På slutten av 2015 Kaspersky Lab sitert skuffende statistikk: Omtrent 58 % av bedriftens PC-er ble angrepet av skadelig programvare minst én gang. Og disse er bare vellykket reflektert. En tredjedel av dem (29 %) ble angrepet via Internett. Det ble bemerket at ikke hjemmedatamaskiner, men bedriftsmaskiner, er tre ganger større sannsynlighet for å bli truet, så virksomheten står i fare for tap av data eller ødeleggelse.
I 2017 har ikke situasjonen blitt tryggere: husk i det minste den nylige oppstyret fra de beryktede Petya-, WannaCry- og BadRabbit-virusene. Og fortsatt oppdaterer ikke rundt 80 % av selskapene sikkerhetssystemene sine, og rundt 30 % har godt synlige sårbarheter.
Nettverkssikkerhet i teori og praksis
For ikke så lenge siden var en enkel brannmur nok for Internett-brukere. Tidene har imidlertid endret seg, og nå kreves det en mer seriøs løsning – en UTM-enhet som kombinerer all funksjonaliteten designet for å beskytte bedriftsnettverk mot invasjon. Ved å bruke et omfattende trusselhåndteringssystem vil selskapet motta antivirus, brannmur, trusselforebyggingssystem, anti-spam-beskyttelse og mye mer «i én flaske».
I motsetning til den klassiske metoden, som involverer kjøp av en rekke separate enheter og deres integrering i et enkelt system, er dette et mer økonomisk og produktivt alternativ, som faktisk står på tre pilarer:
- Flerlags sanntidsbeskyttelse.
- Et universalfilter som ikke lar spionprogrammer og virus passere gjennom.
- Beskyttelse mot spam og upassende innhold.
Denne tilnærmingen eliminerer behovet for å øke utgifter til maskinvare, ansette IT-spesialister som kan få hele systemet til å fungere korrekt, og sparer deg for problemer med regelmessig fall i trafikkhastighet.
I praksis, for store og små virksomheter, vil ulik funksjonalitet prioriteres. Ved å vende seg til komplekse systemer håper små organisasjoner først og fremst å løse problemet med sikker nettverkstilgang for ansatte og kunder. For bedriftsnettverk av middels kompleksitet kreves en stabil kommunikasjonskanal. Store selskaper er opptatt av å holde på hemmeligheter. Som et resultat har hver oppgave en strengt individuell løsning.
Praksis av store selskaper
For eksempel for en bedrift Gazprom og lignende organisasjoner som foretrekker russisk programvare, betyr dette å redusere risikoen som oppstår ved bruk av utenlandsk programvare. I tillegg tilsier ergonomi behovet for å bruke utstyr som er standardisert for eksisterende maskinvarestruktur.
Problemene store virksomheter står overfor skyldes nettopp størrelsen på organisasjonen. UTM hjelper her med å løse problemer knyttet til det enorme antallet ansatte, store mengder data som overføres over det interne nettverket, og behovet for å manipulere individuelle klynger som har tilgang til Internett.
Funksjonalitet som kreves av storbedrifter:
- Avansert kontroll over arbeidet til PC-brukere, deres tilgang til nettverket og til individuelle ressurser.
- Intern nettverkstrusselbeskyttelse, inkludert URL-filtrering og tofaktors brukerautentisering.
- Filtrering av innhold som overføres over det interne nettverket, administrere Wi-Fi-nettverk.
Nok et eksempel fra vår praksis. I direktoratet for jernbanestasjoner i selskapet "RUSSISKE JERNBANER"(et klassisk eksempel på et stort forretningsprosjekt med begrenset trafikk) løsningen stoppet en rekke sikkerhetsproblemer, forhindret datalekkasje, og provoserte også en forventet økning i arbeidseffektivitet på grunn av installasjonen av interne låser.
For banksektoren er det etter vår erfaring spesielt viktig å sikre stabil, høyhastighets og uavbrutt internettrafikk, noe som oppnås på grunn av evnen til å balansere og omfordele laster. Det er også viktig å beskytte mot informasjonslekkasje og kontrollere sikkerheten.
Kjøpesentre, spesielt Kolomensky Rio er også periodisk utsatt for trusselen om eksterne angrep på nettverket deres. Imidlertid er ledelsen i kjøpesentrene oftest interessert i muligheten for å innføre internkontroll over ansatte som har restriksjoner på å jobbe med Internett, avhengig av deres ansvar. I tillegg er Internett aktivt distribuert over hele kjøpesenterets område, noe som øker faren for perimeterbrudd. Og for å forhindre slike situasjoner, foreslår UTM-løsningen å bruke applikasjonsadministrasjon.
Foreløpig bruker kjøpesenteret "Rio" aktivt filtre, flernivåblokkering og fjerning av programmer og applikasjoner som er svartelistet. Hovedresultatet i dette tilfellet er en økning i arbeidseffektivitet og tidsbesparelser på grunn av det faktum at ansatte ikke lenger distraheres av sosiale nettverk og tredjeparts nettbutikker.
Servicebehov
Kafeer, restauranter og hoteller står overfor behovet for gratis distribusjon av Wi-Fi, som for tiden, ifølge besøkendes anmeldelser, er en av de mest etterspurte tjenestene. Blant problemene som krever umiddelbar løsning er: Internett-tilgang av høy kvalitet og overholdelse av lovgivningen i Den russiske føderasjonen. I tillegg har hotellkjeder noen spesifikke egenskaper knyttet til økt belastning. Sosiale nettverk, publisering av bilder og videoer fra ferie og bare surfing bør ikke forårsake krasj og nedleggelser av hele systemet.
Alle disse problemene stoppes av et passende konfigurert UTM-system. Som en løsning foreslås det å innføre identifikasjon av enheter ved SMS, filtrering av innhold og trafikk, dele opp strømmene som kunder og ansatte sitter på, etter sensur og aldersindikatorer. Dessuten må beskyttelsen av enheter koblet til nettverket være installert.
Sykehus, klinikker og andre medisinske institusjoner krever et enhetlig sikkerhetskompleks, administrert fra et enkelt senter, med tanke på filialstrukturen. Den russiske UTM-løsningen er en prioritet for slike offentlige etater i forbindelse med importsubstitusjonspolitikken og overholdelse av loven om beskyttelse av personopplysninger.
Fordeler med UTM-løsninger
Den viktigste er åpenbar: én enhet erstatter flere samtidig, og utfører funksjonene til hver enkelt. I tillegg er det mye enklere å koble til og konfigurere en slik enhet, og hvem som helst kan jobbe med den. Den komplekse løsningen har flere fordeler:
- Finansiell. Separat kjøp av høykvalitets beskyttelsesverktøy (sikkerhetssystem, antivirusblokk, VPN og proxy-server, brannmur osv.) er mange ganger mer enn kostnadene for utstyr. Spesielt når det kommer til importerte alternativer. UTM-enheter er mye rimeligere, og enda mer høykvalitets innenlandske produkter.
- Funksjonell. Trusler forhindres på nettverksgatewaynivå, noe som ikke forstyrrer arbeidsflyten og ikke påvirker kvaliteten på trafikken. Hastigheten er stabil og konstant, applikasjoner som er følsomme for dette er konstant tilgjengelig og fungerer normalt.
- Enkelhet og rimelighet. Det UTM-baserte systemet er ikke bare raskt å installere, men også enkelt å administrere, noe som forenkler administrasjonen. Og innenlandske løsninger er laget på russisk, noe som gjør det enkelt å forstå den tekniske delen uten unødvendig roting i spesifikk terminologi.
- Sentralisert overvåking og kontroll. UTM-løsningen lar deg administrere eksterne nettverk fra ett enkelt senter uten ekstra kostnader for utstyr og personell.
Generelt blir UTM-enheter det sentrale elementet i informasjonssikkerhet for ethvert selskap med et nettverk fra flere datamaskiner til titusenvis av tilgangspunkter, og forhindrer effektivt problemer og hjelper til med å unngå prosessen med å rydde opp i konsekvensene av infeksjoner og hacks.
Det bør imidlertid tas i betraktning at UTM ikke løser alle problemer, siden den ikke håndterer sluttenheter som er forsvarsløse mot skruppelløse brukere. En lokal virustrussel krever antivirusprogrammer, i tillegg til en antivirus-gateway, og DLP-systemer må installeres for å sikre at informasjonslekkasje forhindres. Den nyere historien til flyplassen er veiledende i denne forbindelse. Heathrow, som startet en etterforskning etter at en flash-stasjon med data relatert til sikkerhets- og antiterrortiltak på flyplassen ble funnet på en gate i London.
Utvalgskriterier for UTM-system
Systemet må oppfylle flere parametere. Dette er maksimal bekvemmelighet, pålitelighet, enkelt oppsett, intuitiv betjening, konstant teknisk støtte fra produsenten og en relativt lav kostnad. I tillegg er det et strengt krav om obligatorisk sertifisering av FSTEC (FZ-149, FZ-152, FZ-188). Det gjelder utdannings- og statlige institusjoner, virksomheter som jobber med personopplysninger, helseinstitusjoner, offentlige virksomheter. For bruk av usertifiserte systemer er det gitt strenge sanksjoner: en bot på opptil 50 tusen rubler, i noen tilfeller - beslagleggelse av gjenstanden for lovbruddet og suspensjon av aktiviteter i opptil 90 dager.
