ИЛЬЯ РОЗЕНКРАНЦ , менеджер по продукту ALTELL NEO компании «ООО «АльтЭль», сертифицированный специалист по иформационной безопасности (Check Point Sales Professional, McAfee Sales Professional), имеет сертификаты Cisco (CCNA, CCNP, IPTX), [email protected]

Защищаем сети по периметру
Обзор технологий UTM в решении ALTELL NEO

История развития UTM-устройств (Unified Threat Management, унифицированные средства защиты от угроз) началась около 25 лет назад, когда в 1988 году компания DEC изобрела свой пакетный фильтр, работающий на третьем уровне модели OSI (Open system interconnection) и анализирующий только заголовок пакета

Он и стал первым коммерческим «межсетевым экраном» (МЭ). В то время такой минималистический подход был полностью оправдан существующими реалиями угроз, в результате чего подобные МЭ без учета состояния (stateless inspection firewalls) стали неотъемлемой частью системы обеспечения ИБ.

Практически параллельно с этими событиями, в 1989-1990 годах, миру были представлены МЭ, работающие с данными четвертого уровня OSI, – так называемые МЭ с учетом состояний (stateful inspection firewall). Хотя неверно было бы думать, что ИБ-специалисты не рассматривали возможность контроля и фильтрации трафика на уровне приложений, на то время (начало 1990-х) реализация этого метода исключалась по причине недостаточной производительности вычислительных систем. Только к началу 2000-х производительность аппаратных платформ позволила выпустить первые коммерческие UTM-решения.

В настоящее время межсетевые экраны, уже давно доказавшие свою эффективность, остаются наравне с антивирусным ПО одними из самых распространенных средств защиты информационных систем. Однако появление новых видов комплексных атак и рост трафика на уровне приложений (IP-телефония, потоковое видео, облачные корпоративные приложения) зачастую сводят эффективность традиционных МЭ к нулю. Для того чтобы достойно противостоять подобным угрозам, ведущие мировые ИТ-компании развивают новые технологии, нацеленные на выявление и предотвращение атак, осуществляемых на самых разных уровнях (от атак через каналы связи до приложений).

Одним из решений описанной проблемы стала интеграция в межсетевой экран функций других специализированных устройств, например, веб-фильтра и криптографического шлюза. Получившийся тип устройств имеет обозначение UTM. Также становится популярным термин «межсетевые экраны нового поколения» (NGFW, Next Generation Firewall), фильтрующие трафик и на седьмом уровне модели OSI.

На заре эры UTM-устройств (2004-2005 годы) все их компоненты были уже созданы: активно применялись межсетевые экраны с режимом анализа состояний (stateful inspection), механизмы построения защищенных сетей по общедоступным каналам связи (VPN – virtual private network), сетевые комплексы обнаружения и предотвращения вторжений (IDS/IPS – intrusion detection/prevention system), веб-фильтры.

При этом рабочие места защищались набором средств для защиты на уровне приложений (антивирус, антиспам, антифишинг). Но решение одной проблемы (обеспечение необходимого уровня информационной безопасности) привело к появлению других: резко выросли требования к квалификации технического персонала, повысилось энергопотребление оборудования, увеличились требования к объему серверных комнат, стало сложнее управлять процессом обновления программной и аппаратной частей комплексной системы безопасности.

Кроме того, многократно возросли проблемы с интеграцией новых средств защиты информации в уже существующую инфраструктуру, зачастую состоявшую из продуктов разных разработчиков. По этой причине возникла идея объединить все перечисленные функции в одном устройстве, тем более что к тому времени аппаратные платформы достигли достаточного уровня производительности и могли одновременно справляться с несколькими задачами.

В результате на рынке появились решения, позволяющие снизить затраты на защиту информации и в то же время повысить уровень информационной безопасности, так как «начинка» UTM изначально отлажена и оптимизирована для одновременной работы всех включенных в нее функций.

Востребованность и правильность такого подхода подтверждают цифры международной исследовательской компании IDC, согласно которым в первой четверти 2014 года рост сегмента UTM-устройств составил 36,4% (по сравнению с аналогичным периодом предыдущего года). Для сравнения: общий рост рынка устройств защиты информации за аналогичный период составил 3,4%, и теперь на UTM-устройства приходится 37% этого рынка. В то же время спад выручки по направлению Firewall/VPN составил 21,2%.

Основываясь на вышеперечисленных трендах рынка информационной безопасности, на исходе первого десятилетия нового века многие производители представили свои межсетевые экраны нового поколения. Так, российская компания «АльтЭль» выпустила продукт ALTELL NEO.

В то же время в решениях для обеспечения информационной безопасности растет популярность использования интегрированных систем разных производителей для повышения уровня защиты: вендоры аппаратных средств защиты стали активнее сотрудничать с разработчиками профильного ПО. Например, в продукт ALTELL NEO были внедрены технологии «Лаборатории Касперского» для защиты данных на уровне приложений: Kaspersky Anti-Virus/Anti-Spam SDK (Software development kit).

В настоящее время множество игроков на рынке предлагают межсетевые экраны нового поколения, среди них Palo Alto, Check Point, Cisco, Intel Security. В существующих реалиях, когда курс доллара имеет высокую волатильность, многие заказчики, и в первую очередь госструктуры, рассматривают импортозамещение как возможность выполнить требования регуляторов и внутренних ИБ-процедур. В этой ситуации рассмотрение российских производителей UTM-решений выглядит логичным.

Рассмотрим основные функции UTM-межсетевых экранов ALTELL NEO.

Антивирус/антиспам

В настоящее время многие компании выбирают UTM-устройства для защиты периметра сети, в том числе благодаря возможности фильтровать входящую и исходящую электронную почту.

Первым российским полнофункциональным решением в этой области является высокопроизводительный межсетевой экран нового поколения ALTELL NEO. В его арсенале имеется два независимых антивируса и антиспам-решения: ClamAV (бесплатный продукт) и Kaspersky AV, SpamAssassin и Kaspersky AS соответственно.

Cтандартные возможности и функции UTM-устройств:

• Поддержка работы в прозрачном (незаметном для конечного пользователя) режиме.
• Поддержка DNS Black List.
• Поддержка «черных», «белых» и «серых» списков.
• Проверка наличия DNS-записи о сервере-отправителе.
• Технология SPF (Sender Policy Framework, структура политики отправителя) – расширение для протокола отправки электронной почты через SMTP, позволяющее определить подлинность домена отправителя. SPF является одним из способов идентификации отправителя электронного письма и предоставляет дополнительную возможность фильтрации потока почты на предмет наличия в нем спамерских сообщений. С помощью SPF почта разделяется на «разрешенную» и «запрещенную» относительно домена получателя или отправителя.
• Сервис SURBL (Spam URI Realtime Blocklists) – сервис, содержащий сведения не об IP-адресах, с которых поступает спам, а о сайтах, которые рекламируются в спамерских сообщениях. Поскольку большинство спам-писем (и фишерских писем в частности) призываtт посетить какой-либо сайт, и сайтов этих меньше, чем IP-адресов отправителей спама, то SURBL может работать более эффективно, чем RBL, – фильтровать до 80-90% спама при ложных срабатываниях не выше 0,001-0,05%.
• Отсутствие технической возможности потери сообщений в фильтре.
• Применение ЭЦП в отправляемых письмах с помощью технологии DKIM (DomainKeys Identified Mail). Данная технология позволяет подтвердить подлинность (аутентифицировать) отправителя письма, а также подтвердить отсутствие изменений в электронном письме во время его передачи от отправителя к получателю.
• Передовые методы фильтрации: байесовская фильтрация, Razor.

