Non molto tempo fa, Rainbow Technologies, distributore di WatchGuard Technologies in Russia e nei paesi della CSI, ha annunciato la comparsa sul mercato interno di una nuova serie di dispositivi UTM Firebox X e-Series. Le organizzazioni si trovano ora ad affrontare gruppi di minacce complessi e in continua evoluzione che stanno ridefinendo il concetto di rete sicura. L'ultima generazione di appliance UTM (Unified Threat Management) di WatchGuard fornisce una soluzione semplice a questo problema integrando le principali funzionalità di sicurezza in un unico dispositivo conveniente e altamente intelligente.

Cos'è l'UTM?

UTM è una nuova tendenza nel mercato della sicurezza delle informazioni. I dispositivi UTM integrano firewall, gateway VPN e molte funzionalità avanzate come filtro degli URL, blocco dello spam, anti-spyware, prevenzione delle intrusioni, software antivirus, sistema di gestione e controllo centralizzato. Cioè, quelle funzioni che sono tradizionalmente implementate separatamente. Ma per essere un UTM a tutti gli effetti, il dispositivo deve essere attivo, integrato e stratificato. Quelli. dovrebbe essere un sistema complesso, e non un insieme di soluzioni diverse assemblate in un unico pacchetto, con la funzione di gestione e monitoraggio centralizzati.

La società di ricerca di fama mondiale IDC considera UTM il segmento in più rapida crescita e in forte sviluppo del mercato dei dispositivi di sicurezza per l'Europa occidentale. Nel nostro mercato, tra le soluzioni WatchGuard presentate da Rainbow Technologies, i dispositivi UTM Firebox X Core e-Series sono i più richiesti. Sono progettati per reti di varie dimensioni e sono molto apprezzati dalle piccole e medie imprese per la loro economicità, facilità di configurazione e alto livello di protezione.

Firebox X Edge e-Series è ideale per piccole reti e uffici remoti. Edge può essere utilizzato come dispositivo di sicurezza di rete autonomo o come soluzione di terminazione del tunnel VPN. Firebox X Edge e-Series include: firewall stateful, VPN, filtro URL e impostazioni di rete avanzate e gestione del traffico per aumentare le opzioni di configurazione della rete. Questo dispositivo ha un'interfaccia intuitiva che semplifica notevolmente i processi di implementazione e amministrazione. La gestione centralizzata con WSM (WatchGuard System Manager) semplifica l'amministrazione di ambienti di rete costituiti da più Firebox. Si tratta di dispositivi aggiornabili ed espandibili che forniscono una larghezza di banda del firewall di 100 megabit e una larghezza di banda della VPN (Virtual Private Network) di 35 megabit.

Firebox X Peak e-Series è dotato di otto porte Gigabit Ethernet e viene utilizzato principalmente in reti complesse ed estese. Esistono anche modelli che supportano le interfacce in fibra ottica. Firebox X Peak e-Series è la linea di prodotti UTM più performanti. Queste soluzioni WatchGuard offrono una vera protezione Zero Day e un throughput del firewall fino a 2 gigabit al secondo. Combinando una tecnologia di sicurezza avanzata con funzionalità avanzate di gestione della rete, Firebox X Peak e-Series è la soluzione ideale per le politiche di sicurezza più esigenti.

Tra le soluzioni WatchGuard presentate sul mercato domestico dal distributore ufficiale Rainbow Technologies, la più apprezzata è la linea Firebox X Core e-Series. Questi dispositivi UTM sono progettati per reti di varie dimensioni e sono molto richiesti dalle piccole e medie imprese per la loro convenienza, facilità di configurazione e alto livello di sicurezza. Consideriamo in dettaglio le loro capacità e caratteristiche funzionali.

Firebox X Core e-Series offre la sicurezza più completa della sua categoria, combinando una varietà di protezioni: firewall, VPN, protezione Zero Day, sistema di prevenzione degli attacchi, gateway antivirus, sistema anti-spyware, anti-spam e filtro URL. Questo approccio consente di fornire una protezione affidabile contro gli attacchi di rete misti, nonché di risparmiare risorse finanziarie e di manodopera che di solito vengono spese per la gestione e la configurazione di un'intera gamma di soluzioni individuali.

Protezione multilivello

Firebox X Core e-Series si basa sull'architettura a strati ILS (Intelligent Layer Security). Grazie ad esso, i livelli di sicurezza svolgono insieme la protezione e il traffico controllato ad altri livelli secondo un determinato criterio non viene ricontrollato secondo lo stesso criterio. Pertanto, la velocità di trasferimento dei dati non viene ridotta e le applicazioni sensibili rimangono disponibili per il funzionamento.

L'architettura WatchGuard ILS è composta da sei livelli di sicurezza che lavorano in stretta collaborazione per rilevare, bloccare e segnalare dinamicamente il traffico dannoso, consentendo al contempo il passaggio del traffico normale nel modo più efficiente possibile.

Per ulteriori ragionamenti, assumiamo che un livello sia un costrutto logico che definisce un confine astratto tra i componenti di un'infrastruttura di sicurezza di rete. Pertanto, considereremo ogni tipo di tecnologia di sicurezza come un livello separato.

Architettura ILS a strati

Il motore ILS è il cervello di questa architettura. Progettato per consentire a ciascun livello di sfruttare le informazioni di altri livelli, migliorarne le capacità e consentire loro di condividere le informazioni sul traffico che passa tra di loro, fornisce la massima protezione, affidabilità e prestazioni. Diamo un'occhiata a cosa è ogni livello:

Servizi di sicurezza esterni. Fornire tecnologie per estendere la protezione oltre il firewall e le informazioni che consentono un lavoro più efficiente dell'utente finale/amministratore.

Integrità dei dati. Verifica l'integrità del passaggio dei pacchetti di dati e la conformità del pacchetto al protocollo

Rete privata virtuale (VPN). Fornisce sicurezza e privacy per le connessioni esterne

Firewall con analisi dinamica. Limita il traffico solo alle origini, destinazioni e porte consentite dalla politica di sicurezza.

Analisi approfondita dell'applicazione. Garantisce la conformità con gli standard del protocollo a livello di applicazione del modello ISO bloccando i file sospetti in base a pattern o tipo di file, bloccando i comandi pericolosi e modificando i dati per evitare la fuga di informazioni critiche di sistema.

Sicurezza dei contenuti. Analizza e limita il traffico in base al contenuto, include numerosi servizi come antivirus, sistema di prevenzione delle intrusioni, protezione anti-spyware e spam, filtro degli URL.

Sebbene nel modello descritto si distinguano sei livelli e il motore sia considerato il settimo livello di sicurezza, ognuno di essi include molte funzionalità e capacità. Tutti sono facilmente espandibili per includere nuovi modi per contrastare le minacce sconosciute.

Protezione giorno zero

A differenza delle soluzioni che si basano esclusivamente sulla scansione basata sulle firme, Firebox X Core dispone di una tecnologia che consente di fornire una protezione affidabile contro vari tipi di attacchi e le loro varie variazioni, senza la necessità di firme. Finché altre reti rimangono aperte agli attacchi durante la finestra della vulnerabilità (il tempo necessario per il rilascio delle firme), la rete che utilizza Firebox continua a essere protetta.

Sistema di controllo centralizzato

WSM (WatchGuard System Manager) è un'interfaccia utente grafica intuitiva utilizzata per gestire le funzionalità delle soluzioni Firebox X Core, Peak ed Edge UTM. WSM fornisce la registrazione completa, la creazione di VPN drag-and-drop e il monitoraggio del sistema in tempo reale. Poiché un'unica interfaccia lavora per gestire tutte le funzioni del sistema di sicurezza, si ha un notevole risparmio di tempo e risorse finanziarie.

Supporto e supporto di esperti

WatchGuard LiveSecurity Service è il servizio di supporto e manutenzione più completo oggi sul mercato. Gli abbonati ricevono regolarmente aggiornamenti software, supporto tecnico, consulenza di esperti, misure per prevenire possibili danni da nuovi metodi di attacco, ecc. Firebox X Core e-Series viene fornito con un abbonamento gratuito di 90 giorni al servizio LiveSecurity, che consiste in diversi moduli. Questi, a loro volta, includono supporto tecnico in tempo reale, supporto software e aggiornamenti, manuali di formazione e operativi, nonché messaggi speciali di LiveSecurity Broadcast - notifica tempestiva di minacce e metodi per combatterle.

Servizi di sicurezza aggiuntivi

Ogni servizio di sicurezza su Firebox X Core e-Series funziona in combinazione con la protezione Zero Day integrata, creando la combinazione ottimale di tutte le funzionalità necessarie per proteggere efficacemente le risorse di rete. Queste funzionalità sono completamente integrate nel dispositivo UTM, quindi non è richiesto hardware aggiuntivo.

