Dispositifs UTM : une approche intégrée de la sécurité informatique. x cube

ILYA ROSENKRANTS, chef de produit ALTELL NEO de AltEl LLC, spécialiste certifié en sécurité de l'information (Check Point Sales Professional, McAfee Sales Professional), possède des certificats Cisco (CCNA, CCNP, IPTX), [courriel protégé]

Protéger les réseaux autour du périmètre
Aperçu des technologies UTM dans la solution ALTELL NEO

L'histoire du développement des dispositifs UTM (Unified Threat Management, protection unifiée contre les menaces) a commencé il y a environ 25 ans, lorsqu'en 1988 DEC a inventé son filtre de paquets, qui fonctionne au troisième niveau du modèle OSI (Open system interconnection) et analyse uniquement l'en-tête du paquet

Il est devenu le premier "firewall" (ME) commercial. À cette époque, une telle approche minimaliste était pleinement justifiée par les réalités des menaces existantes, à la suite desquelles ces pare-feu d'inspection sans état sont devenus une partie intégrante du système de sécurité de l'information.

Presque simultanément avec ces événements, en 1989-1990, le monde a été présenté au monde ME travaillant avec les données du quatrième niveau de l'OSI, le soi-disant pare-feu d'inspection dynamique. Bien qu'il serait faux de penser que les spécialistes de la sécurité de l'information n'ont pas envisagé la possibilité de surveiller et de filtrer le trafic au niveau applicatif, à cette époque (début des années 1990) la mise en œuvre de cette méthode était exclue en raison des performances insuffisantes des systèmes informatiques. Ce n'est qu'au début des années 2000 que les performances des plates-formes matérielles ont permis de sortir les premières solutions UTM commerciales.

Actuellement, les pare-feu, qui ont depuis longtemps prouvé leur efficacité, restent au même niveau que les logiciels anti-virus, l'un des moyens les plus courants de protection des systèmes d'information. Cependant, l'émergence de nouveaux types d'attaques complexes et la croissance du trafic au niveau applicatif (téléphonie IP, streaming vidéo, cloud applications d'entreprise) réduisent souvent à zéro l'efficacité des ME traditionnels. Afin de contrer adéquatement ces menaces, les principales sociétés informatiques mondiales développent de nouvelles technologies visant à détecter et à prévenir les attaques menées à différents niveaux (des attaques via les canaux de communication aux applications).

L'une des solutions au problème décrit était l'intégration des fonctions d'autres dispositifs spécialisés dans le pare-feu, par exemple un filtre Web et une passerelle cryptographique. Le type d'appareil résultant est désigné par UTM. Le terme « pare-feu de nouvelle génération » (NGFW, Next Generation Firewall) devient également populaire, filtrant le trafic au septième niveau du modèle OSI.

A l'aube de l'ère des dispositifs UTM (2004-2005), tous leurs composants étaient déjà créés : pare-feux avec mode d'inspection dynamique, mécanismes de construction de réseaux sécurisés sur les canaux de communication publics (VPN - réseau privé virtuel), complexes de réseau système de détection/prévention des intrusions (IDS/IPS), filtres web.

Parallèlement, les lieux de travail étaient protégés par un ensemble d'outils de protection au niveau applicatif (anti-virus, anti-spam, anti-phishing). Mais la solution d'un problème (assurer le niveau requis de sécurité de l'information) en a fait émerger d'autres : les exigences de qualification du personnel technique ont fortement augmenté, la consommation énergétique des équipements a augmenté, les exigences de volume des salles de serveurs ont augmenté, et il est devenu plus difficile de gérer le processus de mise à jour des parties logicielles et matérielles d'un système de sécurité intégré.

En outre, les problèmes liés à l'intégration de nouveaux outils de sécurité de l'information dans une infrastructure existante, souvent composée de produits différents développeurs. Pour cette raison, l'idée est née de combiner toutes les fonctions répertoriées dans un seul appareil, d'autant plus qu'à ce moment-là, les plates-formes matérielles avaient atteint un niveau de performances suffisant et pouvaient simultanément faire face à plusieurs tâches.

En conséquence, des solutions sont apparues sur le marché qui permettent de réduire le coût de la protection de l'information et en même temps d'augmenter le niveau de sécurité de l'information, puisque le "bourrage" de l'UTM est initialement débogué et optimisé pour fonctionnement simultané toutes les fonctionnalités qu'il comprend.

La pertinence et l'exactitude de cette approche sont confirmées par les chiffres de la société de recherche internationale IDC, selon lesquels au premier trimestre 2014, la croissance du segment des appareils UTM a été de 36,4 % (par rapport à la même période de l'année précédente). A titre de comparaison : la croissance globale du marché des dispositifs de sécurité de l'information sur la même période était de 3,4 %, et désormais les dispositifs UTM représentent 37 % de ce marché. Dans le même temps, la baisse du chiffre d'affaires dans le sens Firewall/VPN s'élève à 21,2%.

Sur la base des tendances ci-dessus sur le marché de la sécurité de l'information, à la fin de la première décennie du nouveau siècle, de nombreux fabricants ont introduit leurs pare-feu de nouvelle génération. Ainsi, la société russe "AltEl" a lancé le produit ALTELL NEO.

Dans le même temps, dans les solutions de sécurité de l'information, l'utilisation de systèmes intégrés de différents fabricants pour augmenter le niveau de protection gagne en popularité : les fournisseurs de matériel de sécurité ont commencé à coopérer plus activement avec les développeurs de logiciels spécialisés. Par exemple, les technologies de Kaspersky Lab pour la protection des données au niveau des applications ont été implémentées dans le produit ALTELL NEO : Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

Actuellement, de nombreux acteurs du marché proposent des pare-feux de nouvelle génération, parmi lesquels Palo Alto, Check Point, Cisco, Intel Security. Dans les réalités actuelles, lorsque le taux de change du dollar est très volatil, de nombreux clients, et principalement des agences gouvernementales, considèrent la substitution des importations comme une opportunité de répondre aux exigences des régulateurs et des procédures internes de sécurité de l'information. Dans cette situation, la prise en compte des fabricants russes de solutions UTM semble logique.

Considérons les principales fonctions des pare-feu ALTELL NEO UTM.

Antivirus/antispam

Actuellement, de nombreuses entreprises choisissent des appareils UTM pour la protection du périmètre du réseau, y compris la possibilité de filtrer les e-mails entrants et sortants.

La première solution complète russe dans ce domaine est le pare-feu haute performance de nouvelle génération ALTELL NEO. Il dispose de deux solutions antivirus et anti-spam indépendantes dans son arsenal : ClamAV (produit gratuit) et Kaspersky AV, SpamAssassin et Kaspersky AS, respectivement.

Caractéristiques et fonctions standard des appareils UTM :

  • Prise en charge du travail en mode transparent (invisible pour l'utilisateur final).
  • Prise en charge de la liste noire DNS.
  • Prise en charge des listes « noires », « blanches » et « grises ».
  • Recherche d'un enregistrement DNS sur le serveur d'envoi.
  • Technologie SPF (Sender Policy Framework, sender policy structure) - une extension pour le protocole d'envoi E-mail via SMTP, qui vous permet de déterminer l'identité du domaine de l'expéditeur. SPF est un moyen d'identifier l'expéditeur d'un e-mail et fournit une option supplémentaire pour filtrer le flux de courrier pour les messages de spam. Avec l'aide de SPF, le courrier est divisé en "autorisé" et "interdit" selon le domaine du destinataire ou de l'expéditeur.
  • Le service SURBL (Spam URI Realtime Blocklists) est un service qui contient des informations non pas sur les adresses IP d'où proviennent les spams, mais sur les sites annoncés dans les spams. Étant donné que la plupart des e-mails de spam (et les e-mails de phishing en particulier) vous invitent à visiter un site et qu'il y a moins de sites que d'adresses IP d'expéditeurs de spam, SURBL peut fonctionner plus efficacement que RBL, filtrant jusqu'à 80 à 90 % des spams en cas de faux positifs. ne sont pas supérieurs à 0,001-0,05 %.
  • Manque de possibilité technique de perdre des messages dans le filtre.
  • L'utilisation d'EDS dans les courriers envoyés à l'aide de la technologie DKIM (DomainKeys Identified Mail). Cette technologie vous permet de confirmer l'authenticité (authentifier) ​​l'expéditeur de la lettre, ainsi que de confirmer l'absence de modifications dans l'e-mail lors de sa transmission de l'expéditeur au destinataire.
  • Méthodes de filtrage avancées : Filtrage bayésien, Razor.