Ta vare på deg selv og dine data, bruk moderne informasjonssikkerhetssystemer og ikke glem å installere leverandøroppdateringer.
). Vi starter bloggen vår med en kort introduksjon til Check Point-teknologier.
Vi tenkte lenge på om vi skulle skrive denne artikkelen, pga det er ikke noe nytt i det som ikke kan finnes på Internett. Men til tross for en slik overflod av informasjon når vi jobber med kunder og partnere, hører vi ofte de samme spørsmålene. Derfor ble det besluttet å skrive en introduksjon til verden av Check Point-teknologier og avsløre essensen av arkitekturen til løsningene deres. Og alt dette innenfor rammen av ett «lite» innlegg, for å si det sånn, en kjapp ekskursjon. Dessuten vil vi prøve å ikke gå inn i markedsføringskriger, fordi vi er ikke en leverandør, men bare en systemintegrator (selv om vi elsker Check Point veldig mye) og ser bare på hovedpunktene uten å sammenligne dem med andre produsenter (som Palo Alto, Cisco, Fortinet, etc.). Artikkelen viste seg å være ganske omfangsrik, men den avskjærer de fleste spørsmålene på stadiet av å bli kjent med Check Point. Hvis du er interessert, så velkommen til katt...
UTM / NGFW
Når du starter en samtale om Check Point, er det første du kan begynne med å forklare hva UTM, NGFW er og hvordan de er forskjellige. Vi vil gjøre dette veldig kortfattet slik at innlegget ikke blir for langt (kanskje i fremtiden vil vi vurdere dette problemet litt mer detaljert)
UTM – Unified Threat Management
Kort sagt, essensen av UTM er konsolideringen av flere beskyttelser i én løsning. De. alt i én boks eller en slags alt inkludert. Hva menes med "flere rettsmidler"? De vanligste alternativene er: Brannmur, IPS, Proxy (URL-filtrering), streaming Antivirus, Anti-Spam, VPN og så videre. Alt dette er kombinert i én UTM-løsning, noe som er enklere med tanke på integrasjon, konfigurering, administrasjon og overvåking, og dette har igjen en positiv effekt på den generelle sikkerheten i nettverket. Da UTM-løsninger først dukket opp, ble de vurdert utelukkende for små bedrifter, pga UTM-er var ikke i stand til å håndtere store mengder trafikk. Dette var av to grunner:
- Pakkehåndteringsmetode. De første versjonene av UTM-løsninger behandlet pakker sekvensielt, med hver "modul". Eksempel: først behandles pakken av brannmuren, deretter av IPS, deretter sjekker Anti-Virus den, og så videre. Naturligvis introduserte en slik mekanisme alvorlige forsinkelser i trafikken og mye forbrukte systemressurser (prosessor, minne).
- Svak "jern". Som nevnt ovenfor, spiste sekvensiell pakkebehandling opp ressurser, og maskinvaren fra den tiden (1995-2005) klarte rett og slett ikke å takle mye trafikk.
Nedenfor er den berømte Gartner magiske kvadranten for UTM-løsninger for august 2016:
Jeg skal ikke kommentere dette bildet for mye, jeg vil bare si at det er ledere i øvre høyre hjørne.
NGFW – neste generasjons brannmur
Navnet taler for seg selv – neste generasjons brannmur. Dette konseptet dukket opp mye senere enn UTM. Hovedideen til NGFW er dyp pakkeanalyse (DPI) ved bruk av innebygd IPS og tilgangskontroll på applikasjonsnivå (Application Control). I dette tilfellet er IPS akkurat det som trengs for å identifisere en applikasjon i pakkestrømmen, som lar den tillates eller nektes. Eksempel: Vi kan tillate at Skype fungerer, men vi tillater ikke filoverføringer. Vi kan forby bruk av Torrent eller RDP. Webapplikasjoner støttes også: Du kan tillate tilgang til VK.com, men blokkere spill, meldinger eller videovisning. I utgangspunktet avhenger kvaliteten på en NGFW av antall applikasjoner den kan definere. Mange tror at fremveksten av NGFW-konseptet var et vanlig markedsføringsknep som Palo Alto begynte sin raske vekst mot.
Gartner Magic Quadrant for NGFW for mai 2016:
UTM vs NGFW
Et veldig vanlig spørsmål er hva som er best? Det er ikke noe sikkert svar her, og det kan ikke være det. Spesielt med tanke på det faktum at nesten alle moderne UTM-løsninger inneholder NGFW-funksjonalitet og de fleste NGFW-er inneholder UTM-spesifikke funksjoner (Antivirus, VPN, Anti-Bot, etc.). Som alltid, "djevelen er i de små tingene," derfor må du først og fremst bestemme hva du trenger spesifikt, for å bestemme deg for et budsjett. Basert på disse avgjørelsene kan flere alternativer velges. Og alt må testes utvetydig, uten å stole på markedsføringsmateriellet.
I vår tur, innenfor rammen av flere artikler, vil vi prøve å fortelle deg om Check Point, hvordan du kan prøve det og hva du i prinsippet kan prøve (nesten all funksjonalitet).
Tre Check Point-enheter
Når du arbeider med Check Point, vil du helt sikkert komme over tre komponenter i dette produktet:
Check Point operativsystem
Når du snakker om Check Point-operativsystemet, kan du hente frem tre samtidig: IPSO, SPLAT og GAIA.
- IPSO- operativsystemet til Ipsilon Networks, som var eid av Nokia. Check Point kjøpte virksomheten i 2009. Utvikler seg ikke lenger.
- SPLAT- Check Points egen utvikling, basert på RedHat-kjernen. Utvikler seg ikke lenger.
- Gaia- det nåværende operativsystemet fra Check Point, som dukket opp som et resultat av sammenslåingen av IPSO og SPLAT, med alt det beste. Den dukket opp i 2012 og fortsetter å utvikle seg aktivt.
Utførelsesalternativer (Check Point Appliance, Virtuell maskin, OpenSerever)
Det er ikke noe overraskende her, siden mange leverandører Check Point har flere produktalternativer:
Implementeringsalternativer (distribuert eller frittstående)
Ovenfor har vi allerede diskutert hva en gateway (SG) og en administrasjonsserver (SMS) er. La oss nå diskutere alternativene for implementeringen deres. Det er to hovedmåter:
Som jeg sa rett ovenfor, har Check Point sitt eget SIEM-system – Smart Event. Du kan bare bruke den i tilfelle distribuert installasjon.
Driftsmoduser (bro, rutet)
Security Gateway (SG) kan operere i to hovedmoduser:
- Rutet- det vanligste alternativet. I dette tilfellet brukes gatewayen som en L3-enhet og ruter trafikk gjennom seg selv, dvs. Check Point er standard gateway for det beskyttede nettverket.
- Bro- gjennomsiktig modus. I dette tilfellet er gatewayen installert som en vanlig "bro" og passerer trafikk gjennom seg selv ved det andre laget (OSI). Dette alternativet brukes vanligvis når det ikke er noen mulighet (eller ønske) om å endre eksisterende infrastruktur. Du trenger praktisk talt ikke å endre nettverkstopologien og trenger ikke tenke på å endre IP-adressering.
Check Point programvareblader
Vi kom til nesten det viktigste Check Point-emnet, som forårsaker flest spørsmål fra kunder. Hva er disse "programvarebladene"? Blader refererer til spesifikke Check Point-funksjoner.
Disse funksjonene kan slås på eller av avhengig av behov. Samtidig er det blader som er aktivert utelukkende på gatewayen (Network Security) og kun på administrasjonsserveren (Management). Bildene nedenfor viser eksempler for begge tilfeller:
1) For nettverkssikkerhet(gateway-funksjonalitet)
La oss beskrive kort, siden hvert blad fortjener en egen artikkel.
- Brannmur - brannmurfunksjonalitet;
- IPSec VPN - bygge private virtuelle nettverk;
- Mobiltilgang - ekstern tilgang fra mobile enheter;
- IPS - System for inntrengingsforebygging;
- Anti-Bot - beskyttelse mot botnett-nettverk;
- AntiVirus - streaming antivirus;
- AntiSpam & Email Security - beskyttelse av bedriftspost;
- Identitetsbevissthet - integrasjon med Active Directory;
- Overvåking - overvåking av nesten alle gatewayparametere (belastning, båndbredde, VPN-status, etc.)
- Application Control - applikasjonslag brannmur (NGFW-funksjonalitet);
- URL-filtrering - Websikkerhet (+ proxy-funksjonalitet);
- Forebygging av datatap - beskyttelse mot informasjonslekkasje (DLP);
- Threat Emulation - sandkasseteknologi (SandBox);
- Threat Extraction - filrenseteknologi;
- QoS - trafikkprioritering.
