Ideco este o soluție UTM din cutie. Dispozitivele UTM păzesc rețeaua de calculatoare

ÎN În ultima vreme Așa-numitele dispozitive UTM, care combină o întreagă gamă de funcții de securitate IT într-un singur sistem hardware, devin din ce în ce mai populare în întreaga lume. Pentru a înțelege mai bine aceste produse și pentru a înțelege avantajele lor solutii conventionale, am apelat la Rainbow Technologies. Dejan Momcilovic, șeful departamentului partener la Rainbow, răspunde la întrebările noastre.

Dejan Momcilovic, șeful de relații cu partenerii la Rainbow

Alexey Dolya: Ne puteți spune despre produsele UTM (Unified Threat Management) în general? Ce sunt și la ce sunt folosite?

Dejan Momcilovic:În ultima vreme, vorbesc despre securitatea informatiei, Mass-media folosesc din ce în ce mai mult un termen nou - dispozitive UTM. Conceptul de management unificat al amenințărilor (UTM), ca o clasă separată de echipamente pentru protecție resursele rețelei, a fost introdus de agenția internațională de cercetare a pieței IT IDC. Conform clasificării lor, soluțiile UTM sunt sisteme software și hardware multifuncționale care combină funcțiile diferite dispozitive: între firewall, sisteme de detectare și prevenire a intruziunilor în rețea, precum și funcții de gateway antivirus.
Dispozitivele UTM sunt folosite pentru a construi ușor, rapid și eficient un sistem de securitate pentru resursele de rețea. Ele sunt deosebit de populare în rândul companiilor IMM-uri (întreprinderi mici și mijlocii) datorită ușurinței lor de utilizare și eficienței costurilor.
Pentru a fi numit UTM cu drepturi depline, un dispozitiv trebuie să fie activ, integrat și cu mai multe straturi. Adică trebuie să îndeplinească următoarele trei funcții. În primul rând, asigurați protecție pe mai multe niveluri în rețea. În al doilea rând, îndepliniți funcțiile de filtru antivirus, sistem de prevenire a intruziunilor și protecție anti-spyware la nivel de gateway de rețea. În al treilea rând, protejați-vă împotriva site-urilor web nesigure și a spamului. Mai mult, fiecare funcție este responsabilă pentru anumite operațiuni. De exemplu, protecția pe mai multe niveluri oferă o analiză activă în profunzime a fluxului de date și transmite informații despre traficul suspect către diferite module ale dispozitivului care detectează anomalii de trafic, analizează comportamentul gazdei și scanarea semnăturii fișierelor.
De asemenea, ar trebui să ne concentrăm pe protecția împotriva site-urilor web nesigure și a spamului. Mișcarea necontrolată a angajaților companiei pe Internet crește probabilitatea de infectare cu spyware, troieni și mulți viruși. În plus, productivitatea scade, capacitatea rețelei scade, iar compania poate chiar să fie nevoită să răspundă în fața legii pentru anumite încălcări. Serviciul de filtrare URL vă permite să blocați site-uri cu conținut nesigur sau neadecvat. Puteți organiza accesul la resursele Web în funcție de ziua săptămânii, de nevoile departamentului sau de solicitările individuale ale utilizatorilor. În ceea ce privește spam-ul, acesta poate umple complet un server de e-mail, poate supraîncărca resursele rețelei și poate afecta negativ productivitatea angajaților. Poate fi și purtător tipuri variate atacuri periculoase, inclusiv viruși, Inginerie sociala sau phishing. Folosind un serviciu dedicat de blocare a spam-ului, puteți opri efectiv traficul inutil la poarta de rețea înainte ca acesta să intre în rețea și să provoace prejudicii.


Alexey Dolya: Care este avantajul soluțiilor UTM în comparație cu alte produse de securitate IT?

Dejan Momcilovic: Puteți achiziționa și instala dispozitive individuale, cum ar fi: firewall, gateway antivirus, sistem de prevenire a intruziunilor etc. Sau puteți utiliza un singur dispozitiv care îndeplinește toate aceste funcții. Comparativ cu folosirea sisteme individuale, lucrul cu complexul UTM are o serie de avantaje. În primul rând, beneficiul financiar. Sistemele integrate, spre deosebire de soluțiile de securitate cu mai multe straturi care sunt construite folosind multe dispozitive separate, folosesc mult mai puțin hardware. Acest lucru se reflectă în costul final. O soluție complet integrată poate include un firewall, VPN, securitate pe mai multe straturi, filtru antivirus, sisteme de prevenire a intruziunilor și anti-spyware, filtru URL și sisteme centralizate de monitorizare și management.
În al doilea rând, oprirea atacurilor asupra gateway-ului de rețea fără a întrerupe fluxul de lucru. O abordare pe mai multe straturi evită dezastrul prin blocare atacuri de rețea unde încearcă să pătrundă în rețea. Întrucât straturile efectuează protecția în comun, traficul verificat după un anumit criteriu nu este verificat din nou la alte niveluri după același criteriu. Prin urmare, viteza traficului nu scade și aplicațiile sensibile la viteză rămân disponibile pentru funcționare.
În al treilea rând, ușurința de instalare și utilizare. Sistemele integrate cu management centralizat facilitează configurarea și gestionarea dispozitivelor și serviciilor. Acest lucru simplifică foarte mult munca administratorilor și reduce costurile de operare. Abilitatea de a instala și implementa cu ușurință sisteme folosind ajutorul „vrăjitorilor”, setări optime„implicit” și altele instrumente automate, eliminați multe bariere tehnice care împiedică crearea rapidă a unui sistem de securitate a rețelei.
Există o altă diferență importantă între sistemele UTM și soluțiile tradiționale. Faptul este că soluțiile bazate pe semnături au fost un pilon al arsenalului de securitate de mulți ani și folosesc o bază de date cu modele cunoscute pentru a detecta și bloca traficul rău intenționat înainte ca acesta să intre în rețea. Aceste sisteme oferă protecție împotriva amenințărilor și încălcărilor politicilor de securitate, cum ar fi: troieni, buffer overflow, execuție accidentală de cod SQL rău intenționat, servicii mesaje instantși comunicare punct-la-punct (utilizată în Napster, Gnutella și Kazaa).
În același timp, după identificarea și identificarea unei amenințări suspectate, poate dura de la câteva ore până la câteva săptămâni până când fișierele de semnătură corespunzătoare sunt create și disponibile pentru descărcare. Acest „lag” creează o fereastră de vulnerabilitate (Fig. 1), în timpul căreia rețelele sunt deschise atacului:

