ILYA ROSENKRANTS, ALTELL NEO productmanager bij AltEl LLC, gecertificeerde (Check Point Sales Professional, McAfee Sales Professional), beschikt over Cisco-certificaten (CCNA, CCNP, IPTX), [e-mailadres beveiligd]

Wij beschermen netwerken langs de perimeter
Overzicht van UTM-technologieën ALTELL-oplossing NEO

De geschiedenis van de ontwikkeling van UTM-apparaten (Unified Threat Management, unified threat protection tools) begon ongeveer 25 jaar geleden, toen DEC in 1988 zijn pakketfilter uitvond, opererend op het derde niveau van het OSI-model (Open system interconnection) en uitsluitend analyseerde de pakketkop

Het werd de eerste commerciële “firewall” (FW). Destijds werd een dergelijke minimalistische aanpak volledig gerechtvaardigd door de bestaande dreigingsrealiteit, waardoor dergelijke staatloze inspectiefirewalls een integraal onderdeel van het informatiebeveiligingssysteem werden.

Bijna parallel aan deze gebeurtenissen werden in 1989-1990 firewalls die werkten met OSI laag 4-gegevens, de zogenaamde stateful inspection firewall, in de wereld geïntroduceerd. Hoewel het verkeerd zou zijn om te denken dat inde mogelijkheid van het monitoren en filteren van verkeer op applicatieniveau niet in overweging hadden genomen, werd de implementatie van deze methode destijds (begin jaren negentig) uitgesloten vanwege onvoldoende prestaties. computersystemen. Pas begin jaren 2000 maakten de prestaties van hardwareplatforms het mogelijk om de eerste commerciële UTM-oplossingen op de markt te brengen.

Momenteel blijven firewalls, die hun doeltreffendheid al lang hebben bewezen, samen met antivirussoftware een van de meest gebruikelijke beschermingsmiddelen. informatiesystemen. De opkomst van nieuwe soorten complexe aanvallen en de groei van het verkeer op applicatieniveau (IP-telefonie, videostreaming, cloud zakelijke toepassingen) reduceren vaak de effectiviteit van traditionele ME’s tot nul. Om dergelijke bedreigingen adequaat te kunnen tegengaan, ontwikkelen de leidende IT-bedrijven ter wereld nieuwe technologieën die gericht zijn op het identificeren en voorkomen van aanvallen op de meest kwetsbare gebieden. verschillende niveaus(van aanvallen via communicatiekanalen tot applicaties).

Eén van de oplossingen voor het beschreven probleem was integratie in firewall functies van andere gespecialiseerde apparaten, bijvoorbeeld een webfilter en een cryptografische gateway. Het resulterende apparaattype wordt UTM genoemd. De term ‘nieuwe generatie firewalls’ (NGFW, Next Generation Firewall) wordt ook populair en filtert verkeer op het zevende niveau van het OSI-model.

Aan het begin van het tijdperk van UTM-apparaten (2004-2005) waren al hun componenten al gemaakt: firewalls met stateful inspectiemodus, mechanismen voor het bouwen van veilige netwerken via openbare communicatiekanalen (VPN - virtueel particulier netwerk), netwerkcomplexen werden actief gebruikt inbraakdetectie en -preventie (IDS/IPS – inbraakdetectie/preventiesysteem), webfilters.

Tegelijkertijd werden werkplekken beschermd door een reeks beveiligingstools op applicatieniveau (antivirus, antispam, antiphishing). Maar de oplossing voor één probleem (het waarborgen van het vereiste niveau van informatiebeveiliging) leidde tot de opkomst van andere: de vereisten voor de kwalificaties van technisch personeel namen sterk toe, het energieverbruik van apparatuur nam toe, de vereisten voor het volume van serverruimtes namen toe, en het werd moeilijker om het proces van het updaten van de software- en hardwareonderdelen van een geïntegreerd beveiligingssysteem te beheren.

Daarnaast problemen met het integreren van nieuwe informatiebeveiligingstools in een bestaande infrastructuur, vaak bestaande uit producten verschillende ontwikkelaars. Om deze reden ontstond het idee om alle genoemde functies in één apparaat te combineren, vooral omdat hardwareplatforms tegen die tijd een voldoende prestatieniveau hadden bereikt en tegelijkertijd meerdere taken aankonden.

Als gevolg hiervan zijn er oplossingen op de markt verschenen die het mogelijk maken de kosten van informatiebescherming te verlagen en tegelijkertijd het niveau van informatiebeveiliging te verhogen, aangezien de UTM-‘stuffing’ aanvankelijk werd gedebugd en geoptimaliseerd voor de gelijktijdige werking van alle functies die daarin zijn opgenomen.

De vraag en juistheid van deze aanpak worden bevestigd door cijfers van het internationale onderzoeksbureau IDC, volgens welke in het eerste kwartaal van 2014 de groei van het UTM-apparaatsegment 36,4% bedroeg (vergeleken met dezelfde periode van het voorgaande jaar). Ter vergelijking: de totale groei van de markt voor in dezelfde periode bedroeg 3,4%, en UTM-apparaten vertegenwoordigen nu 37% van deze markt. Tegelijkertijd bedroeg de omzetdaling in het Firewall/VPN-segment 21,2%.

Op basis van de bovenstaande trends op de informatiebeveiligingsmarkt introduceerden veel fabrikanten aan het einde van het eerste decennium van de nieuwe eeuw hun volgende generatie firewalls. Dus, Russisch bedrijf AltEl heeft het ALTELL NEO-product uitgebracht.

Tegelijkertijd wordt bij ihet gebruik van geïntegreerde systemen van verschillende fabrikanten om het beschermingsniveau te verhogen steeds populairder: leveranciers van hardwarebeveiliging zijn actiever gaan samenwerken met gespecialiseerde softwareontwikkelaars. Er zijn bijvoorbeeld Kaspersky Lab-technologieën geïntroduceerd in het ALTELL NEO-product om gegevens op applicatieniveau te beschermen: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

Momenteel bieden veel spelers op de markt nieuwe generatie firewalls aan, waaronder Palo Alto, Check Point, Cisco en Intel Security. In de huidige realiteit, waarin de wisselkoers van de dollar zeer volatiel is, beschouwen veel klanten, en vooral overheidsinstanties, importvervanging als een kans om te voldoen aan de eisen van toezichthouders en interne. In deze situatie, overweging Russische fabrikanten UTM-oplossingen lijken logisch.

Laten we eens kijken naar de belangrijkste functies van ALTELL NEO UTM-firewalls.

Antivirus/antispam

Momenteel kiezen veel bedrijven voor UTM-apparaten om de netwerkperimeter te beschermen, inclusief de mogelijkheid om inkomende en uitgaande e-mail te filteren.

De eerste Russische oplossing met volledige functionaliteit op dit gebied is de krachtige nieuwe generatie firewall ALTELL NEO. Hij heeft er twee in zijn arsenaal onafhankelijk antivirusprogramma en antispamoplossingen: respectievelijk ClamAV (gratis product) en Kaspersky AV, SpamAssassin en Kaspersky AS.

Standaardmogelijkheden en functies van UTM-apparaten:

• Ondersteuning voor transparant werken (onzichtbaar voor eindgebruiker) modus.
• Ondersteuning voor DNS Black List.
• Ondersteuning voor zwarte, witte en grijze lijsten.
• Controleren van de aanwezigheid van een DNS-record over de verzendende server.
• SPF-technologie (Sender Policy Framework) - een uitbreiding voor het verzendprotocol e-mail via SMTP, waarmee u de authenticiteit van het domein van de afzender kunt bepalen. SPF is een van de manieren om de afzender van een e-mail te identificeren en te verstrekken extra kans Het filteren van de mailstroom op de aanwezigheid van spamberichten. Met behulp van SPF wordt e-mail onderverdeeld in ‘toegestaan’ en ‘geweigerd’, afhankelijk van het domein van de ontvanger of afzender.
• De SURBL-service (Spam URI Realtime Blocklists) is een service die niet informatie bevat over de IP-adressen waar spam vandaan komt, maar over de sites waarvoor in spamberichten wordt geadverteerd. Omdat de meeste spam-e-mails (en met name phishing-e-mails) oproepen om een ​​website te bezoeken, en er minder van deze websites zijn dan de IP-adressen van de afzenders van spam, kan SURBL efficiënter werken dan RBL - waarbij tot 80-90% van de spam wordt gefilterd op valse positieven zijn niet hoger dan 0,001-0,05%.
• Er is geen technische mogelijkheid om berichten in het filter kwijt te raken.
• Het gebruik van digitale handtekeningen in verzonden brieven met behulp van DKIM-technologie (DomainKeys Identified Mail). Met deze technologie kunt u de authenticiteit (authenticatie) van de afzender van de brief bevestigen, evenals de afwezigheid van wijzigingen in de e-mail tijdens de overdracht van de afzender naar de ontvanger.
• Geavanceerde filtertechnieken: Bayesiaanse filtering, Razor.

Door het gebruik van antivirus-/antispamtechnologie kunnen bedrijven, bijvoorbeeld banken, voldoen aan de vereisten van de Bank of Russia ter bescherming tegen kwaadaardige code. In tegenstelling tot bijvoorbeeld STO BR IBBS en 382-P, waar al weinig ruimte aan dit onderwerp werd toegewezen meer dan een jaar we hebben een volwaardig document: brief 49-T van 24 maart 2014 “Over aanbevelingen voor het organiseren van het gebruik van bescherming tegen kwaadaardige code bij bankactiviteiten.” De documenten beschrijven zowel technische als organisatorische vereisten.

