Internetpublicatie over geavanceerde technologieën. UTM-apparaten: een geïntegreerde benadering van IT-beveiliging. Sloten en allerlei beperkingen

Eind 2015 Kaspersky Lab gaf teleurstellende statistieken: ongeveer 58% van de zakelijke pc's werd minstens één keer aangevallen door malware. En dit zijn alleen met succes weerspiegelde. Hiervan werd een derde (29%) aangevallen via internet. Er werd opgemerkt dat niet thuiscomputers, maar bedrijfscomputers drie keer meer kans lopen te worden bedreigd, dus het bedrijf loopt het risico gegevens te verliezen of te vernietigen.

In 2017 werd de situatie er niet veiliger op: laten we ons in ieder geval de recente commotie herinneren van de beruchte Petya-, WannaCry- en BadRabbit-virussen. Toch werkt ongeveer 80% van de bedrijven hun beveiligingssysteem niet bij en heeft ongeveer 30% duidelijk zichtbare kwetsbaarheden.

Netwerkbeveiliging in theorie en praktijk

Nog niet zo lang geleden waren internetgebruikers tevreden met een eenvoudige firewall. De tijden zijn echter veranderd en nu is er een serieuzere oplossing nodig: een UTM-apparaat dat alle functionaliteit combineert die is ontworpen om bedrijfsnetwerken te beschermen tegen invasies. Het systeem gebruiken geïntegreerd management bedreigingen, krijgt het bedrijf antivirus, een firewall, een systeem voor het voorkomen van bedreigingen, spambescherming en nog veel meer in één fles.

in tegenstelling tot klassieke manier, waarbij een aantal afzonderlijke apparaten worden aangeschaft en in één systeem worden geïntegreerd, is dit een voordeligere en productievere optie, die in feite op drie pijlers rust:

• Realtime bescherming op meerdere niveaus.
• Universeel filter dat niet doorlaat spyware en virussen.
• Bescherming tegen spam en ongepaste inhoud.

Deze aanpak elimineert de noodzaak om de uitgaven voor hardware te verhogen, IT-specialisten in te huren die het hele systeem correct kunnen laten werken, en bespaart u problemen met een regelmatige daling van de verkeerssnelheid.

In de praktijk zullen voor grote en kleine ondernemingen verschillende functionaliteiten een prioriteit zijn. Wat betreft complexe systemen, hopen kleine organisaties in de eerste plaats het probleem van veilige toegang tot het netwerk voor werknemers en klanten op te lossen. Voor bedrijfsnetwerken van gemiddelde complexiteit is een stabiel communicatiekanaal vereist. Grote bedrijven bezig met het bewaren van geheimen. Elke taak heeft uiteindelijk een strikt individuele oplossing.

Praktijk van grote bedrijven

Bijvoorbeeld voor een bedrijf Gazprom en vergelijkbare organisaties die de voorkeur geven aan Russische software, betekent dit het verminderen van de risico's die ontstaan ​​bij het gebruik van buitenlandse software. Bovendien dicteert ergonomie de noodzaak om apparatuur te gebruiken die is gestandaardiseerd op de hardwarestructuur die al in gebruik is.

De problemen waar grote bedrijven mee te maken hebben, worden juist veroorzaakt door de grootte van de organisatie. UTM helpt hier bij problemen met betrekking tot het enorme aantal werknemers, grote hoeveelheden gegevens die via het interne netwerk worden verzonden en de noodzaak om individuele clusters die toegang hebben tot internet te manipuleren.

Functionaliteit vereist door grote bedrijven:

• Uitgebreide controle over het werk van pc-gebruikers, hun toegang tot het netwerk en tot individuele bronnen.
• Bescherming tegen bedreigingen voor het interne netwerk, inclusief URL-filtering en tweefactorauthenticatie van gebruikers.
• Inhoud filteren die via het interne netwerk wordt verzonden, wifi-netwerken beheren.

Nog een voorbeeld uit onze praktijk. In de directie van de treinstations van het bedrijf "RUSSISCHE SPOORWEGEN"(een klassiek voorbeeld van een groot zakelijk project met beperkt verkeer), stopte de oplossing een aantal beveiligingsproblemen, voorkwam datalekken en veroorzaakte ook een voorspelbare verhoging van de arbeidsefficiëntie door de installatie van interne sloten.

Voor bankondernemingen is het in onze ervaring vooral belangrijk om te zorgen voor stabiel, snel en ononderbroken internetverkeer, wat wordt bereikt door het vermogen om belastingen te balanceren en te herverdelen. Het is ook belangrijk om te beschermen tegen het lekken van informatie en om de veiligheid ervan te controleren.

Winkelcentra, in het bijzonder Kolomna "Rio", worden ook periodiek blootgesteld aan de dreiging van externe aanvallen op hun netwerk. Het management van winkelcentra is echter meestal geïnteresseerd in de mogelijkheid om interne controle in te voeren over werknemers die beperkingen hebben op het werken met internet, afhankelijk van hun taken. Bovendien wordt internet actief verspreid over het winkelcentrum, wat het risico op het overtreden van de perimeter vergroot. En om dergelijke situaties met succes te voorkomen, stelt de UTM-oplossing voor om applicatiebeheer te gebruiken.

Momenteel worden filters, blokkering op meerdere niveaus en verwijdering van programma's en applicaties op de zwarte lijst actief gebruikt in het winkelcentrum van Rio. Het belangrijkste resultaat in dit geval is een verhoging van de arbeidsefficiëntie en tijdwinst doordat werknemers niet langer worden afgeleid door sociale netwerken en online winkels van derden.

Behoeften van de dienstverlenende sector

Cafés, restaurants en hotels worden geconfronteerd met de behoefte aan gratis distributie van wifi, die is aan dit moment, volgens de beoordelingen van bezoekers, een van de meest populaire diensten. Een van de problemen die onmiddellijke oplossingen vereisen, zijn: hoogwaardige internettoegang en naleving van de wetgeving van de Russische Federatie. Bovendien hebben hotelnetwerken enkele specifieke kenmerken die verband houden met verhoogde belastingen. Sociale netwerken, het uploaden van foto's en video's van vakantie en gewoon surfen mogen geen storingen en uitschakelingen van het hele systeem veroorzaken.

Al deze problemen worden verholpen door een correct geconfigureerd UTM-systeem. Als oplossing wordt voorgesteld om identificatie van apparaten via sms in te voeren, inhoud en verkeer te filteren, de streams waarop klanten en werknemers zitten te scheiden volgens censuur en leeftijdsindicatoren. Het is ook verplicht om beveiliging te installeren voor apparaten die op het netwerk zijn aangesloten.

Ziekenhuizen, klinieken en andere medische faciliteiten hebben een uniform beveiligingscomplex nodig dat wordt beheerd vanuit enkel centrum rekening houdend met de vestigingsstructuur. De Russische UTM-oplossing is een prioriteit voor dergelijke overheidsinstanties in verband met het beleid van importsubstitutie en naleving van de wet op de bescherming van persoonsgegevens.

Voordelen van UTM-oplossingen

De belangrijkste is duidelijk: één apparaat vervangt meerdere tegelijk en voert de functies van elk perfect uit. Bovendien is het veel eenvoudiger om zo'n apparaat aan te sluiten en te configureren, en kan iedereen ermee werken. De voordelen van een totaaloplossing zijn meerdere:

• Financieel. De aanschaf van hoogwaardige beschermingsmiddelen afzonderlijk (beveiligingssysteem, antivirusblokkering, VPN- en proxyserver, firewall, enz.) is vele malen hoger dan de kosten van apparatuur. Vooral wanneer we zijn aan het praten over importmogelijkheden. UTM-apparaten zijn veel betaalbaarder, en nog meer hoogwaardige huishoudelijke producten.
• Functioneel. Bedreigingen worden voorkomen op het niveau van de netwerkgateway, die de workflow niet onderbreekt en de kwaliteit van het verkeer niet aantast. De snelheid is stabiel en constant, applicaties die hier gevoelig voor zijn zijn constant beschikbaar en werken normaal.
• Eenvoud en toegankelijkheid. Het op UTM gebaseerde systeem is niet alleen snel te installeren, maar ook eenvoudig te beheren, waardoor het beheer eenvoudig is. En binnenlandse oplossingen zijn gemaakt in het Russisch, wat het gemakkelijk maakt om het technische gedeelte te begrijpen zonder al te veel te kiezen in specifieke terminologie.
• Gecentraliseerde monitoring en controle. UTM-oplossing stelt u in staat om te beheren externe netwerken vanuit één centrum zonder extra kosten voor materieel en personeel.