L'utilisation de la technologie antivirus/anti-spam permet aux entreprises, telles que les banques, de se conformer aux exigences de la Banque de Russie en matière de protection contre les codes malveillants. Contrairement, par exemple, au STO BR IBBS et au 382-P, où ce sujet a reçu peu de place, nous disposons depuis plus d'un an d'un document à part entière: lettre 49-T du 24 mars 2014 «Sur les recommandations pour organiser l'utilisation des protection contre les codes malveillants dans le cadre des activités bancaires. Les documents décrivent à la fois les exigences techniques et organisationnelles.

L'utilisation de solutions UTM avec antivirus permettra à la fois au FAI de fournir un trafic propre et à la banque de se conformer aux recommandations du régulateur concernant la segmentation et la possibilité de localiser les épidémies de malwares.

Système de détection et de prévention des intrusions - IDPS

Les systèmes de détection et de prévention des intrusions, IDS/IPS ou IDPS (Système de détection/prévention des intrusions, terme russe similaire - IDS/SPV), constituent un maillon nécessaire à la protection du réseau interne de l'organisation. L'objectif principal de ces systèmes est de détecter les faits d'accès non autorisé à réseau d'entreprise et prendre des contre-mesures : informer les spécialistes de la sécurité de l'information du fait de l'intrusion, de la déconnexion, reconfigurer le pare-feu pour bloquer d'autres actions de l'attaquant.

ALTELL NEO implémente plusieurs technologies IDPS qui diffèrent dans les types d'événements détectés et dans la méthodologie utilisée pour détecter les incidents. En plus des fonctions de surveillance et d'analyse des événements pour identifier les incidents, les IDPS d'AltEl remplissent les fonctions suivantes :

  • Enregistrement des informations sur l'événement. Habituellement, les informations sont stockées localement, mais peuvent être envoyées à n'importe quel système de journalisation centralisé ou système SIEM.
  • Notification des administrateurs de sécurité sur les incidents de sécurité de l'information. Ce type de notification est appelé alerte et peut être effectué via plusieurs canaux : e-mail, traps SNMP, messages du journal système, console de gestion du système IDPS. Une réaction programmable à l'aide de scripts est également possible.
  • Génération de rapports. Des rapports sont créés pour résumer toutes les informations sur le ou les événements demandés.

La technologie IPS complète la technologie IDS en ce sens qu'elle permet non seulement d'identifier une menace de manière indépendante, mais également de la bloquer avec succès. Dans ce scénario, la fonctionnalité IPS implémentée dans ALTELL NEO est beaucoup plus large que l'IDS et inclut les fonctionnalités suivantes :

  • Bloquer une attaque (casser la session d'un utilisateur qui viole la politique de sécurité, bloquer l'accès aux ressources, aux hôtes, aux applications).
  • Modification de l'environnement protégé (modification de la configuration Périphériques réseau pour empêcher une attaque).
  • Neutraliser une attaque (par exemple, supprimer un fichier infecté d'un message et l'envoyer au destinataire déjà nettoyé, ou travailler en mode proxy, c'est-à-dire analyser les requêtes entrantes et couper les données dans les en-têtes de paquets).

Les avantages de toute technologie s'accompagnent inévitablement de certains inconvénients. Par exemple, le système IDPS peut ne pas toujours identifier avec précision un incident de sécurité de l'information et peut parfois confondre le comportement normal du trafic/utilisateur avec un incident.

Dans la première variante, il est d'usage de parler de faux négatif (résultat faux négatif), dans la deuxième variante, on parle de faux positif (faux positif). Aucune des solutions qui existent aujourd'hui ne peut complètement exclure les événements FP ou FN. Par conséquent, l'organisation doit décider elle-même dans chaque cas lequel de ces groupes à risque représente une plus grande menace, puis ajuster la solution en conséquence.

Il existe différentes méthodes de détection des incidents à l'aide des technologies IDPS. La plupart des implémentations IDPS utilisent une combinaison de ces technologies afin de fournir plus un degré élevé détection des menaces. Il est à noter que les équipements ALTELL NEO mettent en œuvre toutes les technologies décrites ci-dessous.

Détection des attaques par courrier électronique basée sur les signatures

Une signature est un modèle qui, lorsqu'il est détecté dans le trafic ou message postal, identifie de manière unique une attaque particulière. La détection des attaques par signature est le processus de comparaison du contenu avec la base de données de signatures stockée dans la solution. Voici des exemples de signatures :

  • connexion telnet utilisateur racine, ce qui constituerait une violation de la politique de sécurité spécifique de l'entreprise ;
  • un e-mail entrant avec le sujet "images gratuites" avec un fichier joint freepics.exe ;
  • Journal système opérateur avec le code 645, ce qui signifie que l'audit de l'hôte est désactivé.

Cette méthode est très efficace pour détecter les menaces connues, mais très inefficace pour les attaques qui n'ont pas encore de signature.

Le système anti-virus/anti-spam intégré à ALTELL NEO vous permet de filtrer de 120 à 800 messages par minute.

Détection d'attaque par comportement anormal

Cette méthode est basée sur la comparaison de l'activité normale des éléments du réseau avec des événements qui s'écartent du niveau normal. IPS utilisant cette méthode ont un soi-disant. des profils qui reflètent le comportement normal des utilisateurs, des nœuds de réseau, des connexions, des applications et du trafic. Ces profils sont créés au cours d'une "période d'apprentissage" sur une période de temps.

Par exemple, un profil peut enregistrer une augmentation de 13 % du trafic Web en semaine. IDPS utilise ensuite des méthodes statistiques pour comparer différentes caractéristiques de l'activité réelle par rapport à un seuil donné. Lorsque ce seuil est dépassé, un message correspondant est envoyé à la console de gestion de l'administrateur de sécurité. Les profils peuvent être créés en fonction d'attributs tirés de l'analyse comportementale des utilisateurs, tels que le nombre d'e-mails envoyés, le nombre de tentatives de connexion infructueuses, l'utilisation du processeur du serveur sur une certaine période de temps, et bien d'autres.

Cette méthode vous permet de bloquer les attaques qui ont contourné le filtrage d'analyse de signature.

L'IDS/IPS utilisé par notre entreprise dans les pare-feu de nouvelle génération ALTELL NEO est basé sur la technologie ouverte Suricata, modifiée selon les besoins de l'entreprise. Contrairement à l'IDS/IPS Snort ouvert plus courant, Suricata présente un certain nombre d'avantages, par exemple, il vous permet d'obtenir des performances plus élevées en parallélisant le traitement du trafic sur les cœurs de processeur et moins de faux positifs.

Il faut tenir compte du fait que pour bon fonctionnement IDS/IPS, il a besoin de bases de données de signatures à jour. ALTELL NEO utilise à cette fin la base de données nationale ouverte sur les vulnérabilités et Bugtraq. Les bases de données sont mises à jour deux à trois fois par jour, ce qui assure un niveau optimal de sécurité de l'information.

Le système ALTELL NEO peut fonctionner en deux modes : le mode de détection d'intrusion (IDS) et le mode de prévention d'intrusion (IPS). L'activation des fonctions IDS et IPS se produit sur l'interface de périphérique sélectionnée par l'administrateur - une ou plusieurs. Il est également possible d'appeler des fonctions IPS lors de la configuration des règles de pare-feu pour le type particulier de trafic que vous souhaitez inspecter. La différence fonctionnelle entre IDS et IPS est qu'en mode IPS, les attaques réseau peuvent être bloquées en temps réel.

Les règles de sécurité sont développées par la communauté Emerging Threats. Les règles sont basées sur de nombreuses années d'expérience combinée d'experts dans le domaine de la sécurité des réseaux et sont constamment améliorées. Les règles sont mises à jour automatiquement (pour cela, une connexion Internet doit être configurée dans ALTELL NEO). Si nécessaire, vous pouvez configurer une mise à jour manuelle.

Chaque règle se voit attribuer une priorité selon la classe d'attaque en termes de fréquence d'utilisation et d'importance. Niveaux standards priorités de 1 à 3, la priorité 1 étant élevée, la priorité 2 étant moyenne et la priorité 3 étant faible.