Het gebruik van UTM-oplossingen met antivirus stelt zowel de internetprovider in staat verkeer te verzorgen als de bank om te voldoen aan de aanbevelingen van de toezichthouder met betrekking tot segmentatie en de mogelijkheid om uitbraken van kwaadaardige code te lokaliseren.

Inbraakdetectie- en preventiesysteem – IDPS

Inbraakdetectie- en preventiesystemen, IDS/IPS of IDPS (Inbraakdetectie/preventiesysteem, soortgelijke Russische term - IDS/SPV), vormen een noodzakelijke schakel bij het beschermen van het interne netwerk van een organisatie. Het belangrijkste doel van dergelijke systemen is het identificeren van gevallen van ongeautoriseerde toegang tot het bedrijfsnetwerk en het nemen van tegenmaatregelen: het informeren van inover het feit van een inbraak, het verbreken van de verbinding, het opnieuw configureren van de firewall om verdere acties van de aanvaller te blokkeren.

ALTELL NEO implementeert verschillende IDPS-technologieën, die verschillen in de soorten gedetecteerde gebeurtenissen en in de methodologie die wordt gebruikt om incidenten te identificeren. Naast de functies van het monitoren en analyseren van gebeurtenissen om incidenten te identificeren, voert IDPS van AltEl de volgende functies uit:

• Informatie over gebeurtenissen vastleggen. Normaal gesproken wordt de informatie lokaal opgeslagen, maar kan naar elk gecentraliseerd systeem voor logboekverzameling of SIEM-systeem worden verzonden.
• Het informeren van beveiligingsbeheerders over. Dit type melding wordt alert genoemd en kan via verschillende kanalen worden uitgevoerd: e-mail, SNMP-traps, systeemlogberichten, IDPS-systeembeheerconsole. Programmeerbare reacties met behulp van scripts zijn ook mogelijk.
• Rapporten genereren. Er worden rapporten gemaakt om alle informatie voor de gevraagde gebeurtenis(sen) samen te vatten.

IPS-technologie vormt een aanvulling op de IDS-technologie in die zin dat deze het niet alleen mogelijk maakt een dreiging onafhankelijk te identificeren, maar deze ook met succes te blokkeren. In dit scenario is de IPS-functionaliteit die in ALTELL NEO is geïmplementeerd veel breder dan IDS en omvat deze de volgende functies:

• Een aanval blokkeren (de sessie beëindigen van een gebruiker die het beveiligingsbeleid schendt, de toegang tot bronnen, hosts, applicaties blokkeren).
• De beschermde omgeving wijzigen (de configuratie van netwerkapparaten wijzigen om een ​​aanval te voorkomen).
• Een aanval neutraliseren (bijvoorbeeld verwijderen geïnfecteerd bestand en het verzenden ervan naar de ontvanger die al is gewist of in proxymodus werkt, d.w.z. analyse van inkomende verzoeken en het afsnijden van gegevens in pakketheaders).

De voordelen van elke technologie brengen onvermijdelijk enkele nadelen met zich mee. Een IDPS-systeem identificeert bijvoorbeeld niet altijd nauwkeurig een informatiebeveiligingsincident en kan normaal verkeer/gebruikersgedrag soms voor een incident aanzien.

Bij de eerste optie is het gebruikelijk om te spreken over vals-negatief (vals-negatief resultaat), bij de tweede optie spreekt men over vals-positief ( vals alarm). Geen van de huidige oplossingen kan FP- of FN-gebeurtenissen volledig elimineren. Daarom moet de organisatie per geval zelfstandig beslissen welke van deze risicogroepen de grootste bedreiging vormt, en de oplossing daarop aanpassen.

Er zijn verschillende technieken om incidenten te detecteren met behulp van IDPS-technologieën. De meeste IDPS-implementaties gebruiken een combinatie van deze technologieën om een ​​hogere mate van detectie van bedreigingen te bieden. Het is vermeldenswaard dat ALTELL NEO-apparatuur alle hieronder beschreven technologieën implementeert.

Op handtekeningen gebaseerde detectie van e-mailaanvallen

Een handtekening is een patroon dat, wanneer gedetecteerd in het verkeer of postbericht, identificeert op unieke wijze een specifieke aanval. Op handtekeningen gebaseerde aanvalsdetectie is het proces waarbij inhoud wordt vergeleken met een handtekeningendatabase die in de oplossing is opgeslagen. Voorbeelden van handtekeningen zijn:

• telnet-verbinding door de rootgebruiker, wat een schending zou zijn van bepaald bedrijfsbeveiligingsbeleid;
• binnenkomende e-mail met onderwerp " gratis foto's» met het bijgevoegde bestand freepics.exe;
• besturingssysteemlogboek met code 645, wat aangeeft dat hostcontrole is uitgeschakeld.

Deze methode is zeer effectief in het detecteren van bekende bedreigingen, maar zeer ineffectief tegen aanvallen waarvoor nog geen handtekeningen bestaan.

Met het antivirus-/antispamsysteem dat in ALTELL NEO is ingebouwd, kunt u 120 tot 800 brieven per minuut filteren.

Het detecteren van een aanval op basis van afwijkend gedrag

Deze methode is gebaseerd op het vergelijken van de normale activiteit van netwerkelementen met gebeurtenissen die afwijken van het normale niveau. IPS die deze methode gebruikt, heeft de zogenaamde. profielen die het normale gedrag van gebruikers, netwerkknooppunten, verbindingen, applicaties en verkeer weerspiegelen. Deze profielen worden aangemaakt tijdens een “trainingsperiode” gedurende een bepaalde periode.

Een profiel kan bijvoorbeeld op weekdagen een toename van 13% in het webverkeer registreren. IDPS maakt verder gebruik statistische methoden bij het vergelijken van verschillende kenmerken van echte activiteit met een gegeven drempelwaarde. Wanneer deze drempelwaarde wordt overschreden, wordt een bijbehorend bericht verzonden naar de beheerconsole van de beveiligingsbeheerder. Profielen kunnen worden gemaakt op basis van kenmerken uit de analyse van gebruikersgedrag, zoals het aantal verzonden e-mails, het aantal mislukte inlogpogingen, het niveau van het CPU-gebruik van de server in een bepaalde periode en vele andere.

Met deze methode kunt u aanvallen blokkeren die de filtering van handtekeninganalyse omzeilen.

De IDS/IPS die door ons bedrijf wordt gebruikt in de nieuwe generatie ALTELL NEO-firewalls is gebaseerd op de open Suricata-technologie, aangepast om aan de behoeften van het bedrijf te voldoen. In tegenstelling tot de meer gebruikelijke open IDS/IPS Snort heeft Suricata een aantal voordelen. U kunt er bijvoorbeeld hogere prestaties mee bereiken door de verkeersverwerking over processorkernen te parallelliseren en minder valse positieven te genereren.

Het is de moeite waard om te bedenken dat voor een correcte werking van IDS/IPS up-to-date handtekeningendatabases nodig zijn. ALTELL NEO maakt hiervoor gebruik van de open National Vulnerability Database en Bugtraq. De databases worden twee tot drie keer per dag bijgewerkt, wat een optimaal niveau van informatiebeveiliging garandeert.

Het ALTELL NEO-systeem kan in twee modi werken: inbraakdetectiemodus (IDS) en inbraakpreventiemodus (IPS). Het inschakelen van zowel de IDS- als de IPS-functies gebeurt op de apparaatinterface die door de beheerder is geselecteerd: een of meer. Het is ook mogelijk om IPS-functies aan te roepen bij het configureren van firewallregels specifiek type verkeer dat gecontroleerd moet worden. Het functionele verschil tussen IDS en IPS is dat in de IPS-modus netwerkaanvallen in realtime kunnen worden geblokkeerd.

Veiligheidsregels zijn ontwikkeld door de Emerging Threats-gemeenschap. De regels zijn gebaseerd op jarenlange gezamenlijke ervaring van experts op het gebied van netwerkbeveiliging en worden voortdurend verbeterd. De regels worden automatisch bijgewerkt (hiervoor moet een internetverbinding worden geconfigureerd in ALTELL NEO). Indien nodig kunt u een handmatige update instellen.

Aan elke regel wordt een prioriteit toegewezen op basis van de aanvalsklasse, op basis van gebruiksfrequentie en belang. Standaardprioriteitsniveaus variëren van 1 tot 3, waarbij prioriteit 1 hoog is, prioriteit 2 gemiddeld en prioriteit 3 ​​laag.

Op basis van deze prioriteiten kan een actie worden toegewezen die het IDS/IPS-systeem in realtime zal ondernemen wanneer het netwerkverkeer detecteert dat overeenkomt met de regelhandtekening. De actie kan een van de volgende zijn:

• Waarschuwing (IDS-modus) – verkeer wordt toegestaan ​​en doorgestuurd naar de ontvanger. Er wordt een waarschuwing naar het gebeurtenislogboek geschreven. Deze actie is de standaardactie voor alle regels.
• Drop (IPS-modus) – pakketanalyse stopt, er wordt geen verdere vergelijking gemaakt voor naleving van de resterende regels. Het pakket wordt verwijderd en er wordt een waarschuwing naar het logboek geschreven.
• Weigeren (IPS-modus) – in deze modus wordt het pakket verwijderd en wordt er een waarschuwing naar het logboek geschreven. In dit geval wordt een overeenkomstig bericht verzonden naar de afzender en ontvanger van het pakket.
• Pass (IDS- en IPS-modus) – in deze modus stopt de pakketanalyse en voert het systeem geen verdere vergelijking uit om te controleren of aan de resterende regels wordt voldaan. Het pakket wordt doorgestuurd naar zijn bestemming en er wordt geen waarschuwing gegenereerd.