2) For ledelsen(administrasjonsserverfunksjonalitet)
- Nettverkspolicystyring - sentralisert policystyring;
- Endpoint Policy Management - sentralisert administrasjon av Check Point-agenter (ja, Check Point produserer løsninger ikke bare for brannmurbeskyttelse, men også for å beskytte arbeidsstasjoner (PCer) og smarttelefoner);
- Logging og status - sentralisert innsamling og behandling av logger;
- Management Portal - sikkerhetsstyring fra nettleseren;
- Arbeidsflyt - kontroll over policyendringer, revisjon av endringer osv.;
- Brukerkatalog - integrasjon med LDAP;
- Provisioning - automatisering av gatewayadministrasjon;
- Smart Reporter - rapporteringssystem;
- Smart hendelse - hendelsesanalyse og korrelasjon (SIEM);
- Samsvar - automatisk kontroll av innstillinger og utstedelse av anbefalinger.
Bladarkitekturen lar deg bruke bare funksjonene du virkelig trenger, noe som påvirker løsningsbudsjettet og enhetens generelle ytelse. Det er logisk at jo flere blader du aktiverer, jo mindre trafikk kan du "kjøre". Det er derfor følgende ytelsestabell er knyttet til hver Check Point-modell (de tok for eksempel egenskapene til 5400-modellen):
Som du kan se, er det to kategorier av tester: på syntetisk trafikk og på ekte - blandet. Generelt sett er Check Point rett og slett tvunget til å publisere syntetiske tester. noen leverandører bruker slike tester som benchmarks, uten å undersøke ytelsen til løsningene deres på reell trafikk (eller bevisst skjule slike data fordi de er utilfredsstillende).
I hver type test vil du legge merke til flere variasjoner:
- test kun for brannmur;
- Brannmur + IPS test;
- Brannmur + IPS + NGFW (applikasjonskontroll) test;
- Brannmur + applikasjonskontroll + URL-filtrering + IPS + Antivirus + Anti-Bot + SandBlast-test (sandkasse)
Jeg tror dette kan være slutten på den innledende artikkelen om Check Point-teknologier. Deretter skal vi se på hvordan du kan teste Check Point og hvordan du håndterer moderne informasjonssikkerhetstrusler (virus, phishing, løsepengeprogramvare, zero-day).
P.S. Et viktig poeng. Til tross for den utenlandske (israelske) opprinnelsen, er løsningen sertifisert i Russland av tilsynsmyndighetene, som automatisk legaliserer deres tilstedeværelse i statlige institusjoner (kommentar av).
Det moderne Internett er fylt med mange trusler, så administratorer bruker brorparten av tiden sin på å sikre nettverkssikkerhet. Fremveksten av multifunksjonelle UTM-beskyttelsesenheter vakte umiddelbart oppmerksomheten til sikkerhetsspesialister. de kombinerer flere sikkerhetsmoduler med enkel distribusjon og administrasjon. I dag kan du møte mange implementeringer, så det er noen ganger ikke så lett å velge. La oss prøve å finne ut funksjonene til populære løsninger.
Hva er UTM?
Med veksten av nettverks- og virusangrep, spam og behovet for å organisere sikker datautveksling, trenger bedrifter et pålitelig og lett å administrere beskyttelsesverktøy. Problemstillingen er spesielt akutt i nettverkene til små og mellomstore bedrifter, der det ofte ikke er teknisk og økonomisk evne til å implementere heterogene sikkerhetssystemer. Og det er vanligvis ikke nok utdannede spesialister i slike organisasjoner. Det var for disse forholdene multifunksjonelle flerlags nettverksenheter ble utviklet, kalt UTM (Unified Threat Management, unified protection device). UTM-er vokser ut av brannmurer og kombinerer i dag funksjonene til flere løsninger - en DPI (Deep Packet Inspection) brannmur, inntrengningsbeskyttelsessystem (IDS / IPS), antispam, antivirus og innholdsfiltrering. Disse enhetene har ofte VPN-funksjoner, brukerautentisering, lastbalansering, trafikkregnskap med mer Alt-i-ett-enheter med en enkelt innstillingskonsoll lar deg raskt sette dem i drift, og senere også enkelt oppdatere alle funksjoner eller legge til nye. . Spesialisten er bare pålagt å forstå hva og hvordan man skal beskytte. Kostnaden for UTM er generelt lavere enn å kjøpe flere apper/enheter, så den totale kostnaden er lavere.
Begrepet UTM ble laget av Charles Kolodgy fra IDC (InternationalData Corporation) i hans World wide Threat Management Security Appliances 2004-2008 Forecast, publisert i september 2004, for å betegne allsidige sikkerhetsutstyr som kan takle stadig økende antall nettverksangrep. I utgangspunktet ble det antatt at det bare var tre funksjoner (brannmur, DPI og antivirus), nå er mulighetene som tilbys av UTM-enheter mye bredere.
UTM-markedet er ganske stort, og viser en årlig vekst på 25-30 % (erstatter gradvis den «rene» brannmuren), og derfor har nesten alle store aktører allerede presentert sine løsninger, både maskinvare og programvare. Hvilken du skal bruke er ofte et spørsmål om smak og tillit til utvikleren, samt tilgjengeligheten av tilstrekkelig støtte og, selvfølgelig, spesifikke forhold. Det eneste poenget er at du bør velge en pålitelig og produktiv server som tar hensyn til den planlagte belastningen, for nå vil ett system utføre flere kontroller, og dette vil allerede kreve ekstra ressurser. Samtidig må du være forsiktig, egenskapene til UTM-løsninger indikerer vanligvis gjennomstrømmingen til brannmuren, og egenskapene til IPS, VPN og andre komponenter er ofte en størrelsesorden lavere. UTM-serveren er et enkelt tilgangspunkt, hvis feil faktisk vil forlate organisasjonen uten Internett, så en rekke gjenopprettingsalternativer vil heller ikke være overflødige. Maskinvareimplementeringer har ofte ekstra co-prosessorer som brukes til å behandle enkelte typer data, for eksempel kryptering eller kontekstanalyse, for å ta belastningen fra hoved-CPU. Men programvareimplementeringen kan installeres på hvilken som helst PC, med mulighet for ytterligere problemfri oppgradering av hvilken som helst komponent. I denne forbindelse er OpenSource-løsninger (Untangle, pfSense, Endian og andre) interessante, som lar deg spare betydelig på programvare. De fleste av disse prosjektene tilbyr også kommersielle versjoner med avanserte funksjoner og teknisk støtte.
Plattform: FortiGate
Prosjektnettsted: fortinet-russia.ru
Lisens: betalt
Implementering: maskinvare
Grunnlagt i 2000, Fortinet, et California-basert selskap, er i dag en av de største leverandørene av UTM-enheter for ulike arbeidsbelastninger fra et lite kontor (FortiGate-30) til datasentre (FortiGate-5000). FortiGate-apparater gir en maskinvareplattform som beskytter mot nettverkstrusler. Plattformen er utstyrt med brannmur, IDS/IPS, anti-virus trafikkskanning, anti-spam, webfilter og applikasjonskontroll. Noen modeller støtter DLP, VoIP, trafikkforming, WAN-optimalisering, feiltoleranse, brukerautentisering for tilgang til nettverkstjenester, PKI og andre. Den aktive profilmekanismen gjør det mulig å oppdage atypisk trafikk med en automatisert respons på en slik hendelse. Anti-Virus kan skanne filer i alle størrelser, inkludert i arkiver, samtidig som den opprettholder et høyt ytelsesnivå. Nettfiltreringsmekanismen lar deg angi tilgang til mer enn 75 kategorier av nettsteder, spesifisere kvoter, inkludert avhengig av tid på dagen. For eksempel kan tilgang til underholdningsportaler bare tillates utenom arbeidstid. Programkontrollmodulen oppdager typisk trafikk (Skype, P2p, IM, etc.) uavhengig av port, trafikkformingsregler er spesifisert for individuelle applikasjoner og kategorier. Sikkerhetssoner og virtuelle domener lar deg dele nettverket inn i logiske undernett. Noen modeller har Layer 2 LAN-svitsjgrensesnitt og WAN-grensesnitt, RIP, OSPF og BGP-ruting støttes. Gatewayen kan konfigureres i ett av tre alternativer: transparent modus, statisk og dynamisk NAT, som lar deg integrere FortiGate smertefritt i ethvert nettverk. For å beskytte tilgangspunkter brukes en spesiell modifikasjon med WiFi - FortiWiFi.
For å dekke systemer (Windows-PCer, Android-smarttelefoner) som opererer utenfor det beskyttede nettverket, kan FortiClient-agentprogrammet installeres på dem, som inkluderer et komplett sett (brannmur, antivirus, SSL og IPsec VPN, IPS, webfilter, antispam og mye mer mer). FortiManager og FortiAnalyzer brukes til å sentralt administrere flere Fortinet-produserte enheter og analysere hendelseslogger.
