Ideco — UTM-решение «из коробки. О интересных вещах из мира IT, инструкции и рецензии

В последнее время все большую популярность в мире приобретают так называемые UTM-устройства, объединяющие в одной аппаратной системе целый комплекс функций ИТ-безопасности. Чтобы лучше разобраться в этих продуктах и понять их преимущество по сравнению с обычными решениями, мы обратились к компании Rainbow Technologies. На наши вопросы отвечает Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow.

Дeян Момчилович, руководитель отдела по работе с партнерами компании Rainbow

Алексей Доля: Вы не могли бы рассказать о UTM-продуктах (Unified Threat Management) в целом? Что это такое и для чего они используются?

Дeян Момчилович: В последнее время, говоря об информационной безопасности, СМИ все чаще используют новый термин - UTM-устройства. Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим ИТ-рынок. По их классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.
UTM-устройства используются для легкого, быстрого и эффективного построения системы безопасности сетевых ресурсов. Они пользуются особой популярностью у компаний, относящихся к SMB (Small and Medium Business) благодаря простоте использования и экономичности.
Чтобы называться полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. То есть, должно выполнять следующие три функции. Во-первых, обеспечивать многоуровневую защиту в сети. Во-вторых, выполнять функции антивирусного фильтра, системы предотвращения вторжений и защиты от шпионского ПО на уровне сетевого шлюза. В-третьих, защищать от небезопасных web-сайтов и спама. При этом каждая функция отвечает за определенные операции. Например, многоуровневая защита обеспечивает активный глубокий анализ потока данных и передает информацию о подозрительном трафике различным модулям устройства, которые занимаются обнаружением аномалий в трафике, анализом поведения хостов и сигнатурным сканированием файлов.
Отдельно стоит остановиться на защите от небезопасных web-сайтов и спама. Бесконтрольное перемещение сотрудников компании по Интернету повышает вероятность заражения шпионским ПО, троянскими программами и многими вирусами. Вдобавок, снижается производительность труда, уменьшается пропускная способность сети и может даже случиться, что компании придется отвечать перед законом за определенные нарушения. Служба URL-фильтрации позволяет наложить запрет на сайты с небезопасным или нежелательным содержимым. Можно упорядочить доступ к Web-ресурсам в зависимости от дня недели, потребностей подразделения или индивидуальных запросов пользователя. Что касается спама, то он может полностью заполнить почтовый сервер, перегрузить сетевые ресурсы и отрицательно сказаться на производительности труда сотрудников. Он также может являться носителем различных видов опасных атак, включая вирусы, социальную инженерию или фишинг. При использовании выделенной службы блокирования спама, можно эффективно остановить лишний трафик на сетевом шлюзе, прежде чем он попадет в сеть и нанесет вред.


Алексей Доля: В чем проявляется преимущество UTM-решений по сравнению с другими продуктами ИТ-безопасности?

Дeян Момчилович: Можно приобрести и установить отдельные устройства, такие как: межсетевой экран, антивирусный шлюз, систему предотвращения вторжений и т.д. А можно использовать одно устройство, выполняющее все эти функции. По сравнению с использованием отдельных систем, работа с комплексом UTM имеет целый ряд преимуществ. Во-первых, финансовая выгода. Интегрированные системы, в отличие от решений многоуровневой безопасности, которые строятся с помощью множества отдельных устройств, используют намного меньше оборудования. Это отражается на итоговой стоимости. Полностью интегрированное решение может включать в себя межсетевой экран, VPN, многоуровневую систему безопасности, антивирусный фильтр, системы предотвращения вторжений и защиты от шпионского ПО, фильтр URL и системы централизованного мониторинга и управления.
Во-вторых, остановка атак на сетевом шлюзе без прерывания рабочего процесса. Многоуровневый подход позволяет избежать катастрофы, блокируя сетевые атаки там, где они пытаются проникнуть в сеть. Так как уровни осуществляют защиту совместно, то проверенный по определенному критерию трафик повторно, на других уровнях, по тому же критерию еще раз не проверяется. Поэтому скорость трафика не снижается и чувствительные к скорости приложения, остаются доступными для работы.
В-третьих, простота установки и использования. Интегрированные системы с централизованным управлением позволяют легко настраивать, а также управлять устройствами и службами. Это значительно упрощает работу администраторов и снижает операционные расходы. Возможность с легкостью установить и развернуть системы, используя помощь "мастеров", оптимальные настройки "по умолчанию" и другие автоматизированные средства, снимают многие технические барьеры на пути быстрого создания системы безопасности сети.
Есть и еще одно немаловажное отличие UTM-систем от традиционных решений. Дело в том, что решения, основанные на сигнатурах, в течение многих лет являются основой арсенала решений безопасности и используют базу данных известных шаблонов для обнаружения и блокирования вредоносного трафика прежде, чем он попадет внутрь сети. Эти системы обеспечивают защиту против таких угроз и нарушений политик безопасности как: троянские программы, переполнение буфера, случайное исполнение вредоносного SQL кода, службы мгновенных сообщений и общения типа "точка-точка" (используемого в Napster, Gnutella и Kazaa).
В то же время, после выявления и идентификации предполагаемой угрозы до создания соответствующих файлов сигнатур, доступных для скачивания, может пройти от нескольких часов до нескольких недель. Этот "лаг" создает окно уязвимости (рис.1), в течение которого сети открыты для атаки:

Рис. 1. "Жизненный цикл атаки и окно уязвимости"

В UTM-устройствах многоуровневая система безопасности работает совместно с решениями, основанными на сигнатурах и другими службами, обеспечивая более эффективную защиту от сложных угроз, которые появляются с пугающей частотой.


Алексей Доля: Какие UTM-решения представляет ваша компания? Какие функции они выполняют?

Дeян Момчилович: Rainbow Technologies является дистрибьютором американской компании WatchGuard на территории России и стран СНГ. По данным всемирно известного аналитического агентства IDC, WatchGuard является лидером по продажам UTM-устройств для SMB в США и Европе (данные 2005 года). На наш рынок поставляется линейка UTM-устройств Firebox X, рассчитанная как на крупные корпорации, так и на небольшие фирмы.
Firebox X Edge - это межсетевой экран и конечное VPN-устройство для малого бизнеса. Он предназначен для удаленных друг от друга офисов и мобильных пользователей и защищает корпоративные ресурсы от "неумышленных угроз" со стороны удаленных пользователей, возникающих при доступе в сеть.

Firebox X Edge

Firebox X Core от WatchGuard - флагманская линейка UTM-устройств, обеспечивающая Zero-Day Protection - защиту от новых и неизвестных угроз еще до их возникновения и обнаружения. Попадающий в сеть трафик проверяется на множестве уровней, благодаря чему активно блокируются: вирусы, черви, шпионское ПО, трояны и смешанные угрозы без использования сигнатур.

Firebox X Peak представляет собой UTM - защиту для более разветвленных сетей, обеспечивая пропускную способность межсетевого экрана вплоть до 1 Гб.


Алексей Доля: Чем ваши UTM-продукты отличаются от UTM-продуктов конкурентов?

Дeян Момчилович: Сегодня в России представлены UTM-устройства только иностранных производителей. Причем, большинство из них, представляя свои устройства и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Наряду с неоспоримыми преимуществами, о которых говорилось ранее, данный подход обладает и серьезными недостатками:

Отдельные устройства при использовании общей платформы потребляют большое количество вычислительных ресурсов, что приводит к повышенным требованиям к аппаратной составляющей подобного решения, тем самым, увеличивая общую стоимость.

Являясь формально объединенными в одной коробке, отдельные устройства являются, по существу, независимыми друг от друга и не обмениваются между собой результатами анализа трафика, проходящего через них. Это приводит к тому, что трафик, поступающий в сеть, или, исходящий из сети, должен проходить через все устройства, часто подвергаясь дублирующим проверкам. В результате, скорость прохождения трафика через устройство резко падает.

Благодаря отсутствию взаимодействия между отдельными функциональными блоками устройства, отмеченному выше, увеличивается вероятность попадания в сеть потенциально опасного трафика.

В основе UTM-решений компании WatchGuard лежит архитектура Intelligent Layered Security (ILS), которая позволяет избавиться от перечисленных недостатков, присущих другим UTM-решениям. Рассмотрим подробнее принципы работы ILS. Эта архитектура является сердцевиной линейки UTM-устройств Firebox X компании WatchGuard и обеспечивает эффективную защиту для развивающихся предприятий. Используя динамическое взаимодействие между уровнями, ILS обеспечивает безопасность при оптимальной производительности устройства.
Архитектура ILS состоит из шести слоев защиты (рис.2), взаимодействующих друг с другом. Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный попускается внутрь сети. Это позволяет противостоять как известным, так и неизвестным атакам, обеспечивая максимальную защиту при минимальных затратах.