Gli abbonamenti a tutti i servizi necessari vengono emessi sul dispositivo stesso e non in base all'utente, il che aiuta a evitare costi finanziari aggiuntivi. Per garantire una protezione continua, tutti i servizi sono costantemente aggiornati e possono essere gestiti centralmente tramite il sistema WSM.

Diamo un'occhiata più da vicino alle caratteristiche funzionali di ogni servizio aggiuntivo:

SpamBlocker blocca fino al 97% delle e-mail indesiderate in tempo reale.

I servizi di protezione spamBlocker di WatchGuard utilizzano la tecnologia Commtouch® Recurrent Pattern Detection™ (RPD) per proteggere dai flussi di spam in tempo reale con una precisione del 99,95% senza l'uso di firme o filtri.

Invece di lavorare con parole chiave e contenuto e-mail, questa tecnologia analizza grandi volumi di traffico Internet per calcolare la componente ripetuta per ogni flusso non appena appare. Vengono elaborati fino a 500 milioni di messaggi al giorno, dopodiché speciali algoritmi calcolano, identificano e classificano i nuovi flussi entro 1-2 minuti.

Questi stessi algoritmi separano lo spam e i messaggi normali. SpamBlocker utilizza questa tecnologia per fornire protezione in tempo reale dagli attacchi di spam confrontando costantemente i messaggi sospettati di essere spam con quelli archiviati nel centro di rilevamento Commtouch (che contiene circa 20.000.000 di campioni). Questa tecnologia presenta i seguenti vantaggi:

• Risposta estremamente rapida ai nuovi flussi;
• Praticamente zero possibilità di errore di tipo I, il che rende questo servizio il migliore del settore in termini di separazione dei messaggi normali dagli attacchi di spam;
• Elevata percentuale di rilevamento dello spam: fino al 97% delle e-mail indesiderate viene bloccato;
• Indipendenza dalla lingua dei messaggi. Grazie all'utilizzo in tempo reale delle principali caratteristiche del traffico di posta, lo spam viene efficacemente bloccato indipendentemente dalla lingua, dal contenuto o dal formato del messaggio.

Basato sulle proprietà della maggior parte dei messaggi piuttosto che su contenuto, lingua o formato specifici, SpamBlocker fornisce protezione in tempo reale contro lo spam, inclusi gli attacchi di phishing, e mantiene un'elevata larghezza di banda per il traffico di rete.

Gateway Antivirus/Servizio di prevenzione delle intrusioni con Anti-Spyware

Un sistema basato sulla protezione persistente delle firme sul gateway, che funziona contro virus, trojan, spyware, exploit di rete, web crawler, blocco delle applicazioni IM e P2P e altre minacce miste.

Il servizio di prevenzione delle intrusioni di WatchGuard fornisce una protezione integrata contro gli attacchi che, pur rispettando gli standard di protocollo, possono trasportare contenuti indesiderati. Basato sulle firme, è progettato per proteggere da un'ampia gamma di attacchi, inclusi scripting cross-site, buffer overflow o iniezioni SQL (inserimenti in query SQL).

I due problemi principali associati all'uso dei sistemi di prevenzione delle intrusioni sono la velocità e la probabilità di un errore di tipo I. La stretta integrazione del servizio IPS di WatchGuard con altri livelli ILS li elimina virtualmente.

Poiché gli altri livelli di ILS bloccano il 70-80% degli attacchi (l'analisi approfondita dell'applicazione è particolarmente efficace), non sono necessarie firme per bloccarli. Ciò riduce il numero totale di firme e aumenta la velocità di elaborazione dei dati, riducendo al contempo la probabilità di un errore di tipo I, che è proporzionale alla quantità di dati da controllare e al numero di firme utilizzate. Il sistema di prevenzione delle intrusioni di WatchGuard utilizza solo circa 1000 firme per ottenere un livello di protezione comparabile o addirittura migliore con altri sistemi che possono avere fino a 6000 firme.

Lo spyware viene distribuito in molti altri modi oltre al P2P, inclusi file incorporati, cookie e downloader. Lo spyware può tenere traccia di tutto ciò che digiti sulla tastiera, frugare tra i file alla ricerca di password e credenziali e riempire lo schermo con annunci pubblicitari. Rallenta anche i sistemi e consuma il traffico di rete. Il servizio di prevenzione delle intrusioni di WatchGuard include metodi di scansione esclusivi e basati su firme per bloccare lo spyware in vari punti del suo ciclo di vita, inclusa l'installazione, il momento della comunicazione per la segnalazione con l'host principale e l'attività post-installazione dell'applicazione. Tutto ciò avviene attraverso una serie di procedure interconnesse:

• Blocco del sito web. Il motore del servizio di prevenzione delle intrusioni blocca l'accesso ai repository di spyware noti o ai file server che distribuiscono spyware durante le sessioni HTTP.
• Convalida del contenuto basata sulla firma. Il motore di prevenzione delle intrusioni eseguirà la scansione continua del traffico rispetto a un database di firme costantemente aggiornato per rilevare e bloccare lo spyware scaricabile, incluso il software di bootstrap velato.
• Fermati all'installazione. Per configurare correttamente lo spyware, è necessaria un'applicazione speciale che deve contattare per comunicare i dati di installazione e richiedere i dati di configurazione iniziale dall'host padre. Il sistema di prevenzione delle intrusioni rileva e blocca questa comunicazione.
• Fermati al lavoro. Non appena la macchina infetta inizia a funzionare sulla rete interna, lo spyware cercherà di utilizzare la connessione di rete per creare un canale di comunicazione per ulteriori azioni. Il sistema di prevenzione delle intrusioni rileverà e bloccherà questi processi, che possono includere il furto di informazioni, l'installazione di spyware aggiuntivo e la pubblicità.

Il motore di prevenzione delle intrusioni di WatchGuard è strettamente associato ad altre funzioni del firewall e produce report completamente integrati nel sistema di reporting. Ciò consente all'amministratore di sistema di identificare facilmente l'elemento di rete infetto da spyware e rimuoverlo.

WebBlocker aumenta la produttività e riduce i rischi bloccando l'accesso a fonti non sicure sulla rete e gestisce anche l'accesso dei dipendenti a Internet.

WebBlocker utilizza un database di siti e strumenti software della società leader mondiale di filtri Web SurfControl. Per classificare e coprire completamente l'intera gamma di pagine Web, WebBlocker utilizza più categorie per bloccare i contenuti che non si desidera far entrare nella rete. sono bloccati

siti noti che contengono spyware o contenuto indesiderato per proteggere le tue risorse online; i siti di intrattenimento sono bloccati, il che aumenta la produttività dei dipendenti.

Con elenchi di esclusione personalizzabili, autenticazione dell'utente e la possibilità di impostare criteri diversi per orari diversi della giornata, WebBlocker migliora notevolmente i criteri di sicurezza.

Opzioni di aggiornamento

Se si tenta di stimare l'importo totale dell'investimento monetario necessario per implementare, gestire e modernizzare una serie di soluzioni di sicurezza progettate per soddisfare gli ampi requisiti delle reti odierne, diventa ovvio che l'utilizzo di Firebox X Core e-Series è più redditizio da un punto di vista punto di vista finanziario.

Man mano che i requisiti crescono, puoi facilmente espandere le capacità del dispositivo UTM. Ad esempio, per aumentare velocità e larghezza di banda, il dispositivo viene aggiornato acquistando una licenza speciale. Prevede inoltre la possibilità di passare dalla piattaforma hardware a un sistema operativo più funzionale.

Sistema operativo

Tutti i modelli Firebox X Core e-Series sono dotati del sistema operativo Fireware. Per ambienti di rete complessi, potrebbe essere necessario eseguire l'aggiornamento al sistema Fireware Pro più avanzato, che fornisce le seguenti funzionalità aggiuntive:

• gestione del traffico;
• Dà la certezza che la larghezza di banda necessaria sarà allocata per le applicazioni critiche;
• Sistema di failover (modalità attiva/passiva);
• Possibilità di creare un cluster di failover;
• Routing dinamico (protocolli BGP, OSPF, RIP);
• Massima flessibilità ed efficienza della rete grazie a tabelle di routing aggiornate dinamicamente.

Per reinstallare il sistema operativo su un dispositivo Firebox UTM, devi solo acquistare una licenza speciale.

La combinazione e la trasformazione della sicurezza tradizionale in dispositivi UTM integrati consente alle aziende di passare a un nuovo livello di protezione più elevato per le proprie reti locali. L'approccio WatchGuard, basato su una speciale tecnologia implementata nell'architettura ILS, che consente di integrare più livelli di protezione contemporaneamente insieme a funzioni aggiuntive, è senza dubbio una protezione efficace per qualsiasi infrastruttura di rete sia già costituita che in via di sviluppo. L'uso di dispositivi UTM a tutti gli effetti, come WatchGuard Firebox, è di particolare rilevanza in questi giorni, in cui tipi di minacce sempre più sofisticati compaiono con una frequenza crescente.

