Системы сетевой безопасности класса UTM. Чем загадочное UTM-решение поможет вашей компании. Решения класса UTM

Оставьте комментарий 6,950

В статье рассматривается роль UTM-систем в условиях требований к сетевой безопасности, предъявляемых бизнесом. Проводится базовый анализ «расстановки сил» на мировом и российском рынке. Под UTM-системами (универсальными шлюзами безопасности) будем подразумевать класс многофункциональных сетевых устройств, преимущественно фаерволов, которые содержат в себе множество функций, таких как антиспам, антивирус, защиту от вторжений (IDS/IPS) и контентную фильтрацию.

Введение

Риски использования сетей известны. Однако в современных условиях отказаться от последних уже не представляется возможным. Тем самым, остаётся лишь минимизировать их до приемлемого уровня.

Принципиально можно выделить два подхода в обеспечении комплексной безопасности. Первый часто называют классическим или традиционным. Его суть базируется на аксиоме «специализированный продукт лучше многофункционального комбайна».

Однако, вместе с ростом возможностей различных решений, начали проявляться и «узкие места» их совместного использования. Так, за счёт автономности каждого продукта, происходило дублирование функционального наполнения, что, в конечном счёте, сказывалось на быстродействии и итоговой стоимости не в лучшую сторону. Кроме того, не было гарантий, что различные решения от различных производителей будут «мирно соседствовать» друг с другом, а не конфликтовать. Это, в свою очередь, также порождало дополнительные трудности для внедрения, управления и обслуживания систем. Наконец, вставал вопрос взаимодействия различных решений между собой (обмен информацией для выстраивания «общей картины», корреляция событий и т.п.) и удобства управления ими.

С точки зрения бизнеса, любое решение должно быть эффективным не только в практическом аспекте. Важно, чтобы оно, с одной стороны, позволяло снизить итоговую стоимость владения, а с другой, не увеличило сложность инфраструктуры. Поэтому вопрос появления UTM-систем, был лишь вопросом времени.

Что такое универсальные шлюзы безопасности (UTM)?

Дадим краткое описание для наиболее популярных решений.

Fortinet (есть сертификация ФСТЭК)

Компания Fortinet предлагает широкий модельный ряд устройств, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Платформы FortiGate используют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя:

  • Межсетевой экран, VPN и Traffic Shaping;
  • Систему предотвращения вторжений (IPS);
  • Антивирус/Противодействие действию вредоносных программ;
  • Интегрированный Wi-Fi контроллер;
  • Контроль приложений;
  • Защиту от утечек данных;
  • Поиск уязвимостей;
  • Поддержку IPv6;
  • Web-фильтрацию;
  • Антиспам;
  • Поддержку VoIP;
  • Маршрутизацию/коммутацию;
  • WAN-оптимизацию и web-кеширование.

Устройства получают динамические обновления от глобального исследовательского центра FortiGuard Labs. Также продукты на базе FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности.

Check Point (есть сертификация ФСТЭК)

Компания Check Point выделяет следующие преимущества для своих устройств Check Point UTM-1:

  • Проверенные технологии, пользующиеся доверием компаний из списка Fortune 500;
  • Все необходимое для защиты Вашей сети: функционал, обновления и управление безопасностью;
  • Защита сетей, систем и пользователей от множества видов атак из Интернета
  • Обеспечение конфиденциальности путем защиты удаленного доступа и связи между узлами;
  • Быстрое и простое развертывание системы безопасности и ее администрирование благодаря наличию многих функций безопасности в одном устройстве и широкой линейке устройств для компаний любого размера - от малого офиса до крупного предприятия;
  • Защита от появляющихся новых угроз при помощи службы обновлений Check Point Update Service.

Все устройства UTM могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Подробнее с техническими характеристиками можно ознакомиться .

Dell

Ещё один лидер отрасли, больше ориентированный на крупные компании, чем на средний и малый бизнес. Приобретение в 2012 компании Sonicwall благоприятно сказалось на портфеле предлагаемых решений. Все решения, от SuperMassive E10800 до TZ 100, строятся на собственной платформе Network Security SonicOS Platform и включают в себя:

  • Next-Generation Firewall;
  • Контроль приложений;
  • Глубокое исследование пакетов (в том числе и зашифрованных с помощью SSL);
  • Организация VPN и SSL VPN;
  • Антивирус;
  • Веб-фильтрация;
  • Система предотвращения вторжений (IPS).

Подробнее с техническими характеристиками можно ознакомиться .