Orez. 1. „Ciclul de viață al atacului și fereastra de vulnerabilitate”

În dispozitivele UTM, securitatea pe mai multe straturi funcționează împreună cu soluții bazate pe semnături și alte servicii pentru a oferi mai multe protectie eficienta din ameninţări complexe care apar cu o frecvenţă alarmantă.


Alexey Dolya: Ce soluții UTM oferă compania dumneavoastră? Ce funcții îndeplinesc?

Dejan Momcilovic: Rainbow Technologies este distribuitor companie americană WatchGuard în Rusia și țările CSI. Potrivit agenției de analiză IDC, de renume mondial, WatchGuard este lider în vânzările de dispozitive UTM pentru IMM-uri în SUA și Europa (date 2005). Linia Firebox X de dispozitive UTM este furnizată pe piața noastră, concepută atât pentru corporații mari, cât și pentru firme mici.
Firebox X Edge este un firewall și un punct final VPN pentru întreprinderile mici. Este destinat birourilor îndepărtate unele de altele și utilizatorii de telefonie mobilăși protejează resursele corporative de „amenințările neintenționate” de la utilizatori la distanță probleme care apar la accesarea rețelei.

Firebox X Edge

Firebox X Core de la WatchGuard - linie amiral Dispozitive UTM care oferă Protecție Zero-Day - protecție împotriva amenințărilor noi și necunoscute chiar înainte ca acestea să apară și să fie detectate. Traficul care intră în rețea este scanat la mai multe niveluri, datorită cărora virușii, viermii, programele spyware, troienii și amenințările mixte sunt blocate în mod activ fără utilizarea semnăturilor.

Firebox X Peak oferă protecție UTM pentru rețele mai extinse, oferind un flux de firewall de până la 1 GB.


Alexey Dolya: Prin ce diferă produsele dumneavoastră UTM de produsele UTM ale concurenților dumneavoastră?

Dejan Momcilovic: Astăzi, în Rusia sunt reprezentate doar dispozitivele UTM de la producători străini. Mai mult, majoritatea dintre ei, prezentându-și dispozitivele și numindu-le UTM, combină pur și simplu funcționalitatea dispozitive independente securitatea retelei(cum ar fi: firewall, gateway antivirus, sistem de detectare/prevenire a intruziunilor) într-o singură carcasă cu sistem unificat monitorizare si management. Alături de avantajele incontestabile menționate mai devreme, această abordare are și dezavantaje serioase:

Dispozitivele individuale care folosesc o platformă comună consumă un numar mare de resurse de calcul, ceea ce duce la cerințe crescute pentru componenta hardware a unei astfel de soluții, crescând astfel costul total.

Fiind unite formal într-o singură cutie, dispozitivele individuale sunt în esență independente unele de altele și nu fac schimb de rezultate ale analizei traficului care trece prin ele. Aceasta înseamnă că traficul care intră sau iese din rețea trebuie să treacă prin toate dispozitivele, adesea supus verificărilor duble. Ca urmare, viteza traficului care trece prin dispozitiv scade brusc.

Din cauza lipsei de interacțiune între blocurile funcționale individuale ale dispozitivului, menționate mai sus, probabilitatea ca trafic potențial periculos să intre în rețea crește.

Soluțiile UTM WatchGuard se bazează pe arhitectura Intelligent Layered Security (ILS), care elimină deficiențele enumerate inerente altor soluții UTM. Să aruncăm o privire mai atentă la principiile de funcționare ale ILS. Această arhitectură este nucleul liniei de dispozitive UTM Firebox X de la WatchGuard și oferă securitate puternică pentru afacerile în creștere. Folosind interacțiunea dinamică între straturi, ILS asigură securitatea, menținând în același timp performanța optimă a dispozitivului.
Arhitectura ILS constă din șase straturi de protecție (Fig. 2) care interacționează între ele. Astfel, trafic suspect detectat și blocat dinamic, iar cel normal este permis în interiorul rețelei. Acest lucru vă permite să contracarați atât atacurile cunoscute, cât și cele necunoscute, oferind protectie maxima la cost minim.