L'articolo discute il ruolo dei sistemi UTM in termini di requisiti di sicurezza della rete imposti dalle aziende. Viene effettuata un'analisi di base dell'"equilibrio di potere" nei mercati globale e russo. Per sistemi UTM (universal security gateways) si intende una classe di dispositivi di rete multifunzionali, principalmente firewall, che contengono molte funzioni, come anti-spam, anti-virus, protezione dalle intrusioni (IDS / IPS) e filtraggio dei contenuti.

introduzione

I rischi dell'utilizzo delle reti sono noti. Tuttavia, nelle condizioni moderne, non è più possibile abbandonare quest'ultimo. Pertanto, non resta che ridurli al minimo a un livello accettabile.

In linea di principio, si possono distinguere due approcci per garantire la sicurezza integrata. Il primo è spesso chiamato classico o tradizionale. La sua essenza si basa sull'assioma "un prodotto specializzato è meglio di una mietitrebbia multifunzionale".

Tuttavia, insieme alla crescita delle possibilità di varie soluzioni, iniziarono ad apparire i "colli di bottiglia" del loro uso congiunto. Quindi, a causa dell'autonomia di ciascun prodotto, si è verificata una duplicazione dei contenuti funzionali, che, in definitiva, ha influito sulle prestazioni e sul costo finale, non in meglio. Inoltre, non c'erano garanzie che soluzioni diverse di produttori diversi "coesistessero pacificamente" tra loro e non fossero in conflitto. Questo, a sua volta, ha creato anche ulteriori difficoltà per l'implementazione, la gestione e la manutenzione dei sistemi. Infine, è sorta la questione dell'interazione tra le varie soluzioni (lo scambio di informazioni per costruire il “quadro generale”, la correlazione degli eventi, ecc.) e la comodità di gestirle.

Da un punto di vista aziendale, qualsiasi soluzione dovrebbe essere efficace non solo nell'aspetto pratico. È importante che, da un lato, consenta di ridurre il costo totale di proprietà e, dall'altro, non aumenti la complessità dell'infrastruttura. Pertanto, la questione dell'aspetto dei sistemi UTM era solo una questione di tempo.

Cosa sono i gateway di sicurezza universali (UTM)?

Diamo una breve descrizione delle soluzioni più popolari.

Fortinet (esiste la certificazione FSTEC)

Fortinet offre un'ampia gamma di dispositivi, dalla serie FortiGate-20 per piccole imprese e uffici alla serie FortiGate-5000 per grandi aziende e fornitori di servizi. Le piattaforme FortiGate utilizzano il sistema operativo FortiOS con coprocessori FortiASIC ​​e altro hardware. Ciascun dispositivo FortiGate include:

• Firewall, VPN e Traffic Shaping;
• Sistema di prevenzione delle intrusioni (IPS);
• Antivirus/Antimalware;
• Controller Wi-Fi integrato;
• Controllo delle applicazioni;
• Protezione contro la fuga di dati;
• Ricerca di vulnerabilità;
• supporto IPv6;
• Filtraggio web;
• Anti-spam;
• supporto VoIP;
• Instradamento/commutazione;
• Ottimizzazione WAN e memorizzazione nella cache web.

I dispositivi ricevono aggiornamenti dinamici dal centro di ricerca globale FortiGuard Labs. Inoltre, i prodotti basati su FortiGate dispongono di sofisticate funzionalità di rete, tra cui il clustering (attivo/attivo, attivo/passivo) e i domini virtuali (VDOM), che consentono di separare le reti che richiedono politiche di sicurezza diverse.

Check Point (esiste la certificazione FSTEC)

Check Point evidenzia i seguenti vantaggi per i suoi dispositivi Check Point UTM-1:

• Tecnologie comprovate di cui si fidano le aziende Fortune 500;
• Tutto quello che ti serve per proteggere la tua rete: funzionalità, aggiornamenti e gestione della sicurezza;
• Protezione di reti, sistemi e utenti da molti tipi di attacchi da Internet
• Garantire la riservatezza proteggendo l'accesso remoto e la comunicazione tra i nodi;
• Implementazione e amministrazione della sicurezza rapide e semplici con molte funzioni di sicurezza in un unico dispositivo e un'ampia gamma di dispositivi per aziende di tutte le dimensioni, dal piccolo ufficio alla grande impresa;
• Proteggiti dalle nuove minacce emergenti con il Check Point Update Service.

Tutti i dispositivi UTM possono includere Software Blade come: FireWall, VPN, Sistema di prevenzione delle intrusioni, SSL VPN, Protezione da virus/spyware/spam, Firewall di protezione delle applicazioni Web e Web Filtering. È possibile aggiungere altri Software Blade a piacimento. Ulteriori specifiche tecniche possono essere trovate.

Dell

Un altro leader del settore, più concentrato sulle grandi aziende che sulle medie e piccole imprese. L'acquisizione nel 2012 di Sonicwall ha avuto un impatto positivo sul portafoglio di soluzioni offerte. Tutte le soluzioni, dal SuperMassive E10800 al TZ 100, sono basate sulla piattaforma proprietaria Network Security SonicOS e includono:

• Firewall di nuova generazione;
• Controllo delle applicazioni;
• Analisi approfondita dei pacchetti (compresi quelli crittografati con SSL);
• Organizzazione di VPN e SSL VPN;
• antivirus;
• Filtraggio web;
• Sistema di prevenzione delle intrusioni (IPS).

Ulteriori specifiche tecniche possono essere trovate.

WatchGuard (certificato da FSTEC)

Nella linea UTM, WatchGuard è rappresentato dai dispositivi Firebox X basati sull'architettura multi-layer di Intelligent Layered Security. L'architettura è composta da sei livelli di protezione che interagiscono tra loro:

• "Servizi di sicurezza esterni" - offrono tecnologie che estendono la protezione della rete oltre il firewall;
• "Integrità dei dati" - verifica l'integrità dei pacchetti e la loro conformità ai protocolli;
• "VPN" - controlla le connessioni esterne crittografate dell'organizzazione;
• Un firewall con analisi dinamica limita il traffico dalle sorgenti a quelle destinazioni e porte consentite in conformità con la politica di sicurezza;
• "Analisi approfondita delle applicazioni" - garantisce la loro conformità al livello di applicazione del modello ISO, taglia i file pericolosi per modello o tipo di file, blocca i comandi pericolosi e converte i dati per evitare perdite;
• "Sicurezza dei contenuti" - analizza e organizza il traffico per l'applicazione corrispondente. Esempi di ciò sono le tecnologie basate sulle firme, i servizi di blocco dello spam e il filtraggio degli URL.

Per questo motivo, il traffico sospetto viene rilevato e bloccato dinamicamente, mentre il traffico normale è consentito all'interno della rete.

Il sistema utilizza anche il proprio:

• Sistema antivirus/prevenzione intrusioni sul gateway;
• blocco web;
• blocco dello spam.

Ulteriori specifiche tecniche possono essere trovate.

Sophos (esiste un certificato FSTEC)

La gamma di modelli dei dispositivi dell'azienda è rappresentata dalla linea UTM xxx (dal più giovane modello UTM 100 al più vecchio UTM 625). Le differenze principali sono nel throughput.

Le soluzioni comprendono una gamma di applicazioni di rete integrate:

• firewall DPI;
• Sistema di rilevamento delle intrusioni e filtraggio web;
• Sicurezza e protezione della posta elettronica
• Filtri di contenuto;
• Controllo del traffico antivirus;
• Servizio di rete (VLAN, DNS, DHCP, VPN);
• Segnalazione.

Le soluzioni consentono di garantire la sicurezza e la protezione dei segmenti di rete e dei servizi di rete nell'infrastruttura di telecomunicazioni di SOHO, SME, Enterprise, ISP e forniscono il controllo e la pulizia fine del traffico IP a livello di rete. livelli applicativi (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Antivirus, Anti-spam).

Ulteriori specifiche tecniche possono essere trovate.

NETASQ

NETASQ, parte di EADS Corporation, è specializzata nella creazione di firewall di livello difensivo per proteggere in modo affidabile reti di qualsiasi dimensione. I dispositivi NETASQ UTM sono certificati dalla NATO e dall'Unione Europea e sono inoltre conformi alla classe EAL4+ dei Common Criteria for Assessing Information Technology Security.

