedan sustav izvršiti nekoliko provjera, a to će zahtijevati dodatna sredstva. U ovom slučaju morate biti oprezni, karakteristike UTM rješenja obično ukazuju na propusnost vatrozida, a mogućnosti IPS-a, VPN-a i drugih komponenti često su za red veličine niže. UTM poslužitelj je jedna pristupna točka, čiji će kvar u biti ostaviti organizaciju bez interneta, tako da različite mogućnosti oporavka također neće biti suvišne. Hardverske implementacije često imaju dodatne koprocesore koji se koriste za obradu određenih vrsta podataka, kao što je enkripcija ili analiza konteksta, kako bi se rasteretio glavni CPU. Ali implementacija softvera može se instalirati na bilo koje računalo, uz mogućnost daljnje nesmetane nadogradnje bilo koje komponente. U tom pogledu zanimljiva su OpenSource rješenja (Untangle, pfSense, Endian i druga) koja omogućuju značajne uštede na softveru. Većina tih projekata nudi i komercijalne verzije s naprednim značajkama i tehničkom podrškom.

Platforma: FortiGate
Web stranica projekta: fortinet-russia.ru
Licenca: plaćena
Implementacija: hardver

Kalifornijska tvrtka Fortinet, osnovana 2000. godine, danas je jedan od najvećih dobavljača UTM uređaja namijenjenih različitim opterećenjima od malih ureda (FortiGate-30) do podatkovnih centara (FortiGate-5000). FortiGate uređaji su hardverska platforma koja pruža zaštitu od mrežnih prijetnji. Platforma je opremljena vatrozidom, IDS/IPS, antivirusnim skeniranjem prometa, antispamom, web filterom i kontrolom aplikacija. Neki modeli podržavaju DLP, VoIP, oblikovanje prometa, WAN optimizaciju, toleranciju grešaka, autentifikaciju korisnika za pristup mrežnim uslugama, PKI i druge. Mehanizam aktivnih profila omogućuje otkrivanje netipičnog prometa i automatizaciju odgovora na takav događaj. Antivirus može skenirati datoteke bilo koje veličine, uključujući arhive, uz održavanje visoke razine performansi. Mehanizam web filtriranja omogućuje vam postavljanje pristupa za više od 75 kategorija web stranica i određivanje kvota, uključujući ovisno o dobu dana. Primjerice, pristup portalima za zabavu može se dopustiti samo u neradno vrijeme. Modul kontrole aplikacije detektira tipični promet (Skype, P2p, IM, itd.) bez obzira na priključak, pravila oblikovanja prometa navedena su za pojedinačne prijave i kategorije. Sigurnosne zone i virtualne domene omogućuju vam da podijelite mrežu u logičke podmreže. Neki modeli imaju sučelja prekidača LAN drugi razini i WAN sučelja, podržano je usmjeravanje putem RIP, OSPF i BGP protokola. Gateway se može konfigurirati u jednoj od tri opcije: transparentni način rada, statički i dinamički NAT, što vam omogućuje da bezbolno implementirate FortiGate u bilo koju mrežu. Za zaštitu pristupnih točaka koristi se posebna modifikacija s WiFi - FortiWiFi.
Za pokrivanje sustava (PC pod Windows kontrola, Android pametni telefoni) koji rade izvan zaštićene mreže, na njih se može instalirati agentski program FortiClient koji uključuje cijeli set(firewall, antivirus, SSL i IPsec VPN, IPS, web filter, antispam i još mnogo toga). FortiManager i FortiAnalyzer koriste se za centralno upravljanje više Fortinet uređaja i analizu zapisa događaja.
Osim web i CLI sučelja, za osnovnu konfiguraciju FortiGate/FortiWiFi, možete koristiti program FortiExplorer (dostupan u Win i Mac OS X), koji nudi pristup GUI i CLI (naredbe su slične Cisco).
Jedna od značajki FortiGatea je specijalizirani set FortiASIC ​​​​čipova koji pružaju analizu sadržaja i obradu mrežnog prometa te omogućuju otkrivanje mrežnih prijetnji u stvarnom vremenu bez utjecaja na performanse mreže. Svi uređaji koriste specijalizirani OS – FortiOS.

Platforma: Check Point UTM-1
Web stranica projekta: rus.checkpoint.com
Licenca: plaćena
Implementacija: hardver

