Главная › Настройки › Сетевая безопасность и utm решения. Обзор корпоративных UTM-решений на российском рынке. Практика крупных компаний

Сетевая безопасность и utm решения. Обзор корпоративных UTM-решений на российском рынке. Практика крупных компаний

Универсальное устройство Unified threat management, иначе называемое UTM-системой, создано для обеспечения компьютерной безопасности. Его применение в целях защиты цифровых данных началось в 2004 году, поскольку обычные виды межсетевых экранов уже не могли справляться со всё более изощрёнными сетевыми атаками. Unified threat management является модификацией стандартного межсетевого экрана (Firewall) , в связи с чем включает в себя функции, направленные на обеспечение защиты персональных данных. Это становится возможным за счёт включения в UTM-решение задач поиска, а также предотвращения сетевых угроз, антивируса, межсетевого экрана и VPN.

Впервые термин «Unified threat management» был использован IDC – компанией, ведущей исследование телекоммуникаций и всемирных информационных технологий. Главным достоинством UTM является то, что система представляет собой единый комплекс, выполняющий сразу все необходимые пользователю функции: антивируса, контент-фильтра, IPS – службы по предотвращению вторжений и сетевых атак, что намного удобнее и эффективнее, чем администрирование нескольких устройств единовременно.

Архитектура UTM

UTM могут быть реализованы как в виде программного решения(устанавливаемого на выделенный сервер или в качестве виртуальной машины), так и в виде программно-аппаратного комплекса. В последнем случае для вычислений используется не только центральный процессор общего назначения, но и ряд специальных процессоров. Благодаря данному свойству скорость работы UTM-шлюза может достигать 1Gbps и выше.

Процессор контента

Разработан в целях высокоскоростной обработки подозрительных сетевых пакетов, а также архивированных файлов и их сравнении с теми видами угроз, которые уже записаны в память. Трафик обрабатывается не напрямую через сеть, а от CPU общего назначения, что ускоряет скорость вычисления операций, логически относящихся к службе IPS и антивируса.

Сетевой процессор

Осуществляет высокоскоростную обработку сетевых потоков, снижая нагрузку на прочие системные компоненты. Также осуществляет шифрования, трансляцию сетевых адресов и обработку TCP-сегментов. Способен вычислить угрозу даже тогда, когда данные фрагментированы для обхода служб безопасности, путём их сортировки, вычисляет реальное назначение конечного пакета данных.

Процессор безопасности

Позволяет значительно повысить производительность антивируса, службы предотвращения потери данных и службы IPS (предотвращения сетевых вторжений). Принимает на себя сложно вычислимые задачи, значительно разгружая таким образом CPU.

Программные компоненты

Firewall

Многоуровневый межсетевой экран защищает пользователя от атак не только на уровне сети, но и на уровне приложений: доступ к внутренним данным осуществляется только после аутентификации, обеспечивая доступ исключительно санкционированным пользователям; возможно создание различных уровней прав доступа для различных пользователей. Имеется поддержка NAT-трансляции сетевых адресов без раскрытия внутренней архитектуры сети организации.

IPSEC VPN

Обеспечивает быстрое и простое создание безопасных VPN сетей – на основе домена шифрования или правил маршрутизации – объединяя таким образом функции шифрования, аутентификации, контроля доступа. Позволяет осуществить безопасное подключение удалённых пользователей, объектов, сетей.

Фильтрация URL

Фильтрация нежелательных сайтов за счёт запрета доступа сотрудников к заданному списку веб-страниц. Позволяет работать с крупными базами URL-адресов, возможно разбиение их по типу контента. Возможно создание белых или чёрных списков для отдельных пользователей или серверов.

Антивирус и Антиспам

Проверка на вирусы происходит ещё до их попадания на жёсткий диск пользователя – на шлюзе безопасности. Обычно поддерживаются наиболее часто используемые протоколы POP3/IMAP4, FTP, HTTP, SMTP. Кроме этого, антивирус, как правило, способен осуществлять сканирование сжатых файлов.

Блокировка спама происходит на основе изучения репутации IP-адреса, с которого было получено сообщение, а также путём проверки полученного пакеты данных на соответствие с чёрным и белым списком. Для почты предусмотрен IPS, который защищает её от DDoS-атак, атак на переполнение буфера. Всё содержимое письма сканируется на наличие вредоносных кодов и программ.

Кластеризация

Внедрён с целью повышения производительности межсетевого экрана, которая стала возможной благодаря увеличению пропускной способности и его разгрузки, равномерного распределения нагрузки на вычислительные ядра. Грамотное распределение трафика между резервными шлюзами позволяет достичь высокого уровня отказоустойчивости и перенаправления трафика в случае отказа из одного шлюза в другой.

Безопасный веб-серфинг

Исследует текущую веб-сессию на предмет наличия вредоносного кода. Способен определить не только наличие, но и уровень опасности исполняемого кода, и блокировать вредоносный код до того, как он достигнет компьютера пользователя. Способен скрывать информацию о сервере в HTTP-ответе, предотвращая возможные сетевые атаки.

Предпосылки к появлению

Ввиду всё большего числа сетевых атак и взломов серверов крупных компаний и корпораций стало очевидна необходимость внедрения UTM-шлюзов, способных отразить проникновения в систему вирусов и червей.

На сегодняшний день существует множество способов взлома слабо защищённых систем. Основными проблемами, с которыми сталкиваются современные компании, является отсутствие безопасности внутренних данных, а также несанкционированный доступ к информации собственных работников. Отсутствие защищённости данных становится результатом крупных денежных потерь. Тем не менее, лишь сравнительно недавно корпорации стали признавать необходимость контроля доступа к информации сотрудниками компании, пренебрежение же специализированных средств для защиты данных внутри сети приводит к разглашению и компрометации конфиденциальных данных.

Назначение UTM-решения заключается в предоставлении полного спектра приложений, необходимых для защиты данных от третьих лиц. Простые и удобные в использовании, UTM-системы постоянно развиваются, что позволяет им реагировать на всё более сложные сетевые атаки и своевременно их устранять.

UTM-решения имеет аналог в виде файервола следующего поколения, или NGFW (next generation firewall). По функционалу это устройство очень схоже с UTM, но разрабатывалось оно не для предприятий среднего бизнеса, как это было с Unified threat management, а для крупных компаний. Поначалу создатели NGFW пытались объединить в нём фильтрацию по портам и протоколам, обеспечивая функционал защиты сетевых атак и возможность анализа трафика на уровне приложений.

Рынок UTM сегодня

Согласно последним исследованиям рынка, в течение 2016-2020 годов рынок UTM возрастёт приблизительно на 15 процентов. Основные поставщики UTM-решений:

Dell Sonic Wall
Cisco (Cisco ASA -X)
Check Point Software Technologies
Juniper Networks
Kerio (куплена GFI)

Отечественные разработчики UTM-решений:

А-Реал (Интернет Контроль Сервер)
Смарт-Софт (TrafficInspector)

UTM: комплексные решения

Использование сетевых решений, направленных на выполнение только одной функции, перестало быть оправданным ввиду сложности в управлении и интегрировании их друг с другом и связанными с этим высокими временными и финансовыми ресурсами. Сегодня сетевая безопасность требует комплексного подхода, объединяя функционал систем, ранее работавших разрозненно. Это обеспечивает высокую производительность и оптимальное решение проблем в более короткие сроки – и с большей эффективностью.

