Pubblicazione su Internet sulle alte tecnologie. Protezione delle reti perimetrali

Soluzione UTM all'avanguardia caratterizzata da facilità di configurazione, preimpostazioni sicure e tutti i moduli inclusi analisi approfondita traffico necessario per fornire un filtraggio sicuro: sistemi di prevenzione delle intrusioni, controllo delle applicazioni, filtro dei contenuti. Vediamo cosa può fare Ideco.

Caratteristiche principali

Caratteristiche di Ideco ICS:

• Protezione degli utenti e della rete aziendale da minacce esterne- sistema di prevenzione delle intrusioni, controllo delle applicazioni (DPI), filtraggio dei contenuti del traffico web (incluso HTTPS), antivirus e antispam di Kaspersky, protezione dei server web pubblicati (Web Application Firewall), integrazione con sistemi DLP e SIEM, firewall.
• Gestione completa del traffico Internet: autorizzazione utente, bilanciamento dei canali, restrizione, assegnazione di priorità, report.
• Comunicazioni e posta - server di posta, filtro antispam multilivello, protezione contro virus e collegamenti di phishing, funzionalità di filtraggio complete se utilizzato come inoltro, moderna interfaccia web.
• Creazione di una rete aziendale: connessione sicura di utenti remoti, organizzazione di canali protetti tra filiali (il supporto VPN tramite PPTP, OpenVPN, IPsec consente di connettere quasi tutti i router o gateway software alla rete), l'uso di connessioni multiple ai provider, il routing , integrazione con Directory attiva.

Ideco ICS combina i seguenti moduli di sicurezza:
* firewall;
* Sistema anti-intrusione;
* controllo dell'applicazione;
* filtro dei contenuti (HTTP e HTTPS);
* Firewall per applicazioni Web;
* controllo del traffico antivirus;
* controllo antispam e traffico mail;
* protezione contro DoS e attacchi di forza bruta;
* accesso remoto sicuro tramite VPN.

Web Application Firewall è un modulo firewall per la protezione delle applicazioni Web pubblicate. Va notato che tra i russi Soluzioni Ideco UTM ICS è l'unico con questa funzionalità.
Puoi leggere tutto questo sul sito Web dell'azienda, quindi propongo di andare direttamente alla pratica e vedere come appare Ideco ICS non sulla carta, ma in vita reale. E inizieremo con l'installazione.

Installazione di Ideco ICS

Non c'è nulla di complicato nell'installazione: è necessario scaricare l'immagine ISO dall'account personale dell'utente, masterizzarla su un'unità flash USB o su un disco (come preferisci) e avviare.
L'installazione è molto veloce e senza complicazioni. Ecco i suoi punti salienti:
1. È necessario verificare che l'ora e la data nel BIOS siano impostate correttamente - questo è molto importante per l'integrazione con Active Directory (tuttavia, se l'ora e la data non sono corrette, verranno sincronizzate automaticamente dopo che il server è stato collegato al Internet).
2. Sono necessari almeno 3800 MB di RAM.
3. Sono supportate le modalità di installazione, aggiornamento e ripristino (Fig. 1).
4. Tutti i dati sull'unità verranno distrutti.
5. Durante il processo di installazione, è necessario configurare l'interfaccia di rete locale (Fig. 2) e selezionare il fuso orario.
6. L'installazione richiede circa 4 GB di spazio su disco
7. Il programma di installazione fornirà il nome utente e la password dell'amministratore (Figura 3).

L'installazione avviene con un intervento minimo o nullo da parte dell'utente. Tutto ciò che serve all'utente è inserire l'indirizzo IP del futuro gateway e selezionare il fuso orario.

Controllo gateway: console

Riavviamo (Fig. 4). Se guardi da vicino, puoi vedere con quali componenti è costruito Ideco: xinetd superserver, bind DNS server, nginx, Squid, KLMS e altri.

È necessario immettere la password della modalità di servizio per accedere alla console del gateway. Il menu di controllo del gateway è mostrato in fig. 5. Comandi del menu:
* Server Monitor: visualizza informazioni sul carico della CPU, sulla memoria e sull'utilizzo del disco (Figura 6).
* Monitoraggio della rete - informazioni sull'utilizzo della rete (bmon).
* Impostazioni di rete: qui è possibile modificare l'indirizzo IP e la maschera del gateway, nonché visualizzare la configurazione di rete corrente (Fig. 7).
* Backup del database - strumento di creazione backup database, qui puoi ripristinare il database da un backup.
* Console: una console a tutti gli effetti in cui puoi fare quello che vuoi. Personalmente, la prima cosa che ho osservato è stata la quantità di spazio occupata dall'installazione. Poco più di 3,2 GB (Figura 8).
* Servizio: apre un sottomenu in cui è possibile impostare l'indirizzo IP dell'amministratore, disabilitare regole del firewall, consentire Internet a tutti e tutto, consentire l'accesso al server tramite SSH, reimpostare la password dell'amministratore.
* Modifica password: consente di modificare la password dell'amministratore.
* Riavvio del server: riavvio del server, inclusi completo e soft, ovvero riavviando solo i servizi, non l'intero computer.
* Esci - esci dalla console di gestione.

interfaccia web

Per accedere all'interfaccia web (dopotutto, ci sono più opportunità in essa che in modalità servizio) utilizza l'URL https://indirizzo IP, dove indirizzo IP è l'indirizzo specificato nelle impostazioni. Le informazioni di accesso sono mostrate in Fig. 3. La pagina principale dell'interfaccia web è mostrata in fig. dieci.

In realtà, cosa fare dopo essere entrati nell'interfaccia web? Tutto dipende dal compito da svolgere. Se il compito è solo fornire l'accesso a Internet a un gruppo di utenti, è necessario selezionare almeno un'interfaccia esterna (attraverso la quale il nostro server fornirà l'accesso a Internet) e aggiungere utenti.

Aggiunta di un'interfaccia esterna

Per aggiungere un'interfaccia esterna, devi andare nella sezione "Server > Interfacce", selezionare il ruolo dell'interfaccia "Esterna", inserirne il nome e impostare i parametri di rete. Tieni presente che puoi impostare un indirizzo IP per il ping (puoi usare server di google- 8.8.8.8), nonché selezionare un'interfaccia di backup, se presente. Se sono presenti due interfacce esterne, per quella principale è necessario impostare l'interruttore "Principale".

Creazione di utenti

Nella sezione "Utenti" devi prima selezionare il tipo di autorizzazione (Fig. 16). Nel molto caso semplice puoi scegliere l'autorizzazione per IP. Questa opzione è adatta per una piccola rete, quando è chiaro chi è chi, così come nei casi in cui è necessario implementare rapidamente un gateway per accedere a Internet e una configurazione completa deve ancora essere eseguita in futuro.
Sulla barra laterale sinistra ci sono i pulsanti Aggiungi gruppo e Aggiungi utente. Gli utenti dovrebbero essere combinati in gruppi per una gestione più semplice. Creiamo il gruppo "Ufficio" (Fig. 12).

Quindi l'interfaccia visualizzerà le impostazioni del gruppo (Figura 13). Fare clic sul pulsante "Crea utenti" per chiamare lo strumento per l'aggiunta di utenti in blocco (Fig. 14). È necessario impostare il prefisso del nome, il prefisso di accesso dell'utente e l'intervallo di indirizzi IP degli utenti da aggiungere. Certo, puoi aggiungere utenti uno alla volta, ma questo non è molto conveniente, soprattutto se è possibile automatizzarlo.

In realtà, questo è tutto. Resta solo sui client per impostare l'indirizzo IP del nostro server Ideco ICS come gateway. Se sei troppo pigro per farlo, nella sezione "Server > DHCP", puoi abilitare il server DHCP e impostarne i parametri (Fig. 16). Come minimo, è necessario specificare un intervallo di indirizzi IP e assegnare un gateway predefinito ai client.

Se l'attività consiste semplicemente nel fornire agli utenti l'accesso a Internet, significa che è già stata completata. Ci sono voluti una ventina di minuti per tutto (insieme all'installazione di Ideco ICS). Se non prendi in considerazione l'installazione del sistema operativo stesso, trascorrerai più tempo a leggere questo articolo che a configurare il server.

Serrature e tutti i tipi di restrizioni

Tutto ciò che è configurato fino a questo punto può essere configurato abbastanza rapidamente su qualsiasi server Linux/FreeBSD. E ora inizia il più interessante. Vai alla sezione "Server", "Filtro contenuto". Qui puoi scegliere quali contenuti verranno bloccati dal server. Quindi, nella categoria "File di blocco" (Fig. 17), vengono mostrati i tipi di file che sono soggetti a blocco. E nella categoria "Standard", puoi bloccare VPN (tutti i più diffusi servizi e programmi VPN sono bloccati in qualsiasi versione), torrent, proxy Web, siti con contenuti per adulti e altro ancora.

L'impostazione manuale di tale filtro dei contenuti richiederà del tempo. Con Ideco ICS puoi bloccare le risorse necessarie in un paio di clic del mouse. In questo caso, non è necessario configurare alcun firewall o proxy.
La base del filtro dei contenuti standard contiene 34 categorie di traffico e oltre 900 mila URL, mentre quello avanzato ne contiene ancora di più: 143 categorie e 500 milioni di URL. Entrambi i database sono regolarmente aggiornati e mantenuti aggiornati. Gli stessi database, oltre alla possibilità di blocco per tipologia di sito, consentono di categorizzare la reportistica web sui consumi di traffico da parte degli utenti. In altre parole, sarà possibile capire quante ore dedicano al lavoro i dipendenti, e quante all'intrattenimento o all'interesse personale durante l'orario di lavoro.

I vantaggi di Ideco ICS

Le caratteristiche principali di Ideco ICS:

• Inizialmente, tutti i moduli, i servizi, le regole del firewall e il filtraggio dei contenuti sono configurati per fornire la massima protezione della rete e del server.
• Molte impostazioni non possono essere modificate, ovvero il sistema non può essere configurato in modo non sicuro, anche con tutta la tua voglia o inesperienza.
• Facilità di configurazione.
• Supporto per l'integrazione con Active Directory.
• Tutti gli utenti ei dispositivi devono essere autorizzati ad accedere a Internet. È vietato il traffico non autorizzato, che consente di ricevere sempre statistiche sull'utilizzo di Internet da parte di utenti e dispositivi.
• Database nazionali di filtraggio dei contenuti (filtro dei contenuti avanzato), più rilevanti per il segmento Internet russo rispetto ai database occidentali.
• Una soluzione completamente russa, che include database di filtraggio dei contenuti, antivirus (Kaspersky Anti-Virus, vedere Fig. 19), sistemi di prevenzione delle intrusioni (database proprio sviluppo).
• Il blocco tenta di aggirare il sistema di filtraggio dei contenuti (anonimizzatori), inclusi i plugin del browser più diffusi, Opera VPN, Yandex.Turbo.
• Comodo sistema di segnalazione.

