UTM-luokan verkkoturvajärjestelmät. Verkkojulkaisu korkeasta teknologiasta

Juuri tämän tuloksen antaa Intel Corporationin tilaama tutkimus, johon osallistui yli 1 000 suurten ja keskisuurten eurooppalaisten yritysten IT-osastojen johtajaa. Kyselyn tarkoituksena oli tunnistaa alan asiantuntijoita eniten huolestuttava ongelma. Vastaus oli melko odotettua, yli puolet vastaajista mainitsi verkkoturvallisuuden ongelman, joka vaatii välitöntä ratkaisua. Myös muut tutkimustulokset ovat odotettavissa. Esimerkiksi verkon turvallisuustekijä johtaa muiden tietotekniikan alan ongelmien ohella; sen merkitys on kasvanut 15 % viiden vuoden takaiseen tilanteeseen verrattuna.
Tutkimustulosten mukaan korkeasti koulutetut IT-asiantuntijat käyttävät yli 30 % ajastaan ​​tietoturvaongelmien ratkaisemiseen. Tilanne suuryrityksissä (yli 500 työntekijää) on vielä huolestuttavampi - noin neljännes vastaajista käyttää puolet ajastaan ​​näiden ongelmien ratkaisemiseen.

Uhkien ja suojan tasapaino

Valitettavasti verkkoturvallisuuskysymys liittyy erottamattomasti modernin televiestinnän perustekniikoihin. Kävi vain niin, että IP-protokollaperhettä kehitettäessä etusijalle asetettiin koko verkon luotettavuus. Näiden protokollien ilmestymisajankohtana verkkoturvallisuus varmistettiin täysin eri tavoilla, joita oli yksinkertaisesti epärealistinen käyttää globaalin verkon yhteydessä. Voit valittaa äänekkäästi kehittäjien lyhytnäköisyydestä, mutta tilannetta on lähes mahdotonta muuttaa radikaalisti. Nyt sinun täytyy vain pystyä suojautumaan mahdollisilta uhilta.
Tämän taidon pääperiaatteen tulisi olla verkon turvallisuuteen kohdistuvien mahdollisten uhkien ja vaaditun suojan tason välillä. Turvakustannusten ja toteutuneiden uhkien aiheuttamien mahdollisten vaurioiden kustannusten välillä on oltava vertailukelpoisia.
Nykyaikaisille suurille ja keskisuurille yrityksille tieto- ja televiestintätekniikoista on tullut liiketoiminnan perusta. Siksi he osoittautuivat herkimmiksi uhkien vaikutuksille. Mitä suurempi ja monimutkaisempi verkko on, sitä enemmän sen suojaaminen vaatii. Lisäksi uhkien luomisen kustannukset ovat suuruusluokkaa pienemmät kuin niiden neutraloimisen kustannukset. Tämä tilanne pakottaa yritykset punnitsemaan huolellisesti eri uhkien mahdollisten riskien seurauksia ja valitsemaan sopivia suojautumiskeinoja vaarallisimpia vastaan.
Tällä hetkellä suurimmat uhat yritysten infrastruktuurille syntyvät toimista, jotka liittyvät luvattomaan sisäisten resurssien käyttöön ja verkon normaalin toiminnan estämiseen. Tällaisia ​​uhkia on melko paljon, mutta jokainen niistä perustuu teknisten ja inhimillisten tekijöiden yhdistelmään. Esimerkiksi haittaohjelman tunkeutuminen yritysverkkoon voi johtua paitsi siitä, että verkonvalvoja ei laiminlyö turvallisuussääntöjä, vaan myös yrityksen työntekijän liiallisesta uteliaisuudesta, joka päättää hyödyntää houkuttelevaa roskapostilinkkiä. postia. Siksi sinun ei pitäisi toivoa, että jopa parhaista turvallisuusalan teknisistä ratkaisuista tulee ihmelääke kaikkiin vaivoihin.

UTM-luokan ratkaisut

Turvallisuus on aina suhteellinen käsite. Jos sitä on liikaa, itse suojattavan järjestelmän käyttäminen tulee huomattavasti vaikeammaksi. Siksi järkevä kompromissi on ensimmäinen valinta verkon turvallisuuden varmistamisessa. Venäjän standardien mukaan keskisuurille yrityksille luokkapäätökset voivat hyvinkin auttaa tällaista valintaa UTM (Unified Threat Management tai United Threat Management), sijoitetaan monitoimisiksi verkko- ja tietoturvalaitteiksi. Nämä ratkaisut ovat ytimenään ohjelmisto- ja laitteistojärjestelmiä, joissa yhdistyvät eri laitteiden toiminnot: palomuuri, tunkeutumisen havainnointi- ja estojärjestelmä (IPS) sekä virustorjuntayhdyskäytävän (AV) toiminnot. Usein näiden kompleksien tehtävänä on ratkaista lisätehtäviä, kuten reititys, kytkentä tai VPN-verkkojen tukeminen.
Usein UTM-ratkaisujen tarjoajat tarjoavat ratkaisuja pienille yrityksille. Ehkä tämä lähestymistapa on osittain perusteltu. Mutta silti maamme pienyritysten on helpompaa ja halvempaa käyttää Internet-palveluntarjoajansa turvapalvelua.
Kuten kaikilla yleisratkaisuilla, UTM-laitteilla on hyvät ja huonot puolensa. Ensimmäiset sisältävät kustannus- ja aikasäästöjä toteutuksessa verrattuna samantasoisen suojauksen järjestämiseen erillisistä turvalaitteista. UTM on myös valmiiksi tasapainotettu ja testattu ratkaisu, joka ratkaisee helposti monenlaisia ​​tietoturvaongelmia. Lopuksi tämän luokan ratkaisut eivät ole niin vaativia teknisen henkilöstön pätevyystasolle. Kuka tahansa asiantuntija voi hoitaa niiden asennuksen, hallinnan ja ylläpidon.
UTM:n suurin haitta on se, että mikä tahansa universaalin ratkaisun toiminnallisuus on usein vähemmän tehokas kuin erikoisratkaisun sama toiminnallisuus. Siksi turvallisuusasiantuntijat käyttävät mieluummin yksittäisten tuotteiden integrointiin perustuvia ratkaisuja, kun vaaditaan korkeaa suorituskykyä tai korkeaa turvallisuustasoa.
Tästä haitasta huolimatta UTM-ratkaisut ovat tulossa kysytyiksi monissa organisaatioissa, jotka eroavat toisistaan ​​suuresti mittakaavaltaan ja toiminnan tyypeiltään. Rainbow Technologiesin mukaan tällaiset ratkaisut otettiin onnistuneesti käyttöön esimerkiksi yhden kodinkoneiden verkkokaupan palvelimen suojaamiseksi, joka joutui säännöllisesti DDoS-hyökkäyksiin. UTM-ratkaisu mahdollisti myös yhden autotilan postijärjestelmän roskapostin määrän vähentämisen merkittävästi. Paikallisten ongelmien ratkaisemisen lisäksi meillä on kokemusta UTM-ratkaisuihin perustuvien turvajärjestelmien rakentamisesta panimoyhtiön keskuskonttorin ja sen sivukonttoreiden hajautettuun verkkoon.

UTM-valmistajat ja heidän tuotteet

Venäjän UTM-luokan laitteiden markkinat muodostuvat vain ulkomaisten valmistajien ehdotuksista. Valitettavasti yksikään kotimainen valmistaja ei ole vielä pystynyt tarjoamaan omia ratkaisujaan tähän laiteluokkaan. Poikkeuksena on Eset NOD32 Firewall -ohjelmistoratkaisu, jonka yrityksen mukaan venäläiset kehittäjät ovat luoneet.
Kuten jo todettiin, UTM-ratkaisut voivat Venäjän markkinoilla kiinnostaa lähinnä keskisuuria yrityksiä, joiden yritysverkostossa on jopa 100-150 työpaikkaa. Katsauksessa esitettäviä UTM-laitteita valittaessa päävalintakriteerinä oli sen suorituskyky eri toimintatiloissa, mikä saattoi varmistaa mukavan käyttökokemuksen. Valmistajat määrittävät usein palomuuri-, IPS-tunkeutumisenesto- ja AV-virussuojaustilojen suorituskykyvaatimukset.

Ratkaisu Check Point kutsutaan UTM-1 Edge ja on yhtenäinen turvalaite, joka yhdistää palomuurin, tunkeutumisenestojärjestelmän, virustorjuntayhdyskäytävän sekä VPN- ja etäkäyttötyökalut. Ratkaisun ohjaimiin sisältyvä palomuuri toimii useiden sovellusten, protokollien ja palveluiden kanssa, ja siinä on myös liikenteen estomekanismi, joka ei selvästikään sovi yrityssovellusten luokkaan. Esimerkiksi pikaviestintä (IM) ja vertaisliikenne (P2P). Virustentorjuntayhdyskäytävän avulla voit valvoa haittakoodia sähköpostiviesteissä, FTP- ja HTTP-liikenteessä. Tässä tapauksessa tiedostojen kokoa ei ole rajoitettu ja arkistotiedostot puretaan "lennossa".
UTM-1 Edge -ratkaisussa on edistyneet ominaisuudet VPN-verkoissa työskentelyyn. OSPF dynaaminen reititys ja VPN-asiakasyhteydet ovat tuettuja. UTM-1 Edge W -malli on saatavana sisäänrakennetulla IEEE 802.11b/g WiFi -tukiasemalla.
Kun tarvitaan laajamittaisia ​​käyttöönottoja, UTM-1 Edge integroituu saumattomasti Check Point SMARTin kanssa yksinkertaistaakseen tietoturvan hallintaa huomattavasti.

Cisco Company perinteisesti kiinnittää entistä enemmän huomiota verkkoturvallisuuteen ja tarjoaa laajan valikoiman tarvittavia laitteita. Tarkastelua varten päätimme valita mallin Cisco ASA 5510, joka keskittyy yrityksen verkon kehän turvallisuuden varmistamiseen. Tämä laite on osa ASA 5500 -sarjaa, joka sisältää modulaariset UTM-luokan suojausjärjestelmät. Tämän lähestymistavan avulla voit mukauttaa turvajärjestelmän tietyn yrityksen verkon toiminnan erityispiirteisiin.
Cisco ASA 5510:ssä on neljä pääsarjaa - palomuuri, VPN-työkalut, tunkeutumisenestojärjestelmä sekä virus- ja roskapostintorjuntatyökalut. Ratkaisu sisältää lisäkomponentteja, kuten Security Manager -järjestelmän laajan yritysverkon hallintainfrastruktuurin luomiseen sekä Cisco MARS -järjestelmän, joka on suunniteltu valvomaan verkkoympäristöä ja reagoimaan tietoturvaloukkauksiin reaaliajassa.