Over het algemeen worden UTM-apparaten een centraal element bij het waarborgen van de informatiebeveiliging van elk bedrijf met een netwerk van meerdere computers tot tienduizenden toegangspunten, waardoor problemen effectief worden voorkomen en het proces van het opruimen van de gevolgen van infecties en hacks wordt voorkomen .

Houd er echter rekening mee dat UTM niet alle problemen oplost, omdat het geen eindapparaten beheert die weerloos zijn tegen gewetenloze gebruikers. Een lokale virusdreiging vereist de aanwezigheid van antivirusprogramma's, naast de antivirusgateway, en om het voorkomen van informatielekken te garanderen, is het noodzakelijk om DLP-systemen te installeren. De recente geschiedenis van de luchthaven is in dit opzicht indicatief. Heathrow, waar een onderzoek werd gestart nadat in een van de straten van Londen een flashdrive met gegevens met betrekking tot veiligheid en antiterroristische activiteiten op de luchthaven werd gevonden.

Criteria voor het kiezen van een UTM-systeem

Het systeem moet aan verschillende parameters voldoen. Dit is het maximale gemak, betrouwbaarheid, installatiegemak, duidelijke controle, constante technische ondersteuning van de fabrikant en relatief lage kosten. Daarnaast is er een strikte eis voor verplichte certificering door de FSTEC (FZ-149, FZ-152, FZ-188). Het is van toepassing op onderwijs- en overheidsinstellingen, bedrijven die werken met persoonlijke informatie, zorginstellingen en overheidsbedrijven. Voor het gebruik van niet-gecertificeerde systemen zijn strenge sancties voorzien: een boete van maximaal 50 duizend roebel, in sommige gevallen - de intrekking van het onderwerp van het misdrijf en de opschorting van activiteiten voor maximaal 90 dagen.

Zorg goed voor jezelf en je gegevens, gebruik moderne systemen informatiebeveiliging en vergeet niet om leveranciersupdates te installeren.

Het moderne internet is beladen met veel bedreigingen, dus beheerders besteden het leeuwendeel van hun tijd aan netwerkbeveiliging. Het verschijnen van multifunctionele UTM-beveiligingsapparaten trok meteen de aandacht van beveiligingsspecialisten. ze combineren meerdere beveiligingsmodules met eenvoudige implementatie en beheer. Tegenwoordig kun je veel implementaties tegenkomen, dus kiezen is soms niet zo eenvoudig. Laten we proberen de kenmerken van populaire oplossingen te begrijpen.

Wat is UTM?

Gezien de groei van netwerk- en virusaanvallen, spam, de noodzaak van organisatie veilige uitwisseling gegevens, hebben bedrijven een betrouwbare en eenvoudig te beheren beveiligingsoplossing nodig. Het probleem is vooral acuut in de netwerken van kleine en middelgrote bedrijven, waar er vaak geen technische en financiële kans bij de inzet van heterogene beveiligingssystemen. En er zijn meestal niet genoeg opgeleide specialisten in dergelijke organisaties. Het is voor deze omstandigheden dat multifunctionele meerlaagse netwerkapparaten zijn ontwikkeld, UTM genaamd (Unified Threat Management, unified protection device). UTM's zijn voortgekomen uit firewalls en combineren tegenwoordig de functies van verschillende oplossingen: een firewall met DPI (Deep Packet Inspection), een inbraakbeveiligingssysteem (IDS / IPS), antispam, antivirus en inhoudfiltering. Vaak hebben dergelijke apparaten de mogelijkheid om VPN, gebruikersauthenticatie, taakverdeling, verkeersboekhouding, enz. te organiseren. Alles-in-één klasse-apparaten met een enkele instellingenconsole stellen u in staat ze snel in gebruik te nemen, en later is het ook gemakkelijk te updaten alle functies of voeg nieuwe toe. Het enige wat een specialist nodig heeft, is inzicht in wat en hoe te beschermen. De kosten van UTM zijn over het algemeen lager dan de aanschaf van meerdere apps/apparaten, dus de totale kosten zijn lager.

De term UTM is bedacht door Charles Kolodgy van IDC (International Data Corporation) in het document " wereldwijd Threat Management Security Appliances 2004-2008 Forecast, gepubliceerd in september 2004 om veelzijdige beveiligingsappliances te identificeren die het groeiende aantal netwerkaanvallen aankunnen. Aanvankelijk werd de aanwezigheid van slechts drie functies (firewall, DPI en antivirus) geïmpliceerd, nu zijn de mogelijkheden van UTM-apparaten veel breder.

De UTM-markt is vrij groot en vertoont een jaarlijkse stijging van 25-30% (geleidelijk de "schone" firewall vervangen), en daarom hebben bijna alle grote spelers hun oplossingen al gepresenteerd, zowel hardware als software. Welke te gebruiken is vaak een kwestie van smaak en vertrouwen in de ontwikkelaar, evenals de beschikbaarheid van adequate ondersteuning en uiteraard specifieke voorwaarden. Het enige punt is dat u een betrouwbare en productieve server moet kiezen, rekening houdend met de geplande belasting, omdat één systeem nu verschillende controles zal uitvoeren, en dit vereist aanvullende bronnen. Tegelijkertijd moet je voorzichtig zijn, de kenmerken van UTM-oplossingen geven meestal de bandbreedte van de firewall aan en de mogelijkheden van IPS, VPN en andere componenten zijn vaak een orde van grootte lager. De UTM-server is een enkel toegangspunt, waarvan het falen de organisatie feitelijk zonder internet zal achterlaten, dus een verscheidenheid aan herstelopties is ook niet overbodig. Hardware-implementaties hebben vaak extra co-processors die worden gebruikt om bepaalde soorten gegevens te verwerken, zoals codering of context-parsing, om de hoofd-CPU te ontlasten. Maar de software-implementatie kan op elke pc worden geïnstalleerd, met de mogelijkheid van een verdere probleemloze upgrade van elk onderdeel. In dit opzicht zijn OpenSource-oplossingen interessant (Untangle, pfSense, Endian en andere), die aanzienlijke besparingen op software mogelijk maken. De meeste van deze projecten bieden ook commerciële versies met geavanceerde functies en technische ondersteuning.

Platform: FortiGate
Projectwebsite: fortinet-russia.ru
Licentie: betaald
Implementatie: hardware

Het Californische bedrijf Fortinet, opgericht in 2000, is tegenwoordig een van de grootste leveranciers van UTM-apparaten gericht op verschillende belastingen van klein kantoor(FortiGate-30) naar datacenters (FortiGate-5000). FortiGate-appliances zijn een hardwareplatform dat bescherming biedt tegen netwerkbedreigingen. Het platform is voorzien van een firewall, IDS/IPS, anti-virus traffic check, anti-spam, webfilter en applicatiebeheer. Sommige modellen ondersteunen DLP, VoIP, traffic shaping, WAN-optimalisatie, fouttolerantie, gebruikersauthenticatie voor toegang tot netwerkdiensten, PKI en andere. Het mechanisme van actieve profielen stelt u in staat om atypisch verkeer te detecteren met een automatische reactie op een dergelijke gebeurtenis. Anti-Virus kan bestanden van elke grootte scannen, ook die in archieven, met behoud van een hoog prestatieniveau. Met het webfiltermechanisme kunt u toegang instellen tot meer dan 75 categorieën websites, quota's specificeren, inclusief die afhankelijk van het tijdstip van de dag. Toegang tot entertainmentportalen kan bijvoorbeeld alleen buiten kantooruren worden toegestaan. De applicatiebeheermodule detecteert typisch verkeer (Skype, P2p, IM, enz.), ongeacht de poort, regels voor het vormgeven van verkeer zijn gespecificeerd voor individuele applicaties en categorieën. Met beveiligingszones en virtuele domeinen kunt u uw netwerk opsplitsen in logische subnetten. Sommige modellen hebben schakelinterfaces LAN van de tweede niveau- en WAN-interfaces, routering over RIP-protocollen, OSPF en BGP. De gateway kan worden geconfigureerd in een van de drie opties: transparante modus, statische en dynamische NAT, waarmee u FortiGate probleemloos in elk netwerk kunt implementeren. Om toegangspunten te beschermen, wordt een speciale aanpassing met WiFi gebruikt - FortiWiFi.
Om systemen te dekken (PC onder Windows-besturing, Android-smartphones) die buiten het beveiligde netwerk opereren, kunnen ze het FortiClient-agentprogramma installeren, dat een complete set bevat (firewall, antivirus, SSL en IPsec VPN, IPS, webfilter, antispam en nog veel meer). Voor gecentraliseerd beheer verschillende apparaten vervaardigd door Fortinet en gebeurtenislogboekanalyse worden gebruikt door FortiManager en FortiAnalyzer.
Naast de web- en CLI-interface kunt u het programma FortiExplorer gebruiken (beschikbaar via Win versies en Mac OS X) met GUI- en CLI-toegang (de commando's doen denken aan Cisco).
Een van de kenmerken van FortiGate is een gespecialiseerde set FortiASIC-chips, die inhoudsanalyse en verwerking van netwerkverkeer mogelijk maken en realtime detectie van netwerkbedreigingen mogelijk maken zonder de netwerkprestaties te beïnvloeden. Alle apparaten gebruiken een gespecialiseerd besturingssysteem - FortiOS.