Selon ces priorités, une action peut être assignée que le système IDS/IPS prendra en temps réel lorsque le trafic réseau est détecté et correspond à la signature de la règle. L'action peut être l'une des suivantes :

  • Alerte (mode IDS) - le trafic est autorisé et transmis au destinataire. Un avertissement est écrit dans le journal des événements. Cette action est définie par défaut pour toutes les règles.
  • Drop (mode IPS) - l'analyse des paquets s'arrête, aucune comparaison supplémentaire pour la conformité avec les règles restantes n'est effectuée. Le paquet est supprimé et un avertissement est écrit dans le journal.
  • Rejeter (mode IPS) - Dans ce mode, le paquet est rejeté et un avertissement est écrit dans le journal. Dans ce cas, le message correspondant est envoyé à l'expéditeur et au destinataire du colis.
  • Pass (mode IDS et IPS) - dans ce mode, l'analyse des paquets s'arrête, une comparaison supplémentaire pour la conformité avec les règles restantes n'est pas effectuée par le système. Le paquet est transmis à sa destination, aucun avertissement n'est généré.

Des rapports sur le trafic transitant par le système de détection et de prévention des intrusions ALTELL NEO peuvent être générés dans le système de surveillance et de contrôle externe (SVMiU) de notre propre conception. SVMIU collecte les données initiales (alerte) d'un ou plusieurs appareils ALTELL NEO.

Le système de détection et de prévention des intrusions ALTELL NEO fonctionne à des vitesses à partir de 80 Mbps
jusqu'à 3200 Mbps.

Système de filtrage Web

ALTELL NEO dispose d'un module proxy Web intégré (intermédiaire) pour filtrer les demandes des utilisateurs et mettre en cache les données reçues du World Wide Web.

Le médiateur peut fonctionner selon plusieurs modes, qui peuvent être combinés pour résoudre différents problèmes.Selon le contexte d'application, on distingue les modes de fonctionnement suivants :

  • interactions avec les logiciels clients (par exemple, les navigateurs Web des utilisateurs) : "transparents" et "opaques" ;
  • authentification de l'utilisateur proxy : pas d'authentification, authentification basée sur LDAP, authentification basée sur NTLM ;
  • traitement des requêtes des utilisateurs (URL de contenu, adresse IP source, etc.) : avec et sans filtrage ;
  • traitement du contenu Web reçu en réponse aux demandes des utilisateurs : avec et sans mise en cache ;
  • avec le proxy SSL activé et désactivé.

Le marché de l'UTM est assez vaste et continue de croître, avec à la fois du matériel et Solutions logicielles. Lequel utiliser est une question pour chaque spécialiste, chaque organisation décide en fonction de ses préférences et de ses capacités. L'essentiel est d'avoir un serveur adapté en termes de paramètres, car désormais un système effectuera plusieurs vérifications et la charge augmentera considérablement.

L'un des avantages des appareils UTM modernes est leur polyvalence, et ALTELL NEO est un bon exemple de cette approche. Selon la taille de l'entreprise, des solutions de différentes classes peuvent être utilisées : du bureau au serveur 2U avec des performances allant jusqu'à 18,5 Gb/s. Les technologies de Kaspersky Lab sous-jacentes à la fonctionnalité antivirus d'ALTELL NEO permettent de mettre à jour les bases antivirus de 10 à 25 fois par jour. Où la taille moyenne les mises à jour ne dépassent généralement pas 50 Ko, ce qui est l'un des meilleurs rapports fréquence/taille de l'industrie.


En contact avec


Il existe une opinion selon laquelle UTM et NGFW sont une seule et même chose. Je veux dissiper cette opinion.

Quel était le premier ?

C'est vrai, il y a d'abord eu UTM (Unified Threat Management). C'est un système tout-en-un. Quelqu'un d'intelligent a deviné de mettre plusieurs moteurs de protection sur un serveur à la fois. Les gardes de sécurité ont eu l'opportunité de recevoir immédiatement à la fois le contrôle et le fonctionnement de plusieurs moteurs de sécurité à partir d'un seul boîtier. Désormais, le pare-feu, le VPN, l'IPS, l'antivirus, le filtre Web et l'antispam fonctionnent ensemble. Quelqu'un d'autre bloque d'autres moteurs, par exemple DLP. Désormais, un moteur de déchiffrement SSL et SSH et un moteur d'analyse et de blocage d'application sont obligatoires sur les 7 couches du modèle ISO OSI. En règle générale, les moteurs proviennent de différents fournisseurs ou même de fournisseurs gratuits, par exemple, IPS de SNORT, l'antivirus clamav ou le pare-feu iptables. Étant donné que le pare-feu est toujours un routeur ou un commutateur pour le trafic, le moteur de routage dynamique provient également le plus souvent d'un fabricant. À mesure que la demande augmentait, il y avait grands joueurs sur le marché, qui ont pu acheter plusieurs bons développements pour le fonctionnement du moteur souhaité et combiner leur travail au sein d'un seul appareil UTM. Par exemple, Check Point a acheté IPS à NFR, Cisco a acheté IPS à Sourcefire. Les marques populaires peuvent être vues sur la place Gartner UTM. En 2017, les leaders UTM selon Gartner sont Check Point, Fortinet et Sophos.

Inconvénients de l'architecture UTM. Pourquoi NGFW est-il apparu ?


Fig 1. Un exemple de l'architecture de l'UTM.

Le premier problème architectural de l'UTMétait que tous les moteurs à l'intérieur se transmettaient tour à tour des paquets réseau et attendaient que le moteur précédent termine son travail pour démarrer le sien. Par conséquent, plus un fournisseur intègre de fonctionnalités à son appareil, plus il fonctionne lentement. En conséquence, les utilisateurs de ces appareils doivent désactiver l'IPS et l'antivirus ou certaines de leurs signatures pour que le trafic puisse fonctionner. Autrement dit, ils semblent avoir payé comme dispositif de protection, mais ils ne l'utilisent que comme routeur. Il fallait trouver quelque chose pour que les moteurs de protection ne s'attendent pas et fonctionnent en parallèle.
Une nouvelle décision des fabricants de NGFW était qu'ils utilisaient des puces spécialisées qui regardaient le même trafic en même temps. Cela est devenu possible parce que chaque processeur est devenu responsable de sa propre fonction : les signatures IPS ont été programmées dans l'un, les signatures antivirus dans l'autre et les signatures URL dans le troisième. Vous pouvez activer toutes les signatures dans tous les moteurs - le trafic est entièrement protégé sans dégradation des performances. Les puces programmables de ce type sont appelées FPGA (Programmable Logic circuit intégré) ou dans la littérature anglaise sur les FPGA. Leur différence avec les ASIC est qu'ils peuvent être reprogrammés à la volée et effectuer de nouvelles fonctions, comme la vérification de nouvelles signatures, après la mise à jour du microcode, ou toute autre fonction. C'est ce que NGFW utilise - toutes les mises à jour sont flashées directement dans les puces FPGA.


Fig 2. Un exemple de l'architecture du travail de Palo Alto Networks NGFW.

Le deuxième problème architectural de l'UTM est devenu que toutes les opérations sur les fichiers nécessitaient le travail du disque dur. Quelle est la vitesse de lecture du disque dur ? 100 mégaoctets par seconde. Et que fera l'UTM si vous disposez de 10 Go de débit dans votre centre de données ? Si 300 personnes de votre entreprise décident de télécharger un dossier de fichiers sur le réseau Microsoft (protocole SMB), que fera l'UTM ? Les mauvais UTM se chargeront simplement à 100% et cesseront de fonctionner. Dans les UTM avancés, dans ce cas, divers mécanismes de désactivation automatique du fonctionnement des moteurs de protection sont intégrés : contournement antivirus, contournement ips et autres qui désactivent les fonctions de sécurité lorsque la charge matérielle dépasse ses capacités. Et si vous avez besoin non seulement de sauvegarder le fichier, mais aussi de décompresser l'archive ? La cadence de travail est encore réduite. Par conséquent, les UTM sont principalement utilisés dans les petites entreprises où les vitesses n'étaient pas importantes ou où la sécurité était une option.

La pratique montre que dès que la vitesse du réseau augmente, dans UTM, vous devez désactiver tous les moteurs, à l'exception du routage et du pare-feu de paquets, ou simplement installer un pare-feu standard. Autrement dit, la tâche a longtemps consisté à accélérer en quelque sorte le travail de l'antivirus de fichiers.