Server email

Ideco ICS non è solo un gateway con integrazione con Active Directory. Il prodotto, tra l'altro, contiene anche un server di posta integrato, che può essere configurato nella sezione "Server > Server di posta" (Fig. 20).

Sistema di prevenzione delle intrusioni (IDS)

Ideco ICS out of the box è dotato di un sistema di prevenzione delle intrusioni (IDS), che consente anche di bloccare gli anonimizzatori. Per configurare IDS, vai alla sezione "Sicurezza > Prevenzione intrusioni" e abilita IDS / IPS (Fig. 21).

La scheda "Regole" consente di definire gruppi di regole IDS (Fig. 22). Qui è dove puoi attivare / disattivare il blocco di Opera VPN, anonimizzatori, attacchi e altro ancora.

Affinché IDS funzioni, sono necessari almeno 8 GB di RAM sul server.
Tra le caratteristiche vi sono funzioni comuni a un sistema di prevenzione delle intrusioni (blocco di aggressori, botnet e ricerca di firme pericolose nel traffico), ma, in aggiunta, il sistema consente di bloccare il traffico in base alla Reputazione IP e GeoIP, senza la sua analisi approfondita (che accelera il filtraggio del traffico e aumenta la resistenza agli attacchi DoS e DDoS), oltre a bloccare Telemetria di Windows(funzioni per il tracciamento degli utenti di questo sistema operativo, che i prodotti di altri fornitori non fanno).

Rapporti e statistiche

La sezione "Rapporti" consente di visualizzare ed esportare diverse informazioni statistiche. I rapporti possono essere esportati in Formati HTML, CSV, XLS. Il formato CSV è utile per un'ulteriore analisi dei report in altri prodotti software.

Informazioni aggiuntive può essere ottenuto nella recensione dagli sviluppatori Ideco:

L'Ideco ICS Security Gateway è un'offerta unica sul mercato russo delle soluzioni UTM: un prodotto moderno che fornisce una protezione versatile contro le minacce di rete e non richiede praticamente alcuna configurazione. L'implementazione di questa soluzione richiede pochi minuti e, di conseguenza, otteniamo un gateway completo con tutti i tipi di funzioni, dalla protezione e blocco al supporto di Active Directory e alla creazione di report avanzati.

Recentemente, i cosiddetti dispositivi UTM sono diventati sempre più popolari nel mondo, combinando un'intera gamma di funzioni di sicurezza IT in un unico sistema hardware. Per capire meglio questi prodotti e capire il loro vantaggio rispetto soluzioni convenzionali, abbiamo contattato Rainbow Technologies. Alle nostre domande risponde Dejan Momcilovic, Head of Partner Relations di Rainbow.

Dejan Momcilovic, Head of Partner Relations di Rainbow

Alessio Condividi: Puoi parlarci dei prodotti UTM (Unified Threat Management) in generale? Cosa sono e a cosa servono?

Dejan Momcilovic: Di recente, quando si parla di sicurezza delle informazioni, i media utilizzano sempre più un nuovo termine: dispositivi UTM. Il concetto di Unified Threat Management (UTM) come classe separata apparecchiature per la protezione delle risorse di rete, è stata introdotta dall'agenzia internazionale IDC, ricercando il mercato IT. Secondo la loro classificazione, le soluzioni UTM sono sistemi software e hardware multifunzionali che combinano le funzioni di diversi dispositivi: un firewall, un sistema di rilevamento e prevenzione delle intrusioni di rete e le funzioni di un gateway antivirus.
I dispositivi UTM vengono utilizzati per creare in modo semplice, rapido ed efficiente un sistema di sicurezza delle risorse di rete. Sono particolarmente apprezzati dalle aziende delle PMI (Piccole e Medie Imprese) per la loro facilità d'uso e l'economicità.
Per essere chiamato UTM completo, un dispositivo deve essere attivo, integrato e stratificato. Cioè, deve svolgere le seguenti tre funzioni. In primo luogo, per fornire una protezione multilivello nella rete. In secondo luogo, per svolgere le funzioni di filtro antivirus, sistema di prevenzione delle intrusioni e protezione contro lo spyware a livello di gateway di rete. Terzo, proteggiti da siti Web non sicuri e spam. Ogni funzione è responsabile di determinate operazioni. Ad esempio, la protezione a più livelli fornisce un'analisi approfondita del traffico attiva e trasmette informazioni sul traffico sospetto a vari moduli del dispositivo, che sono coinvolti nel rilevamento delle anomalie del traffico, nell'analisi del comportamento dell'host e nella scansione delle firme dei file.
Separatamente, vale la pena soffermarsi sulla protezione da siti Web non sicuri e spam. Il movimento incontrollato dei dipendenti dell'azienda su Internet aumenta la probabilità di infezione da spyware, trojan e molti virus. Inoltre, la produttività del lavoro è in calo portata rete e può anche accadere che l'azienda debba rispondere davanti alla legge per determinate violazioni. Il servizio di filtraggio degli URL consente di bloccare i siti Web con contenuti non sicuri o discutibili. È possibile organizzare l'accesso alle risorse Web in base al giorno della settimana, alle esigenze del reparto o alle richieste dei singoli utenti. Quando si tratta di spam, può riempire completamente un server di posta, sovraccaricare le risorse di rete e influire negativamente sulla produttività dei dipendenti. Può anche trasportare vari tipi di attacchi pericolosi, inclusi virus, ingegneria sociale o phishing. Utilizzando un servizio di blocco dello spam dedicato, puoi bloccare efficacemente il traffico non necessario al gateway di rete prima che entri nella rete e causi danni.


Alessio Condividi: Qual è il vantaggio delle soluzioni UTM rispetto ad altri prodotti di sicurezza IT?

Dejan Momcilovic: Puoi acquistare e installare singoli dispositivi come firewall, gateway antivirus, sistema di prevenzione delle intrusioni, ecc. E puoi utilizzare un dispositivo che esegue tutte queste funzioni. Rispetto all'utilizzo di sistemi separati, lavorare con il complesso UTM presenta numerosi vantaggi. In primo luogo, il vantaggio finanziario. I sistemi integrati, a differenza delle soluzioni di sicurezza multistrato realizzate utilizzando molti dispositivi separati, utilizzano molto meno hardware. Ciò si riflette nel costo finale. Una soluzione completamente integrata può includere firewall, VPN, sicurezza a più livelli, filtro antivirus, prevenzione delle intrusioni, antispyware, filtro URL e sistemi di monitoraggio e controllo centrali.
In secondo luogo, fermare gli attacchi al gateway di rete senza interrompere il flusso di lavoro. Un approccio a più livelli evita il disastro bloccando gli attacchi di rete nel punto in cui tentano di penetrare nella rete. Poiché i livelli svolgono la protezione congiuntamente, il traffico controllato da un determinato criterio non viene ricontrollato ad altri livelli dallo stesso criterio. Pertanto, la velocità del traffico non viene ridotta e le applicazioni sensibili alla velocità rimangono disponibili per il funzionamento.
Terzo, facilità di installazione e utilizzo. I sistemi integrati e gestiti centralmente semplificano la configurazione e la gestione di dispositivi e servizi. Ciò semplifica notevolmente il lavoro degli amministratori e riduce i costi operativi. La possibilità di installare e distribuire facilmente i sistemi utilizzando l'aiuto di "procedura guidata", impostazioni "predefinite" ottimali e altro mezzi automatizzati, rimuovere molte barriere tecniche a rapida creazione sistemi di sicurezza della rete.
C'è un'altra importante differenza tra i sistemi UTM e le soluzioni tradizionali. Il fatto è che le soluzioni basate sulle firme sono state la spina dorsale dell'arsenale di soluzioni di sicurezza per molti anni e utilizzano un database di modelli noti per rilevare e bloccare il traffico dannoso prima che entri nella rete. Questi sistemi forniscono protezione contro minacce e violazioni delle policy come cavalli di Troia, buffer overflow, esecuzione accidentale di codice SQL dannoso, messaggistica istantanea e comunicazione point-to-point (usata da Napster, Gnutella e Kazaa).
Allo stesso tempo, dopo aver identificato e identificato una minaccia sospetta, possono essere necessarie da alcune ore a diverse settimane prima che i file di firma corrispondenti siano disponibili per il download. Questo "ritardo" crea una finestra di vulnerabilità (Figura 1) durante la quale le reti sono aperte agli attacchi:

Riso. 1. "Finestra ciclo di vita degli attacchi e vulnerabilità"

Nei dispositivi UTM, la sicurezza a più livelli funziona in combinazione con soluzioni basate su firme e altri servizi per fornire una protezione più efficace contro le minacce avanzate che appaiono a un ritmo allarmante.


Alessio Condividi: Quali soluzioni UTM rappresenta la tua azienda? Quali funzioni svolgono?

Dejan Momcilovic: Rainbow Technologies è un distributore della società americana WatchGuard in Russia e nei paesi della CSI. Secondo l'agenzia di analisi di fama mondiale IDC, WatchGuard è leader nelle vendite di dispositivi UTM per le PMI negli Stati Uniti e in Europa (dati 2005). Viene fornita al nostro mercato una linea di dispositivi Firebox X UTM, pensati sia per le grandi aziende che per le piccole imprese.
Firebox X Edge è un firewall e un endpoint VPN per le piccole imprese. È progettato per uffici distanti l'uno dall'altro e utenti mobili e protegge le risorse aziendali dalle "minacce non intenzionali" degli utenti remoti che accedono alla rete.

focolare x bordo

Firebox X Core di WatchGuard è la linea di punta di dispositivi UTM che fornisce protezione Zero-Day, protezione contro minacce nuove e sconosciute prima ancora che appaiano e vengano rilevate. Il traffico che entra nella rete viene controllato a più livelli, grazie ai quali viene attivamente bloccato: virus, worm, spyware, trojan e minacce miste senza l'uso di firme.

Firebox X Peak è la protezione UTM per reti più estese, fornendo una larghezza di banda del firewall fino a 1 Gb.


Alessio Condividi: In che modo i tuoi prodotti UTM differiscono dai prodotti UTM della concorrenza?