Наличие одного UTM-решения вместо нескольких различных устройств упрощает управление стратегией сетевой безопасности компании. Настройка всех составляющих UTM-шлюза осуществляется из одной консоли – ранее для этого потребовалось бы несколько слоёв программного и аппаратного обеспечения.

На предприятиях, имеющих удалённые офисы и серверы, UTM-решения обеспечивают централизованное управление удалёнными сетями и их защиту.

Достоинства

Снижение числа используемых устройств;

Уменьшение объёма используемого софта и финансовых трат на его поддержку;

Лёгкое и понятное управление. Наличие различных настроек, веб-интерфейса и расширяемая архитектура;

Более быстрая обучаемость персонала за счёт использования лишь одного устройства.

Недостатки

UTM представляет собой решение с единой точкой отказа, но некоторые решения поддерживают кластеризацию;

Если UTM-система не поддерживает максимальную скорость передачи данных сети, возможно влияние на пропускную способность сети и время отклика.

Интернет Контроль Сервер позволяет решать более 80 задач, разворачивать дополнительные сетевые сервисы. Однако если приоритетной для Вас является гарантия безопасности локальной сети и устойчивость перед различными киберугрозами, Вы можете использовать в ИКС только инструменты защиты данных.

Корпоративная сеть должна быть защищена от вторжения, уничтожения или несанкционированного изменения, при этом в рабочее время быть доступна для оперативного получения данных. Абсолютную надежность локальной сети может гарантировать только комплексный подход при формировании системы информационной безопасности. ИКС КУБ осуществляет защиту:

Компьютерных сетей или отдельных узлов от несанкционированного доступа (межсетевой экран).
Локальной сети от проникновения вредоносных файлов. В Интернет Контроль Сервер интегрированы антивирусы ClamAv (бесплатный модуль), Kaspersky Anti-Virus, Dr.Web (коммерческие модули).
Конфиденциальной информации от утечек (модуль DLP).
Корпоративной сети от ботнетов.
Почтового сервера от спама, фишинг-атак (модуль Kaspersky Anti-Spam).
Телефонии (сервис fail2ban).

ИКС КУБ – программно-аппаратное решение, и это позволяет не только исключить возможность затрат на дополнительное ПО и оборудование, но и значительно повысить степень защищенности сети.

Управление и мониторинг

ИКС КУБ с возможностью централизованного управления позволяет значительно облегчить работу системного администратора в многофилиальных организациях, где структурные подразделения находятся в физически удаленных офисах. Решение выполняет все требования, предъявляемые в момент настройки системы, рабочего процесса и восстановления после сбоя, позволяя специалисту выполнить все настройки из одного интерфейса.

Журналы. Отчеты

Данный функционал особенно важен для системных администраторов, так как позволяет отслеживать активность пользователей за любой необходимый период.

Стандартные отчеты в ИКС:

общий сводный отчет;
по активности пользователей;
потребление по объему трафика;
топ 5 IP-адресов и доменов.

Также есть возможность просмотра статистики пользователей, сгруппированной по категориям трафика.

Конструктор отчетов позволяет собирать данные по критериям, которые не представлены в стандартных отчетах (по mime типам, протоколам, интерфейсам, доменам, группам адресов, источникам трафика, времени).

Системный журнал в ИКС отображает сообщения о действиях пользователей, изменения в статусах сервисов и ошибки системы. Чтоб быть в курсе происходящего и оперативно реагировать, администратор системы может выбрать интересующий тип событий, настроить уведомления на e-mail, в jabber или icq и удаленно управлять с помощью дополнительных команд.

Контроль доступа и учет трафика

Сегодня практически любая локальная сеть подключена к интернету, поэтому, во избежание нецелевого расходования трафика в рабочее время, необходимо контролировать доступ сотрудников во внешнюю сеть.

ИКС КУБ позволит:

назначать разные права доступа для отдельных сотрудников и групп пользователей;
ограничивать полосы пропускания для отдельных сайтов, квотировать трафик по времени и пользователям (к примеру, разрешать использование сети в личных целях в нерабочие часы);
выбирать способ авторизации пользователей. ИКС КУБ поддерживает авторизацию по IP, MAC, логину/паролю, через контроллер домена, VPN-соединение, программу-агент;
осуществлять фильтрацию трафика по встроенным и интегрированным категориям, спискам Минюста и Роскомнадзора;
вести системный журнал, составлять отчеты активности пользователей (имеются встроенные стандартизированные + конструктор отчетов).

Данные возможности позволят контролировать сетевую активность каждого пользователя, зарегистрированного в сети.

Система обнаружения и защиты от вторжений (IDS/IPS)

В ИКС используется open source IPS/IDS система – Suricata (многозадачная, высокопроизводительная, поддерживает использование GPU в режиме IDS, позволяет обрабатывать трафик до 10Gbit). ИКС КУБ позволяет выявлять факты неавторизованного доступа в сеть или чрезмерной подозрительной сетевой активности пользователей.

Система предотвращения вторжений в ИКС работает через обеспечение доступности к внутренним и опубликованным сервисам. Интернет Контроль Сервер фиксирует и сохраняет информацию о подозрительной активности, блокирует ботнеты, Dos-атаки,а также TOR, анонимайзеры, p2p и торрент-клиенты.

Сетевой поток отслеживается в реальном времени, при обнаружении опасности применяются различные меры: сброс соединения, логирование выявленных сигнатур или пропуск трафика. IPS дефрагментирует пакеты, переупорядочивает пакеты TCP для защиты от пакетов с измененными SEQ и ACK номерами.

Безопасный ВПН

VPN в ИКС КУБ – виртуальная частная сеть, позволяющая объединить в единую логическую сеть пользователей, которые физически удалены друг от друга (фрилансеры, структурные подразделения в разных офисах, партнеры, сотрудники, работающие удаленно). Несмотря на то, что передача данных осуществляется через внешнюю публичную сеть, безопасность подключения и передачи данных обеспечивается за счет логической сети при помощи сверхшифрования.

ИКС КУБ поддерживает следующие типы удаленного соединения: PPTP, L2TP, PPoE, GRE/IPIP, OpenVPN.

Устойчивое и безопасное VPN-соединение в Интернет Контроль Сервере позволяет решать срочные вопросы в режиме реального времени даже в нерабочее время.

ИЛЬЯ РОЗЕНКРАНЦ , менеджер по продукту ALTELL NEO компании «ООО «АльтЭль», сертифицированный специалист по иформационной безопасности (Check Point Sales Professional, McAfee Sales Professional), имеет сертификаты Cisco (CCNA, CCNP, IPTX), [email protected]

Защищаем сети по периметру
Обзор технологий UTM в решении ALTELL NEO

История развития UTM-устройств (Unified Threat Management, унифицированные средства защиты от угроз) началась около 25 лет назад, когда в 1988 году компания DEC изобрела свой пакетный фильтр, работающий на третьем уровне модели OSI (Open system interconnection) и анализирующий только заголовок пакета

Он и стал первым коммерческим «межсетевым экраном» (МЭ). В то время такой минималистический подход был полностью оправдан существующими реалиями угроз, в результате чего подобные МЭ без учета состояния (stateless inspection firewalls) стали неотъемлемой частью системы обеспечения ИБ.

Практически параллельно с этими событиями, в 1989-1990 годах, миру были представлены МЭ, работающие с данными четвертого уровня OSI, – так называемые МЭ с учетом состояний (stateful inspection firewall). Хотя неверно было бы думать, что ИБ-специалисты не рассматривали возможность контроля и фильтрации трафика на уровне приложений, на то время (начало 1990-х) реализация этого метода исключалась по причине недостаточной производительности вычислительных систем. Только к началу 2000-х производительность аппаратных платформ позволила выпустить первые коммерческие UTM-решения.

