ВРАГ У ВОРОТ
ОБЗОР ПОПУЛЯРНЫХ UTM-РЕШЕНИЙ
Современный интернеттаит в себе множество угроз, и львиную долю рабочего времени админам приходится тратить на обеспечение безопасности сети. Появившись на IT-рынке, многофункциональные устройства защиты UTM сразу привлекли внимание специалистов безопасности, поскольку сочетают в себе несколько модулей защиты с простотой развертывания и управления.
ЧТО ТАКОЕ UTM?
Предприятиям необходимо надежное и простое в управлении средство для защиты от сетевых и вирусных атак, спама и для организации безопасного обмена данными. Особенно остро стоит вопрос в сетях малого и среднего бизнеса, где часто нет технической и финансовой возможности для развертывания разнородных систем безопасности. Да и подготовленных специалистов в таких организациях обычно не хватает. Именно для этих условий были разработаны многофункциональные многоуровневые сетевые устройства, получившие название UTM (Unified Threat Management, унифицированное устройство защиты). Выросшие из межсетевых экранов UTM сегодня объединяют функции нескольких решений: файрвол с DPI (Deep Packet Inspection), систему защиты от вторжений (IDS/IPS), антиспам, антивирус и контентную фильтрацию. Часто такие устройства имеют возможности организации VPN
, аутентификации пользователей, балансировки нагрузки, учета трафика и другие. Устройство класса «все в одном» с единой.консолью настроек можно быстро ввести в работу, а в последующем так же легко обновлять все функции или добавлять новые. От специалиста требуется лишь понимание, что и как надо защищать. Цена UTM, как правило, ниже, чем стоимость нескольких приложений и/или устройств.
Рынок UTM достаточно большой и показывает ежегодный прирост на 25-30% (постепенно вытесняя «чистый» firewall
), практически все крупные игроки уже представили свои решения, как аппаратные, так и программные. Какое из них использовать, это часто вопрос вкуса и доверия к разработчику, также важна адекватная поддержка и, конечно же, специфические условия. Единственный момент — следует выбрать надежный и производительный сервер с учетом планируемой нагрузки, ведь теперь одна система будет выполнять несколько проверок, что потребует дополнительных ресурсов. При этом нужно быть внимательным: в характеристиках UTM-решений обычно указывается пропускная способность межсетевого экрана, а возможности IPS, VPN
и других компонентов зачастую на порядок ниже. Сервер UTM является единой точкой доступа, отказ которой фактически оставит организацию без интернета, поэтому разнообразные возможности по восстановлению также лишними не будут. Аппаратные реализации часто имеют дополнительные сопроцессоры, используемые для обработки некоторых видов данных, вроде шифрования или анализа контекста, позволяющие снять нагрузку с основного CPU. Зато программную реализацию можно установить на любой ПК, с возможностью дальнейшего апгрейда любого компонента. В этом плане интересны орепБоигсе-решения (Untangle, pfSense, Endian и другие), позволяющие существенно сэкономить на ПО. Большинство из этих проектов предлагают также и коммерческие версии с продвинутыми возможностями и техподдержкой.
Калифорнийская компания Fortinet, основанная в 2000 году, сегодня является одним из крупнейших поставщиков UTM-устройств, ориентированных на разную нагрузку — от небольшого офиса (FortiGate-ЗО) до центров обработки данных (FortiGate-5000). Устройства FortiGate представляют собой аппаратную платформу, обеспечивающую защиту от сетевых угроз. Платформа оснащена межсетевым экраном, IDS/IPS, антивирусной проверкой трафика, антиспамом, веб-фильтром и контролем приложений. Некоторые модели поддерживают функции DLP, VoIP, шейпингтрафика, WAN-оптимизацию, отказоустойчивость, аутентификацию пользователя для доступа к сетевым сервисам, PKI и другие. Механизм активных профилей позволяет обнаружить нетипичный трафик (с автоматизацией реакции на такое событие). Антивирус может проверять файлы любых размеров, в том числе и в архивах, сохраняя при этом высокий уровень производительности. Механизм веб-фильтрации позволяет установить доступ более чем к 75 категориям вебсайтов, указать квоты, в том числе в зависимости от времени суток. Например, доступ к развлекательным порталам можно разрешить только в нерабочее время. Модуль контроля приложений обнаруживаеттипичный трафик (Skype, P2P, IM и тому подобное) вне зависимости от порта, правила traffic shaping указываются для отдельных приложений и категорий. Зоны безопасности и виртуальные домены позволяют разбить сеть на логические подсети. Некоторые модели имеют интерфейсы коммутатора LAN второго уровня и WAN-интерфейсы, поддерживается маршрутизация по протоколам RIP, 0SPF и BGP. Шлюз может быть настроен в одном из трех вариантов: прозрачный режим, статический и динамический NAT, что позволяет безболезненно внедрить FortiGate в любую сеть. Для защиты точек доступа используется специальная модификация с Wi-Fi — FortiWiFi. Чтобы охватить системы (ПК под управлением Windows, смартфоны Android), которые работают вне доверенной сети, на них может устанавливаться программа-агент FortiClient, включающий в себя полный комплект защиты (firewall, антивирус
, 5SL и IPsec VPN
, IPS, веб-фильтр, антиспам и многое другое). Для централизованного управления несколькими устройствами Fortinet и анализа журналов событий используются FortiManager и FortiAnalyzer.