Рис. 2. "Архитектура Intelligent Layered Security и UTM"

Каждый слой защиты выполняет следующие функции:

1. Службы внешней безопасности взаимодействуют с внутренней защитой сети (антивирусы на рабочих станциях и пр.).

2. Служба проверки целостности данных проверяет целостность пакетов, проходящих через устройство и соответствие этих пакетов протоколам передачи.

3. Служба работы с VPN проверяет трафик на принадлежность к зашифрованным внешним соединениям организации.

4. Межсетевой экран с динамическим анализом состояния ограничивает трафик к источникам и пунктам назначения в соответствии с настроенной политикой безопасности.

5. Служба глубокого анализа приложений отсекает опасные файлы по шаблонам или по типам файлов, блокирует опасные команды, преобразует данные для того, чтобы избежать утечки критичных данных.

6. Служба проверки содержимого использует технологии, основанные на применении сигнатур, блокировании спама и фильтрации URL.

Все эти уровни защиты активно взаимодействуют друг с другом, передавая данные, полученные при анализе трафика в одном слое всем другим слоям. Что позволяет:

1. Уменьшить использование вычислительных ресурсов UTM-устройства, и, уменьшив требования к аппаратной части, снизить общую стоимость.

2. Добиться минимального замедления прохождения трафика через UTM-устройство, благодаря проведению не всех, а только необходимых проверок.

3. Противостоять не только известным угрозам, но и обеспечивать защиту от новых, еще не выявленных атак.

Алексей Доля: Какую техническую поддержку получают пользователи ваших UTM-продуктов?

Дeян Момчилович: Основой всех решений WatchGuard является непрерывная поддержка защищенности периметра сети на самом высоком уровне, что достигается при помощи электронного сервиса LiveSecurity. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Все продукты линейки Firebox X обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая, на сегодняшний день, является наиболее полной в ИТ-индустрии системой дистанционной технической поддержки и услуг.
LiveSecurity состоит из нескольких модулей. Они, в свою очередь, включают в себя: техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства, а также специальные сообщения LiveSecurity Broadcasts (оперативное оповещение об угрозах и методах борьбы с ними).

Firebox X

Алексей Доля: Сколько стоят ваши UTM-решения и во сколько ежегодно обходится их эксплуатация? Где можно приобрести ваши продукты?

Дeян Момчилович: Мы не работаем с конечными пользователями, так как не имеем структуры розничных продаж - это наша торговая политика. Приобрести UTM-устройства WatchGuard Firebox X можно у наших партнеров - системных интеграторов или реселлеров, список которых есть на сайте http://www.rainbow.msk.ru . У них же можно получить информацию и о розничной стоимости этих устройств.


Алексей Доля: Каковы Ваши прогнозы по продажам UTM-устройств в нашей стране?

Дeян Момчилович: Во всем мире продажи UTM-устройств растут. И наш рынок - не исключение. По сравнению с 2002 годом, сегмент UTM-устройств к 2005 году вырос на 160% (по данным исследования мирового рынка агентством IDC). Эта цифра говорит об очень стремительном росте, и, несмотря на то, что российский рынок значительно "запаздывает" от США и Европы, мы также прогнозируем значительное увеличение популярности UTM-устройств и на нем уже в самое ближайшее время.


Алексей Доля: Спасибо, что уделили нам время и ответили на все вопросы. Удачи и всего хорошего!

Не так давно Rainbow Technologies — дистрибьютор компании WatchGuard Technologies на территории России и стран СНГ, объявила о появлении на отечественном рынке новой серии UTM-устройств Firebox X e-Series. В настоящее время организации сталкиваются со сложными и постоянно изменяющимися группами угроз, что изменяет само понятие «безопасная сеть». Последнее поколение устройств Unified Threat Management (UTM) от компании WatchGuard обеспечивает простое решение этой проблемы, объединяя основные функции защиты в едином, доступном, высокоинтеллектуальном устройстве.

Что такое UTM?

UTM — это новое направление на рынке средств информационной безопасности. UTM-устройства объединяют в себе межсетевой экран, VPN шлюз и много дополнительных возможностей, таких как фильтрация URL, блокировка спама, защита от шпионских программ, функция предотвращения вторжений, антивирусное программное обеспечение, система централизованного управления и контроля. То есть те функции, которые традиционно реализуются по отдельности. Но, чтобы быть полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. Т.е. это должна быть комплексная система, а не набор различных решений, собранных в одном корпусе, с функцией централизованного управления и мониторинга.

Всемирно известная аналитическая фирма IDC считает направление UTM наиболее быстрорастущим, энергично развивающимся сегментом рынка устройств безопасности для Западной Европы. На нашем рынке, среди представленных Rainbow Technologies решений WatchGuard, наиболее востребованы UTM-устройства Firebox X Core e-Series. Они рассчитаны на сети различного масштаба и пользуются большой популярностью у предприятий среднего и малого бизнеса за свою экономичность, легкость настройки и высокий уровень защиты.

Firebox X Edge e-Series — идеальное решение для малых сетей и удаленных офисов. Edge может быть использован как отдельное устройство, обеспечивающее безопасность сети, а также, как решение для терминирования тоннеля VPN. Firebox X Edge e-Series включает в себя: межсетевой экран с запоминанием состояний, VPN, фильтрацию URL, а также расширенное управление сетевыми настройками и трафиком, что позволяет увеличить возможности конфигурирования сети. Это устройство обладает интуитивно понятным интерфейсом, что значительно упрощает процессы внедрения и администрирования. Централизованное управление при помощи WSM (WatchGuard System Manager) упрощает администрирование сетевых окружений, состоящих из нескольких устройств Firebox. Это модернизируемые и расширяемые устройства, которые обеспечивают 100 мегабитную пропускную способность межсетевого экрана и 35-ти мегабитную пропускную способность VPN (Virtual Private Network).

Firebox X Peak e-Series выпускается с восемью гигабитными Ethernet-портами и используется преимущественно в сложных, разветвленных сетях. Также есть модели, поддерживающие оптоволоконные интерфейсы. Firebox X Peak e-Series — линейка UTM-устройств с наибольшей производительностью. Эти решения WatchGuard обладают настоящей защитой Zero Day и пропускной способностью межсетевого экрана до 2-х гигабит в секунду. Объединяя передовые технологии в области обеспечения безопасности с расширенными возможностями управления сетью, Firebox X Peak e-Series является идеальным решением, отвечающим запросам наиболее требовательных политик безопасности.

Среди решений WatchGuard, представленных на отечественном рынке официальным дистрибьютором — компанией Rainbow Technologies, самой популярной является линейка Firebox X Core e-Series. Эти UTM-устройства рассчитаны на сети различного масштаба и пользуются большим спросом у предприятий среднего и малого бизнеса за свою экономичность, легкость настройки и высокий уровень защиты. Рассмотрим детально их возможности и функциональные характеристики.

Firebox X Core e-Series обеспечивают наиболее полную безопасность в своём классе, объединяя в себе множество средств защиты: межсетевой экран, VPN, защиту Zero Day, систему предотвращения атак, шлюзовой антивирус, систему противодействия шпионскому ПО, антиспам и URL-фильтрацию. Такой подход позволяет обеспечить надежную защиту от смешанных сетевых атак, а также сэкономить финансовые и трудовые ресурсы, которые обычно уходят на управление и настройку целого комплекса отдельных решений.

Многоуровневая защита

Firebox X Core e-Series базируется на многоуровневой архитектуре ILS (Intelligent Layer Security). Благодаря ей, уровни безопасности осуществляют защиту совместно, и проверенный на других уровнях по определенному критерию трафик, по тому же критерию повторно не проверяется. Поэтому скорость передачи данных не снижается и чувствительные к ней приложения остаются доступными для работы.

Архитектура WatchGuard ILS состоит из шести слоев безопасности, плотно взаимодействующих друг с другом, что позволяет динамически обнаруживать, блокировать и сообщать о вредоносном трафике, при этом пропуская нормальный трафик с максимально возможной эффективностью.