Rapporten over verkeer dat door het ALTELL NEO inbraakdetectie- en preventiesysteem gaat, kunnen worden gegenereerd in een extern monitoring- en controlesysteem (EMS) van ons eigen ontwerp. SVMiU verzamelt initiële gegevens (waarschuwing) van een of meer ALTELL NEO-apparaten.

ALTELL NEO inbraakdetectie- en preventiesysteem werkt met snelheden vanaf 80 Mbit/s
tot 3200 Mbit/s.

Webfiltersysteem

ALTELL NEO heeft een ingebouwde webproxymodule (tussenpersoon) om gebruikersverzoeken te filteren en gegevens ontvangen van het World Wide Web in de cache op te slaan.

De tussenpersoon kan in verschillende modi opereren, die kunnen worden gecombineerd om verschillende problemen op te lossen. Op basis van de toepassingscontext worden de volgende bedrijfsmodi onderscheiden:

• interactie met clientsoftware (bijvoorbeeld webbrowsers van gebruikers): “transparant” en “ondoorzichtig”;
• proxy-gebruikersauthenticatie: zonder authenticatie, met LDAP-gebaseerde authenticatie, met NTLM-gebaseerde authenticatie;
• verwerken van gebruikersverzoeken (inhouds-URL, bron-IP-adres, enz.): met en zonder filtering;
• het verwerken van webinhoud die wordt ontvangen als reactie op gebruikersverzoeken: met en zonder caching;
• met SSL-proxymodus ingeschakeld en uitgeschakeld.

De UTM-markt is groot en groeit, en er zijn zowel hardware- als softwareoplossingen beschikbaar. Welke te gebruiken is een zaak voor elke specialist en elke organisatie om te beslissen op basis van hun voorkeuren en mogelijkheden. Het belangrijkste is om een ​​server met geschikte parameters te hebben, omdat nu één systeem meerdere controles zal uitvoeren en de belasting aanzienlijk zal toenemen.

Een van de voordelen van moderne UTM-apparaten is hun veelzijdigheid, en ALTELL NEO is een goed voorbeeld van deze aanpak. Afhankelijk van de grootte van het bedrijf kunnen oplossingen van verschillende klassen worden gebruikt: van desktop- tot 2U-serversystemen met prestaties tot 18,5 Gbit/s. Met de technologieën van Kaspersky Lab die ten grondslag liggen aan de antivirusfunctionaliteit van ALTELL NEO kunt u antivirusdatabases 10 tot 25 keer per dag bijwerken. De gemiddelde updategrootte is echter doorgaans niet groter dan 50 KB, wat een van de beste frequentie/grootte-verhoudingen in de branche is.

Er is een mening dat UTM en NGFW hetzelfde zijn. Deze mening wil ik ontkrachten.

Wat was er eerst?

Dat klopt, eerst was er UTM (Unified Threat Management). Dit is een alles-in-één systeem. Iemand heeft slim bedacht om meerdere beveiligingsengines tegelijk op één server te installeren. Beveiligingsprofessionals hebben nu de mogelijkheid om gelijktijdig vanuit één box de controle en bediening van meerdere beveiligingsengines te ontvangen. Nu werken de firewall, VPN, IPS, antivirus, webfilter en antispam samen. Iemand anders gebruikt andere zoekmachines, bijvoorbeeld DLP. Tegenwoordig zijn een SSL- en SSH-decoderingsengine en een engine voor het parseren en blokkeren van applicaties verplicht op alle 7 lagen van het OSI ISO-model. In de regel zijn engine afkomstig van verschillende leveranciers of zelfs gratis, bijvoorbeeld IPS van SNORT, clamav antivirus of iptables firewall. Omdat de firewall ook een router of switch voor verkeer is, is de dynamische routeringsengine meestal ook van een bepaalde fabrikant. Naarmate de vraag groeide, verschenen er grote spelers op de markt, die er meerdere konden opkopen goede ontwikkelingen voor de bediening van de benodigde engine en combineren hun werk binnen één UTM-apparaat. Check Point kocht bijvoorbeeld IPS van NFR, Cisco kocht IPS van Sourcefire. Populaire merken zijn zichtbaar op het Gartner UTM-plein. Volgens Gartner zijn Check Point, Fortinet en Sophos de UTM-leiders in 2017.

Nadelen van UTM-architectuur. Waarom zijn NGFW’s ontstaan?

Fig. 1. Voorbeeld van UTM-werkarchitectuur.

De eerste architectonische uitdaging van UTM was dat alle motoren binnenin om de beurt naar elkaar zenden netwerkpakketten en wachtten tot de vorige motor klaar was met werken voordat we onze eigen motor begonnen. Als gevolg hiervan geldt dat hoe meer functies een leverancier in zijn apparaat inbouwt, hoe langzamer het werkt. Als gevolg hiervan moeten gebruikers van dergelijke apparaten IPS en antivirus of een deel van hun handtekening uitschakelen om het verkeer überhaupt te laten stromen. Dat wil zeggen, ze leken te betalen voor een beveiligingsapparaat, maar gebruikten het alleen als router. Het was nodig om iets te bedenken zodat de beschermingsmotoren niet op elkaar zouden wachten en parallel zouden werken.
Een nieuwe zet van NGFW-fabrikanten is dat ze gespecialiseerde chips gebruiken die tegelijkertijd naar hetzelfde verkeer kijken. Dit werd mogelijk omdat elke processor verantwoordelijk begon te worden voor zijn eigen functie: IPS-handtekeningen werden in de ene verwerkt, antivirushandtekeningen in de andere en URL-handtekeningen in de derde. U kunt alle handtekeningen in alle zoekmachines inschakelen - het verkeer is volledig beschermd zonder dat dit ten koste gaat van de prestaties. Programmeerbare chips van dit type worden FPGA (Programmable Logic Integrated Circuit) of in de Engelse literatuur FPGA genoemd. Het verschil met ASIC's is dat ze direct opnieuw kunnen worden geprogrammeerd en nieuwe functies kunnen uitvoeren, bijvoorbeeld het controleren van nieuwe handtekeningen na het updaten van de microcode of andere functies. Dit is wat NGFW gebruikt: alle updates worden rechtstreeks in de FPGA-chips geflasht.

Figuur 2. Een voorbeeld van de architectuur van de Palo Alto Networks NGFW.

De tweede architectonische uitdaging van UTM het werd dat voor alle bestandsbewerkingen de harde schijf nodig was om te werken. Wat is de leessnelheid van de harde schijf? 100 Megabytes per seconde. Wat doet UTM als u een snelheid van 10 Gbps in uw datacenter heeft? Als 300 mensen in uw bedrijf besluiten een map met bestanden te downloaden via het Microsoft-netwerk (SMB-protocol), wat gaat UTM dan doen? Slechte UTM's worden eenvoudigweg op 100% geladen en stoppen met werken. In geavanceerde UTM's zijn in dit geval verschillende mechanismen ingebouwd om de werking van beveiligingsengines automatisch uit te schakelen: antivirus-bypass, ips-bypass en andere, die beveiligingsfuncties uitschakelen wanneer de hardwarebelasting zijn mogelijkheden overschrijdt. Wat als u niet alleen het bestand moet opslaan, maar ook het archief moet uitpakken? De werksnelheid neemt verder af. Daarom wordt UTM vooral gebruikt in kleine bedrijven waar snelheden niet belangrijk waren, of waar beveiliging een optie is.

De praktijk leert dat zodra de netwerksnelheid toeneemt, je in UTM alle motoren moet uitschakelen behalve routing en de packet firewall, of gewoon een gewone firewall moet installeren. Dat wil zeggen, het is al lang de taak om op de een of andere manier het werk van bestandsantivirus te versnellen.

Een nieuwe architectonische verschuiving voor de eerste NGFW-fabrikant, die in 2007 verscheen, was dat bestanden niet langer op schijf werden opgeslagen, dat wil zeggen dat alle verkeersanalyse, decodering en assemblage van bestanden voor antivirusscans in het geheugen werden uitgevoerd. Dit verbeterde de prestaties van beveiligingsapparatuur aanzienlijk en ontkoppelde deze van de prestaties van harde schijven. Netwerksnelheden groeien sneller harde snelheden schijven. Alleen NGFW kan de veiligheidswerkers redden. Momenteel zijn er volgens Gartner twee leiders in NGFW: Palo Alto Networks en Check Point.

Hoe werken ze met laag 7-applicaties in UTM en NGFW?