В настоящее время межсетевые экраны, уже давно доказавшие свою эффективность, остаются наравне с антивирусным ПО одними из самых распространенных средств защиты информационных систем. Однако появление новых видов комплексных атак и рост трафика на уровне приложений (IP-телефония, потоковое видео, облачные корпоративные приложения) зачастую сводят эффективность традиционных МЭ к нулю. Для того чтобы достойно противостоять подобным угрозам, ведущие мировые ИТ-компании развивают новые технологии, нацеленные на выявление и предотвращение атак, осуществляемых на самых разных уровнях (от атак через каналы связи до приложений).

Одним из решений описанной проблемы стала интеграция в межсетевой экран функций других специализированных устройств, например, веб-фильтра и криптографического шлюза. Получившийся тип устройств имеет обозначение UTM. Также становится популярным термин «межсетевые экраны нового поколения» (NGFW, Next Generation Firewall), фильтрующие трафик и на седьмом уровне модели OSI.

На заре эры UTM-устройств (2004-2005 годы) все их компоненты были уже созданы: активно применялись межсетевые экраны с режимом анализа состояний (stateful inspection), механизмы построения защищенных сетей по общедоступным каналам связи (VPN – virtual private network), сетевые комплексы обнаружения и предотвращения вторжений (IDS/IPS – intrusion detection/prevention system), веб-фильтры.

При этом рабочие места защищались набором средств для защиты на уровне приложений (антивирус, антиспам, антифишинг). Но решение одной проблемы (обеспечение необходимого уровня информационной безопасности) привело к появлению других: резко выросли требования к квалификации технического персонала, повысилось энергопотребление оборудования, увеличились требования к объему серверных комнат, стало сложнее управлять процессом обновления программной и аппаратной частей комплексной системы безопасности.

Кроме того, многократно возросли проблемы с интеграцией новых средств защиты информации в уже существующую инфраструктуру, зачастую состоявшую из продуктов разных разработчиков. По этой причине возникла идея объединить все перечисленные функции в одном устройстве, тем более что к тому времени аппаратные платформы достигли достаточного уровня производительности и могли одновременно справляться с несколькими задачами.

В результате на рынке появились решения, позволяющие снизить затраты на защиту информации и в то же время повысить уровень информационной безопасности, так как «начинка» UTM изначально отлажена и оптимизирована для одновременной работы всех включенных в нее функций.

Востребованность и правильность такого подхода подтверждают цифры международной исследовательской компании IDC, согласно которым в первой четверти 2014 года рост сегмента UTM-устройств составил 36,4% (по сравнению с аналогичным периодом предыдущего года). Для сравнения: общий рост рынка устройств защиты информации за аналогичный период составил 3,4%, и теперь на UTM-устройства приходится 37% этого рынка. В то же время спад выручки по направлению Firewall/VPN составил 21,2%.

Основываясь на вышеперечисленных трендах рынка информационной безопасности, на исходе первого десятилетия нового века многие производители представили свои межсетевые экраны нового поколения. Так, российская компания «АльтЭль» выпустила продукт ALTELL NEO.

В то же время в решениях для обеспечения информационной безопасности растет популярность использования интегрированных систем разных производителей для повышения уровня защиты: вендоры аппаратных средств защиты стали активнее сотрудничать с разработчиками профильного ПО. Например, в продукт ALTELL NEO были внедрены технологии «Лаборатории Касперского» для защиты данных на уровне приложений: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

В настоящее время множество игроков на рынке предлагают межсетевые экраны нового поколения, среди них Palo Alto, Check Point, Cisco, Intel Security. В существующих реалиях, когда курс доллара имеет высокую волатильность, многие заказчики, и в первую очередь госструктуры, рассматривают импортозамещение как возможность выполнить требования регуляторов и внутренних ИБ-процедур. В этой ситуации рассмотрение российских производителей UTM-решений выглядит логичным.

Рассмотрим основные функции UTM-межсетевых экранов ALTELL NEO.

Антивирус/антиспам

В настоящее время многие компании выбирают UTM-устройства для защиты периметра сети, в том числе благодаря возможности фильтровать входящую и исходящую электронную почту.

Первым российским полнофункциональным решением в этой области является высокопроизводительный межсетевой экран нового поколения ALTELL NEO. В его арсенале имеется два независимых антивируса и антиспам-решения: ClamAV (бесплатный продукт) и Kaspersky AV, SpamAssassin и Kaspersky AS соответственно.

Cтандартные возможности и функции UTM-устройств:

Поддержка работы в прозрачном (незаметном для конечного пользователя) режиме.
Поддержка DNS Black List.
Поддержка «черных», «белых» и «серых» списков.
Проверка наличия DNS-записи о сервере-отправителе.
Технология SPF (Sender Policy Framework, структура политики отправителя) – расширение для протокола отправки электронной почты через SMTP, позволяющее определить подлинность домена отправителя. SPF является одним из способов идентификации отправителя электронного письма и предоставляет дополнительную возможность фильтрации потока почты на предмет наличия в нем спамерских сообщений. С помощью SPF почта разделяется на «разрешенную» и «запрещенную» относительно домена получателя или отправителя.
Сервис SURBL (Spam URI Realtime Blocklists) – сервис, содержащий сведения не об IP-адресах, с которых поступает спам, а о сайтах, которые рекламируются в спамерских сообщениях. Поскольку большинство спам-писем (и фишерских писем в частности) призываtт посетить какой-либо сайт, и сайтов этих меньше, чем IP-адресов отправителей спама, то SURBL может работать более эффективно, чем RBL, – фильтровать до 80-90% спама при ложных срабатываниях не выше 0,001-0,05%.
Отсутствие технической возможности потери сообщений в фильтре.
Применение ЭЦП в отправляемых письмах с помощью технологии DKIM (DomainKeys Identified Mail). Данная технология позволяет подтвердить подлинность (аутентифицировать) отправителя письма, а также подтвердить отсутствие изменений в электронном письме во время его передачи от отправителя к получателю.
Передовые методы фильтрации: байесовская фильтрация, Razor.

Использование технологии антивируса/антиспама позволяет компаниям, например, банкам, выполнять требования Банка России по защите от вредоносного кода. В отличие, скажем, от СТО БР ИББС и 382-П, где этой тематике было отведено немного места, уже больше года мы имеем полноценный документ: письмо 49-Т от 24 марта 2014 года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». В документах расписаны как технические, так и организационные требования.

Применение UTM-решений с антивирусом позволит и интернет-провайдеру предоставить очищенный трафик, и банку выполнить рекомендации регулятора по части сегментации и возможности локализации эпидемий вредоносного кода.

Система обнаружения и предотвращения вторжений – IDPS

Системы обнаружения и предотвращения вторжений, IDS/IPS или IDPS (Intrusion detection/prevention system, аналогичный русскоязычный термин – СОВ/СПВ), – необходимое звено защиты внутренней сети организации. Основное предназначение подобных систем – выявление фактов неавторизованного доступа в корпоративную сеть и принятие мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения, перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника.