Slovakian Eset yhtiö toimittaa ohjelmistopaketin Eset NOD32 Firewall UTM-luokka, joka sisältää yrityksen palomuuritoimintojen lisäksi Eset NOD32 -virustorjuntajärjestelmän, sähköpostin (spam) ja verkkoliikenteen suodatustyökalut, IDS- ja IPS-verkkohyökkäysten havaitsemis- ja estojärjestelmät. Ratkaisu tukee VPN-verkkojen luomista. Tämä kompleksi on rakennettu Linuxia käyttävälle palvelinalustalle. Laitteen ohjelmisto-osa on kehitetty kotimainen yritys Leta IT, jota valvoo Esetin Venäjän edustusto.
Tämän ratkaisun avulla voit seurata verkkoliikennettä reaaliajassa ja tukee sisällön suodatusta verkkoresurssien luokkien mukaan. Tarjoaa suojan DDoS-hyökkäyksiä vastaan ​​ja estää porttien tarkistusyritykset. Eset NOD32 Firewall -ratkaisu sisältää tuen DNS-palvelimille, DHCP:lle ja kanavan kaistanleveyden muutosten hallinnan. SMTP- ja POP3-postiprotokollien liikennettä ohjataan.
Tämä ratkaisu sisältää myös mahdollisuuden luoda hajautettuja yritysverkkoja VPN-yhteyksien avulla. Samalla tuetaan erilaisia ​​verkon yhdistämis-, todennus- ja salausalgoritmeja.

Fortinet yritys tarjoaa koko perheen laitteita FortiGate UTM-luokka, jonka ratkaisut pystyvät tarjoamaan verkkosuojauksen säilyttäen samalla korkean suorituskyvyn sekä luotettavan ja läpinäkyvän yrityksen tietojärjestelmien reaaliaikaisen toiminnan. Valitsimme tarkasteluksi malli FortiGate-224B, jonka tarkoituksena on suojata 150-200 käyttäjän yritysverkon kehää.
FortiGate-224B-laitteet sisältävät palomuuritoiminnot, VPN-palvelimen, verkkoliikenteen suodatuksen, tunkeutumisen estojärjestelmät sekä virus- ja roskapostisuojauksen. Tässä mallissa on sisäänrakennettu Layer 2 LAN-kytkin ja WAN-liitännät, mikä eliminoi ulkoisten reititys- ja kytkentälaitteiden tarpeen. Tätä tarkoitusta varten tuetaan reititystä RIP-, OSPF- ja BGP-protokollia käyttäen sekä käyttäjän todennusprotokollia ennen verkkopalvelujen tarjoamista.

SonicWALL Company tarjoaa laajan valikoiman UTM-laitteita, joista ratkaisu sisällytettiin tähän katsaukseen NSA 240. Tämä laite on sarjan juniorimalli, joka on tarkoitettu käytettäväksi keskisuurten yritysten ja suuryritysten sivukonttoreiden yritysverkon turvajärjestelmänä.
Tämä linja perustuu kaikkien suojakeinojen käyttöön mahdollisia uhkia vastaan. Näitä ovat palomuuri, tunkeutumissuojajärjestelmä, virustentorjunta- ja vakoiluohjelmien torjuntayhdyskäytävät. Verkkoliikenne suodatetaan 56 sivustoluokkien mukaan.
SonicWALL pitää yhtenä ratkaisunsa kohokohdista syväskannauksen ja saapuvan liikenteen analysoinnin tekniikan. Suorituskyvyn heikkenemisen välttämiseksi tämä tekniikka käyttää rinnakkaista tietojenkäsittelyä moniprosessoriytimessä.
Tämä laite tukee VPN:ää, siinä on edistyneet reititysominaisuudet ja se tukee erilaisia ​​verkkoprotokollia. SonicWALLin ratkaisu pystyy myös tarjoamaan korkean tietoturvatason, kun VoIP-liikennettä palvellaan SIP- ja H.323-protokollia käyttäen.

Tuotesarjasta WatchGuard-yhtiö ratkaisu valittiin tarkastettavaksi Firebox X550e, joka on asemoitu edistyneillä toiminnallisuuksilla verkkoturvallisuuden varmistavaksi järjestelmäksi, joka on tarkoitettu käytettäväksi pienten ja keskisuurten yritysten verkoissa.
Tämän valmistajan UTM-luokan ratkaisut perustuvat suojausperiaatteeseen sekaverkkohyökkäyksiä vastaan. Tämän saavuttamiseksi laitteisto tukee palomuuria, hyökkäystentorjuntajärjestelmää, virus- ja roskapostiyhdyskäytäviä, verkkoresurssien suodatusta sekä vakoiluohjelmien torjuntajärjestelmää.
Tämä laite käyttää yhteissuojauksen periaatetta, jonka mukaan verkkoliikennettä, joka on tarkistettu tietyllä kriteerillä yhdellä suojaustasolla, ei tarkisteta samalla kriteerillä toisella tasolla. Tämä lähestymistapa mahdollistaa laitteiden korkean suorituskyvyn.
Toisena ratkaisunsa etuna valmistaja kutsuu tukea Zero Day -teknologialle, joka takaa turvallisuuden riippumattomuuden allekirjoitusten läsnäolosta. Tämä ominaisuus on tärkeä, kun ilmaantuu uudentyyppisiä uhkia, joita ei ole vielä torjuttu tehokkaasti. Tyypillisesti "haavoittuvuuden ikkuna" kestää useista tunteista useisiin päiviin. Zero Day -teknologiaa käytettäessä haavoittuvuusikkunan negatiivisten seurausten todennäköisyys pienenee huomattavasti.

Yritys ZyXEL tarjoaa UTM-luokan palomuuriratkaisunsa, joka on tarkoitettu käytettäväksi jopa 500 käyttäjän yritysverkoissa. Tämä ZyWALL 1050 ratkaisu suunniteltu rakentamaan verkon suojausjärjestelmä, joka sisältää täyden virussuojauksen, tunkeutumisen eston ja tuen virtuaalisille yksityisille verkkoille. Laitteessa on viisi Gigabit Ethernet -porttia, jotka voidaan konfiguroida käytettäväksi WAN-, LAN-, DMZ- ja WLAN-liitäntöinä verkkokokoonpanosta riippuen.
Laite tukee VoIP-sovellusliikenteen siirtoa SIP- ja H.323-protokollien kautta palomuuri- ja NAT-tasolla sekä pakettipuhelinliikenteen siirtoa VPN-tunneleissa. Samalla varmistetaan hyökkäyksiä ja uhkia ehkäisevien mekanismien toiminta kaikentyyppiselle liikenteelle, mukaan lukien VoIP-liikenne, virustorjuntajärjestelmän toiminta täydellä allekirjoitustietokannalla, sisällön suodatus 60 sivustokategorialle ja roskapostisuojaus.
ZyWALL 1050 -ratkaisu tukee erilaisia ​​yksityisten verkkotopologioita, toimii VPN-keskittäjätilassa ja yhdistää virtuaaliverkot vyöhykkeiksi, joilla on yhtenäiset suojauskäytännöt.

UTM:n tärkeimmät ominaisuudet

Asiantuntijan mielipide

Dmitri Kostrov, MTS OJSC:n yrityskeskuksen teknologisen suojan osaston projektijohtaja

UTM-ratkaisujen kattavuus koskee pääasiassa pieniä ja keskisuuria yrityksiä luokiteltuja yrityksiä. Itse Unified Threat Management (UTM) -konsepti erillisenä verkkoresurssien suojaamiseen tarkoitettuna laiteluokkana otettiin käyttöön kansainvälisen viraston IDC:n toimesta, jonka mukaan UTM-ratkaisut ovat monitoimisia ohjelmisto- ja laitteistojärjestelmiä, joissa yhdistyvät eri laitteiden toiminnot. Tyypillisesti näitä ovat palomuuri, VPN, verkon tunkeutumisen havainnointi- ja estojärjestelmät sekä virus- ja roskapostiyhdyskäytävä- ja URL-suodatustoiminnot.
Todella tehokkaan suojan saavuttamiseksi laitteen tulee olla monitasoinen, aktiivinen ja integroitu. Samaan aikaan monilla tietoturvatuotteiden valmistajilla on jo melko laaja valikoima UTM:ään liittyviä tuotteita. Järjestelmän käyttöönoton riittävä yksinkertaisuus sekä all-in-one-järjestelmä tekevät näiden laitteiden markkinoista varsin houkuttelevia. Omistuskustannukset ja sijoitetun pääoman tuotto näiden laitteiden käyttöönoton yhteydessä vaikuttavat erittäin houkuttelevilta.
Mutta tämä UTM-ratkaisu on kuin "sveitsiläinen veitsi" - jokaiseen tilanteeseen löytyy työkalu, mutta seinään rei'ittämiseen tarvitaan oikea pora. On myös mahdollista, että suojan syntyminen uusia hyökkäyksiä vastaan, allekirjoitusten päivittäminen jne. ei ole yhtä nopea, toisin kuin yksittäisten laitteiden tuki "klassisessa" yritysverkon suojausjärjestelmässä. Ongelmana on myös yksi vikakohta.

Viime aikoina maailmassa on tullut yhä suositumpia niin sanotuista UTM-laitteista, jotka yhdistävät koko joukon tietoturvatoimintoja yhteen laitteistojärjestelmään. Ymmärtääksemme paremmin näitä tuotteita ja ymmärtääksemme niiden etuja perinteisiin ratkaisuihin verrattuna käännyimme Rainbow Technologiesin puoleen. Dejan Momcilovic, Rainbowin kumppaniosaston johtaja, vastaa kysymyksiimme.


Dejan Momcilovic, Rainbowin kumppanisuhteiden päällikkö



Aleksei Dolya: Voitko kertoa meille UTM-tuotteista (Unified Threat Management) yleisesti? Mitä ne ovat ja mihin niitä käytetään?