Platform: Controlepunt UTM-1
Projectsite: rus.checkpoint.com
Licentie: betaald
Implementatie: hardware

Check Point biedt 3 apparaatlijnen UTM-klasse: UTM-1, UTM-1 Edge (externe kantoren) en [e-mail beveiligd](kleine bedrijven). Oplossingen bevatten alles wat u nodig heeft om uw netwerk te beschermen - firewall, IPS, antivirusgateway, antispam, tools voor het bouwen van SSL VPN en toegang op afstand. De firewall kan onderscheid maken tussen verkeer dat inherent is aan de meeste applicaties en services (meer dan 200 protocollen), de beheerder kan eenvoudig de toegang tot IM, P2P-netwerken of Skype blokkeren. Biedt bescherming van webapplicaties en een URL-filter, de Check Point-database bevat enkele miljoenen sites waarvan de toegang eenvoudig kan worden geblokkeerd. De antivirus scant HTTP/FTP/SMTP/POP3/IMAP-streams, heeft geen limieten voor de bestandsgrootte en kan met archieven werken. Modellen UTM-1 met de letter W zijn verkrijgbaar met een ingebouwde WiFi-hotspot.
IPS gebruikt verschillende methoden van detectie en analyse: handtekeningen van kwetsbaarheden, analyse van protocollen en gedrag van objecten, detectie van anomalie. De analyse-engine kan belangrijke gegevens berekenen, dus 10% van het verkeer wordt zorgvuldig gecontroleerd, de rest gaat zonder extra controles. Dit vermindert de belasting van het systeem en verbetert de efficiëntie van UTM. Het antispamsysteem maakt gebruik van verschillende technologieën: IP-reputatie, inhoudsanalyse, zwarte en witte lijsten. OSPF, BGP en RIP dynamische routering wordt ondersteund, verschillende gebruikersauthenticatiemethoden (wachtwoord, RADUIS, SecureID, etc.) worden ondersteund, een DHCP-server is geïmplementeerd.
De oplossing maakt gebruik van een modulaire architectuur, de zogenaamde Software Blades (softwareblades) maken het mogelijk om, indien nodig, de functionaliteit uit te breiden naar het gewenste niveau, met het vereiste niveau van beveiliging en kosten. U kunt de gateway dus achteraf uitrusten met Web Security-blades (detectie en bescherming van webinfrastructuur), VoIP (VoIP-bescherming), Advanced Networking, Acceleration & Clustering (maximale prestaties en beschikbaarheid in vertakte omgevingen). Bijvoorbeeld, Webtechnologieën Application Firewall en Advanced Streaming Inspection, gebruikt in Web Security, maken realtime verwerking van de context mogelijk, zelfs als deze is opgesplitst in verschillende TCP-pakketten, header-spoofing, het verbergen van gegevens over de gebruikte applicaties, het omleiden van de gebruiker naar een pagina met gedetailleerde beschrijving fouten.
Bediening op afstand is mogelijk door middel van web en Telnet/SSH. Voor gecentraliseerde instellingen voor meerdere apparaten kan het daarin gebruikte Check Point SmartCenter worden gebruikt beveiligingstechnologie Management Architecture (SMART) stelt u in staat om alle Check Point-elementen die zijn opgenomen in een beveiligingsbeleid te beheren. De mogelijkheden van SmartCenter zijn uitgebreid met: extra modules, biedt beleidsvisualisatie, LDAP-integratie, updates, rapporten, enz. Alle UTM-updates worden centraal ontvangen met behulp van de Check Point Update Service.

Platform: ZyWALL 1000
Projectwebsite: zyxel.ru
Licentie: betaald
Implementatie: hardware

De meeste beveiligingsgateways die door ZyXEL worden geproduceerd, kunnen veilig worden toegeschreven aan UTM wat betreft hun mogelijkheden, hoewel er volgens de officiële classificatie vandaag vijf ZyWALL USG 50/100/300/1000/2000-modellen in deze lijn zijn, gericht op kleine en middelgrote netwerken (tot 500 gebruikers). In ZyXEL-terminologie worden deze apparaten het "Network Security Center" genoemd. Zo is ZyWALL 1000 bijvoorbeeld een snelle toegangsgateway die is ontworpen om problemen met netwerkbeveiliging en verkeersbeheer op te lossen. Omvat Kaspersky streaming antivirus, IDS/IPS, inhoudfiltering en spambescherming (Blue Coat en Commtouch), bandbreedtecontrole en VPN (IPSec, SSL en L2TP over IPSec VPN). Trouwens, bij het kopen moet u op de firmware letten - internationaal of voor Rusland. De laatste gebruikt een 56-bit DES-sleutel voor IPsec VPN- en SSL VPN-tunnels vanwege beperkingen van de douane-unie.
Toegangsbeleid is gebaseerd op verschillende criteria (IP, gebruiker en tijd). Contentfiltertools maken het gemakkelijk om de toegang tot sites van een bepaald onderwerp en de werking van sommige programma's IM, P2P, VoIP, mail, enz. te beperken. Het IDS-systeem maakt gebruik van handtekeningen en beschermt tegen netwerk wormen, trojans, backdoors, DDoS en exploits. Anomaly Detection and Prevention-technologie analyseert pakketten die door de gateway op OSI-lagen 2 en 3 gaan, identificeert inconsistenties, detecteert en blokkeert 32 soorten netwerkaanvallen. Met End Point Security-functies kunt u automatisch het type besturingssysteem en de beschikbaarheid controleren actieve antivirus en firewall, beschikbaarheid geïnstalleerde updates, lopende processen, registerinstellingen en meer. De beheerder kan de toegang tot het netwerk uitschakelen voor systemen die niet aan bepaalde parameters voldoen.
Meerdere internettoegangsreserveringen en load balancing geïmplementeerd. Het is mogelijk om VoIP over SIP- en H.323-protocollen op firewall- en NAT-niveau en in VPN-tunnels te verzenden. Een eenvoudige VLAN-organisatie en het creëren van virtuele alias-interfaces. Verificatie wordt ondersteund door middel van LDAP, AD, RADIUS, waarmee u beveiligingsbeleid kunt configureren op basis van regels die al in de organisatie zijn aangenomen.
Updates van de databases van de belangrijkste componenten en de activering van sommige functies (Commtouch anti-spam, een toename van het aantal VPN-tunnels) wordt uitgevoerd door middel van verbindingskaarten. Configuratie wordt gedaan met behulp van CLI en webinterface. Oorspronkelijke instellingen helpt meester te produceren.

Besturingssysteem: Untangle Server 9.2.1 Cruiser
Projectwebsite: untangle.com
Licentie: GPL
Implementatie: software
Hardwareplatforms: x86, x64
Systeemvereisten: Pentium 4 of AMD-equivalent, 1 GB RAM, 80 GB schijf, 2 NIC's.