Для дальнейших рассуждений примем, что уровень — это логическая конструкция, которая определяет абстрактную границу между составляющими инфраструктуры сетевой безопасности. Таким образом, мы будем рассматривать каждый вид технологии обеспечения безопасности как отдельный уровень.

Многоуровневая архитектура ILS

Движок ILS является мозгом этой архитектуры. Спроектированный так, чтобы дать возможность каждому слою воспользоваться информацией от других слоев, усилить их возможности и дать возможность обменяться информацией между собой о проходящем между ними трафике, он обеспечивает максимальную защиту, надежность и производительность. Давайте взглянем на то, что из себя представляет каждый слой:

Внешние службы безопасности. Обеспечивают технологии по расширению защиты вне межсетевого экрана и информацию, которая дает возможность более эффективной работы конечного пользователя/администратора.

Целостность данных. Проверяет целостность проходящих пакетов данных и соответствие пакета протоколу

Виртуальная частная сеть (VPN). Обеспечивает безопасность и конфиденциальность внешних соединений

Межсетевой экран с динамическим разбором. Ограничивает трафик только теми источниками, назначениями и портами, которые разрешены политикой безопасности.

Глубокий анализ приложений. Обеспечивает соответствие стандартам протокола уровня приложений модели ISO, блокируя подозрительные файлы по шаблону или типу файла, блокируя опасные команды и изменяя данные, чтобы избежать утечки критически важной системной информации.

Безопасность содержимого. Анализирует и ограничивает трафик в соответствие с содержимым, включает в себя многочисленные службы, такие как: антивирус, систему предотвращения вторжений, защиту от шпионского ПО и спама, фильтрацию URL.

Хотя в описываемой модели выделены шесть уровней, а движок принимается за седьмой уровень безопасности, каждый из них включает в себя множество функционалов и возможностей. Все они легко расширяемы, чтобы включать в себя новые способы противостояния неизвестным угрозам.

Защита Zero Day

В отличие от решений, которые опираются исключительно на сканирование, основанное на сигнатурах, Firebox X Core обладает технологией, позволяющей обеспечивать надежную защиту от различных видов атак и их всевозможных вариаций, не нуждаясь в сигнатурах. Пока остальные сети остаются открытыми для атак в период действия окна уязвимости (время, требующееся для выпуска сигнатур), сеть, в которой используется Firebox, продолжает оставаться защищенной.

Система централизованного управления

WSM (WatchGuard System Manager) — интуитивно понятный графический интерфейс пользователя, используемый для управления возможностями UTM-решений линеек Firebox X Core, Peak и Edge. WSM предоставляет полное логирование, создание VPN в режиме «drag-and-drop», мониторинг системы в режиме реального времени. Поскольку, для управления всеми функциями системы безопасности работает единый интерфейс, происходит значительная экономия временных и финансовых ресурсов.

Экспертное сопровождение и поддержка

WatchGuard LiveSecurity Service — наиболее полная служба поддержки и сопровождения, предлагаемая сегодня на рынке. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Firebox X Core e-Series обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая состоит из нескольких модулей. Они, в свою очередь, включают в себя техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства по эксплуатации, а также специальные сообщения LiveSecurity Broadcasts — оперативное оповещение об угрозах и методах борьбы с ними.

Дополнительные службы безопасности

Каждая служба безопасности на Firebox X Core e-Series работает совместно со встроенной защитой Zero Day, создавая оптимальное сочетание всех необходимых возможностей для эффективной защиты сетевых ресурсов. Эти функции полностью интегрированы в UTM-устройство, благодаря чему не требуется дополнительного оборудования.

Подписки на все необходимые службы оформляются на само устройство, а не на каждого пользователя, что позволяет избежать дополнительных финансовых расходов. Для предоставления непрерывной защиты все службы постоянно обновляются и имеют возможность централизованного управления при помощи системы WSM.

Рассмотрим подробнее функциональные характеристики каждой дополнительной службы:

SpamBlocker блокирует до 97 % нежелательной электронной почты в режиме реального времени.

Служба защиты spamBlocker фирмы WatchGuard используют технологию фирмы Commtouch ® Recurrent Pattern Detection™ (RPD) для защиты от потоков спама в режиме реального времени с точностью 99,95 % без использования сигнатур и фильтров.

Вместо того, чтобы работать с ключевыми словами и содержимым электронной почты, эта технология анализирует большие объемы трафика интернета, чтобы вычислить повторяющийся компонент для каждого потока, как только он появляется. В день обрабатываются до 500 миллионов сообщений, после чего специальные алгоритмы вычисляют, идентифицируют и классифицируют новые потоки в течении 1-2 минут.

Эти же алгоритмы разделяют спам и нормальные сообщения. SpamBlocker использует эту технологию для предоставления защиты от спамерских атак в режиме реального времени, постоянно сравнивая сообщения, подозреваемые на спам с хранящимися в центре обнаружения Commtouch (в нем храниться порядка 20000000 образцов). Эта технология несет в себе следующие преимущества:

• Чрезвычайно быстрый отклик на новые потоки;
• Практически нулевая вероятность ошибки первого рода, что характеризует эту службу, как лучшую в отрасли по показателю разделения нормальных сообщений от спамерских атак;
• Большой процент определения спама — блокируется до 97 % нежелательной электронной почты;
• Независимость от языка сообщений. Благодаря использованию основных характеристик почтового трафика в режиме реального времени, спам эффективно блокируется вне зависимости от языка, содержимого или формата сообщений.

Основываясь на свойствах основной массы сообщений, а не на конкретном содержимом, языке или формате, SpamBlocker обеспечивает защиту в реальном времени от спама, в том числе и от фишинговых атак и поддерживает высокую пропускную способность для остального сетевого трафика.

Шлюзовой антивирус/Служба предотвращения вторжений с противодействием шпионскому ПО

Система, основанная на постоянной сигнатурной защите на шлюзе, работающая против вирусов, троянов, шпионского ПО, сетевых эксплойтов, Web-cканеров, блокирующая IM и Р2Р приложения и другие смешанные угрозы.

Служба предотвращения вторжений фирмы WatchGuard обеспечивает встроенную защиту от атак, которые, хотя и соответствуют стандартам протокола, могут нести нежелательное содержимое. Основанная на сигнатурах, она предназначена для защиты от широкого спектра атак, включая cross-site scripting, переполнение буфера или SQL injections (вставки в запросы SQL).

Двумя основными проблемами, связанными с использованием систем предотвращения вторжений являются скорость работы и вероятность ошибки первого рода. Тесная интеграция службы IPS фирмы WatchGuard с другими слоями ILS их практически исключает.

Поскольку другие слои ILS блокируют 70-80 % атак (особенно эффективно применение глубокого анализа приложений), сигнатур для их блокирования не требуется. Это уменьшает общее количество сигнатур и увеличивает скорость обработки данных, одновременно уменьшая вероятность ошибки первого рода, которая пропорциональна количеству проверяемых данных и числу используемых сигнатур. Система предотвращения вторжений фирмы WatchGuard использует только порядка 1000 сигнатур для достижения сравнимого или даже лучшего уровня защиты с некоторыми другим системами, число сигнатур в которых может достигать 6000.

Шпионское ПО распространяется и многими другими способами помимо P2P, включая внедренные файлы, cookies и самоскачивающиеся программы. Шпионское ПО может отслеживать все, что вы вводите на клавиатуре, рыться в файлах в поисках паролей и идентификационных данных, заполнять экран дисплея рекламными объявлениями. Оно также замедляет работу систем и отъедает сетевой трафик. Служба предотвращения вторжений фирмы WatchGuard включает как сигнатурные, так и уникальные сканирующие способы блокирования шпионского ПО в различных точках его жизненного цикла, включая установку, момент связи для отчета с родительским хостом и послеустановочную активность приложения. Все это производится набором взаимосвязанных процедур:

• Блокирование сайтов. Движок службы предотвращения вторжений блокирует доступ к известным хранилищам шпионского ПО или файловым серверам, с которых распространяются шпионские программы во время HTTP сессий.
• Проверка содержимого, основанная на сигнатурах. Движок системы предотвращения вторжений будет постоянно сканировать трафик с помощью постоянно обновляемой базы сигнатур для определения и блокирования загружаемых шпионских программ, включая завуалированное самозагружающееся ПО.
• Остановка при настройке. Для успешной настройки шпионского ПО ему необходимо специальное приложение, с которым нужно связаться для передачи данных об установке и запроса начальных настроечных данных с родительского хоста. Система предотвращения вторжений определяет и блокирует эту связь.
• Остановка при работе. Как только зараженная машина начинает работать во внутренней сети, шпионское ПО попытается использовать сетевое соединение с целью создания канала связи для дополнительных действий. Система предотвращения вторжений будет определять и блокировать эти процессы, которые могут включать кражу информации, установку дополнительного шпионского ПО и рекламу.