Orez. 2. „Securitate inteligentă stratificată și arhitectură UTM”

Fiecare strat de protecție îndeplinește următoarele funcții:

1. Serviciile externe de securitate interacționează cu protecţie internă rețele (antivirusuri pe stațiile de lucru etc.).

2. Serviciul de verificare a integrității datelor verifică integritatea pachetelor care trec prin dispozitiv și conformitatea acestor pachete cu protocoalele de transmisie.

3. Serviciul VPN verifică traficul pentru a vedea dacă acesta aparține conexiunilor externe criptate ale organizației.

4. Firewall cu analiza dinamica stat restricționează traficul la surse și destinații în conformitate cu politica de securitate configurată.

5. Serviciu analiză profundă aplicațiile decupează fișierele periculoase după modele sau tipuri de fișiere, blochează comenzile periculoase și convertesc datele pentru a evita scurgerea datelor critice.

6. Serviciul de verificare a conținutului folosește tehnologii bazate pe semnături, blocarea spam-ului și filtrarea URL-urilor.

Toate aceste straturi de protecție interacționează activ între ele, transmițând datele obținute din analiza traficului dintr-un strat către toate celelalte straturi. Ce permite:

1. Reduceți utilizarea resurselor de calcul ale dispozitivului UTM și, prin reducerea cerințelor hardware, reduceți costul total.

2. Obțineți o încetinire minimă în trecerea traficului prin dispozitivul UTM, datorită efectuării nu a tuturor, ci doar a verificărilor necesare.

3. Contracarați nu numai amenințările cunoscute, ci și oferiți protecție împotriva atacurilor noi, neidentificate încă.

Alexey Dolya: Ce suport tehnic primesc utilizatorii produselor dumneavoastră UTM?

Dejan Momcilovic: Baza tuturor soluțiilor WatchGuard este suportul continuu al securității perimetrului rețelei de la bun început nivel inalt, care se realizează folosind serviciu electronic LiveSecurity. Abonaților li se oferă în mod regulat actualizări de software, asistență tehnică, recomandări experților, măsuri pentru prevenirea posibilelor daune din cauza noilor metode de atac etc. Toate produsele Firebox X sunt furnizate cu un abonament gratuit de 90 de zile la serviciul LiveSecurity, care este de departe cel mai cuprinzător în IT -sistem industrial de suport tehnic la distanță și servicii.
LiveSecurity constă din mai multe module. Acestea, la rândul lor, includ: suport tehnic în timp real, asistență și actualizări software, instruire și manuale, precum și mesaje speciale LiveSecurity Broadcasts (notificare promptă despre amenințări și metode de combatere a acestora).

Firebox X

Alexey Dolya: Cât costă soluțiile tale UTM și cât costă operarea lor anual? De unde pot cumpăra produsele dvs.?

Dejan Momcilovic: Nu lucrăm cu utilizatori finali, deoarece nu avem o structură de vânzări cu amănuntul - aceasta este politica noastră comercială. Puteți achiziționa dispozitive WatchGuard Firebox X UTM de la partenerii noștri - integratori de sistem sau revânzători, a căror listă este disponibilă pe site-ul web http://www.rainbow.msk.ru. De asemenea, puteți obține informații despre costul de vânzare cu amănuntul al acestor dispozitive de la ei.


Alexey Dolya: Care sunt previziunile dumneavoastră pentru vânzările de dispozitive UTM în țara noastră?

Dejan Momcilovic: Vânzările de dispozitive UTM sunt în creștere la nivel mondial. Și piața noastră nu face excepție. Comparativ cu 2002, segmentul de dispozitive UTM a crescut cu 160% până în 2005 (conform studiului de piață global realizat de IDC). Această cifră indică o creștere foarte rapidă și, în ciuda faptului că piața rusă este semnificativ în urmă cu SUA și Europa, anticipăm și o creștere semnificativă a popularității dispozitivelor UTM acolo în viitorul foarte apropiat.


Alexey Dolya: Vă mulțumim pentru timpul acordat și pentru că ne-ați răspuns la toate întrebările. Mult succes si toate cele bune!

Există o părere că UTM și NGFW sunt același lucru. Vreau să înlătur această părere.

Ce sa întâmplat mai întâi?

Așa e, mai întâi a fost UTM (Unified Threat Management). Acesta este un sistem all-in-one. Cineva inteligent s-a gândit să instaleze mai multe motoare de protecție pe un server deodată. Profesioniștii în securitate au acum oportunitatea de a primi simultan controlul și funcționarea mai multor motoare de securitate dintr-o singură cutie. Acum firewall-ul, VPN, IPS, antivirus, filtru web și antispam lucrează împreună. Altcineva folosește alte motoare, de exemplu, DLP. În prezent, un motor de decriptare SSL și SSH și un motor de parsare și blocare a aplicațiilor sunt obligatorii la toate cele 7 straturi ale modelului OSI ISO. De regulă, motoarele sunt luate de la diferiți furnizori sau chiar gratuite, de exemplu, IPS de la SNORT, clamav antivirus sau firewall iptables. Deoarece firewall-ul este, de asemenea, un router sau un comutator pentru trafic, motorul de rutare dinamică este, de asemenea, cel mai adesea de la un anumit producător. Pe măsură ce cererea a crescut, jucători majori pe piață, care au putut cumpăra mai multe evoluții bune pentru funcționarea motorului necesar și combină munca lor într-un singur dispozitiv UTM. De exemplu, Punct de control a cumpărat IPS de la NFR, Cisco a cumpărat IPS de la Sourcefire. Mărcile populare sunt vizibile în piața Gartner UTM. În 2017, liderii UTM conform Gartner sunt Check Point, Fortinet și Sophos.