Использование технологии антивируса/антиспама позволяет компаниям, например, банкам, выполнять требования Банка России по защите от вредоносного кода. В отличие, скажем, от СТО БР ИББС и 382-П, где этой тематике было отведено немного места, уже больше года мы имеем полноценный документ: письмо 49-Т от 24 марта 2014 года «О рекомендациях по организации применения средств защиты от вредоносного кода при осуществлении банковской деятельности». В документах расписаны как технические, так и организационные требования.

Применение UTM-решений с антивирусом позволит и интернет-провайдеру предоставить очищенный трафик, и банку выполнить рекомендации регулятора по части сегментации и возможности локализации эпидемий вредоносного кода.

Система обнаружения и предотвращения вторжений – IDPS

Системы обнаружения и предотвращения вторжений, IDS/IPS или IDPS (Intrusion detection/prevention system, аналогичный русскоязычный термин – СОВ/СПВ), – необходимое звено защиты внутренней сети организации. Основное предназначение подобных систем – выявление фактов неавторизованного доступа в корпоративную сеть и принятие мер противодействия: информирование ИБ-специалистов о факте вторжения, обрыв соединения, перенастройка межсетевого экрана для блокирования дальнейших действий злоумышленника.

В ALTELL NEO реализовано несколько технологий IDPS, различающихся по типам обнаруживаемых событий и по методологии, используемой для выявления инцидентов. В дополнение к функциям мониторинга и анализа событий по выявлению инцидентов IDPS от компании «АльтЭль» выполняют следующие функции:

• Запись информации по событиям. Обычно информация хранится локально, но может быть отправлена в любую централизованную систему сбора логов либо систему SIEM.
• Уведомление администраторов безопасности об инцидентах ИБ. Такой вид уведомления называется alert и может осуществляться по нескольким каналам: email, SNMP-трапы, сообщения системного журнала, консоль управления системы IDPS. Возможна также программируемая реакция с использованием скриптов.
• Генерация отчетов. Отчеты создаются с целью суммировать всю информацию по запрашиваемому событию (событиям).

Технология IPS дополняет технологию IDS тем, что позволяет не только самостоятельно определить угрозу, но и успешно заблокировать ее. В этом сценарии функционал IPS, реализованный в ALTELL NEO, гораздо шире IDS и включает в себя следующие возможности:

• Блокирование атаки (обрыв сессии пользователя, нарушающего политику безопасности, блокирование доступа к ресурсам, хостам, приложениям).
• Изменение защищаемой среды (изменение конфигурации сетевых устройств для предотвращения атаки).
• Нейтрализация атаки (например, удаление из письма инфицированного файла и отправка его получателю уже очищенным либо работа в режиме прокси, т.е. анализ входящих запросов и отсечение данных в заголовках пакетов).

Преимущества любых технологий неизбежно сопровождаются некоторыми недостатками. Например, система IDPS не всегда может точно определить инцидент ИБ, а иногда способна принять нормальное поведение трафика/пользователя за инцидент.

В первом варианте принято говорить о false negative (ложноотрицательном результате), во втором варианте говорят о false positive (ложном срабатывании). Ни одно из существующих сегодня решений не позволяет полностью исключить ни FP-, ни FN- события. Поэтому организация в каждом случае должна самостоятельно решить, какая из этих групп рисков представляет большую угрозу, после чего настроить решение соответственно.

Существуют различные методики обнаружения инцидентов с помощью технологий IDPS. Большинство реализаций IDPS использует комбинацию данных технологий для того, чтобы обеспечить более высокую степень детектирования угроз. Стоит отметить, что в оборудовании ALTELL NEO реализованы все нижеописанные технологии.

Обнаружение атак в почте, основанное на сигнатурах

Сигнатурой называют шаблон, который, будучи обнаружен в трафике или почтовом сообщении, однозначно идентифицирует конкретную атаку. Обнаружение атаки по сигнатурам – это процесс сравнения контента с базой сигнатур, хранящейся внутри решения. Примерами сигнатур являются:

• соединение telnet пользователя root, что будет являться нарушением определенной политики безопасности компании;
• входящее электронной письмо с темой «бесплатные картинки» с приложенным файлом freepics.exe;
• лог операционной системы с кодом 645, который обозначает, что аудит хоста выключен.

Данный метод очень эффективен при обнаружении известных угроз, но очень неэффективен при атаках, для которых еще нет сигнатур.

Встроенная в ALTELL NEO система антивируса/антиспама позволяет фильтровать от 120 до 800 писем в минуту.

Обнаружение атаки по аномальному поведению

Данный метод основан на сравнении нормальной активности элементов сети с событиями, отклоняющимися от нормального уровня. У IPS, использующих этот метод, есть т.н. профили, которые отражают нормальное поведение пользователей, сетевых узлов, соединений, приложений и трафика. Эти профили создаются во время «обучающего периода» в течение некоторого времени.

Например, в профиль может быть записано повышение веб-трафика на 13% в рабочие дни. IDPS в дальнейшем использует статистические методы при сравнении разных характеристик реальной активности с заданным пороговым значением. При превышении этого порогового значения на консоль управления администратора безопасности приходит соответствующее сообщение. Профили могут быть созданы на основе атрибутов, взятых из поведенческого анализа пользователей, например, количества отосланных электронных писем, количества неудачных попыток входа в систему, уровня загрузки процессора сервера в определенный период времени, и многих других.

Данный метод позволяет блокировать атаки, которые обошли фильтрацию сигнатурного анализа.

В основе IDS/IPS, применяемых нашей компанией в межсетевых экранах нового поколения ALTELL NEO, лежит открытая технология Suricata, доработанная под потребности компании. В отличие от более распространенной открытой IDS/IPS Snort, Suricata обладает рядом преимуществ, например, позволяет добиться более высокой производительности за счет распараллеливания обработки трафика по ядрам процессора и меньшего числа ложных срабатываний.

Стоит учитывать, что для корректной работы IDS/IPS ей необходимы актуальные базы сигнатур. В ALTELL NEO для этой цели используются открытые базы National Vulnerability Database и Bugtraq. Обновление баз происходит два-три раза в день, что позволяет обеспечить оптимальный уровень информационной безопасности.

Система ALTELL NEO может функционировать в двух режимах: режиме обнаружения вторжений (IDS) и режиме предотвращения вторжений (IPS). Включение как функции IDS, так и IPS происходит на выбранном администратором интерфейсе устройства – одном или нескольких. Также возможен вызов функций IPS при настройке правил межсетевого экрана для конкретного типа трафика, который требуется проверить. Функционально отличие IDS от IPS заключается в том, что в режиме IPS сетевые атаки могут быть заблокированы в режиме реального времени.

Правила безопасности разрабатываются сообществом Emerging Threats. Правила основаны на многолетнем совместном опыте экспертов в области сетевой безопасности и постоянно совершенствуются. Обновление правил происходит автоматически (для этого в ALTELL NEO должно быть настроено подключение к интернету). При необходимости можно настроить ручное обновление.

Каждому правилу назначается приоритет в соответствии с классом атаки по частоте использования и важности. Стандартные уровни приоритетов от 1 до 3, при этом приоритет 1 является высоким, приоритет 2 – средним, приоритет 3 – низким.