Met de komst van NGFW hebben klanten een nieuwe kans: het definiëren van Layer 7-applicaties. Netwerkingenieurs bestuderen het zevenlagenmodel netwerk interacties OSI-ISO. Op niveau 4 van dit model werken ze TCP-protocollen en UDP, dat als voldoende wordt beschouwd voor verkeersanalyse en verkeersbeheer voor de afgelopen 20 jaar van IP-netwerken. Dat wil zeggen, een gewone firewall toont eenvoudigweg IP-adressen en poorten. Wat gebeurt er op de volgende 5-7 niveaus? De nieuwe generatie firewall ziet alle abstractieniveaus en laat zien welke applicatie welk bestand heeft overgedragen. Dit verbetert het inzicht van IT in netwerkinteracties aanzienlijk en verbetert de veiligheid door tunneling binnen open applicaties bloot te leggen en hen in staat te stellen de applicatie te blokkeren in plaats van alleen de poort. Hoe blokkeer je bijvoorbeeld Skype of Bittorent met een gewone firewall van de oude generatie? Ja, absoluut niet.

UTM-leveranciers hebben uiteindelijk een applicatiedefinitie-engine toegevoegd. Ze hebben echter twee verkeersbeheermotoren: poort 4 aan TCP-niveau, UDP en ICMP en op het niveau van het zoeken naar applicatie-inhoud in het verkeer zoals teamviewer, tor, skype. Het blijkt dat UTM verschillende beleidsregels heeft: het ene beheert poorten, het tweede beheert applicaties. En dit zorgt voor veel problemen, waardoor niemand het applicatiebeheerbeleid gebruikt.

Ik voeg een presentatie bij over het onderwerp visualisatie op applicatieniveau. Dit raakt ook aan het onderwerp Shadow IT. Maar daarover later meer..

Het moderne internet is beladen met veel bedreigingen, dus beheerders besteden het leeuwendeel van hun tijd aan het waarborgen van de netwerkbeveiliging. De opkomst van multifunctionele UTM-beveiligingsapparaten trok meteen de aandacht van beveiligingsspecialisten omdat... ze combineren meerdere beveiligingsmodules met eenvoudige implementatie en beheer. Tegenwoordig zijn er veel implementaties te vinden, dus kiezen is soms niet zo eenvoudig. Laten we proberen de kenmerken van populaire oplossingen te begrijpen.

Wat is UTM?

Gezien de groei van netwerk- en virusaanvallen, spam, de noodzaak om te organiseren veilige uitwisseling hebben bedrijven behoefte aan beveiliging die betrouwbaar en eenvoudig te beheren is. Het probleem is vooral acuut in de netwerken van kleine en middelgrote bedrijven, waar er vaak geen technische en financiële mogelijkheden zijn om heterogene beveiligingssystemen in te zetten. En er zijn meestal niet genoeg opgeleide specialisten in dergelijke organisaties. Het was voor deze omstandigheden dat multifunctionele multi-level netwerkapparaten werden ontwikkeld, genaamd UTM (Unified Threat Management, unified security device). UTM is uit de firewalls gegroeid en combineert tegenwoordig de functies van verschillende oplossingen: een firewall met DPI (Deep Packet Inspection), een inbraakbeschermingssysteem (IDS/IPS), antispam, antivirus en inhoudfiltering. Vaak hebben dergelijke apparaten de mogelijkheid om een ​​VPN, gebruikersauthenticatie, taakverdeling, verkeersadministratie, enz. te organiseren. Alles-in-één apparaten met enkele console Dankzij de instellingen kunt u ze snel in gebruik nemen en kunt u vervolgens ook eenvoudig alle functies updaten of nieuwe toevoegen. Het enige dat van een specialist wordt verlangd, is inzicht in wat en hoe te beschermen. De kosten van UTM zijn doorgaans lager dan die van de aanschaf van meerdere applicaties/apparaten, dus de totale kosten zijn lager.

De term UTM werd bedacht door Charles Kolodgy van het analysebedrijf IDC (International Data Corporation) in het document “ Wereldwijd Threat Management Security Appliances 2004-2008 Forecast”, gepubliceerd in september 2004, om veelzijdige beveiligingstoepassingen te identificeren die het groeiende aantal netwerkaanvallen aankunnen. Aanvankelijk werd aangenomen dat er maar drie functies zouden zijn (firewall, DPI en antivirus), maar nu zijn de mogelijkheden van UTM-apparaten veel breder.

De UTM-markt is vrij groot en vertoont een jaarlijkse groei van 25-30% (waarbij geleidelijk de ‘pure’ firewalls worden vervangen), en daarom hebben bijna alle grote spelers hun oplossingen, zowel hardware als software, al gepresenteerd. Welke je moet gebruiken is vaak een kwestie van smaak en vertrouwen in de ontwikkelaar, evenals de beschikbaarheid van adequate ondersteuning en uiteraard specifieke voorwaarden. Het enige punt is dat u een betrouwbare en productieve server moet kiezen, rekening houdend met de geplande belasting, omdat nu één systeem meerdere controles zal uitvoeren, en dit vereist extra middelen. In dit geval moet je voorzichtig zijn; de kenmerken van UTM-oplossingen geven meestal de doorvoer van de firewall aan, en de mogelijkheden van IPS, VPN en andere componenten zijn vaak een orde van grootte lager. De UTM-server is een enkel toegangspunt, waarvan het falen de organisatie feitelijk zonder internet zal achterlaten, dus verschillende herstelopties zullen ook niet overbodig zijn. Hardware-implementaties hebben vaak extra coprocessors die worden gebruikt om bepaalde soorten gegevens te verwerken, zoals encryptie of contextanalyse, om de belasting van de hoofd-CPU te verlichten. Maar de software-implementatie kan op elke pc worden geïnstalleerd, met de mogelijkheid tot een verdere probleemloze upgrade van elk onderdeel. In dit opzicht zijn OpenSource-oplossingen (Untangle, pfSense, Endian en anderen) interessant, waardoor aanzienlijke besparingen op software mogelijk zijn. De meeste van deze projecten bieden ook commerciële versies met geavanceerde functies en technische ondersteuning.

Platform: FortiGate
Projectwebsite: fortinet-russia.ru
Licentie: betaald
Implementatie: hardware

Het Californische bedrijf Fortinet, opgericht in 2000, is vandaag de dag een van de grootste leveranciers van UTM-apparaten gericht op verschillende werklasten, van kleine kantoren (FortiGate-30) tot datacenters (FortiGate-5000). FortiGate-apparaten zijn een hardwareplatform dat bescherming biedt tegen netwerkbedreigingen. Het platform is uitgerust met een firewall, IDS/IPS, antivirusverkeersscanning, antispam, webfilter en applicatiecontrole. Sommige modellen ondersteunen DLP, VoIP, traffic shaping, WAN-optimalisatie, fouttolerantie, gebruikersauthenticatie voor toegang tot netwerkdiensten, PKI en andere. Met het actieve profielmechanisme kunt u atypisch verkeer detecteren en de reactie op een dergelijke gebeurtenis automatiseren. De antivirus kan bestanden van elke grootte scannen, inclusief archieven, terwijl de prestaties hoog blijven. Met het webfiltermechanisme kunt u de toegang tot meer dan 75 categorieën websites instellen en quota's opgeven, ook afhankelijk van het tijdstip van de dag. Toegang tot entertainmentportals kan bijvoorbeeld alleen buiten werktijd worden toegestaan. De applicatiecontrolemodule detecteert typisch verkeer (Skype, P2p, IM, enz.) ongeacht de poort. Er zijn verkeersvormende regels gespecificeerd voor individuele toepassingen en categorieën. Veiligheidszones en virtuele domeinen kunt u het netwerk in logische subnetten verdelen. Sommige modellen hebben schakelinterfaces LAN-seconde niveau en WAN-interfaces, routering via RIP-, OSPF- en BGP-protocollen wordt ondersteund. De gateway kan worden geconfigureerd in een van de drie opties: transparante modus, statische en dynamische NAT, waardoor u FortiGate probleemloos in elk netwerk kunt implementeren. Om toegangspunten te beschermen, wordt een speciale aanpassing met WiFi gebruikt: FortiWiFi.
Ter dekking van systemen (PC onder Windows-besturing, Android-smartphones) die buiten het beveiligde netwerk werken, kan daarop het FortiClient-agentprogramma worden geïnstalleerd, inclusief compleet setje(firewall, antivirus, SSL en IPsec VPN, IPS, webfilter, antispam en nog veel meer). FortiManager en FortiAnalyzer worden gebruikt om meerdere Fortinet-apparaten centraal te beheren en eventlogs te analyseren.
Naast de web- en CLI-interface kunt u voor de basisconfiguratie van FortiGate/FortiWiFi gebruik maken van het programma FortiExplorer (beschikbaar in Win en Mac OS X), dat toegang biedt tot de GUI en CLI (opdrachten lijken op Cisco).
Een van de functies van FortiGate is een gespecialiseerde set FortiASIC-chips die inhoudsanalyse en netwerkverkeerverwerking bieden en realtime detectie van netwerkbedreigingen mogelijk maken zonder de netwerkprestaties te beïnvloeden. Alle apparaten gebruiken een gespecialiseerd besturingssysteem: FortiOS.