В ALTELL NEO реализовано несколько технологий IDPS, различающихся по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов IDPS от компании «АльтЭль» выполняют следующие функции:

Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов либо систему SIEM.
Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDPS. Возможна также программируемая реакция с использованием скриптов.
Генерация отчетов. Отчеты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что позволяет не только самостоятельно определить угрозу, но и успешно заблокировать ее. В этом сценарии функционал IPS, реализованный в ALTELL NEO, гораздо шире IDS и включает в себя следующие возможности:

Блокирование атаки (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям).
Изменение защищаемой среды (изменение конфигурации сетевых устройств для предотвращения атаки).
Нейтрализация атаки (например, удаление из письма инфицированного файла и отправка его получателю уже очищенным либо работа в режиме прокси, т.е. анализ входящих запросов и отсечение данных в заголовках пакетов).

Преимущества любых технологий неизбежно сопровождаются некоторыми недостатками. Например, система IDPS не всегда может точно определить инцидент ИБ, а иногда способна принять нормальное поведение трафика/пользователя за инцидент.

В первом варианте принято говорить о false negative (ложноотрицательном результате), во втором варианте говорят о false positive (ложном срабатывании). Ни одно из существующих сегодня решений не позволяет полностью исключить ни FP-, ни FN- события. Поэтому организация в каждом случае должна самостоятельно решить, какая из этих групп рисков представляет большую угрозу, после чего настроить решение соответственно.

Существуют различные методики обнаружения инцидентов с помощью технологий IDPS. Большинство реализаций IDPS использует комбинацию данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз. Стоит отметить, что в оборудовании ALTELL NEO реализованы все нижеописанные технологии.

Обнаружение атак в почте, основанное на сигнатурах

Сигнатурой называют шаблон, который, будучи обнаружен в трафике или почтовом сообщении, однозначно идентифицирует конкретную атаку. Обнаружение атаки по сигнатурам – это процесс сравнения контента с базой сигнатур, хранящейся внутри решения. Примерами сигнатур являются:

соединение telnet пользователя root, что будет являться нарушением определенной политики безопасности компании;
входящее электронной письмо с темой «бесплатные картинки» с приложенным файлом freepics.exe;
лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но очень неэффективен при атаках, для которых еще нет сигнатур.

Встроенная в ALTELL NEO система антивируса/антиспама позволяет фильтровать от 120 до 800 писем в минуту.

Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности элементов сети с событиями, отклоняющимися от нормального уровня. У IPS, использующих этот метод, есть т.н. профили, которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени.

Например, в профиль может быть записано повышение веб-трафика на 13% в рабочие дни. IDPS в дальнейшем использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением. При превышении этого порогового значения на консоль управления администратора безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе атрибутов, взятых из поведенческого анализа пользователей, например, количества отосланных электронных писем, количества неудачных попыток входа в систему, уровня загрузки процессора сервера в определенный период времени, и многих других.

Данный метод позволяет блокировать атаки, которые обошли фильтрацию сигнатурного анализа.

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO, лежит открытая технология Suricata, доработанная под потребности компании. В отличие от более распространенной открытой IDS/IPS Snort, Suricata обладает рядом преимуществ, например, позволяет добиться более высокой производительности за счет распараллеливания обработки трафика по ядрам процессора и меньшего числа ложных срабатываний.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит два-три раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение как функции IDS, так и IPS происходит на выбранном администратором интерфейсе устройства – одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функционально отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Правила безопасности разрабатываются сообществом Emerging Threats. Правила основаны на многолетнем совместном опыте экспертов в области сетевой безопасности и постоянно совершенствуются. Обновление правил происходит автоматически (для этого в ALTELL NEO должно быть настроено подключение к интернету). При необходимости можно настроить ручное обновление.

Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов от 1 до 3, при этом приоритет 1 является высоким, приоритет 2 – средним, приоритет 3 – низким.

В соответствии с данными приоритетами может быть назначено действие, которое в режиме реального времени будет выполнять система IDS/IPS при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть одним из следующих:

Alert (режим IDS) – трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил.
Drop (режим IPS) – анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение.
Reject (режим IPS) – в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение.
Pass (режим IDS и IPS) – в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам системой не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчеты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в системе внешнего мониторинга и управления (СВМиУ) собственной разработки. СВМиУ собирает исходные данные (alert) с одного или нескольких устройств ALTELL NEO.

Система обнаружения и предотвращения вторжений ALTELL NEO работает на скоростях от 80 Мбит/с
до 3200 Мбит/с.

Система веб-фильтрации

В ALTELL NEO встроен модуль веб-прокси (посредник) для фильтрации запросов пользователей и кэширования данных, получаемых из Всемирной сети.

Посредник может работать в нескольких режимах, которые можно комбинировать для решения разных задач.По контексту применения выделяются следующие режимы работы:

взаимодействия с клиентским ПО (например, веб-браузерами пользователей): «прозрачный» и «непрозрачный»;
аутентификации пользователей прокси: без аутентификации, с аутентификацией на основе LDAP, с аутентификацией на основе NTLM;
обработки запросов пользователей (URL содержимого, IP-адрес источника и так далее): с фильтрацией и без фильтрации;
обработки веб-содержимого, полученного в ответ на запросы пользователей: с кэшированием и без кэширования;
с включенным и отключенным режимом проксирования SSL.

Рынок UTM достаточно большой, и он продолжает расти, на нем представлены как аппаратные, так и программные решения. Какое из них использовать, это вопрос каждый специалист, каждая организация решают исходя из своих предпочтений и возможностей. Главное – иметь подходящий по параметрам сервер, ведь теперь одна система будет выполнять несколько проверок, и нагрузка существенно возрастет.

Одно из преимуществ современных UTM-устройств – их универсальность, и ALTELL NEO является хорошим образцом этого подхода. В зависимости от размеров компании могут использоваться решения различных классов: от настольных до серверных 2U-систем производительностью до 18,5 Гбит/с. Технологии «Лаборатории Касперского», лежащие в основе антивирусного функционала ALTELL NEO, позволяют обновлять антивирусные базы от 10 до 25 раз в день. При этом средний размер обновления обычно не превышает 50 Кб, что составляет одно из лучших в индустрии соотношений частота/размер.

Вконтакте

Современный интернет таит в себе множество угроз, поэтому львиную часть своего времени админы тратят на обеспечение безопасности сети. Появившись многофункциональные устройства защиты UTM сразу привлекли к себе внимание специалистов безопасности т.к. они сочетают в себе несколько модулей защиты с простотой развертывания и управления. На сегодня можно всттретить множество реализаций, поэтому выбрать подчас не так то просто. Попробуем разобраться с особенностями популярных решений.

Что такое UTM?

Учитывая рост сетевых и вирусных атак, спама, необходимости в организации безопасного обмена данными, предприятия нуждаются в надежном и простом в управлении средстве защиты. Особенно остро стоит вопрос в сетях малого и среднего бизнеса, в которых часто нет технической и финансовой возможности в развертывании разнородных систем безопасности. Да и подготовленных специалистов в таких организациях обычно не хватает. Именно для этих условий были разработаны многофункциональные многоуровневые сетевые устройства, получившие название UTM (Unified Threat Management, унифицированное устройство защиты). Выросшие из межсетевых экранов, UTM сегодня объединяют функции нескольких решений - файервол с DPI (Deep Packet Inspection), система защиты от вторжений (IDS/IPS), антиспам, антивирус и контентная фильтрация. Часто такие устройства имеют возможности организации VPN, аутентификации пользователей, балансировки нагрузки, учета трафика и др. Устройства класса «все в одном» с единой консолью настроек позволяют быстро ввести их в работу, а в последующем также легко обновлять все функции или добавлять новые. От специалиста требуется лишь понимание, что и как надо защищать. Стоимость UTM, как правило ниже, чем приобретение нескольких приложений/устройств, поэтому и меньше совокупные затраты.