Un nouveau changement architectural pour le premier fabricant de NGFW, apparu en 2007, était que les fichiers n'étaient plus enregistrés sur le disque, c'est-à-dire que toute l'analyse du trafic, le décodage et l'assemblage de fichiers pour l'analyse antivirus ont commencé à être effectués en mémoire. Cela a considérablement augmenté les performances des dispositifs de protection et les a découplés des performances des disques durs. Les vitesses du réseau augmentent plus rapidement vitesses difficiles disques. Seul NGFW sauvera les gardes de sécurité. Maintenant, selon Gartner, il y a deux leaders dans NGFW : Palo Alto Networks et Check Point.

Et comment fonctionnent-ils avec les applications de niveau 7 en UTM et NGFW ?

Avec l'avènement de NGFW, les clients ont une nouvelle opportunité - la définition d'applications de couche 7. Les ingénieurs réseau étudient le modèle de réseau à sept couches Communication OSI ISO. Au 4ème niveau de ce travail modèle Protocoles TCP et UDP, qui au cours des 20 dernières années des réseaux IP était considéré comme suffisant pour l'analyse et le contrôle du trafic. Autrement dit, un pare-feu normal affiche simplement les adresses IP et les ports. Et qu'est-ce qui est fait aux niveaux 5 à 7 suivants ? Le pare-feu de nouvelle génération voit tous les niveaux d'abstraction et montre quelle application a transféré quel fichier. Cela améliore considérablement la compréhension informatique des interactions réseau et améliore la sécurité en exposant le tunneling dans les applications exposées et en permettant de bloquer l'application plutôt que le port uniquement. Par exemple, comment bloquer skype ou bittorent avec un pare-feu classique d'ancienne génération ? Oui, pas moyen.

Les fournisseurs UTM ont finalement ajouté un moteur de définition d'application. Cependant, ils disposent de deux moteurs de contrôle du trafic - le port 4 au niveau TCP, UDP et ICMP et au niveau de la recherche de contenu d'application dans le trafic teamviewer, tor, skype. Il s'est avéré que l'UTM a plusieurs politiques : l'une contrôle les ports, la seconde contrôle les applications. Et cela crée beaucoup de difficultés, du coup, personne n'utilise la politique de contrôle des applications.

Sur le thème de la visualisation au niveau de l'application, je joins une présentation. Il aborde également le thème du Shadow IT. Mais plus à ce sujet plus tard..

L'appliance universelle de gestion unifiée des menaces, également connue sous le nom de système UTM, a été créée pour fournir sécurité informatique. Son utilisation pour la protection des données numériques a commencé en 2004, car les types de pare-feu conventionnels ne pouvaient plus faire face à des attaques de réseau de plus en plus sophistiquées. La gestion unifiée des menaces est une modification du pare-feu standard (Firewall), en relation avec laquelle elle inclut des fonctions visant à assurer la protection des données personnelles. Cela devient possible grâce à l'inclusion de tâches de recherche dans la solution UTM, ainsi qu'à la prévention des menaces réseau, à l'antivirus, au pare-feu et au VPN.

Pour la première fois, le terme "Gestion unifiée des menaces" a été utilisé par IDC, une société qui mène des recherches sur les télécommunications et dans le monde technologies de l'information. Le principal avantage de l'UTM est que le système est un complexe unique qui exécute immédiatement toutes les fonctions nécessaires à l'utilisateur : antivirus, filtre de contenu, IPS - services de prévention des intrusions et attaques réseau, ce qui est beaucoup plus pratique et efficace que d'administrer plusieurs appareils à la fois.

Architecture UTM

L'UTM peut être mis en œuvre à la fois comme une solution logicielle (installée sur un serveur dédié ou comme une machine virtuelle) et comme un complexe logiciel et matériel. Dans ce dernier cas, non seulement un processeur central à usage général est utilisé pour les calculs, mais également un certain nombre de processeurs spéciaux. Grâce à cette propriété, la vitesse de la passerelle UTM peut atteindre 1 Gbps et plus.

Processeur de contenu

Conçu pour le traitement à grande vitesse des paquets réseau suspects, ainsi que des fichiers archivés et leur comparaison avec les types de menaces déjà stockés en mémoire. Le trafic n'est pas traité directement via le réseau, mais à partir du processeur à usage général, ce qui accélère le calcul des opérations logiquement liées au service IPS et à l'antivirus.

processeur réseau

Fournit un traitement à grande vitesse des flux réseau, réduisant la charge sur les autres composants du système. Il effectue également le chiffrement, la traduction des adresses réseau et le traitement des segments TCP. Capable de calculer la menace même lorsque les données sont fragmentées pour contourner les services de sécurité, en les triant, calcule le véritable objectif du paquet de données final.

Processeur de sécurité

Vous permet d'améliorer considérablement les performances de votre antivirus, de votre service de prévention des pertes de données et de votre service IPS (prévention des intrusions sur le réseau). Il prend en charge des tâches de calcul complexes, déchargeant ainsi considérablement le processeur.

Composants logiciels

pare-feu

Un pare-feu multicouche protège l'utilisateur des attaques non seulement au niveau du réseau, mais également au niveau de l'application : l'accès aux données internes ne s'effectue qu'après authentification, ne donnant accès qu'aux utilisateurs autorisés ; il est possible de créer différents niveaux de droits d'accès pour différents utilisateurs. La traduction NAT des adresses réseau est prise en charge sans révéler l'architecture interne du réseau de l'organisation.

VPN IPsec

Fournit une création rapide et facile de réseaux VPN sécurisés - basés sur le domaine de cryptage ou les règles de routage - combinant ainsi les fonctions de cryptage, d'authentification, de contrôle d'accès. Permet de mettre en œuvre Connexion sécurisée utilisateurs distants, objets, réseaux.

Filtrage d'URL

Filtrage des sites indésirables en empêchant les employés d'accéder à une liste donnée de pages Web. Vous permet de travailler avec de grandes bases de données d'URL, il est possible de les diviser par type de contenu. Il est possible de créer des listes blanches ou noires pour des utilisateurs ou des serveurs individuels.

Antivirus et Antispam

La recherche de virus a lieu avant même qu'ils n'atteignent le Disque dur utilisateur - sur la passerelle de sécurité. Généralement, les protocoles les plus couramment utilisés sont POP3/IMAP4, FTP, HTTP, SMTP. De plus, l'antivirus est généralement capable d'analyser les fichiers compressés.

Le spam est bloqué en étudiant la réputation de l'adresse IP à partir de laquelle le message a été reçu, ainsi qu'en vérifiant la conformité des paquets de données reçus avec les listes noire et blanche. IPS est fourni pour le courrier, ce qui le protège des attaques DDoS, des attaques par débordement de tampon. L'intégralité du contenu de l'e-mail est analysée à la recherche de codes et de programmes malveillants.

Regroupement

Introduit pour améliorer les performances du pare-feu, ce qui a été rendu possible en augmentant bande passante et son déchargement, répartition uniforme de la charge sur les cœurs de calcul. Une bonne répartition du trafic entre les passerelles de secours vous permet d'atteindre un niveau élevé de tolérance aux pannes et de rediriger le trafic en cas de panne d'une passerelle vers une autre.

Surfer sur le Web en toute sécurité

Examine la session Web en cours à la recherche de code malveillant. Il est capable de déterminer non seulement la présence, mais aussi le niveau de danger du code exécutable, et de bloquer code malicieux avant qu'il n'atteigne l'ordinateur de l'utilisateur. Capable de cacher des informations sur le serveur dans la réponse HTTP, empêchant ainsi d'éventuelles attaques réseau.

Prérequis à l'émergence

Au vu de tout Suite attaques de réseau et piratage des serveurs de grandes entreprises et corporations, il est devenu évident qu'il était nécessaire d'introduire des passerelles UTM capables de repousser la pénétration de virus et de vers dans le système.

Aujourd'hui, il existe de nombreuses façons de pirater des systèmes faiblement protégés. Les principaux problèmes rencontrés entreprises modernes, est le manque de sécurité des données internes, et l'accès non autoriséà l'information de leurs propres employés. Le manque de sécurité des données est le résultat de pertes financières importantes. Cependant, ce n'est que relativement récemment que les entreprises ont commencé à reconnaître la nécessité de contrôler l'accès aux informations par les employés de l'entreprise, tandis que la négligence des moyens spécialisés de protection des données au sein du réseau conduit à la divulgation et à la compromission de données confidentielles.

Le but d'une solution UTM est de fournir la gamme complète d'applications nécessaires pour protéger les données des tiers. Simples et faciles à utiliser, les systèmes UTM évoluent constamment, ce qui leur permet de répondre à des attaques réseau de plus en plus complexes et de les résoudre en temps opportun.