Elke *nix-distributie kan worden geconfigureerd als een volwaardige UTM-oplossing, alles wat u hiervoor nodig hebt, is beschikbaar in de pakketrepositories. Maar er zijn ook nadelen: je zult alle componenten zelf moeten installeren en configureren (en dit vereist al enige ervaring), en belangrijker nog, we verliezen zo één beheerinterface. Daarom zijn in dit verband kant-en-klare oplossingen gebouwd op basis van OpenSource-systemen erg interessant.
De Untangle-distributie, geproduceerd door het gelijknamige bedrijf, verscheen in 2008 en trok meteen de aandacht van de gemeenschap met zijn aanpak. Debian diende als basis, alle instellingen worden gemaakt met behulp van een eenvoudige en intuïtieve interface. Aanvankelijk heette de distributiekit Untangle Gateway en was bedoeld voor gebruik in kleine organisaties (tot 300 gebruikers) als een volwaardige vervanging voor de eigen Forefront TMG om veilige internettoegang te bieden en het interne netwerk te beschermen tegen een aantal bedreigingen. In de loop van de tijd werden de functies en mogelijkheden van de distributiekit breder en werd de naam veranderd in Untangle Server, en de distributiekit kan nu al werk bieden aan meer gebruikers (tot 5000 en meer, afhankelijk van de servercapaciteit).
In eerste instantie zijn de beveiligingsfuncties van Untangle geïmplementeerd als modules. Na installatie basissysteem er zijn geen beveiligingsmodules, de beheerder kiest zelfstandig wat hij nodig heeft. Voor het gemak zijn de modules onderverdeeld in 5 pakketten (Premium, Standard, Education Premium Education Standard en Lite), waarvan de beschikbaarheid wordt bepaald door de licentie, en de pakketten zelf zijn onderverdeeld in twee groepen op basis van hun doel: Filter en Services . Alle OpenSource-applicaties worden verzameld in gratis Lite, dat 13 applicaties bevat die verkeer scannen op virussen en spyware, inhoudfilter, banner- en spamblokkering, firewall, protocolcontrole, IDS/IPS, OpenVPN, toegangsbeleid (Captive Portal). Met de module Rapporten, opgenomen in het Lite-pakket, kan de beheerder rapporten ontvangen over alle mogelijke situaties- netwerkactiviteit, protocollen, gedetecteerde spam en virussen, gebruikersactiviteit met de mogelijkheid om het resultaat per e-mail te verzenden en te exporteren naar PDF, HTML, XLS, CSV en XML. Ze zijn gebaseerd op populaire OpenSource-toepassingen zoals Snort, ClamAV, SpamAssasin, Squid, enz. Bovendien biedt de Untangle-server alle netwerkfuncties - routering, NAT, DMZ, QoS, heeft DHCP- en DNS-servers.
Beschikbaar in commerciële pakketten: load balancing en failover, kanaal- en applicatiebandbreedtecontrole, een module om mee te werken Active Directory, back-upinstellingen en enkele andere functies. Ondersteuning wordt ook tegen betaling geboden, hoewel antwoorden op veel vragen te vinden zijn op het officiële forum. Daarnaast biedt het project: klaar servers met Untangle-voorinstelling.
Voorgesteld voor maatwerk gebruiksvriendelijke interface, geschreven in Java, worden alle wijzigingen en prestatiestatistieken in realtime weergegeven. Bij het werken met Untangle hoeft de beheerder geen diepgaande kennis van *nix te hebben, het is voldoende om te begrijpen wat je als resultaat moet hebben. Het installeren van de distributiekit is vrij eenvoudig, u hoeft alleen maar de aanwijzingen van de wizard te volgen, een andere wizard helpt u later bij het configureren van de gateway.
Endian-firewall

Besturingssysteem: Endian Firewall-gemeenschap 2.5.1
Projectwebsite: endian.com/en/community
Licentie: GPL
Hardwareplatforms: x86
Systeemvereisten: CPU 500 MHz, 512 MB RAM, 2 GB

Endian Firewall-ontwikkelaars bieden verschillende versies van hun product aan, zowel geïmplementeerd als een hardware- als softwareplatform. Er is ook een versie voor virtuele machines. Voor alle uitgaven, GPL-licentie, maar alleen beschikbaar als gratis download ISO-afbeelding Community-editie en broncode. Het besturingssysteem is gebaseerd op CentOS en bevat alle Linux-specifieke applicaties die voorzien in firewallfuncties, IDS/IPS, antivirusscanning van HTTP/FTP/POP3/SMTP-verkeer, spambescherming, contentfiltering, anti-spoofing en anti-phishing modules, rapportagesysteem. Kan zijn een VPN maken middel van OpenVPN en IPsec met authenticatie via sleutel of certificaat. Het contentfilter bevat kant-en-klare instellingen voor meer dan 20 categorieën en subcategorieën van sites, er is een blacklist en contextuele filterfuncties. Met ACL's kunt u toegangsopties specificeren voor een individuele gebruiker, groep, IP, tijd en browser. Er worden statistieken bijgehouden over verbindingen, verkeer, gebruikerswerk. Wanneer bepaalde gebeurtenissen plaatsvinden, wordt een bericht verzonden naar het e-mailadres van de beheerder. Biedt lokale gebruikersauthenticatie, Active Directory, LDAP en RADIUS. De interface maakt het eenvoudig om VLAN's te maken, QoS te beheren, SNMP wordt ondersteund. Aanvankelijk wordt de distributie geleverd met ClamAV-antivirus, optioneel met behulp van de Sophos-antivirusengine.
Voor instellingen worden de webinterface en de opdrachtregel gebruikt. De eerste instellingen worden gemaakt met behulp van een wizard waarmee u het type verbinding met internet kunt instellen, interfaces kunt toewijzen (LAN, WiFi, DMZ). Er kunnen meerdere IP-adressen worden toegewezen aan de externe interface, MultiWAN wordt ondersteund. Voor het gemak van instellingen zijn netwerkinterfaces verdeeld in zones - ROOD, ORANJE, BLAUW en GROEN, firewallregels bevatten al instellingen die de uitwisseling tussen hen bepalen. De instellingen zijn onderverdeeld in groepen waarvan de namen voor zich spreken, met de nodige zorgvuldigheid is het heel eenvoudig te achterhalen.

Conclusie

Uitgebreide UTM-systemen vervangen geleidelijk traditionele oplossingen zoals firewalls, dus het is de moeite waard om ze eens nader te bekijken. Afhankelijk van de specifieke omstandigheden zijn verschillende opties geschikt. OpenSource Endian Firewall en Untangle zijn goed in staat om kleine en middelgrote netwerken te beschermen. UTM vervangt natuurlijk niet, maar vormt een aanvulling op de beveiligingen die op individuele pc's zijn geïnstalleerd, waardoor een extra verdedigingslinie wordt gecreëerd bij de ingang van het LAN.

ILYA ROSENKRANTS, ALTELL NEO productmanager van AltEl LLC, gecertificeerd (Check Point Sales Professional, McAfee Sales Professional), heeft Cisco-certificaten (CCNA, CCNP, IPTX), [e-mail beveiligd]

Netwerken rondom de perimeter beveiligen
Overzicht van UTM-technologieën in de ALTELL NEO-oplossing

De geschiedenis van de ontwikkeling van UTM-apparaten (Unified Threat Management, unified threat protection) begon ongeveer 25 jaar geleden, toen DEC in 1988 zijn pakketfilter uitvond, dat op het derde niveau van het OSI-model (Open system interconnection) werkt en alleen analyseert. de pakketkop

Hij werd de eerste commerciële "firewall" (ME). Een dergelijke minimalistische aanpak werd destijds volledig gerechtvaardigd door de bestaande dreigingsrealiteit, waardoor dergelijke staatloze inspectiefirewalls een integraal onderdeel van het informatiebeveiligingssysteem werden.

Vrijwel gelijktijdig met deze gebeurtenissen, in 1989-1990, maakte de wereld kennis met de wereld ME werkend met de gegevens van het vierde niveau van OSI, de zogenaamde stateful inspection firewall. Hoewel het onjuist zou zijn te denken dat inde mogelijkheid om het verkeer op applicatieniveau te monitoren en filteren niet hebben overwogen, werd in die tijd (begin jaren negentig) de implementatie van deze methode uitgesloten vanwege onvoldoende performance van computersystemen. Pas aan het begin van de jaren 2000 maakten de prestaties van hardwareplatforms het mogelijk om de eerste commerciële UTM-oplossingen uit te brengen.

Momenteel blijven firewalls, die hun doeltreffendheid al lang hebben bewezen, op hetzelfde niveau als antivirussoftware, een van de meest voorkomende beschermingsmiddelen. informatie Systemen. De opkomst van nieuwe soorten complexe aanvallen en de groei van verkeer op applicatieniveau (IP-telefonie, streaming video, cloud-bedrijfsapplicaties) verminderen echter vaak de effectiviteit van traditionele firewalls tot nul. Om dergelijke bedreigingen adequaat tegen te gaan, ontwikkelen 's werelds toonaangevende IT-bedrijven nieuwe technologieën die gericht zijn op het detecteren en voorkomen van aanvallen op verschillende niveaus (van aanvallen via communicatiekanalen tot applicaties).

