À Ces derniers temps Les appareils dits UTM sont de plus en plus populaires dans le monde, combinant toute une gamme de fonctions de sécurité informatique dans un seul système matériel. Pour mieux comprendre ces produits et comprendre leur avantage par rapport à solutions conventionnelles, nous avons contacté Rainbow Technologies. Dejan Momcilovic, responsable des relations avec les partenaires chez Rainbow, répond à nos questions.
Dejan Momcilovic, responsable des relations avec les partenaires chez Rainbow
Alexeï partage : Pouvez-vous nous parler des produits UTM (Unified Threat Management) en général ? Que sont-ils et à quoi servent-ils ?
Dejan Momcilovic : Dernièrement, parler de la sécurité des informations, les médias utilisent de plus en plus un nouveau terme - appareils UTM. Le concept de gestion unifiée des menaces (UTM), en tant que classe distincte d'équipements pour la protection des ressources du réseau, a été introduit par l'agence internationale IDC, qui étudie le marché de l'informatique. Selon leur classification, les solutions UTM sont des systèmes logiciels et matériels multifonctionnels qui combinent les fonctions de différents dispositifs : un pare-feu, un système de détection et de prévention des intrusions sur le réseau et les fonctions d'une passerelle antivirus.
Les dispositifs UTM sont utilisés pour créer facilement, rapidement et efficacement un système de sécurité des ressources réseau. Ils sont particulièrement populaires auprès des PME (petites et moyennes entreprises) en raison de leur facilité d'utilisation et de leur rentabilité.
Pour être qualifié d'UTM complet, un appareil doit être actif, intégré et en couches. C'est-à-dire qu'il doit remplir les trois fonctions suivantes. Tout d'abord, pour fournir une protection à plusieurs niveaux dans le réseau. Deuxièmement, remplir les fonctions de filtre antivirus, de système de prévention des intrusions et de protection contre les logiciels espions au niveau de la passerelle du réseau. Troisièmement, protégez-vous contre les sites Web non sécurisés et les spams. Chaque fonction est responsable de certaines opérations. Par exemple, la protection multicouche fournit une analyse active du trafic en profondeur et transmet des informations sur le trafic suspect à divers modules de l'appareil, qui sont engagés dans la détection des anomalies du trafic, l'analyse du comportement de l'hôte et l'analyse des signatures de fichiers.
Séparément, il vaut la peine de s'attarder sur la protection contre les sites Web dangereux et le spam. Le mouvement incontrôlé des employés de l'entreprise sur Internet augmente le risque d'infection par des logiciels espions, des chevaux de Troie et de nombreux virus. De plus, la productivité du travail diminue débit réseau et il peut même arriver que l'entreprise doive répondre devant la loi de certaines infractions. Le service de filtrage d'URL vous permet de bloquer les sites Web dont le contenu n'est pas sécurisé ou répréhensible. Vous pouvez organiser l'accès aux ressources Web en fonction du jour de la semaine, des besoins du service ou des demandes individuelles des utilisateurs. Quant au spam, il peut complètement remplir serveur de courrier, surchargent les ressources du réseau et nuisent à la productivité des employés. Il peut aussi être porteur diverses sortes attaques dangereuses, y compris les virus, l'ingénierie sociale ou le phishing. En utilisant un service de blocage de spam dédié, vous pouvez arrêter efficacement le trafic inutile sur votre passerelle réseau avant qu'il n'entre dans le réseau et ne cause des dommages.
Alexeï partage : Quel est l'avantage des solutions UTM par rapport aux autres produits de sécurité informatique ?
Dejan Momcilovic : Vous pouvez acheter et installer des dispositifs individuels tels qu'un pare-feu, une passerelle antivirus, un système de prévention des intrusions, etc. Et vous pouvez utiliser un seul appareil qui exécute toutes ces fonctions. Par rapport à l'utilisation de systèmes séparés, travailler avec le complexe UTM présente un certain nombre d'avantages. Tout d'abord, l'avantage financier. Les systèmes intégrés, contrairement aux solutions de sécurité multicouches qui utilisent de nombreux appareils distincts, utilisent beaucoup moins de matériel. Cela se reflète dans le coût final. Une solution entièrement intégrée peut inclure un pare-feu, un VPN, une sécurité en couches, un filtre antivirus, une prévention des intrusions, un anti-logiciel espion, un filtre d'URL et des systèmes de surveillance et de contrôle centralisés.
Deuxièmement, arrêtez les attaques sur la passerelle réseau sans interrompre le flux de travail. Une approche en couches évite les catastrophes en bloquant les attaques réseau là où elles tentent de pénétrer le réseau. Étant donné que les niveaux protègent conjointement, le testé par certain critère le trafic n'est pas contrôlé à nouveau, à d'autres niveaux, selon le même critère. Par conséquent, la vitesse du trafic n'est pas réduite et les applications sensibles à la vitesse restent disponibles pour le fonctionnement.
Troisièmement, la facilité d'installation et d'utilisation. Les systèmes intégrés et gérés de manière centralisée facilitent la configuration et la gestion des appareils et des services. Cela simplifie grandement le travail des administrateurs et réduit les coûts opérationnels. La possibilité d'installer et de déployer facilement des systèmes à l'aide d'assistants, de paramètres par défaut optimaux et d'autres outils automatisés supprime de nombreux obstacles techniques à la création rapide d'un système de sécurité réseau.
Il existe une autre différence importante entre les systèmes UTM et les solutions traditionnelles. Le fait est que les solutions basées sur les signatures constituent l'épine dorsale de l'arsenal des solutions de sécurité depuis de nombreuses années et utilisent une base de données de modèles connus pour détecter et bloquer le trafic malveillant avant qu'il n'entre dans le réseau. Ces systèmes offrent une protection contre les menaces et les violations des politiques de sécurité telles que : les chevaux de Troie, les débordements de tampon, l'exécution accidentelle de code SQL malveillant, les services messagerie instantannée et la communication point à point (telle qu'utilisée par Napster, Gnutella et Kazaa).