Dezavantajele arhitecturii UTM. De ce au apărut NGFW-urile?

Fig 1. Exemplu de arhitectură de lucru UTM.

Prima provocare arhitecturală a UTM a fost că toate motoarele din interior se transmiteau pe rând între ele pachete de rețeași am așteptat ca motorul anterior să-și termine treaba înainte de a-l porni pe al nostru. Drept urmare mai multe trăsături Vânzătorul îl integrează în dispozitivul său, cu atât funcționează mai lent. Drept urmare, utilizatorii unor astfel de dispozitive trebuie să dezactiveze IPS și antivirusul sau o parte din semnăturile lor pentru ca traficul să circule. Adică păreau că plătesc pentru un dispozitiv de securitate, dar îl folosesc doar ca router. Era necesar să se vină cu ceva pentru ca motoarele de protecție să nu se aștepte și să funcționeze în paralel.
O nouă mișcare a producătorilor NGFW este că folosesc cipuri specializate care privesc același trafic în același timp. Acest lucru a devenit posibil pentru că fiecare procesor a început să fie responsabil pentru propria sa funcție: semnăturile IPS erau cusute într-una, semnăturile antivirus în alta și semnăturile URL în a treia. Puteți activa toate semnăturile în toate motoarele - traficul este sub protecţie deplină fără nicio reducere a performanței. Chipurile programabile de acest tip se numesc FPGA (logica programabilă circuit integrat) sau în literatura engleză FPGA. Diferența lor față de ASIC-uri este că pot fi reprogramate din mers și pot îndeplini funcții noi, de exemplu, verificarea noilor semnături după actualizarea microcodului sau a oricăror alte funcții. Acesta este ceea ce folosește NGFW - toate actualizările sunt trimise direct în cipurile FPGA.

Figura 2. Un exemplu de arhitectură a NGFW Palo Alto Networks.

A doua provocare arhitecturală a UTM a devenit că toate operațiunile de fișiere necesare muncește din greu disc. Cu ce ​​este viteza de citire hard disk? 100 Megaocteți pe secundă. Ce va face UTM dacă aveți 10 Gbit de viteză în centrul dvs. de date? Dacă 300 de persoane din compania dvs. decid să descarce un folder de fișiere prin rețeaua Microsoft ( Protocolul SMB), atunci ce va face UTM? UTM-urile proaste se vor încărca pur și simplu la 100% și vor înceta să funcționeze. În UTM-urile avansate, pentru acest caz, sunt încorporate diverse mecanisme pentru a dezactiva automat funcționarea motoarelor de protecție: antivirus-bypass, ips-bypass și altele, care dezactivează funcțiile de securitate atunci când încărcarea hardware-ului își depășește capacitățile. Ce se întâmplă dacă nu trebuie doar să salvați fișierul, ci și să despachetați arhiva? Viteza de lucru scade și mai mult. Prin urmare, UTM a fost folosit în principal în companiile mici unde vitezele nu erau importante sau unde securitatea era o opțiune.

Practica arată că, de îndată ce viteza rețelei crește, atunci în UTM trebuie să dezactivați toate motoarele, cu excepția rutare și firewall-ul de pachete, sau pur și simplu instalați un firewall obișnuit. Adică, sarcina a fost de mult să accelereze cumva activitatea antivirusului de fișiere.

O nouă schimbare arhitecturală pentru primul producător NGFW, care a apărut în 2007, a fost aceea că fișierele nu mai erau salvate pe disc, adică toată analiza traficului, decodarea și asamblarea fișierelor pentru scanarea antivirus au început să fie efectuate în memorie. Acest lucru a îmbunătățit considerabil performanța dispozitivelor de securitate și le-a decuplat de performanță hard disk-uri. Vitezele rețelei cresc viteze mai mari hard disk-uri. Numai NGFW îi va salva pe lucrătorii de securitate. În prezent, conform Gartner, există doi lideri în NGFW: Palo Alto Networks și Check Point.

Cum funcționează cu aplicațiile de nivel 7 în UTM și NGFW?

Odată cu apariția NGFW, clienții au noua oportunitate- definirea aplicatiilor de nivel 7. Inginerii de rețea studiază modelul cu șapte straturi interacțiunile de rețea OSI ISO. La nivelul 4 al acestui model funcționează protocoale TCPși UDP, care a fost considerat suficient pentru analiza și gestionarea traficului în ultimii 20 de ani de rețele IP. Adică, un firewall obișnuit arată pur și simplu adrese IP și porturi. Ce se întâmplă la următoarele 5-7 niveluri? Firewall-ul de nouă generație vede toate nivelurile de abstractizare și arată ce aplicație a transferat ce fișier. Acest lucru îmbunătățește considerabil înțelegerea de către IT a interacțiunilor rețelei și îmbunătățește securitatea prin expunerea tunelurilor în interior aplicații deschiseși vă permite să blocați o aplicație, nu doar un port. De exemplu, cum să blocați skype sau bittorent cu un firewall obișnuit de generație veche? Da, în nici un caz.