WatchGuard (есть сертификат ФСТЭК)

В линейке UTM компания WatchGuard представлена устройствами Firebox X на базе многоуровневой архитектуры Intelligent Layered Security. Архитектура состоит из шести слоев защиты, взаимодействующих друг с другом:

  • «Внешние службы безопасности» - предлагают технологии, расширяющие защиту сети за межсетевой экран;
  • «Целостность данных» - проверяет целостность пакетов и их соответствие протоколам;
  • «VPN» - проверяет зашифрованные внешние соединения организации;
  • Межсетевой экран с динамическим анализом ограничивает трафик от источников, до тех пунктов назначения и портов, которые разрешены в соответствии с политикой безопасности;
  • «Глубокий анализ приложений» - обеспечивает их соответствие с уровнем приложений модели ISO, отсекает опасные файлы по шаблону или по типу файла, блокирует опасные команды и преобразует данные для избежания утечки;
  • «Безопасность содержимого» - анализирует и упорядочивает трафик для соответствующего приложения. Примером этого являются технологии, основанные на применении сигнатур, службы блокирования спама и фильтрации URL.

Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный пропускается внутрь сети.

В системе также используются собственные:

  • Антивирус/система предотвращения вторжений на шлюзе;
  • WebBlocker;
  • SpamBlocker.

Подробнее с техническими характеристиками можно ознакомиться .

Sophos (есть сертификат ФСТЭК)

Модельный ряд устройств компании представлен линейкой UTM xxx (от младшей модели UTM 100 до старшей UTM 625). Основные отличия заключаются в пропускной способности.

Решения включают ряд интегрированных сетевых приложений:

  • DPI межсетевой экран;
  • Система обнаружения вторжений и веб-фильтрация;
  • Безопасность и защита электронной почты
  • Контент-фильтры;
  • Антивирусный контроль трафика;
  • Сетевой сервис (VLAN, DNS, DHCP, VPN);
  • Отчетность.

Решения позволяют обеспечить безопасность и защиту сетевых сегментов и сетевых сервисов в телекоммуникационной инфраструктуре SOHO, SME, Enterprise, ISP и обеспечить контроль и тонкую очистку IP-трафика на сетевом уровне. уровнях приложений (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Анти-вирус, Анти-спам).

Подробнее с техническими характеристиками можно ознакомиться .

NETASQ

Компания NETASQ, входящая в корпорацию EADS, специализируется на создании межсетевых экранов оборонного класса для надёжной защиты сетей любого масштаба. UTM-устройства NETASQ имеют сертификаты НАТО и Евросоюза, а также соответствуют классу EAL4+ «Общих критериев оценки защищенности информационных технологий».

В преимущества своих продуктов компания выделяет:

  1. NETASQ Vulnerability Manager;
  2. Антиспам с фильтрацией рассылок;
  3. Интеграцию с «Антивирусом Касперского»;
  4. Фильтрацию URL с непрерывным обновлением из облака;
  5. Фильтрацию внутри SSL/TLS;
  6. VPN-решения с аппаратным ускорением;

В портфеле компании присутствуют как аппаратные, так и виртуальные UTM-экраны (серия U и серия V соответственно). Серия V сертифицирована Citrix и VMware. Серия U, в свою очередь, имеет внушительное время наработки на отказ (MTBF) - 9-11 лет.

Подробнее с техническими характеристиками можно ознакомиться .

Cisco (есть сертификат ФСТЭК)

Компания предлагает решения как для крупного (Cisco ASA ХХХХ Series), так и для малого/среднего бизнеса (Cisco Small Business ISA ХХХ Series). Решения поддерживают функции:

  • Контроля приложений и поведения приложений;
  • Веб-фильтрации;
  • Защиты от ботнетов;
  • Защиты от интернет-угроз в режиме, максимально приближенному к реальному времени;

Также обеспечивается:

  • Поддержка двух сетей VPN для связи между офисами и партнерами, с расширением до 25 (ASA 5505) или 750 (ASA 5520) сотрудников
  • Поддержка от 5 (ASA 5505) до 250 (ASA 5550) пользователей локальной сети из любой точки

Подробнее с техническими характеристиками можно ознакомиться .

Juniper Networks

Функциональное направление UTM поддерживают линейки устройств SRX Series и J Series.

В основные преимущества относят:

  • Всестороннюю многоуровневую защиту, включающую защиту от вредоносного ПО, IPS, фильтрацию URL-адресов, контентную фильтрацию и анти-спам;
  • Контроль и защиту приложений с применением политик на основе пользовательских ролей для противодействия атакам на приложения и сервисы Web 2.0;
  • Предустановленные, быстро подключаемые инструменты UTM;
  • Минимальные затраты на приобретение и содержание защищённого шлюза в рамках единого производителя защитного комплекса.