Dans le même temps, une fois qu'une menace suspecte a été identifiée et identifiée, il peut s'écouler de plusieurs heures à plusieurs semaines avant que les fichiers de signature correspondants soient disponibles au téléchargement. Ce "décalage" crée une fenêtre de vulnérabilité (Figure 1) pendant laquelle les réseaux sont ouverts aux attaques :
Riz. 1. "Cycle de vie des attaques et fenêtre de vulnérabilité"
Dans les appareils UTM, la sécurité en couches fonctionne conjointement avec des solutions basées sur les signatures et d'autres services pour fournir une protection plus efficace contre les menaces avancées qui apparaissent à un rythme alarmant.
Alexeï partage : Quelles solutions UTM votre entreprise représente-t-elle ? Quelles fonctions remplissent-ils ?
Dejan Momcilovic : Rainbow Technologies est un distributeur de la société américaine WatchGuard en Russie et dans les pays de la CEI. Selon l'agence d'analyse de renommée mondiale IDC, WatchGuard est le leader des ventes d'appareils UTM pour les PME aux États-Unis et en Europe (données de 2005). Une gamme d'appareils Firebox X UTM est fournie sur notre marché, conçue à la fois pour les grandes entreprises et les petites entreprises.
Firebox X Edge est un pare-feu et un point de terminaison VPN pour les petites entreprises. Il est conçu pour les bureaux éloignés les uns des autres et utilisateurs mobiles et protège les ressources de l'entreprise contre les "menaces involontaires" des utilisateurs distants qui accèdent au réseau.
foyer x bord
Firebox X Core de WatchGuard est la gamme phare d'appareils UTM qui offre une protection Zero-Day - une protection contre les menaces nouvelles et inconnues avant même qu'elles n'apparaissent et ne soient détectées. Le trafic qui entre dans le réseau est contrôlé à plusieurs niveaux, grâce auxquels il est activement bloqué : virus, vers, logiciels espions, chevaux de Troie et menaces mixtes sans l'utilisation de signatures.
Firebox X Peak est une protection UTM pour les réseaux plus étendus, fournissant une bande passante de pare-feu jusqu'à 1 Go.
Alexeï partage : En quoi vos produits UTM diffèrent-ils des produits UTM de vos concurrents ?
Dejan Momcilovic : Aujourd'hui, seuls les appareils UTM de fabricants étrangers sont présentés en Russie. De plus, la plupart d'entre eux, présentant leurs appareils et les appelant UTM, combinent simplement les fonctionnalités de dispositifs de sécurité réseau indépendants (tels qu'un pare-feu, une passerelle antivirus, un système de détection / prévention des intrusions) dans un seul boîtier avec un seul système de surveillance et de contrôle. . Outre les avantages indéniables mentionnés précédemment, cette approche présente également de sérieux inconvénients :
Des appareils séparés, lorsqu'ils utilisent une plate-forme commune, consomment une grande quantité de ressources informatiques, ce qui entraîne des exigences accrues pour le composant matériel d'une telle solution, augmentant ainsi le coût global.
Formellement réunis dans un boîtier, les appareils distincts sont, par essence, indépendants les uns des autres et n'échangent pas entre eux les résultats de l'analyse du trafic qui les traverse. Il en résulte que le trafic entrant ou sortant du réseau doit passer par tous les appareils, souvent soumis à des vérifications en double. En conséquence, la vitesse du trafic passant par l'appareil chute fortement.
En raison du manque d'interaction entre les blocs fonctionnels individuels de l'appareil, indiqué ci-dessus, la probabilité d'un trafic potentiellement dangereux entrant dans le réseau augmente.
Au cœur des solutions UTM de WatchGuard se trouve l'architecture Intelligent Layered Security (ILS), qui élimine les inconvénients ci-dessus des autres solutions UTM. Examinons de plus près le fonctionnement de l'ILS. Cette architecture est au cœur de la gamme d'appareils UTM Firebox X de WatchGuard et offre une protection efficace aux entreprises en pleine croissance. En utilisant une interaction dynamique entre les couches, ILS garantit la sécurité avec des performances optimales de l'appareil.
L'architecture ILS se compose de six couches de protection (Figure 2) interagissant les unes avec les autres. Ainsi, trafic suspect est dynamiquement détecté et bloqué, et le normal est autorisé à l'intérieur du réseau. Cela vous permet de résister aux attaques connues et inconnues, offrant une protection maximale à un coût minimal.
Riz. 2. "Architecture de la sécurité intelligente en couches et de l'UTM"
Chaque couche de protection remplit les fonctions suivantes :
1. Les services de sécurité externes interagissent avec la protection du réseau interne (anti-virus sur les postes, etc.).
2. Le service de vérification de l'intégrité des données vérifie l'intégrité des paquets transitant par le dispositif et la conformité de ces paquets aux protocoles de transmission.
3. Le service VPN vérifie si le trafic appartient à des connexions externes cryptées de l'organisation.
4. Pare-feu avec analyse d'état dynamique limite le trafic vers les sources et les destinations en fonction de la politique de sécurité configurée.
5. Le service d'analyse approfondie des applications coupe les fichiers dangereux par modèles ou types de fichiers, bloque les commandes dangereuses, convertit les données afin d'éviter les fuites de données critiques.
6. Le service d'inspection du contenu utilise des technologies basées sur la signature, le blocage des spams et le filtrage des URL.
Toutes ces couches de protection interagissent activement les unes avec les autres, transmettant les données obtenues à partir de l'analyse du trafic dans une couche à toutes les autres couches. Ce qui permet :
1. Réduisez l'utilisation des ressources informatiques du périphérique UTM et, en réduisant les exigences matérielles, réduisez le coût global.
2. Atteindre un ralentissement minimal dans le passage du trafic à travers le dispositif UTM, en raison non pas de toutes, mais uniquement des vérifications nécessaires.
3. Résistez non seulement aux menaces connues, mais offrez également une protection contre les nouvelles attaques non encore identifiées.
Alexeï partage : Quoi soutien technique recevoir des utilisateurs de vos produits UTM ?
Dejan Momcilovic : La base de toutes les solutions WatchGuard est le support continu de la sécurité du périmètre du réseau au plus haut niveau, qui est réalisé à l'aide du service électronique LiveSecurity. Les abonnés reçoivent régulièrement des mises à jour logicielles, une assistance technique, des conseils d'experts, des mesures pour prévenir d'éventuels dommages causés par de nouvelles méthodes d'attaque, etc. Tous les produits Firebox X sont fournis avec un abonnement gratuit de 90 jours au service LiveSecurity, qui est de loin le plus système complet dans l'industrie informatique de support technique et de services à distance.