Dejan Momcilovic: Viime aikoina tiedotusvälineet käyttävät tietoturvasta puhuttaessa yhä enemmän uutta termiä - UTM-laitteet. Unified Threat Management (UTM) -konseptin erillisenä verkkoresurssien suojaamiseen tarkoitettuna laiteluokkana esitteli IT-markkinoita tutkiva kansainvälinen virasto IDC. Luokituksensa mukaan UTM-ratkaisut ovat monitoimisia ohjelmisto- ja laitteistojärjestelmiä, joissa yhdistyvät eri laitteiden toiminnot: palomuuri, verkkotunkeutumisen havainnointi- ja estojärjestelmä sekä virustorjuntayhdyskäytävän toiminnot.
UTM-laitteita käytetään verkkoresurssien turvajärjestelmän rakentamiseen helposti, nopeasti ja tehokkaasti. Ne ovat erityisen suosittuja pk-yritysten (Small and Medium Business) keskuudessa helppokäyttöisyytensä ja kustannustehokkuutensa vuoksi.
Jotta laitetta voidaan kutsua täysimittaiseksi UTM:ksi, sen on oltava aktiivinen, integroitu ja monikerroksinen. Eli sen on suoritettava seuraavat kolme toimintoa. Varmista ensin monitasoinen suojaus verkossa. Toiseksi, suorita virustentorjuntasuodattimen, tunkeutumisen estojärjestelmän ja vakoiluohjelmien torjuntasuojauksen toiminnot verkkoyhdyskäytävän tasolla. Kolmanneksi suojaa vaarallisilta verkkosivustoilta ja roskapostilta. Lisäksi jokainen toiminto on vastuussa tietyistä toiminnoista. Esimerkiksi monitasoinen suojaus tarjoaa aktiivisen ja syvällisen datavirran analyysin ja välittää tietoa epäilyttävästä liikenteestä eri laitemoduuleille, jotka havaitsevat liikenteen poikkeavuuksia, analysoivat isäntäkäyttäytymistä ja tiedostojen allekirjoitusten tarkistusta.
Meidän tulisi myös keskittyä suojaamiseen vaarallisilta verkkosivustoilta ja roskapostilta. Yrityksen työntekijöiden hallitsematon liikkuminen Internetin kautta lisää vakoiluohjelmien, troijalaisten ja monien virusten aiheuttamaa tartunnan todennäköisyyttä. Lisäksi tuottavuus heikkenee, verkon kapasiteetti pienenee ja yritys voi jopa joutua vastaamaan lain eteen tietyistä rikkomuksista. URL-suodatuspalvelun avulla voit estää sivustot, joilla on vaarallista tai sopimatonta sisältöä. Voit järjestää pääsyn verkkoresursseihin viikonpäivän, osaston tarpeiden tai yksittäisten käyttäjien toiveiden mukaan. Mitä tulee roskapostiin, se voi täyttää sähköpostipalvelimen kokonaan, ylikuormittaa verkkoresursseja ja vaikuttaa negatiivisesti työntekijöiden tuottavuuteen. Se voi myös sisältää erilaisia ​​vaarallisia hyökkäyksiä, kuten viruksia, sosiaalista manipulointia tai tietojenkalastelua. Käyttämällä erityistä roskapostin estopalvelua voit tehokkaasti pysäyttää tarpeettoman liikenteen verkkoyhdyskäytävässä ennen kuin se tulee verkkoon ja aiheuttaa vahinkoa.


Aleksei Dolya: Mikä on UTM-ratkaisujen etu verrattuna muihin tietoturvatuotteisiin?

Dejan Momcilovic: Voit ostaa ja asentaa yksittäisiä laitteita, kuten: palomuuri, virustorjuntayhdyskäytävä, tunkeutumisen estojärjestelmä jne. Tai voit käyttää yhtä laitetta, joka suorittaa kaikki nämä toiminnot. Erillisten järjestelmien käyttöön verrattuna UTM-kompleksin kanssa työskentelyllä on useita etuja. Ensinnäkin taloudellinen hyöty. Integroidut järjestelmät, toisin kuin monikerroksiset tietoturvaratkaisut, jotka on rakennettu useilla eri laitteilla, käyttävät paljon vähemmän laitteistoa. Tämä näkyy lopullisissa kustannuksissa. Täysin integroitu ratkaisu voi sisältää palomuurin, VPN:n, monikerroksisen suojauksen, virustentorjuntasuodattimen, tunkeutumisen eston ja vakoiluohjelmien torjuntajärjestelmät, URL-suodattimen sekä keskitetyt valvonta- ja hallintajärjestelmät.
Toiseksi verkkoyhdyskäytävään kohdistuvien hyökkäysten pysäyttäminen keskeyttämättä työnkulkua. Kerrostettu lähestymistapa välttää katastrofin estämällä verkkohyökkäykset siellä, missä ne yrittävät päästä verkkoon. Koska kerrokset suorittavat suojauksen yhdessä, tietyllä kriteerillä tarkastettua liikennettä ei tarkisteta uudelleen muilla tasoilla samalla kriteerillä. Siksi liikenteen nopeus ei laske ja nopeudelle herkät sovellukset ovat edelleen käytettävissä.
Kolmanneksi asennuksen ja käytön helppous. Integroidut järjestelmät, joissa on keskitetty hallinta, tekevät laitteiden ja palveluiden määrittämisestä ja hallinnasta helppoa. Tämä yksinkertaistaa huomattavasti ylläpitäjien työtä ja vähentää käyttökustannuksia. Mahdollisuus asentaa ja ottaa käyttöön järjestelmiä helposti ohjattujen toimintojen, optimaalisten oletusasetusten ja muiden automaattisten työkalujen avulla poistaa monia teknisiä esteitä verkon turvajärjestelmän nopealta luomiselta.
UTM-järjestelmien ja perinteisten ratkaisujen välillä on toinenkin tärkeä ero. Tosiasia on, että allekirjoituspohjaiset ratkaisut ovat olleet tietoturvaarsenaalin tukipilari useiden vuosien ajan ja käyttävät tunnettujen mallien tietokantaa havaitakseen ja estääkseen haitallisen liikenteen ennen kuin se pääsee verkkoon. Nämä järjestelmät tarjoavat suojan uhkia ja turvallisuuskäytäntörikkomuksia vastaan, kuten troijalaisilta, puskurin ylivuodoilta, haitallisen SQL-koodin tahattomalta suorittamiselta, pikaviestipalveluilta ja point-to-point-viestinnältä (käytetään Napsterissa, Gnutellassa ja Kazaassa).
Samanaikaisesti epäillyn uhan tunnistamisen ja tunnistamisen jälkeen voi kestää useista tunteista useisiin viikkoihin, ennen kuin vastaavat allekirjoitustiedostot luodaan ja ne ovat ladattavissa. Tämä "viive" luo haavoittuvuusikkunan (kuva 1), jonka aikana verkot ovat avoinna hyökkäyksille:



Riisi. 1. "Hyökkäyksen elinkaari ja haavoittuvuusikkuna"


UTM-laitteissa monikerroksinen suojaus toimii yhdessä allekirjoituspohjaisten ratkaisujen ja muiden palveluiden kanssa ja tarjoaa tehokkaamman suojan kehittyneitä uhkia vastaan, joita ilmaantuu hälyttävästi.


Aleksei Dolya: Mitä UTM-ratkaisuja yrityksesi tarjoaa? Mitä toimintoja ne suorittavat?

Dejan Momcilovic: Rainbow Technologies on amerikkalaisen WatchGuard-yhtiön jakelija Venäjällä ja IVY-maissa. Maailmankuulun analyyttisen toimiston IDC:n mukaan WatchGuard on johtava UTM-laitteiden myynti SMB-yrityksille Yhdysvalloissa ja Euroopassa (vuoden 2005 tiedot). Markkinoillemme toimitetaan Firebox X -sarja UTM-laitteita, jotka on suunniteltu sekä suurille yrityksille että pienille yrityksille.
Firebox X Edge on palomuuri ja VPN-päätepiste pienyrityksille. Se on suunniteltu etätoimistoille ja mobiilikäyttäjille ja suojaa yrityksen resursseja etäkäyttäjien "tahattomilta uhilta", joita syntyy verkkoa käytettäessä.



Firebox X Edge


WatchGuardin Firebox X Core on UTM-laitteiden lippulaivasarja, joka tarjoaa Zero-Day Protection -suojauksen uusia ja tuntemattomia uhkia vastaan ​​ennen niiden ilmaantumista ja havaitsemista. Verkkoon tuleva liikenne tarkistetaan useilla tasoilla, minkä ansiosta virukset, madot, vakoiluohjelmat, troijalaiset ja sekalaiset uhat estetään aktiivisesti ilman allekirjoituksia.

Firebox X Peak tarjoaa UTM-suojauksen laajemmille verkoille ja tarjoaa palomuurin suorituskyvyn jopa 1 Gt.


Aleksei Dolya: Miten UTM-tuotteesi eroavat kilpailijoiden UTM-tuotteista?

Dejan Momcilovic: Nykyään vain ulkomaisten valmistajien UTM-laitteet ovat edustettuina Venäjällä. Lisäksi useimmat heistä esittelevät laitteitaan ja kutsuvat niitä UTM:ksi yksinkertaisesti yhdistävät itsenäisten verkon turvalaitteiden (kuten palomuuri, virustorjuntayhdyskäytävä, tunkeutumisen havainnointi-/estojärjestelmä) toiminnallisuuden yhdessä tapauksessa yhtenäiseen valvonta- ja hallintajärjestelmään. . Edellä mainittujen kiistattomien etujen lisäksi tällä lähestymistavalla on myös vakavia haittoja:

Yhteistä alustaa käyttävät yksittäiset laitteet kuluttavat suuren määrän laskentaresursseja, mikä lisää vaatimuksia tällaisen ratkaisun laitteistokomponentille, mikä lisää kokonaiskustannuksia.

Muodollisesti yhdeksi laatikoksi yhdistetyt yksittäiset laitteet ovat olennaisesti toisistaan ​​riippumattomia eivätkä vaihda niiden läpi kulkevan liikenteen analyysituloksia. Tämä tarkoittaa, että verkkoon tulevan tai sieltä poistuvan liikenteen on läpäistävä kaikki laitteet, ja ne on usein tarkastettava päällekkäin. Tämän seurauksena laitteen läpi kulkevan liikenteen nopeus laskee jyrkästi.

Edellä mainitun laitteen yksittäisten toimintalohkojen välisen vuorovaikutuksen puutteen vuoksi todennäköisyys, että mahdollisesti vaarallinen liikenne pääsee verkkoon, kasvaa.

WatchGuardin UTM-ratkaisut perustuvat ILS (Intelligent Layered Security) -arkkitehtuuriin, joka eliminoi luetellut muiden UTM-ratkaisujen puutteet. Katsotaanpa tarkemmin ILS:n toimintaperiaatteita. Tämä arkkitehtuuri on WatchGuardin Firebox X UTM-laitteiden linjan ytimessä ja tarjoaa tehokkaan suojan kasvaville yrityksille. Tasojen välisen dynaamisen vuorovaikutuksen avulla ILS varmistaa turvallisuuden säilyttäen samalla laitteen optimaalisen suorituskyvyn.
ILS-arkkitehtuuri koostuu kuudesta suojakerroksesta (kuva 2), jotka ovat vuorovaikutuksessa keskenään. Tämän ansiosta epäilyttävä liikenne tunnistetaan ja estetään dynaamisesti, kun taas normaali liikenne sallitaan verkon sisällä. Tämän avulla voit torjua sekä tunnettuja että tuntemattomia hyökkäyksiä ja tarjota maksimaalisen suojan pienin kustannuksin.