L'azienda mette in evidenza i vantaggi dei suoi prodotti:

1. Responsabile delle vulnerabilità di NETASQ;
2. Anti-spam con filtro della posta;
3. Integrazione con Kaspersky Anti-Virus;
4. Filtraggio URL con continui aggiornamenti dal cloud;
5. Filtraggio all'interno di SSL/TLS;
6. Soluzioni VPN con accelerazione hardware;

Il portafoglio dell'azienda comprende schermi UTM hardware e virtuali (rispettivamente serie U e serie V). La serie V è certificata da Citrix e VMware. La serie U, a sua volta, ha un tempo impressionante tra i guasti (MTBF) - 9-11 anni.

Ulteriori specifiche tecniche possono essere trovate.

Cisco (esiste un certificato FSTEC)

L'azienda offre soluzioni sia per le grandi (serie Cisco ASA XXX) che per le piccole/medie imprese (serie Cisco Small Business ISA XXX). Funzionalità di supporto delle soluzioni:

• Controllo dell'applicazione e comportamento dell'applicazione;
• Filtraggio web;
• Protezione botnet;
• Protezione dalle minacce Internet in una modalità il più vicino possibile al tempo reale;

Fornito inoltre:

• Supporto per due reti VPN per la comunicazione tra uffici e partner, espandibile a 25 (ASA 5505) o 750 (ASA 5520) dipendenti
• Supporto da 5 (ASA 5505) a 250 (ASA 5550) utenti LAN da qualsiasi luogo

Ulteriori specifiche tecniche possono essere trovate.

Reti di ginepro

La direzione funzionale di UTM è supportata dalle linee di dispositivi della serie SRX e della serie J.

I principali vantaggi includono:

• Protezione completa a più livelli tra cui antimalware, IPS, filtro URL, filtro dei contenuti e anti-spam;
• Controllo e protezione delle applicazioni con policy basate sui ruoli degli utenti per contrastare gli attacchi alle applicazioni e ai servizi Web 2.0;
• Strumenti UTM preinstallati a connessione rapida;
• Costi minimi per l'acquisto e la manutenzione di un gateway sicuro all'interno di un unico produttore di un complesso di protezione.

La soluzione è composta da più componenti:

• Antivirus. Protegge la tua rete da malware, virus, spyware, worm, trojan e altri attacchi, nonché da minacce e-mail e Web che possono mettere a rischio la tua attività e le tue risorse aziendali. Il sistema di protezione antimalware integrato in UTM si basa sul motore antivirus di Kaspersky Lab.
• IPS. Vengono utilizzati vari metodi di rilevamento, incl. rilevamento delle anomalie del protocollo e del traffico, firme contestuali, rilevamento SYN flood, rilevamento delle frodi di spoofing e rilevamento backdoor.
• AppSecure. Suite di sicurezza sensibile alle applicazioni che analizza il traffico, fornisce una visibilità completa delle applicazioni, applica le regole del firewall delle applicazioni, controlla l'utilizzo delle applicazioni e protegge la rete.
• Filtro Web avanzato (EWF) fornisce protezione contro siti Web potenzialmente dannosi in diversi modi. La tecnologia utilizza 95 categorie di URL, che consentono di organizzare il loro controllo flessibile, aiutare gli amministratori a tenere traccia dell'attività di rete e garantire la conformità con le politiche aziendali per l'utilizzo delle risorse Web. EWF utilizza l'analisi della reputazione in tempo reale basata sulla rete di ultima generazione che controlla più di 40 milioni di siti Web all'ora per rilevare la presenza di malware. EWF mantiene anche un punteggio di rischio aggregato per tutti gli URL, sia categorizzati che non categorizzati, consentendo alle aziende di monitorare e/o bloccare i siti con una cattiva reputazione.
• Anti-spam.

Ulteriori specifiche tecniche possono essere trovate.

risultati

Il mercato russo dei sistemi UTM è sicuramente di interesse sia per i produttori che per i potenziali acquirenti. Tuttavia, a causa di "tradizioni" consolidate, i produttori devono condurre una "battaglia" simultanea sia sul fronte della certificazione e della costruzione di un canale partner, sia nel campo del marketing e della promozione.

Quindi, si può già osservare oggi come quasi tutte le aziende esaminate stiano lavorando alla traduzione dei materiali in russo, all'acquisizione di nuovi partner e alla certificazione delle loro soluzioni. Ad esempio, nel 2012 Dell ha fondato una società separata, Dell Russia, specificatamente per il mercato russo (l'azienda non si occuperà nemmeno dei suoi "vicini più vicini" - Ucraina e Bielorussia). Anche gli sviluppatori domestici non si fermano, sviluppando le loro soluzioni. È interessante notare che molti produttori (sia nazionali che esteri) integrano moduli di terze parti nei loro prodotti. Il modulo antivirus è indicativo al riguardo: vari sistemi UTM utilizzano ClamAV, Kaspersky Anti-Virus, Avira AV, Dr.Web, ecc.

Tuttavia, la conclusione è chiara: il mercato russo viene considerato seriamente ea lungo termine. Finora, nessuno ha intenzione di ritirarsi, il che significa che siamo in anticipo sulla lotta per un posto sotto il sole domestico. Dopotutto, "n. 1 al mondo" non è affatto la stessa cosa di "n. 1 in Russia".

Il dispositivo universale di gestione unificata delle minacce, altrimenti chiamato sistema UTM, è stato creato per garantire la sicurezza del computer. Il suo utilizzo per la protezione dei dati digitali è iniziato nel 2004, poiché i tipi convenzionali di firewall non potevano più far fronte ad attacchi di rete sempre più sofisticati. La gestione unificata delle minacce è una modifica del firewall standard (Firewall), in relazione al quale include funzioni volte a garantire la protezione dei dati personali. Ciò diventa possibile grazie all'inclusione di attività di ricerca nella soluzione UTM, nonché a prevenzione delle minacce di rete, antivirus, firewall e VPN.

Per la prima volta il termine "Gestione unificata delle minacce" è stato utilizzato da IDC, azienda leader nello studio delle telecomunicazioni e della tecnologia dell'informazione globale. Il principale vantaggio di UTM è che il sistema è un unico complesso che svolge contemporaneamente tutte le funzioni necessarie all'utente: antivirus, filtro dei contenuti, IPS - servizi di prevenzione delle intrusioni e degli attacchi alla rete, molto più conveniente ed efficiente rispetto all'amministrazione di più dispositivi allo stesso tempo.

Architettura UTM

UTM può essere implementato sia come soluzione software (installata su un server dedicato o come macchina virtuale) che come complesso software e hardware. In quest'ultimo caso, per i calcoli viene utilizzato non solo un processore centrale generico, ma anche una serie di processori speciali. Grazie a questa proprietà, la velocità del gateway UTM può raggiungere 1 Gbps e oltre.

Elaboratore di contenuti

Progettato per l'elaborazione ad alta velocità di pacchetti di rete sospetti, nonché di file archiviati e il loro confronto con quei tipi di minacce che sono già archiviati in memoria. Il traffico viene elaborato non direttamente attraverso la rete, ma dalla CPU general purpose, che velocizza il calcolo delle operazioni che sono logicamente correlate al servizio IPS e all'antivirus.

processore di rete

Fornisce l'elaborazione ad alta velocità dei flussi di rete, riducendo il carico su altri componenti del sistema. Esegue anche la crittografia, la traduzione degli indirizzi di rete e l'elaborazione dei segmenti TCP. In grado di calcolare la minaccia anche quando i dati sono frammentati per bypassare i servizi di sicurezza, ordinandoli, calcola il reale scopo del pacchetto di dati finale.

Responsabile della sicurezza

Ti consente di migliorare significativamente le prestazioni del tuo antivirus, del servizio di prevenzione della perdita di dati e del servizio IPS (prevenzione delle intrusioni di rete). Svolge attività di calcolo complesse, scaricando così in modo significativo la CPU.

Componenti software

firewall

Un firewall multistrato protegge l'utente dagli attacchi non solo a livello di rete, ma anche a livello di applicazione: l'accesso ai dati interni viene effettuato solo dopo l'autenticazione, fornendo l'accesso solo agli utenti autorizzati; è possibile creare diversi livelli di diritti di accesso per utenti diversi. È disponibile il supporto per la traduzione NAT degli indirizzi di rete senza rivelare l'architettura interna della rete dell'organizzazione.

VPN IPsec

Fornisce la creazione rapida e semplice di reti VPN sicure - basate sul dominio di crittografia o sulle regole di routing - combinando così le funzioni di crittografia, autenticazione, controllo degli accessi. Consente di connettere in modo sicuro utenti, oggetti, reti remoti.

Filtraggio URL

Filtraggio di siti indesiderati impedendo ai dipendenti di accedere a un determinato elenco di pagine Web. Consente di lavorare con grandi database di URL, è possibile dividerli per tipo di contenuto. È possibile creare liste bianche o nere per singoli utenti o server.