Les solutions UTM ont un analogue sous la forme d'un pare-feu de nouvelle génération, ou NGFW (pare-feu de nouvelle génération). En termes de fonctionnalités, cet appareil est très similaire à l'UTM, mais il n'a pas été développé pour les entreprises de taille moyenne, comme c'était le cas avec la gestion unifiée des menaces, mais pour les grandes entreprises. Au début, les créateurs de NGFW ont essayé d'y combiner le filtrage des ports et des protocoles, offrant une fonctionnalité de protection contre les attaques réseau et la possibilité d'analyser le trafic au niveau de l'application.

Marché UTM aujourd'hui

Selon les dernières études de marché, entre 2016 et 2020, le marché de l'UTM augmentera d'environ 15 %. Les principaux fournisseurs de solutions UTM :

  • Mur sonique Dell
  • Cisco (Cisco ASA-X)
  • Technologies logicielles Check Point
  • Réseaux Juniper
  • Kerio (acheté par GFI)

Développeurs nationaux de solutions UTM :

  • A-Real (serveur de contrôle Internet)
  • Logiciel intelligent (TrafficInspector)

UTM : des solutions complètes

L'utilisation de solutions réseau visant à remplir une seule fonction n'est plus justifiée en raison de la complexité de leur gestion et de leur intégration les unes avec les autres et des ressources temporelles et financières élevées associées. Aujourd'hui, la sécurité des réseaux nécessite une approche intégrée, rassemblant les fonctionnalités de systèmes qui fonctionnaient auparavant de manière isolée. Cela garantit des performances élevées et solution optimale problèmes en plus court instant- et avec une plus grande efficacité.

Avoir une solution UTM au lieu de plusieurs appareils différents facilite la gestion de la stratégie de sécurité réseau d'une entreprise. La configuration de tous les composants de la passerelle UTM est effectuée à partir d'une console - auparavant, cela nécessitait plusieurs couches de logiciels et de matériel.

Pour les entreprises disposant de bureaux et de serveurs distants, les solutions UTM permettent une gestion centralisée des réseaux distants et leur protection.

Avantages

    Réduire le nombre d'appareils utilisés ;

    Réduire la quantité de logiciels utilisés et les coûts financiers de son support ;

    Contrôle facile et compréhensible. Disponibilité de divers paramètres, interface Web et architecture extensible ;

    Formation plus rapide du personnel grâce à l'utilisation d'un seul appareil.

désavantages

    UTM est une solution à point de défaillance unique, mais certaines solutions prennent en charge le clustering ;

    Si le système UTM ne prend pas en charge le débit de données maximal du réseau, le débit du réseau et le temps de réponse peuvent être affectés.

). Nous commencerons notre blog par une courte introduction aux technologies Check Point.

Nous avons longtemps réfléchi à l'opportunité d'écrire cet article, parce que. il n'y a rien de nouveau là-dedans qui ne puisse être trouvé sur Internet. Cependant, malgré une telle abondance d'informations, lorsque nous travaillons avec des clients et des partenaires, nous entendons souvent les mêmes questions. Par conséquent, il a été décidé d'écrire une sorte d'introduction au monde des technologies Check Point et de révéler l'essence de l'architecture de leurs solutions. Et tout cela dans le cadre d'un "petit" post, pour ainsi dire, une petite parenthèse. Et nous essaierons de ne pas nous lancer dans des guerres de marketing, car. nous ne sommes pas un fournisseur, mais juste un intégrateur de système (même si nous aimons beaucoup Check Point) et nous nous contentons de passer en revue les points principaux sans les comparer avec d'autres fabricants (tels que Palo Alto, Cisco, Fortinet, etc.). L'article s'est avéré assez volumineux, mais il coupe la plupart des questions au stade de la familiarisation avec Check Point. Si vous êtes intéressé, alors bienvenue sous le chat…

UTM/NGFW

Lorsque vous démarrez une conversation sur Check Point, la première chose à faire est une explication de ce que sont UTM, NGFW et en quoi ils diffèrent. Nous le ferons de manière très concise afin que le message ne se révèle pas trop volumineux (peut-être qu'à l'avenir, nous examinerons ce problème un peu plus en détail)

UTM - Gestion unifiée des menaces

En bref, l'essence de l'UTM est la consolidation de plusieurs outils de sécurité en une seule solution. Celles. tout dans une boîte ou certains tout compris. Qu'entend-on par « recours multiples » ? L'option la plus courante est : Pare-feu, IPS, Proxy (filtrage d'URL), Streaming Antivirus, Anti-Spam, VPN, etc. Tout cela est réuni en un Solutions UTM, ce qui est plus facile en termes d'intégration, de configuration, d'administration et de surveillance, ce qui, à son tour, a un effet positif sur la sécurité globale du réseau. Lorsque les solutions UTM sont apparues pour la première fois, elles étaient exclusivement destinées aux petites entreprises, car. Les UTM ne pouvaient pas gérer de gros volumes de trafic. C'était pour deux raisons :

  1. Traitement des paquets. Les premières versions des solutions UTM traitaient les paquets séquentiellement, par chaque « module ». Exemple : le paquet est d'abord traité par le pare-feu, puis par l'IPS, puis il est vérifié par l'Anti-Virus, etc. Naturellement, un tel mécanisme a introduit de sérieux retards de trafic et fortement consommé les ressources système (processeur, mémoire).
  2. Matériel faible. Comme mentionné ci-dessus, le traitement séquentiel des paquets consommait des ressources et le matériel de l'époque (1995-2005) ne pouvait tout simplement pas faire face à un trafic élevé.
Mais le progrès ne s'arrête pas. Depuis, les capacités matérielles ont considérablement augmenté, et le traitement des paquets a changé (il faut avouer que tous les éditeurs ne l'ont pas) et ont commencé à permettre une analyse quasi simultanée dans plusieurs modules à la fois (ME, IPS, AntiVirus, etc.). Les solutions UTM modernes peuvent « digérer » des dizaines voire des centaines de gigabits en mode d'analyse approfondie, ce qui permet de les utiliser dans le segment des grandes entreprises ou même des centres de données.

Vous trouverez ci-dessous le célèbre Magic Quadrant de Gartner pour les solutions UTM d'août 2016 :

Je ne commenterai pas fortement cette photo, je dirai juste qu'il y a des dirigeants dans le coin supérieur droit.

NGFW - Pare-feu de nouvelle génération

Le nom dit tout - Pare-feu de nouvelle génération. Ce concept est apparu bien plus tard que l'UTM. idée principale NGFW - inspection approfondie des paquets (DPI) utilisant l'IPS intégré et le contrôle d'accès au niveau de l'application (Application Control). Dans ce cas, IPS est juste ce qu'il faut pour identifier telle ou telle application dans le flux de paquets, ce qui permet de l'autoriser ou de la refuser. Exemple : Nous pouvons autoriser Skype à fonctionner mais empêcher les transferts de fichiers. Nous pouvons interdire l'utilisation de Torrent ou RDP. Les applications Web sont également prises en charge : vous pouvez autoriser l'accès à VK.com, mais empêcher les jeux, les messages ou le visionnage de vidéos. Essentiellement, la qualité d'un NGFW dépend du nombre d'applications qu'il peut définir. Beaucoup pensent que l'émergence du concept de NGFW était un stratagème marketing commun contre lequel Palo Alto a commencé sa croissance rapide.

Magic Quadrant de mai 2016 de Gartner pour les NGFW :

UTM contre NGFW

Très question fréquemment posée, ce qui est mieux? Il n'y a pas de réponse unique ici et ne peut pas l'être. Surtout si l'on considère le fait que presque toutes les solutions UTM modernes contiennent des fonctionnalités NGFW et que la plupart des NGFW contiennent des fonctions inhérentes à l'UTM (Antivirus, VPN, Anti-Bot, etc.). Comme toujours, "le diable est dans les détails", vous devez donc tout d'abord décider de ce dont vous avez spécifiquement besoin, décider du budget. Sur la base de ces décisions, plusieurs options peuvent être sélectionnées. Et tout doit être testé sans ambiguïté, sans en croire les supports marketing.

Nous essaierons à notre tour, dans le cadre de plusieurs articles, de vous parler de Check Point, comment vous pouvez l'essayer et ce que, en principe, vous pouvez essayer (presque toutes les fonctionnalités).