В соответствии с данными приоритетами может быть назначено действие, которое в режиме реального времени будет выполнять система IDS/IPS при обнаружении сетевого трафика, соответствующего сигнатуре правила. Действие может быть одним из следующих:

• Alert (режим IDS) – трафик разрешается и пересылается получателю. В журнал регистрации событий записывается предупреждение. Это действие установлено по умолчанию для всех правил.
• Drop (режим IPS) – анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам не производится. Пакет отбрасывается, в журнал записывается предупреждение.
• Reject (режим IPS) – в этом режиме пакет отбрасывается, в журнал записывается предупреждение. При этом отправителю и получателю пакета отправляется соответствующее сообщение.
• Pass (режим IDS и IPS) – в этом режиме анализ пакета прекращается, дальнейшее сравнение на соответствие оставшимся правилам системой не производится. Пакет пересылается по назначению, предупреждение не генерируется.

Отчеты по трафику, проходящему через систему обнаружения и предотвращения вторжений ALTELL NEO, могут быть сформированы в системе внешнего мониторинга и управления (СВМиУ) собственной разработки. СВМиУ собирает исходные данные (alert) с одного или нескольких устройств ALTELL NEO.

Система обнаружения и предотвращения вторжений ALTELL NEO работает на скоростях от 80 Мбит/с
до 3200 Мбит/с.

Система веб-фильтрации

В ALTELL NEO встроен модуль веб-прокси (посредник) для фильтрации запросов пользователей и кэширования данных, получаемых из Всемирной сети.

Посредник может работать в нескольких режимах, которые можно комбинировать для решения разных задач.По контексту применения выделяются следующие режимы работы:

• взаимодействия с клиентским ПО (например, веб-браузерами пользователей): «прозрачный» и «непрозрачный»;
• аутентификации пользователей прокси: без аутентификации, с аутентификацией на основе LDAP, с аутентификацией на основе NTLM;
• обработки запросов пользователей (URL содержимого, IP-адрес источника и так далее): с фильтрацией и без фильтрации;
• обработки веб-содержимого, полученного в ответ на запросы пользователей: с кэшированием и без кэширования;
• с включенным и отключенным режимом проксирования SSL.

Рынок UTM достаточно большой, и он продолжает расти, на нем представлены как аппаратные, так и программные решения. Какое из них использовать, это вопрос каждый специалист, каждая организация решают исходя из своих предпочтений и возможностей. Главное – иметь подходящий по параметрам сервер, ведь теперь одна система будет выполнять несколько проверок, и нагрузка существенно возрастет.

Одно из преимуществ современных UTM-устройств – их универсальность, и ALTELL NEO является хорошим образцом этого подхода. В зависимости от размеров компании могут использоваться решения различных классов: от настольных до серверных 2U-систем производительностью до 18,5 Гбит/с. Технологии «Лаборатории Касперского», лежащие в основе антивирусного функционала ALTELL NEO, позволяют обновлять антивирусные базы от 10 до 25 раз в день. При этом средний размер обновления обычно не превышает 50 Кб, что составляет одно из лучших в индустрии соотношений частота/размер.

Вконтакте

Есть мнение, что UTM и NGFW - одно и тоже. Хочу развеять это мнение.

Что было сначала?

Правильно, сначала были UTM (Unified Threat Management). Это система все-в-одном. Кто-то умный догадался поставить на один сервер сразу несколько движков защиты. Безопасники получили возможность из одной коробки получать сразу и управление, и работу нескольких движков безопасности. Теперь вместе заработали межсетевой экран, VPN, IPS, антивирус, вебфильтр и антиспам. Кто-то еще навешивает другие движки, например, DLP. Сейчас обязательным является движок расшифрования SSL и SSH и движок разбора и блокировки приложений на всех 7 уровнях модели OSI ISO. Как правило движки берутся от разных вендоров или даже бесплатные, например, IPS от SNORT, антивирус clamav или межсетевой экран iptables. Поскольку межсетевой экран еще является роутером или свитчом для трафика, то движок динамической маршрутизации также чаще всего какого-то производителя. По мере роста спроса появились крупные игроки на рынке, которые смогли скупить несколько хороших разработок для работы нужного движка и соединить их работу внутри одного UTM устройства. Например, Check Point купил IPS у компании NFR, Cisco купила IPS у Sourcefire. Популярные марки видно в квадрате Gartner по UTM. В 2017 году лидерами UTM по мнению Gartner являются Check Point, Fortinet и Sophos.

Минусы архитектуры UTM. Почему появились NGFW?

Рис 1. Пример архитектуры работы UTM.

Первой архитектурной проблемой UTM являлось то, что все движки внутри по очереди передавали друг другу сетевые пакеты и ждали когда предыдущий движок закончит работу, чтобы начать свою. В результате чем больше функций встраивает вендор в свое устройство, тем медленнее оно работает. В результате пользователям таких устройств приходится отключать IPS и антивирус или часть их сигнатур, чтобы трафик вообще ходил. То есть вроде платили как за устройство защиты, а пользуются только как роутером. Нужно было что-то придумать, чтобы движки защиты не ждали друг друга и работали параллельно.
Новым ходом производителей NGFW стало то, что в них использовали специализированные чипы, которые одновременно смотрят на тот же самый трафик. Это стало возможным, поскольку каждый процессор стал отвечать за свою функцию: в один прошиты сигнатуры IPS, в другой сигнатуры антивируса, в третий сигнатуры URL. Можно включать все сигнатуры во всех движках - трафик находится под полной защитой без снижения производительности. Программируемые чипы такого типа называются ПЛИС (программируемая логическая интегральная схема) или в английской литературе FPGA. Их отличие от ASIC в том, что они могут перепрограммироваться на ходу и выполнять новые функции, например, проверку новых сигнатур, после обновления микрокода или любые другие функции. Этим NGFW и пользуется - все обновления прошиваются непосредственно в чипы FPGA.

Рис 2. Пример архитектуры работы Palo Alto Networks NGFW.

Второй архитектурной проблемой UTM стало то, что все файловые операции требовали работы жесткого диска. Какая скорость чтения с жесткого диска? 100 Мегабайт в секунду. А что будет делать UTM, если у вас в ЦОД 10Гбит скорости? Если 300 человек в вашей компании решат скачать папочку с файлами по сети Микрософт (протокол SMB), то что сделает UTM? Плохие UTM просто загрузятся на 100% и перестанут работать. В продвинутых UTM на этот случай встроены различные механизмы автоотключения работы движков защиты: antivirus-bypass, ips-bypass и другие, которые выключают функции безопасности, когда загрузка аппаратной части превысит ее возможности. А если нужно не просто сохранить файл, но еще и распаковать архив? Скорость работы снижается еще. Поэтому UTM в основном применяются в маленьких компаниях, где скорости были неважны, либо где безопасность - опция.

Практика показывает, что как только скорость сети возрастает, то в UTM приходится выключать все движки кроме маршрутизации и пакетного межсетевого экрана, либо просто ставить обычный межсетевой экран. То есть давно уже стояла задача как-то ускорить работу файлового антивируса.

Новым архитектурным сдвигом у первого производителя NGFW, появившегося в 2007 году, стало то, что файлы перестали сохраняться на диск, то есть весь разбор трафика, раскодирование и сборка файлов для проверки антивирусом стали производиться в памяти. Это сильно повысило производительность устройств защиты и отвязало их от производительности жестких дисков. Скорости сетей растут быстрее скоростей жестких дисков. Только NGFW спасут безопасников. Сейчас по версии компании Gartner есть два лидера в NGFW: Palo Alto Networks и Check Point.

А как работают с приложениями 7 уровня в UTM и NGFW?