Check Point nudi 3 linije uređaja UTM klase: UTM-1, UTM-1 Edge (udaljeni uredi) i Safe@Office (male tvrtke). Rješenja sadrže sve što je potrebno za zaštitu vaše mreže - vatrozid, IPS, antivirusni pristupnik, antispam, SSL VPN i alate za daljinski pristup. Vatrozid može razlikovati promet svojstven većini aplikacija i usluga (više od 200 protokola); administrator može jednostavno blokirati pristup IM, P2P mrežama ili Skypeu. Osigurana je zaštita web aplikacija i filtriranje URL-ova, a baza podataka Check Pointa sadrži nekoliko milijuna stranica koje je lako blokirati. Antivirus skenira HTTP/FTP/SMTP/POP3/IMAP streamove, nema ograničenja na veličinu datoteke i može raditi s arhivama. UTM-1 modeli sa slovom W dostupni su s ugrađenom WiFi pristupnom točkom.
IPS koristi različite metode detekcije i analize: potpise ranjivosti, analizu protokola i ponašanja objekata te detekciju anomalija. Mehanizam analize je u stanju izračunati važne podatke, tako da se 10% prometa pažljivo provjerava, ostatak prolazi bez dodatnih provjera. Time se smanjuje opterećenje sustava i povećava učinkovitost UTM-a. Anti-spam sustav koristi nekoliko tehnologija - IP reputaciju, analizu sadržaja, crno-bijelo bijele liste. Podržava dinamičko usmjeravanje OSPF, BGP i RIP, nekoliko metoda autentifikacije korisnika (lozinka, RADUIS, SecureID itd.), implementiran je DHCP poslužitelj.
Rješenje koristi modularnu arhitekturu, tzv. Software Blades, koji omogućuju, ako je potrebno, proširenje funkcionalnosti na željenu razinu, pružajući potrebnu razinu sigurnosti i cijene. Na ovaj način možete naknadno opremiti prolaz s noževima Web sigurnost(otkrivanje i zaštita web infrastrukture), VoIP ( VoIP zaštita), Napredno umrežavanje, ubrzanje i klasteriranje (maksimalna izvedba i dostupnost u razgranatim okruženjima). Na primjer, Web Application Firewall i Advanced Streaming Inspection tehnologije koje se koriste u Web Security-u omogućuju obradu konteksta u stvarnom vremenu, čak i ako je podijeljen u nekoliko TCP paketa, zamjenu zaglavlja, skrivanje podataka o korištenim aplikacijama i preusmjeravanje korisnika na stranicu sa Detaljan opis pogreške.
Daljinsko upravljanje je moguće putem weba i Telnet/SSH. Za centralizirane postavke nekoliko uređaja može se koristiti Check Point SmartCenter koji se koristi u njemu Sigurnosna tehnologija Arhitektura upravljanja (SMART) omogućuje vam upravljanje svim Check Point elementima uključenim u sigurnosnu politiku. Mogućnosti SmartCenter-a proširene su uz pomoć dodatnih modula koji pružaju vizualizaciju pravila, LDAP integraciju, ažuriranja, izvješća itd. Sva ažuriranja UTM-a primaju se centralno pomoću usluge ažuriranja Check Point-a.

Platforma: ZyWALL 1000
Web stranica projekta: zyxel.ru
Licenca: plaćena
Implementacija: hardver

Većina sigurnosnih pristupnika koje proizvodi ZyXEL može se sa sigurnošću klasificirati kao UTM u svojim mogućnostima, iako prema službenom klasifikatoru ova linija danas uključuje pet ZyWALL USG 50/100/300/1000/2000 modela, namijenjenih malim i srednjim mreže (do 500 korisnika). U terminologiji ZyXEL-a, takvi se uređaji nazivaju “Centar za mrežnu sigurnost”. Na primjer, ZyWALL 1000 je pristupni pristupnik velike brzine dizajniran za rješavanje problema mrežne sigurnosti i upravljanja prometom. Uključuje Kaspersky streaming anti-virus, IDS/IPS, filtriranje sadržaja i zaštitu od spama (Blue Coat i Commtouch), kontrolu propusnosti i VPN (IPSec, SSL i L2TP preko IPSec VPN-a). Usput, pri kupnji obratite pozornost na firmware - međunarodni ili za Rusiju. U potonjem se, zbog ograničenja carinske unije, koristi 56-bitni DES ključ za IPsec VPN i SSL VPN tunele.
Politike pristupa temelje se na nekoliko kriterija (IP, korisnik i vrijeme). Alati za filtriranje sadržaja olakšavaju ograničavanje pristupa stranicama na određene teme i rad određenih programa IM, P2P, VoIP, mail itd. IDS sustav koristi potpise i štiti od mrežnih crva, trojanaca, backdoor-a, DDoS-a i exploita. Tehnologija otkrivanja i prevencije anomalija analizira pakete koji prolaze kroz gateway na OSI slojevima 2 i 3, identificirajući nedosljednosti, identificirajući i blokirajući 32 vrste mrežnih napada. Mogućnosti End Point Security omogućuju automatsku provjeru vrste OS-a, prisutnost aktivnog antivirusnog programa i vatrozida, prisutnost instaliranih ažuriranja, pokrenuti procesi, postavke registra i druge. Administrator može zabraniti pristup mreži sustavima koji ne zadovoljavaju određene parametre.
Implementirano višestruko rezerviranje pristupa internetu i uravnoteženje opterećenja. VoIP prijenos preko SIP i H.323 protokola moguć je na razini vatrozida i NAT-a te u VPN tunelima. Omogućena je jednostavna organizacija VLAN-a i stvaranje virtualnih alias sučelja. Podržana je provjera autentičnosti pomoću LDAP-a, AD-a, RADIUS-a, što vam omogućuje konfiguriranje sigurnosnih politika na temelju pravila koja su već usvojena u organizaciji.
Ažuriranja baza glavnih komponenti i aktivacija nekih funkcija (Commtouch anti-spam, povećanje broja VPN tunela) provode se pomoću priključnih kartica. Konfiguracija se vrši pomoću CLI i web sučelja. Tehničar će vam pomoći u izradi početnih instalacija.