I tillegg til web- og CLI-grensesnittet, for den grunnleggende konfigurasjonen av FortiGate / FortiWiFi, kan du bruke FortiExplorer-programmet (tilgjengelig i Win og Mac OS X), som gir tilgang til GUI og CLI (kommandoene ligner Cisco).
En av funksjonene til FortiGate er det spesialiserte FortiASIC-brikkesettet, som gir innholdsanalyse og prosessering av nettverkstrafikk og tillater sanntidsdeteksjon av nettverkstrusler uten å påvirke nettverksytelsen. Alle enheter bruker et spesialisert OS - FortiOS.
Plattform: Sjekkpunkt UTM-1
Prosjektnettsted: rus.checkpoint.com
Lisens: betalt
Implementering: maskinvare
Check Point tilbyr 3 linjer med UTM-enheter: UTM-1, UTM-1 Edge (eksterne kontorer) og [e-postbeskyttet](små selskaper). Løsningene inneholder alt du trenger for å beskytte nettverket ditt – brannmur, IPS, anti-virus gateway, antispam, SSL VPN og fjerntilgangsverktøy. Brannmuren er i stand til å skille trafikk som er iboende i de fleste applikasjoner og tjenester (mer enn 200 protokoller), administratoren kan enkelt blokkere tilgang til IM, P2P-nettverk eller Skype. Nettapplikasjonsbeskyttelse og URL-filtrering er gitt, og Check Point-databasen inneholder flere millioner nettsteder som enkelt kan blokkeres fra tilgang. Antiviruset skanner HTTP / FTP / SMTP / POP3 / IMAP-strømmer, har ingen filstørrelsesbegrensninger og kan fungere med arkiver. UTM-1 W-modeller kommer med en innebygd WiFi-hotspot.
IPS bruker ulike deteksjons- og analysemetoder: signaturer av sårbarheter, analyse av protokoller og objektatferd, og avviksdeteksjon. Analysemotoren er i stand til å beregne viktige data, så 10 % av trafikken blir nøye sjekket, resten går gjennom uten ekstra kontroller. Dette reduserer belastningen på systemet og forbedrer effektiviteten til UTM. Antispam-systemet bruker flere teknologier – IP-omdømme, innholdsanalyse, svarte og hvite lister. Støttet dynamisk ruting OSPF, BGP og RIP, flere metoder for brukerautentisering (passord, RADUIS, SecureID, etc.), implementerte en DHCP-server.
Løsningen bruker en modulær arkitektur, de såkalte Software Blades (programvareblader) lar om nødvendig utvide funksjonaliteten til ønsket nivå, og gir det nødvendige nivået av sikkerhet og kostnad. Dette lar deg ettermontere gatewayen med blader for websikkerhet (oppdaging og beskyttelse av nettinfrastruktur), VoIP (VoIP-beskyttelse), avansert nettverk, akselerasjon og klynging (maksimal ytelse og tilgjengelighet i forgrenede miljøer). For eksempel tillater Web Application Firewall og Advanced Streaming Inspection-teknologier brukt i Web Security sanntidsbehandling av konteksten, selv om den er delt opp i flere TCP-pakker, erstatter overskrifter, skjuler data om applikasjonene som brukes, omdirigerer brukeren til en side med en detaljert beskrivelse av feilen. ...
Fjernkontroll er mulig ved hjelp av web og Telnet/SSH. For sentralisert konfigurasjon av flere enheter kan Check Point SmartCenter brukes, Security Management Architecture (SMART)-teknologien som brukes i den lar deg administrere alle Check Point-elementer som er inkludert i sikkerhetspolicyen. SmartCenter-funksjonene utvides med tilleggsmoduler som gir policyvisualisering, LDAP-integrasjon, oppdateringer, rapporter osv. Alle UTM-oppdateringer mottas sentralt ved hjelp av Check Point Update Service.
Plattform: ZyWALL 1000
Prosjektnettsted: zyxel.ru
Lisens: betalt
Implementering: maskinvare
De fleste sikkerhetsgatewayene produsert av ZyXEL, når det gjelder deres evner, kan trygt tilskrives UTM, selv om det ifølge den offisielle klassifiseringen i dag er fem ZyWALL USG 50/100/300/1000/2000-modeller i denne linjen, rettet mot på små og mellomstore nettverk (opptil 500 brukere). I ZyXEL-terminologi kalles slike enheter "Network Security Center". For eksempel er ZyWALL 1000 en høyhastighets tilgangsporter designet for nettverkssikkerhet og trafikkstyringsoppgaver. Inkluderer strømming av Kaspersky Anti-Virus, IDS/IPS, innholdsfiltrering og anti-spam (Blue Coat og Commtouch), båndbreddekontroll og VPN (IPSec, SSL og L2TP over IPSec VPN). Forresten, når du kjøper, bør du ta hensyn til fastvaren - internasjonal eller for Russland. Sistnevnte bruker en 56-bits DES-nøkkel for IPsec VPN- og SSL VPN-tunneler på grunn av tollunionsbegrensninger.
Tilgangspolicyer er basert på flere kriterier (IP, bruker og tid). Innholdsfiltreringsverktøy gjør det enkelt å begrense tilgangen til nettsteder med et bestemt emne og driften av enkelte programmer IM, P2P, VoIP, post osv. IDS-systemet bruker signaturer og beskytter mot nettverksormer, trojanere, bakdører, DDoS og utnyttelser. Anomaly Detection and Prevention-teknologi analyserer pakker som passerer gjennom gatewayen på OSI-lag 2 og 3, oppdager inkonsekvenser, oppdager og blokkerer 32 typer nettverksangrep. Mulighetene til End Point Security lar deg automatisk sjekke typen OS, tilstedeværelsen av et aktivt antivirus og brannmur, tilstedeværelsen av installerte oppdateringer, kjørende prosesser, registerinnstillinger og andre. Administratoren kan nekte tilgang til nettverket for systemer som ikke oppfyller visse parametere.
Implementerte redundans for flere internettilganger og lastbalansering. VoIP-overføring via SIP- og H.323-protokoller er mulig på brannmur- og NAT-nivå, og i VPN-tunneler. Gir en enkel VLAN-organisasjon og opprettelse av virtuelle grensesnittaliaser. Autentisering ved hjelp av LDAP, AD, RADIUS støttes, som lar deg konfigurere sikkerhetspolicyer basert på reglene som allerede er vedtatt i organisasjonen.
Oppdateringer av basene til hovedkomponentene og aktivering av noen funksjoner (anti-spam Commtouch, øke antall VPN-tunneler) utføres ved hjelp av tilkoblingskort. Konfigurasjonen utføres ved hjelp av CLI og webgrensesnittet. Veiviseren veileder deg gjennom de første innstillingene.
OS: Untangle Server 9.2.1 Сruiser
Prosjektnettsted: untangle.com
Lisens: GPL
Implementering: programvare
Maskinvareplattformer: x86, x64
Systemkrav: Pentium 4 eller lignende AMD, 1 GB RAM, 80 GB disk, 2 NIC.
Ethvert * nix-distribusjonssett kan konfigureres som en fullverdig UTM-løsning, alt nødvendig for dette er tilgjengelig i pakkelagerene. Men det er også ulemper: alle komponentene må installeres og konfigureres på egen hånd (og dette krever allerede litt erfaring), og viktigere, vi mister et enkelt administrasjonsgrensesnitt. Derfor er i denne sammenheng ferdige løsninger basert på OpenSource-systemer svært interessante.
Distribusjonssettet Untangle, utgitt av selskapet med samme navn, dukket opp i 2008 og vakte umiddelbart oppmerksomheten til samfunnet med sin tilnærming. Den er basert på Debian, alle innstillinger gjøres ved hjelp av et enkelt og intuitivt grensesnitt. Opprinnelig ble distribusjonssettet kalt Untangle Gateway og var ment for bruk i små organisasjoner (opptil 300 brukere) som en fullverdig erstatning for det proprietære Forefront TMG for å gi sikker Internett-tilgang og beskytte det interne nettverket mot en rekke trusler. Over tid ble funksjonene og egenskapene til distribusjonssettet bredere og navnet ble endret til Untangle Server, og distribusjonssettet er allerede i stand til å gi arbeidet til et større antall brukere (opptil 5000 og mer, avhengig av serveren) kapasitet).
Til å begynne med implementeres Untangle-beskyttelsesfunksjoner som moduler. Etter installasjon av basissystemet er det ingen beskyttelsesmoduler, administratoren velger uavhengig hva han trenger. For enkelhets skyld er modulene delt inn i 5 pakker (Premium, Standard, Education Premium Education Standard og Lite), tilgjengeligheten av disse bestemmes av lisensen, og selve pakkene er delt inn i to grupper etter formål: Filter og Services. Alle OpenSource-applikasjoner er samlet i gratis Lite, som inneholder 13 applikasjoner som gir trafikkskanning for virus og spionprogrammer, innholdsfilter, banner- og spamblokkering, brannmur, protokollkontroll, IDS/IPS, OpenVPN, tilgangspolicy (Captive Portal). Rapportmodulen, inkludert i Lite-pakken, lar administratoren motta rapporter om alle mulige situasjoner - nettverksaktivitet, protokoller, oppdaget spam og virus, brukeraktivitet med muligheten til å sende resultatet på e-post og eksportere til PDF, HTML, XLS , CSV og XML. De er basert på populære OpenSource-applikasjoner som Snort, ClamAV, SpamAssasin, Squid, etc. I tillegg gir Untangle-serveren alle nettverksfunksjoner - ruting, NAT, DMZ, QoS, har DHCP- og DNS-servere.