Trois entités de point de contrôle

Lorsque vous travaillez avec Check Point, vous rencontrerez certainement trois composants de ce produit :


Système d'exploitation Check Point

Parlant du système d'exploitation Check Point, trois peuvent être rappelés à la fois : IPSO, SPLAT et GAIA.

  1. IPSO est le système d'exploitation d'Ipsilon Networks, qui appartenait à Nokia. En 2009, Check Point a racheté cette entreprise. N'est plus développé.
  2. SPLAT- propre développement de Check Point, basé sur le noyau RedHat. N'est plus développé.
  3. Gaïa- le système d'exploitation actuel de Check Point, apparu à la suite de la fusion d'IPSO et de SPLAT, incorporant tous les meilleurs. Apparu en 2012 et continue de se développer activement.
En parlant de Gaia, il faut dire qu'à l'heure actuelle la version la plus courante est R77.30. Relativement récemment, la version R80 est apparue, qui diffère considérablement de la précédente (à la fois en termes de fonctionnalité et de contrôle). Nous consacrerons un article séparé au sujet de leurs différences. Autre point important - pour le moment, seule la version R77.10 possède le certificat FSTEC et la version R77.30 est en cours de certification.

Options (Appliance Check Point, Machine virtuelle, OpenServer)

Il n'y a rien de surprenant ici, car de nombreux fournisseurs de Check Point proposent plusieurs options de produits :


Options de mise en œuvre (distribuée ou autonome)

Un peu plus haut, nous avons déjà évoqué ce que sont une passerelle (SG) et un serveur de gestion (SMS). Discutons maintenant des options pour leur mise en œuvre. Il existe deux manières principales :


Comme je le disais juste au dessus, Check Point possède son propre système SIEM - Smart Event. Vous ne pouvez l'utiliser qu'en cas d'installation distribuée.

Modes de fonctionnement (Bridge, Routé)
La passerelle de sécurité (SG) peut fonctionner selon deux modes de base :

  • routé- l'option la plus courante. Dans ce cas, la passerelle est utilisée comme un périphérique L3 et achemine le trafic à travers elle-même, c'est-à-dire Check Point est la passerelle par défaut du réseau protégé.
  • Pont- mode transparent. Dans ce cas, la passerelle est installée comme un "pont" normal et fait passer le trafic à travers elle au niveau de la deuxième couche (OSI). Cette option est généralement utilisée lorsqu'il n'y a aucune possibilité (ou désir) de modifier l'infrastructure existante. Vous n'avez pratiquement pas à changer la topologie du réseau et vous n'avez pas à penser à changer l'adressage IP.
Je tiens à souligner qu'il existe certaines limitations fonctionnelles dans le mode Bridge, par conséquent, en tant qu'intégrateur, nous conseillons à tous nos clients d'utiliser le mode Routé, bien sûr, si possible.

Lames logicielles (lames logicielles Check Point)

Nous sommes presque arrivés au sujet le plus important de Check Point, qui soulève le plus de questions de la part des clients. Que sont ces "lames logicielles" ? Les lames font référence à certaines fonctions de Check Point.

Ces fonctionnalités peuvent être activées ou désactivées selon vos besoins. Dans le même temps, certaines lames sont activées exclusivement sur la passerelle (Network Security) et uniquement sur le serveur de gestion (Management). Les images ci-dessous montrent des exemples pour les deux cas :

1) Pour la sécurité du réseau(fonctionnalité de passerelle)

Décrivons brièvement, car chaque lame mérite un article séparé.

  • Pare-feu - fonctionnalité de pare-feu ;
  • VPN IPSec - création de réseaux virtuels privés ;
  • Accès mobile - accès à distanceà partir d'appareils mobiles ;
  • IPS - système de prévention des intrusions ;
  • Anti-Bot - protection contre les réseaux de botnet ;
  • AntiVirus - antivirus en continu ;
  • AntiSpam & Email Security - protection du courrier d'entreprise ;
  • Identity Awareness - intégration avec le service Active Directory ;
  • Surveillance - surveillance de presque tous les paramètres de la passerelle (charge, bande passante, Statut du VPN etc.)
  • Contrôle des applications - pare-feu au niveau de l'application (fonctionnalité NGFW) ;
  • Filtrage d'URL - Sécurité Web (+ fonctionnalité proxy) ;
  • Prévention de la perte de données - protection contre les fuites d'informations (DLP) ;
  • Émulation des menaces - technologie sandbox (SandBox);
  • Threat Extraction - technologie de nettoyage de fichiers ;
  • QoS - priorisation du trafic.
Dans quelques articles, nous allons nous intéresser de plus près aux blades Threat Emulation et Threat Extraction, je suis sûr que ce sera intéressant.

2) Pour la gestion(fonctionnalité de serveur de gestion)

  • Gestion des politiques réseau - gestion centralisée des politiques ;
  • Endpoint Policy Management - gestion centralisée des agents Check Point (oui, Check Point produit des solutions non seulement pour la protection du réseau, mais aussi pour la protection des postes de travail (PC) et des smartphones) ;
  • Logging & Status - collecte et traitement centralisés des journaux ;
  • Portail de gestion - gestion de la sécurité depuis le navigateur ;
  • Workflow - contrôle des changements de politique, audit des changements, etc. ;
  • Annuaire des utilisateurs - intégration avec LDAP ;
  • Provisioning - automatisation de la gestion des passerelles ;
  • Smart Reporter - système de rapport ;
  • Smart Event - analyse et corrélation d'événements (SIEM) ;
  • Conformité - vérification automatique des paramètres et émission de recommandations.
Nous n'allons pas maintenant examiner en détail les problèmes de licence, afin de ne pas gonfler l'article et d'embrouiller le lecteur. Très probablement, nous le retirerons dans un article séparé.

L'architecture des lames permet de n'utiliser que vraiment fonctions souhaitées, ce qui affecte le budget de la solution et les performances globales de l'appareil. Il est logique que plus vous activez de lames, moins le trafic peut être « chassé ». C'est pourquoi le tableau de performances suivant est joint à chaque modèle Check Point (par exemple, nous avons pris les caractéristiques du modèle 5400) :

Comme vous pouvez le constater, il existe ici deux catégories de tests : sur trafic synthétique et sur trafic réel - mixte. D'une manière générale, Check Point est simplement contraint de publier des tests synthétiques, car. certains fournisseurs utilisent de tels tests comme points de repère sans examiner les performances de leurs solutions sur le trafic réel (ou cachent délibérément ces données en raison de leur insatisfaction).

Dans chaque type de test, vous pouvez remarquer plusieurs options :

  1. tester uniquement le pare-feu ;
  2. Test pare-feu + IPS ;
  3. Test pare-feu + IPS + NGFW (contrôle des applications) ;
  4. Pare-feu+Application Control+Filtrage URL+IPS+Antivirus+Anti-Bot+Test SandBlast (sandbox)
Regardez bien ces paramètres lors du choix de votre solution, ou demandez conseil.

Je pense que c'est la fin de l'article d'introduction sur les technologies Check Point. Ensuite, nous verrons comment vous pouvez tester Check Point et comment faire face aux menaces modernes de sécurité de l'information (virus, phishing, ransomware, zero-day).

PS Un point important. Malgré l'origine étrangère (israélienne), la solution est certifiée en Fédération de Russie par les autorités de contrôle, ce qui légalise automatiquement leur présence dans les institutions étatiques (commentaire de ).

Il n'y a pas si longtemps, Rainbow Technologies, un distributeur de WatchGuard Technologies en Russie et dans les pays de la CEI, a annoncé l'apparition sur le marché intérieur d'une nouvelle série d'appareils Firebox X e-Series UTM. Les entreprises sont désormais confrontées à des groupes de menaces complexes et en constante évolution qui redéfinissent le concept de réseau sécurisé. dernière génération L'appliance Unified Threat Management (UTM) de WatchGuard offre une solution simple à ce problème en consolidant les principales fonctionnalités de sécurité dans une seule appliance abordable et hautement intelligente.

Qu'est-ce que l'UTM ?

L'UTM est une nouvelle tendance sur le marché de la sécurité de l'information. Les appareils UTM combinent un pare-feu, une passerelle VPN et de nombreuses fonctionnalités supplémentaires telles que le filtrage d'URL, le blocage du spam, Spyware, fonction de prévention d'intrusion, antivirus Logiciel, un système de gestion et de contrôle centralisé. C'est-à-dire les fonctions qui sont traditionnellement mises en œuvre séparément. Mais pour être un UTM à part entière, le dispositif doit être actif, intégré et en couches. Celles. ce devrait être un système complexe, pas un ensemble diverses solutions, assemblés dans un boîtier, avec la fonction de contrôle et de surveillance centralisés.