Antivirus e Antispam

Il controllo dei virus avviene anche prima che colpiscano il disco rigido dell'utente, sul gateway di sicurezza. Solitamente i protocolli più comunemente usati sono POP3/IMAP4, FTP, HTTP, SMTP. Inoltre, l'antivirus è solitamente in grado di scansionare i file compressi.

Lo spam viene bloccato studiando la reputazione dell'indirizzo IP da cui è stato ricevuto il messaggio, nonché controllando la conformità dei pacchetti di dati ricevuti con le black list e le white list. IPS viene fornito per la posta, che la protegge da attacchi DDoS, attacchi di buffer overflow. L'intero contenuto dell'e-mail viene scansionato alla ricerca di codici e programmi dannosi.

Raggruppamento

Introdotto per migliorare le prestazioni del firewall, reso possibile dall'aumento del throughput e dal suo scarico, distribuzione uniforme del carico sui core di elaborazione. La corretta distribuzione del traffico tra i gateway di backup consente di raggiungere un elevato livello di tolleranza ai guasti e di reindirizzare il traffico in caso di guasto da un gateway all'altro.

Navigazione web sicura

Esamina la sessione Web corrente alla ricerca di codice dannoso. È in grado di determinare non solo la presenza, ma anche il livello di pericolosità del codice eseguibile e di bloccare il codice dannoso prima che raggiunga il computer dell'utente. Capace di nascondere le informazioni sul server nella risposta HTTP, prevenendo possibili attacchi alla rete.

Prerequisiti per l'emergenza

In considerazione del numero crescente di attacchi alla rete e hacking dei server di grandi aziende e aziende, la necessità di implementare gateway UTM in grado di respingere virus e worm nel sistema è diventata ovvia.

Oggi ci sono molti modi per hackerare sistemi debolmente protetti. I principali problemi incontrati dalle aziende moderne sono la mancanza di sicurezza dei dati interni, nonché l'accesso non autorizzato alle informazioni dei propri dipendenti. La mancanza di sicurezza dei dati è il risultato di grandi perdite finanziarie. Tuttavia, solo relativamente di recente le società hanno iniziato a riconoscere la necessità di controllare l'accesso alle informazioni da parte dei dipendenti dell'azienda, mentre l'abbandono di mezzi specializzati per la protezione dei dati all'interno della rete porta alla divulgazione e alla compromissione di dati riservati.

Lo scopo di una soluzione UTM è fornire l'intera gamma di applicazioni necessarie per proteggere i dati da terze parti. Semplici e facili da usare, i sistemi UTM sono in continua evoluzione, consentendo loro di rispondere ad attacchi di rete sempre più complessi e risolverli in modo tempestivo.

Le soluzioni UTM hanno un analogo sotto forma di firewall di nuova generazione, o NGFW (firewall di nuova generazione). In termini di funzionalità, questo dispositivo è molto simile a UTM, ma non è stato sviluppato per le aziende di medie dimensioni, come avveniva con la gestione unificata delle minacce, ma per le grandi aziende. Inizialmente, i creatori di NGFW hanno cercato di combinare al suo interno il filtraggio di porte e protocolli, fornendo funzionalità di protezione dagli attacchi di rete e la capacità di analizzare il traffico a livello di applicazione.

mercato UTM oggi

Secondo l'ultima ricerca di mercato, nel periodo 2016-2020, il mercato UTM crescerà di circa il 15%. I principali fornitori di soluzioni UTM:

• Dell Sonic Wall
• Cisco (Cisco ASA-X)
• Tecnologie software Check Point
• Reti di ginepro
• Kerio (acquistato da GFI)

Sviluppatori domestici di soluzioni UTM:

• A-Real (server di controllo Internet)
• Software intelligente (Ispettore del traffico)

UTM: soluzioni complete

L'utilizzo di soluzioni di rete finalizzate allo svolgimento di una sola funzione ha cessato di essere giustificato a causa della complessità della gestione e dell'integrazione tra loro e dell'elevata disponibilità di tempo e risorse finanziarie ad essa associate. Oggi, la sicurezza della rete richiede un approccio integrato, che riunisca le funzionalità di sistemi che in precedenza funzionavano in isolamento. Ciò garantisce un'elevata produttività e una risoluzione ottimale dei problemi in meno tempo e con una maggiore efficienza.

Avere una soluzione UTM invece di più dispositivi diversi semplifica la gestione della strategia di sicurezza della rete di un'azienda. La configurazione di tutti i componenti del gateway UTM viene eseguita da un'unica console, in precedenza ciò richiedeva diversi livelli di software e hardware.

Per le aziende con uffici e server remoti, le soluzioni UTM forniscono la gestione centralizzata delle reti remote e la loro protezione.

Vantaggi

Ridurre il numero di dispositivi utilizzati;

Ridurre la quantità di software utilizzato e i costi finanziari per il suo supporto;

Controllo facile e comprensibile. Disponibilità di varie impostazioni, interfaccia web e architettura estensibile;

Formazione del personale più rapida grazie all'utilizzo di un solo dispositivo.

svantaggi

UTM è una soluzione single point of failure, ma alcune soluzioni supportano il clustering;

Se il sistema UTM non supporta la velocità dati massima della rete, il throughput della rete e il tempo di risposta potrebbero risentirne.

La moderna Internet è piena di molte minacce, quindi gli amministratori trascorrono la maggior parte del loro tempo sulla sicurezza della rete. L'aspetto dei dispositivi di protezione UTM multifunzionali ha immediatamente attirato l'attenzione degli specialisti della sicurezza. combinano più moduli di protezione con facilità di implementazione e gestione. Oggi puoi incontrare molte implementazioni, quindi scegliere a volte non è così facile. Proviamo a capire le caratteristiche delle soluzioni popolari.

Cos'è l'UTM?

Con la crescita di attacchi di rete e virus, spam e la necessità di organizzare uno scambio di dati sicuro, le aziende hanno bisogno di uno strumento di protezione affidabile e facile da gestire. Il problema è particolarmente acuto nelle reti delle piccole e medie imprese, nelle quali spesso non esiste la capacità tecnica e finanziaria di implementare sistemi di sicurezza eterogenei. E di solito non ci sono abbastanza specialisti formati in tali organizzazioni. È per queste condizioni che sono stati sviluppati dispositivi di rete multistrato multifunzionali, denominati UTM (Unified Threat Management, unified protection device). Essendo cresciuti dai firewall, gli UTM oggi combinano le funzioni di diverse soluzioni: un firewall con DPI (Deep Packet Inspection), un sistema di protezione dalle intrusioni (IDS / IPS), antispam, antivirus e filtro dei contenuti. Spesso tali dispositivi hanno la capacità di organizzare VPN, autenticazione utente, bilanciamento del carico, contabilità del traffico, ecc. I dispositivi di classe all-in-one con un'unica console delle impostazioni consentono di metterli in funzione rapidamente e in seguito è anche facile aggiornarli tutte le funzioni o aggiungerne di nuove. Tutto ciò che è richiesto da uno specialista è la comprensione di cosa e come proteggere. Il costo di UTM è generalmente inferiore rispetto all'acquisto di più app/dispositivi, quindi il costo complessivo è inferiore.

Il termine UTM è stato coniato da Charles Kolodgy di IDC (International Data Corporation) nel documento "World wide Threat Management Security Appliances 2004-2008 Forecast" pubblicato nel settembre 2004 per riferirsi a dispositivi di sicurezza generici in grado di gestire il numero sempre crescente di attacchi alla rete. Inizialmente era implicita la presenza di sole tre funzioni (firewall, DPI e antivirus), ora le possibilità fornite dai dispositivi UTM sono molto più ampie.

Il mercato dell'UTM è piuttosto ampio, e registra un incremento annuo del 25-30% (in sostituzione graduale del firewall "pulito"), e quindi quasi tutti i principali attori hanno già presentato le proprie soluzioni, sia hardware che software. Quale utilizzare è spesso una questione di gusti e fiducia nello sviluppatore, oltre alla disponibilità di un supporto adeguato e, ovviamente, di condizioni specifiche. L'unico punto è che dovresti scegliere un server affidabile e produttivo, tenendo conto del carico pianificato, perché ora un sistema eseguirà diversi controlli e ciò richiederà risorse aggiuntive. Allo stesso tempo, è necessario prestare attenzione, le caratteristiche delle soluzioni UTM di solito indicano la larghezza di banda del firewall e le capacità di IPS, VPN e altri componenti sono spesso di un ordine di grandezza inferiori. Il server UTM è un unico punto di accesso, il cui guasto lascerà effettivamente l'organizzazione senza Internet, quindi anche una varietà di opzioni di ripristino non sarà superflua. Le implementazioni hardware spesso hanno coprocessori aggiuntivi utilizzati per elaborare determinati tipi di dati, come la crittografia o l'analisi del contesto, per alleggerire il carico della CPU principale. Ma l'implementazione del software può essere installata su qualsiasi PC, con la possibilità di un ulteriore aggiornamento senza problemi di qualsiasi componente. A questo proposito sono interessanti le soluzioni OpenSource (Untangle, pfSense, Endian e altre), che consentono notevoli risparmi sul software. La maggior parte di questi progetti offre anche versioni commerciali con funzionalità avanzate e supporto tecnico.