Tilgjengelig i kommersielle pakker: lastbalansering og Failover, båndbreddekontroll av kanalen og applikasjoner, en modul for arbeid med Active Directory, sog noen andre funksjoner. Støtte tilbys også mot et gebyr, selv om svar på mange spørsmål finnes på det offisielle forumet. I tillegg tilbyr prosjektet ferdige servere med forhåndsinstallert Untangle.
Et brukervennlig grensesnitt skrevet i Java tilbys for tilpasning, alle endringer og arbeidsstatistikk vises i sanntid. Når du arbeider med Untangle, trenger ikke administratoren å ha dyp kunnskap om * nix, det er nok å forstå hva som må oppnås som et resultat. Installasjonen av distribusjonssettet er ganske enkel, du trenger bare å følge veiviserens instruksjoner, en annen veiviser hjelper senere med å konfigurere gatewayen.
Endian brannmur
OS: Endian Firewall Community 2.5.1
Prosjektnettsted: endian.com/en/community
Lisens: GPL
Maskinvareplattformer: x86
Systemkrav: CPU 500 MHz, 512 MB RAM, 2 GB
Endian Firewall-utviklere tilbyr flere versjoner av produktet sitt, implementert som en maskinvare- og programvareplattform. Inkludert er det en versjon for virtuelle maskiner. Alle utgivelser er under GPL-lisensen, men bare Community Edition ISO-bildet og kildekoden er tilgjengelig for gratis nedlasting. Operativsystemet er basert på CentOS og inneholder alle Linux-spesifikke applikasjoner som gir brannmurfunksjoner, IDS / IPS, antivirusskanning av HTTP / FTP / POP3 / SMTP-trafikk, antispambeskyttelse, innholdsfilter, anti-spoofing og anti- phishing-moduler og et rapporteringssystem. Det er mulig å opprette en VPN ved å bruke OpenVPN og IPsec med nøkkel- eller sertifikatautentisering. Innholdsfilteret inneholder ferdige innstillinger for mer enn 20 kategorier og underkategorier av nettsteder, det er en svarteliste og kontekstfiltreringsfunksjoner. Ved å bruke ACL kan du spesifisere tilgangsparametere for individuell bruker, gruppe, IP, tid og nettleser. Det føres statistikk over forbindelser, trafikk, brukerarbeid. Når visse hendelser inntreffer, sendes en melding til administratorens e-post. Gir lokal brukerautentisering, Active Directory, LDAP og RADIUS. Grensesnittet lar deg enkelt lage VLAN, administrere QoS, SNMP støttes. Til å begynne med er distribusjonssettet komplettert med ClamAV antivirus, eventuelt er det mulig å bruke Sophos antivirusmotor.
Nettgrensesnittet og kommandolinjen brukes for innstillinger. Innledende innstillinger gjøres ved hjelp av en veiviser som lar deg angi typen Internett-tilkobling, tilordne grensesnitt (LAN, WiFi, DMZ). Flere IP-adresser kan tilordnes til det eksterne grensesnittet, MultiWAN støttes. For enkelhets skyld er nettverksgrensesnitt delt inn i soner - RØD, ORANSJE, BLÅ og GRØNN, brannmurregler inneholder allerede innstillinger som bestemmer utvekslingen mellom dem. Innstillingene er delt inn i grupper, hvis navn taler for seg selv, med tilbørlig forsiktighet er det veldig enkelt å finne ut av det.
Konklusjon
Komplekse UTM-systemer erstatter gradvis tradisjonelle løsninger som brannmurer, så det er verdt å se nærmere på dem. Avhengig av de spesifikke forholdene er forskjellige alternativer egnet. OpenSource Endian Firewall og Untangle er gode til å beskytte små og mellomstore nettverk. UTM-er erstatter selvfølgelig ikke, men utfyller beskyttelsen som er installert på individuelle PC-er, og skaper en ekstra beskyttelseslinje ved inngangen til LAN.
For ikke så lenge siden kunngjorde Rainbow Technologies, distributøren av WatchGuard Technologies i Russland og CIS-landene, utseendet på hjemmemarkedet av en ny serie Firebox X e-Series UTM-enheter. Organisasjoner i dag står overfor komplekse og stadig skiftende trusselgrupper som endrer selve forestillingen om et sikkert nettverk. WatchGuards siste generasjon Unified Threat Management (UTM)-enheter gir en enkel løsning på dette problemet ved å konsolidere kjernesikkerhetsfunksjonene til en enkelt, rimelig, svært intelligent enhet.
Hva er UTM?
UTM er en ny retning i informasjonssikkerhetsmarkedet. UTM-enheter kombinerer en brannmur, en VPN-gateway og mange tilleggsfunksjoner som URL-filtrering, spam-blokkering, spionprogrambeskyttelse, inntrengningsforebygging, antivirusprogramvare og et sentralisert administrasjons- og kontrollsystem. Det vil si de funksjonene som tradisjonelt implementeres separat. Men for å være en fullverdig UTM, må en enhet være aktiv, integrert og lagdelt. De. det skal være et komplekst system, ikke et sett med forskjellige løsninger satt sammen i ett hus, med funksjonen sentralisert styring og overvåking.
Det verdenskjente analytikerfirmaet IDC anser UTM for å være det raskest voksende, raskest voksende segmentet av sikkerhetsutstyrsmarkedet for Vest-Europa. I vårt marked, blant WatchGuard-løsningene presentert av Rainbow Technologies, er de mest etterspurte UTM-enhetene Firebox X Core e-Series. De er designet for nettverk av forskjellige størrelser og er svært populære blant små og mellomstore bedrifter på grunn av kostnadseffektivitet, enkle konfigurasjon og høye beskyttelsesnivå.
Firebox X Edge e-Series er ideell for små nettverk og eksterne kontorer. Edge kan brukes som en frittstående nettverkssikkerhetsenhet så vel som en VPN-tunneltermineringsløsning. Firebox X Edge e-Series inkluderer: stateful brannmur, VPN, URL-filtrering og avansert nettverks- og trafikkadministrasjon for øktever. Denne enheten har et intuitivt grensesnitt som i stor grad forenkler implementerings- og administrasjonsprosessene. Sentralisert administrasjon med WSM (WatchGuard System Manager) forenkler administrasjonen av multi-Firebox-miljøer. Dette er oppgraderbare og utvidbare enheter som gir 100 Mbps brannmurbåndbredde og 35 Mbps VPN (Virtual Private Network) båndbredde.
Firebox X Peak e-Series er tilgjengelig med åtte Gigabit Ethernet-porter og brukes hovedsakelig i komplekse, forgrenede nettverk. Det finnes også modeller som støtter fiberoptiske grensesnitt. Firebox X Peak e-Series er linjen av UTM-enheter med høyest ytelse. Disse WatchGuard-løsningene har ekte Zero Day-beskyttelse og brannmurkapasitet på opptil 2 Gigabit per sekund. Firebox X Peak e-Series kombinerer ledende sikkerhetsteknologier med avanserteer, og er den ideelle løsningen for å møte de mest krevende sikkerhetspolicyene.
Blant WatchGuard-løsningene som presenteres på hjemmemarkedet av sin offisielle distributør - Rainbow Technologies, er den mest populære Firebox X Core e-Series. Disse UTM-enhetene er designet for en rekke nettverksstørrelser og er svært ettertraktet av SMB-er for deres kostnadseffektivitet, enkle oppsett og høye sikkerhetsnivå. La oss vurdere i detalj deres evner og funksjonelle egenskaper.
Firebox X Core e-Series gir den mest komplette sikkerheten i sin klasse, og kombinerer flere beskyttelser i én: brannmur, VPN, Zero Day-beskyttelse, angrepsforebygging, gateway-antivirus, anti-spyware, antispam og URL-filtrering. Denne tilnærmingen lar deg gi pålitelig beskyttelse mot blandede nettverksangrep, samt spare økonomiske ressurser og arbeidsressurser, som vanligvis brukes på å administrere og konfigurere et helt sett med individuelle løsninger.
Beskyttelse på flere nivåer
Firebox X Core e-Series er basert på ILS (Intelligent Layer Security) lagdelt arkitektur. Takket være det utfører sikkerhetsnivåene beskyttelse sammen, og trafikk som kontrolleres på andre nivåer etter et bestemt kriterium, blir ikke kontrollert igjen etter samme kriterium. Derfor reduseres ikke dataoverføringshastigheten, og applikasjoner som er sensitive for den, forblir tilgjengelige for arbeid.