Furnizorii UTM au adăugat în cele din urmă un motor de definire a aplicației. Cu toate acestea, au două motoare de gestionare a traficului - portul 4 la nivel TCP, UDP și ICMP și la nivelul căutării conținutului aplicației în trafic precum teamviewer, tor, skype. Se pare că UTM are mai multe politici: una controlează porturile, a doua controlează aplicațiile. Și acest lucru creează o mulțime de dificultăți, drept urmare, nimeni nu folosește politica de gestionare a aplicațiilor.

Atașez o prezentare pe tema vizualizării la nivel de aplicație. Acest lucru atinge, de asemenea, subiectul Shadow IT. Dar mai multe despre asta mai târziu..

Internet Control Server vă permite să rezolvați peste 80 de sarcini și să implementați servicii de rețea suplimentare. Totuși, dacă prioritatea ta este garantarea siguranței retea localași rezistență la diferite amenințări cibernetice, puteți utiliza numai instrumente de protecție a datelor în ICS.

Rețeaua corporativă trebuie să fie protejată de intruziune, distrugere sau modificări neautorizate, în timp ce timp de lucru să fie disponibil pentru primirea promptă a datelor. Fiabilitatea absolută a unei rețele locale poate fi garantată doar printr-o abordare integrată la crearea unui sistem de securitate a informațiilor. ICS CUBE protejează:

1. Rețele de calculatoare sau noduri individuale de la acces neautorizat (firewall).
2. Rețea locală de la pătrunderea fișierelor rău intenționate. Internet Control Server integrează antivirusurile ClamAv (modul gratuit), Kaspersky Anti-Virus, Dr.Web (module comerciale).
3. Informații confidențiale de la scurgeri (modul DLP).
4. Rețea corporativă din botnets.
5. Server de e-mail împotriva spamului, atacurilor de tip phishing (modul Kaspersky Anti-Spam).
6. Telefonie (serviciu fail2ban).

ICS CUBE este o soluție software și hardware, iar aceasta permite nu numai eliminarea posibilității de a cheltui pe software și echipamente suplimentare, ci și creșterea semnificativă a gradului de securitate a rețelei.

Management si monitorizare

ICS CUBE cu abilitatea management centralizat face posibilă facilitarea semnificativă a muncii unui administrator de sistem în organizațiile cu mai multe ramuri unde diviziile structurale sunt situate fizic birouri îndepărtate. Soluția îndeplinește toate cerințele pentru configurarea sistemului, fluxul de lucru și recuperarea în caz de dezastru, permițând specialistului să efectueze toate configurațiile dintr-o singură interfață.

Reviste. Rapoarte

Această funcționalitate este deosebit de importantă pentru administratorii de sistem, deoarece vă permite să urmăriți activitatea utilizatorului pentru orice perioadă necesară.

Rapoarte standard în ICS:

• raport general de sinteză;
• prin activitatea utilizatorului;
• consumul după volumul de trafic;
• primele 5 adrese IP și domenii.

De asemenea, este posibil să vizualizați statisticile utilizatorilor grupate pe categorii de trafic.

Designerul de rapoarte vă permite să colectați date pe baza unor criterii care nu sunt prezentate în rapoartele standard (după tipuri de mime, protocoale, interfețe, domenii, grupuri de adrese, surse de trafic, timp).

Jurnalul de sistem din ICS afișează mesaje despre acțiunile utilizatorului, modificări ale stărilor de service și erori de sistem. Pentru a fi conștient de ceea ce se întâmplă și a răspunde rapid, administratorul de sistem poate selecta tipul de evenimente de interes, poate configura notificări prin e-mail, Jabber sau icq și poate gestiona de la distanță folosind comenzi suplimentare.

Controlul accesului și contabilitatea traficului

Astăzi, aproape orice rețea locală este conectată la Internet, prin urmare, pentru a evita utilizarea greșită a traficului în timpul orelor de lucru, este necesar să se controleze accesul angajaților la rețeaua externă.

ICS CUBE vă va permite să:

• atribuie diferite drepturi de acces angajaților individuali și grupurilor de utilizatori;
• limitați lățimea de bandă pentru site-uri individuale, limitați traficul în funcție de timp și utilizatori (de exemplu, permiteți utilizarea rețelei în scopuri personale în timpul orelor de lucru);
• alege o metodă de autorizare a utilizatorului. ICS CUBE acceptă autorizarea prin IP, MAC, autentificare/parolă, printr-un controler de domeniu, conexiune VPN, program agent;
• filtrarea traficului pe categorii încorporate și integrate, liste ale Ministerului Justiției și Roskomnadzor;
• păstrați un jurnal de sistem, creați rapoarte despre activitatea utilizatorului (există încorporate standardizate + designer de rapoarte).

Aceste caracteristici vă vor permite să controlați activitatea de rețea fiecare utilizator înregistrat în rețea.

Sistem de detectare și protecție a intruziunilor (IDS/IPS)

ICS folosește un sistem open source IPS/IDS – Suricata (multitasking, de înaltă performanță, acceptă utilizarea GPU-urilor în modul IDS, permite procesarea traficului de până la 10Gbit). ICS CUBE vă permite să identificați cazurile de acces neautorizat la rețea sau activitate excesivă suspectă în rețea a utilizatorilor.

Sistemul de prevenire a intruziunilor ICS funcționează prin asigurarea accesibilității la serviciile interne și publicate. Internet Control Server înregistrează și stochează informații despre activități suspecte, blochează rețelele bot, Dos-attacks, precum și TOR, anonimizatoarele, p2p și clienții torrent.