OS: Untangle Server 9.2.1 Cruiser
Web stranica projekta: untangle.com
Licenca: GPL
Implementacija: softver
Hardverske platforme: x86, x64
Sistemski zahtjevi: Pentium 4 ili sličan AMD, 1 GB RAM, 80 GB disk, 2 NIC.

Bilo koja *nix distribucija može se konfigurirati kao punopravno UTM rješenje; sve što je potrebno za to dostupno je u repozitoriju paketa. Ali postoje i nedostaci: sve komponente morat će se instalirati i konfigurirati neovisno (a to već zahtijeva određeno iskustvo), i, što je važno, lišeni smo jedinstvenog sučelja za upravljanje. Stoga su u tom kontekstu vrlo zanimljiva gotova rješenja izgrađena na temelju OpenSource sustava.
Distribucija Untangle u produkciji istoimene tvrtke pojavila se 2008. godine i svojim pristupom odmah privukla pozornost zajednice. Temelji se na Debianu, sve postavke se rade pomoću jednostavnog i intuitivnog sučelja. U početku se distribucija zvala Untangle Gateway i bila je namijenjena za upotrebu u malim organizacijama (do 300 korisnika) kao potpuna zamjena za vlasnički Forefront TMG za pružanje sigurnog pristupa internetu i zaštitu interne mreže od niza prijetnji. S vremenom su se funkcije i mogućnosti distribucije proširile te je naziv promijenjen u Untangle Server, a distribucija je već sada sposobna podržati veći broj korisnika (do 5000 ili više, ovisno o snazi ​​poslužitelja).
U početku su sigurnosne funkcije Untanglea implementirane u obliku modula. Nakon instalacije osnovni sustav Nema zaštitnih modula, administrator samostalno odabire što mu treba. Moduli su radi praktičnosti podijeljeni u 5 paketa (Premium, Standard, Education Premium Education Standard i Lite) čija je dostupnost određena licencom, a sami paketi prema namjeni podijeljeni su u dvije skupine: Filter i Services. Sve OpenSource aplikacije prikupljene su u besplatnom Liteu koji sadrži 13 aplikacija koje omogućuju skeniranje prometa na viruse i spyware, filter sadržaja, blokiranje bannera i neželjene pošte, vatrozid, kontrolu protokola, IDS/IPS, OpenVPN, pravila pristupa (Captive Portal). Modul Izvješća, uključen u Lite paket, omogućuje administratoru primanje izvješća o svim mogućim situacijama - mrežna aktivnost, protokoli, otkriveni spam i virusi, aktivnost korisnika s mogućnošću slanja rezultata e-poštom i izvoza u PDF, HTML, XLS, CSV i XML. Temelje se na popularnim OpenSource aplikacijama kao što su Snort, ClamAV, SpamAssasin, Squid itd. Osim toga, poslužitelj Untangle pruža sve mrežne funkcije- rutiranje, NAT, DMZ, QoS, ima DHCP i DNS servere.
Dostupno u komercijalnim paketima: load balancing i Failover, kontrola propusnosti kanala i aplikacije, modul za rad s Aktivni direktorij, rezervacija postavki i neke druge funkcije. Podrška je također dostupna uz naknadu, iako se odgovori na mnoga pitanja mogu pronaći na službenom forumu. Osim toga, projekt nudi spremni poslužitelji s predinstaliranim Untangle.
Pogodno sučelje napisano u Javi nudi se za konfiguraciju; sve promjene i statistika rada prikazuju se u stvarnom vremenu. Kada radi s Untangleom, administrator ne mora imati duboko znanje o *nixu; dovoljno je razumjeti što treba dobiti kao rezultat. Instalacija distribucije je prilično jednostavna, samo trebate slijediti upute čarobnjaka; drugi čarobnjak će vam naknadno pomoći konfigurirati pristupnik.

Endian vatrozid

OS: Endian Firewall Community 2.5.1
Web stranica projekta: endian.com/en/community
Licenca: GPL
Hardverske platforme: x86
Sistemski zahtjevi: CPU 500 MHz, 512 MB RAM, 2 GB