WatchGuard ILS-arkitekturen består av seks lag med sikkerhet som jobber tett sammen for å dynamisk oppdage, blokkere og rapportere ondsinnet trafikk samtidig som den lar normal trafikk passere så effektivt som mulig.
For videre diskusjon vil vi anta at et lag er en logisk konstruksjon som definerer en abstrakt grense mellom komponentene ien. Dermed vil vi behandle hver type sikkerhetsteknologi som et eget lag.
ILS lagdelt arkitektur
ILS-motoren er hjernen i denne arkitekturen. Designet for å gjøre det mulig for hvert lag å dra nytte av informasjon fra andre lag, forbedre deres evner og la informasjon utveksles seg imellom om trafikken som går mellom dem, og gir maksimal beskyttelse, pålitelighet og ytelse. La oss ta en titt på hva hvert lag er:
Eksterne sikkerhetstjenester. Gir teknologier for å utvide beskyttelsen utenfor brannmuren og informasjon som gjør at sluttbrukeren/administratoren kan jobbe mer effektivt.
Dataintegritet. Kontrollerer integriteten til de overførte datapakkene og pakkens samsvar med protokollen
Virtuelt privat nettverk (VPN). Sikrer sikkerheten og konfidensialiteten til eksterne tilkoblinger
Dynamisk parsing brannmur. Begrenser trafikk til kun de kildene, destinasjonene og portene som er tillatt av sikkerhetspolicyen.
Dyp analyse av applikasjoner. Samsvarer med ISO Model Application Layer Protocol-standarder ved å blokkere mistenkelige filer etter mønster eller filtype, blokkere farlige kommandoer og endre data for å unngå lekkasje av kritisk systeminformasjon.
Innholdssikkerhet. Analyserer og begrenser trafikk i henhold til innhold, inkluderer en rekke tjenester som: antivirus, inntrengingsforebyggende system, beskyttelse mot spyware og spam, URL-filtrering.
Selv om det i den beskrevne modellen er tildelt seks nivåer, og motoren er tatt som det syvende sikkerhetsnivået, inkluderer hver av dem mange funksjoner og muligheter. Alle kan enkelt utvides til å inkludere nye måter å motvirke ukjente trusler på.
Zero Day Defense
I motsetning til løsninger som utelukkende er avhengige av signaturbasert skanning, har Firebox X Core teknologien til å gi pålitelig beskyttelse mot ulike typer angrep og deres ulike variasjoner, uten behov for signaturer. Så lenge andre nettverk forblir åpne for angrep under sårbarhetsvinduet (tiden det tar før signaturer frigis), forblir nettverket som bruker Firebox sikkert.
Sentralisert kontrollsystem
WSM (WatchGuard System Manager) er et intuitivt grafisk brukergrensesnitt som brukes til å administrere UTM-funksjonene til Firebox X Core-, Peak- og Edge-linjene. WSM gir full logging, dra-og-slipp VPN-oppretting, sanntids systemovervåking. Siden et enkelt grensesnitt fungerer for å administrere alle funksjonene til sikkerhetssystemet, er det en betydelig besparelse i tid og økonomiske ressurser.
Ekspert akkompagnement og støtte
WatchGuard LiveSecurity Service er den mest omfattende støtte- og støttetjenesten på markedet i dag. Abonnenter får jevnlig programvareoppdateringer, teknisk støtte, ekspertrådgivning, tiltak for å forhindre mulig skade fra nye angrepsmetoder osv. Firebox X Core e-Series er utstyrt med et gratis 90-dagers abonnement på LiveSecurity-tjenesten, som består av flere moduler. Disse inkluderer i sin tur sanntids teknisk støtte, programvarestøtte og oppdateringer, opplærings- og driftsmanualer, samt spesielle meldinger fra LiveSecurity Broadcasts – umiddelbar varsling om trusler og metoder for å håndtere dem.
Ytterligere sikkerhetstjenester
Hver sikkerhetstjeneste på Firebox X Core e-Series fungerer sammen med innebygd Zero Day-beskyttelse for å skape den rette blandingen av alle funksjonene du trenger for å effektivt beskytte nettverksressursene dine. Disse funksjonene er fullt integrert i UTM-enheten, så ingen ekstra maskinvare er nødvendig.
Alle nødvendige tjenester abonnerer på selve enheten, i stedet for per bruker, og unngår dermed ekstra økonomiske kostnader. For å gi kontinuerlig beskyttelse oppdateres alle tjenester kontinuerlig og kan administreres sentralt ved hjelp av WSM-systemet.
La oss se nærmere på de funksjonelle egenskapene til hver tilleggstjeneste:
SpamBlocker blokkerer opptil 97 % av uønsket e-post i sanntid.
WatchGuards spamBlocker-beskyttelsestjeneste bruker Commtouch® Recurrent Pattern Detection ™ (RPD)-teknologi for å beskytte mot spamstrømmer i sanntid med 99,95 % nøyaktighet uten bruk av signaturer eller filtre.
I stedet for å jobbe med nøkkelord og e-postinnhold, analyserer denne teknologien store mengder Internett-trafikk for å beregne en repeterende komponent for hver strøm så snart den dukker opp. Opptil 500 millioner meldinger behandles per dag, hvoretter spesielle algoritmer beregner, identifiserer og klassifiserer nye strømmer i løpet av 1-2 minutter.
De samme algoritmene skiller spam og normale meldinger. SpamBlocker bruker denne teknologien for å gi sanntidsbeskyttelse mot spam-angrep ved å kontinuerlig sammenligne mistenkte spam-meldinger med de som er lagret på Commtouch Detection Center (som inneholder 20 000 000 prøver). Denne teknologien har følgende fordeler:
- Ekstremt rask respons på nye strømmer;
- Nesten null sannsynlighet for type I-feil, noe som karakteriserer denne tjenesten som den beste i bransjen når det gjelder å skille normale meldinger fra spam-angrep;
- Høy prosentandel av spam-deteksjon - opptil 97 % av uønsket e-post er blokkert;
- Uavhengighet fra meldingsspråket. Ved å bruke hovedkarakteristikkene til e-posttrafikk i sanntid, blokkeres spam effektivt uavhengig av språk, innhold eller meldingsformat.
Basert på egenskapene til hoveddelen av meldingene, og ikke på spesifikt innhold, språk eller format, gir SpamBlocker sanntidsbeskyttelse mot spam, inkludert phishing-angrep, og opprettholder høy båndbredde for resten av nettverkstrafikken.
Gateway Antivirus / Anti-Spyware Intrusion Prevention Service
Et system basert på konstant signaturbeskyttelse ved gatewayen, som arbeider mot virus, trojanere, spionprogrammer, nettverksutnyttelser, nettskannere, blokkering av IM- og P2P-applikasjoner og andre blandede trusler.
WatchGuard Intrusion Prevention Service gir innebygd beskyttelse mot angrep som, mens de overholder protokollstandarder, kan bære uønsket innhold. Basert på signaturer er den designet for å beskytte mot et bredt spekter av angrep, inkludert skripting på tvers av nettsteder, bufferoverløp eller SQL-injeksjoner.
De to hovedproblemene med inntrengningsforebyggende systemer er hastighet og sannsynligheten for en type I-feil. WatchGuards tette integrasjon av IPS med andre ILS-lag eliminerer dem praktisk talt.
Siden andre lag med ILS blokkerer 70-80 % av angrepene (bruken av dyp analyse av applikasjoner er spesielt effektiv), er det ikke nødvendig med signaturer for å blokkere dem. Dette reduserer det totale antallet signaturer og øker databehandlingshastigheten, samtidig som det reduserer sannsynligheten for en type I-feil, som er proporsjonal med mengden data som kontrolleres og antall signaturer som brukes. WatchGuards Intrusion Prevention System bruker bare rundt 1000 signaturer for å oppnå et beskyttelsesnivå som er sammenlignbart eller enda bedre enn noen andre systemer, som kan ha opptil 6000 signaturer.
Spionprogrammer spres på mange andre måter enn P2P, inkludert innebygde filer, informasjonskapsler og programmer for selvnedlasting. Spionprogrammer kan spore alt du skriver på tastaturet, rote gjennom filer etter passord og legitimasjon og fylle skjermen med reklame. Det bremser også systemene og spiser opp nettverkstrafikken. WatchGuards Intrusion Prevention Service inkluderer både signaturbaserte og unike skannemetoder for å blokkere spionprogrammer på ulike punkter i livssyklusen, inkludert installasjon, foreldrerapportering og programaktivitet etter installasjon. Alt dette gjøres ved hjelp av et sett med sammenhengende prosedyrer:
- Blokkering av nettsteder. Intrusion Prevention Engine blokkerer tilgang til kjente spionvarelager eller filservere som distribuerer spionprogrammer under HTTP-økter.
- Innholdsvalidering basert på signaturer. Intrusion Prevention Engine vil kontinuerlig skanne trafikk med en konstant oppdatert signaturdatabase for å identifisere og blokkere nedlastbar spionvare, inkludert forkledd oppstartsprogramvare.