С появлением NGFW у заказчиков появилась новая возможность - определение приложений 7 уровня. Сетевые инженеры изучают семиуровневую модель сетевых взаимодействий OSI ISO. На 4 уровне этой модели работают протоколы TCP и UDP, что в последние 20 лет работы сетей IP считалось достаточно для анализа трафика и для управлением трафиком. То есть обычный межсетевой экран просто показывает IP адреса и порты. А что делается на следующих 5-7 уровнях? Межсетевой экран нового поколения видит все уровни абстракции и показывает что за приложение какой файл передало. Это сильно повышает понимание сетевых взаимодействий ИТ специалистами и усиливает безопасность, поскольку вскрывает туннелирование внутри открытых приложений и позволяет блокировать приложение, а не просто порт. Например, как блокировать skype или bittorent обычным межсетевым экраном старого поколения? Да, никак.

Производители UTM в итоге добавили движок определения приложений. Однако в них два движка управления трафиком - портовый 4 на уровне TCP, UDP и ICMP и на уровне поиска контента приложений в трафике типа teamviewer, tor, skype. Получилось, что у UTM несколько политик: одна управляет портами, вторая управляет приложениями. И это создает очень много трудностей, в результате политикой управления приложениями никто не пользуется.

На тему визуализации на уровне приложений прилагаю презентацию. Также это затрагивает тему Shadow IT. Но про это позже..

Универсальное устройство Unified threat management, иначе называемое UTM-системой, создано для обеспечения компьютерной безопасности. Его применение в целях защиты цифровых данных началось в 2004 году, поскольку обычные виды межсетевых экранов уже не могли справляться со всё более изощрёнными сетевыми атаками. Unified threat management является модификацией стандартного межсетевого экрана (Firewall) , в связи с чем включает в себя функции, направленные на обеспечение защиты персональных данных. Это становится возможным за счёт включения в UTM-решение задач поиска, а также предотвращения сетевых угроз, антивируса, межсетевого экрана и VPN.

Впервые термин «Unified threat management» был использован IDC – компанией, ведущей исследование телекоммуникаций и всемирных информационных технологий. Главным достоинством UTM является то, что система представляет собой единый комплекс, выполняющий сразу все необходимые пользователю функции: антивируса, контент-фильтра, IPS – службы по предотвращению вторжений и сетевых атак, что намного удобнее и эффективнее, чем администрирование нескольких устройств единовременно.

Архитектура UTM

UTM могут быть реализованы как в виде программного решения(устанавливаемого на выделенный сервер или в качестве виртуальной машины), так и в виде программно-аппаратного комплекса. В последнем случае для вычислений используется не только центральный процессор общего назначения, но и ряд специальных процессоров. Благодаря данному свойству скорость работы UTM-шлюза может достигать 1Gbps и выше.

Процессор контента

Разработан в целях высокоскоростной обработки подозрительных сетевых пакетов, а также архивированных файлов и их сравнении с теми видами угроз, которые уже записаны в память. Трафик обрабатывается не напрямую через сеть, а от CPU общего назначения, что ускоряет скорость вычисления операций, логически относящихся к службе IPS и антивируса.

Сетевой процессор

Осуществляет высокоскоростную обработку сетевых потоков, снижая нагрузку на прочие системные компоненты. Также осуществляет шифрования, трансляцию сетевых адресов и обработку TCP-сегментов. Способен вычислить угрозу даже тогда, когда данные фрагментированы для обхода служб безопасности, путём их сортировки, вычисляет реальное назначение конечного пакета данных.

Процессор безопасности

Позволяет значительно повысить производительность антивируса, службы предотвращения потери данных и службы IPS (предотвращения сетевых вторжений). Принимает на себя сложно вычислимые задачи, значительно разгружая таким образом CPU.

Программные компоненты

Firewall

Многоуровневый межсетевой экран защищает пользователя от атак не только на уровне сети, но и на уровне приложений: доступ к внутренним данным осуществляется только после аутентификации, обеспечивая доступ исключительно санкционированным пользователям; возможно создание различных уровней прав доступа для различных пользователей. Имеется поддержка NAT-трансляции сетевых адресов без раскрытия внутренней архитектуры сети организации.

IPSEC VPN

Обеспечивает быстрое и простое создание безопасных VPN сетей – на основе домена шифрования или правил маршрутизации – объединяя таким образом функции шифрования, аутентификации, контроля доступа. Позволяет осуществить безопасное подключение удалённых пользователей, объектов, сетей.

Фильтрация URL

Фильтрация нежелательных сайтов за счёт запрета доступа сотрудников к заданному списку веб-страниц. Позволяет работать с крупными базами URL-адресов, возможно разбиение их по типу контента. Возможно создание белых или чёрных списков для отдельных пользователей или серверов.

Антивирус и Антиспам

Проверка на вирусы происходит ещё до их попадания на жёсткий диск пользователя – на шлюзе безопасности. Обычно поддерживаются наиболее часто используемые протоколы POP3/IMAP4, FTP, HTTP, SMTP. Кроме этого, антивирус, как правило, способен осуществлять сканирование сжатых файлов.

Блокировка спама происходит на основе изучения репутации IP-адреса, с которого было получено сообщение, а также путём проверки полученного пакеты данных на соответствие с чёрным и белым списком. Для почты предусмотрен IPS, который защищает её от DDoS-атак, атак на переполнение буфера. Всё содержимое письма сканируется на наличие вредоносных кодов и программ.

Кластеризация

Внедрён с целью повышения производительности межсетевого экрана, которая стала возможной благодаря увеличению пропускной способности и его разгрузки, равномерного распределения нагрузки на вычислительные ядра. Грамотное распределение трафика между резервными шлюзами позволяет достичь высокого уровня отказоустойчивости и перенаправления трафика в случае отказа из одного шлюза в другой.

Безопасный веб-серфинг

Исследует текущую веб-сессию на предмет наличия вредоносного кода. Способен определить не только наличие, но и уровень опасности исполняемого кода, и блокировать вредоносный код до того, как он достигнет компьютера пользователя. Способен скрывать информацию о сервере в HTTP-ответе, предотвращая возможные сетевые атаки.

Предпосылки к появлению

Ввиду всё большего числа сетевых атак и взломов серверов крупных компаний и корпораций стало очевидна необходимость внедрения UTM-шлюзов, способных отразить проникновения в систему вирусов и червей.

На сегодняшний день существует множество способов взлома слабо защищённых систем. Основными проблемами, с которыми сталкиваются современные компании, является отсутствие безопасности внутренних данных, а также несанкционированный доступ к информации собственных работников. Отсутствие защищённости данных становится результатом крупных денежных потерь. Тем не менее, лишь сравнительно недавно корпорации стали признавать необходимость контроля доступа к информации сотрудниками компании, пренебрежение же специализированных средств для защиты данных внутри сети приводит к разглашению и компрометации конфиденциальных данных.

Назначение UTM-решения заключается в предоставлении полного спектра приложений, необходимых для защиты данных от третьих лиц. Простые и удобные в использовании, UTM-системы постоянно развиваются, что позволяет им реагировать на всё более сложные сетевые атаки и своевременно их устранять.

UTM-решения имеет аналог в виде файервола следующего поколения, или NGFW (next generation firewall). По функционалу это устройство очень схоже с UTM, но разрабатывалось оно не для предприятий среднего бизнеса, как это было с Unified threat management, а для крупных компаний. Поначалу создатели NGFW пытались объединить в нём фильтрацию по портам и протоколам, обеспечивая функционал защиты сетевых атак и возможность анализа трафика на уровне приложений.