Решение состоит из нескольких компонент:

  • Антивирус. Защищает сеть от вредоносніх программ, вирусов, шпионских программ, червей, троянов и других атак, а также от почтовых и веб-угроз, которые могут подвергнуть риску бизнес предприятия и корпоративные активы. В основе встроенной в UTM системы защиты от вредоносных программ лежит антивирусное ядро «Лаборатории Касперского».
  • IPS . Применяются различные методы детектирования, в т.ч. выявление аномалий протокола и трафика, контекстные сигнатуры, распознавание SYN-флуда, спуфинг-мошенничества, а также обнаружение бэкдоров.
  • AppSecure . Ориентированный на приложения (application-aware) комплекс сервисов по обеспечению безопасности, который анализирует трафик, предоставляет широкие возможности мониторинга приложений (application visibility), обеспечивает применение правил сетевого экрана для приложений, позволяет контролировать использование приложений и защищает сеть.
  • Улучшенная фильтрация веб-трафика (Enhanced Web Filtering, EWF) обеспечивает защиту от потенциально вредоносных веб-сайтов несколькими способами. Технология использует 95 категорий URL-адресов, что позволяет организовать их гибкий контроль, помогает администраторам отслеживать сетевую активность и обеспечивает выполнение корпоративных политик использования веб-ресурсов. В работе EWF применяется оперативный, осуществляемый в режиме реального времени репутационный анализ на базе сети последнего поколения, которая проверяет на наличие вредоносного кода более 40 млн. веб-сайтов в час. EWF также ведёт совокупный учёт опасности для всех URL-адресов – как категоризированных, так и некатегоризированных, позволяя компаниям отслеживать и/или блокировать сайты с плохой репутацией.
  • Антиспам.

Подробнее с техническими характеристиками можно ознакомиться .

Выводы

Российский рынок UTM-систем определённо представляет интерес, как для производителей, так и для потенциальных покупателей. Однако в силу устоявшихся «традиций», производителям приходится вести одновременную «битву» как на фронте сертификации и выстраивания партнёрского канала, так и на ниве маркетинга и продвижения.

Так, можно уже сегодня наблюдать, как практически все из рассмотренных компаний ведут работу над переводами материалов на русский язык, обзаводятся новыми партнёрами, а также проводят сертификацию своих решений. К примеру, в 2012 году Dell учредила отдельную компанию Dell Russia специально для российского рынка (компания не будет заниматься даже «ближайшими соседями» - Украиной и Беларусью). Отечественные разработчики тоже не стоят на месте, развивая свои решения. Примечательно, что многие производители (как отечественные, так и зарубежные) интегрируют сторонние модули в свои продукты. Показательным в этом плане является антивирусный модуль: различные UTM-системы используют ClamAV, Антивирус Касперского, Avira AV, Dr.Web и.т.д.

Тем не менее, вывод очевиден: российский рынок рассматривается всерьёз и на долгосрочную перспективу. Пока отступать не планирует никто, а значит, впереди нас ждут борьба за место под отечественным солнцем. Ведь «№1 в Мире» - это совсем не то же самое, что «№1 в России».

ВРАГ У ВОРОТ
ОБЗОР ПОПУЛЯРНЫХ UTM-РЕШЕНИЙ
Современный интернеттаит в себе множество угроз, и львиную долю рабочего времени админам приходится тратить на обеспечение безопасности сети. Появившись на IT-рынке, многофункциональные устройства защиты UTM сразу привлекли внимание специалистов безопасности, поскольку сочетают в себе несколько модулей защиты с простотой развертывания и управления.