Platform: Checkpoint UTM-1
Projectwebsite: rus.checkpoint.com
Licentie: betaald
Implementatie: hardware

Check Point biedt 3 lijnen UTM-klasse apparaten: UTM-1, UTM-1 Edge (externe kantoren) en Safe@Office (kleine bedrijven). De oplossingen bevatten alles wat u nodig heeft om uw netwerk te beschermen: firewall, IPS, antivirusgateway, antispam, SSL VPN en tools voor externe toegang. De firewall kan verkeer onderscheiden dat inherent is aan de meeste applicaties en services (meer dan 200 protocollen kunnen eenvoudig de toegang tot IM, P2P-netwerken of Skype blokkeren). Er wordt gezorgd voor bescherming van webapplicaties en URL-filtering, en de database van Check Point bevat enkele miljoenen sites die gemakkelijk kunnen worden geblokkeerd. De antivirus scant HTTP/FTP/SMTP/POP3/IMAP-streams, heeft geen beperkingen op de bestandsgrootte en kan met archieven werken. UTM-1-modellen met de letter W zijn verkrijgbaar met een ingebouwd WiFi-toegangspunt.
IPS maakt gebruik van verschillende detectie- en analysemethoden: kwetsbaarheidssignaturen, analyse van protocollen en objectgedrag, en detectie van afwijkingen. Het analysemechanisme kan belangrijke gegevens berekenen, dus 10% van het verkeer wordt zorgvuldig gecontroleerd, de rest passeert zonder extra controles. Dit vermindert de belasting van het systeem en verhoogt de efficiëntie van UTM. Het antispamsysteem maakt gebruik van verschillende technologieën: IP-reputatie, inhoudsanalyse, zwart en wit witte lijsten. Ondersteunt dynamische routering OSPF, BGP en RIP, verschillende gebruikersauthenticatiemethoden (wachtwoord, RADUIS, SecureID, enz.), Er is een DHCP-server geïmplementeerd.
De oplossing maakt gebruik van een modulaire architectuur, de zogenaamde Software Blades, die het mogelijk maakt om, indien nodig, de functionaliteit uit te breiden naar het gewenste niveau, waardoor het vereiste niveau van beveiliging en kosten wordt geboden. Zo kun je de gateway achteraf uitrusten met blades Webbeveiliging(detectie en bescherming van webinfrastructuur), VoIP ( VoIP-bescherming), Advanced Networking, Acceleration & Clustering (maximale prestaties en beschikbaarheid in vertakte omgevingen). Met de technologieën Web Application Firewall en Advanced Streaming Inspection die in Web Security worden gebruikt, kunt u bijvoorbeeld de context in realtime verwerken, zelfs als deze in verschillende TCP-pakketten is opgesplitst, headers vervangen, gegevens over de gebruikte applicaties verbergen en de gebruiker omleiden naar een pagina met gedetailleerde beschrijving fouten.
Bediening op afstand is mogelijk via internet en Telnet/SSH. Voor gecentraliseerde instellingen van meerdere apparaten kan het daarin gebruikte Check Point SmartCenter worden gebruikt Beveiligingstechnologie Met Management Architecture (SMART) kunt u alle Check Point-elementen beheren die zijn opgenomen in het beveiligingsbeleid. De SmartCenter-mogelijkheden worden uitgebreid met behulp van extra modules die zorgen voor beleidsvisualisatie, LDAP-integratie, updates, rapporten, etc. Alle UTM-updates worden centraal ontvangen met behulp van de Check Point Update Service.

Platform: ZyWALL 1000
Projectwebsite: zyxel.ru
Licentie: betaald
Implementatie: hardware

De meeste door ZyXEL geproduceerde beveiligingsgateways kunnen qua capaciteiten veilig worden geclassificeerd als UTM, hoewel deze lijn volgens de officiële classificatie vandaag de dag vijf ZyWALL USG 50/100/300/1000/2000-modellen omvat, gericht op kleine en middelgrote bedrijven. netwerken (tot 500 gebruikers). In ZyXEL-terminologie worden dergelijke apparaten “Network Security Center” genoemd. ZyWALL 1000 is bijvoorbeeld een snelle toegangsgateway die is ontworpen om netwerkbeveiligings- en verkeersbeheerproblemen op te lossen. Inclusief Kaspersky streaming antivirus, IDS/IPS, inhoudfiltering en antispambescherming (Blue Coat en Commtouch), bandbreedtecontrole en VPN (IPSec, SSL en L2TP via IPSec VPN). Trouwens, bij aankoop moet je op de firmware letten - internationaal of voor Rusland. In dit laatste geval wordt vanwege beperkingen van de douane-unie een 56-bits DES-sleutel gebruikt voor IPsec VPN- en SSL VPN-tunnels.
Het toegangsbeleid is gebaseerd op verschillende criteria (IP, gebruiker en tijd). Tools voor het filteren van inhoud maken het eenvoudig om de toegang tot sites over een bepaald onderwerp en de werking van sommige programma's IM, P2P, VoIP, mail, enz. te beperken. Het IDS-systeem maakt gebruik van handtekeningen en beschermt tegen netwerkwormen, Trojaanse paarden, backdoors, DDoS en exploits. Anomaly Detection and Prevention-technologie analyseert pakketten die door de gateway gaan op OSI-lagen 2 en 3, identificeert inconsistenties en identificeert en blokkeert 32 soorten netwerkaanvallen. Dankzij de mogelijkheden van End Point Security kunt u automatisch het besturingssysteemtype, de aanwezigheid van een actieve antivirus en firewall, de aanwezigheid van geïnstalleerde updates, lopende processen, registerinstellingen en andere. De beheerder kan de toegang tot het netwerk verbieden voor systemen die niet aan bepaalde parameters voldoen.
Implementeerde meerdere internettoegangsreserveringen en load-balancing. VoIP-transmissie via SIP- en H.323-protocollen is mogelijk op firewall- en NAT-niveau en in VPN-tunnels. Er is voorzien in een eenvoudige VLAN-organisatie en het creëren van virtuele aliasinterfaces. Authenticatie met behulp van LDAP, AD en RADIUS wordt ondersteund, waardoor u beveiligingsbeleid kunt configureren op basis van de regels die al in de organisatie zijn aangenomen.
Updates van de basis van de belangrijkste componenten en activering van sommige functies (Commtouch anti-spam, uitbreiding van het aantal VPN-tunnels) worden uitgevoerd met behulp van verbindingskaarten. De configuratie gebeurt met behulp van de CLI en webinterface. Een technicus zal u helpen bij de eerste installaties.

Besturingssysteem: Untangle Server 9.2.1 Cruiser
Projectwebsite: untangle.com
Licentie: GPL
Implementatie: software
Hardwareplatforms: x86, x64
Systeemvereisten: Pentium 4 of vergelijkbare AMD, 1 GB RAM, 80 GB schijf, 2 NIC.

Elke *nix-distributie kan worden geconfigureerd als een volwaardige UTM-oplossing; alles wat hiervoor nodig is, is beschikbaar in de pakketrepository's. Maar er zijn ook nadelen: alle componenten zullen onafhankelijk moeten worden geïnstalleerd en geconfigureerd (en dit vereist al enige ervaring), en, belangrijker nog, we hebben geen enkele beheerinterface. Daarom zijn kant-en-klare oplossingen gebouwd op basis van OpenSource-systemen in deze context erg interessant.
De Untangle-distributie, geproduceerd door het gelijknamige bedrijf, verscheen in 2008 en trok met zijn aanpak meteen de aandacht van de gemeenschap. Het is gebaseerd op Debian, alle instellingen worden gemaakt met behulp van een eenvoudige en intuïtieve interface. Aanvankelijk heette de distributie Untangle Gateway en was bedoeld voor gebruik in kleine organisaties (tot 300 gebruikers) als een volwaardige vervanging voor het eigen Forefront TMG om veilige internettoegang te bieden en het interne netwerk tegen een aantal bedreigingen te beschermen. In de loop van de tijd werden de functies en mogelijkheden van de distributie breder en werd de naam veranderd in Untangle Server, en de distributie kan al een groter aantal gebruikers ondersteunen (tot 5000 of meer, afhankelijk van de kracht van de server).
In eerste instantie worden de beveiligingsfuncties van Untangle geïmplementeerd in de vorm van modules. Na installatie basissysteem Er zijn geen beveiligingsmodules; de beheerder selecteert zelfstandig wat hij nodig heeft. Voor het gemak zijn de modules onderverdeeld in 5 pakketten (Premium, Standard, Education Premium Education Standard en Lite), waarvan de beschikbaarheid wordt bepaald door de licentie, en zijn de pakketten zelf op basis van doel onderverdeeld in twee groepen: Filter en Services. Alle OpenSource-applicaties zijn verzameld in een gratis Lite, die 13 applicaties bevat die verkeer scannen op virussen en spyware, inhoudsfilter, banner- en spamblokkering, firewall, protocolcontrole, IDS/IPS, OpenVPN, toegangsbeleid (Captive Portal). Met de module Rapporten, meegeleverd in het Lite-pakket, kan de beheerder rapporten ontvangen over alle mogelijke situaties - netwerk activiteit, protocollen, gedetecteerde spam en virussen, gebruikersactiviteit met de mogelijkheid om resultaten per e-mail te verzenden en te exporteren naar PDF, HTML, XLS, CSV en XML. Ze zijn gebaseerd op populaire OpenSource-applicaties zoals Snort, ClamAV, SpamAssasin, Squid, enz. Bovendien biedt de Untangle-server alles netwerk functies- routing, NAT, DMZ, QoS, heeft DHCP- en DNS-servers.
Verkrijgbaar in commerciële pakketten: load-balancing en failover, kanaal- en applicatiebandbreedtecontrole, module om mee te werken Actieve map, instellingen reserveren en enkele andere functies. Ondersteuning is ook tegen betaling beschikbaar, hoewel antwoorden op veel vragen te vinden zijn op het officiële forum. Daarnaast biedt het project klaar-servers met Ontwarren vooraf geïnstalleerd.
Voor de configuratie wordt een handige interface aangeboden die in Java is geschreven; alle wijzigingen en bedieningsstatistieken worden in realtime weergegeven. Bij het werken met Untangle hoeft de beheerder geen diepgaande kennis van *nix te hebben; het is voldoende om te begrijpen wat er als resultaat moet worden verkregen. Het installeren van de distributie is vrij eenvoudig, u hoeft alleen maar de aanwijzingen van de wizard te volgen; een andere wizard helpt u vervolgens bij het configureren van de gateway.