Рынок UTM сегодня

Согласно последним исследованиям рынка, в течение 2016-2020 годов рынок UTM возрастёт приблизительно на 15 процентов. Основные поставщики UTM-решений:

• Dell Sonic Wall
• Cisco (Cisco ASA -X)
• Check Point Software Technologies
• Juniper Networks
• Kerio (куплена GFI)

Отечественные разработчики UTM-решений:

• А-Реал (Интернет Контроль Сервер)
• Смарт-Софт (TrafficInspector)

UTM: комплексные решения

Использование сетевых решений, направленных на выполнение только одной функции, перестало быть оправданным ввиду сложности в управлении и интегрировании их друг с другом и связанными с этим высокими временными и финансовыми ресурсами. Сегодня сетевая безопасность требует комплексного подхода, объединяя функционал систем, ранее работавших разрозненно. Это обеспечивает высокую производительность и оптимальное решение проблем в более короткие сроки – и с большей эффективностью.

Наличие одного UTM-решения вместо нескольких различных устройств упрощает управление стратегией сетевой безопасности компании. Настройка всех составляющих UTM-шлюза осуществляется из одной консоли – ранее для этого потребовалось бы несколько слоёв программного и аппаратного обеспечения.

На предприятиях, имеющих удалённые офисы и серверы, UTM-решения обеспечивают централизованное управление удалёнными сетями и их защиту.

Достоинства

Снижение числа используемых устройств;

Уменьшение объёма используемого софта и финансовых трат на его поддержку;

Лёгкое и понятное управление. Наличие различных настроек, веб-интерфейса и расширяемая архитектура;

Более быстрая обучаемость персонала за счёт использования лишь одного устройства.

Недостатки

UTM представляет собой решение с единой точкой отказа, но некоторые решения поддерживают кластеризацию;

Если UTM-система не поддерживает максимальную скорость передачи данных сети, возможно влияние на пропускную способность сети и время отклика.

). Начнем мы наш блог с небольшого введения в технологии Check Point.

Мы долго размышляли над тем, стоит ли писать данную статью, т.к. в ней нет ничего нового, чего нельзя было бы найти в сети Интернет. Однако, несмотря на такое обилие информации при работе с клиентами и партнерами мы довольно часто слышим одни и те же вопросы. Поэтому было решено написать некое введение в мир технологий Check Point и раскрыть суть архитектуры их решений. И все это в рамках одного “небольшого” поста, так сказать быстрый экскурс. Причем мы постараемся не вдаваться в маркетинговые войны, т.к. мы не вендор, а просто системный интегратор (хоть мы и очень любим Check Point) и просто рассмотрим основные моменты без их сравнения с другими производителями (таких как Palo Alto, Cisco, Fortinet и т.д.). Статья получилась довольно объемной, зато отсекает большую часть вопросов на этапе ознакомления с Check Point. Если вам это интересно, то добро пожаловать под кат…

UTM/NGFW

Начиная разговор о Check Point первое с чего стоить начать, так это с объяснения, что такое UTM, NGFW и чем они отличаются. Сделаем мы это весьма лаконично, дабы пост не получился слишком большим (возможно в будущем мы рассмотрим этот вопрос немного подробнее)

UTM - Unified Threat Management

Если коротко, то суть UTM - консолидация нескольких средств защиты в одном решении. Т.е. все в одной коробке или некий all inclusive. Что понимается под “несколько средств защиты”? Самый распространенный вариант это: Межсетевой экран, IPS, Proxy (URL фильтрация), потоковый Antivirus, Anti-Spam, VPN и так далее. Все это объединяется в рамках одного UTM решения, что проще с точки зрения интеграции, настройки, администрирования и мониторинга, а это в свою очередь положительно сказывается на общей защищенности сети. Когда UTM решения только появились, то их рассматривали исключительно для небольших компаний, т.к. UTM не справлялись с большими объемами трафика. Это было по двум причинам:

1. Способ обработки пакетов. Первые версии UTM решений обрабатывали пакеты последовательно, каждым “модулем”. Пример: сначала пакет обрабатывается межсетевым экраном, затем IPS, потом его проверяет Антивирус и так далее. Естественно такой механизм вносил серьезные задержки в трафик и сильно расходовал ресурсы системы (процессор, память).
2. Слабое “железо”. Как было сказано выше, последовательная обработка пакетов сильно отъедала ресурсы и “железо” тех времен (1995-2005) просто не справлялось с большим трафиком.

Но прогресс не стоит на месте. С тех пор значительно увеличились аппаратные мощности, а обработка пакетов изменилась (надо признать, что далеко не у всех вендоров) и стала позволять практически одновременный анализ сразу в нескольких модулях (МЭ, IPS, AntiVirus и т.д.). Современные UTM решения могут “переваривать” десятки и даже сотни гигабит в режиме глубокого анализа, что дает возможность использовать их в сегменте крупного бизнеса или даже датацентов.

Ниже представлен знаменитый магический квадрант Гартнера для UTM решений за август 2016 года:

Не буду сильно комментировать данную картинку, просто скажу, что в верхнем правом углу находятся лидеры.

NGFW - Next Generation Firewall

Название говорит само за себя - межсетевой экран следующего поколения. Данный концепт появился значительно позже, чем UTM. Главная идея NGFW - глубокий анализ пакетов (DPI) c помощью встроенного IPS и разграничение доступа на уровне приложений (Application Control). В данном случае IPS как раз и нужен, чтобы в потоке пакетов выявлять то или иное приложение, что позволяет разрешить, либо запретить его. Пример: Мы можем разрешить работу Skype, но запретить передачу файлов. Можем запретить использовать Torrent или RDP. Также поддерживаются веб-приложения: Можно разрешить доступ к VK.com, но запретить игры, сообщения или просмотр видео. По сути, качество NGFW зависит от количества приложений, которые он может определять. Многие считают, что появление понятия NGFW было обычным маркетинговым ходом на фоне которого начала свой бурный рост компания Palo Alto.

Магический квадрант Гартнера для NGFW за май 2016:

UTM vs NGFW

Очень частый вопрос, что же лучше? Однозначного ответа тут нет и быть не может. Особенно если учитывать тот факт, что почти все современные UTM решения содержат функционал NGFW и большинство NGFW содержат функции присущие UTM (Antivirus, VPN, Anti-Bot и т.д.). Как всегда “дьявол кроется в мелочах”, поэтому в первую очередь нужно решить, что нужно конкретно Вам, определиться с бюджетом. На основе этих решений можно выбрать несколько вариантов. И все нужно однозначно тестировать, не веря маркетинговым материалам.

Мы в свою очередь в рамках нескольких статей попытаемся рассказать про Check Point, как его можно попробовать и что в принципе можно попробовать (практически весь функционал).

Три сущности Check Point

При работе с Check Point вы обязательно столкнетесь с тремя составляющими этого продукта:

Операционная система Check Point

Говоря об операционной системе Check Point можно вспомнить сразу три: IPSO, SPLAT и GAIA.

1. IPSO - операционная система компании Ipsilon Networks, которая принадлежала компании Nokia. В 2009 года Check Point купила этот бизнес. Больше не развивается.
2. SPLAT - собственная разработка Check Point, основана на ядре RedHat. Больше не развивается.
3. Gaia - актуальная операционная система от Check Point, которая появилась в результате слияния IPSO и SPLAT, вобрав в себя все самое лучшее. Появилась в 2012 году и продолжает активно развиваться.

Говоря о Gaia следует сказать, что на текущий момент самая распространенная версия это R77.30. Относительно недавно появилась версия R80, которая существенно отличается от предыдущей (как в плане функциональности, так и управления). Теме их отличий мы посвятим отдельный пост. Еще один важный момент - на текущий момент сертификат ФСТЭК имеет только версия R77.10 и идет сертификация версии R77.30.