LiveSecurity se compose de plusieurs modules. Celles-ci, à leur tour, incluent : une assistance technique en temps réel, une assistance et des mises à jour logicielles, des formations et des manuels, ainsi que des messages spéciaux LiveSecurity Broadcasts (notification rapide des menaces et des méthodes pour y faire face).
Firebox X
Alexeï partage : Combien coûtent vos solutions UTM et combien cela coûte-t-il de les faire fonctionner annuellement ? Où pouvez-vous acheter vos produits ?
Dejan Momcilovic : Nous ne travaillons pas avec les utilisateurs finaux, puisque nous n'avons pas de structure de vente au détail - c'est notre politique commerciale. Vous pouvez acheter des appareils WatchGuard Firebox X UTM auprès de nos partenaires - intégrateurs de systèmes ou revendeurs, dont la liste est disponible sur le site Web http://www.rainbow.msk.ru. Ils fournissent également des informations sur le prix de vente au détail de ces appareils.
Alexeï partage : Quelles sont vos prévisions de ventes d'appareils UTM dans notre pays ?
Dejan Momcilovic : Les ventes mondiales d'appareils UTM sont en croissance. Et notre marché ne fait pas exception. Par rapport à 2002, le segment des appareils UTM a augmenté de 160% en 2005 (selon l'étude du marché mondial par l'agence IDC). Ce chiffre indique une croissance très rapide, et malgré le fait que le marché russe est significativement "en retard" par rapport aux États-Unis et à l'Europe, nous prévoyons également une augmentation significative de la popularité des appareils UTM dans un avenir très proche.
Alexeï partage : Merci d'avoir pris le temps de répondre à toutes nos questions. Bonne chance, et tout mes voeux de réussite! C'est le résultat d'une enquête menée auprès de plus de 1 000 responsables de départements informatiques de grandes et moyennes entreprises européennes, commandée par Intel. Le but de l'enquête était d'identifier un problème qui préoccupe davantage les professionnels de l'industrie. La réponse était tout à fait attendue, plus de la moitié des répondants ont appelé le problème de la sécurité du réseau, un problème qui doit être résolu immédiatement. D'autres résultats de l'enquête peuvent également être qualifiés de tout à fait attendus. Par exemple, le facteur de sécurité du réseau est à l'avant-plan parmi d'autres problèmes dans le domaine de technologies de l'information; son importance a augmenté de 15 % par rapport à la situation qui existait il y a cinq ans.
Selon l'enquête, plus de 30 % de leur temps est consacré par des informaticiens hautement qualifiés à des questions de sécurité. La situation qui prévaut dans grandes entreprises(avec plus de 500 employés) est encore plus inquiétant - environ un quart des répondants consacrent la moitié de leur temps à ces questions.
Équilibre entre menaces et protection
Hélas, la question de la sécurité des réseaux est inextricablement liée aux technologies fondamentales utilisées dans les télécommunications modernes. Il se trouve que lors du développement d'une famille de protocoles IP, la priorité a été donnée à la fiabilité du réseau dans son ensemble. Au moment de l'émergence de ces protocoles, la sécurité du réseau était assurée de manières complètement différentes, qui sont tout simplement irréalistes à utiliser dans des conditions réseau mondial. Vous pouvez vous plaindre bruyamment de la myopie des développeurs, mais il est presque impossible de changer radicalement la situation. Maintenant vous avez juste besoin de pouvoir vous protéger des menaces potentielles.Le principe de base de cette compétence devrait être équilibre entre les menaces potentielles à la sécurité du réseau et le niveau de protection nécessaire. Une commensurabilité doit être assurée entre le coût de la sécurité et le coût des dommages éventuels des menaces réalisées.
Pour une grande et moyenne entreprise moderne, les technologies de l'information et des télécommunications sont devenues la base de la conduite des affaires. Par conséquent, ils se sont avérés être les plus sensibles à l'impact des menaces. Plus le réseau est grand et complexe, plus il faut d'efforts pour le protéger. Dans le même temps, le coût de la création de menaces est de plusieurs ordres de grandeur inférieur au coût de leur neutralisation. Cet état de fait oblige les entreprises à peser soigneusement les conséquences des risques possibles de diverses menaces et à choisir les moyens appropriés pour se protéger contre les plus dangereuses.
Actuellement, les plus grandes menaces pour l'infrastructure de l'entreprise sont les activités liées à l'accès non autorisé aux ressources internes et avec blocage fonctionnement normal réseaux. Ces menaces sont assez nombreuses, mais chacune repose sur une combinaison de facteurs techniques et humains. Par exemple, la pénétration d'un programme malveillant dans un réseau d'entreprise peut se produire non seulement en raison de la négligence de l'administrateur du réseau vis-à-vis des règles de sécurité, mais également en raison de la curiosité excessive d'un employé de l'entreprise qui décide d'utiliser un lien tentant à partir d'un courrier indésirable. Par conséquent, il ne faut pas espérer que même les meilleures solutions techniques dans le domaine de la sécurité deviendront une panacée à tous les maux.
Solutions de classe UTM
La sécurité est toujours un concept relatif. S'il y en a trop, alors l'utilisation du système lui-même, que nous allons protéger, devient sensiblement plus compliquée. Par conséquent, un compromis raisonnable devient le premier choix pour assurer la sécurité du réseau. Pour les entreprises de taille moyenne, selon les normes russes, un tel choix pourrait bien aider à créer des solutions de pointe. UTM (Unified Threat Management ou United Threat Management), positionnés comme des dispositifs multifonctionnels de sécurité des réseaux et de l'information. À la base, ces solutions sont des systèmes logiciels et matériels qui combinent les fonctions de différents dispositifs : un pare-feu (pare-feu), des systèmes de détection et de prévention des intrusions sur le réseau (IPS), ainsi que des fonctions de passerelle antivirus (AV). Souvent, ces complexes sont chargés de résoudre des tâches supplémentaires, telles que le routage, la commutation ou la prise en charge de réseaux VPN.Souvent, les fournisseurs de solutions UTM proposent de les utiliser dans les petites entreprises. Cette approche est peut-être en partie justifiée. Néanmoins, il est plus facile et moins cher pour les petites entreprises de notre pays d'utiliser le service de sécurité de leur fournisseur d'accès Internet.