Dejan Momcilovic: Oggi in Russia vengono presentati solo dispositivi UTM di produttori stranieri. Inoltre, la maggior parte di loro, presentando i propri dispositivi e chiamandoli UTM, combina semplicemente le funzionalità dispositivi indipendenti sicurezza della rete (quali: firewall, gateway antivirus, sistema di rilevamento/prevenzione intrusioni) in un caso con un unico sistema di monitoraggio e controllo. Così come vantaggi innegabili menzionato in precedenza, questo approccio presenta anche seri svantaggi:

I dispositivi separati, quando si utilizza una piattaforma comune, consumano una grande quantità di risorse di elaborazione, il che porta a maggiori requisiti per la componente hardware di tale soluzione, aumentando così il costo complessivo.

Essendo formalmente uniti in un unico box, i dispositivi separati sono, in sostanza, indipendenti l'uno dall'altro e non si scambiano tra loro i risultati dell'analisi del traffico che li attraversa. Ne consegue che il traffico in entrata o in uscita dalla rete deve passare attraverso tutti i dispositivi, spesso soggetto a duplicati controlli. Di conseguenza, la velocità del traffico che passa attraverso il dispositivo diminuisce drasticamente.

A causa della mancanza di interazione tra gli individui blocchi funzionali dispositivo, sopra indicato, aumenta la probabilità che il traffico potenzialmente pericoloso entri nella rete.

Al centro delle soluzioni UTM di WatchGuard c'è l'architettura ILS (Intelligent Layered Security), che elimina gli svantaggi di cui sopra inerenti ad altre soluzioni UTM. Diamo un'occhiata più da vicino a come funziona ILS. Questa architettura è il cuore della linea di prodotti Firebox X UTM di WatchGuard e fornisce una protezione efficace per le aziende in crescita. Usando interazione dinamica tra i livelli, ILS garantisce la sicurezza con prestazioni ottimali del dispositivo.
L'architettura ILS è composta da sei livelli di protezione (Figura 2) che interagiscono tra loro. Per questo motivo, il traffico sospetto viene rilevato e bloccato dinamicamente, mentre il traffico normale è consentito all'interno della rete. Ciò ti consente di resistere agli attacchi noti e sconosciuti, fornendo massima protezione a costo minimo.

Riso. 2. "Architettura della sicurezza a più livelli intelligente e UTM"

Ciascun livello di protezione svolge le seguenti funzioni:

1. Servizi sicurezza esterna interagire con la protezione interna della rete (antivirus sulle postazioni, ecc.).

2. Il servizio di verifica dell'integrità dei dati verifica l'integrità dei pacchetti che attraversano il dispositivo e la conformità di tali pacchetti ai protocolli di trasmissione.

3. Il servizio VPN verifica l'appartenenza al traffico crittografato connessioni esterne organizzazioni.

4. Firewall con analisi dinamica lo stato limita il traffico alle origini e alle destinazioni in base alla politica di sicurezza configurata.

5. Il servizio di analisi approfondita dell'applicazione taglia i file pericolosi in base a modelli o tipi di file, blocca i comandi pericolosi, converte i dati per evitare la perdita di dati critici.

6. Il servizio di ispezione dei contenuti utilizza tecnologie basate su firme, blocco dello spam e filtro degli URL.

Tutti questi livelli di protezione interagiscono attivamente tra loro, passando i dati ottenuti dall'analisi del traffico in un livello a tutti gli altri livelli. Cosa permette:

1. Ridurre l'uso delle risorse di elaborazione del dispositivo UTM e, riducendo i requisiti hardware, ridurre il costo complessivo.

2. Raggiungere un minimo rallentamento nel passaggio del traffico attraverso il dispositivo UTM, grazie non a tutti, ma solo ai necessari controlli.

3. Resistere non solo alle minacce note, ma anche fornire protezione contro nuovi attacchi non ancora identificati.

Alessio Condividi: Quale supporto tecnico ricevono gli utenti dei tuoi prodotti UTM?

Dejan Momcilovic: La base di tutte le soluzioni WatchGuard è il supporto continuo della sicurezza perimetrale della rete al massimo livello, che si ottiene utilizzando il servizio elettronico LiveSecurity. Gli abbonati ricevono regolarmente aggiornamenti software, supporto tecnico, consigli di esperti, misure per prevenire possibili danni da nuovi metodi di attacco, ecc. Tutti i prodotti Firebox X sono forniti con un abbonamento gratuito di 90 giorni al servizio LiveSecurity, che è di gran lunga il più completo nel sistema informatico-industriale di supporto tecnico e servizi a distanza.
LiveSecurity è costituito da diversi moduli. Questi, a loro volta, includono: supporto tecnico in tempo reale, supporto software e aggiornamenti, corsi di formazione e manuali, nonché messaggi speciali di LiveSecurity Broadcast (notifica immediata delle minacce e metodi per affrontarle).

focolare X

Alessio Condividi: Quanto costano le tue soluzioni UTM e quanto costa eseguirle annualmente? Dove puoi acquistare i tuoi prodotti?

Dejan Momcilovic: Non lavoriamo con gli utenti finali in quanto non disponiamo di una struttura di vendita al dettaglio: questa è la nostra politica commerciale. Puoi acquistare i dispositivi WatchGuard Firebox X UTM dai nostri partner - integratori di sistemi o rivenditori, un elenco dei quali è disponibile sul sito Web http://www.rainbow.msk.ru. Forniscono inoltre informazioni sul prezzo al dettaglio di questi dispositivi.


Alessio Condividi: Quali sono le vostre previsioni per le vendite di dispositivi UTM nel nostro Paese?

Dejan Momcilovic: Le vendite mondiali di dispositivi UTM sono in crescita. E il nostro mercato non fa eccezione. Rispetto al 2002, il segmento dei dispositivi UTM è cresciuto del 160% entro il 2005 (secondo la ricerca del mercato mondiale dell'agenzia IDC). Questa cifra indica una crescita molto rapida e, nonostante il mercato russo sia notevolmente "ritardo" rispetto a Stati Uniti ed Europa, prevediamo anche un aumento significativo della popolarità dei dispositivi UTM in un futuro molto prossimo.


Alessio Condividi: Grazie per aver dedicato del tempo a rispondere a tutte le nostre domande. Buona fortuna e tutto il meglio!

Non molto tempo fa, Rainbow Technologies, distributore di WatchGuard Technologies in Russia e nei paesi della CSI, ha annunciato la comparsa sul mercato interno nuova serie Dispositivi UTM Firebox X e-Series. Le organizzazioni oggi devono affrontare gruppi di minacce complessi e in continua evoluzione che stanno ridefinendo il concetto di rete sicura. L'ultima generazione di appliance UTM (Unified Threat Management) di WatchGuard fornisce una soluzione semplice a questo problema integrando le funzionalità di sicurezza di base in un unico dispositivo conveniente e altamente intelligente.

Cos'è l'UTM?

UTM è una nuova tendenza nel mercato della sicurezza delle informazioni. I dispositivi UTM integrano firewall, gateway VPN e molte funzionalità avanzate come filtro degli URL, blocco dello spam, anti-spyware, prevenzione delle intrusioni, software antivirus, sistema di gestione e controllo centralizzato. Cioè, quelle funzioni che sono tradizionalmente implementate separatamente. Ma per essere un UTM a tutti gli effetti, il dispositivo deve essere attivo, integrato e stratificato. Quelli. dovrebbe essere un sistema complesso, non un insieme varie soluzioni, assemblati in un unico alloggiamento, con funzione di controllo e monitoraggio centralizzato.

La società di ricerca di fama mondiale IDC considera UTM il segmento in più rapida crescita e in forte sviluppo del mercato dei dispositivi di sicurezza per l'Europa occidentale. Nel nostro mercato, tra le soluzioni WatchGuard presentate da Rainbow Technologies, i dispositivi UTM Firebox X Core e-Series sono i più richiesti. Sono progettati per reti di varie dimensioni e sono molto apprezzati dalle piccole e medie imprese per la loro economicità, facilità di configurazione e alto livello di protezione.

Firebox X Edge e-Series è ideale per piccole reti e uffici remoti. Edge può essere utilizzato come dispositivo di sicurezza di rete autonomo o come soluzione di terminazione del tunnel VPN. Firebox X Edge e-Series include: firewall stateful, VPN, filtro URL e gestione avanzata impostazioni di rete e traffico, che consente di aumentare le possibilità di configurazione della rete. Questo dispositivo ha un'interfaccia intuitiva che semplifica notevolmente i processi di implementazione e amministrazione. La gestione centralizzata con WSM (WatchGuard System Manager) semplifica l'amministrazione ambienti di rete, composto da più dispositivi Firebox. Si tratta di dispositivi aggiornabili ed espandibili che forniscono una larghezza di banda del firewall di 100 megabit e una larghezza di banda della VPN (Virtual Private Network) di 35 megabit.

Firebox X Peak e-Series è dotato di otto porte Gigabit Ethernet e viene utilizzato principalmente in reti complesse ed estese. Esistono anche modelli che supportano le interfacce in fibra ottica. Firebox X Peak e-Series è la linea di prodotti UTM più performanti. Queste soluzioni WatchGuard offrono una vera protezione Zero Day e un throughput del firewall fino a 2 gigabit al secondo. Combinando una tecnologia di sicurezza avanzata con funzionalità avanzate di gestione della rete, Firebox X Peak e-Series lo è soluzione ideale, che soddisfa le politiche di sicurezza più esigenti.

Tra le soluzioni WatchGuard presentate sul mercato domestico dal distributore ufficiale Rainbow Technologies, la più apprezzata è la linea Firebox X Core e-Series. Questi dispositivi UTM sono progettati per reti di varie dimensioni e sono molto richiesti dalle piccole e medie imprese per la loro convenienza, facilità di configurazione e alto livello di sicurezza. Consideriamo in dettaglio le loro capacità e caratteristiche funzionali.

Firebox X Core e-Series offre il massimo completa sicurezza in una classe a sé stante, combinando una varietà di strumenti di protezione: firewall, VPN, protezione Zero Day, sistema di prevenzione degli attacchi, gateway antivirus, sistema anti-spyware, anti-spam e filtro URL. Questo approccio consente di fornire protezione affidabile da attacchi di rete misti, oltre a risparmiare risorse finanziarie e umane che di solito vengono spese per la gestione e la configurazione di un'intera serie di soluzioni individuali.

Protezione multilivello

Firebox X Core e-Series si basa sull'architettura a strati ILS (Intelligent Layer Security). Grazie ad esso, i livelli di sicurezza svolgono insieme la protezione e il traffico controllato ad altri livelli secondo un determinato criterio non viene ricontrollato secondo lo stesso criterio. Pertanto, la velocità di trasferimento dei dati non viene ridotta e le applicazioni sensibili rimangono disponibili per il funzionamento.