Варианты исполнения (Check Point Appliance, Virtual machine, OpenSerever)

Здесь нет ничего удивительного, как и многие вендоры Check Point имеет несколько вариантов продукта:

Варианты внедрения (Distributed или Standalone)

Чуть выше мы уже обсудили что такое шлюз (SG) и сервер управления (SMS). Теперь обсудим варианты их внедрения. Есть два основных способа:

Как я уже говорил чуть выше, у Check Point есть собственная SIEM система - Smart Event. Использовать ее вы сможете только в случае Distributed установки.

Режимы работы (Bridge, Routed)
Шлюз безопасности (SG) может работать в двух основных режимах:

• Routed - самый распространенный вариант. В этом случае шлюз используется как L3 устройство и маршрутизирует трафик через себя, т.е. Check Point является шлюзом по умолчанию для защищаемой сети.
• Bridge - прозрачный режим. В этом случае шлюз устанавливается как обычный “мост” и пропускает через себя трафик на втором уровне (OSI). Такой вариант обычно применяется, когда нет возможности (или желания) изменить уже существующую инфраструктуру. Вам практически не придется менять топологию сети и не надо задумываться о смене IP - адресации.

Хотелось бы отметить, что в Bridge режиме есть некоторые ограничения по функционалу, поэтому мы как интегратор советуем всем своим клиентам использовать именно Routed режим, конечно если это возможно.

Программные блейды (Check Point Software Blades)

Мы добрались чуть ли не до самой главной темы Check Point, которая вызывает больше всего вопросов у клиентов. Что такое эти “программные блейды”? Под блейдами подразумеваются определенные функции Check Point.

Данные функции могут включаться или выключаться в зависимости от нужд. При этом есть блейды которые активируются исключительно на шлюзе (Network Security) и только на сервере управления (Management). На картинках ниже приведены примеры для обоих случаев:

1) Для Network Security (функционал шлюза)

Опишем вкратце, т.к. каждый блейд заслуживает отдельной статьи.

• Firewall - функционал межсетевого экрана;
• IPSec VPN - построение частные виртуальных сетей;
• Mobile Access - удаленный доступ с мобильных устройств;
• IPS - система предотвращения вторжений;
• Anti-Bot - защита от ботнет сетей;
• AntiVirus - потоковый антивирус;
• AntiSpam & Email Security - защита корпоративной почты;
• Identity Awareness - интеграция со службой Active Directory;
• Monitoring - мониторинг практически всех параметров шлюза (load, bandwidth, VPN статус и т.д.)
• Application Control - межсетевой экран уровня приложений (функционал NGFW);
• URL Filtering - безопасность Web (+функционал proxy);
• Data Loss Prevention - защита от утечек информации (DLP);
• Threat Emulation - технология песочниц (SandBox);
• Threat Extraction - технология очистки файлов;
• QoS - приоритезация трафика.

Буквально через несколько статей мы подробно рассмотрим блейды Threat Emulation и Threat Extraction, уверен что будет интересно.

2) Для Management (функционал сервера управления)

• Network Policy Management - централизованное управление политиками;
• Endpoint Policy Management - централизованное управление агентами Check Point (да, Check Point производит решения не только для сетевой защиты, но и для защиты рабочих станций (ПК) и смартфонов);
• Logging & Status - централизованный сбор и обработка логов;
• Management Portal - управление безопасностью из браузера;
• Workflow - контроль над изменением политик, аудит изменений и т.д.;
• User Directory - интеграция с LDAP;
• Provisioning - автоматизация управления шлюзами;
• Smart Reporter - система отчетности;
• Smart Event - анализ и корреляция событий (SIEM);
• Compliance - автоматическая проверка настроек и выдача рекомендаций.

Мы не будем сейчас подробно рассматривать вопросы лицензирования, дабы не раздувать статью и не запутать читателя. Скорее всего мы вынесем это в отдельный пост.

Архитектура блейдов позволяет использовать только действительно нужные функции, что сказывается на бюджете решения и общей производительности устройства. Логично, что чем больше блейдов вы активируете, тем меньше трафика можно “прогнать”. Именно поэтому к каждой модели Check Point прилагается следующая таблица производительности (для примера взяли характеристики модели 5400):

Как видите здесь приводятся две категории тестов: на синтетическом трафике и на реальном - смешанном. Вообще говоря, Check Point просто вынужден публиковать синтетические тесты, т.к. некоторые вендоры используют подобные тесты как эталонные, не исследуя производительность своих решений на реальном трафике (либо намеренно скрывают подобные данные ввиду их неудовлетворительности).

В каждом типе теста можно заметить несколько вариантов:

1. тест только для Firewall;
2. тест Firewall+IPS;
3. тест Firewall+IPS+NGFW (Application control);
4. тест Firewall+Application Control+URL Filtering+IPS+Antivirus+Anti-Bot+SandBlast (песочница)

Внимательно смотрите на эти параметры при выборе своего решения, либо обратитесь за консультацией .

Думаю на этом можно закончить вводную статью, посвященную технологиям Check Point. Далее мы рассмотрим, как можно протестировать Check Point и как бороться с современными угрозами информационной безопасности (вирусы, фишинг, шифровальщики, zero-day).

P.S. Важный момент. Несмотря на зарубежное (израильское) происхождение, решение имеет сертификацию в РФ в надзорных органах, что автоматом легализует их наличие в гос.учреждениях (комментарий by ).

Не так давно Rainbow Technologies — дистрибьютор компании WatchGuard Technologies на территории России и стран СНГ, объявила о появлении на отечественном рынке новой серии UTM-устройств Firebox X e-Series. В настоящее время организации сталкиваются со сложными и постоянно изменяющимися группами угроз, что изменяет само понятие «безопасная сеть». Последнее поколение устройств Unified Threat Management (UTM) от компании WatchGuard обеспечивает простое решение этой проблемы, объединяя основные функции защиты в едином, доступном, высокоинтеллектуальном устройстве.

Что такое UTM?

UTM — это новое направление на рынке средств информационной безопасности. UTM-устройства объединяют в себе межсетевой экран, VPN шлюз и много дополнительных возможностей, таких как фильтрация URL, блокировка спама, защита от шпионских программ, функция предотвращения вторжений, антивирусное программное обеспечение, система централизованного управления и контроля. То есть те функции, которые традиционно реализуются по отдельности. Но, чтобы быть полноценным UTM, устройство должно быть активным, интегрированным и многоуровневым. Т.е. это должна быть комплексная система, а не набор различных решений, собранных в одном корпусе, с функцией централизованного управления и мониторинга.

Всемирно известная аналитическая фирма IDC считает направление UTM наиболее быстрорастущим, энергично развивающимся сегментом рынка устройств безопасности для Западной Европы. На нашем рынке, среди представленных Rainbow Technologies решений WatchGuard, наиболее востребованы UTM-устройства Firebox X Core e-Series. Они рассчитаны на сети различного масштаба и пользуются большой популярностью у предприятий среднего и малого бизнеса за свою экономичность, легкость настройки и высокий уровень защиты.