Riisi. 2. "Älykäs kerrosturva ja UTM-arkkitehtuuri"


Jokainen suojakerros suorittaa seuraavat toiminnot:

1. Ulkoiset tietoturvapalvelut ovat vuorovaikutuksessa sisäisen verkon suojauksen kanssa (työasemien virustorjunta jne.).

2. Tietojen eheyden tarkistuspalvelu tarkistaa laitteen läpi kulkevien pakettien eheyden ja näiden pakettien yhteensopivuuden siirtoprotokollien kanssa.

3. VPN-palvelu tarkistaa liikenteestä, kuuluuko se organisaation salattuihin ulkoisiin yhteyksiin.

4. Dynaaminen tilallinen palomuuri rajoittaa liikenteen lähteisiin ja kohteisiin määritetyn suojauskäytännön mukaisesti.

5. Syväsovellusanalyysipalvelu katkaisee vaaralliset tiedostot kuvioiden tai tiedostotyyppien mukaan, estää vaaralliset komennot ja muuntaa tietoja välttääkseen kriittisten tietojen vuotamisen.

6. Sisällönvarmistuspalvelu käyttää allekirjoituksiin, roskapostin estoon ja URL-suodatukseen perustuvia tekniikoita.

Kaikki nämä suojauskerrokset ovat aktiivisesti vuorovaikutuksessa toistensa kanssa ja välittävät yhden kerroksen liikenteen analysoinnista saatua dataa kaikille muille kerroksille. Mikä sallii:

1. Vähennä UTM-laitteen laskentaresurssien käyttöä ja pienennä laitteistovaatimuksia vähentämällä kokonaiskustannuksia.

2. Saavuta minimaalinen hidastuminen liikenteen kulkemisessa UTM-laitteen läpi, koska ei suorita kaikkia, vaan vain tarvittavia tarkistuksia.

3. Ei vain torju tunnettuja uhkia, vaan tarjoa myös suojaa uusia, vielä tunnistamattomia hyökkäyksiä vastaan.


Aleksei Dolya: Mitä teknistä tukea UTM-tuotteidesi käyttäjät saavat?

Dejan Momcilovic: Kaikkien WatchGuard-ratkaisujen lähtökohtana on verkon kehäturvallisuuden jatkuva tuki korkeimmalla tasolla, joka saavutetaan LiveSecurity-sähköisen palvelun avulla. Tilaajille tarjotaan säännöllisesti ohjelmistopäivityksiä, teknistä tukea, asiantuntijasuosituksia, toimenpiteitä uusien hyökkäysmenetelmien mahdollisten vahinkojen estämiseksi jne. Kaikki Firebox X -tuotteet toimitetaan ilmaisella 90 päivän LiveSecurity-palvelun tilauksella, joka on ylivoimaisesti edullisin. kattava IT-alan teknisen etätuen ja -palveluiden järjestelmä.
LiveSecurity koostuu useista moduuleista. Näitä ovat puolestaan: reaaliaikainen tekninen tuki, ohjelmistotuki ja -päivitykset, koulutus ja opastus sekä erityisviestit LiveSecurity Broadcasts (nopeat ilmoitukset uhista ja niiden torjuntakeinot).



Firebox X


Aleksei Dolya: Kuinka paljon UTM-ratkaisusi maksavat ja kuinka paljon niiden käyttö maksaa vuosittain? Mistä voin ostaa tuotteitanne?

Dejan Momcilovic: Emme tee yhteistyötä loppukäyttäjien kanssa, koska meillä ei ole vähittäismyyntirakennetta - tämä on kauppapolitiikkamme. Voit ostaa WatchGuard Firebox X UTM -laitteita kumppaneiltamme - järjestelmäintegraattoreilta tai jälleenmyyjiltä, ​​joiden luettelo on verkkosivustolla http://www.rainbow.msk.ru. Heiltä saat myös tietoa näiden laitteiden vähittäismyyntihinnoista.


Aleksei Dolya: Mitkä ovat ennusteenne UTM-laitteiden myynnistä maassamme?

Dejan Momcilovic: UTM-laitteiden myynti kasvaa kaikkialla maailmassa. Eikä markkinamme ole poikkeus. Vuoteen 2002 verrattuna UTM-laitesegmentti kasvoi 160 % vuoteen 2005 mennessä (IDC:n maailmanlaajuisen markkinatutkimuksen mukaan). Tämä luku kertoo erittäin nopeasta kasvusta, ja huolimatta siitä, että Venäjän markkinat ovat merkittävästi jäljessä Yhdysvalloista ja Euroopasta, ennustamme myös siellä UTM-laitteiden suosion merkittävää kasvua lähitulevaisuudessa.


Aleksei Dolya: Kiitos, että käytit aikaasi ja vastasit kaikkiin kysymyksiimme. Onnea ja kaikkea hyvää!

Ei kauan sitten Rainbow Technologies, WatchGuard Technologiesin jakelija Venäjällä ja IVY-maissa, ilmoitti uuden Firebox X e-Series -sarjan UTM-laitteiden ilmestymisestä kotimarkkinoille. Organisaatiot kohtaavat nyt monimutkaisia ​​ja jatkuvasti muuttuvia uhkaryhmiä, jotka muokkaavat turvallisen verkon määritelmää. WatchGuardin uusimman sukupolven Unified Threat Management (UTM) -laitteet tarjoavat yksinkertaisen ratkaisun tähän ongelmaan yhdistämällä keskeiset suojausominaisuudet yhdeksi, edulliseksi ja erittäin älykkääksi laitteeksi.

Mikä on UTM?

UTM on uusi suunta tietoturvamarkkinoilla. UTM-laitteissa yhdistyvät palomuuri, VPN-yhdyskäytävä ja monia lisäominaisuuksia, kuten URL-suodatus, roskapostin esto, vakoiluohjelmasuojaus, tunkeutumisen esto, virustorjuntaohjelmisto ja keskitetty hallinta- ja valvontajärjestelmä. Eli ne toiminnot, jotka perinteisesti toteutetaan erikseen. Mutta ollakseen täysimittainen UTM, laitteen on oltava aktiivinen, integroitu ja monikerroksinen. Nuo. sen pitäisi olla kokonaisvaltainen järjestelmä, ei joukko erilaisia ​​ratkaisuja, jotka on koottu yhteen tapaukseen ja jossa on keskitetyt hallinta- ja seurantatoiminnot.

Maailmankuulu analyytikkoyhtiö IDC pitää UTM-suuntaa Länsi-Euroopan turvalaitemarkkinoiden nopeimmin kasvavana ja voimakkaasti kehittyvänä segmenttinä. Markkinoillamme Rainbow Technologiesin WatchGuard-ratkaisuista suosituimpia UTM-laitteita ovat Firebox X Core e-Series. Ne on suunniteltu erikokoisille verkoille, ja ne ovat erittäin suosittuja pienten ja keskisuurten yritysten keskuudessa kustannustehokkuuden, konfiguroinnin helppouden ja korkean suojaustason vuoksi.

Firebox X Edge e-Series on ihanteellinen ratkaisu pieniin verkkoihin ja etätoimistoihin. Edgeä voidaan käyttää erillisenä laitteena verkkoturvallisuuden tarjoamiseen sekä ratkaisuna VPN-tunnelin päättämiseen. Firebox X Edge e-Series sisältää tilallisen palomuurin, VPN:n, URL-suodatuksen sekä edistyneen verkon ja liikenteen hallinnan, jotka lisäävät verkon määritysominaisuuksia. Tässä laitteessa on intuitiivinen käyttöliittymä, joka yksinkertaistaa huomattavasti käyttöönotto- ja hallintaprosesseja. Keskitetty hallinta WSM:n (WatchGuard System Manager) avulla yksinkertaistaa useista Firebox-laitteista koostuvien verkkoympäristöjen hallintaa. Nämä ovat päivitettäviä ja laajennettavia laitteita, jotka tarjoavat 100 megabitin palomuurin ja 35 megabitin VPN:n (Virtual Private Network) suorituskyvyn.

Firebox X Peak e-Series sisältää kahdeksan Gigabit Ethernet -porttia, ja sitä käytetään pääasiassa monimutkaisissa ja laajoissa verkoissa. On myös malleja, jotka tukevat kuituoptisia rajapintoja. Firebox X Peak e-Series on UTM-laitteiden sarja, jolla on suurin suorituskyky. Nämä WatchGuard-ratkaisut tarjoavat todellisen Zero Day -suojauksen ja palomuurin suorituskyvyn jopa 2 gigabittiä sekunnissa. Firebox X Peak e-Series yhdistää edistyneitä tietoturvatekniikoita edistyneisiin verkonhallintaominaisuuksiin. Se on ihanteellinen ratkaisu vaativimpienkin tietoturvakäytäntöjen tarpeisiin.

Virallisen jakelijan Rainbow Technologiesin kotimarkkinoilla esittämistä WatchGuard-ratkaisuista suosituin on Firebox X Core e-Series -sarja. Nämä UTM-laitteet on suunniteltu erikokoisiin verkkoihin ja niillä on suuri kysyntä pienten ja keskisuurten yritysten keskuudessa niiden kustannustehokkuuden, konfiguroinnin helppouden ja korkean suojaustason vuoksi. Tarkastellaan yksityiskohtaisesti niiden ominaisuuksia ja toiminnallisia ominaisuuksia.

Firebox X Core e-Series tarjoaa luokkansa kattavimman suojauksen yhdistämällä useita suojausominaisuuksia: palomuuri, VPN, Zero Day -suojaus, hyökkäysten estojärjestelmä, yhdyskäytävän virustorjunta, vakoiluohjelmien torjuntajärjestelmä, roskapostin esto ja URL-suodatus. Tämän lähestymistavan avulla voit tarjota luotettavan suojan sekaverkkohyökkäyksiä vastaan ​​sekä säästää taloudellisia ja työvoimaresursseja, jotka yleensä käytetään useiden erillisten ratkaisujen hallintaan ja määrittämiseen.

Monitasoinen suojaus

Firebox X Core e-Series perustuu monikerroksiseen ILS-arkkitehtuuriin (Intelligent Layer Security). Sen ansiosta turvatasot suojaavat yhdessä, eikä tietyn kriteerin mukaan muilla tasoilla tarkastettua liikennettä tarkasteta uudelleen saman kriteerin mukaan. Siksi tiedonsiirtonopeus ei pienene ja sille herkät sovellukset pysyvät käytettävissä.