L'architettura WatchGuard ILS è composta da sei livelli di sicurezza che lavorano in stretta collaborazione per rilevare, bloccare e segnalare dinamicamente il traffico dannoso, consentendo al contempo il passaggio del traffico normale nel modo più efficiente possibile.

Per ulteriori ragionamenti, assumiamo che un livello sia un costrutto logico che definisce un confine astratto tra i componenti di un'infrastruttura di sicurezza di rete. Pertanto, considereremo ogni tipo di tecnologia di sicurezza come un livello separato.

Architettura ILS a strati

Il motore ILS è il cervello di questa architettura. Progettato per consentire a ciascun livello di sfruttare le informazioni di altri livelli, migliorarne le capacità e consentire loro di condividere le informazioni sul traffico che passa tra di loro, fornisce la massima protezione, affidabilità e prestazioni. Diamo un'occhiata a cosa è ogni livello:

Servizi di sicurezza esterni. Fornire tecnologie per estendere la protezione oltre il firewall e le informazioni che consentono un lavoro più efficiente dell'utente finale/amministratore.

Integrità dei dati. Verifica l'integrità del passaggio dei pacchetti di dati e la conformità del pacchetto al protocollo

Rete privata virtuale (VPN). Fornisce sicurezza e privacy per le connessioni esterne

Firewall con analisi dinamica. Limita il traffico solo alle origini, destinazioni e porte consentite dalla politica di sicurezza.

Analisi approfondita dell'applicazione. Garantisce la conformità con gli standard del protocollo del livello di applicazione del modello ISO mediante il blocco Documenti sospetti per modello o tipo di file, bloccando i comandi pericolosi e modificando i dati per evitare la perdita di informazioni di sistema critiche.

Sicurezza dei contenuti. Analizza e limita il traffico in base al contenuto, include numerosi servizi come antivirus, sistema di prevenzione delle intrusioni, protezione anti-spyware e spam, filtro degli URL.

Sebbene il modello descritto abbia sei livelli e il motore sia considerato il settimo livello di sicurezza, ognuno di essi include molte funzionalità e capacità. Tutti sono facilmente espandibili per includere nuovi modi per contrastare le minacce sconosciute.

Protezione giorno zero

A differenza delle soluzioni che si basano esclusivamente sulla scansione basata sulle firme, Firebox X Core dispone di una tecnologia che consente di fornire una protezione affidabile contro vari tipi di attacchi e le loro varie variazioni, senza la necessità di firme. Finché altre reti rimangono aperte agli attacchi durante la finestra della vulnerabilità (il tempo necessario per il rilascio delle firme), la rete che utilizza Firebox continua a essere protetta.

Sistema di controllo centralizzato

WSM (WatchGuard System Manager) è un'interfaccia utente grafica intuitiva utilizzata per gestire le funzionalità delle soluzioni Firebox X Core, Peak ed Edge UTM. WSM fornisce la registrazione completa, creazione di una VPN monitoraggio del sistema drag-and-drop in tempo reale. Poiché un'unica interfaccia lavora per gestire tutte le funzioni del sistema di sicurezza, si ha un notevole risparmio di tempo e risorse finanziarie.

Supporto e supporto di esperti

WatchGuard LiveSecurity Service è il servizio di supporto e manutenzione più completo oggi sul mercato. Gli abbonati ricevono regolarmente aggiornamenti software, supporto tecnico, consulenza di esperti, misure per prevenire possibili danni da nuovi metodi di attacco, ecc. Firebox X Core e-Series viene fornito con un abbonamento gratuito di 90 giorni al servizio LiveSecurity, che consiste in diversi moduli. Questi, a loro volta, includono supporto tecnico in tempo reale, supporto software e aggiornamenti, manuali di formazione e operativi, nonché messaggi speciali di LiveSecurity Broadcast - notifica tempestiva di minacce e metodi per combatterle.

Servizi di sicurezza aggiuntivi

Ogni servizio di sicurezza su Firebox X Core e-Series funziona in combinazione con la protezione Zero Day integrata, creando la combinazione ottimale di tutte le funzionalità necessarie per proteggere efficacemente le risorse di rete. Queste funzionalità sono completamente integrate nel dispositivo UTM, quindi non è richiesto hardware aggiuntivo.

Gli abbonamenti a tutti i servizi necessari vengono emessi per dispositivo, non per utente, il che aiuta a evitare costi finanziari aggiuntivi. Fornire protezione continua tutti i servizi sono costantemente aggiornati e possono essere gestiti centralmente tramite il sistema WSM.

Diamo un'occhiata più da vicino alle caratteristiche funzionali di ogni servizio aggiuntivo:

SpamBlocker blocca fino al 97% delle e-mail indesiderate in tempo reale.

I servizi di protezione spamBlocker di WatchGuard utilizzano la tecnologia Commtouch® Recurrent Pattern Detection™ (RPD) per proteggere dai flussi di spam in tempo reale con una precisione del 99,95% senza l'uso di firme o filtri.

Invece di lavorare con parole chiave e contenuto e-mail, questa tecnologia analizza grandi volumi di traffico Internet per calcolare la componente ripetuta per ogni flusso non appena appare. Vengono elaborati fino a 500 milioni di messaggi al giorno, dopodiché speciali algoritmi calcolano, identificano e classificano i nuovi flussi entro 1-2 minuti.

Questi stessi algoritmi separano lo spam e i messaggi normali. SpamBlocker utilizza questa tecnologia per fornire protezione in tempo reale contro gli attacchi di spam confrontando costantemente i messaggi sospettati di essere spam con quelli archiviati nel centro di rilevamento Commtouch (che contiene circa 20.000.000 di campioni). Questa tecnologia presenta i seguenti vantaggi:

• Risposta estremamente rapida ai nuovi flussi;
• Praticamente zero possibilità di errore di tipo I, il che rende questo servizio il migliore del settore in termini di separazione dei messaggi normali dagli attacchi di spam;
• Elevata percentuale di rilevamento dello spam: fino al 97% delle e-mail indesiderate viene bloccato;
• Indipendenza dalla lingua dei messaggi. Grazie all'utilizzo in tempo reale delle principali caratteristiche del traffico di posta, lo spam viene efficacemente bloccato indipendentemente dalla lingua, dal contenuto o dal formato del messaggio.

Basato sulle proprietà della maggior parte dei messaggi piuttosto che su contenuto, lingua o formato specifici, SpamBlocker fornisce protezione in tempo reale contro lo spam, inclusi gli attacchi di phishing, e mantiene un'elevata larghezza di banda per altro traffico di rete.

Gateway Antivirus/Servizio di prevenzione delle intrusioni con Anti-Spyware

Un sistema basato sulla protezione delle firme in tempo reale sul gateway, che funziona contro virus, trojan, spyware, exploit di rete, web crawler, blocco delle applicazioni IM e P2P e altre minacce miste.

Il servizio di prevenzione delle intrusioni di WatchGuard fornisce una protezione integrata contro gli attacchi che, pur rispettando gli standard di protocollo, possono trasportare contenuti indesiderati. Basato sulle firme, è progettato per proteggere da un'ampia gamma di attacchi, inclusi scripting cross-site, buffer overflow o iniezioni SQL (inserimenti in query SQL).

I due problemi principali associati all'uso dei sistemi di prevenzione delle intrusioni sono la velocità e la probabilità di un errore di tipo I. La stretta integrazione del servizio IPS di WatchGuard con altri livelli ILS li elimina virtualmente.

Poiché gli altri livelli di ILS bloccano il 70-80% degli attacchi (l'analisi approfondita dell'applicazione è particolarmente efficace), non sono necessarie firme per bloccarli. Ciò riduce il numero totale di firme e aumenta la velocità di elaborazione dei dati, riducendo al contempo la probabilità di un errore di tipo I, che è proporzionale alla quantità di dati da controllare e al numero di firme utilizzate. Il sistema di prevenzione delle intrusioni di WatchGuard utilizza solo circa 1000 firme per ottenere un livello di protezione comparabile o addirittura migliore con altri sistemi che possono avere fino a 6000 firme.

Lo spyware viene distribuito in molti altri modi oltre al P2P, inclusi file incorporati, cookie e downloader. Lo spyware può tenere traccia di tutto ciò che digiti sulla tastiera, frugare tra i file alla ricerca di password e credenziali e riempire lo schermo con annunci pubblicitari. Rallenta anche i sistemi e consuma il traffico di rete. Il servizio di prevenzione delle intrusioni di WatchGuard include metodi di scansione unici e basati su firme per bloccare lo spyware in vari punti del suo ciclo di vita, inclusa l'installazione, il momento della comunicazione per la segnalazione con l'host principale e l'attività post-installazione dell'applicazione. Tutto ciò avviene attraverso una serie di procedure interconnesse:

• Blocco del sito web. Il motore del servizio di prevenzione delle intrusioni blocca l'accesso ai repository di spyware noti o ai file server che distribuiscono spyware durante le sessioni HTTP.
• Convalida del contenuto basata sulla firma. Il motore di prevenzione delle intrusioni eseguirà la scansione continua del traffico rispetto a un database di firme costantemente aggiornato per rilevare e bloccare lo spyware scaricabile, incluso il software di bootstrap velato.
• Fermati all'installazione. Per configurare correttamente lo spyware, è necessaria un'applicazione speciale che deve contattare per comunicare i dati di installazione e richiedere i dati di configurazione iniziale dall'host padre. Il sistema di prevenzione delle intrusioni rileva e blocca questa connessione.
• Fermati al lavoro. Non appena la macchina infetta inizia a funzionare sulla rete interna, lo spyware cercherà di utilizzare la connessione di rete per creare un canale di comunicazione per azioni aggiuntive. Il sistema di prevenzione delle intrusioni rileverà e bloccherà questi processi, che possono includere il furto di informazioni, l'installazione di spyware aggiuntivo e la pubblicità.

Il motore di prevenzione delle intrusioni di WatchGuard è strettamente associato ad altre funzioni del firewall e produce report completamente integrati nel sistema di reporting. Ciò consente all'amministratore di sistema di identificare facilmente l'elemento di rete infetto da spyware e rimuoverlo.

WebBlocker aumenta la produttività e riduce i rischi bloccando l'accesso a fonti non sicure sulla rete e gestisce anche l'accesso dei dipendenti a Internet.

WebBlocker utilizza un database di siti e strumenti software della società leader mondiale di filtri Web SurfControl. Per classificare in modo più accurato e coprire completamente l'intero spettro pagine web, WebBlocker utilizza numerose categorie per aiutare a bloccare i contenuti che non vuoi far entrare nella tua rete. sono bloccati

siti noti che contengono spyware o contenuto indesiderato per proteggere le tue risorse online; i siti di intrattenimento sono bloccati, il che aumenta la produttività dei dipendenti.