Piattaforma: FortiGate
Sito web del progetto: fortinet-russia.ru
Licenza: a pagamento
Implementazione: hardware

L'azienda californiana Fortinet, fondata nel 2000, è oggi uno dei maggiori fornitori di dispositivi UTM orientati a diversi carichi di lavoro dal piccolo ufficio (FortiGate-30) ai data center (FortiGate-5000). Le appliance FortiGate sono una piattaforma hardware che fornisce protezione contro le minacce di rete. La piattaforma è dotata di firewall, IDS/IPS, controllo traffico antivirus, antispam, filtro web e controllo applicazioni. Alcuni modelli supportano DLP, VoIP, traffic shaping, ottimizzazione WAN, tolleranza agli errori, autenticazione utente per l'accesso ai servizi di rete, PKI e altri. Il meccanismo dei profili attivi consente di rilevare il traffico atipico con risposta automatica a tale evento. Anti-Virus può scansionare file di qualsiasi dimensione, compresi quelli negli archivi, mantenendo un alto livello di prestazioni. Il meccanismo di filtraggio web consente di impostare l'accesso a più di 75 categorie di siti web, specificare le quote, comprese quelle dipendenti dall'ora del giorno. Ad esempio, l'accesso ai portali di intrattenimento può essere consentito solo al di fuori dell'orario lavorativo. Il modulo di controllo dell'applicazione rileva il traffico tipico (Skype, P2p, IM, ecc.) indipendentemente dalla porta, le regole di modellazione del traffico sono specificate per le singole applicazioni e categorie. Le zone di sicurezza e i domini virtuali consentono di suddividere la rete in sottoreti logiche. Alcuni modelli hanno interfacce switch LAN Layer 2 e interfacce WAN ed è supportato il routing RIP, OSPF e BGP. Il gateway può essere configurato in una delle tre opzioni: modalità trasparente, NAT statico e dinamico, che consente di implementare FortiGate in modo indolore in qualsiasi rete. Per proteggere i punti di accesso, viene utilizzata una modifica speciale con WiFi: FortiWiFi.
A copertura dei sistemi (PC Windows, smartphone Android) che operano al di fuori della rete protetta, è possibile installare su di essi il software agente FortiClient, che comprende un set completo (firewall, antivirus, VPN SSL e IPsec, IPS, filtro web, antispam e molto altro ). FortiManager e FortiAnalyzer vengono utilizzati per gestire centralmente più dispositivi prodotti da Fortinet e analizzare i registri eventi.
Oltre all'interfaccia web e CLI, per la configurazione di base di FortiGate/FortiWiFi, è possibile utilizzare il programma FortiExplorer (disponibile in Win e Mac OS X), che offre l'accesso alla GUI e alla CLI (i comandi assomigliano a Cisco).
Una delle caratteristiche di FortiGate è un set specializzato di chip FortiASIC, che forniscono analisi dei contenuti ed elaborazione del traffico di rete e consentono il rilevamento in tempo reale delle minacce di rete senza influire sulle prestazioni della rete. Tutti i dispositivi utilizzano un sistema operativo specializzato: FortiOS.

Piattaforma: Check Point UTM-1
Sito del progetto: rus.checkpoint.com
Licenza: a pagamento
Implementazione: hardware

Check Point offre 3 linee di dispositivi di classe UTM: UTM-1, UTM-1 Edge (uffici remoti) e [email protetta](piccole imprese). Le soluzioni contengono tutto il necessario per proteggere la tua rete: firewall, IPS, gateway antivirus, antispam, strumenti per la creazione di VPN SSL e accesso remoto. Il firewall è in grado di distinguere tra il traffico inerente alla maggior parte delle applicazioni e dei servizi (più di 200 protocolli), l'amministratore può bloccare facilmente l'accesso alle reti IM, P2P o Skype. Fornisce la protezione delle applicazioni Web e un filtro URL, il database di Check Point contiene diversi milioni di siti, il cui accesso può essere facilmente bloccato. L'antivirus esegue la scansione dei flussi HTTP/FTP/SMTP/POP3/IMAP, non ha limiti di dimensione dei file e può funzionare con gli archivi. I modelli UTM-1 con la lettera W sono disponibili con un hotspot Wi-Fi integrato.
IPS utilizza vari metodi di rilevamento e analisi: firme di vulnerabilità, analisi dei protocolli e del comportamento degli oggetti, rilevamento delle anomalie. Il motore di analisi è in grado di calcolare dati importanti, quindi il 10% del traffico viene attentamente controllato, il resto passa senza ulteriori controlli. Ciò riduce il carico sul sistema e migliora l'efficienza dell'UTM. Il sistema anti-spam utilizza diverse tecnologie: reputazione IP, analisi dei contenuti, black list e white list. È supportato il routing dinamico OSPF, BGP e RIP, sono supportati diversi metodi di autenticazione utente (password, RADUIS, SecureID, ecc.), è implementato un server DHCP.
La soluzione utilizza un'architettura modulare, i cosiddetti Software Blades (software blade) consentono, se necessario, di espandere le funzionalità al livello desiderato, fornendo il livello di sicurezza e di costo richiesto. In questo modo è possibile aggiornare il gateway con blade Web Security (scoperta e protezione dell'infrastruttura Web), VoIP (protezione VoIP), Advanced Networking, Acceleration & Clustering (massime prestazioni e disponibilità in ambienti ramificati). Ad esempio, le tecnologie Web Application Firewall e Advanced Streaming Inspection utilizzate in Web Security consentono l'elaborazione in tempo reale del contesto, anche se suddiviso in più pacchetti TCP, la sostituzione delle intestazioni, l'occultamento dei dati sulle applicazioni utilizzate, il reindirizzamento dell'utente a una pagina con una descrizione dettagliata dell'errore.
Il controllo remoto è possibile tramite web e Telnet/SSH. Per la configurazione centralizzata di più dispositivi è possibile utilizzare Check Point SmartCenter, che utilizza la sua tecnologia Security Management Architecture (SMART) per gestire tutti gli elementi Check Point inclusi in una policy di sicurezza. Le capacità di SmartCenter sono estese con moduli aggiuntivi che forniscono visualizzazione delle politiche, integrazione LDAP, aggiornamenti, report e altro Tutti gli aggiornamenti UTM vengono ricevuti centralmente utilizzando il Check Point Update Service.

Piattaforma: ZyWALL 1000
Sito web del progetto: zyxel.ru
Licenza: a pagamento
Implementazione: hardware

La maggior parte dei gateway di sicurezza prodotti da ZyXEL possono essere tranquillamente attribuiti a UTM in termini di capacità, anche se secondo il classificatore ufficiale oggi ci sono cinque modelli ZyWALL USG 50/100/300/1000/2000 in questa linea, orientati per piccoli e reti medie (fino a 500 utenti). Nella terminologia ZyXEL, questi dispositivi sono indicati come "Centro sicurezza di rete". Quindi, ad esempio, ZyWALL 1000 è un gateway di accesso ad alta velocità progettato per risolvere problemi di sicurezza della rete e controllo del traffico. Include Kaspersky streaming antivirus, IDS/IPS, filtro dei contenuti e protezione antispam (Blue Coat e Commtouch), controllo della larghezza di banda e VPN (IPSec, SSL e L2TP su IPSec VPN). A proposito, al momento dell'acquisto, dovresti prestare attenzione al firmware: internazionale o per la Russia. Quest'ultimo utilizza una chiave DES a 56 bit per i tunnel VPN IPsec e SSL VPN a causa delle restrizioni dell'unione doganale.
Le politiche di accesso si basano su diversi criteri (IP, utente e ora). Gli strumenti di filtraggio dei contenuti semplificano la limitazione dell'accesso ai siti di un determinato argomento e il funzionamento di alcuni programmi IM, P2P, VoIP, posta, ecc. Il sistema IDS utilizza firme e protegge da worm di rete, trojan, backdoor, DDoS ed exploit. La tecnologia di rilevamento e prevenzione delle anomalie analizza i pacchetti che passano attraverso il gateway ai livelli OSI 2 e 3, identificando le incongruenze, rileva e blocca 32 tipi di attacchi di rete. Le funzionalità di End Point Security consentono di verificare automaticamente il tipo di sistema operativo, la presenza di antivirus e firewall attivi, la presenza di aggiornamenti installati, processi in esecuzione, impostazioni del registro e altro. L'amministratore può disabilitare l'accesso alla rete per i sistemi che non soddisfano determinati parametri.
Implementata la prenotazione di più accessi a Internet e il bilanciamento del carico. È possibile trasmettere VoIP su protocolli SIP e H.323 a livello di firewall e NAT e in tunnel VPN. Viene fornita una semplice organizzazione delle VLAN e la creazione di interfacce alias virtuali. L'autenticazione è supportata tramite LDAP, AD, RADIUS, che consente di configurare policy di sicurezza in base a regole già adottate nell'organizzazione.
Gli aggiornamenti delle basi dei componenti principali e l'attivazione di alcune funzioni (Commtouch anti-spam, aumento del numero di tunnel VPN) vengono effettuati tramite schede di connessione. La configurazione viene eseguita utilizzando la CLI e l'interfaccia web. La procedura guidata ti aiuta a effettuare le impostazioni iniziali.