- Stopp mens du stiller inn. For å konfigurere spionvaren, trenger den en dedikert applikasjon som den må kontakte for å sende installasjonsdata og be om innledende konfigurasjonsdata fra overordnet verten. Inntrengningsforebyggende system oppdager og blokkerer denne forbindelsen.
- Stopp på jobb. Så snart den infiserte maskinen begynner å jobbe på det interne nettverket, vil spyware prøve å bruke nettverkstilkoblingen for å opprette en kommunikasjonskanal for ytterligere handlinger. Intrusion Prevention System vil oppdage og blokkere disse prosessene, som kan inkludere informasjonstyveri, installasjon av ekstra spyware og reklame.
WatchGuards Intrusion Prevention Engine er tett koblet med andre brannmurfunksjoner og produserer rapporter som er fullt integrert i rapporteringssystemet. Dette lar systemadministratoren enkelt identifisere det spionvareinfiserte nettverkselementet og fjerne det.
WebBlocker øker produktiviteten og reduserer risikoen ved å blokkere tilgang til usikre kilder på nettverket, og kontrollerer også ansattes tilgang til Internett.
WebBlocker bruker en database med nettsteder og programvareverktøy fra verdenslederen innen nettfiltrering - SurfControl. For å klassifisere mest nøyaktig og fullt ut dekke hele spekteret av nettsider, bruker WebBlocker en rekke kategorier for å blokkere innhold du ikke vil se på nettet. Blokkert
Kjente nettsteder som inneholder spionprogrammer eller støtende innhold for å beskytte nettressursene dine. underholdningssider er blokkert, noe som øker de ansattes produktivitet.
Med tilpassbare ekskluderingslister, brukerautentisering og muligheten til å angi forskjellige retningslinjer for forskjellige tider på dagen, håndhever WebBlocker sikkerhetspolicyen i stor grad.
Moderniseringsmuligheter
Når du prøver å beregne den totale kontantinvesteringen som kreves for å distribuere, administrere og oppgradere en pakke med sikkerhetsløsninger designet for å møte de brede kravene til dagens nettverk, er det klart at Firebox X Core e-Series er mer kostnadseffektiv.
Etter hvert som kravene vokser, kan du enkelt utvide mulighetene til en UTM-enhet. For å øke hastigheten og båndbredden, oppgraderes enheten for eksempel ved å kjøpe en spesiell lisens. Det gir også muligheten til å flytte maskinvareplattformen til et mer funksjonelt operativsystem.
Operativsystem
Fireware-operativsystemet leveres med alle Firebox X Core e-Series-modeller. For komplekse nettverksmiljøer kan det være nødvendig å oppgradere til det mer avanserte Fireware Pro-systemet, som gir følgende tilleggsfunksjoner:
- Trafikkkontroll;
- Gir forsikring om at nødvendig båndbredde vil bli tildelt for kritiske applikasjoner;
- Failover-system (aktiv / passiv modus);
- Muligheten til å bygge en failover-klynge;
- Dynamisk ruting (BGP, OSPF, RIP-protokoller);
- Maksimal nettverksfleksibilitet og effektivitet, takket være dynamisk oppdaterte rutingtabeller.
For å installere operativsystemet på nytt på en Firebox UTM-enhet trenger du bare å kjøpe en spesiell lisens.
Ved å kombinere og transformere tradisjonelle sikkerhetsverktøy til integrerte UTM-enheter, kan bedrifter flytte til et nytt, høyere nivå av beskyttelse for sine lokale nettverk. WatchGuards tilnærming, basert på en spesiell teknologi implementert i ILS-arkitekturen, som gjør det mulig å integrere flere lag med beskyttelse samtidig sammen med tilleggsfunksjoner, er utvilsomt en effektiv beskyttelse for enhver: både allerede dannet og utviklende nettverksinfrastruktur. Bruken av fullverdige UTM-enheter, som WatchGuard Firebox, blir spesielt aktuelt i disse dager, når flere og mer sofistikerte typer trusler dukker opp med økende frekvens.
Nylig har de såkalte UTM-enhetene blitt stadig mer populære i verden, og kombinerer en hel rekke IT-sikkerhetsfunksjoner i ett maskinvaresystem. For bedre å forstå disse produktene og forstå deres fordeler fremfor konvensjonelle løsninger, henvendte vi oss til Rainbow Technologies. Deyan Momchilovich, leder for partnerrelasjoner i Rainbow, svarer på spørsmålene våre.
Deyan Momchilovich, leder for partnerrelasjoner, Rainbow
Alexey Dolya: Kan du fortelle oss om UTM-produkter (Unified Threat Management) generelt? Hva er det og hva brukes de til?
Deyan Momchilovich: Nylig, når de snakker om informasjonssikkerhet, bruker media i økende grad et nytt begrep - UTM-enheter. Konseptet Unified Threat Management (UTM), som en egen klasse utstyr for å beskytte nettverksressurser, ble introdusert av det internasjonale byrået IDC, som studerer IT-markedet. I henhold til deres klassifisering er UTM-løsninger multifunksjonelle maskinvare- og programvaresystemer som kombinerer funksjonene til forskjellige enheter: en brannmur, et system for oppdagelse og forebygging av nettverksinntrenging og en antivirus-gateway.
UTM-enheter brukes til å enkelt, raskt og effektivt bygge et sikkerhetssystem for nettverksressurser. De er spesielt populære blant SMB-bedrifter (Small and Medium Business) på grunn av deres brukervennlighet og kostnadseffektivitet.
For å bli kalt en fullverdig UTM, må en enhet være aktiv, integrert og lagdelt. Det vil si at den skal utføre følgende tre funksjoner. Først, gi flerlags sikkerhet på tvers av nettverket. For det andre fungerer det som et antivirusfilter, inntrengingsforebyggende system og antispywarebeskyttelse på nettverksgatewaynivå. For det tredje, beskytt mot usikre nettsteder og spam. Dessuten er hver funksjon ansvarlig for visse operasjoner. For eksempel gir flerlagsbeskyttelse proaktiv dybdeanalyse av dataflyten og gir informasjon om mistenkelig trafikk til ulike moduler på enheten, som er engasjert i å oppdage trafikkavvik, analysere vertsatferd og skanning av filsignaturer.
Separat er det verdt å dvele ved beskyttelse mot usikre nettsteder og spam. Den ukontrollerte bevegelsen av selskapets ansatte på Internett øker sannsynligheten for infeksjon med spionprogrammer, trojanere og mange virus. I tillegg synker arbeidsproduktiviteten, nettverksbåndbredden reduseres, og det kan til og med skje at bedriften må stilles til ansvar overfor loven for visse brudd. URL-filtreringstjenesten lar deg blokkere nettsteder med usikkert eller støtende innhold. Du kan organisere tilgang til nettressurser basert på ukedagen, avdelingsbehov eller individuelle brukerforespørsler. Når det gjelder spam, kan det fylle opp e-postserveren fullstendig, overbelaste nettverksressurser og påvirke ansattes produktivitet negativt. Den kan også bære ulike typer farlige angrep, inkludert virus, sosial manipulering eller phishing. Ved å bruke en dedikert spam-blokkeringstjeneste kan du effektivt stoppe unødvendig trafikk på nettverksporten før den kommer inn i nettverket og forårsaker skade.
Alexey Dolya: Hva er fordelen med UTM-løsninger fremfor andre IT-sikkerhetsprodukter?
Deyan Momchilovich: Individuelle enheter som brannmur, anti-virus gateway, inntrengingsforebyggende system, etc. kan kjøpes og installeres. Eller du kan bruke én enhet som utfører alle disse funksjonene. Sammenlignet med å bruke separate systemer, har det å jobbe med UTM-komplekset en rekke fordeler. Først den økonomiske fordelen. Integrerte systemer, i motsetning til lagdelte sikkerhetsløsninger som er bygget med mange separate enheter, bruker mye mindre maskinvare. Dette gjenspeiles i totalkostnaden. En fullt integrert løsning kan inkludere brannmur, VPN, flerlags sikkerhet, antivirusfilter, inntrengningsforebygging og antispywaresystemer, URL-filter og sentraliserte overvåkings- og administrasjonssystemer.
For det andre, stoppe angrep på nettverksporten uten å forstyrre arbeidsflyten. En lagdelt tilnærming unngår katastrofe ved å blokkere nettverksangrep der de forsøker å infiltrere nettverket. Siden nivåene gir beskyttelse sammen, blir trafikken som er kontrollert etter et bestemt kriterium kontrollert på nytt, på andre nivåer, etter samme kriterium, blir den ikke kontrollert igjen. Derfor reduseres ikke trafikkhastigheten, og de hastighetssensitive applikasjonene forblir tilgjengelige for arbeid.
For det tredje, enkel installasjon og bruk. Integrerte systemer med sentralisert administrasjon gjør det enkelt å konfigurere og administrere enheter og tjenester. Dette forenkler arbeidet til administratorer og reduserer driftskostnadene. Muligheten til å enkelt sette opp og distribuere systemer ved hjelp av veivisere, optimale standardinnstillinger og andre automatiserte verktøy fjerner mange av de tekniske barrierene for raskt å bygge nettverkssikkerhet.