Programeri Endian Firewall-a nude nekoliko verzija svojih proizvoda, implementiranih kao hardverska i softverska platforma. Postoji i verzija za virtualne strojeve. Sva su izdanja licencirana pod GPL-om, ali su dostupna samo za besplatno preuzimanje ISO slika Izdanje zajednice i izvor. Operativni sustav je izgrađen na Zasnovan na CentOS-u a sadrži sve specifične Linux aplikacije, pružanje funkcija vatrozida, IDS/IPS, antivirusno skeniranje HTTP/FTP/POP3/SMTP prometa, anti-spam zaštitu, filter sadržaja, anti-spoofing i anti-phishing module, sustav izvješćivanja. Moguće je izraditi VPN koristeći OpenVPN i IPsec s autentifikacijom ključem ili certifikatom. Filtar sadržaja sadrži gotove postavke za više od 20 kategorija i potkategorija web stranica, postoji crna lista i funkcije kontekstualnog filtriranja. Koristeći ACL, možete odrediti parametre pristupa za individualni korisnik, grupa, IP, vrijeme i preglednik. Statistika se vodi o vezama, prometu i korisničkom iskustvu. Kada se dogode određeni događaji, šalje se poruka na e-mail administratora. Omogućena je provjera autentičnosti lokalnog korisnika, Active Directory, LDAP i RADIUS. Sučelje olakšava stvaranje VLAN-a, upravljanje QoS-om i podržava SNMP. U početku je kompletiran distribucijski paket Antivirus ClamAV, po želji je moguće koristiti Sophos antivirusni mehanizam.
Za postavke se koriste web sučelje i naredbeni redak. Početne instalacije provode se pomoću čarobnjaka koji vam omogućuje postavljanje vrste internetske veze i dodjeljivanje sučelja (LAN, WiFi, DMZ). Više IP adresa može se dodijeliti vanjskom sučelju; MultiWAN je podržan. Radi lakšeg podešavanja, mrežna sučelja podijeljena su u zone - CRVENA, NARANČASTA, PLAVA i ZELENA; pravila vatrozida već sadrže postavke koje određuju razmjenu između njih. Postavke su podijeljene u skupine, čiji nazivi govore sami za sebe, vrlo ih je lako razumjeti;

Zaključak

Složeni UTM sustavi postupno zamjenjuju tradicionalna rješenja poput vatrozida, pa ih vrijedi pobliže pogledati. Ovisno o specifičnim uvjetima, prikladne su različite opcije. OpenSource Endian Firewall i Untangle prilično su sposobni zaštititi male i srednje mreže. Naravno, UTM ne zamjenjuje, već nadopunjuje sigurnosne mjere instalirane na pojedinačnim računalima, stvarajući dodatnu liniju zaštite na ulazu u LAN.

Na temelju rezultata 2015 Kaspersky Lab naveo je razočaravajuće statistike: oko 58% korporativnih računala bilo je napadnuto zlonamjernim softverom barem jednom. I to su samo oni uspješno reflektirani. Od toga je trećina (29%) napadnuta putem interneta. Uočeno je da tri puta češće nisu kućna računala izložena prijetnjama, već korporativna, pa su tvrtke u opasnosti od gubitka ili uništenja podataka.

U 2017. situacija nije postala ništa sigurnija: prisjetimo se nedavne halabuke oko ozloglašenih virusa Petya, WannaCry i BadRabbit. I dalje, oko 80% tvrtki ne ažurira svoje sigurnosne sustave, a oko 30% ima jasno vidljive ranjivosti.

Mrežna sigurnost u teoriji i praksi

Nedavno je korisnicima interneta bio dovoljan običan vatrozid. No, vremena su se promijenila i sada je potrebno ozbiljnije rješenje - UTM uređaj koji objedinjuje sve funkcionalnosti namijenjene zaštiti korporativne mreže od invazije. Korištenjem sveobuhvatnog sustava za upravljanje prijetnjama, tvrtka će dobiti antivirusni program, vatrozid, sustav za prevenciju prijetnji, zaštitu od neželjene pošte i još mnogo toga “u jednom paketu”.

Za razliku od klasične metode, koja uključuje kupnju većeg broja zasebnih uređaja i njihovu integraciju u jedinstveni sustav, ovo je ekonomičnija i produktivnija opcija, koja se u osnovi temelji na tri stupa:

• Zaštita na više razina u stvarnom vremenu.
• Univerzalni filter koji ne dopušta špijunski softver i virusi.
• Zaštita od spama i neželjenog sadržaja.

Ovakav pristup eliminira potrebu za povećanjem potrošnje na hardver, angažiranje IT stručnjaka koji mogu omogućiti da cijeli ovaj sustav radi ispravno, te vas spašava od problema s redovitim padom brzine prometa.

U praksi će velika i mala poduzeća dati prednost različitim funkcionalnostima. Okretanjem složenim sustavima male organizacije se nadaju, prije svega, riješiti problem sigurnog pristupa mreži za zaposlenike i klijente. Za korporativne mreže srednje složenosti potreban je stabilan komunikacijski kanal. Velike tvrtke brinu o čuvanju tajni. Svaki zadatak u konačnici ima strogo individualno rješenje.

Praksa velikih poduzeća

Na primjer, za tvrtku Gazprom i sličnih organizacija koje daju prednost ruskom softveru, to znači smanjenje rizika koji nastaju korištenjem stranog softvera. Osim toga, ergonomija diktira potrebu za korištenjem opreme koja je standardizirana za hardversku strukturu koja se već koristi.