Термин UTM введен Чарльзом Колодги (Charles Kolodgy) из аналитической компании IDC (InternationalData Corporation) в документе «World wide Threat Management Security Appliances 2004-2008 Forecast», опубликованном в сентябре 2004 года, чтобы обозначить универсальные устройства защиты, которые способны справиться со все нарастающим числом сетевых атак. Изначально подразумевалось наличие лишь трех функций (firewall, DPI и антивирус), теперь возможности предоставляемые, UTM устройствами, гораздо шире.

Рынок UTM достаточно большой, и показывает ежегодный прирост на 25-30% (вытесняя постепенно «чистый» firewall), а поэтому практически все крупные игроки уже представили свои решения, как аппаратные, так и программные. Какой из них использовать, это часто вопрос вкуса и доверия к разработчику, а также наличия адекватной поддержки и, конечно же, специфических условий. Единственный момент - следует выбрать надежный и производительный сервер с учетом планируемой нагрузки, ведь теперь одна система будет выполнять несколько проверок, а это уже потребует дополнительных ресурсов. При этом нужно быть внимательным, в характеристиках UTM решений обычно указывается пропускная способность межсетевого экрана, а возможности IPS, VPN и других компонентов зачастую на порядок ниже. Сервер UTM является единой точкой доступа, отказ которой фактически оставит организацию без интернета, поэтому разнообразные возможности по восстановлению также лишними не будут. Аппаратные реализации часто имеют дополнительные сопросессоры, используемые для обработки некоторых видов данных, вроде шифрования или анализа контекста, позволяющие снять нагрузку с основного CPU. Зато программную реализацию можно установить на любой ПК, с возможностью дальнейшего беспроблемного апгрейда любого компонента. В этом плане интересны OpenSource решения (Untangle, pfSense, Endian и другие), позволяющие существенно сэкономить на ПО. Большинство из этих проектов предлагают также и коммерческие версии с продвинутыми возможностями и техподдержкой.

Платформа: FortiGate
Сайт проекта: fortinet-russia.ru
Лицензия: платная
Реализация: аппаратная

Калифорнийская компания Fortinet, основанная в 2000 году, сегодня является одним из крупнейших поставщиков UTM устройств, ориентированных на разную нагрузку от небольшого офиса (FortiGate-30) до центров обработки данных (FortiGate-5000). Устройства FortiGate представляют собой аппаратную платформу, обеспечивающую защиту от сетевых угроз. Платформа оснащена межсетевым экраном, IDS/IPS, антивируcной проверкой трафика, антиспам, веб-фильтром и контролем приложений. Некоторые модели поддерживают функции DLP, VoIP, шейпинг трафика, WAN-оптимизацию, отказоустойчивость, аутентификацию пользователя для доступа к сетевым сервисам, PKI и другие. Механизм активных профилей позволяет обнаружить нетипичный трафик с автоматизацией реакции на такое событие. Антивирус может проверять файлы любых размеров, в том числе и в архивах, сохраняя при этом высокий уровень производительности. Механизм веб-фильтрации позволяет установить доступ к более чем 75 категориям веб-сайтов, указать квоты, в том числе в зависимости от времени суток. Например, доступ к развлекательным порталам можно разрешить только в нерабочее время. Модуль контроля приложений обнаруживает типичный трафик (Skype, P2p, IM и т.п.) вне зависимости от порта, правила traffic shaping указываются для отдельных приложений и категорий. Зоны безопасности и виртуальные домены позволяют разбить сеть на логические подсети. Некоторые модели имеют интерфейсы коммутатора LAN второго уровня и WAN-интерфейсы, поддерживается маршрутизация по протоколам RIP, OSPF и BGP. Шлюз может быть настроен в одном из трех вариантов: прозрачный режим, статический и динамический NAT, что позволяет безболезненно внедрить FortiGate в любую сеть. Для защиты точек доступа используется специальная модификация с WiFi - FortiWiFi.
Чтобы охватить системы (ПК под управлением Windows, смартфоны Android), которые работают вне защищаемой сети, на них может устанавливаться программа-агент FortiClient, включающий в себя полный комплект (firewall, антивирус, SSL и IPsec VPN, IPS, веб-фильтр, антиспам и многое другое). Для централизованного управления несколькими устройствами, производимыми Fortinet, и анализа журналов событий используются FortiManager и FortiAnalyzer.
Кроме веб- и CLI-интерфейса, для базовой настройки FortiGate/FortiWiFi можно использовать программу FortiExplorer (доступна в версии Win и Mac OS X), предлагающую доступ к GUI и CLI (команды напоминают Cisco).
Одна из фишек FortiGate - специализированный набор микросхем FortiASIC, которые обеспечивают анализ контента и обработку сетевого трафика и позволяют в реальном времени обнаруживать сетевые угрозы, не влияя на производительность сети. На всех устройствах используется специализированная ОС – FortiOS.

Платформа: Check Point UTM-1
Сайт проекта: rus.checkpoint.com
Лицензия: платная
Реализация: аппаратная

Компания Check Point предлагает 3 линейки устройств класса UTM: UTM-1, UTM-1 Edge (удаленные офисы) и Safe@Office (небольшие компании). Решения содержат все необходимое для защиты сети - файервол, IPS, антивирусный шлюз, антиспам, средства построения SSL VPN и удаленного доступа. Межсетевой экран умеет различать трафик, присущий большинству приложений и сервисов (более 200 протоколов), администратор может легко заблокировать доступ к IM, P2P сетям или Skype. Обеспечивается защита веб-приложений и URL-фильтр, в базе данных Check Point содержится несколько миллионов сайтов, доступ к которым можно легко блокировать. Антивирус проверяет потоки HTTP/FTP/SMTP/POP3/IMAP, не имеет ограничений на размер файлов и умеет работать с архивами. Модели UTM-1 с литерой W выпускаются со встроенной точкой доступа WiFi.
В IPS используются различные методы обнаружения и анализа: сигнатуры уязвимостей, анализ протоколов и поведения объектов, выявление аномалий. Механизм анализа умеет вычислять важные данныи, поэтому тщательно проверяется 10% трафика, остальной проходит без дополнительных проверок. Это позволяет снизить нагрузку на систему и повысить эффективность работы UTM. Антиспам-система использует несколько технологий - IP-репутацию, анализ содержимого, черный и белый списки. Поддерживается динамическая маршрутизация OSPF, BGP и RIP, несколько методов аутентификации пользователей (пароль, RADUIS, SecureID и др.), реализован сервер DHCP.
В решении используется модульная архитектура, так называемые Software Blades (программные блейды) позволяют при необходимости расширить функционал до нужного уровня, обеспечивая требуемый уровень безопасности и стоимость. Так можно дооснастить шлюз блейдами Web Security (обнаружение и защита веб-инфраструктуры), VoIP (защита VoIP), Advanced Networking, Acceleration & Clustering (максимальная производительность и доступность в разветвленных средах). Например, технологии Web Application Firewall и Advanced Streaming Inspection, применяемые в Web Security, позволяют в реальном времени обрабатывать контекст, даже если он разбит на несколько TCP-пакетов, подменять заголовки, скрывая данные об используемых приложениях, перенаправлять пользователя на страницу с детальным описанием ошибки.
Удаленное управление возможно средствами веб и Telnet/SSH. Для централизованных настроек нескольких устройств может применяться Check Point SmartCenter, используемая в нем технология Security Management Architecture (SMART) позволяет осуществлять управление всеми элементами Check Point, включенными в политику безопасности. Возможности SmartCenter расширяются при помощи дополнительных модулей, обеспечивающих визуализацию политик, интеграцию с LDAP, обновления, отчеты и др. Все обновления UTM получают централизованно при помощи сервиса Check Point Update Service.