Con elenchi di esclusione personalizzabili, autenticazione dell'utente e la possibilità di impostare criteri diversi per orari diversi della giornata, WebBlocker migliora notevolmente i criteri di sicurezza.

Opzioni di aggiornamento

Se si tenta di stimare l'importo totale dell'investimento monetario necessario per implementare, gestire e modernizzare una serie di soluzioni di sicurezza progettate per soddisfare gli ampi requisiti delle reti odierne, diventa ovvio che l'utilizzo di Firebox X Core e-Series è più redditizio da un punto di vista punto di vista finanziario.

Man mano che i requisiti crescono, puoi facilmente espandere le capacità del dispositivo UTM. Ad esempio, per aumentare la velocità e la larghezza di banda, un dispositivo viene aggiornato tramite l'acquisto licenza speciale. Prevede inoltre la possibilità di passare dalla piattaforma hardware a un sistema operativo più funzionale.

Sistema operativo

Tutti i modelli Firebox X Core e-Series sono dotati del sistema operativo Fireware. Per ambienti di rete complessi, potrebbe essere necessario eseguire l'aggiornamento al sistema Fireware Pro più avanzato, che fornisce le seguenti funzionalità aggiuntive:

• gestione del traffico;
• Dà la certezza che la larghezza di banda necessaria sarà allocata per le applicazioni critiche;
• Sistema di failover (modalità attiva/passiva);
• Possibilità di creare un cluster di failover;
• Routing dinamico (protocolli BGP, OSPF, RIP);
• Massima flessibilità ed efficienza della rete grazie a tabelle di routing aggiornate dinamicamente.

Per reinstallare il sistema operativo su un dispositivo Firebox UTM, devi solo acquistare una licenza speciale.

La combinazione e la trasformazione della sicurezza tradizionale in dispositivi UTM integrati consente alle aziende di passare a un nuovo livello di protezione più elevato per le proprie reti locali. L'approccio WatchGuard, basato su una speciale tecnologia implementata nell'architettura ILS, che consente di integrare più livelli di protezione contemporaneamente insieme a funzioni aggiuntive, è senza dubbio una protezione efficace per qualsiasi infrastruttura di rete sia già costituita che in via di sviluppo. L'uso di dispositivi UTM a tutti gli effetti, come WatchGuard Firebox, è di particolare rilevanza in questi giorni, in cui tipi di minacce sempre più sofisticati compaiono con una frequenza crescente.

La moderna Internet è piena di molte minacce, quindi gli amministratori trascorrono la maggior parte del loro tempo sulla sicurezza della rete. L'aspetto dei dispositivi di protezione UTM multifunzionali ha immediatamente attirato l'attenzione degli specialisti della sicurezza. combinano più moduli di protezione con facilità di implementazione e gestione. Oggi puoi incontrare molte implementazioni, quindi scegliere a volte non è così facile. Proviamo a capire le caratteristiche delle soluzioni popolari.

Cos'è l'UTM?

Con la crescita di attacchi di rete e virus, spam e la necessità di organizzare uno scambio di dati sicuro, le aziende hanno bisogno di uno strumento di protezione affidabile e facile da gestire. Il problema è particolarmente acuto nelle reti delle piccole e medie imprese, nelle quali spesso non esiste la capacità tecnica e finanziaria di implementare sistemi di sicurezza eterogenei. E di solito non ci sono abbastanza specialisti formati in tali organizzazioni. È per queste condizioni che sono stati sviluppati dispositivi di rete multistrato multifunzionali, denominati UTM (Unified Threat Management, unified protection device). Cresciuti dai firewall, gli UTM oggi combinano le funzioni di diverse soluzioni: un firewall con DPI ( pacchetto profondo Ispezione), sistema di protezione dalle intrusioni (IDS/IPS), antispam, antivirus e filtraggio dei contenuti. Spesso tali dispositivi hanno la capacità di organizzare VPN, autenticazione utente, bilanciamento del carico, contabilità del traffico, ecc. I dispositivi di classe all-in-one con un'unica console delle impostazioni consentono di metterli in funzione rapidamente e in seguito è anche facile aggiornarli tutte le funzioni o aggiungerne di nuove. Tutto ciò che è richiesto da uno specialista è la comprensione di cosa e come proteggere. Il costo di UTM è generalmente inferiore rispetto all'acquisto di più app/dispositivi, quindi il costo complessivo è inferiore.

Il termine UTM è stato coniato da Charles Kolodgy di IDC (International Data Corporation) nel documento "World wide Threat Management Security Appliances 2004-2008 Forecast" pubblicato nel settembre 2004 per fare riferimento a dispositivi universali protezione in grado di far fronte a un numero sempre crescente di attacchi alla rete. Inizialmente era implicita la presenza di sole tre funzioni (firewall, DPI e antivirus), ora le possibilità fornite dai dispositivi UTM sono molto più ampie.

Il mercato UTM è piuttosto ampio, e mostra un incremento annuo del 25-30% (in sostituzione graduale del firewall “pulito”), e quindi quasi tutto grandi giocatori hanno già presentato le loro soluzioni, sia hardware che software. Quale utilizzare è spesso una questione di gusti e fiducia nello sviluppatore, oltre alla disponibilità di un supporto adeguato e, ovviamente, di condizioni specifiche. L'unico punto è che dovresti scegliere un server affidabile e produttivo, tenendo conto del carico pianificato, perché ora un sistema eseguirà diversi controlli e ciò richiederà risorse aggiuntive. Allo stesso tempo, è necessario prestare attenzione, le caratteristiche delle soluzioni UTM di solito indicano la larghezza di banda del firewall e le capacità di IPS, VPN e altri componenti sono spesso di un ordine di grandezza inferiori. Il server UTM è punto singolo accesso, il cui fallimento lascerà effettivamente l'organizzazione senza Internet, quindi anche una varietà di opzioni di ripristino non sarà superflua. Le implementazioni hardware hanno spesso coprocessori aggiuntivi utilizzati per elaborare determinati tipi di dati, come la crittografia o l'analisi del contesto, per scaricare la CPU principale. Ma implementazione del software può essere installato su qualsiasi PC, con la possibilità di un ulteriore aggiornamento senza problemi di qualsiasi componente. A questo proposito sono interessanti le soluzioni OpenSource (Untangle, pfSense, Endian e altre), che consentono notevoli risparmi sul software. La maggior parte di questi progetti offre anche versioni commerciali con funzionalità avanzate e supporto tecnico.

Piattaforma: FortiGate
Sito web del progetto: fortinet-russia.ru
Licenza: a pagamento
Implementazione: hardware

L'azienda californiana Fortinet, fondata nel 2000, è oggi uno dei maggiori fornitori di dispositivi UTM orientati a diversi carichi di lavoro dal piccolo ufficio (FortiGate-30) ai data center (FortiGate-5000). Le appliance FortiGate sono una piattaforma hardware che fornisce protezione contro le minacce di rete. La piattaforma è dotata di firewall, IDS/IPS, controllo traffico antivirus, antispam, filtro web e controllo applicazioni. Alcuni modelli supportano DLP, VoIP, traffic shaping, ottimizzazione WAN, tolleranza agli errori, autenticazione utente per l'accesso ai servizi di rete, PKI e altri. Il meccanismo dei profili attivi consente di rilevare il traffico atipico con risposta automatica a tale evento. Anti-Virus può scansionare file di qualsiasi dimensione, compresi quelli negli archivi, mantenendo un alto livello di prestazioni. Il meccanismo di filtraggio web consente di impostare l'accesso a più di 75 categorie di siti web, specificare le quote, comprese quelle dipendenti dall'ora del giorno. Ad esempio, l'accesso a portali di intrattenimento può essere consentito solo in orario non lavorativo. Il modulo di controllo dell'applicazione rileva il traffico tipico (Skype, P2p, IM, ecc.) indipendentemente dalla porta, le regole di modellazione del traffico sono specificate per le singole applicazioni e categorie. Le zone di sicurezza e i domini virtuali consentono di suddividere la rete in sottoreti logiche. Alcuni modelli hanno interfacce switch LAN Layer 2 e interfacce WAN ed è supportato il routing RIP, OSPF e BGP. Il gateway può essere configurato in una delle tre opzioni: modalità trasparente, NAT statico e dinamico, che consente di implementare FortiGate in modo indolore in qualsiasi rete. Per proteggere i punti di accesso, viene utilizzata una modifica speciale con WiFi: FortiWiFi.
Per coprire i sistemi (PC Windows, smartphone Android) che operano al di fuori della rete protetta, è possibile installare su di essi l'agente FortiClient, incluso set completo(firewall, antivirus, SSL e VPN IPsec, IPS, filtro web, antispam e altro). FortiManager e FortiAnalyzer vengono utilizzati per gestire centralmente più dispositivi prodotti da Fortinet e analizzare i registri eventi.
Oltre all'interfaccia web e CLI, per la configurazione di base di FortiGate/FortiWiFi, è possibile utilizzare il programma FortiExplorer (disponibile in Win e Mac OS X), che offre l'accesso alla GUI e alla CLI (i comandi assomigliano a Cisco).
Una delle caratteristiche di FortiGate è un set specializzato di chip FortiASIC, che forniscono analisi dei contenuti ed elaborazione del traffico di rete e consentono il rilevamento in tempo reale delle minacce di rete senza influire sulle prestazioni della rete. Tutti i dispositivi utilizzano un sistema operativo specializzato: FortiOS.