Движок системы предотвращения вторжений фирмы WatchGuard тесно взаимосвязан с другими функциями межсетевого экрана и выдает отчеты, которые полностью интегрируются в систему отчетности. Это позволяет системному администратору легко вычислить элемент сети, зараженный шпионским ПО и удалить его.

WebBlocker увеличивает производительность и снижает риск, блокируя доступ к небезопасным источникам в сети, а также управляет доступом сотрудников в интернет.

WebBlocker использует базу данных сайтов и программные средства мирового лидера Web фильтрации — компании SurfControl. Чтобы наиболее точно классифицировать и полностью охватить весь спектр Web страниц, WebBlocker использует многочисленные категории, чтобы помочь блокировать то содержимое, которое вы не хотите пропустить в свою сеть. Блокируются

известные сайты, содержащие шпионское ПО или нежелательное содержимое, что помогает защитить ваши сетевые ресурсы; блокируются развлекательные сайты, что увеличивает производительность труда сотрудников.

При помощи настраиваемых списков исключений, идентификации пользователей и возможностей задать различные политики для различного времени суток, WebBlocker значительно усиливает политику безопасности.

Возможности модернизации

Если попробовать оценить итоговую сумму денежных инвестиций, необходимых для развёртывания, управления и модернизации комплекса решений безопасности, призванного удовлетворять широким требованиям сегодняшних сетей, то станет очевидным, что использование Firebox X Core e-Series более выгодно с финансовой точки зрения.

С ростом требований, можно легко расширить возможности UTM — устройства. Например, для увеличения скорости и пропускной способности устройство модернизируется путем приобретения специальной лицензии. Также предусмотрена возможность перехода аппаратной платформы на более функциональную операционную систему.

Операционная система

Вместе со всеми моделями Firebox X Core e-Series поставляется операционная система Fireware. Для сложных сетевых окружений может возникнуть необходимость модернизации до более усовершенствованной системы Fireware Prо, которая предоставляет следующие дополнительные возможности:

• Управление трафиком;
• Даёт уверенность, что для критических приложений будет выделяться необходимая полоса пропускания;
• Система отказоустойчивости (активный/пассивный режим);
• Возможность построения отказоустойчивого кластера;
• Динамическая маршрутизация (протоколы BGP, OSPF, RIP);
• Максимальная гибкость сети и эффективность её работы, благодаря динамически обновляемым таблицам маршрутизации.

Для переустановки операционной системы на UTM-устройстве Firebox достаточно приобрести специальную лицензию.

Объединение и преобразование традиционных средств безопасности в интегрированные UTM-устройства дает возможность предприятиям перейти на новый, более высокий уровень защиты своих локальных сетей. Подход компании WatchGuard, основанный на специальной технологии, реализованной в архитектуре ILS, позволяющей интегрировать сразу несколько уровней защиты совместно с дополнительными функциями, несомненно, является эффективной защитой для любой: как уже сформированной, так и развивающейся сетевой инфраструктуры. Использование полноценных UTM-устройств, таких как, WatchGuard Firebox приобретает особую актуальность в настоящие дни, когда с увеличивающейся частотой появляются все более изощренные виды угроз.

Современный интернет таит в себе множество угроз, поэтому львиную часть своего времени админы тратят на обеспечение безопасности сети. Появившись многофункциональные устройства защиты UTM сразу привлекли к себе внимание специалистов безопасности т.к. они сочетают в себе несколько модулей защиты с простотой развертывания и управления. На сегодня можно всттретить множество реализаций, поэтому выбрать подчас не так то просто. Попробуем разобраться с особенностями популярных решений.

Что такое UTM?

Учитывая рост сетевых и вирусных атак, спама, необходимости в организации безопасного обмена данными, предприятия нуждаются в надежном и простом в управлении средстве защиты. Особенно остро стоит вопрос в сетях малого и среднего бизнеса, в которых часто нет технической и финансовой возможности в развертывании разнородных систем безопасности. Да и подготовленных специалистов в таких организациях обычно не хватает. Именно для этих условий были разработаны многофункциональные многоуровневые сетевые устройства, получившие название UTM (Unified Threat Management, унифицированное устройство защиты). Выросшие из межсетевых экранов, UTM сегодня объединяют функции нескольких решений - файервол с DPI (Deep Packet Inspection), система защиты от вторжений (IDS/IPS), антиспам, антивирус и контентная фильтрация. Часто такие устройства имеют возможности организации VPN, аутентификации пользователей, балансировки нагрузки, учета трафика и др. Устройства класса «все в одном» с единой консолью настроек позволяют быстро ввести их в работу, а в последующем также легко обновлять все функции или добавлять новые. От специалиста требуется лишь понимание, что и как надо защищать. Стоимость UTM, как правило ниже, чем приобретение нескольких приложений/устройств, поэтому и меньше совокупные затраты.

Термин UTM введен Чарльзом Колодги (Charles Kolodgy) из аналитической компании IDC (InternationalData Corporation) в документе «World wide Threat Management Security Appliances 2004-2008 Forecast», опубликованном в сентябре 2004 года, чтобы обозначить универсальные устройства защиты, которые способны справиться со все нарастающим числом сетевых атак. Изначально подразумевалось наличие лишь трех функций (firewall, DPI и антивирус), теперь возможности предоставляемые, UTM устройствами, гораздо шире.

Рынок UTM достаточно большой, и показывает ежегодный прирост на 25-30% (вытесняя постепенно «чистый» firewall), а поэтому практически все крупные игроки уже представили свои решения, как аппаратные, так и программные. Какой из них использовать, это часто вопрос вкуса и доверия к разработчику, а также наличия адекватной поддержки и, конечно же, специфических условий. Единственный момент - следует выбрать надежный и производительный сервер с учетом планируемой нагрузки, ведь теперь одна система будет выполнять несколько проверок, а это уже потребует дополнительных ресурсов. При этом нужно быть внимательным, в характеристиках UTM решений обычно указывается пропускная способность межсетевого экрана, а возможности IPS, VPN и других компонентов зачастую на порядок ниже. Сервер UTM является единой точкой доступа, отказ которой фактически оставит организацию без интернета, поэтому разнообразные возможности по восстановлению также лишними не будут. Аппаратные реализации часто имеют дополнительные сопросессоры, используемые для обработки некоторых видов данных, вроде шифрования или анализа контекста, позволяющие снять нагрузку с основного CPU. Зато программную реализацию можно установить на любой ПК, с возможностью дальнейшего беспроблемного апгрейда любого компонента. В этом плане интересны OpenSource решения (Untangle, pfSense, Endian и другие), позволяющие существенно сэкономить на ПО. Большинство из этих проектов предлагают также и коммерческие версии с продвинутыми возможностями и техподдержкой.

Платформа: FortiGate
Сайт проекта: fortinet-russia.ru
Лицензия: платная
Реализация: аппаратная