Een van de oplossingen voor het beschreven probleem was de integratie van de functies van andere gespecialiseerde apparaten in de firewall, bijvoorbeeld een webfilter en een cryptografische gateway. Het resulterende apparaattype wordt UTM genoemd. De term 'nieuwe generatie firewalls' (NGFW, Next Generation Firewall) wordt ook steeds populairder en filtert verkeer op het zevende niveau van het OSI-model.

Aan het begin van het tijdperk van UTM-apparaten (2004-2005) waren al hun componenten al gemaakt: firewalls met stateful-inspectiemodus, mechanismen voor het bouwen van veilige netwerken via openbare communicatiekanalen (VPN - virtueel particulier netwerk), netwerkcomplexen inbraakdetectie /preventiesysteem (IDS/IPS), webfilters.

Tegelijkertijd werden de werkplekken beschermd door een set beveiligingstools op applicatieniveau (antivirus, antispam, antiphishing). Maar de oplossing van één probleem (zorgen voor het vereiste niveau van informatiebeveiliging) leidde tot de opkomst van andere: de vereisten voor de kwalificatie van technisch personeel zijn sterk gestegen, het energieverbruik van apparatuur is gestegen, de vereisten voor het volume van serverruimten zijn toegenomen en het is moeilijker geworden om het proces van het updaten van de software- en hardwareonderdelen van een geïntegreerd beveiligingssysteem te beheren.

Bovendien zijn de problemen met de integratie van nieuwe informatiebeveiligingstools in een bestaande infrastructuur, vaak bestaande uit producten van verschillende ontwikkelaars, vele malen groter geworden. Om deze reden ontstond het idee om alle genoemde functies in één apparaat te combineren, vooral omdat tegen die tijd de hardwareplatforms een voldoende prestatieniveau hadden bereikt en tegelijkertijd meerdere taken aankonden.

Als gevolg hiervan zijn er oplossingen op de markt verschenen die het mogelijk maken de kosten van informatiebescherming te verlagen en tegelijkertijd het niveau van informatiebeveiliging te verhogen, aangezien de "vulling" van UTM aanvankelijk wordt gedebugd en geoptimaliseerd voor de gelijktijdige werking van alle functies daarin opgenomen.

De relevantie en juistheid van deze aanpak wordt bevestigd door de cijfers van de internationale onderzoeksbedrijf IDC, volgens welke in het eerste kwartaal van 2014 de groei van het segment van UTM-apparaten 36,4% bedroeg (vergeleken met dezelfde periode van het voorgaande jaar). Ter vergelijking: de totale groei van de markt voor in dezelfde periode was 3,4%, en nu zijn UTM-apparaten goed voor 37% van deze markt. Tegelijkertijd bedroeg de omzetdaling in de richting Firewall/VPN 21,2%.

Op basis van bovenstaande trends in de informatiebeveiligingsmarkt introduceerden veel fabrikanten aan het einde van het eerste decennium van de nieuwe eeuw hun next-generation firewalls. Zo heeft het Russische bedrijf "AltEl" het product ALTELL NEO uitgebracht.

Tegelijkertijd wordt het gebruik van geïntegreerde systemen in isteeds populairder. verschillende fabrikanten om het beschermingsniveau te verhogen: leveranciers van hardwarebeveiligingstools begonnen actiever samen te werken met ontwikkelaars van gespecialiseerde software. Zo werden Kaspersky Lab-technologieën voor gegevensbescherming op applicatieniveau geïmplementeerd in het ALTELL NEO-product: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

Momenteel bieden veel spelers op de markt firewalls van de volgende generatie aan, waaronder Palo Alto, Check Point, Cisco, Intel Security. In de huidige realiteit, waarin de dollarkoers zeer volatiel is, beschouwen veel klanten, en vooral overheidsinstanties, importvervanging als een kans om te voldoen aan de vereisten van regelgevers en interne procedures voor informatiebeveiliging. In deze situatie lijkt het logisch om rekening te houden met Russische fabrikanten van UTM-oplossingen.

Laten we eens kijken naar de belangrijkste functies van ALTELL NEO UTM-firewalls.

Antivirus/antispam

Momenteel kiezen veel bedrijven voor UTM-apparaten voor netwerkperimeterbeveiliging, inclusief de mogelijkheid om inkomende en uitgaande e-mail te filteren.

De eerste Russische complete oplossing op dit gebied is de nieuwe generatie high-performance firewall ALTELL NEO. Het heeft twee onafhankelijke antivirus- en antispamoplossingen in zijn arsenaal: respectievelijk ClamAV (gratis product) en Kaspersky AV, SpamAssassin en Kaspersky AS.

Standaardkenmerken en functies van UTM-apparaten:

• Ondersteuning bij het werken in een transparante (onzichtbare) eindgebruiker) modus.
• Ondersteuning voor DNS Black List.
• Ondersteuning voor "zwarte", "witte" en "grijze" lijsten.
• Controleren op een DNS-record over de verzendende server.
• SPF-technologie (Sender Policy Framework, Sender Policy Structure) - een uitbreiding voor het verzendprotocol E-mail via SMTP, waarmee u de identiteit van het domein van de afzender kunt bepalen. SPF is een manier om de afzender van een e-mail te identificeren en biedt: extra kans het filteren van de mailstroom op de aanwezigheid van spamberichten daarin. Met behulp van SPF wordt mail verdeeld in "toegestaan" en "verboden" volgens het domein van de ontvanger of afzender.
• De SURBL-service (Spam URI Realtime Blocklists) is een service die niet informatie bevat over IP-adressen waarvan spam afkomstig is, maar over sites waarvoor in spamberichten wordt geadverteerd. Aangezien de meeste spam-e-mails (en met name phishing-e-mails) u uitnodigen om een ​​site te bezoeken, en er minder sites zijn dan de IP-adressen van de afzenders van spam, kan SURBL efficiënter werken dan RBL, waarbij tot 80-90% van de spam wordt gefilterd wanneer valse positieven zijn niet hoger dan 0,001-0,05%.
• Afwezigheid technische haalbaarheid verlies van berichten in het filter.
• Het gebruik van EDS in verzonden brieven met behulp van DKIM-technologie (DomainKeys Identified Mail). Met deze technologie kunt u de authenticiteit (authenticeren) van de afzender van de brief bevestigen, evenals de afwezigheid van wijzigingen in de e-mail bevestigen tijdens de verzending van de afzender naar de ontvanger.
• Geavanceerde filtermethoden: Bayesiaanse filtering, Razor.

Het gebruik van antivirus-/antispamtechnologie stelt bedrijven, zoals banken, in staat te voldoen aan de vereisten van de Bank of Russia voor bescherming tegen kwaadaardige code. In tegenstelling tot bijvoorbeeld STO BR IBBS en 382-P, waar dit onderwerp weinig ruimte kreeg, hebben we meer dan een jaar een volwaardig document: brief 49-T van 24 maart 2014 "Over aanbevelingen voor het organiseren van het gebruik van bescherming tegen kwaadaardige code tijdens bankactiviteiten. De documenten beschrijven zowel technische als organisatorische eisen.

Het gebruik van UTM-oplossingen met antivirus stelt zowel de ISP in staat om schoon verkeer te bieden als de bank om te voldoen aan de aanbevelingen van de toezichthouder met betrekking tot segmentatie en de mogelijkheid om malware-epidemieën te lokaliseren.

Inbraakdetectie- en preventiesysteem - IDPS

Inbraakdetectie- en preventiesystemen, IDS / IPS of IDPS (Inbraakdetectie / preventiesysteem, een vergelijkbare Russische term - IDS / SPV), is een noodzakelijke schakel bij het beschermen van het interne netwerk van de organisatie. Het belangrijkste doel van dergelijke systemen is om de feiten van ongeautoriseerde toegang tot het bedrijfsnetwerk te detecteren en tegenmaatregelen te nemen: ininformeren over het feit van een inbraak, de verbinding verbreken, de firewall opnieuw configureren om verdere acties van een aanvaller te blokkeren.

ALTELL NEO implementeert verschillende IDPS-technologieën die verschillen in de soorten gedetecteerde gebeurtenissen en in de methodologie die wordt gebruikt om incidenten te detecteren. Naast de functies van het monitoren en analyseren van gebeurtenissen om incidenten te identificeren, voert IDPS van AltEl de volgende functies uit:

• Evenement informatie opname. Meestal wordt de informatie lokaal opgeslagen, maar kan naar iedereen worden verzonden gecentraliseerd systeem het verzamelen van logs of een SIEM-systeem.
• Melding van beveiligingsbeheerders over. Dit type melding wordt alert genoemd en kan via verschillende kanalen worden uitgevoerd: e-mail, SNMP-traps, berichten systeem log, de beheerconsole van het IDPS-systeem. Een programmeerbare reactie met behulp van scripts is ook mogelijk.
• Rapport generatie. Er worden rapporten gemaakt om alle informatie over de aangevraagde gebeurtenis(sen) samen te vatten.