Sistema operativo: Districa Server 9.2.1 Cruiser
Sito web del progetto: untangle.com
Patente: GPL
Implementazione: software
Piattaforme hardware: x86, x64
Requisiti di sistema: Pentium 4 o equivalente AMD, 1 GB di RAM, 80 GB di disco, 2 NIC.

Qualsiasi distribuzione *nix può essere configurata come una soluzione UTM a tutti gli effetti, tutto ciò di cui hai bisogno è disponibile nei repository dei pacchetti. Ma ci sono anche degli svantaggi: dovrai installare e configurare tu stesso tutti i componenti (e questo richiede già una certa esperienza) e, soprattutto, perdiamo un'unica interfaccia di gestione. Pertanto, in questo contesto, risultano molto interessanti soluzioni già pronte costruite sulla base di sistemi OpenSource.
La distribuzione Untangle, prodotta dall'omonima azienda, è apparsa nel 2008 e ha subito attirato l'attenzione della community con il suo approccio. Debian è servita come base, tutte le impostazioni vengono effettuate utilizzando un'interfaccia semplice e intuitiva. Inizialmente, il kit di distribuzione si chiamava Untangle Gateway ed era orientato all'uso in piccole organizzazioni (fino a 300 utenti) come sostituto a tutti gli effetti del Forefront TMG proprietario per fornire un accesso sicuro a Internet e proteggere la rete interna da una serie di minacce. Nel tempo, le funzioni e le capacità del kit di distribuzione si sono ampliate e il nome è stato cambiato in Untangle Server, e il kit di distribuzione è già in grado di fornire lavoro a più utenti (fino a 5000 e più, a seconda della capacità del server).
Inizialmente, le funzioni di protezione di Untangle sono implementate come moduli. Dopo aver installato il sistema di base, non ci sono moduli di protezione, l'amministratore sceglie da solo ciò di cui ha bisogno. Per comodità, i moduli sono suddivisi in 5 pacchetti (Premium, Standard, Education Premium Education Standard e Lite), la cui disponibilità è determinata dalla licenza, e i pacchetti stessi sono divisi in due gruppi in base al loro scopo: Filtro e Servizi . Tutte le applicazioni OpenSource sono raccolte in Lite gratuito, che contiene 13 applicazioni che forniscono scansione del traffico per virus e spyware, filtro dei contenuti, blocco di banner e spam, firewall, controllo del protocollo, IDS/IPS, OpenVPN, criteri di accesso (Captive Portal). Il modulo Report, incluso nel pacchetto Lite, consente all'amministratore di ricevere report su tutte le possibili situazioni: attività di rete, protocolli, spam e virus rilevati, attività dell'utente con la possibilità di inviare il risultato via e-mail ed esportarlo in PDF, HTML, XLS , CSV e XML. Si basano su popolari applicazioni OpenSource come Snort, ClamAV, SpamAssasin, Squid, ecc. Inoltre, il server Untangle fornisce tutte le funzioni di rete: routing, NAT, DMZ, QoS, dispone di server DHCP e DNS.
Disponibile in pacchetti commerciali: bilanciamento del carico e failover, controllo della larghezza di banda del canale e dell'applicazione, un modulo per lavorare con Active Directory, backup delle impostazioni e alcune altre funzioni. Anche il supporto è fornito a pagamento, anche se le risposte a molte domande possono essere trovate sul forum ufficiale. Inoltre, il progetto offre server già pronti con Untangle preinstallato.
Viene offerta un'interfaccia user-friendly scritta in Java per la configurazione, tutte le modifiche e le statistiche di lavoro vengono visualizzate in tempo reale. Quando si lavora con Untangle, l'amministratore non ha bisogno di avere una conoscenza approfondita di *nix, è sufficiente capire cosa è necessario ottenere di conseguenza. L'installazione del kit di distribuzione è abbastanza semplice, devi solo seguire le istruzioni della procedura guidata, un'altra procedura guidata in seguito ti aiuta a configurare il gateway.

Firewall Endiano

Sistema operativo: Endian Firewall Community 2.5.1
Sito web del progetto: endian.com/en/community
Patente: GPL
Piattaforme hardware: x86
Requisiti di sistema: CPU 500 MHz, 512 MB RAM, 2 GB

Gli sviluppatori di Endian Firewall offrono diverse versioni del loro prodotto, implementate sia come piattaforma hardware che software. Esiste anche una versione per macchine virtuali. Tutte le versioni sono concesse in licenza sotto GPL, ma solo l'immagine ISO e il codice sorgente della Community Edition sono disponibili per il download gratuito. Il sistema operativo è basato su CentOS e contiene tutte le applicazioni specifiche per Linux che forniscono funzioni firewall, IDS/IPS, scansione antivirus del traffico HTTP/FTP/POP3/SMTP, protezione antispam, filtraggio dei contenuti, anti-spoofing e anti-phishing moduli, sistema di reporting. È possibile creare una VPN utilizzando OpenVPN e IPsec con chiave o autenticazione del certificato. Il filtro dei contenuti contiene impostazioni già pronte per più di 20 categorie e sottocategorie di siti, c'è una lista nera e funzioni di filtro contestuale. Utilizzando gli ACL, è possibile specificare le opzioni di accesso per un singolo utente, gruppo, IP, ora e browser. Le statistiche vengono conservate su connessioni, traffico, lavoro degli utenti. Quando si verificano determinati eventi, viene inviato un messaggio all'e-mail dell'amministratore. Fornisce l'autenticazione dell'utente locale, Active Directory, LDAP e RADIUS. L'interfaccia semplifica la creazione di VLAN, la gestione della QoS, SNMP è supportato. Inizialmente, la distribuzione include l'antivirus ClamAV, che facoltativamente utilizza il motore antivirus Sophos.
Per le impostazioni vengono utilizzate l'interfaccia Web e la riga di comando. Le impostazioni iniziali vengono effettuate tramite una procedura guidata che consente di impostare il tipo di connessione a Internet, assegnare le interfacce (LAN, WiFi, DMZ). È possibile assegnare più indirizzi IP all'interfaccia esterna, MultiWAN è supportato. Per comodità delle impostazioni, le interfacce di rete sono suddivise in zone: ROSSA, ARANCIONE, BLU e VERDE, le regole del firewall contengono già impostazioni che determinano lo scambio tra di loro. Le ambientazioni sono divise in gruppi, i cui nomi parlano da soli, con la dovuta attenzione è molto facile capirlo.

Conclusione

I sistemi UTM completi stanno gradualmente sostituendo le soluzioni tradizionali come i firewall, quindi vale la pena dare un'occhiata più da vicino. A seconda delle condizioni specifiche, sono adatte diverse opzioni. OpenSource Endian Firewall e Untangle sono in grado di proteggere le reti di piccole e medie dimensioni. Ovviamente UTM non sostituisce, ma integra le protezioni installate sui singoli PC, creando un'ulteriore linea di difesa all'ingresso della LAN.

Alla fine del 2015 Laboratorio Kaspersky ha fornito statistiche deludenti: circa il 58% dei PC aziendali è stato attaccato da malware almeno una volta. E questi sono solo riflessi con successo. Di questi, un terzo (29%) è stato attaccato tramite Internet. È stato notato che non i computer domestici, ma quelli aziendali, hanno una probabilità tre volte maggiore di essere minacciati, quindi l'azienda rischia di perdere o distruggere i dati.

Nel 2017 la situazione non è diventata più sicura: ricordiamo almeno il recente trambusto dei famigerati virus Petya, WannaCry e BadRabbit. Tuttavia, circa l'80% delle aziende non aggiorna il proprio sistema di sicurezza e circa il 30% presenta vulnerabilità chiaramente visibili.