Endian-firewall

Besturingssysteem: Endian Firewall Community 2.5.1
Projectwebsite: endian.com/en/community
Licentie: GPL
Hardwareplatforms: x86
Systeemvereisten: CPU 500 MHz, 512 MB RAM, 2 GB

De ontwikkelaars van Endian Firewall bieden verschillende versies van hun product aan, geïmplementeerd als zowel een hardware- als een softwareplatform. Er is ook een versie voor virtuele machines. Alle releases zijn gelicentieerd onder de GPL, maar zijn alleen beschikbaar als gratis download ISO-afbeelding Community-editie en broncode. Het besturingssysteem is erop gebouwd CentOS-gebaseerd en bevat alle specifieke Linux-applicaties, met firewallfuncties, IDS/IPS, antivirusscannen van HTTP/FTP/POP3/SMTP-verkeer, antispambescherming, inhoudsfilter, anti-spoofing- en anti-phishing-modules, rapportagesysteem. Het is mogelijk om een ​​VPN te creëren met behulp van OpenVPN en IPsec met sleutel- of certificaatauthenticatie. Het inhoudsfilter bevat kant-en-klare instellingen voor meer dan 20 categorieën en subcategorieën van sites, er is een zwarte lijst en contextuele filterfuncties. Met ACL kunt u toegangsparameters opgeven voor individuele gebruiker, groep, IP, tijd en browser. Er worden statistieken bijgehouden over verbindingen, verkeer en gebruikerservaring. Wanneer bepaalde gebeurtenissen plaatsvinden, wordt er een bericht naar het e-mailadres van de beheerder verzonden. Lokale gebruikersauthenticatie, Active Directory, LDAP en RADIUS zijn aanwezig. De interface maakt het eenvoudig om een ​​VLAN te creëren, QoS te beheren en ondersteunt SNMP. In eerste instantie is de distributiekit uitgerust met ClamAV-antivirus, is het optioneel mogelijk om de Sophos antivirus-engine te gebruiken.
Voor instellingen worden de webinterface en opdrachtregel gebruikt. De eerste installaties worden uitgevoerd met behulp van een wizard waarmee u het type internetverbinding kunt instellen en interfaces (LAN, WiFi, DMZ) kunt toewijzen. Er kunnen meerdere IP-adressen worden toegewezen aan de externe interface; MultiWAN wordt ondersteund. Voor het gemak van de instellingen zijn netwerkinterfaces onderverdeeld in zones: ROOD, ORANJE, BLAUW en GROEN firewallregels bevatten al instellingen die de uitwisseling daartussen bepalen. De instellingen zijn met de nodige zorgvuldigheid onderverdeeld in groepen, waarvan de namen voor zich spreken; ze zijn zeer gemakkelijk te begrijpen.

Conclusie

Complexe UTM-systemen vervangen geleidelijk traditionele oplossingen zoals firewalls, dus het is de moeite waard om ze eens nader te bekijken. Afhankelijk van de specifieke omstandigheden zijn verschillende opties geschikt. OpenSource Endian Firewall en Untangle zijn zeer goed in staat kleine en middelgrote netwerken te beschermen. Natuurlijk vervangt UTM de beveiligingsmaatregelen die op individuele pc's zijn geïnstalleerd niet, maar vormt deze een aanvulling, waardoor een extra beschermingslijn wordt gecreëerd bij de ingang van het LAN.

Gebaseerd op de resultaten van 2015 Kaspersky Lab haalde teleurstellende statistieken aan: ongeveer 58% van de bedrijfs-pc's werd minstens één keer aangevallen door malware. En dit zijn slechts de succesvol weerspiegelde. Hiervan werd een derde (29%) aangevallen via internet. Er werd opgemerkt dat het drie keer zo vaak niet de thuiscomputers zijn die worden blootgesteld aan bedreigingen, maar bedrijfscomputers, zodat bedrijven het risico lopen gegevens te verliezen of te vernietigen.

Anno 2017 is de situatie er niet veiliger op geworden: laten we de recente commotie van de beruchte Petya-, WannaCry- en BadRabbit-virussen niet vergeten. En toch updatet ongeveer 80% van de bedrijven hun beveiligingssystemen niet, en heeft ongeveer 30% duidelijk zichtbare kwetsbaarheden.

Netwerkbeveiliging in theorie en praktijk

Nog niet zo lang geleden was een eenvoudige firewall voldoende voor internetgebruikers. De tijden zijn echter veranderd en er is nu een serieuzere oplossing nodig: een UTM-apparaat dat alle functionaliteit combineert die is ontworpen om te beschermen bedrijfsnetwerken van invasie. Door een uitgebreid systeem voor bedreigingsbeheer te gebruiken, ontvangt een bedrijf een antivirusprogramma, een firewall, een systeem voor bedreigingspreventie, antispambescherming en nog veel meer ‘in één pakket’.

In tegenstelling tot de klassieke methode, waarbij een aantal afzonderlijke apparaten wordt aangeschaft en in één systeem worden geïntegreerd, is dit een meer economische en productieve optie, die in wezen op drie pijlers berust:

• Bescherming op meerdere niveaus in realtime.
• Universeel filter dat dit niet toestaat spyware en virussen.
• Bescherming tegen spam en ongewenste inhoud.

Deze aanpak elimineert de noodzaak om de uitgaven aan hardware te verhogen, IT-specialisten in te huren die dit hele systeem correct kunnen laten werken, en bespaart u problemen met regelmatige dalingen in de verkeerssnelheid.

In de praktijk zullen grote en kleine ondernemingen prioriteit geven aan verschillende functionaliteiten. Door zich te wenden tot complexe systemen hopen kleine organisaties in de eerste plaats het probleem van veilige netwerktoegang voor werknemers en klanten op te lossen. Voor bedrijfsnetwerken met gemiddelde complexiteit is een stabiel communicatiekanaal vereist. Grote bedrijven zijn bezorgd over het bewaren van geheimen. Elke taak heeft uiteindelijk een strikt individuele oplossing.

Praktijk van grote bedrijven

Bijvoorbeeld voor een bedrijf Gazprom en vergelijkbare organisaties die de voorkeur geven aan Russische software, betekent dit het verminderen van de risico’s die ontstaan ​​bij het gebruik van buitenlandse software. Bovendien dicteert ergonomie de noodzaak om apparatuur te gebruiken die is gestandaardiseerd op de hardwarestructuur die al in gebruik is.

De problemen waarmee grote bedrijven worden geconfronteerd, worden juist veroorzaakt door de omvang van de organisatie. UTM helpt hier bij het oplossen van problemen die verband houden met een groot aantal werknemers, grote volumes gegevens die via het interne netwerk worden verzonden, en de noodzaak om individuele clusters met internettoegang te manipuleren.

Functionaliteit vereist door grote bedrijven:

• Uitgebreide controle over het werk van pc-gebruikers, hun toegang tot het netwerk en tot individuele bronnen.
• Bescherm uw interne netwerk tegen bedreigingen, inclusief URL-filtering en tweefactorige gebruikersauthenticatie.
• Filteren van inhoud die via het interne netwerk wordt verzonden, beheren van Wi-Fi-netwerken.

Nog een voorbeeld uit onze praktijk. In de directie van treinstations van het bedrijf "Russische Spoorwegen"(een klassiek voorbeeld van een groot zakelijk project met beperkt verkeer), maakte de oplossing een einde aan een aantal beveiligingsproblemen, voorkwam datalekken en veroorzaakte ook een voorspelde toename van de arbeidsefficiëntie als gevolg van de installatie van interne blokkering.

Voor ondernemingen banksector Onze ervaring is dat het vooral belangrijk is om stabiel, snel en ononderbroken internetverkeer te garanderen, wat wordt bereikt door de mogelijkheid om de belasting te balanceren en te herverdelen. Bescherming tegen informatielekken en controle op de veiligheid ervan zijn ook belangrijk.

Winkelcomplexen, in het bijzonder Kolomna "Rio", worden ook periodiek blootgesteld aan de dreiging van externe aanvallen op hun netwerk. Meestal is het management van het winkelcentrum echter geïnteresseerd in de mogelijkheid om interne controle in te voeren over werknemers die beperkingen hebben op het werken met internet, afhankelijk van hun verantwoordelijkheden. Bovendien wordt internet actief verspreid over het hele gebied van het winkelcentrum, wat het risico op perimeterovertreding vergroot. En om dergelijke situaties succesvol te voorkomen, stelt de UTM-oplossing voor om applicatiebeheer in te zetten.

Momenteel maakt het winkelcentrum Rio actief gebruik van filters, blokkering op meerdere niveaus en verwijdering van programma's en applicaties die op de zwarte lijst staan. Het belangrijkste resultaat binnen in dit geval– verhoogde arbeidsefficiëntie en tijdbesparing doordat werknemers niet langer worden afgeleid door sociale netwerken en online winkels van derden.