IPS-technologie is een aanvulling op de IDS-technologie omdat het niet alleen de mogelijkheid biedt om een ​​dreiging onafhankelijk te identificeren, maar ook om deze met succes te blokkeren. In dit scenario is de IPS-functionaliteit die is geïmplementeerd in ALTELL NEO veel breder dan IDS en omvat de volgende functies:

• Een aanval blokkeren (de sessie verbreken van een gebruiker die het beveiligingsbeleid schendt, toegang tot bronnen, hosts, applicaties blokkeren).
• De beveiligde omgeving wijzigen (de configuratie van netwerkapparaten wijzigen om een ​​aanval te voorkomen).
• Een aanval neutraliseren (bijvoorbeeld een geïnfecteerd bestand verwijderen uit een bericht en het naar de reeds opgeschoonde ontvanger sturen, of werken in de proxymodus, d.w.z. het analyseren van inkomende verzoeken en het verwijderen van gegevens in pakketheaders).

De voordelen van elke technologie gaan onvermijdelijk gepaard met enkele nadelen. Het IDPS-systeem identificeert bijvoorbeeld niet altijd nauwkeurig een informatiebeveiligingsincident en is soms in staat om normaal verkeers-/gebruikersgedrag voor een incident te verwarren.

In de eerste variant is het gebruikelijk om te praten over vals-negatief (vals-negatief resultaat), in de tweede variant spreken ze over vals-positief (vals-positief). Geen van de huidige oplossingen kan FP- of FN-gebeurtenissen volledig uitsluiten. De organisatie moet daarom per geval zelf bepalen welke van deze risicogroepen een grotere dreiging vormt en de oplossing daarop aanpassen.

Er zijn verschillende methoden om incidenten te detecteren met behulp van IDPS-technologieën. De meeste IDPS-implementaties gebruiken een combinatie van deze technologieën om een ​​hogere mate van detectie van bedreigingen te bieden. Opgemerkt moet worden dat ALTELL NEO-apparatuur alle hieronder beschreven technologieën implementeert.

Detectie van e-mailaanvallen op basis van handtekeningen

Een handtekening is een patroon dat, wanneer het wordt gevonden in verkeer of e-mail, op unieke wijze een bepaalde aanval identificeert. Detectie van handtekeningaanvallen is het proces waarbij inhoud wordt vergeleken met de handtekeningdatabase die in de oplossing is opgeslagen. Voorbeelden van handtekeningen zijn:

• telnet-verbinding root gebruiker, wat een schending zou zijn van het specifieke beveiligingsbeleid van het bedrijf;
• een inkomende e-mail met het onderwerp "gratis foto's" met een bijgevoegd bestand freepics.exe;
• besturingssysteemlogboek met code 645, wat betekent dat hostcontrole is uitgeschakeld.

Deze methode is zeer effectief in het detecteren van bekende bedreigingen, maar zeer inefficiënt bij aanvallen die nog geen handtekening hebben.

Met het ingebouwde antivirus-/antispamsysteem in ALTELL NEO kunt u 120 tot 800 berichten per minuut filteren.

Aanvaldetectie door afwijkend gedrag

Deze methode is gebaseerd op het vergelijken van de normale activiteit van netwerkelementen met gebeurtenissen die afwijken van het normale niveau. IPS met behulp van deze methode hebben een zogenaamde. profielen die het normale gedrag van gebruikers, netwerkknooppunten, verbindingen, toepassingen en verkeer weerspiegelen. Deze profielen worden gemaakt tijdens een "leerperiode" over een bepaalde periode.

Een profiel kan bijvoorbeeld een toename van 13% in het webverkeer op weekdagen registreren. IDPS gebruikt vervolgens statistische methoden om verschillende kenmerken van werkelijke activiteit te vergelijken met een bepaalde drempel. Wanneer deze drempel wordt overschreden, wordt een overeenkomstig bericht verzonden naar de beheerconsole van de beveiligingsbeheerder. Profielen kunnen worden gemaakt op basis van attributen uit gedragsanalyse gebruikers, zoals het aantal verzonden e-mails, het aantal mislukte pogingen aanmelding, server-CPU-belasting in een bepaalde periode en vele andere.

Met deze methode kunt u aanvallen blokkeren die de filtering van handtekeninganalyse hebben omzeild.

IDS/IPS, gebruikt door ons bedrijf in ALTELL NEO nieuwe generatie firewalls, is gebaseerd op: open technologie Suricata, aangepast aan de behoeften van het bedrijf. In tegenstelling tot de meer gebruikelijke open IDS/IPS Snort, heeft Suricata een aantal voordelen, het stelt u bijvoorbeeld in staat hogere prestaties te bereiken door de verkeersverwerking over processorcores te parallelliseren en minder valse positieven.

Houd er rekening mee dat het voor de juiste werking van IDS / IPS actuele handtekeningdatabases nodig heeft. ALTELL NEO maakt hiervoor gebruik van de open National Vulnerability Database en Bugtraq. De databases worden twee tot drie keer per dag geüpdatet, wat zorgt voor een optimaal niveau van informatiebeveiliging.

Het ALTELL NEO-systeem kan in twee modi werken: inbraakdetectiemodus (IDS) en inbraakpreventiemodus (IPS). Het inschakelen van zowel de IDS- als IPS-functies vindt plaats op de apparaatinterface die door de beheerder is geselecteerd - een of meer. Het is ook mogelijk om IPS-functies aan te roepen bij het configureren van firewallregels voor: specifiek type verkeer te controleren. Het functionele verschil tussen IDS en IPS is dat in IPS-modus netwerk aanvallen kan in realtime worden geblokkeerd.

Beveiligingsregels zijn ontwikkeld door de Emerging Threats-community. De regels zijn gebaseerd op jarenlange gecombineerde ervaring van experts op het gebied van netwerkbeveiliging en worden voortdurend verbeterd. Regels worden automatisch bijgewerkt (hiervoor moet een internetverbinding zijn geconfigureerd in ALTELL NEO). Indien nodig kunt u een handmatige update instellen.

Elke regel krijgt een prioriteit toegewezen volgens de aanvalsklasse in termen van gebruiksfrequentie en belangrijkheid. Standaard prioriteitsniveaus zijn van 1 tot 3, waarbij prioriteit 1 hoog is, prioriteit 2 gemiddeld en prioriteit 3 ​​laag.

Volgens deze prioriteiten kan een actie worden toegewezen die het IDS/IPS-systeem in realtime zal uitvoeren wanneer netwerkverkeer wordt gedetecteerd dat overeenkomt met de handtekening van de regel. De actie kan een van de volgende zijn:

• Alert (IDS-modus) - verkeer is toegestaan ​​en wordt doorgestuurd naar de ontvanger. Er wordt een waarschuwing naar het gebeurtenislogboek geschreven. Deze actie is standaard ingesteld voor alle regels.
• Drop (IPS-modus) - pakketanalyse stopt, verdere vergelijking voor naleving van de resterende regels wordt niet uitgevoerd. Het pakket wordt verwijderd en er wordt een waarschuwing naar het logboek geschreven.
• Weigeren (IPS-modus) - In deze modus wordt het pakket weggegooid en wordt er een waarschuwing naar het logboek geschreven. In dit geval wordt het bijbehorende bericht naar de afzender en ontvanger van het pakket gestuurd.
• Pass (IDS- en IPS-modus) - in deze modus stopt de pakketanalyse, verdere vergelijking voor naleving van de resterende regels wordt niet door het systeem uitgevoerd. Het pakket wordt doorgestuurd naar zijn bestemming, er wordt geen waarschuwing gegenereerd.

Rapporten over verkeer dat door het ALTELL NEO inbraakdetectie- en preventiesysteem gaat, kunnen worden gegenereerd in het externe monitoring- en controlesysteem (SVMiU) eigen ontwerp. SVMIU verzamelt initiële gegevens (waarschuwing) van een of meer ALTELL NEO-apparaten.

ALTELL NEO inbraakdetectie- en preventiesysteem werkt met snelheden vanaf 80 Mbps
tot 3200 Mbps.

Webfiltersysteem

ALTELL NEO heeft een ingebouwde webproxymodule (tussenpersoon) voor het filteren van gebruikersverzoeken en het cachen van gegevens die zijn ontvangen van het World Wide Web.