Калифорнийская компания Fortinet, основанная в 2000 году, сегодня является одним из крупнейших поставщиков UTM устройств, ориентированных на разную нагрузку от небольшого офиса (FortiGate-30) до центров обработки данных (FortiGate-5000). Устройства FortiGate представляют собой аппаратную платформу, обеспечивающую защиту от сетевых угроз. Платформа оснащена межсетевым экраном, IDS/IPS, антивируcной проверкой трафика, антиспам, веб-фильтром и контролем приложений. Некоторые модели поддерживают функции DLP, VoIP, шейпинг трафика, WAN-оптимизацию, отказоустойчивость, аутентификацию пользователя для доступа к сетевым сервисам, PKI и другие. Механизм активных профилей позволяет обнаружить нетипичный трафик с автоматизацией реакции на такое событие. Антивирус может проверять файлы любых размеров, в том числе и в архивах, сохраняя при этом высокий уровень производительности. Механизм веб-фильтрации позволяет установить доступ к более чем 75 категориям веб-сайтов, указать квоты, в том числе в зависимости от времени суток. Например, доступ к развлекательным порталам можно разрешить только в нерабочее время. Модуль контроля приложений обнаруживает типичный трафик (Skype, P2p, IM и т.п.) вне зависимости от порта, правила traffic shaping указываются для отдельных приложений и категорий. Зоны безопасности и виртуальные домены позволяют разбить сеть на логические подсети. Некоторые модели имеют интерфейсы коммутатора LAN второго уровня и WAN-интерфейсы, поддерживается маршрутизация по протоколам RIP, OSPF и BGP. Шлюз может быть настроен в одном из трех вариантов: прозрачный режим, статический и динамический NAT, что позволяет безболезненно внедрить FortiGate в любую сеть. Для защиты точек доступа используется специальная модификация с WiFi - FortiWiFi.
Чтобы охватить системы (ПК под управлением Windows, смартфоны Android), которые работают вне защищаемой сети, на них может устанавливаться программа-агент FortiClient, включающий в себя полный комплект (firewall, антивирус, SSL и IPsec VPN, IPS, веб-фильтр, антиспам и многое другое). Для централизованного управления несколькими устройствами, производимыми Fortinet, и анализа журналов событий используются FortiManager и FortiAnalyzer.
Кроме веб- и CLI-интерфейса, для базовой настройки FortiGate/FortiWiFi можно использовать программу FortiExplorer (доступна в версии Win и Mac OS X), предлагающую доступ к GUI и CLI (команды напоминают Cisco).
Одна из фишек FortiGate - специализированный набор микросхем FortiASIC, которые обеспечивают анализ контента и обработку сетевого трафика и позволяют в реальном времени обнаруживать сетевые угрозы, не влияя на производительность сети. На всех устройствах используется специализированная ОС – FortiOS.

Платформа: Check Point UTM-1
Сайт проекта: rus.checkpoint.com
Лицензия: платная
Реализация: аппаратная

Компания Check Point предлагает 3 линейки устройств класса UTM: UTM-1, UTM-1 Edge (удаленные офисы) и Safe@Office (небольшие компании). Решения содержат все необходимое для защиты сети - файервол, IPS, антивирусный шлюз, антиспам, средства построения SSL VPN и удаленного доступа. Межсетевой экран умеет различать трафик, присущий большинству приложений и сервисов (более 200 протоколов), администратор может легко заблокировать доступ к IM, P2P сетям или Skype. Обеспечивается защита веб-приложений и URL-фильтр, в базе данных Check Point содержится несколько миллионов сайтов, доступ к которым можно легко блокировать. Антивирус проверяет потоки HTTP/FTP/SMTP/POP3/IMAP, не имеет ограничений на размер файлов и умеет работать с архивами. Модели UTM-1 с литерой W выпускаются со встроенной точкой доступа WiFi.
В IPS используются различные методы обнаружения и анализа: сигнатуры уязвимостей, анализ протоколов и поведения объектов, выявление аномалий. Механизм анализа умеет вычислять важные данныи, поэтому тщательно проверяется 10% трафика, остальной проходит без дополнительных проверок. Это позволяет снизить нагрузку на систему и повысить эффективность работы UTM. Антиспам-система использует несколько технологий - IP-репутацию, анализ содержимого, черный и белый списки. Поддерживается динамическая маршрутизация OSPF, BGP и RIP, несколько методов аутентификации пользователей (пароль, RADUIS, SecureID и др.), реализован сервер DHCP.
В решении используется модульная архитектура, так называемые Software Blades (программные блейды) позволяют при необходимости расширить функционал до нужного уровня, обеспечивая требуемый уровень безопасности и стоимость. Так можно дооснастить шлюз блейдами Web Security (обнаружение и защита веб-инфраструктуры), VoIP (защита VoIP), Advanced Networking, Acceleration & Clustering (максимальная производительность и доступность в разветвленных средах). Например, технологии Web Application Firewall и Advanced Streaming Inspection, применяемые в Web Security, позволяют в реальном времени обрабатывать контекст, даже если он разбит на несколько TCP-пакетов, подменять заголовки, скрывая данные об используемых приложениях, перенаправлять пользователя на страницу с детальным описанием ошибки.
Удаленное управление возможно средствами веб и Telnet/SSH. Для централизованных настроек нескольких устройств может применяться Check Point SmartCenter, используемая в нем технология Security Management Architecture (SMART) позволяет осуществлять управление всеми элементами Check Point, включенными в политику безопасности. Возможности SmartCenter расширяются при помощи дополнительных модулей, обеспечивающих визуализацию политик, интеграцию с LDAP, обновления, отчеты и др. Все обновления UTM получают централизованно при помощи сервиса Check Point Update Service.

Платформа: ZyWALL 1000
Сайт проекта: zyxel.ru
Лицензия: платная
Реализация: аппаратная

Большинство шлюзов безопасности, выпускаемых ZyXEL, по своим возможностям можно смело относить к UTM, хотя по официальному классификатору сегодня в этой линейке пять моделей ZyWALL USG 50/100/300/1000/2000, ориентированных для небольших и средних сетей (до 500 пользователей). В терминологии ZyXEL такие устройства называются «Центр сетевой безопасности». Так, например, ZyWALL 1000 представляет собой скоростной шлюз доступа, предназначенный для решения задач сетевой безопасности и управления трафиком. Включает потоковый антивирус Касперского, IDS/IPS, контентную фильтрацию и защиту от спама (Blue Coat и Commtouch), контроль полосы пропускания и VPN (IPSec, SSL и L2TP over IPSec VPN). К слову, при покупке стоит обратить внимание на прошивку - международная или для России. В последней из-за ограничений таможенного союза для туннелей IPsec VPN и SSL VPN используется ключ DES 56 бит.
Политики доступа основываются на нескольких критериях (IP, пользователь и время). Средства контентной фильтрации позволяют легко ограничить доступ к сайтам определенной тематики и работу некоторых программ IM, P2P, VoIP, mail и пр. Система IDS использует сигнатуры и защищает от сетевых червей, троянов, бэкдоров, DDoS и эксплойтов. Технология обнаружения аномалий (Anomaly Detection and Prevention) анализирует проходящие через шлюз пакеты на 2 и 3 уровнях OSI, выявляя несоответствия, определяет и блокирует 32 типа сетевых атак. Возможности End Point Security позволяют автоматически проверять тип ОС, наличие активного антивируса и firewall, наличие установленных обновлений, запущенных процессов, параметров реестра и других. Администратор может запретить выход в Сеть для систем, не удовлетворяющих определенным параметрам.
Реализовано множественное резервирование доступа в интернет и балансировка нагрузки. Возможна передача VoIP по протоколам SIP и Н.323 на уровне firewall и NAT, и в VPN туннелях. Предусмотрена простая организация VLAN и создание виртуальных интерфейсов-псевдонимов. Поддерживается аутентификация средствами LDAP, AD, RADIUS, что позволяет настраивать политики безопасности на основе уже принятых в организации правил.
Обновления баз основных компонентов и активация некоторых функций (антиспам Commtouch, увеличение количества туннелей VPN) осуществляется посредством карт подключения. Настройка производится при помощи CLI и веб-интерфейса. Первоначальные установки помогает произвести мастер.

ОС: Untangle Server 9.2.1 Сruiser
Сайт проекта: untangle.com
Лицензия: GPL
Реализация: программная
Аппаратные платформы: x86, x64
Системные требования: Pentium 4 или подобный AMD, 1 Гб RAM, 80 Гб диск, 2 NIC.