Comme toute solution universelle, l'équipement UTM a ses avantages et ses inconvénients.. Les premiers incluent des économies de coûts et de temps de mise en œuvre par rapport à l'organisation d'une protection d'un niveau similaire à partir de dispositifs de sécurité distincts. De plus, UTM est une solution pré-équilibrée et testée qui peut résoudre un large éventail de problèmes de sécurité. Enfin, les solutions de cette classe ne sont pas si exigeantes sur le niveau de qualification du personnel technique. Tout spécialiste peut facilement prendre en charge leur configuration, leur gestion et leur maintenance.
Le principal inconvénient de l'UTM est le fait que toute fonctionnalité d'une solution universelle est souvent moins efficace que la même fonctionnalité d'une solution spécialisée. C'est pourquoi, lorsque des performances élevées sont requises ou haut degré les professionnels de la sécurité préfèrent utiliser des solutions basées sur l'intégration de produits individuels.
Cependant, malgré cet inconvénient, les solutions UTM sont de plus en plus demandées par de nombreuses organisations qui diffèrent considérablement par leur échelle et leur type d'activité. Selon Rainbow Technologies, de telles solutions ont été mises en œuvre avec succès, par exemple, pour protéger le serveur de l'un des magasins Internet d'appareils électroménagers, qui était régulièrement soumis à des attaques DDoS. De plus, la solution UTM a permis de réduire considérablement le volume de spam dans le système de messagerie d'un des holdings automobiles. En plus de résoudre des problèmes locaux, j'ai de l'expérience dans la construction de systèmes de sécurité basés sur des solutions UTM pour un réseau distribué couvrant le siège social d'une entreprise brassicole et ses succursales.
Les fabricants d'UTM et leurs produits
Le marché russe des équipements de classe UTM n'est formé que par les offres de fabricants étrangers. Malheureusement, aucun des fabricants nationaux n'a encore été en mesure de proposer ses propres solutions dans cette classe d'équipements. L'exception est la solution logicielle Eset NOD32 Firewall, qui, selon la société, a été créée par des développeurs russes.Comme indiqué précédemment, sur le marché russe, les solutions UTM peuvent intéresser principalement les entreprises de taille moyenne comptant jusqu'à 100 à 150 postes de travail dans leur réseau d'entreprise. Lors de la sélection d'équipements UTM à présenter dans le cadre de l'examen, le principal critère de sélection était sa performance dans différents modes de fonctionnement, ce qui pouvait fournir travail confortable utilisateurs. Souvent, les fabricants répertorient les spécifications de performances pour les modes Pare-feu, Prévention des intrusions IPS et Antivirus AV.
Décision Point de contrôle est appelé Bord UTM-1 et est un dispositif de sécurité unifié qui combine un pare-feu, un système de prévention des intrusions, une passerelle antivirus, ainsi que des outils de création de VPN et accès à distance. Le pare-feu inclus dans les contrôles de la solution fonctionne avec un grand nombre d'applications, de protocoles et de services, et dispose également d'un mécanisme de blocage du trafic qui ne rentre clairement pas dans la catégorie des applications métier. Par exemple, le trafic de messagerie instantanée (IM) et peer-to-peer (P2P). La passerelle antivirus vous permet de surveiller le code malveillant dans les e-mails, le trafic FTP et HTTP. Dans le même temps, il n'y a aucune restriction sur la taille des fichiers et la décompression des fichiers d'archives est effectuée "à la volée".
La solution UTM-1 Edge dispose de fonctionnalités VPN avancées. Le routage dynamique OSPF et la connectivité client VPN sont pris en charge. L'UTM-1 Edge W est livré avec un Borne wifi Accès IEEE 802.11b/g.
Pour les grands déploiements, UTM-1 Edge s'intègre de manière transparente à Check Point SMART pour simplifier la gestion de la sécurité.
Cisco accorde traditionnellement une attention particulière aux problèmes de sécurité des réseaux et propose une large gamme de appareils nécessaires. Pour l'examen, nous avons décidé de choisir un modèle CiscoASA 5510, qui vise à assurer la sécurité du périmètre du réseau d'entreprise. Cet équipement fait partie de la série ASA 5500, qui comprend des systèmes de protection modulaires de la classe UTM. Cette approche vous permet d'adapter le système de sécurité aux spécificités du fonctionnement du réseau d'une entreprise particulière.
Cisco ASA 5510 est disponible en quatre kits principaux : pare-feu, outils de création de VPN, système de prévention des intrusions, ainsi que des outils de protection contre les virus et les spams. La solution comprend des composants supplémentaires tels que le système Security Manager pour former une infrastructure de gestion pour un vaste réseau d'entreprise, et le système Cisco MARS, conçu pour surveiller l'environnement réseau et répondre aux failles de sécurité en temps réel.
slovaque Entreprise Eset fournit un progiciel Pare-feu Eset NOD32 classe UTM, qui comprend, outre les fonctions de pare-feu d'entreprise, le système de protection antivirus Eset NOD32, des outils de filtrage du courrier (antispam) et du trafic Web, des systèmes de détection et d'alerte attaques réseau IDS et IPS. La solution prend en charge la création de réseaux VPN. Ce complexe est basé sur une plate-forme serveur fonctionnant sous Linux. La partie logicielle de l'appareil a été développée entreprise nationale Leta IT, contrôlé par le bureau de représentation russe d'Eset.
Cette solution vous permet de contrôler le trafic réseau en temps réel, le filtrage du contenu par catégories de ressources Web est pris en charge. Fournit une protection contre les attaques DDoS et bloque les tentatives d'analyse des ports. La solution Eset NOD32 Firewall inclut la prise en charge des serveurs DNS, DHCP et du contrôle des changements de bande passante. Le trafic des e-mails est contrôlé Protocoles SMTP, POP3.
Cette solution inclut également la possibilité de créer des réseaux d'entreprise en utilisant des connexions VPN. Dans le même temps, divers modes d'agrégation de réseau, d'algorithmes d'authentification et de chiffrement sont pris en charge.