WatchGuard ILS -arkkitehtuuri koostuu kuudesta suojauskerroksesta, jotka toimivat tiiviisti yhdessä haitallisen liikenteen havaitsemiseksi, estämiseksi ja raportoimiseksi dynaamisesti sallien samalla normaalin liikenteen kulkea läpi mahdollisimman tehokkaasti.

Tarkempaa keskustelua varten oletetaan, että taso on looginen rakennelma, joka määrittää abstraktin rajan verkon tietoturvainfrastruktuurin komponenttien välille. Näin ollen tarkastelemme jokaista tietoturvateknologiatyyppiä erillisenä kerroksena.

Kerrostettu ILS-arkkitehtuuri

ILS-moottori on tämän arkkitehtuurin aivot. Suunniteltu siten, että jokainen kerros voi hyötyä muiden tasojen tiedoista, parantaa niiden ominaisuuksia ja antaa niille mahdollisuuden jakaa tietoja niiden välillä kulkevasta liikenteestä. Se tarjoaa maksimaalisen turvallisuuden, luotettavuuden ja suorituskyvyn. Katsotaanpa, mitä kukin kerros on:

Ulkoiset turvallisuuspalvelut. Tarjoa teknologioita, jotka laajentavat suojan palomuurin ulkopuolelle, ja tietoa, joka mahdollistaa tehokkaamman loppukäyttäjän/järjestelmänvalvojan kokemuksen.

Tietojen eheys. Tarkistaa välitettävien datapakettien eheyden ja paketin yhteensopivuuden protokollan kanssa

Virtuaalinen yksityinen verkko (VPN). Tarjoaa turvallisuuden ja yksityisyyden ulkoisille yhteyksille

Palomuuri dynaamisella jäsennyksellä. Rajoittaa liikenteen vain tietoturvakäytännön sallimiin lähteisiin, kohteisiin ja portteihin.

Syvä sovellusanalyysi. Varmistaa ISO-mallin sovelluskerroksen protokollastandardien noudattamisen estämällä epäilyttävät tiedostot kuvion tai tiedostotyypin mukaan, estämällä vaaralliset komennot ja muokkaamalla tietoja kriittisten järjestelmätietojen vuotamisen välttämiseksi.

Sisällön turvallisuus. Analysoi ja rajoittaa liikennettä sisällön mukaan, sisältää lukuisia palveluita, kuten virustorjunta, tunkeutumisen estojärjestelmä, vakoilu- ja roskapostisuojaus, URL-suodatus.

Vaikka kuvatussa mallissa on kuusi tasoa ja moottoria pidetään seitsemäntenä suojaustasona, jokainen niistä sisältää monia toimintoja ja ominaisuuksia. Kaikki ovat helposti laajennettavissa sisältämään uusia tapoja torjua tuntemattomia uhkia.

Nollapäivän suojaus

Toisin kuin ratkaisuissa, jotka perustuvat pelkästään allekirjoituspohjaiseen skannaukseen, Firebox X Coressa on tekniikka, jonka avulla voit tarjota luotettavan suojan erityyppisiä hyökkäyksiä ja niiden erilaisia ​​muunnelmia vastaan ​​ilman allekirjoituksia. Vaikka muut verkot pysyvät avoimina hyökkäyksille haavoittuvuusikkunan aikana (aika, joka kuluu allekirjoitusten vapauttamiseen), Fireboxia käyttävä verkko on suojattu.

Keskitetty ohjausjärjestelmä

WSM (WatchGuard System Manager) on intuitiivinen graafinen käyttöliittymä, jota käytetään Firebox X Core-, Peak- ja Edge-linjojen UTM-ratkaisujen ominaisuuksien hallintaan. WSM tarjoaa täyden kirjauksen, vedä ja pudota VPN:n luomisen ja reaaliaikaisen järjestelmän valvonnan. Koska yksi käyttöliittymä toimii turvajärjestelmän kaikkien toimintojen hallinnassa, säästyy huomattavasti aikaa ja taloudellisia resursseja.

Asiantuntevaa ohjausta ja tukea

WatchGuard LiveSecurity Service on tällä hetkellä markkinoiden kattavin tuki- ja tukipalvelu. Tilaajille tarjotaan säännöllisesti ohjelmistopäivityksiä, teknistä tukea, asiantuntijasuosituksia, toimenpiteitä uusien hyökkäysmenetelmien aiheuttamien mahdollisten vahinkojen ehkäisemiseksi jne. Firebox X Core e-Seriesille tarjotaan ilmainen 90 päivän LiveSecurity-palvelu, joka koostuu useista moduulit. Näitä ovat puolestaan ​​reaaliaikainen tekninen tuki, ohjelmistotuki ja -päivitykset, koulutus- ja ohjekirjat sekä erikoisviestit LiveSecurity Broadcasts - nopeat ilmoitukset uhista ja niiden torjuntakeinot.

Lisäturvapalvelut

Jokainen Firebox X Core e-Series -sarjan tietoturvapalvelu toimii yhdessä sisäänrakennetun Zero Day -suojauksen kanssa luodakseen optimaalisen yhdistelmän kaikista ominaisuuksista, joita tarvitset verkkoresurssien tehokkaaseen suojaamiseen. Nämä toiminnot on integroitu täysin UTM-laitteeseen, joten lisälaitteita ei tarvita.

Kaikkien tarvittavien palvelujen tilaukset myönnetään laitetta kohti, ei käyttäjää kohti, mikä välttää ylimääräiset taloudelliset kustannukset. Jatkuvan suojauksen takaamiseksi kaikkia palveluita päivitetään jatkuvasti ja niitä voidaan hallita keskitetysti WSM-järjestelmän avulla.

Katsotaanpa tarkemmin kunkin lisäpalvelun toiminnallisia ominaisuuksia:

SpamBlocker estää jopa 97% ei-toivotuista sähköpostiviesteistä reaaliajassa.

WatchGuardin spamBlocker-suojauspalvelu käyttää Commtouch® Recurrent Pattern Detection™ (RPD) -tekniikkaa suojaamaan roskapostivirroilta reaaliajassa 99,95 %:n tarkkuudella ilman allekirjoituksia tai suodattimia.

Avainsanojen ja sähköpostin sisällön käyttämisen sijaan tämä tekniikka analysoi suuria määriä Internet-liikennettä ja laskee kunkin virtauksen toistuvan komponentin sellaisena kuin se näkyy. Jopa 500 miljoonaa viestiä käsitellään päivässä, minkä jälkeen erikoisalgoritmit laskevat, tunnistavat ja luokittelevat uudet virrat 1-2 minuutissa.

Nämä samat algoritmit erottavat roskapostin ja tavalliset viestit. SpamBlocker käyttää tätä tekniikkaa tarjotakseen reaaliaikaista suojausta roskapostihyökkäyksiä vastaan ​​vertaamalla jatkuvasti epäiltyjä roskapostiviestejä Commtouch-tunnistuskeskukseen (johon on tallennettu noin 20 000 000 näytettä) tallennettuihin viesteihin. Tällä tekniikalla on seuraavat edut:

  • Erittäin nopea vastaus uusiin streameihin;
  • Lähes nolla todennäköisyys tyypin I virheelle, mikä luonnehtii tätä palvelua alan parhaaksi normaalien viestien erottamisessa roskapostihyökkäyksistä;
  • Suuri roskapostin tunnistusprosentti – jopa 97 % ei-toivotuista sähköpostiviesteistä estetään;
  • Viestin kielen riippumattomuus. Hyödyntämällä sähköpostiliikenteen keskeisiä ominaisuuksia reaaliajassa, roskaposti estetään tehokkaasti viestien kielestä, sisällöstä tai muodosta riippumatta.

SpamBlocker tarjoaa reaaliaikaisen suojan roskapostilta, mukaan lukien phishing-hyökkäyksiltä, ​​ja ylläpitää muun verkkoliikenteen korkean suorituskyvyn, eikä tietyn sisällön, kielen tai muodon perusteella.

Gateway Antivirus/Intrusion Prevention Service ja Anti-Spyware

Järjestelmä, joka perustuu pysyvään allekirjoitusten suojaukseen yhdyskäytävässä ja joka toimii viruksia, troijalaisia, vakoiluohjelmia, verkkohyökkäyksiä, verkkoskannereita, estäviä pikaviesti- ja P2P-sovelluksia sekä muita sekalaisia ​​uhkia vastaan.

WatchGuardin tunkeutumisen estopalvelu tarjoaa sisäänrakennetun suojan hyökkäyksiä vastaan, jotka voivat sisältää ei-toivottua sisältöä, vaikka ne ovat protokollastandardien mukaisia. Allekirjoituspohjainen se on suunniteltu suojaamaan monenlaisia ​​hyökkäyksiä vastaan, mukaan lukien sivustojen välinen komentosarja, puskurin ylivuoto tai SQL-injektiot.

Tunkeutumisenestojärjestelmien käyttöön liittyvät kaksi pääongelmaa ovat nopeus ja tyypin I virheen todennäköisyys. WatchGuardin IPS-palvelun tiukka integrointi muihin ILS-kerroksiin eliminoi ne käytännössä.

Koska muut ILS-tasot estävät 70-80 % hyökkäyksistä (syvä sovellusanalyysi on erityisen tehokas), allekirjoituksia ei vaadita niiden estämiseen. Tämä vähentää allekirjoitusten kokonaismäärää ja lisää tietojenkäsittelyn nopeutta ja vähentää samalla tyypin I virheen todennäköisyyttä, mikä on verrannollinen tarkistettavan tiedon määrään ja käytettyjen allekirjoitusten määrään. WatchGuardin tunkeutumisenestojärjestelmä käyttää vain noin 1 000 allekirjoitusta saavuttaakseen vertailukelpoisen tai paremman suojan kuin joissakin muissa järjestelmissä, joissa voi olla jopa 6 000 allekirjoitusta.