Платформа: ZyWALL 1000
Сайт проекта: zyxel.ru
Лицензия: платная
Реализация: аппаратная

Большинство шлюзов безопасности, выпускаемых ZyXEL, по своим возможностям можно смело относить к UTM, хотя по официальному классификатору сегодня в этой линейке пять моделей ZyWALL USG 50/100/300/1000/2000, ориентированных для небольших и средних сетей (до 500 пользователей). В терминологии ZyXEL такие устройства называются «Центр сетевой безопасности». Так, например, ZyWALL 1000 представляет собой скоростной шлюз доступа, предназначенный для решения задач сетевой безопасности и управления трафиком. Включает потоковый антивирус Касперского, IDS/IPS, контентную фильтрацию и защиту от спама (Blue Coat и Commtouch), контроль полосы пропускания и VPN (IPSec, SSL и L2TP over IPSec VPN). К слову, при покупке стоит обратить внимание на прошивку - международная или для России. В последней из-за ограничений таможенного союза для туннелей IPsec VPN и SSL VPN используется ключ DES 56 бит.
Политики доступа основываются на нескольких критериях (IP, пользователь и время). Средства контентной фильтрации позволяют легко ограничить доступ к сайтам определенной тематики и работу некоторых программ IM, P2P, VoIP, mail и пр. Система IDS использует сигнатуры и защищает от сетевых червей, троянов, бэкдоров, DDoS и эксплойтов. Технология обнаружения аномалий (Anomaly Detection and Prevention) анализирует проходящие через шлюз пакеты на 2 и 3 уровнях OSI, выявляя несоответствия, определяет и блокирует 32 типа сетевых атак. Возможности End Point Security позволяют автоматически проверять тип ОС, наличие активного антивируса и firewall, наличие установленных обновлений, запущенных процессов, параметров реестра и других. Администратор может запретить выход в Сеть для систем, не удовлетворяющих определенным параметрам.
Реализовано множественное резервирование доступа в интернет и балансировка нагрузки. Возможна передача VoIP по протоколам SIP и Н.323 на уровне firewall и NAT, и в VPN туннелях. Предусмотрена простая организация VLAN и создание виртуальных интерфейсов-псевдонимов. Поддерживается аутентификация средствами LDAP, AD, RADIUS, что позволяет настраивать политики безопасности на основе уже принятых в организации правил.
Обновления баз основных компонентов и активация некоторых функций (антиспам Commtouch, увеличение количества туннелей VPN) осуществляется посредством карт подключения. Настройка производится при помощи CLI и веб-интерфейса. Первоначальные установки помогает произвести мастер.

ОС: Untangle Server 9.2.1 Сruiser
Сайт проекта: untangle.com
Лицензия: GPL
Реализация: программная
Аппаратные платформы: x86, x64
Системные требования: Pentium 4 или подобный AMD, 1 Гб RAM, 80 Гб диск, 2 NIC.

Любой *nix-дистрибутив можно настроить как полноценное UTM решение, в репозитариях пакетов доступно все необходимое для этого. Но есть и минусы: все компоненты придется устанавливать и настраивать самостоятельно (а это уже требует некоторого опыта), и что немаловажно, так мы лишаемся единого интерфейса управления. Поэтому в данном контексте очень интересны готовые решения, построенные на базе OpenSource систем.
Дистрибутив Untangle, выпускаемый одноименной компанией, появившись в 2008 году, сразу привлек внимание сообщества своим подходом. Его основой послужил Debian, все настройки производятся при помощи простого и понятного интерфейса. Изначально дистрибутив назывался Untangle Gateway и ориентировался для использования в небольших организациях (до 300 пользователей) как полноценная замена проприетарному Forefront TMG для обеспечения безопасного доступа в интернет и защиты внутренней сети от ряда угроз. Со временем функции и возможности дистрибутива стали шире и название было изменено на Untangle Server, а дистрибутив уже способен обеспечить работу большего количества пользователей (до 5000 и выше, в зависимости от мощности сервера).
Изначально функции защиты Untangle реализованы в виде модулей. После установки базовой системы какие-либо модули защиты отсутствуют, администратор самостоятельно выбирает то, что ему нужно. Для удобства модули разбиты по 5 пакетам (Premium, Standard, Education Premium Education Standard и Lite), доступность которых определяет лицензия, а сами пакеты разделены на две группы по назначению: Filter и Services. Все OpenSource приложения собраны в бесплатном Lite, который содержит 13 приложений, обеспечивающих проверку трафика на вирусы и spyware, контентный фильтр, блокировку баннеров и спама, файервол, контроль протоколов, IDS/IPS, OpenVPN, политики доступа (Captive Portal). Модуль Reports, входящий в пакет Lite, позволяет админу получать отчеты по всем возможным ситуациям - сетевой активности, протоколам, обнаруженному спаму и вирусам, активности пользователей с возможностью отправки результата по email и экспорта в PDF, HTML, XLS, CSV и XML. В их основе лежат популярные OpenSource приложения, такие как Snort, ClamAV, SpamAssasin, Squid и т.д. Кроме этого, сервер Untangle обеспечивает все сетевые функции - маршрутизация, NAT, DMZ, QoS, имеет DHCP и DNS серверы.
В коммерческих пакетах доступны: балансировка нагрузки и Failover, контроль полосы пропускания канала и приложений, модуль для работы с Active Directory, резервирование настроек и некоторые другие функции. За плату предоставляется и поддержка, хотя ответы на многие вопросы можно найти на официальном форуме. Кроме этого, проект предлагает готовые сервера с предустановленным Untangle.
Для настройки предлагается удобный интерфейс, написанный на Java, все изменения и статистика работы выводятся в реальном времени. При работе с Untangle администратору не нужно иметь глубоких знаний *nix, достаточно понимать, что нужно получить в результате. Установка дистрибутива довольно проста, надо просто следовать по подсказкам мастера, другой мастер в последующем помогает настроить шлюз.
Endian Firewall

ОС: Endian Firewall Community 2.5.1
Сайт проекта: endian.com/en/community
Лицензия: GPL
Аппаратные платформы: x86
Системные требования: CPU 500 МГц, 512 Mб RAM, 2 Гб

Разработчики Endian Firewall предлагают несколько версий своего продукта, реализованные как в виде аппаратной, так и программной платформы. В том числе есть версия и для виртуальных машин. Для всех релизов указана лицензия GPL, однако для свободной загрузки доступен лишь ISO образ Community Edition и исходный код. Операционная система построена на базе CentOS и содержит все специфические для Linux приложения, обеспечивающие функции файервола, IDS/IPS, антивирусную проверку HTTP/FTP/POP3/SMTP трафика, защиту от спама, фильтр контента, антиспуфинг и антифишинг модули, систему отчетов. Возможно создание VPN средствами OpenVPN и IPsec с аутентификацией по ключу или сертификату. Контентный фильтр содержит готовые настройки для более чем 20 категорий и подкатегорий сайтов, есть blacklist и функции контекстной фильтрации. Используя ACL, можно указать параметры доступа для отдельного пользователя, группы, IP, времени и браузера. Ведется статистика по соединениям, трафику, работе пользователей. При наступлении определенных событий на email админа отправляется сообщение. Предусмотрена локальная аутентификация пользователей, Active Directory, LDAP и RADIUS. Интерфейс позволяет легко создать VLAN, управлять QoS, поддерживается SNMP. Изначально дистрибутив комплектуется антивирусом ClamAV, опционально возможно использование антивирусного движка Sophos.
Для настроек используется веб-интерфейс и командная строка. Первоначальные установки производятся при помощи мастера, который позволяет задать тип подключения к интернет, назначать интерфейсы (LAN, WiFi, DMZ). Внешнему интерфейсу можно назначить несколько IP-адресов, поддерживается MultiWAN. Для удобства настроек сетевые интерфейсы разбиты на зоны - RED, ORANGE, BLUE и GREEN, правила firewall уже содержат установки, определяющие обмен между ними. Настройки распределены по группам, названия которых говорят сами за себя, при должной внимательности разобраться очень просто.