Problemi s kojima se velika poduzeća susreću uzrokovani su upravo veličinom organizacije. UTM ovdje pomaže u rješavanju problema vezanih uz ogroman broj zaposlenika, velike količine podaci koji se prenose preko interne mreže, te potreba za manipulacijom pojedinačnih klastera s pristupom Internetu.

Funkcionalnost koju zahtijevaju velika poduzeća:

• Proširena kontrola nad radom korisnika računala, njihovim pristupom mreži i pojedinačnim resursima.
• Zaštitite svoju internu mrežu od prijetnji, uključujući URL filtriranje i dvofaktorsku provjeru autentičnosti korisnika.
• Filtriranje sadržaja koji se prenosi preko interne mreže, upravljanje Wi-Fi mrežama.

Još jedan primjer iz naše prakse. U direkciji željezničkih kolodvora društva "RUSKE ŽELJEZNICE"(klasičan primjer velikog poslovnog projekta s ograničenim prometom), rješenje je riješilo niz sigurnosnih problema, spriječilo curenje podataka, a također je izazvalo predviđeno povećanje radne učinkovitosti zbog instalacije interne blokade.

Za poduzeća bankarski sektor Prema našem iskustvu, posebno je važno osigurati stabilan, brz i neprekinut internetski promet, što se postiže sposobnošću uravnoteženja i preraspodjele opterećenja. Važna je i zaštita od curenja informacija te kontrola njihove sigurnosti.

Trgovački kompleksi, posebno Kolomna "Rio", također su povremeno izloženi prijetnji vanjskih napada na njihovu mrežu. Ipak, najčešće je uprava trgovačkih centara zainteresirana za mogućnost uvođenja interne kontrole nad zaposlenicima koji imaju ograničenja u radu s internetom ovisno o dužnostima. Osim toga, internet se aktivno distribuira po cijelom području trgovačkog centra, što povećava rizik od kršenja perimetra. A kako bi se takve situacije uspješno spriječile, UTM rješenje predlaže korištenje upravljanja aplikacijama.

Trenutačno trgovački kompleks Rio aktivno koristi filtre, blokiranje na više razina i uklanjanje programa i aplikacija koji su na crnoj listi. Glavni rezultat u u ovom slučaju– povećana učinkovitost rada i ušteda vremena zbog činjenice da zaposlenike više ne ometaju društvene mreže i internetske trgovine trećih strana.

Potrebe uslužnog sektora

Kafići, restorani i hoteli suočeni su s potrebom da slobodno distribuiraju Wi-Fi, koji je uključen ovaj trenutak, prema ocjenama posjetitelja, jedna od najpopularnijih usluga. Među problemima koji zahtijevaju hitna rješenja su: visokokvalitetni pristup internetu i usklađenost sa zakonodavstvom Ruske Federacije. Osim toga, hotelski lanci imaju neke specifičnosti povezane s povećanim opterećenjima. Društveni mediji, objavljivanje fotografija i videa s odmora i samo surfanje ne bi trebalo uzrokovati padove i gašenja cijelog sustava.

Sve te probleme može riješiti ispravno konfiguriran UTM sustav. Kao rješenje predlaže se uvođenje identifikacije uređaja putem SMS-a, filtriranje sadržaja i prometa te odvojeni streamovi koje koriste klijenti i zaposlenici prema cenzuri i dobnim pokazateljima. Također je potrebno postaviti zaštitu za uređaje spojene na mrežu.

Bolnice, klinike i druge medicinske ustanove zahtijevaju jedinstveni sigurnosni sustav kojim se upravlja jedno središte uzimajući u obzir gransku strukturu. Rusko UTM rješenje je prioritet za takve državne agencije u vezi s politikom zamjene uvoza i usklađenosti sa zakonom o zaštiti osobnih podataka.

Prednosti UTM rješenja

Glavna stvar je očigledna: jedan uređaj zamjenjuje nekoliko odjednom, savršeno obavljajući funkcije svakog. Osim toga, povezivanje i postavljanje takvog uređaja je mnogo lakše, a svatko može raditi s njim. Prednosti sveobuhvatno rješenje neki:

• Financijski. Odvojena kupnja visokokvalitetnih sigurnosnih alata (sigurnosni sustav, antivirusna jedinica, VPN i proxy poslužitelj, firewall itd.) višestruko je veća od cijene opreme. Pogotovo kada su u pitanju uvezene opcije. UTM uređaji su puno pristupačniji, a kvalitetni domaći proizvodi još više.
• Funkcionalan. Prijetnje se sprječavaju na razini mrežnog pristupnika, što ne prekida tijek rada niti utječe na kvalitetu prometa. Brzina je stabilna i konstantna, aplikacije osjetljive na to uvijek su dostupne i rade ispravno.
• Jednostavnost i pristupačnost. Sustav temeljen na UTM-u ne samo da se brzo instalira, već se i lako upravlja, što pojednostavljuje administraciju. A domaća rješenja izrađena su na ruskom, što olakšava razumijevanje tehničkog dijela bez nepotrebnog petljanja s specifičnom terminologijom.
• Centralizirani nadzor i upravljanje. UTM rješenje omogućuje vam upravljanje udaljenim mrežama iz jednog centra bez dodatnih troškova za opremu i osoblje.