La société de recherche de renommée mondiale IDC considère l'UTM comme le segment du marché des dispositifs de sécurité à la croissance la plus rapide et au développement vigoureux pour l'Europe occidentale. Sur notre marché, parmi les solutions WatchGuard présentées par Rainbow Technologies, les appareils Firebox X Core e-Series UTM sont les plus demandés. Ils sont conçus pour les réseaux échelle différente et sont très populaires auprès des petites et moyennes entreprises pour leur rentabilité, leur facilité d'installation et leur haut niveau de protection.

Le Firebox X Edge e-Series est idéal pour les petits réseaux et les bureaux distants. Edge peut être utilisé comme dispositif de sécurité réseau autonome ou comme solution de terminaison de tunnel VPN. Firebox X Edge e-Series comprend : un pare-feu avec état, un VPN, un filtrage d'URL et une gestion avancée paramètres réseau et le trafic, ce qui permet d'augmenter les possibilités de configuration du réseau. Cet appareil possède une interface intuitive qui simplifie grandement les processus de mise en œuvre et d'administration. La gestion centralisée avec WSM (WatchGuard System Manager) simplifie l'administration des environnements réseau composés de plusieurs Firebox. Ce sont des appareils évolutifs et extensibles qui fournissent une bande passante de pare-feu de 100 mégabits et une bande passante VPN (réseau privé virtuel) de 35 mégabits.

Le Firebox X Peak e-Series est livré avec huit ports Gigabit Ethernet et est principalement utilisé dans des réseaux complexes et étendus. Il existe également des modèles prenant en charge les interfaces fibre optique. Firebox X Peak e-Series est une gamme d'appareils UTM avec Meilleure performance. Ces solutions WatchGuard offrent une véritable protection Zero Day et un débit de pare-feu pouvant atteindre 2 gigabits par seconde. Combinant une technologie de sécurité avancée avec des capacités de gestion de réseau avancées, le Firebox X Peak e-Series est solution idéale, qui répond aux politiques de sécurité les plus exigeantes.

Parmi les solutions WatchGuard présentées sur le marché national par le distributeur officiel Rainbow Technologies, la plus populaire est la gamme Firebox X Core e-Series. Ces appareils UTM sont conçus pour des réseaux de différentes tailles et sont très demandés par les petites et moyennes entreprises pour leur rentabilité, leur facilité de configuration et leur haut niveau de sécurité. Examinons en détail leurs capacités et leurs caractéristiques fonctionnelles.

Firebox X Core e-Series offre le plus sécurité complète dans une classe à part, combinant une variété d'outils de protection : pare-feu, VPN, protection Zero Day, système de prévention des attaques, antivirus de passerelle, système anti-spyware, anti-spam et filtrage d'URL. Cette approche vous permet de fournir une protection fiable contre les attaques réseau mixtes, ainsi que d'économiser les ressources financières et de main-d'œuvre généralement consacrées à la gestion et à la configuration de toute une gamme de solutions individuelles.

Protection à plusieurs niveaux

Le Firebox X Core e-Series est basé sur l'architecture en couches ILS (Intelligent Layer Security). Grâce à elle, les couches de sécurité assurent ensemble la protection, et sont contrôlées à d'autres niveaux par certain critère le trafic, selon le même critère, n'est pas revérifié. Par conséquent, le taux de transfert de données n'est pas réduit et les applications sensibles restent disponibles pour le fonctionnement.

L'architecture WatchGuard ILS se compose de six couches de sécurité qui fonctionnent en étroite collaboration pour détecter, bloquer et signaler dynamiquement le trafic malveillant tout en permettant au trafic normal de passer aussi efficacement que possible.

Pour un raisonnement plus approfondi, supposons qu'une couche est une construction logique qui définit une frontière abstraite entre les composants d'une infrastructure de sécurité réseau. Ainsi, nous considérerons chaque type de technologie de sécurité comme une couche distincte.

Architecture ILS en couches

Le moteur ILS est le cerveau de cette architecture. Conçu pour permettre à chaque couche de tirer parti des informations des autres couches, d'améliorer leurs capacités et de leur permettre de partager des informations sur le trafic passant entre elles, il offre une protection, une fiabilité et des performances maximales. Voyons ce qu'est chaque couche :

Services de sécurité externes. Fournir des technologies pour étendre la protection au-delà du pare-feu et des informations qui permettent plus travail efficace utilisateur final/administrateur.

Intégrité des données. Vérifie l'intégrité des paquets de données passants et la conformité du paquet avec le protocole

Virtuel Réseau privé(VPN). Assure la sécurité et la confidentialité des connexions externes

Pare-feu avec analyse dynamique. Limite le trafic aux seules sources, destinations et ports autorisés par la stratégie de sécurité.

Analyse approfondie des applications. Assure la conformité avec les normes de protocole de couche d'application du modèle ISO en bloquant les fichiers suspects par modèle ou type de fichier, en bloquant les commandes dangereuses et en modifiant les données pour éviter la fuite d'informations système critiques.

Sécurité du contenu. Analyse et restreint le trafic en fonction du contenu, comprend de nombreux services tels que l'antivirus, le système de prévention des intrusions, la protection anti-spyware et anti-spam, le filtrage d'URL.

Bien que six niveaux soient distingués dans le modèle décrit et que le moteur soit considéré comme le septième niveau de sécurité, chacun d'eux comprend de nombreuses fonctionnalités et capacités. Tous sont facilement extensibles pour inclure de nouvelles façons de contrer les menaces inconnues.

Protection Zero Day

Contrairement aux solutions qui reposent uniquement sur l'analyse basée sur les signatures, Firebox X Core dispose d'une technologie qui vous permet de fournir une protection fiable contre divers types d'attaques et leurs diverses variantes, sans avoir besoin de signatures. Tant que d'autres réseaux restent ouverts aux attaques pendant la fenêtre de la vulnérabilité (le temps qu'il faut pour que les signatures soient publiées), le réseau qui utilise Firebox continue d'être protégé.

Système de contrôle centralisé

WSM (WatchGuard System Manager) est une interface utilisateur graphique intuitive utilisée pour gérer les fonctionnalités des solutions Firebox X Core, Peak et Edge UTM. WSM fournit une journalisation complète, créer un VPN surveillance du système en temps réel par glisser-déposer. Puisqu'une seule interface fonctionne pour gérer toutes les fonctions du système de sécurité, il y a une économie importante de temps et de ressources financières.

Assistance et assistance d'experts

WatchGuard LiveSecurity Service est le service d'assistance et de maintenance le plus complet actuellement disponible sur le marché. Les abonnés reçoivent régulièrement des mises à jour logicielles, une assistance technique, des conseils d'experts, des mesures pour prévenir d'éventuels dommages causés par de nouvelles méthodes d'attaque, etc. Les Firebox X Core e-Series bénéficient d'un abonnement gratuit de 90 jours au service LiveSecurity, qui se compose de plusieurs modules. Celles-ci, à leur tour, incluent une assistance technique en temps réel, une assistance et des mises à jour logicielles, des manuels de formation et d'utilisation, ainsi que des messages spéciaux LiveSecurity Broadcasts - une notification rapide des menaces et des méthodes pour les combattre.

Services de sécurité supplémentaires

Chaque service de sécurité du Firebox X Core e-Series fonctionne conjointement avec la protection Zero Day intégrée, créant ainsi la combinaison optimale de toutes les fonctionnalités nécessaires pour protéger efficacement les ressources réseau. Ces fonctionnalités sont entièrement intégrées à l'appareil UTM, aucun matériel supplémentaire n'est donc requis.

Les abonnements à tous les services nécessaires sont émis sur l'appareil lui-même, et non sur une base par utilisateur, ce qui permet d'éviter des coûts financiers supplémentaires. Pour assurer une protection continue, tous les services sont constamment mis à jour et peuvent être gérés de manière centralisée à l'aide du système WSM.

Examinons de plus près les caractéristiques fonctionnelles de chaque service supplémentaire :

SpamBlocker bloque jusqu'à 97 % des e-mails indésirables en temps réel.

Les services de protection anti-spamBlocker de WatchGuard utilisent la technologie Commtouch® Recurrent Pattern Detection™ (RPD) pour se protéger contre les flux de spam en temps réel avec une précision de 99,95 % sans l'utilisation de signatures ou de filtres.