Любой *nix-дистрибутив можно настроить как полноценное UTM решение, в репозитариях пакетов доступно все необходимое для этого. Но есть и минусы: все компоненты придется устанавливать и настраивать самостоятельно (а это уже требует некоторого опыта), и что немаловажно, так мы лишаемся единого интерфейса управления. Поэтому в данном контексте очень интересны готовые решения, построенные на базе OpenSource систем.
Дистрибутив Untangle, выпускаемый одноименной компанией, появившись в 2008 году, сразу привлек внимание сообщества своим подходом. Его основой послужил Debian, все настройки производятся при помощи простого и понятного интерфейса. Изначально дистрибутив назывался Untangle Gateway и ориентировался для использования в небольших организациях (до 300 пользователей) как полноценная замена проприетарному Forefront TMG для обеспечения безопасного доступа в интернет и защиты внутренней сети от ряда угроз. Со временем функции и возможности дистрибутива стали шире и название было изменено на Untangle Server, а дистрибутив уже способен обеспечить работу большего количества пользователей (до 5000 и выше, в зависимости от мощности сервера).
Изначально функции защиты Untangle реализованы в виде модулей. После установки базовой системы какие-либо модули защиты отсутствуют, администратор самостоятельно выбирает то, что ему нужно. Для удобства модули разбиты по 5 пакетам (Premium, Standard, Education Premium Education Standard и Lite), доступность которых определяет лицензия, а сами пакеты разделены на две группы по назначению: Filter и Services. Все OpenSource приложения собраны в бесплатном Lite, который содержит 13 приложений, обеспечивающих проверку трафика на вирусы и spyware, контентный фильтр, блокировку баннеров и спама, файервол, контроль протоколов, IDS/IPS, OpenVPN, политики доступа (Captive Portal). Модуль Reports, входящий в пакет Lite, позволяет админу получать отчеты по всем возможным ситуациям - сетевой активности, протоколам, обнаруженному спаму и вирусам, активности пользователей с возможностью отправки результата по email и экспорта в PDF, HTML, XLS, CSV и XML. В их основе лежат популярные OpenSource приложения, такие как Snort, ClamAV, SpamAssasin, Squid и т.д. Кроме этого, сервер Untangle обеспечивает все сетевые функции - маршрутизация, NAT, DMZ, QoS, имеет DHCP и DNS серверы.
В коммерческих пакетах доступны: балансировка нагрузки и Failover, контроль полосы пропускания канала и приложений, модуль для работы с Active Directory, резервирование настроек и некоторые другие функции. За плату предоставляется и поддержка, хотя ответы на многие вопросы можно найти на официальном форуме. Кроме этого, проект предлагает готовые сервера с предустановленным Untangle.
Для настройки предлагается удобный интерфейс, написанный на Java, все изменения и статистика работы выводятся в реальном времени. При работе с Untangle администратору не нужно иметь глубоких знаний *nix, достаточно понимать, что нужно получить в результате. Установка дистрибутива довольно проста, надо просто следовать по подсказкам мастера, другой мастер в последующем помогает настроить шлюз.
Endian Firewall

ОС: Endian Firewall Community 2.5.1
Сайт проекта: endian.com/en/community
Лицензия: GPL
Аппаратные платформы: x86
Системные требования: CPU 500 МГц, 512 Mб RAM, 2 Гб

Разработчики Endian Firewall предлагают несколько версий своего продукта, реализованные как в виде аппаратной, так и программной платформы. В том числе есть версия и для виртуальных машин. Для всех релизов указана лицензия GPL, однако для свободной загрузки доступен лишь ISO образ Community Edition и исходный код. Операционная система построена на базе CentOS и содержит все специфические для Linux приложения, обеспечивающие функции файервола, IDS/IPS, антивирусную проверку HTTP/FTP/POP3/SMTP трафика, защиту от спама, фильтр контента, антиспуфинг и антифишинг модули, систему отчетов. Возможно создание VPN средствами OpenVPN и IPsec с аутентификацией по ключу или сертификату. Контентный фильтр содержит готовые настройки для более чем 20 категорий и подкатегорий сайтов, есть blacklist и функции контекстной фильтрации. Используя ACL, можно указать параметры доступа для отдельного пользователя, группы, IP, времени и браузера. Ведется статистика по соединениям, трафику, работе пользователей. При наступлении определенных событий на email админа отправляется сообщение. Предусмотрена локальная аутентификация пользователей, Active Directory, LDAP и RADIUS. Интерфейс позволяет легко создать VLAN, управлять QoS, поддерживается SNMP. Изначально дистрибутив комплектуется антивирусом ClamAV, опционально возможно использование антивирусного движка Sophos.
Для настроек используется веб-интерфейс и командная строка. Первоначальные установки производятся при помощи мастера, который позволяет задать тип подключения к интернет, назначать интерфейсы (LAN, WiFi, DMZ). Внешнему интерфейсу можно назначить несколько IP-адресов, поддерживается MultiWAN. Для удобства настроек сетевые интерфейсы разбиты на зоны - RED, ORANGE, BLUE и GREEN, правила firewall уже содержат установки, определяющие обмен между ними. Настройки распределены по группам, названия которых говорят сами за себя, при должной внимательности разобраться очень просто.

Заключение

Комплексные системы UTM постепенно вытесняют традиционные решения вроде firewall, поэтому стоит присмотреться к ним повнимательней. В зависимости от конкретных условий подойдут разные варианты. С защитой небольших и средних сетей вполне справляются OpenSource Endian Firewall и Untangle. Конечно, UTM не заменяют, а дополняют средства защиты, установленные на отдельных ПК, создавая дополнительный рубеж защиты на входе в LAN.

Современное UTM-решение, отличающееся простотой настройки, безопасными предустановленными настройками и наличием всех модулей глубокого анализа трафика, необходимых для обеспечения безопасной фильтрации: системы предотвращения вторжений, контроля приложений, контент-фильтра. Давай посмотрим, что умеет Ideco.

Основные возможности

Возможности Ideco ICS:

• Защита пользователей и корпоративной сети от внешних угроз - система предотвращения вторжений, контроль приложений (DPI), контентная фильтрация веб-трафика (включая HTTPS), антивирус и антиспам Касперского, защита опубликованных веб-серверов (Web Application Firewall), интеграция с DLP- и SIEM-системами, межсетевой экран.
• Комплексное управление интернет-трафиком - авторизация пользователей, балансировка каналов, ограничение, приоритизация, отчеты.
• Средства коммуникации и почта - почтовый сервер, многоуровневая фильтрация спама, защита от вирусов и фишинговых ссылок, полные возможности фильтрации при использовании в качестве релея, современный веб-интерфейс.
• Построение корпоративной сети - безопасное подключение удаленных пользователей, организация защищенных каналов между филиалами (поддержка VPN с использованием PPTP, OpenVPN, IPsec позволяет соединить в сеть практически любые маршрутизаторы или программные шлюзы), использование нескольких подключений к провайдерам, маршрутизация, интеграция с Active Directory.

Ideco ICS объединяет в себе следующие модули безопасности:
* межсетевой экран;
* система предотвращения вторжений;
* контроль приложений;
* контент-фильтр (протокол HTTP и HTTPS);
* Web Application Firewall;
* антивирусная проверка трафика;
* антиспам и проверка почтового трафика;
* защита от DoS и брутфорс-атак;
* защищенный удаленный доступ по VPN.

Web Application Firewall - это модуль межсетевого экрана для защиты опубликованных веб-приложений. Нужно отметить, что среди российских UTM-решений Ideco ICS - единственное, где присутствует такая функциональность.
Обо всем этом ты можешь прочитать и на сайте компании, поэтому предлагаю перейти сразу к практике и посмотреть, как же выглядит Ideco ICS не на бумаге, а в реальной жизни. И начнем мы с его установки.

Установка Ideco ICS

В установке нет ничего сложного - нужно скачать ISO-образ из личного кабинета пользователя , записать его на флешку или диск (как кому нравится) и загрузиться.
Установка проходит очень быстро и без осложнений. Вот ее основные моменты:
1. Нужно проверить правильность установки времени и даты в BIOS - это очень важно для интеграции с Active Directory (впрочем, если время и дата неверные, они будут автоматически синхронизированы после подключения сервера к интернету).
2. Необходимо как минимум 3800 Мбайт оперативки.
3. Поддерживаются режимы установки, обновления и восстановления (рис. 1).
4. Все данные на накопителе будут уничтожены.
5. В процессе установки нужно настроить локальный сетевой интерфейс (рис. 2) и выбрать часовой пояс.
6. Установка потребует около 4 Гбайт дискового пространства
7. Инсталлятор сообщит имя пользователя администратора и пароль (рис. 3).

Установка проходит практически без вмешательства пользователя. Все, что нужно от пользователя, - ввести IP-адрес будущего шлюза и выбрать часовой пояс.

Управление шлюзом: консоль

Перезагружаемся (рис. 4). Если присмотреться, то видно, с использованием каких компонентов построен Ideco: суперсервер xinetd, bind DNS server, nginx, Squid, KLMS и другие.

Для доступа к консоли шлюза нужно ввести пароль servicemode. Меню управления шлюзом показано на рис. 5. Команды меню:
* Мониторинг сервера - отображает информацию о загрузке процессора, использовании памяти и диска (рис. 6).
* Мониторинг сети - информация об использовании сети (bmon).
* Сетевые параметры - здесь можно изменить IP-адрес и маску шлюза, а также просмотреть текущую конфигурацию сети (рис. 7).
* Резервные копии БД - средство создания резервных копий базы данных, здесь же можно восстановить БД из резервной копии.
* Консоль - полноценная консоль, в которой можно делать все, что хочется. Лично я первым делом посмотрел, сколько места заняла установка. Чуть более 3,2 Гбайт (рис. 8).
* Сервис - открывает подменю, где можно установить IP-адрес администратора, отключить правила firewall, разрешить интернет всем и вся, разрешить доступ к серверу по SSH, сбросить пароль администратора.
* Смена пароля - позволяет изменить пароль администратора.
* Перезагрузка сервера - перезагрузка сервера, в том числе полная и мягкая, то есть перезагрузка только служб, а не всего компьютера.
* Выход - выход из консоли управления.