Firebox X Edge e-Series — идеальное решение для малых сетей и удаленных офисов. Edge может быть использован как отдельное устройство, обеспечивающее безопасность сети, а также, как решение для терминирования тоннеля VPN. Firebox X Edge e-Series включает в себя: межсетевой экран с запоминанием состояний, VPN, фильтрацию URL, а также расширенное управление сетевыми настройками и трафиком, что позволяет увеличить возможности конфигурирования сети. Это устройство обладает интуитивно понятным интерфейсом, что значительно упрощает процессы внедрения и администрирования. Централизованное управление при помощи WSM (WatchGuard System Manager) упрощает администрирование сетевых окружений, состоящих из нескольких устройств Firebox. Это модернизируемые и расширяемые устройства, которые обеспечивают 100 мегабитную пропускную способность межсетевого экрана и 35-ти мегабитную пропускную способность VPN (Virtual Private Network).

Firebox X Peak e-Series выпускается с восемью гигабитными Ethernet-портами и используется преимущественно в сложных, разветвленных сетях. Также есть модели, поддерживающие оптоволоконные интерфейсы. Firebox X Peak e-Series — линейка UTM-устройств с наибольшей производительностью. Эти решения WatchGuard обладают настоящей защитой Zero Day и пропускной способностью межсетевого экрана до 2-х гигабит в секунду. Объединяя передовые технологии в области обеспечения безопасности с расширенными возможностями управления сетью, Firebox X Peak e-Series является идеальным решением, отвечающим запросам наиболее требовательных политик безопасности.

Среди решений WatchGuard, представленных на отечественном рынке официальным дистрибьютором — компанией Rainbow Technologies, самой популярной является линейка Firebox X Core e-Series. Эти UTM-устройства рассчитаны на сети различного масштаба и пользуются большим спросом у предприятий среднего и малого бизнеса за свою экономичность, легкость настройки и высокий уровень защиты. Рассмотрим детально их возможности и функциональные характеристики.

Firebox X Core e-Series обеспечивают наиболее полную безопасность в своём классе, объединяя в себе множество средств защиты: межсетевой экран, VPN, защиту Zero Day, систему предотвращения атак, шлюзовой антивирус, систему противодействия шпионскому ПО, антиспам и URL-фильтрацию. Такой подход позволяет обеспечить надежную защиту от смешанных сетевых атак, а также сэкономить финансовые и трудовые ресурсы, которые обычно уходят на управление и настройку целого комплекса отдельных решений.

Многоуровневая защита

Firebox X Core e-Series базируется на многоуровневой архитектуре ILS (Intelligent Layer Security). Благодаря ей, уровни безопасности осуществляют защиту совместно, и проверенный на других уровнях по определенному критерию трафик, по тому же критерию повторно не проверяется. Поэтому скорость передачи данных не снижается и чувствительные к ней приложения остаются доступными для работы.

Архитектура WatchGuard ILS состоит из шести слоев безопасности, плотно взаимодействующих друг с другом, что позволяет динамически обнаруживать, блокировать и сообщать о вредоносном трафике, при этом пропуская нормальный трафик с максимально возможной эффективностью.

Для дальнейших рассуждений примем, что уровень — это логическая конструкция, которая определяет абстрактную границу между составляющими инфраструктуры сетевой безопасности. Таким образом, мы будем рассматривать каждый вид технологии обеспечения безопасности как отдельный уровень.

Многоуровневая архитектура ILS

Движок ILS является мозгом этой архитектуры. Спроектированный так, чтобы дать возможность каждому слою воспользоваться информацией от других слоев, усилить их возможности и дать возможность обменяться информацией между собой о проходящем между ними трафике, он обеспечивает максимальную защиту, надежность и производительность. Давайте взглянем на то, что из себя представляет каждый слой:

Внешние службы безопасности. Обеспечивают технологии по расширению защиты вне межсетевого экрана и информацию, которая дает возможность более эффективной работы конечного пользователя/администратора.

Целостность данных. Проверяет целостность проходящих пакетов данных и соответствие пакета протоколу

Виртуальная частная сеть (VPN). Обеспечивает безопасность и конфиденциальность внешних соединений

Межсетевой экран с динамическим разбором. Ограничивает трафик только теми источниками, назначениями и портами, которые разрешены политикой безопасности.

Глубокий анализ приложений. Обеспечивает соответствие стандартам протокола уровня приложений модели ISO, блокируя подозрительные файлы по шаблону или типу файла, блокируя опасные команды и изменяя данные, чтобы избежать утечки критически важной системной информации.

Безопасность содержимого. Анализирует и ограничивает трафик в соответствие с содержимым, включает в себя многочисленные службы, такие как: антивирус, систему предотвращения вторжений, защиту от шпионского ПО и спама, фильтрацию URL.

Хотя в описываемой модели выделены шесть уровней, а движок принимается за седьмой уровень безопасности, каждый из них включает в себя множество функционалов и возможностей. Все они легко расширяемы, чтобы включать в себя новые способы противостояния неизвестным угрозам.

Защита Zero Day

В отличие от решений, которые опираются исключительно на сканирование, основанное на сигнатурах, Firebox X Core обладает технологией, позволяющей обеспечивать надежную защиту от различных видов атак и их всевозможных вариаций, не нуждаясь в сигнатурах. Пока остальные сети остаются открытыми для атак в период действия окна уязвимости (время, требующееся для выпуска сигнатур), сеть, в которой используется Firebox, продолжает оставаться защищенной.

Система централизованного управления

WSM (WatchGuard System Manager) — интуитивно понятный графический интерфейс пользователя, используемый для управления возможностями UTM-решений линеек Firebox X Core, Peak и Edge. WSM предоставляет полное логирование, создание VPN в режиме «drag-and-drop», мониторинг системы в режиме реального времени. Поскольку, для управления всеми функциями системы безопасности работает единый интерфейс, происходит значительная экономия временных и финансовых ресурсов.

Экспертное сопровождение и поддержка

WatchGuard LiveSecurity Service — наиболее полная служба поддержки и сопровождения, предлагаемая сегодня на рынке. Подписчикам регулярно предоставляются обновления ПО, техническая поддержка, рекомендации экспертов, меры по предупреждению возможного ущерба от новых способов атак и пр. Firebox X Core e-Series обеспечены бесплатной 90-дневной подпиской на службу LiveSecurity, которая состоит из нескольких модулей. Они, в свою очередь, включают в себя техническую поддержку в режиме реального времени, поддержку ПО и его обновление, тренинги и руководства по эксплуатации, а также специальные сообщения LiveSecurity Broadcasts — оперативное оповещение об угрозах и методах борьбы с ними.

Дополнительные службы безопасности

Каждая служба безопасности на Firebox X Core e-Series работает совместно со встроенной защитой Zero Day, создавая оптимальное сочетание всех необходимых возможностей для эффективной защиты сетевых ресурсов. Эти функции полностью интегрированы в UTM-устройство, благодаря чему не требуется дополнительного оборудования.

Подписки на все необходимые службы оформляются на само устройство, а не на каждого пользователя, что позволяет избежать дополнительных финансовых расходов. Для предоставления непрерывной защиты все службы постоянно обновляются и имеют возможность централизованного управления при помощи системы WSM.

Рассмотрим подробнее функциональные характеристики каждой дополнительной службы:

SpamBlocker блокирует до 97 % нежелательной электронной почты в режиме реального времени.

Служба защиты spamBlocker фирмы WatchGuard используют технологию фирмы Commtouch ® Recurrent Pattern Detection™ (RPD) для защиты от потоков спама в режиме реального времени с точностью 99,95 % без использования сигнатур и фильтров.

Вместо того, чтобы работать с ключевыми словами и содержимым электронной почты, эта технология анализирует большие объемы трафика интернета, чтобы вычислить повторяющийся компонент для каждого потока, как только он появляется. В день обрабатываются до 500 миллионов сообщений, после чего специальные алгоритмы вычисляют, идентифицируют и классифицируют новые потоки в течении 1-2 минут.