Заключение

Комплексные системы UTM постепенно вытесняют традиционные решения вроде firewall, поэтому стоит присмотреться к ним повнимательней. В зависимости от конкретных условий подойдут разные варианты. С защитой небольших и средних сетей вполне справляются OpenSource Endian Firewall и Untangle. Конечно, UTM не заменяют, а дополняют средства защиты, установленные на отдельных ПК, создавая дополнительный рубеж защиты на входе в LAN.

Именно такой результат дал опрос более 1000 руководителей IT-подразделений крупных и средних европейских компаний, проведенный по заказу корпорации Intel. Целью опроса было желание определить проблему, которая в большей степени волнует специалистов отрасли. Ответ был вполне ожидаемый, более половины респондентов назвали проблему сетевой безопасности, проблему, требующей незамедлительного решения. Так же вполне ожидаемым можно назвать и другие результаты опроса. Например, фактор сетевой безопасности лидирует среди других проблем в области информационных технологий; степень его важности возросла на 15% по сравнению с ситуацией, существовавшей пять лет тому назад .
По результатам опроса, свыше 30% своего времени высококвалифицированные IT-специалисты тратят на решение как раз именно вопросов обеспечения безопасности . Ситуация, сложившаяся в крупных компаниях (со штатом свыше 500 сотрудников), еще более тревожна - около четверти респондентов тратят половину своего времени на решение этих вопросов.

Баланс угроз и защиты

Увы, но проблематика сетевой безопасности неразрывно связана с основополагающими технологиями, используемыми в современных телекоммуникациях. Так уж случилось, что при разработке семейства IP-протоколов приоритет был отдан надежности функционирования сети в целом. Во времена появления этих протоколов сетевая безопасность обеспечивалась совершенно другими способами, которые просто нереально использовать в условиях Глобальной сети. Можно громко сетовать на недальновидность разработчиков, но кардинально изменить ситуацию практически невозможно. Сейчас просто надо уметь защищаться от потенциальных угроз .
Главным принципом в этом умении должен быть баланс между потенциальными угрозами для сетевой безопасности и уровнем необходимой защиты . Должна быть обеспечена соизмеримость между затратами на безопасность и стоимостью возможного ущерба от реализованных угроз.
Для современного крупного и среднего предприятия информационные и телекоммуникационные технологии стали основой ведения бизнеса. Поэтому они оказались наиболее чувствительны к воздействию угроз. Чем масштабнее и сложнее сеть, тем больших усилий требует ее защита. При этом стоимость создания угроз на порядки меньше затрат на их нейтрализацию. Такое положение дел заставляет компании тщательно взвешивать последствия возможных рисков от различных угроз и выбирать соответствующие способы защиты от наиболее опасных.
В настоящее время наибольшие угрозы для корпоративной инфраструктуры представляют действия связанные с несанкционированным доступом к внутренним ресурсам и с блокированием нормальной работы сети. Существует довольно большое число таких угроз, но в основе каждой из них лежит совокупность технических и человеческих факторов. Например, проникновение вредоносной программы в корпоративную сеть может произойти не только вследствие пренебрежения со стороны администратора сети правилами безопасности, но также в силу излишнего любопытства сотрудника компании, решившего воспользоваться заманчивой ссылкой из почтового спама. Поэтому не стоит надеяться, что даже самые лучшие технические решения в области безопасности станут панацеей от всех бед.

Решения класса UTM

Безопасность всегда является относительным понятием. Если ее слишком много, то заметно усложняется пользование самой системой, которую мы собираемся защитить. Поэтому разумный компромисс становится первоочередным выбором в деле обеспечения сетевой безопасности. Для средних предприятий по российским меркам такой выбор вполне могут помочь сделать решения класса UTM (Unified Threat Management или United Threat Management) , позиционируемы как многофункциональные устройства сетевой и информационной безопасности. По своей сути эти решения представляют собой программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана (firewall), системы обнаружения и предотвращения вторжений в сеть (IPS), а также функции антивирусного шлюза (AV). Часто на эти комплексы возлагается решение дополнительных задач, например маршрутизации, коммутации или поддержки VPN сетей.
Зачастую поставщики решений UTM предлагают использовать их в малом бизнесе. Возможно, такой подход отчасти оправдан. Но все же малому бизнесу в нашей стране и проще, и дешевле воспользоваться сервисом безопасности от своего интернет-провайдера.
Как любое универсальное решение оборудование UTM имеет свои плюсы и минусы . К первым можно отнести экономию средств и времени на внедрение по сравнению с организацией защиты аналогичного уровня из отдельных устройств безопасности. Так же UTM представляет собой предварительно сбалансированное и протестированное решение, которое вполне может решить широкий круг задач по обеспечению безопасности. Наконец, решения этого класса не столь требовательны к уровню квалификации технического персонала. С их настройкой, управлением и обслуживанием вполне может справиться любой специалист.
Основным минусом UTM является факт, что любая функциональность универсального решения зачастую менее эффективна, чем аналогичная функциональность специализированного решения. Именно поэтому когда требуется высокая производительность или высокая степень защищенности специалисты по безопасности предпочитают использовать решения на основе интеграции отдельных продуктов.
Однако, несмотря на этот минус решения UTM становятся востребованными многими организациями, сильно отличающимися по масштабу и роду деятельности. По данным компании Rainbow Technologies, такие решения были успешно внедрены, например, для защиты сервера одного из Интернет магазинов бытовой техники, который подвергался регулярным DDoS-атакам. Так же решение UTM позволило заметно сократить объем спама в почтовой системе одного из автомобильных холдингов. Помимо решения локальных задач, есть опыт построения систем безопасности на базе решений UTM для распределенной сети, охватывающей центральный офис пивоваренной компании и ее филиалы.

Производители UTM и их продукты

Российский рынок оборудования класса UTM сформирован только предложениями зарубежных производителей. К сожалению, никто из отечественных производителей пока не смог предложить собственных решений в данном классе оборудования. Исключение составляет программное решение Eset NOD32 Firewall, которое по сообщению компании было создано российскими разработчиками.
Как уже отмечалось, на российском рынке решения UTM могут быть интересны главным образом средними компаниями, в корпоративной сети которых насчитывается до 100-150 рабочих мест. При отборе оборудования UTM для представления в обзоре главным критерием выбора стала его производительность в различных режимах работы, которая смогла бы обеспечить комфортную работы пользователей. Часто производители указывают характеристики производительности для режимов Firewall, предотвращения вторжения IPS и защиты от вирусов AV.