Vakoiluohjelmat leviävät monilla muilla tavoilla P2P:n lisäksi, mukaan lukien upotetut tiedostot, evästeet ja ladattavat ohjelmat. Vakoiluohjelmat voivat valvoa kaikkea, mitä kirjoitat näppäimistölläsi, etsiä salasanoja ja tunnistustietoja tiedostoista ja täyttää näyttösi mainoksilla. Se myös hidastaa järjestelmiä ja syö verkkoliikennettä. WatchGuardin tunkeutumisenestopalvelu sisältää sekä allekirjoituksiin perustuvia että ainutlaatuisia tarkistustekniikoita vakoiluohjelmien estämiseksi sen elinkaaren eri vaiheissa, mukaan lukien asennuksen, viestinnän raportoinnin pääisäntäkoneen kanssa ja asennuksen jälkeisen sovellustoiminnan. Kaikki tämä tehdään joukolla toisiinsa liittyviä menettelyjä:

  • Sivustojen estäminen. Intrusion Prevention Service -moottori estää pääsyn tunnettuihin vakoiluohjelmavarastoihin tai tiedostopalvelimiin, joista vakoiluohjelmia jaetaan HTTP-istuntojen aikana.
  • Allekirjoitukseen perustuva sisällön vahvistus. Tunkeutumisenestomoottori tarkistaa jatkuvasti liikennettä jatkuvasti päivitettävän allekirjoitustietokannan avulla tunnistaakseen ja estääkseen ladattavat vakoiluohjelmat, mukaan lukien naamioitu bootstrap-ohjelmisto.
  • Pysähtyminen asennuksen aikana. Vakoiluohjelmien konfiguroimiseksi onnistuneesti se tarvitsee erityisen sovelluksen, johon on otettava yhteyttä asennustietojen siirtämiseksi ja alkuperäisten määritystietojen pyytämiseksi isännältä. Tunkeutumisenestojärjestelmä havaitsee ja estää tämän yhteyden.
  • Pysähdy työskennellessäsi. Kun tartunnan saanut kone alkaa toimia sisäisessä verkossa, vakoiluohjelma yrittää käyttää verkkoyhteyttä luodakseen viestintäkanavan lisätoimintoja varten. Tunkeutumisenestojärjestelmä havaitsee ja estää nämä prosessit, joihin voi sisältyä tietovarkauksia, lisävakoiluohjelmien asentamista ja mainontaa.

WatchGuardin tunkeutumisenestomoottori on tiiviisti yhdistetty muihin palomuuritoimintoihin ja tuottaa raportteja, jotka on integroitu täysin raportointijärjestelmään. Näin järjestelmänvalvoja voi helposti tunnistaa vakoiluohjelmien saastuttaman verkkoelementin ja poistaa sen.

WebBlocker lisää tuottavuutta ja vähentää riskejä estämällä pääsyn vaarallisiin verkkolähteisiin ja hallitsee työntekijöiden pääsyä Internetiin.

WebBlocker käyttää tietokantaa sivustoista ja ohjelmistoista maailman johtavalta verkkosuodatusyritykseltä - SurfControlilta. WebBlocker käyttää lukuisia luokkia luokitellakseen tarkemmin ja kattaakseen kattavasti koko Web-sivujen kirjon estääkseen sisällön, jonka et halua vuotavan verkkoosi. Ovat tukossa

tunnetut sivustot, jotka sisältävät vakoiluohjelmia tai ei-toivottua sisältöä, mikä auttaa suojaamaan verkkoresurssejasi; viihdesivustot estetään, mikä lisää työntekijöiden tuottavuutta.

Mukautettavien poikkeusluetteloiden, käyttäjien todentamisen ja mahdollisuuden asettaa erilaisia ​​käytäntöjä eri vuorokaudenaikoina WebBlocker parantaa tietoturvakäytäntöäsi huomattavasti.

Päivitysvaihtoehdot

Kun tarkastelet kokonaisinvestointeja, joita tarvitaan nykypäivän verkkojen laajoihin vaatimuksiin suunniteltujen tietoturvaratkaisujen käyttöönottoon, hallintaan ja päivittämiseen, käy selväksi, että Firebox X Core e-sarjan käyttäminen on taloudellisesti järkevämpää.

Kasvavien vaatimusten myötä voit helposti laajentaa UTM-laitteen ominaisuuksia. Esimerkiksi nopeuden ja suorituskyvyn lisäämiseksi laite päivitetään ostamalla erikoislisenssi. On myös mahdollisuus vaihtaa laitteistoalusta toimivampaan käyttöjärjestelmään.

käyttöjärjestelmä

Kaikissa Firebox X Core e-Series -malleissa on Fireware-käyttöjärjestelmä. Monimutkaisissa verkkoympäristöissä voi olla tarpeen päivittää edistyneempään Fireware Pro -järjestelmään, joka tarjoaa seuraavat lisäominaisuudet:

  • Liikenteen hallinta;
  • antaa luottamusta siihen, että tarvittava kaistanleveys varataan kriittisille sovelluksille;
  • Fail-safe-järjestelmä (aktiivinen/passiivinen tila);
  • Kyky rakentaa vikasietoklusteri;
  • Dynaaminen reititys (BGP, OSPF, RIP-protokollat);
  • Maksimaalinen verkon joustavuus ja toiminnan tehokkuus dynaamisesti päivitettyjen reititystaulukoiden ansiosta.

Jotta voit asentaa käyttöjärjestelmän uudelleen Firebox UTM -laitteeseen, sinun tarvitsee vain ostaa erityinen lisenssi.

Perinteisten suojaustyökalujen yhdistäminen ja muuntaminen integroiduiksi UTM-laitteiksi mahdollistaa yritysten siirtymisen uudelle, korkeammalle suojaustasolle paikallisissa verkoissaan. ILS-arkkitehtuuriin toteutettu erityisteknologiaan perustuva WatchGuard-lähestymistapa, joka mahdollistaa useiden suojakerrosten yhdistämisen lisätoimintoineen, on epäilemättä tehokas suoja kaikille: sekä jo muodostuneelle että kehittyvälle verkkoinfrastruktuurille. Täysimittaisten UTM-laitteiden, kuten WatchGuard Fireboxin, käytöstä on tulossa erityisen ajankohtainen nykyään, kun yhä kehittyneempiä uhkia ilmaantuu yhä useammin.


Unified Threat Management (UTM) -konseptin erillisenä verkkoresurssien suojaamiseen tarkoitettuna laiteluokkana esitteli globaaleja IT-markkinoita tutkiva kansainvälinen virasto IDC. UTM-ratkaisut ovat käyttöön otetun luokituksen mukaan monitoimisia ohjelmisto- ja laitteistojärjestelmiä, joissa yhdistyvät eri laitteiden toiminnot: palomuuri, verkkotunkeutumisen havainnointi- ja estojärjestelmä sekä virustorjuntayhdyskäytävän toiminnot.

Venäjän UTM-laitteiden markkinoita edustavat vain ulkomaiset valmistajat. Lisäksi jotkin yritykset esittelevät ratkaisujaan ja kutsuvat niitä UTM:ksi yksinkertaisesti yhdistävät itsenäisten verkon turvalaitteiden (kuten palomuuri, virustorjuntayhdyskäytävä, tunkeutumisen havainnointi/estojärjestelmä) toiminnallisuuden samaan koteloon yhtenäisen valvonta- ja hallintajärjestelmän kanssa. Tällaisia ​​laitteita ei voida pitää täysimittaisena UTM-järjestelmänä.

Lyhenne UTM tarkoittaa Unified Threat Managementia, joka voidaan kirjaimellisesti kääntää venäjäksi karkeasti sanottuna: yhtenäinen uhkien hallinta. Tässä artikkelissa tarkastelemme tarkasti, mitä toimintoja laitteen on suoritettava, jotta sitä voidaan pitää täysimittaisena UTM:nä, mitkä ovat tällaisten järjestelmien käytön edut ja millaisia ​​uhkia vastaan ​​ne voivat suojautua.

ILYA ROSENKRANTS, AltEl LLC:n ALTELL NEO -tuotepäällikkö, sertifioitu tietoturvaasiantuntija (Check Point Sales Professional, McAfee Sales Professional), jolla on Ciscon sertifikaatit (CCNA, CCNP, IPTX), [sähköposti suojattu]

Suojaamme verkkoja kehän varrella
Yleiskatsaus UTM-teknologioihin ALTELL NEO -ratkaisussa

UTM-laitteiden (Unified Threat Management, yhtenäiset uhkien suojaustyökalut) kehityksen historia alkoi noin 25 vuotta sitten, kun DEC keksi vuonna 1988 pakettisuodattimensa, joka toimii OSI-mallin (Open system interconnection) kolmannella tasolla ja analysoi vain paketin otsikko

Siitä tuli ensimmäinen kaupallinen "palomuuri" (FW). Tuolloin tällainen minimalistinen lähestymistapa oli täysin perusteltu olemassa olevien uhkatodellisuuksien vuoksi, minkä seurauksena tällaisista valtiottomista tarkastuspalomureista tuli olennainen osa tietoturvajärjestelmää.

Melkein rinnakkain näiden tapahtumien kanssa, vuosina 1989-1990, esiteltiin maailmalle OSI-kerroksen 4 datan kanssa toimivat palomuurit, niin sanottu tilallinen tarkastuspalomuuri. Vaikka olisi väärin luulla, että tietoturva-asiantuntijat eivät pohtineet mahdollisuutta valvoa ja suodattaa liikennettä sovellustasolla, mutta tuolloin (1990-luvun alussa) tämän menetelmän toteutus suljettiin pois laskentajärjestelmien riittämättömän suorituskyvyn vuoksi. Vasta 2000-luvun alussa laitteistoalustojen suorituskyky mahdollisti ensimmäisten kaupallisten UTM-ratkaisujen julkaisemisen.

Tällä hetkellä palomuurit, jotka ovat jo pitkään osoittaneet tehokkuutensa, ovat virustorjuntaohjelmistojen ohella yksi yleisimmistä tietojärjestelmien suojauskeinoista. Kuitenkin uudentyyppisten monimutkaisten hyökkäysten ilmaantuminen ja liikenteen kasvu sovellustasolla (IP-puhelut, suoratoistovideot, yrityspilvisovellukset) vähentävät usein perinteisten palomuurien tehokkuutta nollaan. Tällaisten uhkien riittävä torjuminen maailman johtavat IT-yritykset kehittävät uusia teknologioita, joilla pyritään tunnistamaan ja ehkäisemään eri tasoilla (viestintäkanavien kautta tapahtuvista hyökkäyksistä sovelluksiin) tapahtuvia hyökkäyksiä.

Yksi ratkaisu kuvattuun ongelmaan oli muiden erikoislaitteiden toimintojen integrointi palomuuriin, esimerkiksi verkkosuodatin ja kryptografinen yhdyskäytävä. Tuloksena oleva laitetyyppi on nimetty UTM. Myös termi "uuden sukupolven palomuurit" (NGFW, Next Generation Firewall) on tulossa suosituksi, ja se suodattaa liikennettä OSI-mallin seitsemännellä tasolla.