Općenito, UTM uređaji postaju središnji element informacijske sigurnosti za svaku tvrtku s mrežom od nekoliko računala do desetaka tisuća pristupnih točaka, učinkovito sprječavajući probleme i pomažući u izbjegavanju procesa otklanjanja posljedica infekcija i hakiranja.

Međutim, treba uzeti u obzir da UTM ne rješava sve probleme, budući da ne upravlja krajnjim uređajima koji su bespomoćni od beskrupuloznih korisnika. Lokalna virusna prijetnja zahtijeva prisutnost antivirusnih programa, uz antivirusni pristupnik, a kako bi se zajamčila prevencija curenja informacija, neophodna je instalacija DLP sustava. Indikativna je u tom pogledu nedavna priča sa zračnom lukom. Heathrow, gdje je pokrenuta istraga nakon što je na jednoj od ulica Londona pronađen flash disk s podacima vezanim za sigurnosne i antiterorističke mjere u zračnoj luci.

Kriteriji za odabir UTM sustava

Sustav mora zadovoljiti nekoliko parametara. Ovo je maksimalna pogodnost, pouzdanost, jednostavnost postavljanja, jasne kontrole, stalna tehnička podrška proizvođača i relativno niska cijena. Osim toga, postoji strogi zahtjev za obaveznu certifikaciju od strane FSTEC-a (FZ-149, FZ-152, FZ-188). Odnosi se na obrazovne i državne ustanove, tvrtke koje rade s osobnim podacima, zdravstvene ustanove i poduzeća javnog sektora. Za korištenje necertificiranih sustava predviđene su stroge sankcije: novčana kazna do 50 tisuća rubalja, u nekim slučajevima - oduzimanje predmeta prekršaja i obustava aktivnosti do 90 dana.

Čuvajte sebe i svoje podatke, koristite moderni sustavi sigurnost informacija i ne zaboravite instalirati ažuriranja dobavljača.

). Naš blog započet ćemo kratkim uvodom u Check Point tehnologije.

Dugo smo razmišljali isplati li se napisati ovaj članak, jer... u njemu nema ništa novo što se nije moglo pronaći na internetu. No, unatoč takvom obilju informacija, u radu s klijentima i partnerima nerijetko čujemo ista pitanja. Stoga je odlučeno napisati svojevrsni uvod u svijet Check Point tehnologija i otkriti srž arhitekture njihovih rješenja. I sve to u okviru jednog “malog” posta, brze ekskurzije, da tako kažem. Štoviše, nastojat ćemo ne ulaziti u marketinške ratove, jer... Mi nismo dobavljač, već jednostavno integrator sustava (iako jako volimo Check Point) i jednostavno ćemo pogledati glavne točke bez usporedbe s drugim proizvođačima (kao što su Palo Alto, Cisco, Fortinet itd.). Članak se pokazao prilično dugačkim, ali pokriva većinu pitanja u fazi upoznavanja s Check Pointom. Ako ste zainteresirani, onda dobrodošli u mačku...

UTM/NGFW

Kada započinjete razgovor o Check Pointu, prvo morate započeti s objašnjenjem što su UTM i NGFW i po čemu se razlikuju. To ćemo učiniti vrlo koncizno kako post ne bi ispao predug (možda ćemo u budućnosti ovo pitanje razmotriti malo detaljnije)

UTM - Unified Threat Management

Ukratko, bit UTM-a je konsolidacija nekoliko sigurnosnih alata u jednom rješenju. Oni. sve u jednoj kutiji ili nekakav all inclusive. Što se podrazumijeva pod "višestrukom obranom"? Najčešća opcija je: Vatrozid, IPS, Proxy (filtriranje URL-ova), Streaming Antivirus, Anti-Spam, VPN i tako dalje. Sve to dolazi pod jedno UTM rješenja, što je lakše s gledišta integracije, konfiguracije, administracije i nadzora, a to opet pozitivno utječe na ukupnu sigurnost mreže. Kada su se UTM rješenja tek pojavila, smatrala su se isključivo malim tvrtkama, jer... UTM-ovi nisu mogli podnijeti velike količine prometa. To je bilo iz dva razloga:

1. Metoda obrade paketa. Prve verzije UTM rješenja pakete su obrađivale sekvencijalno, svaki “modul”. Primjer: prvo paket obradi vatrozid, zatim IPS, zatim ga skenira antivirus i tako dalje. Naravno, takav je mehanizam stvarao ozbiljne zastoje u prometu i uvelike trošio resurse sustava (procesor, memorija).
2. Slab hardver. Kao što je gore spomenuto, sekvencijalna obrada paketa uvelike je trošila resurse i tadašnji hardver (1995.-2005.) jednostavno se nije mogao nositi s velikim prometom.