ЧТО ТАКОЕ UTM?
Предприятиям необходимо надежное и простое в управлении средство для защиты от сетевых и вирусных атак, спама и для организации безопасного обмена данными. Особенно остро стоит вопрос в сетях малого и среднего бизнеса, где часто нет технической и финансовой возможности для развертывания разнородных систем безопасности. Да и подготовленных специалистов в таких организациях обычно не хватает. Именно для этих условий были разработаны многофункциональные многоуровневые сетевые устройства, получившие название UTM (Unified Threat Management, унифицированное устройство защиты). Выросшие из межсетевых экранов UTM сегодня объединяют функции нескольких решений: файрвол с DPI (Deep Packet Inspection), систему защиты от вторжений (IDS/IPS), антиспам, антивирус и контентную фильтрацию. Часто такие устройства имеют возможности организации VPN , аутентификации пользователей, балансировки нагрузки, учета трафика и другие. Устройство класса «все в одном» с единой.консолью настроек можно быстро ввести в работу, а в последующем так же легко обновлять все функции или добавлять новые. От специалиста требуется лишь понимание, что и как надо защищать. Цена UTM, как правило, ниже, чем стоимость нескольких приложений и/или устройств.
Рынок UTM достаточно большой и показывает ежегодный прирост на 25-30% (постепенно вытесняя «чистый» firewall ), практически все крупные игроки уже представили свои решения, как аппаратные, так и программные. Какое из них использовать, это часто вопрос вкуса и доверия к разработчику, также важна адекватная поддержка и, конечно же, специфические условия. Единственный момент — следует выбрать надежный и производительный сервер с учетом планируемой нагрузки, ведь теперь одна система будет выполнять несколько проверок, что потребует дополнительных ресурсов. При этом нужно быть внимательным: в характеристиках UTM-решений обычно указывается пропускная способность межсетевого экрана, а возможности IPS, VPN и других компонентов зачастую на порядок ниже. Сервер UTM является единой точкой доступа, отказ которой фактически оставит организацию без интернета, поэтому разнообразные возможности по восстановлению также лишними не будут. Аппаратные реализации часто имеют дополнительные сопроцессоры, используемые для обработки некоторых видов данных, вроде шифрования или анализа контекста, позволяющие снять нагрузку с основного CPU. Зато программную реализацию можно установить на любой ПК, с возможностью дальнейшего апгрейда любого компонента. В этом плане интересны орепБоигсе-решения (Untangle, pfSense, Endian и другие), позволяющие существенно сэкономить на ПО. Большинство из этих проектов предлагают также и коммерческие версии с продвинутыми возможностями и техподдержкой.

Калифорнийская компания Fortinet, основанная в 2000 году, сегодня является одним из крупнейших поставщиков UTM-устройств, ориентированных на разную нагрузку — от небольшого офиса (FortiGate-ЗО) до центров обработки данных (FortiGate-5000). Устройства FortiGate представляют собой аппаратную платформу, обеспечивающую защиту от сетевых угроз. Платформа оснащена межсетевым экраном, IDS/IPS, антивирусной проверкой трафика, антиспамом, веб-фильтром и контролем приложений. Некоторые модели поддерживают функции DLP, VoIP, шейпингтрафика, WAN-оптимизацию, отказоустойчивость, аутентификацию пользователя для доступа к сетевым сервисам, PKI и другие. Механизм активных профилей позволяет обнаружить нетипичный трафик (с автоматизацией реакции на такое событие). Антивирус может проверять файлы любых размеров, в том числе и в архивах, сохраняя при этом высокий уровень производительности. Механизм веб-фильтрации позволяет установить доступ более чем к 75 категориям вебсайтов, указать квоты, в том числе в зависимости от времени суток. Например, доступ к развлекательным порталам можно разрешить только в нерабочее время. Модуль контроля приложений обнаруживаеттипичный трафик (Skype, P2P, IM и тому подобное) вне зависимости от порта, правила traffic shaping указываются для отдельных приложений и категорий. Зоны безопасности и виртуальные домены позволяют разбить сеть на логические подсети. Некоторые модели имеют интерфейсы коммутатора LAN второго уровня и WAN-интерфейсы, поддерживается маршрутизация по протоколам RIP, 0SPF и BGP. Шлюз может быть настроен в одном из трех вариантов: прозрачный режим, статический и динамический NAT, что позволяет безболезненно внедрить FortiGate в любую сеть. Для защиты точек доступа используется специальная модификация с Wi-Fi — FortiWiFi. Чтобы охватить системы (ПК под управлением Windows, смартфоны Android), которые работают вне доверенной сети, на них может устанавливаться программа-агент FortiClient, включающий в себя полный комплект защиты (firewall, антивирус , 5SL и IPsec VPN , IPS, веб-фильтр, антиспам и многое другое). Для централизованного управления несколькими устройствами Fortinet и анализа журналов событий используются FortiManager и FortiAnalyzer.
Кроме веб- и терминального интерфейса, для базовой настройки FortiGate/FortiWiFi можно использовать программу FortiExplorer (доступна в версии для Win и Mac OS X), предлагающую доступ к GUI и CLI (команды напоминают Cisco). Одна из фишек FortiGate — специализированный набор микросхем FortiASIC, которые обеспечивают анализ контента и обработку сетевого трафика и позволяют в реальном времени обнаруживать сетевые угрозы, не влияя на производительность сети. На всех устройствах используется специализированная операцион-ка — FortiOS.