Кроме веб- и терминального интерфейса, для базовой настройки FortiGate/FortiWiFi можно использовать программу FortiExplorer (доступна в версии для Win и Mac OS X), предлагающую доступ к GUI и CLI (команды напоминают Cisco). Одна из фишек FortiGate — специализированный набор микросхем FortiASIC, которые обеспечивают анализ контента и обработку сетевого трафика и позволяют в реальном времени обнаруживать сетевые угрозы, не влияя на производительность сети. На всех устройствах используется специализированная операцион-ка — FortiOS.
Check Point UTM-1
ПЛАТФОРМА: Check Point UTM-1 САЙТ ПРОЕКТА: rus.checkpoint.com ЛИЦЕНЗИЯ: платная РЕАЛИЗАЦИЯ: аппаратная Компания Check Point предлагает три линейки устройств класса UTM: UTM-1, UTM-1 Edge (удаленные офисы) и SafeOOffice (небольшие компании). Решения содержат все необходимое для защиты сети: файрвол, IPS, антивирусный шлюз, антиспам, средства построения SSL VPN
и удаленного доступа. Межсетевой экран умеет различать трафик, присущий большинству приложений и сервисов (более 200 протоколов), администратор может легко заблокировать доступ к IM, Р2Р-сетям или Skype. Обеспечивается защита веб-приложений и URL-фильтр, в базе данных Check Point содержится несколько миллионов сайтов, доступ к которым можно легко блокировать. Антивирус проверяет потоки HTTP/FTP/SMTP/P0P3/IMAP, не имеет ограничений на размер файлов и умеет работать с архивами. Модели UTM-1 с литерой W выпускаются со встроенной точкой доступа Wi-Fi. В IPS используются различные методы обнаружения и анализа: сигнатуры уязвимостей, анализ протоколов и поведения объектов, выявление аномалий. Механизм анализа умеет вычленять потенциально опасные запросы и данные, поэтому тщательно проверяется всего 10% трафика, остальной проходит без дополнительных проверок. Это позволяет снизить нагрузку на систему и повысить эффективность работы UTM. Антиспам-система использует несколько технологий — IP-репутацию, анализ содержимого, черный и белый списки. Поддерживается динамическая маршрутизация OSPF, BGP и RIP, несколько методов аутентификации пользователей (пароль, RADIUS, SecurelD и другие), предлагается свой сервер DHCP. В решении используется модульная архитектура, так называемые Software Blades (программные блейды) позволяют при необходимости расширить функционал, обеспечивая требуемый уровень безопасности и стоимости. Так, можно дооснастить шлюз блейдами Web Security (обнаружение и защита веб-инфраструктуры), VoIP (защита VoIP), Advanced Networking, Acceleration & Clustering (максимальная производительность и доступность в разветвленных средах). Например, технологии Web Application Firewall
и Advanced Streaming Inspection, применяемые в Web Security, позволяют в реальном времени обрабатывать контекст, даже если он разбит на несколько ТСР-пакетов, подменять заголовки, скрывая данные об используемых приложениях, перенаправлять пользователя на страницу с детальным описанием ошибки.
Удаленное управление возможно средствами веб и Telnet/
SSH. Для централизованных настроек нескольких устройств может применяться Check Point SmartCenter, используемая в нем технология Security Management Architecture позволяет управлять всеми элементами Check Point, включенными в политику безопасности. Возможности SmartCenter расширяются при помощи дополнительных модулей, обеспечивающих визуализацию политик, интеграцию с LDAP, обновления, отчеты и прочее. Все обновления UTM получают централизованно при помощи сервиса Check Point Update Service.
ZyWALL 1000
ПЛАТФОРМА: ZyWALL 1000 САЙТ ПРОЕКТА: zyxel.ru ЛИЦЕНЗИЯ: платная РЕАЛИЗАЦИЯ: аппаратная Большинство шлюзов безопасности, выпускаемых ZyXEL, из-за их возможностей можно смело отнести к UTM, хотя по официальному классификатору сегодня в этой линейке насчитывается пять моделей ZyWALL USG 50/100/300/1000/2000, ориентированных на небольшие и средние сети (до 500 пользователей). В терминологии ZyXEL такие устройства называются «Центры сетевой безопасности». Так, ZyWALL 1000 представляет собой скоростной шлюз доступа, предназначенный для решения задач сетевой безопасности и управления трафиком. Включает потоковый антивирус Касперского, IDS/IPS, контентную фильтрацию и защиту от спама (Blue Coat и Commtouch), контроль полосы пропускания и VPN
(IPsec, SSL и L2TP over IPsec VPN
). К слову, при покупке стоит обратить внимание на прошивку — международная или для России. В последней из-за ограничений таможенного союза для туннелей IPsec VPN
и SSL VPN
используется ключ DES 56 бит. Политики доступа основываются на нескольких критериях (IP, пользователь и время). Средства контентной фильтрации позволяют легко ограничить доступ к сайтам определенной тематики и работу некоторых программ IM, P2P, VoIP, mail и прочих. Система IDS использует сигнатуры и защищает от сетевых червей, троянов, бэкдоров, DDoS и эксплойтов. Технология обнар
ужения аномалий }