De bemiddelaar kan in verschillende modi werken, die kunnen worden gecombineerd om verschillende problemen op te lossen. Afhankelijk van de toepassingscontext worden de volgende werkingsmodi onderscheiden:

• interacties met clientsoftware (bijvoorbeeld de webbrowsers van gebruikers): "transparant" en "ondoorzichtig";
• proxy-gebruikersauthenticatie: geen authenticatie, LDAP-gebaseerde authenticatie, NTLM-gebaseerde authenticatie;
• verwerking van gebruikersverzoeken (inhouds-URL, bron-IP-adres, enzovoort): met en zonder filtering;
• het verwerken van webinhoud die is ontvangen als reactie op verzoeken van gebruikers: met en zonder caching;
• met SSL-proxy ingeschakeld en uitgeschakeld.

De UTM-markt is vrij groot en blijft groeien, met zowel hardware als Software oplossingen. Welke te gebruiken is een vraag voor elke specialist, elke organisatie beslist op basis van hun voorkeuren en capaciteiten. Het belangrijkste is om een ​​server te hebben die qua parameters geschikt is, omdat één systeem nu meerdere controles zal uitvoeren en de belasting aanzienlijk zal toenemen.

Een van de voordelen van moderne UTM-apparaten is hun veelzijdigheid, en ALTELL NEO is een goed voorbeeld van deze aanpak. Afhankelijk van de grootte van het bedrijf kunnen oplossingen van verschillende klassen worden gebruikt: van desktop tot server 2U-systemen met een prestatie tot 18,5 Gb/s. Met de technologieën van Kaspersky Lab die ten grondslag liggen aan de antivirusfunctionaliteit van ALTELL NEO, kunnen antivirusdatabases 10 tot 25 keer per dag worden bijgewerkt. Tegelijkertijd is de gemiddelde updategrootte meestal niet groter dan 50 KB, wat een van de beste frequentie / grootte-verhoudingen in de branche is.

In contact met

Een moderne UTM-oplossing die eenvoudig in te stellen is, vooraf gedefinieerde instellingen beveiligt en alle modules voor diepgaande verkeersanalyse bevat die nodig zijn om veilige filtering te bieden: inbraakpreventiesysteem, applicatiebeheer, inhoudsfilter. Laten we eens kijken wat Ideco kan doen.

Belangrijkste kenmerken

Kenmerken van Ideco ICS:

• Gebruikersbescherming en bedrijfsnetwerk van externe bedreigingen- inbraakpreventiesysteem, applicatiecontrole (DPI), inhoudfiltering van webverkeer (inclusief HTTPS), antivirus en antispam van Kaspersky, bescherming van gepubliceerde webservers (Web Application Firewall), integratie met DLP- en SIEM-systemen, firewall.
• Uitgebreid beheer van internetverkeer - gebruikersautorisatie, kanaalbalancering, beperking, prioritering, rapporten.
• Communicatie en mail - mailserver, spamfiltering op meerdere niveaus, bescherming tegen virussen en phishing-links, volledige mogelijkheden filtering bij gebruik als relais, moderne webinterface.
• Een bedrijfsnetwerk opbouwen - beveiligde verbinding externe gebruikers, organisatie van beveiligde kanalen tussen vestigingen (VPN-ondersteuning met PPTP, OpenVPN, IPsec stelt u in staat om bijna alle routers of softwaregateways op het netwerk aan te sluiten), het gebruik van meerdere verbindingen met providers, routering, integratie met Active Directory.

Ideco ICS combineert de volgende beveiligingsmodules:
* firewall;
* inbraakpreventiesysteem;
* applicatiebeheer;
* inhoudsfilter (HTTP en HTTPS);
* Webtoepassingsfirewall;
* controle op antivirusverkeer;
* controle op spam en mailverkeer;
* bescherming tegen DoS en brute force-aanvallen;
* beschermd toegang op afstand door VPN.

Web Application Firewall is een firewallmodule voor het beschermen van gepubliceerde webapplicaties. Opgemerkt moet worden dat van de Russische UTM-oplossingen Ideco ICS de enige is met een dergelijke functionaliteit.
Je kunt dit allemaal lezen op de website van het bedrijf, dus ik stel voor om meteen te gaan oefenen en te zien hoe Ideco ICS er niet op papier uitziet, maar in het echt. En we beginnen met het te installeren.

Ideco ICS installeren

Er is niets ingewikkelds aan de installatie - je moet de ISO-image downloaden van het persoonlijke account van de gebruiker, het op een USB-flashstation of schijf branden (zoals je wilt) en opstarten.
De installatie is zeer snel en zonder complicaties. Dit zijn haar hoogtepunten:
1. U moet controleren of de tijd en datum in het BIOS correct zijn ingesteld - dit is erg belangrijk voor integratie met Active Directory (als de tijd en datum echter onjuist zijn, worden ze automatisch gesynchroniseerd nadat de server is verbonden met de internetten).
2. Je hebt minimaal 3800 MB RAM nodig.
3. Installatie-, update- en herstelmodi worden ondersteund (Fig. 1).
4. Alle gegevens op de schijf worden vernietigd.
5. Tijdens het installatieproces moet u de lokale netwerkinterface configureren (Fig. 2) en de tijdzone selecteren.
6. Installatie vereist ongeveer 4 GB schijfruimte
7. Het installatieprogramma geeft de gebruikersnaam en het wachtwoord van de beheerder (Figuur 3).

Installatie vindt plaats met weinig of geen tussenkomst van de gebruiker. Het enige dat de gebruiker nodig heeft, is het IP-adres van de toekomstige gateway in te voeren en de tijdzone te selecteren.

Gateway-besturing: console

We herstarten (Fig. 4). Als je goed kijkt, kun je zien met welke componenten Ideco is gebouwd: xinetd superserver, bind DNS-server, nginx, Squid, KLMS en andere.

U moet het servicemoduswachtwoord invoeren om toegang te krijgen tot de gatewayconsole. Het gateway-bedieningsmenu wordt getoond in afb. 5. Menu-opdrachten:
* Server Monitor - geeft informatie weer over CPU-belasting, geheugen en schijfgebruik (Figuur 6).
* Netwerkmonitoring - informatie over netwerkgebruik (bmon).
* Netwerkinstellingen - hier kunt u het IP-adres en het gatewaymasker wijzigen en bekijken huidige configuratie netwerken (Fig. 7).
* Databaseback-ups - een hulpmiddel voor het maken van databaseback-ups, hier kunt u de database herstellen vanaf een back-up.
* Console - een volwaardige console waarin je kunt doen wat je wilt. Persoonlijk was het eerste waar ik naar keek hoeveel ruimte de installatie in beslag nam. Iets meer dan 3,2 GB (Figuur 8).
* Service - opent een submenu waar u het IP-adres van de beheerder kunt instellen, firewallregels kunt uitschakelen, internet voor iedereen en alles kunt toestaan, toegang tot de server via SSH kunt toestaan ​​en het beheerderswachtwoord opnieuw kunt instellen.
* Wachtwoord wijzigen - hiermee kunt u het beheerderswachtwoord wijzigen.
* Server opnieuw opstarten - server opnieuw opstarten, inclusief volledig en zacht, dat wil zeggen, alleen services opnieuw opstarten, niet de hele computer.
* Exit - verlaat de beheerconsole.

Webinterface

Om toegang te krijgen tot de webinterface (er zitten immers meer mogelijkheden in dan in) onderhoudsinstelling) gebruikt de URL https://IP-adres, waarbij IP-adres het adres is dat is opgegeven in de instellingen. De inloggegevens worden getoond in Fig. 3. De hoofdpagina van de webinterface wordt getoond in afb. 10.

Wat te doen na het betreden van de webinterface? Alles hangt af van de taak die voorhanden is. Als het alleen de taak is om toegang tot internet te verlenen aan een groep gebruikers, dan moet u op zijn minst een externe interface selecteren (waardoor onze server toegang tot internet zal bieden) en gebruikers toevoegen.

Een externe interface toevoegen

Om een ​​externe interface toe te voegen, moet u naar het gedeelte "Servers > Interfaces" gaan, de interfacerol "Extern" selecteren, de naam invoeren en netwerkparameters instellen. Houd er rekening mee dat u het IP-adres voor ping kunt instellen (u kunt de Google-server gebruiken - 8.8.8.8) en eventueel een back-upinterface selecteren. Als er twee externe interfaces zijn, moet u voor de hoofdinterface de schakelaar "Hoofd" instellen.