Решение компании Check Point носит название UTM-1 Edge и представляет собой унифицированное устройство защиты, объединяющее межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а так же средства построения VPN и удаленного доступа. Входящий в решение firewall контролирует работу с большим числом приложений, протоколов и сервисов, а так же имеет механизм блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, трафика систем мгновенных сообщений (IM) и одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, трафика FTP и HTTP. При этом нет ограничений на объем файлов и осуществляется декомпрессия архивных файлов "на лету".
Решение UTM-1 Edge обладает развитыми возможностями работы в VPN сетях. Поддерживается динамическая маршрутизация OSPF и подключение VPN клиентов. Модель UTM-1 Edge W выпускается со встроенной точкой WiFi доступа IEEE 802.11b/g.
При необходимости крупномасштабных внедрений, UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление средствами безопасности значительно упрощается.

Компания Cisco традиционно уделяет вопросам сетевой безопасности повышенное внимание и предлагает широкий набор необходимых устройств. Для обзора мы решили выбрать модель Cisco ASA 5510 , которая ориентирована на обеспечение безопасности периметра корпоративной сети. Это оборудование входит в серию ASA 5500, включающую модульные системы защиты класса UTM. Такой подход позволяет адаптировать систему обеспечения безопасности к особенностям функционирования сети конкретного предприятия.
Cisco ASA 5510 поставляется в четырех основных комплектах — межсетевого экрана, средств построения VPN, системы предотвращения вторжений, а так же средств защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager для формирования инфраструктуры управления при разветвленной корпоративной сети, и система Cisco MARS, призванная осуществлять мониторинг сетевой среды и реагировать на нарушение безопасности в режиме реального времени.

Словацкая компания Eset поставляет программный комплекс Eset NOD32 Firewall класса UTM, включающий, помимо функций корпоративного файервола, систему антивирусной защиты Eset NOD32, средства фильтрации почтового (антиспам) и веб-трафика, системы обнаружения и предупреждения сетевых атак IDS и IPS. Решение поддерживает создание сетей VPN. Этот комплекс построен на основе серверной платформы, работающей под управлением Linux. Программная часть устройства разработана отечественной компанией Leta IT , подконтрольной российскому представительству Eset.
Данное решение позволяет контролировать сетевой трафик в режиме реального времени, поддерживается фильтрация контента по категориям веб-ресурсов. Обеспечивается защиту от атак типа DDoS и блокируются попытки сканирования портов. В решение Eset NOD32 Firewall включена поддержка серверов DNS, DHCP и управление изменением пропускной способности канала. Контролируются трафик почтовых протоколов SMTP, POP3.
Так же данное решение включает возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом поддерживаются различные режимы объединения сетей, алгоритмы аутентификации и шифрования.

Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя свои решения как способные обеспечить защиту сети при сохранении высокого уровня производительности, а так же надежной и прозрачной работы информационных систем предприятия в режиме реального времени. Для обзора мы выбрали модель FortiGate-224B , которая ориентирована для защиты периметра корпоративной сети с 150 - 200 пользователями.
Оборудование FortiGate-224B включает функциональность межсетевого экрана, сервера VPN, фильтрацию web-трафика, системы предотвращения вторжения, а так же антивирусную и антиспамовскую защиту. Эта модель имеет встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет обойтись без внешних устройств маршрутизации и коммутации. Для этого поддерживается маршрутизация по протоколам RIP, OSPF и BGP, а так же протоколы аутентификации пользователей перед предоставлением сетевых сервисов.

Компания SonicWALL предлагает широкий выбор устройств UTM, из которого в данный обзор попало решение NSA 240 . Это оборудование является младшей моделью в линейке, ориентированной на использование в качестве системы защиты корпоративной сети среднего предприятия и филиалов крупных компаний.
В основе данной линейки лежит использование всех средств защиты от потенциальных угроз. Это межсетевой экран, система защиты от вторжения, шлюзы защиты от вирусов и шпионского программного обеспечения. Есть фильтрация web-трафика по 56 категориям сайтов.
В качестве одной из изюминок своего решения компания SonicWALL отмечает технологию глубокого сканирования и анализа поступающего трафика. Для исключения снижения производительности данная технология использует параллельную обработку данных на многопроцессорном ядре.
Это оборудование поддерживает работу с VPN, обладает развитыми возможностями маршрутизации и поддерживает различные сетевые протоколы. Так же решение от SonicWALL способно обеспечить высокий уровень безопасности при обслуживании трафика VoIP по протоколам SIP и Н.323.

Из линейки продукции компания WatchGuard для обзора было выбрано решение Firebox X550e , которое позиционируется как система, обладающая развитой функциональностью для обеспечения сетевой безопасности и ориентирована на использовании в сетях малых и средних предприятий.
В основе решений класса UTM этого производителя лежит использование принципа защиты от смешенных сетевых атак. Для этого оборудование поддерживает межсетевой экран, систему предотвращения атак, антивирусный и антиспамовский шлюзы, фильтрацию web-ресурсов, а так же систему противодействия шпионскому программному обеспечению.
В этом оборудовании используется принцип совместной защиты, согласно которому сетевой трафик, проверенный по определенному критерию на одном уровне защиты не проверятся по этому же критерию на другом уровне. Такой подход позволяет обеспечивать высокую производительность оборудования.
Другим достоинством своего решения производитель называет поддержку технологии Zero Day, которая обеспечивает независимость обеспечения безопасности от наличия сигнатур. Такая особенность важна при появлении новых видов угроз, на которые еще не найдено эффективное противодействие. Обычно "окно уязвимости" длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий окна уязвимости заметно снижается.

Компания ZyXEL предлагает свое решение сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях, насчитывающих до 500 пользователей. Это решение ZyWALL 1050 предназначено для построения системы сетевой безопасности, включающую полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN в зависимости конфигурации сети.
Устройство поддерживает передачу трафика VoIP приложений по протоколам SIP и Н.323 на уровне firewall и NAT, а так же передачу трафика пакетной телефонии в туннелях сети VPN. При этом обеспечивается функционирование механизмов предотвращения атак и угроз для всех видов трафика, включая VoIP-трафик, работа антивирусной системы с полной базой сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама.
Решение ZyWALL 1050 поддерживает различных топологий частных сетей, рабоуа в режиме VPN-концентратора и объединение виртуальных сетей в зоны с едиными политиками безопасности.

Основные характеристики UTM

Мнение специалиста

Дмитрий Костров, директор по проектам Дирекции технологической защиты корпоративного центра ОАО "МТС"

Сфера применения решений UTM главным образом распространяется на компании, относящиеся к предприятиям малого и среднего бизнеса. Само понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, согласно которому UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств. Обычно это межсетевой экран, VPN, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного и антиспамовского шлюзов и фильтрации URL.
Для того чтобы добиться действительно эффективной защиты устройство должно быть многоуровневым, активным и интегрированным. При этом многие производители средств защиты уже имеют достаточно широкую линейку продуктов, относящихся к UTM. Достаточная простота развертывания систем, а также получение системы "все в одном" делает рынок указанных устройств достаточно привлекательным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении данных устройств кажутся очень привлекательными.
Но это решение UTM похоже на "швейцарский нож" - есть инструмент на каждый случай, но чтобы пробить в стене дырку нужна настоящая дрель. Есть также вероятность, что появление защиты от новых атак, обновление сигнатур и т.п. не будет столь быстрыми, в отличие от поддержки отдельных устройств, стоящих в "классической" схеме защиты корпоративных сетей. Также остается проблема единой точки отказа.