UTM-laitteiden aikakauden kynnyksellä (2004-2005) kaikki niiden komponentit oli jo luotu: palomuurit tilatietoisella tarkastustilassa, mekanismit suojattujen verkkojen rakentamiseksi julkisten viestintäkanavien kautta (VPN - virtuaalinen yksityinen verkko), verkkokompleksit olivat aktiivisesti käytössä. käytetty tunkeutumisen havainnointi ja esto (IDS/IPS – tunkeutumisen havainnointi/estojärjestelmä), verkkosuodattimet.

Samaan aikaan työpaikat suojattiin suojaustyökaluilla sovellustasolla (virustorjunta, roskapostin esto, tietojenkalastelu). Mutta yhden ongelman ratkaisu (vaativan tietoturvatason varmistaminen) johti muiden syntymiseen: teknisen henkilöstön pätevyysvaatimukset nousivat jyrkästi, laitteiden energiankulutus kasvoi, palvelinhuoneiden tilavuusvaatimukset kasvoivat, ja integroidun turvajärjestelmän ohjelmisto- ja laitteistoosien päivitysprosessin hallinta vaikeutui.

Lisäksi ongelmat uusien tietoturvatyökalujen integroinnissa olemassa olevaan infrastruktuuriin, joka koostuu usein eri kehittäjien tuotteista, ovat moninkertaistuneet. Tästä syystä syntyi ajatus yhdistää kaikki luetellut toiminnot yhteen laitteeseen, varsinkin kun laitteistoalustat olivat siihen mennessä saavuttaneet riittävän suorituskyvyn ja pystyivät samanaikaisesti selviytymään useista tehtävistä.

Tämän seurauksena markkinoille on ilmestynyt ratkaisuja, jotka vähentävät tietoturvan kustannuksia ja samalla lisäävät tietoturvan tasoa, koska UTM "täyte" on alun perin virheenkorjattu ja optimoitu kaikkien siihen sisältyvien toimintojen samanaikaiseen toimintaan. .

Tämän lähestymistavan kysyntää ja oikeellisuutta vahvistavat kansainvälisen tutkimusyhtiö IDC:n luvut, joiden mukaan vuoden 2014 ensimmäisellä neljänneksellä UTM-laitesegmentin kasvu oli 36,4 % (verrattuna edellisen vuoden vastaavaan ajanjaksoon). Vertailun vuoksi tietoturvalaitemarkkinoiden kokonaiskasvu samalla ajanjaksolla oli 3,4 %, ja UTM-laitteiden osuus näistä markkinoista on nyt 37 %. Samaan aikaan Firewall/VPN-segmentin liikevaihdon lasku oli 21,2 %.

Edellä mainittujen tietoturvamarkkinoiden trendien perusteella monet valmistajat esittelivät uuden vuosisadan ensimmäisen vuosikymmenen lopulla seuraavan sukupolven palomuurinsa. Näin ollen venäläinen AltEl julkaisi ALTELL NEO -tuotteen.

Samaan aikaan tietoturvaratkaisuissa eri valmistajien integroitujen järjestelmien käyttö suojatason nostamiseksi on yleistymässä: laitteistoturvatoimittajat ovat alkaneet tehdä aktiivisemmin yhteistyötä erikoistuneiden ohjelmistokehittäjien kanssa. Esimerkiksi ALTELL NEO -tuotteessa otettiin käyttöön Kaspersky Lab -teknologiat tietojen suojaamiseksi sovellustasolla: Kaspersky Anti-Virus/Anti-Spam SDK (ohjelmistokehityspaketti).

Tällä hetkellä monet markkinoiden pelaajat tarjoavat uuden sukupolven palomuurit, mukaan lukien Palo Alto, Check Point, Cisco ja Intel Security. Nykyisessä todellisuudessa, kun dollarin kurssi on erittäin epävakaa, monet asiakkaat ja ennen kaikkea valtion virastot pitävät tuonnin korvaamista mahdollisuutena täyttää viranomaisten ja sisäisten tietoturvamenettelyjen vaatimukset. Tässä tilanteessa venäläisten UTM-ratkaisujen valmistajien harkitseminen vaikuttaa loogiselta.

Katsotaanpa ALTELL NEO UTM -palomuurien päätoimintoja.

Virustorjunta/spam

Tällä hetkellä monet yritykset valitsevat UTM-laitteet suojaamaan verkon kehää, mukaan lukien kyky suodattaa saapuvat ja lähtevät sähköpostit.

Ensimmäinen venäläinen täysimittainen ratkaisu tällä alueella on korkean suorituskyvyn uuden sukupolven palomuuri ALTELL NEO. Sen arsenaali sisältää kaksi riippumatonta virus- ja roskapostintorjuntaratkaisua: ClamAV (ilmainen tuote) ja Kaspersky AV, SpamAssassin ja Kaspersky AS, vastaavasti.

UTM-laitteiden vakioominaisuudet ja toiminnot:

  • Tukee toimintaa läpinäkyvässä (loppukäyttäjälle näkymätön) tilassa.
  • DNS mustan listan tuki.
  • Tuki mustille, valkoisille ja harmaille listoille.
  • Lähettävän palvelimen DNS-tietueen olemassaolon tarkistaminen.
  • SPF (Sender Policy Framework) -tekniikka on SMTP-sähköpostin lähetysprotokollan laajennus, jonka avulla voit määrittää lähettäjän toimialueen aitouden. SPF on yksi tavoista tunnistaa sähköpostin lähettäjä ja tarjoaa lisämahdollisuuden suodattaa postivirtaa roskapostiviestien varalta. SPF:n avulla posti jaetaan "sallittuihin" ja "kiellettyihin" vastaanottajan tai lähettäjän toimialueen mukaan.
  • SURBL-palvelu (Spam URI Realtime Blocklists) on palvelu, joka ei sisällä tietoja IP-osoitteista, joista roskaposti tulee, vaan roskapostiviesteissä mainostetuista sivustoista. Koska useimmat roskapostisähköpostit (ja erityisesti tietojenkalasteluviestit) vaativat vierailemaan verkkosivustolla, ja näitä verkkosivustoja on vähemmän kuin roskapostin lähettäjien IP-osoitteita, SURBL voi toimia tehokkaammin kuin RBL - suodattaa jopa 80-90 % roskapostista väärät positiiviset ovat enintään 0,001-0,05 %.
  • Ei ole teknistä mahdollisuutta menettää viestejä suodattimeen.
  • Digitaalisten allekirjoitusten käyttö lähetetyissä kirjeissä käyttäen DKIM (DomainKeys Identified Mail) -tekniikkaa. Tämän tekniikan avulla voit vahvistaa kirjeen lähettäjän aitouden (todennus) sekä varmistaa, että sähköpostissa ei ole muutoksia sen lähetyksen aikana lähettäjältä vastaanottajalle.
  • Kehittyneet suodatustekniikat: Bayes-suodatus, Razor.

Anti-virus/anti-spam-teknologian avulla yritykset, esimerkiksi pankit, voivat noudattaa Venäjän keskuspankin vaatimuksia suojautuakseen haitallista koodia vastaan. Toisin kuin esimerkiksi STO BR IBBS ja 382-P, joissa tälle aiheelle oli varattu vain vähän tilaa, meillä on yli vuoden ajan ollut täysimittainen asiakirja: kirje 49-T, päivätty 24. maaliskuuta 2014 “Suosituksista tapahtuman järjestämiseen käyttää suojausta haitallisilta koodeilta pankkitoiminnassa." Asiakirjoissa kuvataan sekä tekniset että organisatoriset vaatimukset.

UTM-ratkaisujen käyttö virustentorjunnan kanssa antaa sekä Internet-palveluntarjoajalle mahdollisuuden tarjota tyhjennettyä liikennettä että pankin noudattaa viranomaisen suosituksia segmentoinnista ja kyvystä paikallistaa haitallisen koodin puhkeamista.

Tunkeutumisen havaitsemis- ja estojärjestelmä – IDPS

Tunkeutumisen havainnointi- ja estojärjestelmät, IDS/IPS tai IDPS (Intrusion detection/prevention system, vastaava venäläinen termi - IDS/SPV), ovat välttämätön linkki organisaation sisäisen verkon suojaamisessa. Tällaisten järjestelmien päätarkoituksena on tunnistaa tapaukset, joissa yritysverkkoon on luvaton pääsy, ja ryhtyä vastatoimiin: tietoturva-asiantuntijoiden ilmoittaminen tunkeutumisen tosiasiasta, yhteyden katkaiseminen, palomuurin konfigurointi uudelleen estämään hyökkääjän jatkotoimet.

ALTELL NEO toteuttaa useita IDPS-tekniikoita, jotka eroavat havaittujen tapahtumien tyypeistä ja tapausten tunnistamiseen käytetyistä menetelmistä. Tapahtumien valvonta- ja analysointitoimintojen lisäksi AltElin IDPS suorittaa seuraavat toiminnot:

  • Tapahtumien tietojen tallennus. Tyypillisesti tiedot tallennetaan paikallisesti, mutta ne voidaan lähettää mihin tahansa keskitettyyn lokinkeruujärjestelmään tai SIEM-järjestelmään.
  • Tietoturvahäiriöistä ilmoittaminen tietoturvajärjestelmänvalvojille. Tämän tyyppistä ilmoitusta kutsutaan hälytykseksi, ja se voidaan suorittaa useiden kanavien kautta: sähköposti, SNMP-traps, järjestelmän lokiviestit, IDPS-järjestelmänhallintakonsoli. Ohjelmoitavat reaktiot skriptien avulla ovat myös mahdollisia.
  • Raporttien luominen. Raportit luodaan yhteenvetona kaikista pyydettyjen tapahtumien tiedoista.

IPS-tekniikka täydentää IDS-tekniikkaa siinä mielessä, että se mahdollistaa uhan itsenäisen tunnistamisen, mutta myös sen onnistuneen estämisen. Tässä skenaariossa ALTELL NEO:ssa toteutettu IPS-toiminto on paljon laajempi kuin IDS ja sisältää seuraavat ominaisuudet:

  • Hyökkäyksen estäminen (turvakäytäntöä rikkovan käyttäjän istunnon lopettaminen, resurssien, isäntien, sovellusten pääsyn estäminen).
  • Suojatun ympäristön muuttaminen (verkkolaitteiden asetusten muuttaminen hyökkäyksen estämiseksi).
  • Hyökkäyksen neutralointi (esimerkiksi tartunnan saaneen tiedoston poistaminen kirjeestä ja sen lähettäminen vastaanottajalle jo puhdistettuna tai välityspalvelintilassa työskentely, eli saapuvien pyyntöjen analysointi ja datan leikkaaminen pakettien otsikoista).