Fortinet offre toute une famille d'appareils FortiGate classe UTM, positionnant ses solutions comme capables d'assurer la protection du réseau tout en maintenant un haut niveau de performance, ainsi qu'un fonctionnement fiable et transparent des systèmes d'information de l'entreprise en temps réel. Pour examen, nous avons choisi modèle FortiGate-224B, qui est conçu pour protéger le périmètre d'un réseau d'entreprise avec 150 à 200 utilisateurs.
Le matériel FortiGate-224B comprend une fonctionnalité de pare-feu, Serveurs VPN, le filtrage du trafic Web, les systèmes de prévention des intrusions, ainsi que la protection antivirus et anti-spam. Ce modèle dispose d'un commutateur LAN de couche 2 et d'interfaces WAN intégrés, éliminant ainsi le besoin de périphériques externes routage et commutation. Pour cela, le routage via les protocoles RIP, OSPF et BGP est pris en charge, ainsi que les protocoles d'authentification des utilisateurs avant de fournir des services réseau.
Société SonicWALL offre une large gamme d'appareils UTM à partir desquels cet avis horrible décision NSA 240. Cet équipement est le modèle le plus récent de la gamme, axé sur l'utilisation en tant que système de protection du réseau d'entreprise d'une entreprise de taille moyenne et des succursales de grandes entreprises.
La base de cette ligne est l'utilisation de tous les moyens de protection contre les menaces potentielles. Il s'agit du pare-feu, du système de protection contre les intrusions, des passerelles antivirus et anti-logiciels espions. Logiciel. Il existe un filtrage du trafic web par 56 catégories de sites.
Comme l'un des points forts de sa solution, SonicWALL note la technologie d'analyse approfondie et d'analyse du trafic entrant. Pour éliminer la dégradation des performances, cette technologie utilise le traitement parallèle des données sur un cœur multiprocesseur.
Cet équipement prend en charge le VPN, dispose de capacités de routage avancées et prend en charge divers protocoles réseau. De plus, la solution de SonicWALL est capable de fournir un haut niveau de sécurité lors de la gestion du trafic VoIP via les protocoles SIP et H.323.
De la gamme de produits compagnie de gardiennage la solution a été sélectionnée pour examen Firebox X550e, qui se positionne comme un système doté de fonctionnalités avancées pour assurer la sécurité du réseau et se concentre sur l'utilisation dans les réseaux de petites et moyennes entreprises.
Les solutions de classe UTM de ce fabricant reposent sur l'utilisation du principe de protection contre les attaques réseau mixtes. Pour ce faire, l'équipement supporte un pare-feu, un système de prévention des attaques, des passerelles anti-virus et anti-spam, un filtrage des ressources web, ainsi qu'un système de lutte contre les logiciels espions.
Cet équipement utilise le principe de protection conjointe, selon lequel le trafic réseau contrôlé par un certain critère à un niveau de protection ne sera pas contrôlé par le même critère à un autre niveau. Cette approche garantit des performances élevées de l'équipement.
Autre atout de sa solution, le constructeur fait appel au support de la technologie Zero Day, qui assure l'indépendance de la sécurité par rapport à la présence de signatures. Cette fonctionnalité est importante lorsque de nouveaux types de menaces apparaissent, pour lesquels des contre-mesures efficaces n'ont pas encore été trouvées. Typiquement, la "fenêtre de vulnérabilité" dure de plusieurs heures à plusieurs jours. Lors de l'utilisation de la technologie Zero Day, la probabilité de conséquences négatives de la fenêtre de vulnérabilité est considérablement réduite.
Société ZyXEL propose sa propre solution de pare-feu de classe UTM pour les réseaux d'entreprise comptant jusqu'à 500 utilisateurs. il Solution ZyWALL 1050 est conçu pour créer un système de sécurité réseau comprenant une protection antivirus complète, la prévention des intrusions et la prise en charge des réseaux privés virtuels. L'appareil dispose de cinq ports Gigabit Ethernet qui peuvent être configurés pour être utilisés comme interfaces WAN, LAN, DMZ et WLAN en fonction de la configuration du réseau.
L'appareil prend en charge la transmission du trafic d'application VoIP via les protocoles SIP et H.323 au niveau du pare-feu et du NAT, ainsi que la transmission du trafic de téléphonie par paquets dans les tunnels VPN. Cela garantit le fonctionnement de mécanismes de prévention des attaques et des menaces pour tous les types de trafic, y compris le trafic VoIP, le fonctionnement d'un système antivirus avec une base de données complète de signatures, le filtrage du contenu par 60 catégories de sites et la protection anti-spam.
La solution ZyWALL 1050 prend en charge une variété de topologies de réseau privé, le mode concentrateur VPN et la consolidation des réseaux virtuels en zones avec des politiques de sécurité uniformes.
Principales caractéristiques de l'UTM
Opinion d'expert
Dmitry Kostrov, directeur de projet de la direction de la protection technologique du centre d'entreprise de MTS OJSCLe périmètre des solutions UTM s'étend principalement aux entreprises appartenant aux petites et moyennes entreprises. Le concept même de gestion unifiée des menaces (UTM), en tant que classe distincte d'équipements pour la protection des ressources du réseau, a été introduit par l'agence internationale IDC, selon laquelle les solutions UTM sont des systèmes logiciels et matériels multifonctionnels qui combinent les fonctions de différents appareils. Il s'agit généralement d'un pare-feu, d'un VPN, de systèmes de détection et de prévention des intrusions, ainsi que de fonctions de passerelle anti-virus et anti-spam et de filtrage d'URL.
Pour vraiment atteindre protection efficace le dispositif doit être en couches, actif et intégré. Dans le même temps, de nombreux fabricants d'équipements de protection disposent déjà d'une gamme assez large de produits liés à l'UTM. Une facilité suffisante de déploiement des systèmes, ainsi que l'obtention d'un système tout-en-un, rendent le marché de ces appareils assez attractif. Le coût total de possession et le retour sur investissement de ces appareils semblent très attractifs.
Mais cette solution UTM est comme un "couteau suisse" - il y a un outil pour chaque occasion, mais vous avez besoin d'une vraie perceuse pour percer un trou dans le mur. Il est également possible que l'apparition d'une protection contre de nouvelles attaques, des mises à jour de signature, etc. ne sera pas aussi rapide, contrairement à la prise en charge des appareils individuels qui sont dans le schéma "classique" de protection des réseaux d'entreprise. Il y a aussi le problème d'un point de défaillance unique.