Behoeften van de dienstensector

Cafés, restaurants en hotels worden geconfronteerd met de noodzaak om gratis Wi-Fi te distribueren, dat is ingeschakeld op dit moment Volgens bezoekersrecensies een van de meest populaire diensten. Tot de problemen die onmiddellijke oplossingen vereisen, behoren: hoogwaardige internettoegang en naleving van de wetgeving van de Russische Federatie. Bovendien hebben hotelketens enkele specifieke kenmerken die verband houden met verhoogde belastingen. Sociale media, het plaatsen van foto's en video's van vakantie en gewoon surfen mag geen crashes en afsluitingen van het hele systeem veroorzaken.

Al deze problemen kunnen worden opgelost door een goed geconfigureerd UTM-systeem. Als oplossing wordt voorgesteld om apparaatidentificatie via sms te introduceren, inhoud en verkeer te filteren, en aparte stromen die door klanten en werknemers worden gebruikt op basis van censuur en leeftijdsindicatoren. Het is ook noodzakelijk om bescherming te installeren voor apparaten die op het netwerk zijn aangesloten.

Ziekenhuizen, klinieken en andere medische instellingen hebben een uniform beveiligingssysteem nodig dat wordt beheerd enkel centrum rekening houdend met de branchestructuur. De Russische UTM-oplossing is een prioriteit voor dergelijke overheidsinstanties in verband met het beleid van importvervanging en naleving van de wet op de bescherming van persoonsgegevens.

Voordelen van UTM-oplossingen

Het belangrijkste is duidelijk: één apparaat vervangt er meerdere tegelijk en voert de functies van elk apparaat perfect uit. Bovendien is het aansluiten en instellen van zo’n apparaat veel eenvoudiger en kan iedereen ermee werken. Voordelen alomvattende oplossing sommige:

• Financieel. Het afzonderlijk aanschaffen van hoogwaardige beveiligingstools (beveiligingssysteem, antiviruseenheid, VPN en proxyserver, firewall, enz.) is vele malen hoger dan de kosten van apparatuur. Vooral als het gaat om geïmporteerde opties. UTM-apparaten zijn veel betaalbaarder, en binnenlandse producten van hoge kwaliteit zijn dat nog meer.
• Functioneel. Bedreigingen worden voorkomen op netwerkgatewayniveau, wat de workflow niet onderbreekt en de kwaliteit van het verkeer niet beïnvloedt. De snelheid is stabiel en constant, hiervoor gevoelige applicaties zijn altijd beschikbaar en werken naar behoren.
• Eenvoud en toegankelijkheid. Een UTM-gebaseerd systeem is niet alleen snel geïnstalleerd, maar ook gemakkelijk te beheren, wat het beheer vereenvoudigt. En binnenlandse oplossingen worden in het Russisch gemaakt, waardoor het technische gedeelte gemakkelijk te begrijpen is zonder onnodig gedoe met specifieke terminologie.
• Gecentraliseerd toezicht en beheer. Met de UTM-oplossing kunt u netwerken op afstand beheren vanuit één centraal punt, zonder extra kosten voor apparatuur en personeel.

Over het algemeen worden UTM-apparaten een centraal element van informatiebeveiliging voor elk bedrijf met een netwerk van meerdere computers tot tienduizenden toegangspunten, waardoor problemen effectief worden voorkomen en het proces van het opruimen van de gevolgen van infecties en hacks wordt vermeden.

Houd er echter rekening mee dat UTM niet alle problemen oplost, omdat het geen eindapparaten beheert die weerloos zijn tegen gewetenloze gebruikers. De lokale virusdreiging vereist de aanwezigheid van antivirusprogramma's, naast de antivirusgateway, en om het voorkomen van informatielekken te garanderen, is de installatie van DLP-systemen noodzakelijk. Het recente verhaal met de luchthaven is in dit opzicht indicatief. Heathrow, waar een onderzoek werd gestart nadat in een van de straten van Londen een flashdrive met gegevens over veiligheids- en antiterrorismemaatregelen op de luchthaven werd gevonden.

Criteria voor het kiezen van een UTM-systeem

Het systeem moet aan verschillende parameters voldoen. Dit is maximaal gemak, betrouwbaarheid, installatiegemak, duidelijke bediening, constante technische ondersteuning van de fabrikant en relatief lage kosten. Daarnaast is er een strenge eis voor verplichte certificering door FSTEC (FZ-149, FZ-152, FZ-188). Het is van toepassing op onderwijs- en overheidsinstellingen, bedrijven die met persoonlijke informatie werken, zorginstellingen en bedrijven in de publieke sector. Er zijn strenge sancties voorzien voor het gebruik van niet-gecertificeerde systemen: een boete van maximaal 50 duizend roebel, in sommige gevallen - inbeslagname van het onderwerp van de overtreding en opschorting van activiteiten gedurende maximaal 90 dagen.

Zorg voor jezelf en je gegevens, gebruik moderne systemen informatiebeveiliging en vergeet niet leveranciersupdates te installeren.

). We beginnen onze blog met een korte introductie over Check Point-technologieën.

We hebben er lang over nagedacht of het de moeite waard was om dit artikel te schrijven, want... er zit niets nieuws in dat niet op internet te vinden was. Ondanks deze overvloed aan informatie horen we echter vaak dezelfde vragen als we met klanten en partners werken. Daarom werd besloten om een ​​soort introductie in de wereld van Check Point-technologieën te schrijven en de essentie van de architectuur van hun oplossingen te onthullen. En dit alles valt binnen het kader van één “kleine” post, een snelle excursie, om zo te zeggen. Bovendien zullen we proberen niet in een marketingoorlog verwikkeld te raken, omdat... Wij zijn geen leverancier, maar slechts een systeemintegrator (hoewel we dol zijn op Check Point) en zullen eenvoudigweg naar de hoofdpunten kijken zonder deze te vergelijken met andere fabrikanten (zoals Palo Alto, Cisco, Fortinet, enz.). Het artikel bleek behoorlijk lang te zijn, maar het behandelt de meeste vragen in de fase van kennismaking met Check Point. Als je geïnteresseerd bent, welkom bij de kat...

UTM/NGFW

Wanneer u een gesprek over Check Point begint, moet u eerst beginnen met een uitleg van wat UTM en NGFW zijn en hoe ze verschillen. We zullen dit heel beknopt doen, zodat het bericht niet te lang wordt (misschien zullen we dit probleem in de toekomst wat gedetailleerder bekijken)

UTM - Uniform dreigingsbeheer

Kortom, de essentie van UTM is de consolidatie van meerdere beveiligingstools in één oplossing. Die. alles in één doos of een soort all-inclusive. Wat wordt bedoeld met ‘meerdere verdedigingen’? De meest voorkomende optie is: Firewall, IPS, Proxy (URL-filtering), streaming Antivirus, Anti-Spam, VPN enzovoort. Dit alles komt samen onder één UTM-oplossingen, wat eenvoudiger is vanuit het oogpunt van integratie, configuratie, beheer en monitoring, en dit heeft op zijn beurt een positief effect op de algehele veiligheid van het netwerk. Toen UTM-oplossingen voor het eerst verschenen, werden ze exclusief voor kleine bedrijven overwogen, omdat... UTM's konden grote hoeveelheden verkeer niet verwerken. Dit had twee redenen:

1. Pakketverwerkingsmethode. De eerste versies van UTM-oplossingen verwerkten pakketten opeenvolgend, elke “module”. Voorbeeld: eerst wordt het pakket verwerkt door de firewall, vervolgens door de IPS, vervolgens gescand door het antivirusprogramma, enzovoort. Uiteraard zorgde een dergelijk mechanisme voor ernstige vertragingen in het verkeer en verbruikte het veel systeembronnen (processor, geheugen).
2. Zwakke hardware. Zoals hierboven vermeld, kostte de sequentiële verwerking van pakketten enorm veel middelen en kon de hardware van die tijd (1995-2005) eenvoudigweg het grote verkeer niet aan.

Maar de vooruitgang staat niet stil. Sindsdien is de hardwarecapaciteit aanzienlijk toegenomen en is de pakketverwerking veranderd (toegegeven moet worden dat niet alle leveranciers dit hebben) en is bijna gelijktijdige analyse in verschillende modules tegelijk mogelijk geworden (ME, IPS, AntiVirus, enz.). Moderne UTM-oplossingen kunnen tientallen en zelfs honderden gigabits ‘verteren’ in een diepe analysemodus, wat het mogelijk maakt ze te gebruiken in het segment van grote bedrijven of zelfs datacenters.

Hieronder vindt u het beroemde Gartner Magic Quadrant voor UTM-oplossingen voor augustus 2016:

Ik zal niet veel commentaar geven op deze foto, ik zeg alleen dat de leiders in de rechterbovenhoek staan.