Fluxul rețelei este monitorizat în timp real, iar atunci când este detectată o amenințare, se aplică diverse măsuri: resetarea conexiunii, înregistrarea semnăturilor detectate sau trecerea traficului. IPS defragmentează pachetele, reordonează pachetele TCP pentru a le proteja împotriva pachetelor cu numere SEQ și ACK modificate.

VPN securizat

VPN în ICS KUB este o rețea privată virtuală care vă permite să uniți utilizatori care sunt îndepărtați fizic unul de celălalt (independenți, unități structurale în diferite birouri, parteneri, angajați care lucrează de la distanță) într-o singură rețea logică. În ciuda faptului că transferul de date se realizează printr-un sistem extern retea publica, securitatea conexiunii și a transferului de date este asigurată de rețea logică folosind supra-criptare.

ICS CUBE acceptă următoarele tipuri de conexiuni la distanță: PPTP, L2TP, PPoE, GRE/IPIP, OpenVPN.

O conexiune VPN stabilă și sigură la Internet Control Server vă permite să rezolvați probleme urgente în timp real, chiar și în timpul orelor de lucru.

Articolul examinează rolul sistemelor UTM în ceea ce privește cerințele de securitate a rețelei impuse de afaceri. O analiză de bază a „alinierii forțelor” în plan global și piata ruseasca. Prin sisteme UTM (gateway-uri de securitate universale) înțelegem o clasă de multifuncționale dispozitive de rețea, în principal firewall-uri, care conțin multe funcții precum antispam, antivirus, protecție împotriva intruziunilor (IDS/IPS) și filtrarea conținutului.

Introducere

Riscurile utilizării rețelelor sunt cunoscute. Cu toate acestea, în conditii moderne Nu se mai poate abandona pe acesta din urmă. Astfel, tot ce rămâne este să le minimizezi la un nivel acceptabil.

În principiu, se pot distinge două abordări pentru asigurarea securității cuprinzătoare. Primul este adesea numit clasic sau tradițional. Esența sa se bazează pe axioma „un produs specializat este mai bun decât o mașină de recoltat multifuncțională”.

Cu toate acestea, odată cu creșterea capacităților diferitelor soluții, „ locuri înguste» împărtășirea lor. Astfel, datorită autonomiei fiecărui produs, a existat dublarea conținutului funcțional, ceea ce a avut în final un impact negativ asupra performanței și costului final. În plus, nu a existat nicio garanție că diferitele soluții de la diverși producători se vor „vecina pașnic” unul cu celălalt și nu vor intra în conflict. Acest lucru, la rândul său, a creat și dificultăți suplimentare pentru implementarea, gestionarea și întreținerea sistemelor. În cele din urmă, a apărut problema interacțiunii diferitelor soluții între ele (schimb de informații pentru a construi „ imagine de ansamblu„, corelarea evenimentelor etc.) și ușurința în gestionarea acestora.

Din punct de vedere al afacerilor, orice soluție trebuie să fie eficientă nu doar din punct de vedere practic. Este important ca, pe de o parte, să permită reducerea costului total de proprietate și, pe de altă parte, să nu mărească complexitatea infrastructurii. Prin urmare, problema apariției sistemelor UTM a fost doar o chestiune de timp.

Ce sunt Universal Security Gateways (UTM)?

Vom oferi o scurtă descriere a celor mai populare soluții.

Fortinet (certificat FSTEC)

Fortinet oferă o gamă largă de aliniamentul dispozitive variind de la seria FortiGate-20 pentru întreprinderi mici și birouri până la seria FortiGate-5000 concepută pentru întreprinderi foarte mari și furnizori de servicii. Folosesc platformele FortiGate sistem de operare FortiOS cu coprocesoare FortiASIC ​​și alt hardware. Fiecare unitate FortiGate include:

• Firewall, VPN și modelarea traficului;
• Sistemul de prevenire a intruziunilor (IPS);
• Antivirus/Contrare malware;
• Controler Wi-Fi integrat;
• Controlul aplicațiilor;
• Protecție împotriva scurgerilor de date;
• Căutați vulnerabilități;
• suport IPv6;
• filtrare web;
• Anti spam;
• suport VoIP;
• Dirijare/comutație;
• Optimizare WAN și cache web.

Dispozitivele primesc actualizări dinamice de la centrul de cercetare global FortiGuard Labs. De asemenea, produsele bazate pe FortiGate au funcționalități de rețea sofisticate, inclusiv clustering (activ/activ, activ/pasiv) și domenii virtuale(VDOM), care oferă posibilitatea de a separa rețelele care necesită politici de securitate diferite.

Punct de verificare (certificat FSTEC)

Check Point oferă urmatoarele avantaje pentru a lor Verificarea dispozitivelor Punctul UTM-1:

• Tehnologii dovedite în care au încredere companiile din Fortune 500;
• Tot ce aveți nevoie pentru a vă proteja rețeaua: funcționalitate, actualizări și managementul securității;
• Protejați rețelele, sistemele și utilizatorii de o varietate de atacuri pe internet
• Asigurarea intimității prin protecție acces de la distanțăși conexiuni între noduri;
• Implementați și gestionați rapid și ușor securitatea cu mai multe funcții de securitate într-un singur dispozitiv și o gamă largă de dispozitive pentru companii de toate dimensiunile, de la birouri mici la întreprinderi;
• Protejați-vă împotriva noilor amenințări emergente folosind Serviciul de actualizare Check Point.