Il existe une opinion selon laquelle UTM et NGFW sont une seule et même chose. Je veux dissiper cette opinion.
Quel était le premier?
C'est vrai, il y a d'abord eu UTM (Unified Threat Management). C'est un système tout-en-un. Quelqu'un d'intelligent a deviné de mettre plusieurs moteurs de protection sur un serveur à la fois. Les gardes de sécurité ont eu l'opportunité de recevoir immédiatement à la fois le contrôle et le fonctionnement de plusieurs moteurs de sécurité à partir d'un seul boîtier. Désormais, le pare-feu, le VPN, l'IPS, l'antivirus, le filtre Web et l'antispam fonctionnent ensemble. Quelqu'un d'autre bloque d'autres moteurs, par exemple DLP. Désormais, un moteur de déchiffrement SSL et SSH et un moteur d'analyse et de blocage d'application sont obligatoires sur les 7 couches du modèle ISO OSI. En règle générale, les moteurs proviennent de différents fournisseurs ou même de fournisseurs gratuits, par exemple, IPS de SNORT, l'antivirus clamav ou le pare-feu iptables. Étant donné que le pare-feu est toujours un routeur ou un commutateur pour le trafic, le moteur de routage dynamique provient également le plus souvent d'un fabricant. Au fur et à mesure que la demande augmentait, de grands acteurs sont apparus sur le marché qui ont pu acheter plusieurs bons développements pour le moteur requis et combiner leur travail dans un seul appareil UTM. Par exemple, Check Point a acheté IPS à NFR, Cisco a acheté IPS à Sourcefire. Les marques populaires peuvent être vues sur la place Gartner UTM. En 2017, les leaders UTM selon Gartner sont Check Point, Fortinet et Sophos.
Inconvénients de l'architecture UTM. Pourquoi NGFW est-il apparu ?
Fig 1. Un exemple de l'architecture de l'UTM.
Le premier problème architectural de l'UTMétait que tous les moteurs à l'intérieur se transmettaient tour à tour des paquets réseau et attendaient que le moteur précédent termine son travail pour démarrer le sien. Par conséquent, plus un fournisseur intègre de fonctionnalités à son appareil, plus il fonctionne lentement. En conséquence, les utilisateurs de ces appareils doivent désactiver l'IPS et l'antivirus ou certaines de leurs signatures pour que le trafic puisse fonctionner. Autrement dit, ils semblent avoir payé comme dispositif de protection, mais ils ne l'utilisent que comme routeur. Il fallait trouver quelque chose pour que les moteurs de protection ne s'attendent pas et fonctionnent en parallèle.
Une nouvelle décision des fabricants de NGFW était qu'ils utilisaient des puces spécialisées qui regardaient le même trafic en même temps. Cela est devenu possible parce que chaque processeur est devenu responsable de sa propre fonction : les signatures IPS ont été programmées dans l'un, les signatures antivirus dans l'autre et les signatures URL dans le troisième. Vous pouvez activer toutes les signatures dans tous les moteurs - le trafic est entièrement protégé sans dégradation des performances. Les puces programmables de ce type sont appelées FPGA (Programmable Logic circuit intégré) ou dans la littérature anglaise sur les FPGA. Leur différence avec les ASIC est qu'ils peuvent être reprogrammés à la volée et effectuer de nouvelles fonctions, comme la vérification de nouvelles signatures, après la mise à jour du microcode, ou toute autre fonction. C'est ce que NGFW utilise - toutes les mises à jour sont flashées directement dans les puces FPGA.
Fig 2. Un exemple de l'architecture du travail de Palo Alto Networks NGFW.
Le deuxième problème architectural de l'UTM est devenu que toutes les opérations de fichiers nécessaires travailler dur disque. Quelle est la vitesse de lecture du disque dur ? 100 mégaoctets par seconde. Et que fera l'UTM si vous disposez de 10 Go de débit dans votre centre de données ? Si 300 personnes de votre entreprise décident de télécharger un dossier de fichiers sur le réseau Microsoft (protocole SMB), que fera l'UTM ? Les mauvais UTM se chargeront simplement à 100% et cesseront de fonctionner. Dans les UTM avancés, dans ce cas, divers mécanismes de désactivation automatique du fonctionnement des moteurs de protection sont intégrés : contournement antivirus, contournement ips et autres qui désactivent les fonctions de sécurité lorsque la charge matérielle dépasse ses capacités. Et si vous avez besoin non seulement de sauvegarder le fichier, mais aussi de décompresser l'archive ? La cadence de travail est encore réduite. Par conséquent, les UTM sont principalement utilisés dans les petites entreprises où les vitesses n'étaient pas importantes ou où la sécurité était une option.
La pratique montre que dès que la vitesse du réseau augmente, dans UTM, vous devez désactiver tous les moteurs, à l'exception du routage et du pare-feu de paquets, ou simplement installer un pare-feu standard. Autrement dit, la tâche a longtemps consisté à accélérer en quelque sorte le travail de l'antivirus de fichiers.
Un nouveau changement architectural pour le premier fabricant de NGFW, apparu en 2007, était que les fichiers n'étaient plus enregistrés sur le disque, c'est-à-dire que toute l'analyse du trafic, le décodage et l'assemblage de fichiers pour l'analyse antivirus ont commencé à être effectués en mémoire. Cela a considérablement augmenté les performances des dispositifs de protection et les a découplés des performances des disques durs. Les vitesses du réseau augmentent plus rapidement que les disques durs. Seul NGFW sauvera les gardes de sécurité. Maintenant, selon Gartner, il y a deux leaders dans NGFW : Palo Alto Networks et Check Point.
Et comment fonctionnent-ils avec les applications de niveau 7 en UTM et NGFW ?
Avec l'avènement de NGFW, les clients ont une nouvelle opportunité - la définition d'applications de couche 7. Les ingénieurs réseau étudient le modèle de réseau à sept couches Communication OSI ISO. Au 4ème niveau de ce modèle, les protocoles TCP et UDP fonctionnent, ce qui au cours des 20 dernières années d'exploitation des réseaux IP était considéré comme suffisant pour l'analyse et le contrôle du trafic. Autrement dit, un pare-feu normal affiche simplement les adresses IP et les ports. Et qu'est-ce qui est fait aux niveaux 5 à 7 suivants ? Le pare-feu de nouvelle génération voit tous les niveaux d'abstraction et montre quelle application a transféré quel fichier. Cela améliore considérablement la compréhension informatique des interactions réseau et améliore la sécurité en exposant le tunneling dans les applications exposées et en permettant de bloquer l'application plutôt que le port uniquement. Par exemple, comment bloquer skype ou bittorent avec un pare-feu classique d'ancienne génération ? Oui, pas moyen.