NGFW - Firewall van de volgende generatie

De naam spreekt voor zich: de volgende generatie firewall. Dit concept verscheen veel later dan UTM. Het hoofdidee van NGFW is deep packet analyse (DPI) met behulp van ingebouwde IPS en toegangscontrole op applicatieniveau (Application Control). In dit geval is IPS precies wat nodig is om deze of gene toepassing in de pakketstroom te identificeren, waardoor u deze kunt toestaan ​​of weigeren. Voorbeeld: Wij kunnen toestaan Skype-werk, maar verbied bestandsoverdracht. We kunnen het gebruik van Torrent of RDP verbieden. Webapplicaties worden ook ondersteund: u kunt toegang tot VK.com toestaan, maar games, berichten of het bekijken van video's verbieden. In wezen hangt de kwaliteit van een NGFW af van het aantal toepassingen dat het kan detecteren. Velen geloven dat de opkomst van het NGFW-concept gebruikelijk was marketingtruc tegen de achtergrond waarvan het bedrijf Palo Alto zijn snelle groei begon.

Gartner Magic Quadrant voor NGFW voor mei 2016:

UTM versus NGFW

Een veel voorkomende vraag is: wat is beter? Er is hier geen definitief antwoord en dat kan ook niet. Vooral gezien het feit dat vrijwel alle moderne UTM-oplossingen NGFW-functionaliteit bevatten en de meeste NGFW's functies bevatten die inherent zijn aan UTM (Antivirus, VPN, Anti-Bot, etc.). Zoals altijd: “de duivel zit in de details”, dus eerst en vooral moet u beslissen wat u specifiek nodig heeft en uw budget bepalen. Op basis van deze beslissingen kunnen verschillende opties worden geselecteerd. En alles moet ondubbelzinnig worden getest, zonder marketingmateriaal te geloven.

Wij zullen op onze beurt in het kader van verschillende artikelen proberen te vertellen over Check Point, hoe u het kunt proberen en wat u in principe kunt proberen (bijna alle functionaliteit).

Drie controlepuntentiteiten

Wanneer u met Check Point werkt, zult u zeker drie componenten van dit product tegenkomen:

Check Point-besturingssysteem

Over het Check Point-besturingssysteem gesproken, we kunnen er drie tegelijk herinneren: IPSO, SPLAT en GAIA.

1. IPSO- besturingssysteem van Ipsilon Networks, eigendom van Nokia. In 2009 kocht Check Point dit bedrijf. Ontwikkelt zich niet meer.
2. SPLAT - eigen ontwikkeling Check Point, gebaseerd op de RedHat-kernel. Ontwikkelt zich niet meer.
3. Gaia- het huidige besturingssysteem van Check Point, dat verscheen als resultaat van de fusie van IPSO en SPLAT, waarin het beste is verwerkt. Het verscheen in 2012 en blijft zich actief ontwikkelen.

Over Gaia gesproken, dat moet gezegd worden huidige moment de meest voorkomende versie is R77.30. Relatief recent verscheen de R80-versie, die aanzienlijk verschilt van de vorige (zowel qua functionaliteit als qua bediening). We zullen een apart bericht wijden aan het onderwerp van hun verschillen. Een ander belangrijk punt is dat momenteel alleen versie R77.10 een FSTEC-certificaat heeft en versie R77.30 wordt gecertificeerd.

Uitvoeringsopties (Check Point Appliance, Virtual machine, OpenServer)

Er is hier niets verrassends, zoals veel leveranciers heeft Check Point verschillende productopties:

Implementatieopties (gedistribueerd of standalone)

Iets hoger hebben we al besproken wat een gateway (SG) en een beheerserver (SMS) zijn. Laten we nu de opties voor hun implementatie bespreken. Er zijn twee belangrijke manieren:

Zoals ik hierboven al zei, heeft Check Point zijn eigen SIEM-systeem: Smart Event. U kunt het alleen gebruiken bij een gedistribueerde installatie.

Bedrijfsmodi (brug, route)
De Security Gateway (SG) kan in twee hoofdmodi werken:

• Gerouteerd- de meest voorkomende optie. In dit geval wordt de gateway gebruikt als een L3-apparaat en stuurt het verkeer door zichzelf, d.w.z. Check Point is de standaardgateway voor het beveiligde netwerk.
• Brug- transparante modus. In dit geval wordt de gateway geïnstalleerd als een gewone “brug” en passeert het verkeer op het tweede niveau (OSI). Deze optie wordt meestal gebruikt wanneer er geen mogelijkheid (of wens) is om de bestaande infrastructuur te wijzigen. U hoeft de netwerktopologie praktisch niet te wijzigen en hoeft niet na te denken over het wijzigen van de IP-adressering.

Ik wil graag opmerken dat er in de Bridge-modus enkele beperkingen zijn qua functionaliteit, daarom adviseren wij als integrator al onze klanten om, indien mogelijk, uiteraard de Routed-modus te gebruiken.

Check Point-softwareblades

We zijn bijna aangekomen bij het belangrijkste onderwerp van Check Point, dat de meeste vragen oproept bij klanten. Wat zijn deze “softwareblades”? Blades verwijzen naar bepaalde Check Point-functies.

Deze functies kunnen afhankelijk van uw behoeften worden in- of uitgeschakeld. Tegelijkertijd zijn er blades die uitsluitend op de gateway (Netwerkbeveiliging) en alleen op de beheerserver worden geactiveerd. De onderstaande afbeeldingen tonen voorbeelden voor beide gevallen:

1) Voor netwerkbeveiliging(gatewayfunctionaliteit)

Laten we het kort beschrijven, want... elk mes verdient zijn eigen artikel.

• Firewall - firewallfunctionaliteit;
• IPSec VPN - bouwen van particuliere virtuele netwerken;
• Mobiele toegang - toegang op afstand vanaf mobiele apparaten;
• IPS - inbraakpreventiesysteem;
• Anti-Bot - bescherming tegen botnetnetwerken;
• AntiVirus - antivirus voor streaming;
• AntiSpam & E-mailbeveiliging - bescherming van zakelijke e-mail;
• Identiteitsbewustzijn - integratie met Actieve dienst Telefoonboek;
• Monitoring - monitoring van bijna alle gatewayparameters (belasting, bandbreedte, VPN-status, etc.)
• Applicatiecontrole - firewall op applicatieniveau (NGFW-functionaliteit);
• URL-filtering - Webbeveiliging(+proxyfunctionaliteit);
• Preventie van gegevensverlies - bescherming tegen informatielekken (DLP);
• Bedreigingsemulatie - sandbox-technologie (SandBox);
• Threat Extraction - technologie voor het opschonen van bestanden;
• QoS - verkeersprioritering.

In slechts een paar artikelen zullen we gedetailleerd kijken naar de Blades Threat Emulation en Threat Extraction. Ik weet zeker dat het interessant zal zijn.

2) Voor beheer(controleserverfunctionaliteit)

• Netwerkbeleidsbeheer - gecentraliseerd beleidsbeheer;
• Endpoint Policy Management - gecentraliseerd beheer van Check Point-agents (ja, Check Point produceert niet alleen oplossingen voor netwerk bescherming, maar ook om werkstations (pc's) en smartphones te beschermen);
• Logging & Status - gecentraliseerde verzameling en verwerking van logs;
• Management Portal - beveiligingsbeheer vanuit de browser;
• Workflow - controle over beleidswijzigingen, audit van wijzigingen, enz.;
• Gebruikerslijst - integratie met LDAP;
• Provisioning - automatisering van gatewaybeheer;
• Smart Reporter - rapportagesysteem;
• Smart Event - analyse en correlatie van gebeurtenissen (SIEM);
• Naleving- automatische controle instellingen en het uitbrengen van aanbevelingen.

We zullen nu niet in detail op licentiekwesties ingaan, om het artikel niet opgeblazen te maken en de lezer niet in verwarring te brengen. Waarschijnlijk zullen we dit in een apart bericht plaatsen.

Dankzij de architectuur van de blades kunt u alleen de functies gebruiken die u echt nodig heeft, wat van invloed is op het budget van de oplossing en de algehele prestaties van het apparaat. Het is logisch dat hoe meer bladen je activeert, hoe minder verkeer je kunt ‘doorrijden’. Daarom is aan elk Check Point-model de volgende prestatietabel toegevoegd (we hebben de kenmerken van het 5400-model als voorbeeld genomen):

Zoals u kunt zien, zijn er hier twee categorieën tests: op synthetisch verkeer en op echt - gemengd. Over het algemeen is Check Point eenvoudigweg gedwongen synthetische tests te publiceren, omdat... sommige leveranciers gebruiken dergelijke tests als benchmarks, zonder de prestaties van hun oplossingen op echt verkeer te onderzoeken (of verbergen dergelijke gegevens opzettelijk vanwege hun onbevredigende aard).

Bij elk type test kunt u verschillende opties opmerken:

1. alleen testen voor Firewall;
2. Firewall+IPS-test;
3. Firewall+IPS+NGFW (Applicatiebeheer)-test;
4. test Firewall+Applicatiebeheer+URL-filtering+IPS+Antivirus+Anti-Bot+SandBlast (sandbox)

Houd deze parameters goed in de gaten bij het kiezen van uw oplossing, of vraag advies.

Ik denk dat we hier het inleidende artikel over Check Point-technologieën kunnen afronden. Vervolgens bekijken we hoe u Check Point kunt testen en hoe u om kunt gaan met moderne bedreigingen voor de informatiebeveiliging (virussen, phishing, ransomware, zero-day).

P.S. Belangrijk punt. Ondanks de buitenlandse (Israëlische) oorsprong is de oplossing in de Russische Federatie gecertificeerd door regelgevende instanties, waardoor de aanwezigheid ervan in overheidsinstellingen automatisch wordt gelegaliseerd (commentaar van).