Toate dispozitivele UTM pot include blade software precum: FireWall, VPN, sistem de prevenire a intruziunilor, SSL VPN, protecție împotriva virusurilor, spyware și spam, un firewall specializat pentru protejarea aplicațiilor web și filtrarea web. Dacă doriți, puteți adăuga alte blade software. Mai multe detalii de la caracteristici tehnice poate fi consultat.

Dell

Un alt lider în industrie, mai concentrat pe companii mari decât pentru întreprinderile mijlocii și mici. Achiziția Sonicwall în 2012 a avut un impact pozitiv asupra portofoliului de soluții oferite. Toate soluțiile, de la SuperMassive E10800 la TZ 100, sunt construite pe platforma proprietară Network Security SonicOS și includ:

• Firewall de generație următoare;
• Controlul aplicațiilor;
• Examinarea profundă a pachetelor (inclusiv a celor criptate folosind SSL);
• Organizarea VPN și SSL VPN;
• Antivirus;
• filtrare web;
• Sistemul de prevenire a intruziunilor (IPS).

Specificații tehnice mai detaliate pot fi găsite.

WatchGuard (are certificat FSTEC)

În linia UTM, WatchGuard este reprezentat de dispozitive Firebox X bazate pe arhitectura Intelligent Layered Security pe mai multe niveluri. Arhitectura constă din șase straturi de protecție care interacționează între ele:

• „Servicii de securitate externe” - oferă tehnologii care extind protecția rețelei dincolo de firewall;
• „Integritatea datelor” - verifică integritatea pachetelor și conformitatea acestora cu protocoalele;
• „VPN” - verifică conexiunile externe criptate ale organizației;
• Un firewall de analiză dinamică restricționează traficul de la surse către acele destinații și porturi care sunt permise în conformitate cu politica de securitate;
• „Analiza profundă a aplicațiilor” - asigură conformitatea acestora cu nivelul de aplicație al modelului ISO, decupează fișierele periculoase după model sau tip de fișier, blochează comenzile periculoase și convertește datele pentru a evita scurgerile;
• „Securitatea conținutului” - analizează și organizează traficul pentru aplicația corespunzătoare. Exemple în acest sens includ tehnologiile bazate pe semnături, serviciile de blocare a spamului și filtrarea adreselor URL.

Datorită acestui fapt, traficul suspect este identificat și blocat dinamic, în timp ce traficul normal este permis în interiorul rețelei.

Sistemul folosește și propriile sale:

• Sistem antivirus/prevenirea intruziunilor pe gateway;
• WebBlocker;
• SpamBlocker.

Specificații tehnice mai detaliate pot fi găsite.

Sophos (are certificat FSTEC)

Gama de dispozitive a companiei este reprezentată de linia UTM xxx (de la modelul mai tânăr UTM 100 la cel mai vechi UTM 625). Principalele diferențe sunt în debit.

Soluțiile includ o gamă de aplicații de rețea integrate:

• firewall DPI;
• Sistem de detectare a intruziunilor și filtrare web;
• Securitate și protecție e-mail
• Filtre de conținut;
• Controlul traficului antivirus;
• Serviciu de rețea (VLAN, DNS, DHCP, VPN);
• Raportare.

Soluțiile vă permit să asigurați securitatea și protecția segmentelor de rețea și a serviciilor de rețea în infrastructura de telecomunicații a SOHO, SME, Enterprise, ISP și asigurați controlul și curățarea fină a traficului IP la nivel de rețea. niveluri de aplicație (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Anti-virus, Anti-spam).

Specificații tehnice mai detaliate pot fi găsite.

NETASQ

NETASQ, o companie EADS, este specializată în firewall-uri de calitate pentru apărare protecţie fiabilă rețele de orice scară. Dispozitivele NETASQ UTM sunt certificate de NATO și Uniunea Europeană și, de asemenea, respectă clasa EAL4+ a „Criteriilor generale pentru evaluarea securității tehnologiilor informaționale”.

Compania subliniază avantajele produselor sale:

1. Manager de vulnerabilitate NETASQ;
2. Antispam cu filtrare de corespondență;
3. Integrare cu Kaspersky Anti-Virus;
4. filtrare URL cu actualizări continue din cloud;
5. Filtrare în SSL/TLS;
6. Soluții VPN cu accelerare hardware;

Portofoliul companiei include atât ecrane hardware, cât și virtuale UTM (seria U, respectiv seria V). Seria V este certificată de Citrix și VMware. Seria U, la rândul său, are un timp mediu impresionant între eșecuri (MTBF) - 9-11 ani.

Specificații tehnice mai detaliate pot fi găsite.

Cisco (are certificat FSTEC)

Compania oferă soluții atât pentru întreprinderi mari (Cisco ASA XXXX Series), cât și pentru întreprinderi mici/medii (Cisco Small Business ISA XXX Series). Soluțiile suportă următoarele funcții:

• Controlul aplicațiilor și al comportamentului aplicațiilor;
• filtrare web;
• Protecție împotriva botnet-urilor;
• Protecție împotriva amenințărilor de pe Internet într-un mod cât mai aproape de timp real posibil;

De asemenea, furnizate:

• Suportă două rețele VPN pentru comunicarea între birouri și parteneri, extensibile la 25 (ASA 5505) sau 750 (ASA 5520) angajați
• Suportă de la 5 (ASA 5505) la 250 (ASA 5550) utilizatori LAN de oriunde

Specificații tehnice mai detaliate pot fi găsite.