Sicurezza di rete in teoria e pratica

Non molto tempo fa, gli utenti di Internet erano soddisfatti di un semplice firewall. Tuttavia, i tempi sono cambiati e ora è necessaria una soluzione più seria: un dispositivo UTM che combina tutte le funzionalità progettate per proteggere le reti aziendali dall'invasione. Utilizzando il sistema integrato di gestione delle minacce, l'azienda otterrà antivirus, firewall, sistema di prevenzione delle minacce, protezione antispam e molto altro in un unico pacchetto.

A differenza del metodo classico, che prevede l'acquisto di più dispositivi separati e la loro integrazione in un unico sistema, questa è un'opzione più economica e produttiva, che in realtà si basa su tre pilastri:

• Protezione in tempo reale multilivello.
• Filtro universale che non ammette spyware e virus.
• Protezione da spam e contenuti inappropriati.

Questo approccio elimina la necessità di aumentare la spesa per l'hardware, assumendo specialisti IT in grado di far funzionare correttamente l'intero sistema e salvandoti dai problemi con un regolare calo della velocità del traffico.

In pratica, per le grandi e le piccole imprese, le diverse funzionalità saranno prioritarie. Passando a sistemi complessi, le piccole organizzazioni sperano, in primo luogo, di risolvere il problema dell'accesso sicuro alla rete per dipendenti e clienti. Per le reti aziendali di media complessità è richiesto un canale di comunicazione stabile. Le grandi aziende si preoccupano di mantenere i segreti. Ogni compito ha in definitiva una soluzione strettamente individuale.

Pratica delle grandi aziende

Ad esempio, per un'azienda Gazprom e organizzazioni simili che preferiscono il software russo, ciò significa ridurre i rischi che si presentano quando si utilizza software straniero. Inoltre, l'ergonomia impone la necessità di utilizzare apparecchiature standardizzate alla struttura hardware già in uso.

I problemi che le grandi aziende devono affrontare sono causati proprio dalle dimensioni dell'organizzazione. UTM qui aiuta con problemi legati all'enorme numero di dipendenti, grandi quantità di dati trasmessi sulla rete interna e la necessità di manipolare i singoli cluster che hanno accesso a Internet.

Funzionalità richieste dalle grandi aziende:

• Controllo esteso sul lavoro degli utenti PC, sul loro accesso alla Rete e alle singole risorse.
• Protezione dalle minacce per la rete interna, incluso il filtraggio degli URL e l'autenticazione a due fattori degli utenti.
• Filtraggio dei contenuti trasmessi sulla rete interna, gestione delle reti Wi-Fi.

Un altro esempio dalla nostra pratica. Nella direzione delle stazioni ferroviarie della società "FERROVIE RUSSE"(un classico esempio di un grande progetto aziendale con traffico limitato), la soluzione ha fermato una serie di problemi di sicurezza, prevenendo la fuga di dati e ha anche provocato un prevedibile aumento dell'efficienza del lavoro dovuto all'installazione di serrature interne.

Per le imprese bancarie, nella nostra esperienza, è particolarmente importante garantire un traffico Internet stabile, ad alta velocità e senza interruzioni, ottenuto grazie alla capacità di bilanciare e ridistribuire i carichi. È anche importante proteggere dalla fuga di informazioni e controllarne la sicurezza.

Centri commerciali, in particolare Kolomna "Rio", sono inoltre periodicamente esposti alla minaccia di attacchi esterni alla propria rete. Tuttavia, la gestione del centro commerciale è molto spesso interessata alla possibilità di introdurre il controllo interno sui dipendenti che hanno restrizioni al lavoro con Internet, a seconda delle loro mansioni. Inoltre, Internet è attivamente distribuito in tutto il centro commerciale, il che aumenta il rischio di violare il perimetro. E per prevenire con successo tali situazioni, la soluzione UTM suggerisce di utilizzare la gestione delle applicazioni.

Attualmente, il centro commerciale di Rio utilizza attivamente filtri, blocco multilivello e rimozione di programmi e applicazioni nella lista nera. Il risultato principale in questo caso è un aumento dell'efficienza del lavoro e del risparmio di tempo dovuto al fatto che i dipendenti non sono più distratti dai social network e dai negozi online di terze parti.

Esigenze del settore dei servizi

Caffè, ristoranti e hotel si trovano ad affrontare la necessità della distribuzione gratuita del Wi-Fi, che è attualmente uno dei servizi più popolari, secondo le recensioni dei visitatori. Tra i problemi che richiedono soluzioni immediate ci sono: accesso a Internet di alta qualità e rispetto della legislazione della Federazione Russa. Inoltre, le reti alberghiere hanno alcune specifiche associate a carichi maggiori. I social network, il caricamento di foto e video dalle vacanze e la semplice navigazione non dovrebbero causare guasti e arresti dell'intero sistema.

Tutti questi problemi vengono superati da un sistema UTM opportunamente configurato. Come soluzione, si propone di introdurre l'identificazione dei dispositivi tramite SMS, filtrare contenuto e traffico, separare i flussi su cui siedono clienti e dipendenti, in base a indicatori di censura e di età. È inoltre obbligatorio installare la protezione per i dispositivi collegati alla rete.

Ospedali, poliambulatori e altre istituzioni mediche richiedono un complesso di sicurezza unificato, gestito da un unico centro, tenendo conto della struttura delle filiali. La soluzione UTM russa è una priorità per tali agenzie governative in relazione alla politica di sostituzione delle importazioni e al rispetto della legge sulla protezione dei dati personali.

Vantaggi delle soluzioni UTM

Il principale è ovvio: un dispositivo ne sostituisce diversi contemporaneamente, svolgendo perfettamente le funzioni di ciascuno. Inoltre, è molto più semplice connettere e configurare un dispositivo del genere e chiunque può lavorarci. I vantaggi di una soluzione completa sono diversi:

• Finanziario. L'acquisto separato di strumenti di protezione di alta qualità (sistema di sicurezza, blocco antivirus, server VPN e proxy, firewall, ecc.) è molte volte superiore al costo delle apparecchiature. Soprattutto quando si tratta di opzioni di importazione. I dispositivi UTM sono molto più convenienti e ancor di più prodotti domestici di alta qualità.
• Funzionale. Le minacce sono prevenute a livello del gateway di rete, che non interrompe il flusso di lavoro e non influisce sulla qualità del traffico. La velocità è stabile e costante, le applicazioni sensibili a questo sono costantemente disponibili e funzionano normalmente.
• Semplicità e accessibilità. Il sistema basato su UTM non è solo veloce da installare, ma anche facile da gestire, semplificando l'amministrazione. E le soluzioni domestiche sono realizzate in russo, il che rende facile comprendere la parte tecnica senza troppe pretese nella terminologia specifica.
• Monitoraggio e controllo centralizzato. La soluzione UTM consente di gestire reti remote da un unico centro senza costi aggiuntivi per apparecchiature e personale.

In generale, i dispositivi UTM stanno diventando un elemento centrale per garantire la sicurezza delle informazioni di qualsiasi azienda con una rete da più computer a decine di migliaia di punti di accesso, prevenendo efficacemente problemi e aiutando a evitare il processo di ripulitura delle conseguenze di infezioni e hack .

Va però tenuto presente che UTM non risolve tutti i problemi, in quanto non gestisce terminali indifesi nei confronti di utenti senza scrupoli. Una minaccia virus locale richiede la presenza di programmi antivirus, oltre al gateway antivirus, e per garantire la prevenzione della fuga di informazioni è necessario installare sistemi DLP. La storia recente dell'aeroporto è indicativa al riguardo. Heathrow, dove è stata avviata un'indagine dopo che una chiavetta USB con dati relativi alla sicurezza e alle attività antiterroristiche in aeroporto è stata trovata in una delle strade di Londra.

Criteri per la scelta di un sistema UTM

Il sistema deve soddisfare diversi parametri. Questa è la massima praticità, affidabilità, facilità di configurazione, controllo chiaro, supporto tecnico costante da parte del produttore e costi relativamente bassi. Inoltre, vi è un rigoroso requisito per la certificazione obbligatoria da parte di FSTEC (FZ-149, FZ-152, FZ-188). Si applica alle istituzioni educative e governative, alle aziende che lavorano con informazioni personali, alle istituzioni sanitarie e alle imprese del settore pubblico. Per l'utilizzo di sistemi non certificati sono previste sanzioni severe: multa fino a 50 mila rubli, in alcuni casi - il ritiro dell'oggetto del reato e la sospensione delle attività fino a 90 giorni.

Prenditi cura di te stesso e dei tuoi dati, utilizza i moderni sistemi di sicurezza delle informazioni e non dimenticare di installare gli aggiornamenti dei fornitori.