Minkä tahansa tekniikan etuihin liittyy väistämättä joitain haittoja. Esimerkiksi IDPS-järjestelmä ei välttämättä aina tunnista tarkasti tietoturvahäiriötä, ja se saattaa joskus erehtyä erehtymään normaaliin liikenne-/käyttäjäkäyttäytymiseen tapahtumaksi.

Ensimmäisessä vaihtoehdossa on tapana puhua väärästä negatiivisesta (väärä negatiivinen tulos), toisessa vaihtoehdossa puhutaan vääristä positiivisista (väärä positiivinen). Mikään nykyisistä ratkaisuista ei voi täysin eliminoida FP- tai FN-tapahtumia. Siksi organisaation tulee kussakin tapauksessa itsenäisesti päättää, mikä näistä riskiryhmistä muodostaa suurimman uhan, ja sen jälkeen mukauttaa ratkaisua sen mukaan.

On olemassa erilaisia ​​tekniikoita tapausten havaitsemiseen IDPS-teknologioiden avulla. Useimmat IDPS-toteutukset käyttävät näiden tekniikoiden yhdistelmää tarjotakseen paremman uhkien havaitsemisasteen. On syytä huomata, että ALTELL NEO -laitteet toteuttavat kaikki alla kuvatut tekniikat.

Allekirjoituspohjainen sähköpostihyökkäysten havaitseminen

Allekirjoitus on kuvio, joka tunnistettuna liikenteessä tai sähköpostiviestissä yksilöi tietyn hyökkäyksen. Allekirjoitukseen perustuva hyökkäysten havaitseminen on prosessi, jossa verrataan sisältöä ratkaisuun tallennettuun allekirjoitustietokantaan. Esimerkkejä allekirjoituksista ovat:

  • pääkäyttäjän telnet-yhteys, mikä olisi tiettyjen yrityksen tietoturvakäytäntöjen vastaista;
  • saapuva sähköposti, jonka otsikko on "ilmaiset kuvat" ja jonka liitteenä on freepics.exe;
  • käyttöjärjestelmäloki koodilla 645, joka osoittaa, että isäntätarkastus on poistettu käytöstä.

Tämä menetelmä on erittäin tehokas tunnettujen uhkien havaitsemisessa, mutta erittäin tehoton hyökkäyksiä vastaan, joille ei vielä ole allekirjoituksia.

ALTELL NEO:n sisäänrakennetun virus-/roskapostintorjuntajärjestelmän avulla voit suodattaa 120 - 800 kirjettä minuutissa.

Hyökkäyksen havaitseminen epänormaalin käytöksen perusteella

Tämä menetelmä perustuu verkkoelementtien normaalin toiminnan vertaamiseen normaalista poikkeaviin tapahtumiin. Tätä menetelmää käyttävä IPS on ns. profiilit, jotka kuvastavat käyttäjien, verkkosolmujen, yhteyksien, sovellusten ja liikenteen normaalia käyttäytymistä. Nämä profiilit luodaan "harjoittelujakson" aikana tietyn ajanjakson aikana.

Esimerkiksi profiili saattaa tallentaa 13 %:n lisäyksen verkkoliikenteeseen arkipäivisin. IDPS käyttää lisäksi tilastollisia menetelmiä vertaillakseen todellisen toiminnan erilaisia ​​ominaisuuksia tiettyyn kynnysarvoon. Kun tämä kynnysarvo ylittyy, vastaava viesti lähetetään suojauksen järjestelmänvalvojan hallintakonsoliin. Profiilit voidaan luoda käyttäjien käyttäytymisanalyysistä otettujen attribuuttien perusteella, kuten lähetettyjen sähköpostien määrä, epäonnistuneiden kirjautumisyritysten määrä, palvelimen suorittimen käyttöaste tietyn ajanjakson aikana ja monet muut.

Tämän menetelmän avulla voit estää hyökkäykset, jotka ohittavat allekirjoitusanalyysin suodatuksen.

Yrityksemme käyttämä IDS/IPS uuden sukupolven ALTELL NEO -palomuurissa perustuu avoimeen Suricata-teknologiaan, jota on muokattu vastaamaan yrityksen tarpeita. Toisin kuin yleisemmässä avoimessa IDS/IPS Snortissa, Suricatalla on useita etuja, esimerkiksi sen avulla voit saavuttaa paremman suorituskyvyn rinnastamalla liikenteen prosessointia prosessoriytimien välillä ja vähemmän vääriä positiivisia.

On syytä ottaa huomioon, että IDS/IPS:n toimiminen oikein edellyttää ajantasaisia ​​allekirjoitustietokantoja. ALTELL NEO käyttää tähän tarkoitukseen avointa National Vulnerability Databasea ja Bugtraqia. Tietokannat päivitetään kahdesta kolmeen kertaan päivässä, mikä varmistaa optimaalisen tietoturvatason.

ALTELL NEO -järjestelmä voi toimia kahdessa tilassa: tunkeutumisen havainnointitilassa (IDS) ja tunkeutumisen estotilassa (IPS). Sekä IDS- että IPS-toiminnot otetaan käyttöön järjestelmänvalvojan valitsemassa laiterajapinnassa - yhdessä tai useammassa. On myös mahdollista kutsua IPS-toimintoja määritettäessä palomuurisääntöjä tietylle tarkistettavalle liikenteelle. IDS:n ja IPS:n toiminnallinen ero on, että IPS-tilassa verkkohyökkäykset voidaan estää reaaliajassa.

Turvallisuussäännöt on kehittänyt Emerging Threats -yhteisö. Säännöt perustuvat verkkoturvallisuuden asiantuntijoiden vuosien yhteiseen kokemukseen ja niitä kehitetään jatkuvasti. Säännöt päivittyvät automaattisesti (tätä varten Internet-yhteys on määritettävä ALTELL NEO:ssa). Tarvittaessa voit määrittää manuaalisen päivityksen.

Jokaiselle säännölle on asetettu prioriteetti sen hyökkäysluokan mukaan, joka perustuu käyttötiheyteen ja tärkeyteen. Vakioprioriteettitasot vaihtelevat välillä 1-3, jolloin prioriteetti 1 on korkea, prioriteetti 2 on keskitasoa ja prioriteetti 3 on matala.

Näiden prioriteettien perusteella voidaan määrittää toimenpide, jonka IDS/IPS-järjestelmä suorittaa reaaliajassa havaitessaan säännön allekirjoitusta vastaavaa verkkoliikennettä. Toiminto voi olla jokin seuraavista:

  • Alert (IDS-tila) – liikenne sallitaan ja välitetään vastaanottajalle. Tapahtumalokiin kirjoitetaan varoitus. Tämä toiminto on oletusarvo kaikille säännöille.
  • Pudotus (IPS-tila) – pakettianalyysi pysähtyy, muita vertailuja ei tehdä muiden sääntöjen noudattamisen suhteen. Paketti hylätään ja lokiin kirjoitetaan varoitus.
  • Hylkää (IPS-tila) – tässä tilassa paketti hylätään ja lokiin kirjoitetaan varoitus. Tällöin paketin lähettäjälle ja vastaanottajalle lähetetään vastaava viesti.
  • Hyväksytty (IDS- ja IPS-tila) – tässä tilassa pakettianalyysi pysähtyy, eikä järjestelmä suorita muita vertailuja muiden sääntöjen noudattamiseksi. Paketti välitetään määränpäähänsä eikä varoitusta synny.

ALTELL NEO tunkeutumisen havainnointi- ja estojärjestelmän kautta kulkevasta liikenteestä voidaan tuottaa raportteja oman suunnittelemamme ulkoisen valvonta- ja ohjausjärjestelmän (EMS) avulla. SVMiU kerää alkutiedot (hälytys) yhdestä tai useammasta ALTELL NEO -laitteesta.

ALTELL NEO tunkeutumisen havainnointi- ja estojärjestelmä toimii 80 Mbit/s nopeuksilla
jopa 3200 Mbit/s.

Web-suodatusjärjestelmä

ALTELL NEO:ssa on sisäänrakennettu web-välityspalvelinmoduuli (välittäjä) käyttäjien pyyntöjen ja World Wide Webistä vastaanotettujen välimuistitietojen suodattamiseksi.

Välittäjä voi toimia useissa tiloissa, joita voidaan yhdistää erilaisten ongelmien ratkaisemiseksi. Sovelluskontekstin perusteella erotetaan seuraavat toimintatilat:

  • vuorovaikutus asiakasohjelmiston (esimerkiksi käyttäjien verkkoselaimien) kanssa: "läpinäkyvä" ja "läpinäkymätön";
  • välityspalvelimen käyttäjän todennus: ilman todennusta, LDAP-pohjaisella todennuksella, NTLM-pohjaisella todennuksella;
  • käyttäjien pyyntöjen käsittely (sisällön URL, lähteen IP-osoite jne.): suodatuksella ja ilman;
  • käyttäjän pyyntöjen perusteella vastaanotetun verkkosisällön käsittely: välimuistilla ja ilman;
  • SSL-välityspalvelintilan ollessa käytössä ja pois käytöstä.

UTM-markkinat ovat suuret ja kasvavat, ja saatavilla on sekä laitteisto- että ohjelmistoratkaisuja. Kumpaa käyttää, on jokaisen asiantuntijan ja jokaisen organisaation päätettävissä omien mieltymystensä ja kykyjensä perusteella. Tärkeintä on, että sinulla on palvelin, jolla on sopivat parametrit, koska nyt yksi järjestelmä suorittaa useita tarkistuksia ja kuormitus kasvaa merkittävästi.

Yksi nykyaikaisten UTM-laitteiden eduista on niiden monipuolisuus, ja ALTELL NEO on hyvä esimerkki tästä lähestymistavasta. Yrityksen koosta riippuen voidaan käyttää eri luokkien ratkaisuja: pöytäkoneista 2U-palvelinjärjestelmiin, joiden suorituskyky on jopa 18,5 Gbit/s. Kaspersky Lab -teknologiat, jotka ovat ALTELL NEO:n virustorjuntatoiminnallisuuden taustalla, mahdollistavat virustorjuntatietokannan päivittämisen 10–25 kertaa päivässä. Keskimääräinen päivityskoko ei kuitenkaan yleensä ylitä 50 kt, mikä on yksi alan parhaista taajuus/koko-suhteista.


Yhteydessä

Lisää tästä aiheesta:

Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen Lataa Driver Sweeper – ohjelma ajurien poistamiseen käyttöjärjestelmästä Windows Lataa ohjelma kortin ajurien poistamiseen
Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy Heittää Sniper Elite V2:n työpöydälle Mitä tehdä, jos sniper elite 3 viivästyy
Etsitään vastaavaa kuvaa Internetistä Etsitään vastaavaa kuvaa Internetistä