Juniper Networks

Direcția funcțională UTM este susținută de liniile de dispozitive din seria SRX și seria J.

Principalele avantaje includ:

• Protecție cuprinzătoare pe mai multe straturi, inclusiv anti-malware, IPS, filtrare URL, filtrare de conținut și anti-spam;
• Controlați și protejați aplicațiile folosind politici bazate pe rolurile utilizatorului pentru a contracara atacurile asupra aplicațiilor și serviciilor Web 2.0;
• Instrumente UTM preinstalate, care se conectează rapid;
• Costuri minime pentru achiziționarea și întreținerea unui gateway securizat în cadrul unui singur producător al unui complex de securitate.

Soluția constă din mai multe componente:

• Antivirus. Protejează rețeaua de malware, viruși, spyware, viermi, troieni și alte atacuri, precum și de la e-mail și amenințări web care pot pune în pericol afacerile și activele corporative. În inima încorporatei sisteme UTM protecția împotriva programelor malware se află în nucleul antivirus al Kaspersky Lab.
• IPS. Sunt utilizate diverse metode de detectare, inclusiv. detectarea anomaliilor de protocol și de trafic, semnăturile contextuale, recunoașterea inundațiilor SYN, frauda de falsificare și detectarea ușilor din spate.
• AppSecure. Servicii de securitate conștient de aplicații care analizează traficul, oferă vizibilitate extinsă a aplicațiilor, aplică reguli de firewall pentru aplicații, controlează utilizarea aplicațiilor și protejează rețeaua.
• Filtrare Web îmbunătățită (EWF) oferă protecție împotriva site-urilor web potențial rău intenționate în mai multe moduri. Tehnologia folosește 95 de categorii de URL-uri, ceea ce permite un control flexibil, ajută administratorii să monitorizeze activitatea în rețea și asigură conformitatea politici corporative utilizarea resurselor web. EWF utilizează analiza reputației în timp real, bazată pe web ultima generatie, care verifică prezența cod rău intenționat peste 40 de milioane de site-uri web pe oră. EWF menține, de asemenea, un scor de risc agregat pentru toate adresele URL, atât categorizate, cât și necategorizate, permițând companiilor să monitorizeze și/sau să blocheze site-urile cu reputație slabă.
• Anti spam.

Specificații tehnice mai detaliate pot fi găsite.

concluzii

Piața rusă a sistemelor UTM prezintă cu siguranță interes atât pentru producători, cât și pentru potențialii cumpărători. Cu toate acestea, datorită „tradițiilor” stabilite, producătorii trebuie să ducă o „bătălie” simultană atât pe frontul certificării și al construirii unui canal partener, cât și în domeniul marketingului și promovării.

Astfel, astăzi puteți vedea deja cum aproape toate companiile analizate lucrează la traducerea materialelor în rusă, la achiziționarea de noi parteneri și, de asemenea, la certificarea soluțiilor lor. De exemplu, în 2012 Dell a înființat o companie separată, Dell Rusia, special pentru piața rusă (compania nici măcar nu se va ocupa de „cei mai apropiați vecini” ai săi - Ucraina și Belarus). De asemenea, dezvoltatorii autohtoni nu stau pe loc, își dezvoltă soluțiile. Este de remarcat faptul că mulți producători (atât interni, cât și străini) integrează module terțe în produsele lor. Indicativ în acest sens este modul antivirus: diverse sisteme UTM folosesc ClamAV, Kaspersky Anti-Virus, Avira AV, Dr.Web etc.

Cu toate acestea, concluzia este evidentă: piața rusă este luată în considerare serios și pe termen lung. Până acum, nimeni nu plănuiește să se retragă, ceea ce înseamnă că în fața noastră se află o luptă pentru un loc în soarele rusesc. La urma urmei, „nr. 1 în lume” nu este deloc același cu „nr.

Conceptul de Unified Threat Management (UTM), ca o clasă separată de echipamente pentru protejarea resurselor rețelei, a fost introdus de agenția internațională IDC, care studiază piața globală de IT. Conform clasificării introduse, soluțiile UTM sunt sisteme software și hardware multifuncționale care combină funcțiile diferitelor dispozitive: un firewall, un sistem de detectare și prevenire a intruziunilor în rețea, precum și funcțiile unui gateway antivirus.

Piața rusă a dispozitivelor UTM este reprezentată doar de producători străini. Mai mult, unele companii, prezentându-și soluțiile și numindu-le UTM, pur și simplu combină funcționalitatea dispozitivelor independente de securitate a rețelei (cum ar fi un firewall, un gateway antivirus, un sistem de detectare/prevenire a intruziunilor) într-o singură carcasă cu un sistem unificat de monitorizare și management. Dispozitive similare nu poate fi considerat un sistem UTM cu drepturi depline.

Abrevierea UTM înseamnă Unified Threat Management, care poate fi tradus literal în rusă ca: management unificat a amenințărilor. În acest articol ne vom uita exact ce funcții trebuie să îndeplinească un dispozitiv pentru a fi considerat un UTM cu drepturi depline, care sunt avantajele utilizării unor astfel de sisteme și împotriva ce tipuri de amenințări se pot proteja.