Check Point UTM-1
ПЛАТФОРМА: Check Point UTM-1 САЙТ ПРОЕКТА: rus.checkpoint.com ЛИЦЕНЗИЯ: платная РЕАЛИЗАЦИЯ: аппаратная Компания Check Point предлагает три линейки устройств класса UTM: UTM-1, UTM-1 Edge (удаленные офисы) и SafeOOffice (небольшие компании). Решения содержат все необходимое для защиты сети: файрвол, IPS, антивирусный шлюз, антиспам, средства построения SSL VPN и удаленного доступа. Межсетевой экран умеет различать трафик, присущий большинству приложений и сервисов (более 200 протоколов), администратор может легко заблокировать доступ к IM, Р2Р-сетям или Skype. Обеспечивается защита веб-приложений и URL-фильтр, в базе данных Check Point содержится несколько миллионов сайтов, доступ к которым можно легко блокировать. Антивирус проверяет потоки HTTP/FTP/SMTP/P0P3/IMAP, не имеет ограничений на размер файлов и умеет работать с архивами. Модели UTM-1 с литерой W выпускаются со встроенной точкой доступа Wi-Fi. В IPS используются различные методы обнаружения и анализа: сигнатуры уязвимостей, анализ протоколов и поведения объектов, выявление аномалий. Механизм анализа умеет вычленять потенциально опасные запросы и данные, поэтому тщательно проверяется всего 10% трафика, остальной проходит без дополнительных проверок. Это позволяет снизить нагрузку на систему и повысить эффективность работы UTM. Антиспам-система использует несколько технологий — IP-репутацию, анализ содержимого, черный и белый списки. Поддерживается динамическая маршрутизация OSPF, BGP и RIP, несколько методов аутентификации пользователей (пароль, RADIUS, SecurelD и другие), предлагается свой сервер DHCP. В решении используется модульная архитектура, так называемые Software Blades (программные блейды) позволяют при необходимости расширить функционал, обеспечивая требуемый уровень безопасности и стоимости. Так, можно дооснастить шлюз блейдами Web Security (обнаружение и защита веб-инфраструктуры), VoIP (защита VoIP), Advanced Networking, Acceleration & Clustering (максимальная производительность и доступность в разветвленных средах). Например, технологии Web Application Firewall и Advanced Streaming Inspection, применяемые в Web Security, позволяют в реальном времени обрабатывать контекст, даже если он разбит на несколько ТСР-пакетов, подменять заголовки, скрывая данные об используемых приложениях, перенаправлять пользователя на страницу с детальным описанием ошибки.
Удаленное управление возможно средствами веб и Telnet/
SSH. Для централизованных настроек нескольких устройств может применяться Check Point SmartCenter, используемая в нем технология Security Management Architecture позволяет управлять всеми элементами Check Point, включенными в политику безопасности. Возможности SmartCenter расширяются при помощи дополнительных модулей, обеспечивающих визуализацию политик, интеграцию с LDAP, обновления, отчеты и прочее. Все обновления UTM получают централизованно при помощи сервиса Check Point Update Service.

ZyWALL 1000
ПЛАТФОРМА: ZyWALL 1000 САЙТ ПРОЕКТА: zyxel.ru ЛИЦЕНЗИЯ: платная РЕАЛИЗАЦИЯ: аппаратная Большинство шлюзов безопасности, выпускаемых ZyXEL, из-за их возможностей можно смело отнести к UTM, хотя по официальному классификатору сегодня в этой линейке насчитывается пять моделей ZyWALL USG 50/100/300/1000/2000, ориентированных на небольшие и средние сети (до 500 пользователей). В терминологии ZyXEL такие устройства называются «Центры сетевой безопасности». Так, ZyWALL 1000 представляет собой скоростной шлюз доступа, предназначенный для решения задач сетевой безопасности и управления трафиком. Включает потоковый антивирус Касперского, IDS/IPS, контентную фильтрацию и защиту от спама (Blue Coat и Commtouch), контроль полосы пропускания и VPN (IPsec, SSL и L2TP over IPsec VPN ). К слову, при покупке стоит обратить внимание на прошивку — международная или для России. В последней из-за ограничений таможенного союза для туннелей IPsec VPN и SSL VPN используется ключ DES 56 бит. Политики доступа основываются на нескольких критериях (IP, пользователь и время). Средства контентной фильтрации позволяют легко ограничить доступ к сайтам определенной тематики и работу некоторых программ IM, P2P, VoIP, mail и прочих. Система IDS использует сигнатуры и защищает от сетевых червей, троянов, бэкдоров, DDoS и эксплойтов. Технология обнар
ужения аномалий }

© Copyright 2024, https://qzoreteam.ru