Ali napredak ne stoji mirno. Od tada se hardverski kapacitet značajno povećao, a procesiranje paketa se promijenilo (mora se priznati da ga nemaju svi proizvođači) i počelo omogućavati gotovo istovremenu analizu u nekoliko modula odjednom (ME, IPS, AntiVirus itd.). Moderna UTM rješenja mogu “probaviti” desetke pa čak i stotine gigabita u modu dubinske analize, što ih čini mogućim korištenjem u segmentu velikih poduzeća ili čak podatkovnih centara.

Ispod je poznati Gartner Magic Quadrant za UTM rješenja za kolovoz 2016.:

Ovu sliku neću puno komentirati, samo ću reći da su lideri u gornjem desnom uglu.

NGFW - Vatrozid sljedeće generacije

Ime govori samo za sebe - vatrozid sljedeće generacije. Ovaj koncept pojavio se mnogo kasnije od UTM-a. Glavna ideja NGFW-a je duboka analiza paketa (DPI) pomoću ugrađenog IPS-a i kontrole pristupa na razini aplikacije (Application Control). U ovom slučaju, IPS je upravo ono što je potrebno za prepoznavanje ove ili one aplikacije u toku paketa, što vam omogućuje dopuštanje ili odbijanje. Primjer: Možemo dopustiti Skype rad, ali zabrani prijenos datoteka. Možemo zabraniti korištenje Torrenta ili RDP-a. Podržane su i web aplikacije: možete dopustiti pristup VK.com, ali zabraniti igre, poruke ili gledanje videa. U biti, kvaliteta NGFW-a ovisi o broju aplikacija koje može otkriti. Mnogi vjeruju da je pojava koncepta NGFW bila uobičajena marketinški trik u čijoj je pozadini tvrtka Palo Alto započela svoj brzi rast.

Gartnerov magični kvadrant za NGFW za svibanj 2016.:

UTM protiv NGFW

Vrlo često pitanje je, što je bolje? Ovdje nema i ne može biti definitivnog odgovora. Posebno ako se uzme u obzir činjenica da gotovo sva moderna UTM rješenja sadrže NGFW funkcionalnost i većina NGFW-ova sadrži funkcije svojstvene UTM-u (Antivirus, VPN, Anti-Bot, itd.). Kao i uvijek, "vrag je u detaljima", stoga prije svega morate odlučiti što vam konkretno treba i odlučiti se za svoj budžet. Na temelju ovih odluka može se odabrati nekoliko opcija. I sve treba testirati nedvosmisleno, bez vjerovanja marketinškim materijalima.

Mi ćemo, pak, u okviru nekoliko članaka pokušati razgovarati o Check Pointu, kako ga možete isprobati i što, u načelu, možete isprobati (gotovo sve funkcionalnosti).

Tri kontrolne točke entiteta

Kada radite s Check Pointom, sigurno ćete se susresti s tri komponente ovog proizvoda:

Operativni sustav Check Point

Govoreći o operativnom sustavu Check Point, možemo se sjetiti tri odjednom: IPSO, SPLAT i GAIA.

1. IPSO- operativni sustav Ipsilon Networksa, koji je pripadao Nokiji. 2009. Check Point je kupio ovu tvrtku. Više se ne razvija.
2. SPLAT - vlastiti razvoj Check Point, temeljen na RedHat kernelu. Više se ne razvija.
3. Gaia- trenutni operativni sustav tvrtke Check Point, koji se pojavio kao rezultat spajanja IPSO i SPLAT, koji uključuje sve najbolje. Pojavio se 2012. godine i nastavlja se aktivno razvijati.

Govoreći o Gaji, treba reći da na ovaj trenutak najčešća verzija je R77.30. Relativno nedavno se pojavila verzija R80, koja se značajno razlikuje od prethodne (kako u pogledu funkcionalnosti tako iu upravljanju). Temi njihove različitosti posvetit ćemo poseban post. Još jedna važna točka je da trenutno samo verzija R77.10 ima FSTEC certifikat, a verzija R77.30 je u certifikaciji.

Mogućnosti izvršenja (Check Point Appliance, Virtualni stroj, OpenServer)

Ovdje nema ništa iznenađujuće, kao i mnogi dobavljači, Check Point ima nekoliko opcija proizvoda:

Mogućnosti implementacije (distribuirano ili samostalno)

Malo više smo već razgovarali o tome što su pristupnik (SG) i poslužitelj za upravljanje (SMS). Sada razgovarajmo o mogućnostima njihove provedbe. Postoje dva glavna načina:

Kao što sam već rekao, Check Point ima vlastiti SIEM sustav - Smart Event. Možete ga koristiti samo u slučaju distribuirane instalacije.

Načini rada (most, usmjeravanje)
Sigurnosni pristupnik (SG) može raditi u dva glavna načina:

• Preusmjeren- najčešća opcija. U ovom slučaju, pristupnik se koristi kao L3 uređaj i usmjerava promet kroz sebe, tj. Check Point je zadani pristupnik za zaštićenu mrežu.
• Most- transparentan način rada. U ovom slučaju, pristupnik je instaliran kao obični "most" i prolazi kroz promet na drugoj razini (OSI). Ova opcija se obično koristi kada ne postoji mogućnost (ili želja) za promjenom postojeće infrastrukture. Praktički ne morate mijenjati topologiju mreže i ne morate razmišljati o promjeni IP adrese.