Веб-интерфейс

Для доступа к веб-интерфейсу (все-таки возможностей в нем больше, чем в сервисном режиме) используется URL https://IP-адрес, где IP-адрес - это адрес, указанный в настройках. Для входа используются данные, изображенные на рис. 3. Главная страница веб-интерфейса изображена на рис. 10.

Собственно, что делать после того, как вошел в веб-интерфейс? Все зависит от поставленной задачи. Если задача заключается только в предоставлении доступа к интернету группе пользователей, то нужно как минимум выбрать внешний интерфейс (через который наш сервер будет предоставлять доступ к интернету) и добавить пользователей.

Добавление внешнего интерфейса

Чтобы добавить внешний интерфейс, нужно перейти в раздел «Серверы > Интерфейсы», выбрать роль интерфейса «Внешний», ввести его название и установить сетевые параметры. Обрати внимание, что можно установить IP-адрес для проверки связи (можно использовать сервер Google - 8.8.8.8), а также выбрать резервный интерфейс, если он есть. Если имеется два внешних интерфейса, то для основного нужно установить переключатель «Основной».

Создание пользователей

В разделе «Пользователи» нужно первым делом выбрать тип авторизации (рис. 16). В самом простом случае можно выбрать авторизацию по IP. Этот вариант подойдет для небольшой сети, когда понятно, кто есть кто, а также в случаях, когда нужно быстро развернуть шлюз для доступа к интернету, а полноценная настройка еще предстоит в будущем.
На боковой панели слева находятся кнопки «Добавить группу» и «Добавить пользователя». Пользователей целесообразно объединять в группы для более простого управления ими. Создадим группу «Офис» (рис. 12).

Затем интерфейс отобразит настройки группы (рис. 13). Нажми кнопку «Создать пользователей», чтобы вызвать инструмент группового добавления пользователей (рис. 14). Нужно задать префикс имени, префикс логина пользователя, а также диапазон IP-адресов добавляемых пользователей. Конечно, можно добавлять пользователей по одному, но это не очень удобно, особенно если есть возможность это автоматизировать.

Собственно, на этом все. Осталось только на клиентах установить IP-адрес нашего сервера Ideco ICS в качестве шлюза. Если тебе лень этим заниматься, в разделе «Сервер > DHCP» можно включить DHCP-сервер и установить его параметры (рис. 16). Как минимум нужно указать диапазон IP-адресов и назначение шлюза по умолчанию клиентам.

Если поставленная задача - просто предоставить пользователям доступ к интернету, то она уже выполнена. На все про все ушло минут двадцать (вместе с установкой Ideco ICS). Если не учитывать установку самой ОС, то на чтение этой статьи ты потратишь больше времени, чем на настройку сервера.

Блокировки и всевозможные ограничения

Все, что настраивалось до этого момента, можно довольно быстро настроить на любом Linux/FreeBSD-сервере. А вот сейчас начинается самое интересное. Перейди в раздел «Сервер», «Контент-фильтр». Здесь можно выбрать, какой именно контент будет блокироваться сервером. Так, в категории «Блокировка файлов» (рис. 17) показаны типы файлов, подлежащие блокировке. А в категории «Стандартные» можно заблокировать VPN (блокируются все популярные VPN-службы и программы в любых исполнениях), торренты, веб-прокси, сайты с контентом для взрослых и прочее.

Настройка подобного контент-фильтра вручную займет определенное время. С помощью Ideco ICS можно выполнить блокировку необходимых ресурсов за пару щелчков мыши. При этом тебе не нужно настраивать ни файрвол, ни прокси.
База стандартного контент-фильтра содержит 34 категории трафика и более чем 900 тысяч URL, а расширенного еще больше - 143 категории и 500 миллионов URL. Обе базы регулярно обновляются и поддерживаются в актуальном состоянии. Кроме возможности блокировки по типам сайтов, эти же базы позволяют категоризировать веб-отчетность по потреблению пользователями трафика. Другими словами, можно будет понять, сколько часов сотрудники тратят на работу, а сколько - на развлечения или собственные интересы в рабочее время.

Преимущества Ideco ICS

Основные фишки Ideco ICS:

• Изначально все модули, службы, правила файрвола и контентной фильтрации настроены для обеспечения максимальной защиты сети и сервера.
• Многие настройки нельзя изменить, то есть систему не получится настроить небезопасно, даже при всем своем желании или неопытности.
• Простота настройки.
• Поддержка интеграции с Active Directory.
• Все пользователи и устройства должны быть обязательно авторизованы для выхода в интернет. Неавторизованный трафик запрещен, что позволяет всегда получать статистику по использованию интернета пользователями и устройствами.
• Отечественные базы контентной фильтрации (расширенного контент-фильтра), более релевантные для российского интернет-сегмента, чем западные базы.
• Полностью российское решение, включая базы фильтрации контента, антивирусов (антивирус Касперского, см. рис. 19), системы предотвращения вторжений (базы собственной разработки).
• Блокировка попыток обхода системы контентной фильтрации (анонимайзеров), включая популярные плагины к браузерам, Opera VPN, Яндекс.Турбо.
• Удобная система отчетности.

Почтовый сервер

Ideco ICS - это не только шлюз с возможностью интеграции с Active Directory. Продукт, помимо всего прочего, содержит еще и встроенный почтовый сервер, настроить который можно в разделе «Сервер > Почтовый сервер» (рис. 20).

Система предотвращения вторжений (IDS)

Ideco ICS «из коробки» оснащен системой предотвращения вторжений (IDS), которая позволяет еще и блокировать анонимайзеры. Для настройки IDS нужно перейти в раздел «Безопасность > Предотвращение вторжений» и включить IDS/IPS (рис. 21).

Вкладка «Правила» позволяет определить группы правил IDS (рис. 22). Именно здесь можно включить/выключить блокировку Opera VPN, анонимайзеров, атак и прочего.

Для работы IDS нужно минимум 8 Гбайт оперативки на сервере.
В числе возможностей - функции, обычные для системы предотвращения вторжений (блокировка атакующих, ботнетов и поиск опасных сигнатур в трафике), но, кроме того, система позволяет блокировать трафик по базе IP Reputation и GeoIP, без его глубокого анализа (что ускоряет фильтрацию трафика и повышает устойчивость к DoS- и DDoS-атакам), а также блокировать телеметрию Windows (функции слежения за пользователями данной операционной системы, что не делают продукты других вендоров).

Отчеты и статистика

Раздел «Отчеты» позволяет просмотреть и экспортировать различную статистическую информацию. Доступен экспорт отчетов в форматах HTML, CSV, XLS. Формат CSV удобен для последующего анализа отчетов в других программных продуктах.

Дополнительную информацию можно получить в обзоре от разработчиков Ideco:

Шлюз безопасности Ideco ICS - уникальное предложение на российском рынке UTM-решений: современный продукт, обеспечивающий разностороннюю защиту от сетевых угроз и при этом практически не требующий настройки. Развертывание данного решения занимает считаные минуты, а на выходе получаем полноценный шлюз со всевозможными функциями - от защиты и блокировки до поддержки Active Directory и развернутой отчетности.

). Начнем мы наш блог с небольшого введения в технологии Check Point.