Au lieu de travailler avec mots clés et le contenu des e-mails, cette technologie analyse de gros volumes de trafic Internet pour calculer la composante répétitive de chaque flux dès son apparition. Jusqu'à 500 millions de messages sont traités par jour, après quoi des algorithmes spéciaux calculent, identifient et classent les nouveaux flux en 1 à 2 minutes.

Ces mêmes algorithmes séparent les spams des messages normaux. SpamBlocker utilise cette technologie pour fournir une protection en temps réel contre les attaques de spam en comparant constamment les messages suspectés d'être du spam avec ceux stockés dans le centre de détection de Commtouch (qui contient environ 20 000 000 d'échantillons). Cette technologie présente les avantages suivants :

  • Réponse extrêmement rapide aux nouveaux flux ;
  • Pratiquement aucune chance d'erreur de type I, ce qui fait de ce service le meilleur du secteur en termes de séparation des messages normaux des attaques de spam ;
  • Pourcentage élevé de détection de spam - jusqu'à 97 % des e-mails indésirables sont bloqués ;
  • Indépendance de la langue des messages. Grâce à l'utilisation des principales caractéristiques du trafic de messagerie en temps réel, les spams sont efficacement bloqués quels que soient la langue, le contenu ou le format du message.

Basé sur les propriétés de la masse des messages plutôt que sur un contenu, une langue ou un format spécifique, SpamBlocker fournit une protection en temps réel contre le spam, y compris les attaques de phishing, et maintient une bande passante élevée pour les autres trafics réseau.

Gateway Antivirus/Intrusion Prevention Service avec Anti-Spyware

Un système basé sur une protection de signature persistante sur la passerelle, fonctionnant contre les virus, les chevaux de Troie, les logiciels espions, les exploits de réseau, les robots d'indexation Web, le blocage des applications IM et P2P et d'autres menaces mixtes.

Le service de prévention des intrusions de WatchGuard offre une protection intégrée contre les attaques qui, bien que conformes aux normes de protocole, peuvent véhiculer du contenu indésirable. Basé sur les signatures, il est conçu pour protéger contre un large éventail d'attaques, y compris les scripts intersites, les débordements de tampon ou les injections SQL (insertions dans les requêtes SQL).

Les deux principaux problèmes associés à l'utilisation des systèmes de prévention des intrusions sont la vitesse et la probabilité d'une erreur de type I. L'intégration étroite du service IPS de WatchGuard avec d'autres couches ILS les élimine pratiquement.

Étant donné que les autres couches de l'ILS bloquent 70 à 80 % des attaques (l'analyse approfondie des applications est particulièrement efficace), les signatures ne sont pas nécessaires pour les bloquer. Cela réduit le nombre total de signatures et augmente la vitesse de traitement des données, tout en réduisant la probabilité d'une erreur de type I, qui est proportionnelle à la quantité de données vérifiées et au nombre de signatures utilisées. Le système de prévention des intrusions de WatchGuard n'utilise qu'environ 1 000 signatures pour atteindre un niveau de protection comparable, voire meilleur, avec certains autres systèmes pouvant contenir jusqu'à 6 000 signatures.

Les logiciels espions sont distribués de nombreuses autres manières que le P2P, y compris les fichiers intégrés, les cookies et les téléchargeurs. Les logiciels espions peuvent suivre tout ce que vous tapez sur votre clavier, fouiller dans des fichiers à la recherche de mots de passe et d'informations d'identification, et remplir votre écran d'affichage de publicités. Il ralentit également les systèmes et consomme du trafic réseau. Le service de prévention des intrusions de WatchGuard comprend à la fois des méthodes d'analyse basées sur les signatures et uniques pour bloquer les logiciels espions à différents points de son cycle de vie, y compris l'installation, le moment de la communication du rapport avec l'hôte parent et l'activité post-installation de l'application. Tout cela est fait par un ensemble de procédures interdépendantes :

  • Blocage de sites Web. Le moteur du service de prévention d'intrusion bloque l'accès aux référentiels de logiciels espions connus ou aux serveurs de fichiers qui distribuent des logiciels espions pendant les sessions HTTP.
  • Validation de contenu basée sur la signature. Le moteur de prévention des intrusions analysera en permanence le trafic par rapport à une base de données de signatures constamment mise à jour pour détecter et bloquer les logiciels espions téléchargeables, y compris les logiciels d'amorçage masqués.
  • Arrêtez-vous à la configuration. Pour installer avec succès les logiciels espions, il faut application spéciale Celui à contacter pour communiquer les données de configuration et demander les données de configuration initiales à l'hôte parent. Le système de prévention d'intrusion détecte et bloque cette communication.
  • Arrêtez-vous au travail. Dès que la machine infectée commence à fonctionner sur le réseau interne, les logiciels espions essaieront d'utiliser la connexion réseau afin de créer un canal de communication pour des actions supplémentaires. Le système de prévention des intrusions détectera et bloquera ces processus, qui peuvent inclure le vol d'informations, l'installation de logiciels espions supplémentaires et la publicité.

Le moteur de prévention des intrusions WatchGuard est étroitement associé à d'autres fonctions de pare-feu et produit des rapports entièrement intégrés au système de génération de rapports. Cela permet à l'administrateur système d'identifier facilement l'élément de réseau infecté par un logiciel espion et de le supprimer.

WebBlocker augmente la productivité et réduit les risques en bloquant l'accès aux sources non sécurisées sur le réseau, et gère également l'accès des employés à Internet.

WebBlocker utilise une base de données de sites et d'outils logiciels de SurfControl, leader mondial du filtrage Web. Afin de catégoriser et de couvrir entièrement la gamme complète de pages Web, WebBlocker utilise plusieurs catégories pour aider à bloquer le contenu que vous ne voulez pas laisser entrer dans votre réseau. sont bloqués

les sites connus qui contiennent des logiciels espions ou du contenu indésirable pour aider à protéger vos ressources en ligne ; les sites de divertissement sont bloqués, ce qui augmente la productivité des employés.

Avec des listes d'exclusion personnalisables, l'authentification des utilisateurs et la possibilité de définir différentes politiques pour différentes heures de la journée, WebBlocker améliore considérablement la politique de sécurité.

Options de mise à niveau

Si vous essayez d'estimer le montant total des investissements monétaires requis pour déployer, gérer et moderniser un ensemble de solutions de sécurité conçues pour répondre aux exigences générales des réseaux actuels, il devient évident que l'utilisation de Firebox X Core e-Series est plus rentable d'un point de vue point de vue financier.

Au fur et à mesure que les besoins augmentent, vous pouvez facilement étendre les capacités de l'appareil UTM. Par exemple, pour augmenter la vitesse et la bande passante, l'appareil est mis à niveau en achetant une licence spéciale. Il prévoit également la possibilité de basculer la plate-forme matérielle vers un système d'exploitation plus fonctionnel.

Système opérateur

Tous les modèles Firebox X Core e-Series sont livrés avec le système d'exploitation Fireware. Pour les environnements réseau complexes, il peut être nécessaire de mettre à niveau vers le système Fireware Pro plus avancé, qui offre les fonctionnalités supplémentaires suivantes :

  • gestion du trafic routier;
  • Donne l'assurance que la bande passante nécessaire sera allouée aux applications critiques ;
  • Système de basculement (mode actif/passif) ;
  • Capacité à créer un cluster de basculement ;
  • Routage dynamique (protocoles BGP, OSPF, RIP) ;
  • Flexibilité et efficacité maximales du réseau grâce à des tables de routage mises à jour dynamiquement.

Pour réinstaller le système d'exploitation sur un périphérique Firebox UTM, il vous suffit d'acheter une licence spéciale.

La combinaison et la transformation des outils de sécurité traditionnels en dispositifs UTM intégrés permettent aux entreprises de passer à un nouveau niveau de protection plus élevé pour leurs réseaux locaux. L'approche WatchGuard, basée sur une technologie spéciale mise en œuvre dans l'architecture ILS, vous permet d'intégrer plusieurs couches de protection à la fois, ainsi que caractéristiques supplémentaires est sans doute protection efficace pour tout : à la fois une infrastructure de réseau déjà formée et en développement. L'utilisation d'appareils UTM à part entière, tels que WatchGuard Firebox, est particulièrement pertinente de nos jours, alors que des types de menaces de plus en plus sophistiqués apparaissent avec une fréquence croissante.

ARTICLES LIÉS