Piattaforma: Check Point UTM-1
Sito del progetto: rus.checkpoint.com
Licenza: a pagamento
Implementazione: hardware

Check Point offre 3 linee di dispositivi di classe UTM: UTM-1, UTM-1 Edge (uffici remoti) e [email protetta](piccole imprese). Le soluzioni contengono tutto il necessario per proteggere la tua rete: firewall, IPS, gateway antivirus, antispam, strumenti per la creazione di VPN SSL e accesso remoto. Il firewall è in grado di distinguere tra il traffico inerente alla maggior parte delle applicazioni e dei servizi (più di 200 protocolli), l'amministratore può bloccare facilmente l'accesso alle reti IM, P2P o Skype. Fornisce la protezione delle applicazioni Web e un filtro URL, il database di Check Point contiene diversi milioni di siti, il cui accesso può essere facilmente bloccato. L'antivirus esegue la scansione dei flussi HTTP/FTP/SMTP/POP3/IMAP, non ha limiti di dimensione dei file e può funzionare con gli archivi. I modelli UTM-1 con la lettera W sono disponibili con un hotspot Wi-Fi integrato.
IPS utilizza vari metodi di rilevamento e analisi: firme di vulnerabilità, analisi dei protocolli e del comportamento degli oggetti, rilevamento delle anomalie. Il motore di analisi è in grado di calcolare dati importanti, quindi il 10% del traffico viene attentamente controllato, il resto passa senza ulteriori controlli. Ciò riduce il carico sul sistema e migliora l'efficienza dell'UTM. Il sistema anti-spam utilizza diverse tecnologie: reputazione IP, analisi dei contenuti, black list e white list. È supportato il routing dinamico OSPF, BGP e RIP, sono supportati diversi metodi di autenticazione utente (password, RADUIS, SecureID, ecc.), è implementato un server DHCP.
La soluzione utilizza un'architettura modulare, i cosiddetti Software Blades (software blade) consentono, se necessario, di espandere le funzionalità al livello desiderato, fornendo il livello di sicurezza e di costo richiesto. In questo modo è possibile aggiornare il gateway con blade Web Security (scoperta e protezione dell'infrastruttura Web), VoIP (protezione VoIP), Advanced Networking, Acceleration & Clustering (massime prestazioni e disponibilità in ambienti ramificati). Per esempio, Tecnologie web Application Firewall e Advanced Streaming Inspection, utilizzati in Web Security, consentono l'elaborazione in tempo reale del contesto, anche se suddiviso in più pacchetti TCP, la sostituzione delle intestazioni, l'occultamento dei dati sulle applicazioni utilizzate, il reindirizzamento dell'utente su una pagina con un descrizione dettagliata dell'errore.
Il controllo remoto è possibile tramite web e Telnet/SSH. Per la configurazione centralizzata di più dispositivi è possibile utilizzare Check Point SmartCenter, che utilizza la sua tecnologia Security Management Architecture (SMART) per gestire tutti gli elementi Check Point inclusi in una policy di sicurezza. Le capacità di SmartCenter sono estese con moduli aggiuntivi che forniscono visualizzazione delle politiche, integrazione LDAP, aggiornamenti, report e altro Tutti gli aggiornamenti UTM vengono ricevuti centralmente utilizzando il Check Point Update Service.

Piattaforma: ZyWALL 1000
Sito web del progetto: zyxel.ru
Licenza: a pagamento
Implementazione: hardware

La maggior parte dei gateway di sicurezza prodotti da ZyXEL possono essere tranquillamente attribuiti a UTM in termini di capacità, anche se secondo il classificatore ufficiale oggi ci sono cinque modelli ZyWALL USG 50/100/300/1000/2000 in questa linea, orientati per piccoli e reti medie (fino a 500 utenti). Nella terminologia ZyXEL, questi dispositivi sono indicati come "Centro sicurezza di rete". Quindi, ad esempio, ZyWALL 1000 è un gateway di accesso ad alta velocità progettato per risolvere problemi di sicurezza della rete e controllo del traffico. Include Kaspersky streaming antivirus, IDS/IPS, filtro dei contenuti e protezione antispam (Blue Coat e Commtouch), controllo della larghezza di banda e VPN (IPSec, SSL e L2TP su IPSec VPN). A proposito, al momento dell'acquisto, dovresti prestare attenzione al firmware: internazionale o per la Russia. Quest'ultimo utilizza una chiave DES a 56 bit per i tunnel VPN IPsec e SSL VPN a causa delle restrizioni dell'unione doganale.
Le politiche di accesso si basano su diversi criteri (IP, utente e ora). Gli strumenti di filtraggio dei contenuti consentono di limitare facilmente l'accesso ai siti di un determinato argomento e il funzionamento di alcuni programmi IM, P2P, VoIP, posta, ecc. Il sistema IDS utilizza le firme e protegge contro worm di rete, trojan, backdoor, DDoS ed exploit. La tecnologia di rilevamento e prevenzione delle anomalie analizza i pacchetti che passano attraverso il gateway ai livelli OSI 2 e 3, identificando le incongruenze, rileva e blocca 32 tipi di attacchi di rete. Le funzionalità di End Point Security consentono di verificare automaticamente il tipo di OS, la presenza di un antivirus e firewall attivo, la presenza aggiornamenti installati, processi in esecuzione, impostazioni del registro e altro ancora. L'amministratore può disabilitare l'accesso alla rete per i sistemi che non soddisfano determinati parametri.
Implementata la prenotazione di più accessi a Internet e il bilanciamento del carico. È possibile trasmettere VoIP su protocolli SIP e H.323 a livello di firewall e NAT e in tunnel VPN. Viene fornita una semplice organizzazione delle VLAN e la creazione di interfacce alias virtuali. L'autenticazione è supportata tramite LDAP, AD, RADIUS, che consente di configurare policy di sicurezza in base a regole già adottate nell'organizzazione.
Gli aggiornamenti delle basi dei componenti principali e l'attivazione di alcune funzioni (Commtouch anti-spam, aumento del numero di tunnel VPN) vengono effettuati tramite schede di connessione. La configurazione viene eseguita utilizzando la CLI e l'interfaccia web. Impostazioni iniziali aiuta a produrre il maestro.

Sistema operativo: Districa Server 9.2.1 Cruiser
Sito web del progetto: untangle.com
Patente: GPL
Implementazione: software
Piattaforme hardware: x86, x64
Requisiti di sistema: Pentium 4 o equivalente AMD, 1 GB di RAM, 80 GB di disco, 2 NIC.

Qualsiasi distribuzione *nix può essere configurata come una soluzione UTM a tutti gli effetti, tutto ciò di cui hai bisogno è disponibile nei repository dei pacchetti. Ma ci sono anche degli svantaggi: dovrai installare e configurare tu stesso tutti i componenti (e questo richiede già una certa esperienza) e, soprattutto, perdiamo un'unica interfaccia di gestione. Pertanto, in questo contesto, risultano molto interessanti soluzioni già pronte costruite sulla base di sistemi OpenSource.
La distribuzione Untangle, prodotta dall'omonima azienda, è apparsa nel 2008 e ha subito attirato l'attenzione della community con il suo approccio. Debian è servita come base, tutte le impostazioni vengono effettuate utilizzando un'interfaccia semplice e intuitiva. Inizialmente, il kit di distribuzione si chiamava Untangle Gateway ed era orientato all'uso in piccole organizzazioni (fino a 300 utenti) come sostituto a tutti gli effetti del Forefront TMG proprietario per fornire un accesso sicuro a Internet e proteggere la rete interna da una serie di minacce. Nel tempo, le funzioni e le capacità del kit di distribuzione si sono ampliate e il nome è stato cambiato in Untangle Server, e il kit di distribuzione è già in grado di fornire lavoro a più utenti (fino a 5000 e più, a seconda della capacità del server).
Inizialmente, le funzioni di protezione di Untangle sono implementate come moduli. Dopo aver installato il sistema di base, non ci sono moduli di protezione, l'amministratore sceglie da solo ciò di cui ha bisogno. Per comodità, i moduli sono suddivisi in 5 pacchetti (Premium, Standard, Education Premium Education Standard e Lite), la cui disponibilità è determinata dalla licenza, e i pacchetti stessi sono divisi in due gruppi in base al loro scopo: Filtro e Servizi . Tutte le applicazioni OpenSource sono compilate Lite gratis, che contiene 13 applicazioni che forniscono scansione del traffico per virus e spyware, filtro dei contenuti, blocco di banner e spam, firewall, controllo del protocollo, IDS/IPS, OpenVPN, criteri di accesso (Captive Portal). Il modulo Report, incluso nel pacchetto Lite, consente all'amministratore di ricevere report su tutte le possibili situazioni: attività di rete, protocolli, spam e virus rilevati, attività dell'utente con la possibilità di inviare il risultato via e-mail ed esportarlo in PDF, HTML, XLS , CSV e XML. Si basano su popolari applicazioni OpenSource come Snort, ClamAV, SpamAssasin, Squid, ecc. Inoltre, il server Untangle fornisce tutte le funzioni di rete: routing, NAT, DMZ, QoS, dispone di server DHCP e DNS.
Disponibile in pacchetti commerciali: bilanciamento del carico e failover, controllo della larghezza di banda del canale e dell'applicazione, un modulo per lavorare con Active Directory, backup delle impostazioni e alcune altre funzioni. Anche il supporto è fornito a pagamento, anche se le risposte a molte domande possono essere trovate sul forum ufficiale. Inoltre, il progetto offre server pronti con Districa preset.
Viene offerta un'interfaccia user-friendly scritta in Java per la configurazione, tutte le modifiche e le statistiche di lavoro vengono visualizzate in tempo reale. Quando si lavora con Untangle, l'amministratore non ha bisogno di avere una conoscenza approfondita di *nix, è sufficiente capire cosa è necessario ottenere di conseguenza. L'installazione del kit di distribuzione è abbastanza semplice, devi solo seguire le istruzioni della procedura guidata, un'altra procedura guidata in seguito ti aiuta a configurare il gateway.

Firewall Endiano

Sistema operativo: Endian Firewall Community 2.5.1
Sito web del progetto: endian.com/en/community
Patente: GPL
Piattaforme hardware: x86
Requisiti di sistema: CPU 500 MHz, 512 MB RAM, 2 GB

Gli sviluppatori di Endian Firewall offrono diverse versioni del loro prodotto, implementate sia sotto forma di hardware che piattaforma software. Esiste anche una versione per macchine virtuali. Tutte le versioni sono concesse in licenza sotto GPL, ma solo immagine ISO Edizione comunitaria e fonte. Il sistema operativo è basato su CentOS e contiene tutte le applicazioni specifiche per Linux che forniscono funzioni firewall, IDS/IPS, controllo antivirus Traffico HTTP/FTP/POP3/SMTP, protezione antispam, filtraggio contenuti, moduli anti-spoofing e anti-phishing, sistema di reportistica. È possibile creare VPN significa OpenVPN e IPsec con chiave o autenticazione del certificato. Il filtro dei contenuti contiene impostazioni già pronte per più di 20 categorie e sottocategorie di siti, c'è una lista nera e funzioni di filtro contestuale. Utilizzando gli ACL, è possibile specificare le opzioni di accesso per un singolo utente, gruppo, IP, ora e browser. Le statistiche vengono conservate su connessioni, traffico, lavoro degli utenti. Quando si verificano determinati eventi, viene inviato un messaggio all'e-mail dell'amministratore. Fornisce l'autenticazione dell'utente locale, Active Directory, LDAP e RADIUS. L'interfaccia semplifica la creazione di VLAN, la gestione della QoS, SNMP è supportato. Inizialmente, la distribuzione include l'antivirus ClamAV, che facoltativamente utilizza il motore antivirus Sophos.
Per le impostazioni vengono utilizzate l'interfaccia Web e la riga di comando. Le impostazioni iniziali vengono effettuate tramite una procedura guidata che consente di impostare il tipo di connessione a Internet, assegnare le interfacce (LAN, WiFi, DMZ). È possibile assegnare più indirizzi IP all'interfaccia esterna, MultiWAN è supportato. Per comodità delle impostazioni, le interfacce di rete sono suddivise in zone: ROSSA, ARANCIONE, BLU e VERDE, le regole del firewall contengono già impostazioni che determinano lo scambio tra di loro. Le ambientazioni sono divise in gruppi, i cui nomi parlano da soli, con la dovuta attenzione è molto facile capirlo.