Les fournisseurs UTM ont finalement ajouté un moteur de définition d'application. Cependant, ils ont deux moteurs de contrôle du trafic - le port 4 sur Niveau TCP, UDP et ICMP et au niveau de la recherche de contenu d'application dans le trafic teamviewer, tor, skype. Il s'est avéré que l'UTM a plusieurs politiques : l'une contrôle les ports, la seconde contrôle les applications. Et cela crée beaucoup de difficultés, du coup, personne n'utilise la politique de contrôle des applications.
Sur le thème de la visualisation au niveau de l'application, je joins une présentation. Il aborde également le thème du Shadow IT. Mais plus à ce sujet plus tard..
ENNEMI A LA PORTE
APERÇU DES SOLUTIONS UTM POPULAIRES
L'Internet moderne est confronté à de nombreuses menaces et les administrateurs doivent consacrer la majeure partie de leur temps de travail à la sécurité du réseau. Apparus sur le marché informatique, les dispositifs de sécurité multifonctions UTM ont immédiatement attiré l'attention des professionnels de la sécurité, car ils combinent plusieurs modules de protection avec une facilité de déploiement et de gestion.
QU'EST-CE QUE L'UTM ?
Les entreprises ont besoin d'un outil fiable et facile à gérer pour se protéger contre les attaques de réseau, les virus, les spams et les communications sécurisées. Le problème est particulièrement aigu dans les réseaux des petites et moyennes entreprises, où il n'y a souvent aucune opportunité technique et financière de déployer des systèmes de sécurité hétérogènes. Et il n'y a généralement pas assez de spécialistes formés dans ces organisations. C'est pour ces conditions que des dispositifs réseau multicouches multifonctionnels ont été développés, appelés UTM (Unified Threat Management, dispositif de protection unifié). Issus des pare-feux, les UTM regroupent aujourd'hui les fonctions de plusieurs solutions : un pare-feu avec DPI (Deep Packet Inspection), un système de protection contre les intrusions (IDS/IPS), un anti-spam, un anti-virus et un filtrage de contenu. Souvent, ces appareils ont la capacité Organisations VPN, l'authentification des utilisateurs, l'équilibrage de charge, la comptabilité du trafic et autres. Un appareil tout-en-un avec une seule console de réglage peut être rapidement mis en service et, à l'avenir, il sera tout aussi simple de mettre à jour toutes les fonctions ou d'en ajouter de nouvelles. Tout ce qui est exigé d'un spécialiste est une compréhension de quoi et comment protéger. Le prix de l'UTM est généralement inférieur au coût de plusieurs applications et/ou appareils.
Le marché UTM est assez vaste et affiche une augmentation annuelle de 25 à 30% (remplaçant progressivement le pare-feu "propre"), presque tous les grands acteurs ont déjà présenté leurs solutions, tant matérielles que logicielles. Lequel utiliser est souvent une question de goût et de confiance dans le développeur, un support adéquat et, bien sûr, des conditions spécifiques sont également importants. Le seul point est que vous devez choisir un serveur fiable et productif, en tenant compte de la charge prévue, car désormais un système effectuera plusieurs vérifications, ce qui nécessitera des ressources supplémentaires. Dans le même temps, vous devez être prudent : les caractéristiques des solutions UTM indiquent généralement le débit du pare-feu, et Capacités IPS, VPN et d'autres composants sont souvent inférieurs d'un ordre de grandeur. Le serveur UTM est un point d'accès unique, dont la défaillance laissera effectivement l'organisation sans Internet, de sorte qu'une variété d'options de récupération ne sera pas non plus superflue. Les implémentations matérielles ont souvent des coprocesseurs supplémentaires utilisés pour traiter certains types de données, tels que le chiffrement ou l'analyse de contexte, pour décharger le processeur principal. Mais l'implémentation logicielle peut être installée sur n'importe quel PC, avec la possibilité d'une mise à niveau supplémentaire de n'importe quel composant. A cet égard, les solutions OpenBoyce (Untangle, pfSense, Endian, et autres) présentent un intérêt, qui permettent d'importantes économies sur les logiciels. La plupart de ces projets proposent également des versions commerciales avec des fonctionnalités avancées et un support technique.
La société californienne Fortinet, fondée en 2000, est aujourd'hui l'un des plus grands fournisseurs d'appareils UTM axés sur différentes charges de travail - du petit bureau (FortiGate-30) aux centres de données (FortiGate-5000). Les appliances FortiGate sont une plate-forme matérielle qui offre une protection contre les menaces réseau. La plate-forme est équipée d'un pare-feu, d'un IDS/IPS, d'un contrôle antivirus du trafic, d'un anti-spam, d'un filtre Web et d'un contrôle des applications. Certains modèles prennent en charge DLP, VoIP, la mise en forme du trafic, l'optimisation WAN, la tolérance aux pannes, l'authentification des utilisateurs pour accéder aux services réseau, PKI, etc. Le mécanisme des profils actifs permet de détecter un trafic atypique (avec réponse automatique à un tel événement). Anti-Virus peut analyser les fichiers de toute taille, y compris ceux des archives, tout en maintenant un haut niveau de performances. Le mécanisme de filtrage Web vous permet de définir l'accès à plus de 75 catégories de sites Web, de spécifier des quotas, y compris ceux en fonction de l'heure de la journée. Par exemple, l'accès aux portails de divertissement ne peut être autorisé qu'en dehors des heures de bureau. Le module de contrôle des applications détecte le trafic typique (Skype, P2P, IM, etc.) quel que soit le port, les règles de mise en forme du trafic sont spécifiées pour les applications et les catégories individuelles. Les zones de sécurité et les domaines virtuels vous permettent de diviser votre réseau en sous-réseaux logiques. Certains modèles ont un commutateur LAN de couche 2 et des interfaces WAN, le routage RIP, 0SPF et BGP est pris en charge. La passerelle peut être configurée dans l'une des trois options suivantes : mode transparent, NAT statique et dynamique, ce qui vous permet d'implémenter sans effort FortiGate dans n'importe quel réseau. Pour protéger les points d'accès, une modification spéciale avec Wi-Fi est utilisée - FortiWiFi. Pour couvrir les systèmes (PC sous Windows, téléphones intelligents androïdes) qui opèrent en dehors d'un réseau de confiance, ils peuvent installer le programme d'agent FortiClient, qui comprend un ensemble complet de protections (pare-feu, antivirus, 5SL et VPN IPsec, IPS, filtre Web, anti-spam, etc.). FortiManager et FortiAnalyzer sont utilisés pour gérer de manière centralisée plusieurs appareils Fortinet et analyser les journaux d'événements.