Мы долго размышляли над тем, стоит ли писать данную статью, т.к. в ней нет ничего нового, чего нельзя было бы найти в сети Интернет. Однако, несмотря на такое обилие информации при работе с клиентами и партнерами мы довольно часто слышим одни и те же вопросы. Поэтому было решено написать некое введение в мир технологий Check Point и раскрыть суть архитектуры их решений. И все это в рамках одного “небольшого” поста, так сказать быстрый экскурс. Причем мы постараемся не вдаваться в маркетинговые войны, т.к. мы не вендор, а просто системный интегратор (хоть мы и очень любим Check Point) и просто рассмотрим основные моменты без их сравнения с другими производителями (таких как Palo Alto, Cisco, Fortinet и т.д.). Статья получилась довольно объемной, зато отсекает большую часть вопросов на этапе ознакомления с Check Point. Если вам это интересно, то добро пожаловать под кат…

UTM/NGFW

Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются. Сделаем мы это весьма лаконично, дабы пост не получился слишком большим (возможно в будущем мы рассмотрим этот вопрос немного подробнее)

UTM - Unified Threat Management

Если коротко, то суть UTM - консолидация нескольких средств защиты в одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается под “несколько средств защиты”? Самый распространенный вариант это: Межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все это объединяется в рамках одного UTM решения, что проще с точки зрения интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно сказывается на общей защищенности сети. Когда UTM решения только появились, то их рассматривали исключительно для небольших компаний, т.к. UTM не справлялись с большими объемами трафика. Это было по двум причинам:

1. Способ обработки пакетов. Первые версии UTM решений обрабатывали пакеты последовательно, каждым “модулем”. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Естественно такой механизм вносил серьезные задержки в трафик и сильно расходовал ресурсы системы (процессор, память).
2. Слабое “железо”. Как было сказано выше, последовательная обработка пакетов сильно отъедала ресурсы и “железо” тех времен (1995-2005) просто не справлялось с большим трафиком.

Но прогресс не стоит на месте. С тех пор значительно увеличились аппаратные мощности, а обработка пакетов изменилась (надо признать, что далеко не у всех вендоров) и стала позволять практически одновременный анализ сразу в нескольких модулях (МЭ, IPS, AntiVirus и т.д.). Современные UTM решения могут “переваривать” десятки и даже сотни гигабит в режиме глубокого анализа, что дает возможность использовать их в сегменте крупного бизнеса или даже датацентов.

Ниже представлен знаменитый магический квадрант Гартнера для UTM решений за август 2016 года:

Не буду сильно комментировать данную картинку, просто скажу, что в верхнем правом углу находятся лидеры.

NGFW - Next Generation Firewall

Название говорит само за себя - межсетевой экран следующего поколения. Данный концепт появился значительно позже, чем UTM. Главная идея NGFW - глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control). В данном случае IPS как раз и нужен, чтобы в потоке пакетов выявлять то или иное приложение, что позволяет разрешить, либо запретить его. Пример: Мы можем разрешить работу Skype, но запретить передачу файлов. Можем запретить использовать Torrent или RDP. Также поддерживаются веб-приложения: Можно разрешить доступ к VK.com, но запретить игры, сообщения или просмотр видео. По сути, качество NGFW зависит от количества приложений, которые он может определять. Многие считают, что появление понятия NGFW было обычным маркетинговым ходом на фоне которого начала свой бурный рост компания Palo Alto.

Магический квадрант Гартнера для NGFW за май 2016:

UTM vs NGFW

Очень частый вопрос, что же лучше? Однозначного ответа тут нет и быть не может. Особенно если учитывать тот факт, что почти все современные UTM решения содержат функционал NGFW и большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.). Как всегда “дьявол кроется в мелочах”, поэтому в первую очередь нужно решить, что нужно конкретно Вам, определиться с бюджетом. На основе этих решений можно выбрать несколько вариантов. И все нужно однозначно тестировать, не веря маркетинговым материалам.

Мы в свою очередь в рамках нескольких статей попытаемся рассказать про Check Point, как его можно попробовать и что в принципе можно попробовать (практически весь функционал).

Три сущности Check Point

При работе с Check Point вы обязательно столкнетесь с тремя составляющими этого продукта:

Операционная система Check Point

Говоря об операционной системе Check Point можно вспомнить сразу три: IPSO, SPLAT и GAIA.

1. IPSO - операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.
2. SPLAT - собственная разработка Check Point, основана на ядре RedHat. Больше не развивается.
3. Gaia - актуальная операционная система от Check Point, которая появилась в результате слияния IPSO и SPLAT, вобрав в себя все самое лучшее. Появилась в 2012 году и продолжает активно развиваться.

Говоря о Gaia следует сказать, что на текущий момент самая распространенная версия это R77.30. Относительно недавно появилась версия R80, которая существенно отличается от предыдущей (как в плане функциональности, так и управления). Теме их отличий мы посвятим отдельный пост. Еще один важный момент - на текущий момент сертификат ФСТЭК имеет только версия R77.10 и идет сертификация версии R77.30.

Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)

Здесь нет ничего удивительного, как и многие вендоры Check Point имеет несколько вариантов продукта:

Варианты внедрения (Distributed или Standalone)

Чуть выше мы уже обсудили что такое шлюз (SG) и сервер управления (SMS). Теперь обсудим варианты их внедрения. Есть два основных способа:

Как я уже говорил чуть выше, у Check Point есть собственная SIEM система - Smart Event. Использовать ее вы сможете только в случае Distributed установки.

Режимы работы (Bridge, Routed)
Шлюз безопасности (SG) может работать в двух основных режимах:

• Routed - самый распространенный вариант. В этом случае шлюз используется как L3 устройство и маршрутизирует трафик через себя, т.е. Check Point является шлюзом по умолчанию для защищаемой сети.
• Bridge - прозрачный режим. В этом случае шлюз устанавливается как обычный “мост” и пропускает через себя трафик на втором уровне (OSI). Такой вариант обычно применяется, когда нет возможности (или желания) изменить уже существующую инфраструктуру. Вам практически не придется менять топологию сети и не надо задумываться о смене IP - адресации.

Хотелось бы отметить, что в Bridge режиме есть некоторые ограничения по функционалу, поэтому мы как интегратор советуем всем своим клиентам использовать именно Routed режим, конечно если это возможно.

Программные блейды (Check Point Software Blades)

Мы добрались чуть ли не до самой главной темы Check Point, которая вызывает больше всего вопросов у клиентов. Что такое эти “программные блейды”? Под блейдами подразумеваются определенные функции Check Point.

Данные функции могут включаться или выключаться в зависимости от нужд. При этом есть блейды которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для обоих случаев:

1) Для Network Security (функционал шлюза)

Опишем вкратце, т.к. каждый блейд заслуживает отдельной статьи.

• Firewall - функционал межсетевого экрана;
• IPSec VPN - построение частные виртуальных сетей;
• Mobile Access - удаленный доступ с мобильных устройств;
• IPS - система предотвращения вторжений;
• Anti-Bot - защита от ботнет сетей;
• AntiVirus - потоковый антивирус;
• AntiSpam & Email Security - защита корпоративной почты;
• Identity Awareness - интеграция со службой Active Directory;
• Monitoring - мониторинг практически всех параметров шлюза (load, bandwidth, VPN статус и т.д.)
• Application Control - межсетевой экран уровня приложений (функционал NGFW);
• URL Filtering - безопасность Web (+функционал proxy);
• Data Loss Prevention - защита от утечек информации (DLP);
• Threat Emulation - технология песочниц (SandBox);
• Threat Extraction - технология очистки файлов;
• QoS - приоритезация трафика.

Буквально через несколько статей мы подробно рассмотрим блейды Threat Emulation и Threat Extraction, уверен что будет интересно.

2) Для Management (функционал сервера управления)

• Network Policy Management - централизованное управление политиками;
• Endpoint Policy Management - централизованное управление агентами Check Point (да, Check Point производит решения не только для сетевой защиты, но и для защиты рабочих станций (ПК) и смартфонов);
• Logging & Status - централизованный сбор и обработка логов;
• Management Portal - управление безопасностью из браузера;
• Workflow - контроль над изменением политик, аудит изменений и т.д.;
• User Directory - интеграция с LDAP;
• Provisioning - автоматизация управления шлюзами;
• Smart Reporter - система отчетности;
• Smart Event - анализ и корреляция событий (SIEM);
• Compliance - автоматическая проверка настроек и выдача рекомендаций.

Мы не будем сейчас подробно рассматривать вопросы лицензирования, дабы не раздувать статью и не запутать читателя. Скорее всего мы вынесем это в отдельный пост.

Архитектура блейдов позволяет использовать только действительно нужные функции, что сказывается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно “прогнать”. Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):

Как видите здесь приводятся две категории тестов: на синтетическом трафике и на реальном - смешанном. Вообще говоря, Check Point просто вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).

В каждом типе теста можно заметить несколько вариантов:

1. тест только для Firewall;
2. тест Firewall+IPS;
3. тест Firewall+IPS+NGFW (Application control);
4. тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (песочница)

Внимательно смотрите на эти параметры при выборе своего решения, либо обратитесь за консультацией .

Думаю на этом можно закончить вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).

P.S. Важный момент. Несмотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях (комментарий by ).