Conclusione

Complesso Sistemi UTM stanno gradualmente sostituendo le soluzioni tradizionali come i firewall, quindi dovresti dare un'occhiata più da vicino. Adatto a seconda delle condizioni specifiche diverse varianti. OpenSource Endian Firewall e Untangle sono in grado di proteggere le reti di piccole e medie dimensioni. Ovviamente UTM non sostituisce, ma integra le protezioni installate sui singoli PC, creando un'ulteriore linea di difesa all'ingresso della LAN.

ILYA ROSENKRANT, ALTELL NEO product manager di AltEl LLC, specialista certificato di sicurezza delle informazioni (Check Point Sales Professional, McAfee Sales Professional), possiede certificati Cisco (CCNA, CCNP, IPTX), [email protetta]

Protezione delle reti perimetrali
Panoramica delle tecnologie UTM Soluzione ALTELL NEO

La storia dello sviluppo dei dispositivi UTM (Unified Threat Management, unified threat protection) inizia circa 25 anni fa, quando nel 1988 DEC inventa il suo filtro di pacchetti, che opera al terzo livello del modello OSI (Open system interconnection) e analizza solo l'intestazione del pacchetto

È diventato il primo "firewall" commerciale (ME). A quel tempo, un approccio così minimalista era pienamente giustificato dalle realtà delle minacce esistenti, per cui tali firewall di ispezione stateless sono diventati parte integrante del sistema di sicurezza delle informazioni.

Quasi contemporaneamente a questi eventi, nel 1989-1990, il mondo è stato introdotto nel mondo ME lavorando con i dati del quarto livello di OSI, il cosiddetto firewall stateful inspection. Sebbene sarebbe sbagliato pensare che gli specialisti della sicurezza delle informazioni non considerassero la possibilità di monitorare e filtrare il traffico a livello applicativo, a quel tempo (primi anni '90) l'implementazione di questo metodo era esclusa a causa delle prestazioni insufficienti dei sistemi informatici. Solo all'inizio degli anni 2000, le prestazioni delle piattaforme hardware hanno permesso di rilasciare le prime soluzioni UTM commerciali.

Attualmente i firewall, che da tempo hanno dimostrato la loro efficacia, rimangono alla pari dei software antivirus, uno dei mezzi più comuni per proteggere i sistemi informativi. Tuttavia, l'emergere di nuovi tipi di attacchi complessi e la crescita del traffico a livello di applicazione (telefonia IP, streaming video, applicazioni cloud aziendali) spesso riducono a zero l'efficacia dei firewall tradizionali. Per contrastare adeguatamente tali minacce, le principali società IT mondiali stanno sviluppando nuove tecnologie volte a rilevare e prevenire gli attacchi effettuati a vari livelli (dagli attacchi attraverso i canali di comunicazione alle applicazioni).

Una delle soluzioni al problema descritto è stata l'integrazione delle funzioni di altri dispositivi specializzati nel firewall, ad esempio un filtro web e un gateway crittografico. Il tipo di dispositivo risultante è designato UTM. Sta diventando popolare anche il termine “firewall di nuova generazione” (NGFW, Next Generation Firewall), che filtra il traffico al settimo livello del modello OSI.

Agli albori dell'era dei dispositivi UTM (2004-2005), tutti i loro componenti erano già stati realizzati: firewall con modalità di ispezione stateful, meccanismi per la costruzione di reti sicure su canali di comunicazione pubblica (VPN - rete privata virtuale), rilevamento delle intrusioni di complessi di rete /sistema di prevenzione (IDS/IPS), filtri web.

Allo stesso tempo, i luoghi di lavoro sono stati protetti da una serie di strumenti di protezione a livello applicativo (antivirus, antispam, antiphishing). Ma la soluzione a un problema (fornire livello richiesto sicurezza delle informazioni) ha portato all'emergere di altri: i requisiti per la qualificazione del personale tecnico sono aumentati notevolmente, il consumo energetico delle apparecchiature è aumentato, i requisiti per il volume delle sale server ed è diventato più difficile gestire processo di aggiornamento software e hardware di un sistema di sicurezza integrato.

Inoltre, i problemi con l'integrazione di nuovi strumenti di sicurezza delle informazioni in un'infrastruttura esistente, spesso costituita da prodotti sviluppatori diversi. Per questo motivo è nata l'idea di combinare tutte le funzioni elencate in un unico dispositivo, soprattutto perché a quel punto le piattaforme hardware avevano raggiunto un livello di prestazioni sufficiente e potevano far fronte a più attività contemporaneamente.

Di conseguenza, sono apparse sul mercato soluzioni che consentono di ridurre il costo della protezione delle informazioni e allo stesso tempo aumentare il livello di sicurezza delle informazioni, poiché il "ripieno" di UTM è inizialmente debuggato e ottimizzato per funzionamento simultaneo tutte le funzionalità che include.

La rilevanza e correttezza di tale approccio è confermata dai dati della società di ricerca internazionale IDC, secondo cui nel primo trimestre 2014 la crescita del segmento dei dispositivi UTM è stata del 36,4% (rispetto allo stesso periodo l'anno scorso). Per fare un confronto: la crescita complessiva del mercato dei dispositivi di sicurezza delle informazioni nello stesso periodo è stata del 3,4% e ora i dispositivi UTM rappresentano il 37% di questo mercato. Allo stesso tempo, il calo delle entrate in direzione Firewall/VPN è stato del 21,2%.

Sulla base delle tendenze di cui sopra nel mercato della sicurezza delle informazioni, alla fine del primo decennio del nuovo secolo, molti produttori hanno introdotto i loro firewall di nuova generazione. Pertanto, la società russa "AltEl" ha rilasciato il prodotto ALTELL NEO.

Allo stesso tempo, l'uso di sistemi integrati nelle soluzioni di sicurezza delle informazioni sta diventando sempre più popolare. diversi produttori per aumentare il livello di protezione: i fornitori di strumenti di protezione hardware hanno iniziato a collaborare più attivamente con gli sviluppatori di software specializzati. Ad esempio, le tecnologie Kaspersky Lab per la protezione dei dati a livello di applicazione sono state implementate nel prodotto ALTELL NEO: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

Attualmente, molti attori del mercato offrono firewall di nuova generazione, tra cui Palo Alto, Check Point, Cisco, Intel Security. Nella realtà attuale, quando il tasso di cambio del dollaro è altamente volatile, molti clienti, e principalmente le agenzie governative, considerano la sostituzione delle importazioni come un'opportunità per soddisfare i requisiti delle autorità di regolamentazione e delle procedure interne di sicurezza delle informazioni. In questa situazione, la considerazione dei produttori russi di soluzioni UTM sembra logica.

Consideriamo le principali funzioni dei firewall ALTELL NEO UTM.

Antivirus/antispam

Attualmente, molte aziende scelgono i dispositivi UTM per la protezione del perimetro della rete, inclusa la possibilità di filtrare la posta in entrata e in uscita.

La prima soluzione russa completa in questo settore è il firewall ad alte prestazioni di nuova generazione ALTELL NEO. Ne ha due nel suo arsenale. antivirus indipendente e soluzioni anti-spam: rispettivamente ClamAV (prodotto gratuito) e Kaspersky AV, SpamAssassin e Kaspersky AS.

Caratteristiche e funzioni standard dei dispositivi UTM:

• Supporto per lavorare in modalità trasparente (invisibile all'utente finale).
• Supporto per la lista nera DNS.
• Supporto per elenchi "nero", "bianco" e "grigio".
• Verifica di un record DNS sul server di invio.
• La tecnologia SPF (Sender Policy Framework, Sender Policy Framework) è un'estensione del protocollo per l'invio di posta elettronica tramite SMTP, che consente di determinare l'autenticità del dominio del mittente. SPF è un modo per identificare il mittente di un'e-mail e fornisce un'opzione aggiuntiva per filtrare il flusso di posta per i messaggi di spam. Con l'aiuto di SPF, la posta viene suddivisa in "consentita" e "proibita" in base al dominio del destinatario o del mittente.
• Il servizio SURBL (Spam URI Realtime Blocklists) è un servizio che contiene informazioni non sugli indirizzi IP da cui proviene lo spam, ma sui siti pubblicizzati nei messaggi di spam. Poiché la maggior parte delle e-mail di spam (e in particolare le e-mail di phishing) ti invitano a visitare un sito e ci sono meno siti rispetto agli indirizzi IP dei mittenti di spam, SURBL può funzionare in modo più efficiente di RBL, filtrando fino all'80-90% dello spam in caso di falsi positivi non sono superiori a 0,001-0,05%.
• Assenza fattibilità tecnica perdita di messaggi nel filtro.
• L'uso di EDS nelle lettere inviate utilizzando la tecnologia DKIM (DomainKeys Identified Mail). Questa tecnologia consente di confermare l'autenticità (autenticarsi) del mittente della lettera, nonché di confermare l'assenza di modifiche nell'e-mail durante la sua trasmissione dal mittente al destinatario.
• Metodi di filtraggio avanzati: filtraggio bayesiano, Razor.

L'uso della tecnologia antivirus/antispam consente alle aziende, come le banche, di soddisfare i requisiti della Banca di Russia per la protezione contro Codice malevolo. A differenza, ad esempio, di STO BR IBBS e 382-P, in cui a questo argomento è stato dato poco spazio, per più di un anno abbiamo un documento a tutti gli effetti: lettera 49-T del 24 marzo 2014 "Sulle raccomandazioni per l'organizzazione dell'uso di protezione contro il codice dannoso nell'implementazione bancario". I documenti descrivono i requisiti sia tecnici che organizzativi.

L'utilizzo di soluzioni UTM con antivirus consentirà sia all'ISP di fornire traffico pulito sia alla banca di conformarsi alle raccomandazioni dell'autorità di regolamentazione in merito alla segmentazione e alla possibilità di localizzare le epidemie di malware.