Napominjem da u Bridge modu postoje neka ograničenja u pogledu funkcionalnosti, stoga mi kao integrator savjetujemo svim našim klijentima da koriste Routed mod, naravno, ako je to moguće.

Check Point softverske oštrice

Skoro smo došli do najvažnije teme Check Pointa, koja izaziva najviše pitanja među kupcima. Što su to "softverske oštrice"? Oštrice se odnose na određene funkcije Check Pointa.

Ove se funkcije mogu uključiti ili isključiti ovisno o vašim potrebama. Istovremeno, postoje bladeovi koji se aktiviraju isključivo na pristupniku (Network Security) i samo na upravljačkom poslužitelju. Slike u nastavku prikazuju primjere za oba slučaja:

1) Za sigurnost mreže(funkcionalnost pristupnika)

Opišimo ga ukratko, jer... svaka oštrica zaslužuje svoj članak.

• Firewall - funkcionalnost vatrozida;
• IPSec VPN - izgradnja privatnih virtualnih mreža;
• Mobilni pristup - daljinski pristup s mobilnih uređaja;
• IPS - sustav za sprječavanje upada;
• Anti-Bot - zaštita od botnet mreža;
• AntiVirus - streaming antivirus;
• AntiSpam & Email Security - zaštita korporativne e-pošte;
• Svijest o identitetu – integracija sa Aktivna usluga Imenik;
• Monitoring - nadzor gotovo svih parametara pristupnika (opterećenje, propusnost, status VPN-a itd.)
• Kontrola aplikacije - vatrozid na razini aplikacije (NGFW funkcionalnost);
• URL filtriranje - Web sigurnost(+proxy funkcionalnost);
• Data Loss Prevention - zaštita od curenja informacija (DLP);
• Threat Emulation - tehnologija sandboxa (SandBox);
• Threat Extraction - tehnologija čišćenja datoteka;
• QoS - prioritet prometa.

U samo nekoliko članaka detaljno ćemo pogledati Threat Emulation i Threat Extraction oštrice, siguran sam da će biti zanimljivo.

2) Za Upravu(kontrolna funkcija poslužitelja)

• Upravljanje mrežnom politikom - centralizirano upravljanje politikom;
• Endpoint Policy Management - centralizirano upravljanje Check Point agentima (da, Check Point proizvodi rješenja ne samo za mrežna zaštita, ali i za zaštitu radnih stanica (PC) i pametnih telefona);
• Logging & Status - centralizirano prikupljanje i obrada logova;
• Management Portal - upravljanje sigurnošću iz preglednika;
• Tijek rada - kontrola promjena politika, revizija promjena itd.;
• Korisnički imenik - integracija s LDAP-om;
• Provisioning - automatizacija upravljanja pristupnicima;
• Smart Reporter - sustav izvještavanja;
• Smart Event - analiza i korelacija događaja (SIEM);
• Usklađenost- automatska provjera postavke i izdavanje preporuka.

Sada nećemo detaljno razmatrati pitanja licenciranja, kako ne bismo napuhali članak i ne zbunili čitatelja. Najvjerojatnije ćemo ovo objaviti u posebnom postu.

Arhitektura bladeova omogućuje korištenje samo funkcija koje su vam stvarno potrebne, što utječe na proračun rješenja i ukupne performanse uređaja. Logično je da što više lopatica aktivirate, manje prometa možete “proći”. Zato je uz svaki Check Point model priložena sljedeća tablica performansi (za primjer smo uzeli karakteristike modela 5400):

Kao što vidite, ovdje postoje dvije kategorije testova: na sintetičkom prometu i na stvarnom - mješovitom. Općenito govoreći, Check Point je jednostavno prisiljen objavljivati ​​sintetičke testove, jer... neki dobavljači koriste takve testove kao mjerila, bez ispitivanja performansi svojih rješenja na stvarnom prometu (ili namjerno skrivaju takve podatke zbog njihove nezadovoljavajuće prirode).

U svakoj vrsti testa možete primijetiti nekoliko opcija:

1. testirati samo za vatrozid;
2. Firewall+IPS test;
3. Firewall+IPS+NGFW (Application control) test;
4. testirajte Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Pažljivo pogledajte ove parametre kada birate svoje rješenje ili potražite savjet.

Mislim da ovdje možemo završiti uvodni članak o Check Point tehnologijama. Zatim ćemo pogledati kako možete testirati Check Point i kako se nositi s modernim prijetnjama sigurnosti informacija (virusi, phishing, ransomware, zero-day).

p.s. Važna točka. Unatoč stranom (izraelskom) podrijetlu, rješenje je certificirano u Ruskoj Federaciji od strane regulatornih tijela, što automatski legalizira njegovu prisutnost u državnim institucijama (komentar).