Det er enda en viktig forskjell mellom UTM-systemer og tradisjonelle løsninger. Poenget er at signaturbaserte løsninger har vært ryggraden i et sikkerhetsarsenal i mange år og bruker en database med kjente mønstre for å oppdage og blokkere ondsinnet trafikk før den kommer inn i nettverket. Disse systemene gir beskyttelse mot trusler og sikkerhetsbrudd som trojanere, bufferoverløp, utilsiktet kjøring av ondsinnet SQL, direktemeldinger og punkt-til-punkt-kommunikasjon (brukt av Napster, Gnutella og Kazaa).
Men når en mistenkt trussel er identifisert og identifisert, kan det ta fra flere timer til flere uker å opprette de tilsvarende signaturfilene som er tilgjengelige for nedlasting. Denne "forsinkelsen" skaper et sårbarhetsvindu (fig. 1), der nettverk er åpne for angrep:
Ris. 1. "Angreps livssyklus og sårbarhetsvindu"
I UTM-enheter fungerer lagdelt sikkerhet sammen med signaturbaserte løsninger og andre tjenester for bedre å beskytte mot komplekse trusler som dukker opp med alarmerende frekvens.
Alexey Dolya: Hvilke UTM-løsninger tilbyr din bedrift? Hvilke funksjoner utfører de?
Deyan Momchilovich: Rainbow Technologies er en distributør av det amerikanske selskapet WatchGuard i Russland og CIS-landene. I følge det verdenskjente analytiske byrået IDC er WatchGuard den # 1-selgende UTM-enheten for SMB i USA og Europa (data fra 2005). En serie UTM-enheter Firebox X leveres til vårt marked, designet for både store og små bedrifter.
Firebox X Edge er en brannmur for små bedrifter og VPN-endepunktsenheter. Den er designet for eksterne kontorer og mobile brukere og beskytter bedriftens ressurser mot "utilsiktede trusler" fra eksterne brukere når de får tilgang til nettverket.
Brannkasse x kant
WatchGuards Firebox X Core er flaggskipet UTM-produktlinjen som leverer Zero-Day Protection – beskytter mot nye og ukjente trusler før de i det hele tatt oppstår og blir oppdaget. Trafikk som kommer inn i nettverket skannes på mange nivåer, som aktivt blokkerer: virus, ormer, spionprogrammer, trojanere og blandede trusler uten bruk av signaturer.
Firebox X Peak er UTM-beskyttelse for mer omfattende nettverk, og gir opptil 1 GB brannmurbåndbredde.
Alexey Dolya: Hvordan er UTM-produktene dine forskjellige fra konkurrentenes UTM-produkter?
Deyan Momchilovich: I dag er bare utenlandske produsenter UTM-enheter presentert i Russland. Dessuten, de fleste av dem, som presenterer enhetene sine og kaller dem UTM, kombinerer ganske enkelt funksjonaliteten til uavhengige nettverkssikkerhetsenheter (som: brannmur, anti-virus gateway, inntrengningsdeteksjon / forebyggingssystem) i ett tilfelle med et enhetlig overvåkings- og kontrollsystem . Sammen med de ubestridelige fordelene nevnt tidligere, har denne tilnærmingen også alvorlige ulemper:
Individuelle enheter som bruker en felles plattform bruker en stor mengde dataressurser, noe som fører til økte krav til maskinvarekomponenten i en slik løsning, og dermed øker de totale kostnadene.
Ved å være formelt samlet i én boks, er de individuelle enhetene i hovedsak uavhengige av hverandre og utveksler ikke resultatene av analysen av trafikken som går gjennom dem med hverandre. Dette fører til at trafikk som kommer inn eller ut av nettverket går gjennom alle enheter, ofte gjenstand for dupliserte kontroller. Som et resultat faller hastigheten på trafikken som passerer gjennom enheten kraftig.
På grunn av mangelen på interaksjon mellom de individuelle funksjonsblokkene til enheten, nevnt ovenfor, øker sannsynligheten for at potensielt farlig trafikk kommer inn i nettverket.
I hjertet av WatchGuards UTM-løsninger er arkitekturen Intelligent Layered Security (ILS), som eliminerer disse ulempene som er iboende i andre UTM-løsninger. La oss se nærmere på hvordan ILS fungerer. Denne arkitekturen er kjernen i WatchGuards Firebox X-serie av UTM-apparater og gir effektiv beskyttelse for voksende virksomheter. Ved å utnytte dynamiske interaksjoner mellom lag, gir ILS sikkerhet med optimal enhetsytelse.
ILS-arkitekturen består av seks beskyttelseslag (Figur 2) som samhandler med hverandre. På grunn av dette blir mistenkelig trafikk dynamisk oppdaget og blokkert, og normal trafikk er tillatt inne i nettverket. Dette lar deg motstå både kjente og ukjente angrep, og gir maksimal beskyttelse til lavest mulig pris.
Ris. 2. "Arkitektur av intelligent lagdelt sikkerhet og UTM"
Hvert lag med beskyttelse utfører følgende funksjoner:
1. Eksterne sikkerhetstjenester samhandler med den interne beskyttelsen av nettverket (antivirus på arbeidsstasjoner, etc.).
2. Dataintegritetssjekkeren sjekker integriteten til pakkene som passerer gjennom enheten og at disse pakkene er i samsvar med overføringsprotokollene.
3. VPN-tjenesten sjekker trafikken for tilhørighet til krypterte eksterne forbindelser til organisasjonen.
4. Dynamisk tilstandsfull brannmur begrenser trafikk til kilder og destinasjoner i henhold til den konfigurerte sikkerhetspolicyen.
5. Tjenesten for dyp applikasjonsanalyse kutter farlige filer etter mønstre eller filtyper, blokkerer farlige kommandoer, konverterer data for å unngå lekkasje av kritiske data.
6. Innholdsinspeksjonstjenesten bruker signaturbaserte teknologier, spamblokkering og URL-filtrering.
Alle disse beskyttelseslagene samhandler aktivt med hverandre, og overfører data hentet fra trafikkanalyse i ett lag til alle andre lag. Hva tillater:
1. Reduser bruken av dataressurser til UTM-enheten, og reduser de totale kostnadene ved å redusere maskinvarekravene.
2. For å oppnå minimal nedgang i trafikken som passerer gjennom UTM-enheten, takket være ikke alle, men bare de nødvendige kontrollene.
3. Motstå ikke bare kjente trusler, men gi også beskyttelse mot nye, ennå ikke identifiserte angrep.
Alexey Dolya: Hva slags teknisk støtte mottar brukere av UTM-produktene dine?
Deyan Momchilovich: I hjertet av alle WatchGuard-løsninger er kontinuerlig vedlikehold av det høyeste sikkerhetsnivået ved nettverksperimeteren, som oppnås gjennom den elektroniske tjenesten LiveSecurity. Abonnenter får jevnlig programvareoppdateringer, teknisk støtte, ekspertrådgivning, tiltak for å forhindre mulig skade fra nye angrepsmetoder osv. Alle Firebox X-produkter støttes av et gratis 90-dagers abonnement på LiveSecurity, den mest omfattende tjenesten innen IT i dag. -industri med et system med ekstern teknisk støtte og tjenester.
LiveSecurity består av flere moduler. Disse inkluderer i sin tur: sanntids teknisk støtte, programvarestøtte og oppdateringer, opplæring og veiledninger, samt spesielle meldinger fra LiveSecurity Broadcasts (umiddelbar varsling om trusler og metoder for å bekjempe dem).
Firebox x
Alexey Dolya: Hvor mye koster UTM-løsningene dine og hvor mye koster det å kjøre dem årlig? Hvor kan du kjøpe produktene dine?
Deyan Momchilovich: Vi jobber ikke med sluttbrukere, siden vi ikke har en detaljsalgsstruktur - dette er vår handelspolicy. Du kan kjøpe WatchGuard Firebox X UTM-enheter fra våre partnere - systemintegratorer eller forhandlere, listen over disse er tilgjengelig på nettstedet http://www.rainbow.msk.ru. Du kan også få informasjon om utsalgsprisen for disse enhetene fra dem.
Alexey Dolya: Hva er prognosene dine for salget av UTM-enheter i landet vårt?
Deyan Momchilovich: Over hele verden vokser salget av UTM-enheter. Og markedet vårt er intet unntak. Sammenlignet med 2002 vokste segmentet av UTM-enheter innen 2005 med 160 % (ifølge undersøkelser av verdensmarkedet fra IDC-byrået). Dette tallet snakker om en veldig rask vekst, og til tross for at det russiske markedet er betydelig "hengende" bak USA og Europa, spår vi også en betydelig økning i populariteten til UTM-enheter på det i en svært nær fremtid.
Alexey Dolya: Takk for at du tok deg tid og svarte på alle spørsmålene. Lykke til og alt godt!