Sistema di rilevamento e prevenzione delle intrusioni - IDPS

I sistemi di rilevamento e prevenzione delle intrusioni, IDS / IPS o IDPS (sistema di rilevamento / prevenzione delle intrusioni, un termine russo simile - IDS / SPV), sono un collegamento necessario per proteggere la rete interna di un'organizzazione. Lo scopo principale di tali sistemi è rilevare i fatti di accesso non autorizzato alla rete aziendale e adottare contromisure: informare gli specialisti della sicurezza delle informazioni sul fatto di un'intrusione, disconnessione, riconfigurare il firewall per bloccare ulteriori azioni di un utente malintenzionato.

ALTELL NEO implementa diverse tecnologie IDPS che differiscono nei tipi di eventi rilevati e nella metodologia utilizzata per rilevare gli incidenti. Oltre alle funzioni di monitoraggio e analisi degli eventi per identificare gli incidenti, IDPS di AltEl svolge le seguenti funzioni:

• Registrazione delle informazioni sull'evento. Di solito le informazioni vengono archiviate localmente, ma possono essere inviate a qualsiasi sistema centralizzato raccolta di log o un sistema SIEM.
• Notifica agli amministratori della sicurezza sugli incidenti di sicurezza delle informazioni. Questo tipo di notifica è chiamato avviso e può essere effettuato attraverso diversi canali: e-mail, trap SNMP, messaggi registro di sistema, la console di gestione del sistema IDPS. È anche possibile una reazione programmabile tramite script.
• Generazione di report. I report vengono creati per riassumere tutte le informazioni sugli eventi richiesti.

La tecnologia IPS integra la tecnologia IDS in quanto consente non solo di identificare in modo indipendente una minaccia, ma anche di bloccarla con successo. In questo scenario, la funzionalità IPS implementata in ALTELL NEO è molto più ampia di IDS e include le seguenti funzionalità:

• Blocco di un attacco (interruzione della sessione di un utente che viola la policy di sicurezza, blocco dell'accesso a risorse, host, applicazioni).
• Modifica dell'ambiente protetto (modifica della configurazione dei dispositivi di rete per prevenire un attacco).
• Neutralizzare un attacco (ad esempio, eliminare un file infetto da un messaggio e inviarlo al destinatario già pulito, o lavorare in modalità proxy, ovvero analizzare le richieste in arrivo e tagliare i dati nelle intestazioni dei pacchetti).

I vantaggi di qualsiasi tecnologia sono inevitabilmente accompagnati da alcuni svantaggi. Ad esempio, il sistema IDPS potrebbe non identificare sempre con precisione un incidente di sicurezza delle informazioni e talvolta è in grado di scambiare il normale comportamento del traffico/utente per un incidente.

Nella prima variante si parla di falso negativo (risultato falso negativo), nella seconda variante si parla di falso positivo ( falso positivo). Nessuna delle soluzioni che esistono oggi può escludere completamente gli eventi FP o FN. Pertanto, l'organizzazione deve decidere caso per caso quale di questi gruppi di rischio rappresenta la minaccia maggiore e quindi adattare la soluzione di conseguenza.

Esistono vari metodi per rilevare gli incidenti utilizzando le tecnologie IDPS. La maggior parte delle implementazioni IDPS utilizza una combinazione di queste tecnologie per fornire un livello più elevato di rilevamento delle minacce. Si precisa che le apparecchiature ALTELL NEO implementano tutte le tecnologie di seguito descritte.

Rilevamento degli attacchi di posta in base alle firme

Una firma è un modello che, se trovato nel traffico o nella posta elettronica, identifica in modo univoco un particolare attacco. Il rilevamento degli attacchi alle firme è il processo di confronto del contenuto con il database delle firme archiviato nella soluzione. Esempi di firme sono:

• connessione telnet dell'utente root, che costituirebbe una violazione di alcune policy di sicurezza aziendali;
• email in arrivo con oggetto " immagini gratuite» con il file allegato freepics.exe;
• registro del sistema operativo con codice 645, il che significa che il controllo dell'host è disabilitato.

Questo metodo è molto efficace per rilevare le minacce note, ma molto inefficiente per gli attacchi che non dispongono ancora di firme.

Il sistema antivirus/antispam integrato in ALTELL NEO consente di filtrare da 120 a 800 messaggi al minuto.

Rilevamento di attacchi per comportamento anomalo

Questo metodo si basa sul confronto dell'attività normale degli elementi di rete con eventi che si discostano dal livello normale. Gli IPS che utilizzano questo metodo hanno un cosiddetto. profili che riflettono il comportamento normale di utenti, nodi di rete, connessioni, applicazioni e traffico. Questi profili vengono creati durante un "periodo di apprendimento" in un periodo di tempo.

Ad esempio, un profilo potrebbe registrare un aumento del 13% del traffico web nei giorni feriali. L'IDPS utilizza quindi metodi statistici per confrontare diverse caratteristiche dell'attività reale rispetto a una determinata soglia. Quando questa soglia viene superata, viene inviato un messaggio corrispondente alla console di gestione dell'amministratore della sicurezza. I profili possono essere creati in base ad attributi tratti dall'analisi comportamentale dell'utente, come il numero di e-mail inviate, il numero di tentativi di accesso non riusciti, l'utilizzo della CPU del server in un determinato periodo di tempo e molti altri.

Questo metodo consente di bloccare gli attacchi che hanno ignorato il filtraggio dell'analisi della firma.

L'IDS/IPS utilizzato dalla nostra azienda nei firewall ALTELL NEO di nuova generazione si basa sulla tecnologia aperta Suricata, modificata in base alle esigenze dell'azienda. A differenza del più comune IDS/IPS Snort aperto, Suricata presenta una serie di vantaggi, ad esempio consente di ottenere di più alte prestazioni a causa della parallelizzazione dell'elaborazione del traffico tra i core del processore e un numero inferiore di falsi positivi.

Va tenuto conto che per corretto funzionamento IDS / IPS, necessita di database di firme aggiornati. ALTELL NEO utilizza il National Vulnerability Database aperto e Bugtraq per questo scopo. I database vengono aggiornati due o tre volte al giorno, il che garantisce un livello ottimale di sicurezza delle informazioni.

Il sistema ALTELL NEO può funzionare in due modalità: modalità di rilevamento delle intrusioni (IDS) e modalità di prevenzione delle intrusioni (IPS). L'abilitazione di entrambe le funzioni IDS e IPS avviene sull'interfaccia del dispositivo selezionata dall'amministratore - una o più. È anche possibile chiamare le funzioni IPS durante la configurazione delle regole del firewall per il particolare tipo di traffico che si desidera ispezionare. La differenza funzionale tra IDS e IPS è che in modalità IPS, gli attacchi di rete possono essere bloccati in tempo reale.

Le regole di sicurezza sono sviluppate dalla community di minacce emergenti. Le regole si basano su molti anni di esperienza combinata di esperti nel campo della sicurezza delle reti e vengono costantemente migliorate. Le regole vengono aggiornate automaticamente (per questo è necessario configurare una connessione Internet in ALTELL NEO). Se necessario, puoi impostare un aggiornamento manuale.

Ad ogni regola viene assegnata una priorità in base alla classe di attacco in termini di frequenza di utilizzo e importanza. Livelli standard priorità da 1 a 3, con priorità 1 alta, priorità 2 media e priorità 3 bassa.

In base a queste priorità, è possibile assegnare un'azione che il sistema IDS/IPS eseguirà in tempo reale quando viene rilevato il traffico di rete che corrisponde alla firma della regola. L'azione può essere una delle seguenti:

• Avviso (modalità IDS): il traffico è consentito e inoltrato al destinatario. Viene scritto un avviso nel registro eventi. Questa azione è impostata per impostazione predefinita per tutte le regole.
• Drop (modalità IPS) – l'analisi dei pacchetti si interrompe, non viene eseguito un ulteriore confronto per il rispetto delle regole rimanenti. Il pacchetto viene eliminato e nel registro viene scritto un avviso.
• Rifiuta (modalità IPS) - In questa modalità, il pacchetto viene scartato e viene scritto un avviso nel registro. In questo caso, il messaggio corrispondente viene inviato al mittente e al destinatario del pacco.
• Pass (modalità IDS e IPS) - in questa modalità l'analisi dei pacchetti si interrompe, l'ulteriore confronto per il rispetto delle regole rimanenti non viene eseguito dal sistema. Il pacchetto viene inoltrato a destinazione, non viene generato alcun avviso.

I rapporti sul traffico che passa attraverso il sistema di rilevamento e prevenzione delle intrusioni ALTELL NEO possono essere generati nel sistema di monitoraggio e controllo esterno (SVMiU) di nostra progettazione. SVMIU raccoglie i dati iniziali (alert) da uno o più dispositivi ALTELL NEO.

Il sistema di rilevamento e prevenzione delle intrusioni ALTELL NEO opera a velocità da 80 Mbps
fino a 3200 Mbps.

Sistema di filtraggio web

ALTELL NEO ha un modulo proxy web integrato (intermediario) per filtrare le richieste degli utenti e memorizzare nella cache i dati ricevuti dal World Wide Web.

Il mediatore può operare in più modalità, che possono essere combinate per risolvere diversi problemi.In base al contesto di applicazione, si distinguono le seguenti modalità di funzionamento:

• interazioni con software client (es. browser web degli utenti): "trasparente" e "opaca";
• autenticazione utente proxy: nessuna autenticazione, autenticazione basata su LDAP, autenticazione basata su NTLM;
• elaborazione delle richieste degli utenti (URL di contenuto, indirizzo IP di origine e così via): con e senza filtri;
• elaborare i contenuti web ricevuti in risposta alle richieste degli utenti: con e senza memorizzazione nella cache;
• con proxy SSL abilitato e disabilitato.

Il mercato UTM è piuttosto ampio e continua a crescere, con soluzioni hardware e software. Quale usare è una domanda per ogni specialista, ogni organizzazione decide in base alle proprie preferenze e capacità. La cosa principale è avere un server adatto in termini di parametri, perché ora un sistema eseguirà diversi controlli e il carico aumenterà in modo significativo.

Uno dei vantaggi dei moderni dispositivi UTM è la loro versatilità e ALTELL NEO è un buon esempio di questo approccio. A seconda delle dimensioni dell'azienda possono essere utilizzate soluzioni di varie classi: dal desktop ai sistemi server 2U con prestazioni fino a 18,5 Gb/s. Le tecnologie Kaspersky Lab alla base della funzionalità antivirus di ALTELL NEO consentono di aggiornare i database antivirus da 10 a 25 volte al giorno. Allo stesso tempo, la dimensione media dell'aggiornamento di solito non supera i 50 KB, che è uno dei migliori rapporti frequenza/dimensione del settore.

In contatto con