Эти же алгоритмы разделяют спам и нормальные сообщения. SpamBlocker использует эту технологию для предоставления защиты от спамерских атак в режиме реального времени, постоянно сравнивая сообщения, подозреваемые на спам с хранящимися в центре обнаружения Commtouch (в нем храниться порядка 20000000 образцов). Эта технология несет в себе следующие преимущества:

• Чрезвычайно быстрый отклик на новые потоки;
• Практически нулевая вероятность ошибки первого рода, что характеризует эту службу, как лучшую в отрасли по показателю разделения нормальных сообщений от спамерских атак;
• Большой процент определения спама — блокируется до 97 % нежелательной электронной почты;
• Независимость от языка сообщений. Благодаря использованию основных характеристик почтового трафика в режиме реального времени, спам эффективно блокируется вне зависимости от языка, содержимого или формата сообщений.

Основываясь на свойствах основной массы сообщений, а не на конкретном содержимом, языке или формате, SpamBlocker обеспечивает защиту в реальном времени от спама, в том числе и от фишинговых атак и поддерживает высокую пропускную способность для остального сетевого трафика.

Шлюзовой антивирус/Служба предотвращения вторжений с противодействием шпионскому ПО

Система, основанная на постоянной сигнатурной защите на шлюзе, работающая против вирусов, троянов, шпионского ПО, сетевых эксплойтов, Web-cканеров, блокирующая IM и Р2Р приложения и другие смешанные угрозы.

Служба предотвращения вторжений фирмы WatchGuard обеспечивает встроенную защиту от атак, которые, хотя и соответствуют стандартам протокола, могут нести нежелательное содержимое. Основанная на сигнатурах, она предназначена для защиты от широкого спектра атак, включая cross-site scripting, переполнение буфера или SQL injections (вставки в запросы SQL).

Двумя основными проблемами, связанными с использованием систем предотвращения вторжений являются скорость работы и вероятность ошибки первого рода. Тесная интеграция службы IPS фирмы WatchGuard с другими слоями ILS их практически исключает.

Поскольку другие слои ILS блокируют 70-80 % атак (особенно эффективно применение глубокого анализа приложений), сигнатур для их блокирования не требуется. Это уменьшает общее количество сигнатур и увеличивает скорость обработки данных, одновременно уменьшая вероятность ошибки первого рода, которая пропорциональна количеству проверяемых данных и числу используемых сигнатур. Система предотвращения вторжений фирмы WatchGuard использует только порядка 1000 сигнатур для достижения сравнимого или даже лучшего уровня защиты с некоторыми другим системами, число сигнатур в которых может достигать 6000.

Шпионское ПО распространяется и многими другими способами помимо P2P, включая внедренные файлы, cookies и самоскачивающиеся программы. Шпионское ПО может отслеживать все, что вы вводите на клавиатуре, рыться в файлах в поисках паролей и идентификационных данных, заполнять экран дисплея рекламными объявлениями. Оно также замедляет работу систем и отъедает сетевой трафик. Служба предотвращения вторжений фирмы WatchGuard включает как сигнатурные, так и уникальные сканирующие способы блокирования шпионского ПО в различных точках его жизненного цикла, включая установку, момент связи для отчета с родительским хостом и послеустановочную активность приложения. Все это производится набором взаимосвязанных процедур:

• Блокирование сайтов. Движок службы предотвращения вторжений блокирует доступ к известным хранилищам шпионского ПО или файловым серверам, с которых распространяются шпионские программы во время HTTP сессий.
• Проверка содержимого, основанная на сигнатурах. Движок системы предотвращения вторжений будет постоянно сканировать трафик с помощью постоянно обновляемой базы сигнатур для определения и блокирования загружаемых шпионских программ, включая завуалированное самозагружающееся ПО.
• Остановка при настройке. Для успешной настройки шпионского ПО ему необходимо специальное приложение, с которым нужно связаться для передачи данных об установке и запроса начальных настроечных данных с родительского хоста. Система предотвращения вторжений определяет и блокирует эту связь.
• Остановка при работе. Как только зараженная машина начинает работать во внутренней сети, шпионское ПО попытается использовать сетевое соединение с целью создания канала связи для дополнительных действий. Система предотвращения вторжений будет определять и блокировать эти процессы, которые могут включать кражу информации, установку дополнительного шпионского ПО и рекламу.

Движок системы предотвращения вторжений фирмы WatchGuard тесно взаимосвязан с другими функциями межсетевого экрана и выдает отчеты, которые полностью интегрируются в систему отчетности. Это позволяет системному администратору легко вычислить элемент сети, зараженный шпионским ПО и удалить его.

WebBlocker увеличивает производительность и снижает риск, блокируя доступ к небезопасным источникам в сети, а также управляет доступом сотрудников в интернет.

WebBlocker использует базу данных сайтов и программные средства мирового лидера Web фильтрации — компании SurfControl. Чтобы наиболее точно классифицировать и полностью охватить весь спектр Web страниц, WebBlocker использует многочисленные категории, чтобы помочь блокировать то содержимое, которое вы не хотите пропустить в свою сеть. Блокируются

известные сайты, содержащие шпионское ПО или нежелательное содержимое, что помогает защитить ваши сетевые ресурсы; блокируются развлекательные сайты, что увеличивает производительность труда сотрудников.

При помощи настраиваемых списков исключений, идентификации пользователей и возможностей задать различные политики для различного времени суток, WebBlocker значительно усиливает политику безопасности.

Возможности модернизации

Если попробовать оценить итоговую сумму денежных инвестиций, необходимых для развёртывания, управления и модернизации комплекса решений безопасности, призванного удовлетворять широким требованиям сегодняшних сетей, то станет очевидным, что использование Firebox X Core e-Series более выгодно с финансовой точки зрения.

С ростом требований, можно легко расширить возможности UTM — устройства. Например, для увеличения скорости и пропускной способности устройство модернизируется путем приобретения специальной лицензии. Также предусмотрена возможность перехода аппаратной платформы на более функциональную операционную систему.

Операционная система

Вместе со всеми моделями Firebox X Core e-Series поставляется операционная система Fireware. Для сложных сетевых окружений может возникнуть необходимость модернизации до более усовершенствованной системы Fireware Prо, которая предоставляет следующие дополнительные возможности:

• Управление трафиком;
• Даёт уверенность, что для критических приложений будет выделяться необходимая полоса пропускания;
• Система отказоустойчивости (активный/пассивный режим);
• Возможность построения отказоустойчивого кластера;
• Динамическая маршрутизация (протоколы BGP, OSPF, RIP);
• Максимальная гибкость сети и эффективность её работы, благодаря динамически обновляемым таблицам маршрутизации.

Для переустановки операционной системы на UTM-устройстве Firebox достаточно приобрести специальную лицензию.

Объединение и преобразование традиционных средств безопасности в интегрированные UTM-устройства дает возможность предприятиям перейти на новый, более высокий уровень защиты своих локальных сетей. Подход компании WatchGuard, основанный на специальной технологии, реализованной в архитектуре ILS, позволяющей интегрировать сразу несколько уровней защиты совместно с дополнительными функциями, несомненно, является эффективной защитой для любой: как уже сформированной, так и развивающейся сетевой инфраструктуры. Использование полноценных UTM-устройств, таких как, WatchGuard Firebox приобретает особую актуальность в настоящие дни, когда с увеличивающейся частотой появляются все более изощренные виды угроз.