En plus de l'interface Web et du terminal, pour la configuration de base de FortiGate / FortiWiFi, vous pouvez utiliser le programme FortiExplorer (disponible dans la version pour Win et Mac OS X), qui offre un accès à l'interface graphique et à la CLI (les commandes ressemblent à Cisco). L'une des caractéristiques de FortiGate est un chipset FortiASIC spécialisé, qui fournit une analyse de contenu et un traitement du trafic réseau et permet une détection en temps réel des menaces réseau sans affecter les performances du réseau. Tous les appareils utilisent un système d'exploitation spécialisé - FortiOS.
Point de contrôle UTM-1
PLATEFORME : Check Point UTM-1 PROJET SITE INTERNET : rus.checkpoint.com LICENCE : payante RÉALISATION : matériel Check Point propose trois gammes d'appareils de classe UTM : UTM-1, UTM-1 Edge (bureaux distants) et SafeOOffice (petites entreprises). Les solutions contiennent tout ce dont vous avez besoin pour protéger votre réseau : pare-feu, IPS, passerelle antivirus, anti-spam, outils de construction VPN SSL et accès à distance. Le pare-feu est capable de distinguer le trafic inhérent à la plupart des applications et services (plus de 200 protocoles), l'administrateur peut facilement bloquer l'accès aux réseaux IM, P2P ou Skype. Fournit une protection des applications Web et un filtre d'URL, la base de données Check Point contient plusieurs millions de sites, dont l'accès peut être facilement bloqué. L'antivirus analyse les flux HTTP/FTP/SMTP/P0P3/IMAP, n'a pas de limite de taille de fichier et peut fonctionner avec des archives. Les modèles UTM-1 avec la lettre W sont disponibles avec un point d'accès Wi-Fi intégré. IPS utilise différentes méthodes de détection et d'analyse : signatures de vulnérabilités, analyse des protocoles et du comportement des objets, détection d'anomalies. Le moteur d'analyse est capable d'isoler les requêtes et les données potentiellement dangereuses, ainsi seulement 10% du trafic est soigneusement vérifié, le reste passe sans contrôles supplémentaires. Cela réduit la charge sur le système et améliore l'efficacité de l'UTM. Le système anti-spam utilise plusieurs technologies - réputation IP, analyse de contenu, listes noires et blanches. Le routage dynamique OSPF, BGP et RIP est pris en charge, plusieurs méthodes d'authentification des utilisateurs (mot de passe, RADIUS, SecurelD et autres), un serveur DHCP est proposé. La solution utilise une architecture modulaire, les soi-disant Software Blades (lames logicielles) permettent, si nécessaire, d'étendre les fonctionnalités, en fournissant le niveau de sécurité et de coût requis. Ainsi, vous pouvez moderniser la passerelle avec des lames Web Security (détection et protection de l'infrastructure Web), VoIP (protection VoIP), Advanced Networking, Acceleration & Clustering (performances et disponibilité maximales dans les environnements ramifiés). Par exemple, les technologies Web Application Firewall et Advanced Streaming Inspection utilisées dans Web Security permettent le traitement en temps réel du contexte, même s'il est découpé en plusieurs paquets TCP, la substitution d'en-têtes, le masquage des données sur les applications utilisées, la redirection de l'utilisateur vers une page avec une description détaillée de l'erreur.
Le contrôle à distance est possible via le Web et Telnet /
chut. Pour les paramètres centralisés de plusieurs appareils, Check Point SmartCenter peut être utilisé, qui utilise sa technologie Security Management Architecture pour gérer tous les éléments Check Point inclus dans une politique de sécurité. Les capacités de SmartCenter sont améliorées avec des modules complémentaires qui fournissent la visualisation des politiques, l'intégration LDAP, les mises à jour, les rapports, etc. Toutes les mises à jour UTM sont reçues de manière centralisée à l'aide du service de mise à jour Check Point.
Zywall 1000
PLATEFORME : ZyWALL 1000 PROJECT SITE WEB : zyxel.ru LICENCE : payante RÉALISATION : matériel La plupart des passerelles de sécurité fabriquées par ZyXEL peuvent être attribuées en toute sécurité à l'UTM en raison de leurs capacités, bien que, selon le classificateur officiel, il existe aujourd'hui cinq modèles ZyWALL USG 50/100 dans cette ligne /300/1000/2000 pour les petits et moyens réseaux (jusqu'à 500 utilisateurs). La terminologie ZyXEL fait référence à ces appareils en tant que "centres de sécurité réseau". Ainsi, ZyWALL 1000 est une passerelle d'accès haut débit conçue pour résoudre les problèmes de sécurité du réseau et de gestion du trafic. Comprend Kaspersky streaming antivirus, IDS/IPS, filtrage de contenu et protection anti-spam (Blue Coat et Commtouch), contrôle de la bande passante et VPN (IPsec, SSL et L2TP sur VPN IPsec). Soit dit en passant, lors de l'achat, vous devez faire attention au firmware - international ou pour la Russie. Dans ce dernier, en raison des restrictions de l'union douanière sur les tunnels VPN IPsec et VPN SSL une clé DES 56 bits est utilisée. Les politiques d'accès sont basées sur plusieurs critères (IP, utilisateur et temps). Les outils de filtrage de contenu permettent de restreindre facilement l'accès aux sites d'un certain sujet et le fonctionnement de certains programmes IM, P2P, VoIP, mail et autres. Le système IDS utilise des signatures et protège contre les vers de réseau, les chevaux de Troie, les portes dérobées, les DDoS et les exploits. technologie découverte
anomalies de pêche)