Gebruikers aanmaken

In het gedeelte "Gebruikers" moet u eerst het type autorisatie selecteren (afb. 16). in de zeer eenvoudig geval u kunt autorisatie per IP kiezen. Deze optie is geschikt voor een klein netwerk, wanneer duidelijk is wie wie is, maar ook in gevallen waarin je snel een gateway moet implementeren om toegang te krijgen tot internet en een volwaardige configuratie in de toekomst nog moet worden gedaan.
Aan de linkerzijbalk bevinden zich de knoppen Groep toevoegen en Gebruiker toevoegen. Het is raadzaam om gebruikers in groepen te combineren voor meer eenvoudige bediening hen. Laten we de groep "Office" maken (Fig. 12).

Vervolgens geeft de interface de groepsinstellingen weer (Figuur 13). Klik op de knop "Gebruikers maken" om de tool voor het toevoegen van bulkgebruikers op te roepen (Fig. 14). U moet het naamvoorvoegsel, het en het bereik van IP-adressen van de toe te voegen gebruikers instellen. Natuurlijk kun je gebruikers één voor één toevoegen, maar dit is niet erg handig, zeker niet als het mogelijk is om dit te automatiseren.

Eigenlijk is dat alles. Het blijft alleen aan de clients om het IP-adres van onze Ideco ICS-server als gateway in te stellen. Als u te lui bent om dit te doen, kunt u in de sectie "Server > DHCP" de DHCP-server inschakelen en de parameters instellen (Fig. 16). U moet minimaal een reeks IP-adressen opgeven en een standaardgateway aan clients toewijzen.

Als de taak eenvoudigweg is om gebruikers toegang tot internet te bieden, is deze al voltooid. Het duurde ongeveer twintig minuten voor alles (samen met de installatie van Ideco ICS). Houd je geen rekening met de installatie van het besturingssysteem zelf, dan ben je meer tijd kwijt aan het lezen van dit artikel dan het opzetten van de server.

Sloten en allerlei beperkingen

Alles wat tot nu toe is geconfigureerd, kan vrij snel worden geconfigureerd op elke Linux/FreeBSD-server. En nu begint het meest interessante. Ga naar het gedeelte "Server", "Inhoudsfilter". Hier kunt u kiezen welke inhoud door de server wordt geblokkeerd. Dus in de categorie "Bestanden blokkeren" (Fig. 17) worden de soorten bestanden weergegeven die onderhevig zijn aan blokkering. En in de categorie "Standaard" kunt u VPN blokkeren (alle populaire VPN-services en programma's worden in elke versie geblokkeerd), torrents, webproxy's, sites met inhoud voor volwassenen en meer.

Het handmatig instellen van zo'n contentfilter zal enige tijd in beslag nemen. Met Ideco ICS blokkeert u de benodigde resources in een paar muisklikken. In dit geval hoeft u geen firewall of proxy te configureren.
De basis van het standaard inhoudsfilter bevat 34 categorieën verkeer en meer dan 900 duizend URL's, en de geavanceerde bevat zelfs meer - 143 categorieën en 500 miljoen URL's. Beide databases worden regelmatig bijgewerkt en up-to-date gehouden. Naast de mogelijkheid om te blokkeren op sitetype, kunt u met dezelfde databases webrapportage over verkeersconsumptie door gebruikers categoriseren. Met andere woorden, het zal mogelijk zijn om te begrijpen hoeveel uren werknemers aan werk besteden, en hoeveel aan amusement of eigenbelang tijdens de werkuren.

Voordelen van Ideco ICS

De belangrijkste kenmerken van Ideco ICS:

• In eerste instantie zijn alle modules, services, firewallregels en inhoudfiltering geconfigureerd om maximale netwerk- en serverbeveiliging te bieden.
• Veel instellingen kunnen niet worden gewijzigd, dat wil zeggen, het systeem kan niet onveilig worden geconfigureerd, zelfs niet met al uw verlangen of onervarenheid.
• Gemakkelijk in te stellen.
• Ondersteuning voor integratie met Active Directory.
• Alle gebruikers en apparaten moeten geautoriseerd zijn om toegang te krijgen tot internet. Ongeautoriseerd verkeer is verboden, waardoor u altijd statistieken kunt ontvangen over het internetgebruik door gebruikers en apparaten.
• Binnenlandse databases met inhoudsfiltering (geavanceerde inhoudsfilter), relevanter voor het Russische internetsegment dan westerse databases.
• Een volledig Russische oplossing, inclusief databases voor het filteren van inhoud, antivirussen (Kaspersky antivirus, zie Fig. 19), inbraakpreventiesystemen (basissen van ons eigen ontwerp).
• Blokkeringspogingen om het inhoudfiltersysteem (anonimizers) te omzeilen, inclusief populaire browserplug-ins, Opera VPN, Yandex.Turbo.
• Handig rapportagesysteem.

Mail server

Ideco ICS is niet alleen een gateway met Active Directory-integratie. Het product bevat onder andere ook een ingebouwde mailserver, die kan worden geconfigureerd in het gedeelte "Server > Mailserver" (Fig. 20).

Inbraakpreventiesysteem (IDS)

Ideco ICS is out-of-the-box uitgerust met een inbraakpreventiesysteem (IDS), waarmee u ook anonimizers kunt blokkeren. Om IDS te configureren, gaat u naar het gedeelte "Beveiliging > Inbraakpreventie" en schakelt u IDS / IPS in (Fig. 21).

Op het tabblad "Regels" kunt u groepen IDS-regels definiëren (Fig. 22). Dit is waar u kunt in-/uitschakelen Opera blokkering VPN, anonimiseringen, aanvallen en meer.

Om IDS te laten werken, hebt u minimaal 8 GB RAM op de server nodig.
Onder de functies zijn functies die gebruikelijk zijn voor een inbraakpreventiesysteem (blokkeren van aanvallers, botnets en zoeken naar gevaarlijke handtekeningen in het verkeer), maar daarnaast stelt het systeem u in staat om verkeer te blokkeren op basis van IP-reputatie en GeoIP, zonder de in- diepte-analyse (die het filteren van verkeer versnelt en de weerstand tegen DoS- en DDoS-aanvallen verhoogt), en Windows-telemetrie blokkeert (functies voor het volgen van gebruikers van dit besturingssysteem, wat producten van andere leveranciers niet doen).

Rapporten en statistieken

In het gedeelte "Rapporten" kunt u verschillende statistische informatie bekijken en exporteren. Export van rapporten in HTML-, CSV-, XLS-formaten is beschikbaar. Het CSV-formaat is handig voor verdere analyse van rapporten in andere softwareproducten.

Extra informatie kan worden verkregen in de recensie van Ideco-ontwikkelaars:

Ideco ICS security gateway is een uniek aanbod op de Russische markt van UTM-oplossingen: modern product, die uitgebreide bescherming biedt tegen netwerkbedreigingen en tegelijkertijd weinig tot geen configuratie vereist. Inzet deze beslissing duurt een paar minuten, en aan de uitgang krijgen we een volwaardige gateway met allerlei functies - van bescherming en blokkering tot Active Directory-ondersteuning en gedetailleerde rapportage.

Het concept van Unified Threat Management (UTM), als een aparte klasse van apparatuur voor het beschermen van netwerkbronnen, werd geïntroduceerd door het internationale bureau IDC, dat de wereldwijde IT-markt bestudeert. Volgens de geïntroduceerde classificatie zijn UTM-oplossingen multifunctionele software- en hardwaresystemen die de functies van verschillende apparaten combineren: een firewall, een netwerkinbraakdetectie- en preventiesysteem en de functies van een antivirusgateway.

De Russische markt van UTM-apparaten wordt alleen vertegenwoordigd door buitenlandse fabrikanten. Bovendien combineren sommige bedrijven, die hun oplossingen presenteren en ze UTM noemen, gewoon de functionaliteit van onafhankelijke netwerkbeveiligingsapparatuur (zoals een firewall, een antivirusgateway, een inbraakdetectie-/preventiesysteem) in één pakket met verenigd systeem toezicht en controle. Dergelijke apparaten kunnen niet worden beschouwd als een volwaardig UTM-systeem.

De afkorting UTM staat voor Unified Threat Management, wat letterlijk in het Russisch ongeveer vertaald kan worden als: unified threat management. In dit artikel zullen we precies bekijken welke functies een apparaat moet uitvoeren om als een volwaardige UTM te worden beschouwd, wat de voordelen zijn van het gebruik van dergelijke systemen en tegen welke soorten bedreigingen ze kunnen beschermen.