Urządzenia typu UTM (Unified Threat Management) umożliwiające integrację różnych technologii zabezpieczeń to szansa na wykorzystanie zaawansowanych, korporacyjnych technologii bezpieczeństwa także w mniejszych firmach.

Liczba różnych, niezbędnych zabezpieczeń sieci i systemu IT przed atakami w ostatnich latach systematycznie rosła - oprogramowanie antywirusowe, coraz bardziej rozbudowywane zapory sieciowe, systemy detekcji intruzów, analizy ruchu pakietów, identyfikacji tożsamości są coraz bardziej złożonymi rozwiązaniami, które mają za zadanie zwiększenie poziomu bezpieczeństwa. Ale nawet najlepsze systemy nie spełnią swego zadania, jeśli zarządzanie nimi będzie zbyt trudne i złożone, bo sama informacja, że nastąpił atak nie ochroni systemu przed jego skutkami - niezbędna jest odpowiednia do zagrożenia reakcja. Najlepszym rozwiązaniem byłaby oczywiście reakcja automatyczna. W pewnym stopniu jest to możliwe, choć na razie nie widać perspektyw na 100-proc. gwarancję bezpieczeństwa i najprawdopodobniej nigdy jej nie będzie.

Jeszcze kilka lat temu rozwój technologii zabezpieczeń przebiegał względnie niezależnie - jedne firmy zajmowały się opracowywaniem antywirusów, inne zapór firewall lub IDS. Użytkownik lub firma integracyjna musiały niezależnie instalować te wszystkie lub tylko niektóre systemy zabezpieczeń. Z czasem jednak te wszystkie elementy stały się standardem - trudno sobie obecnie wyobrazić zabezpieczenia niezawierające oprogramowania antywirusowego, zapory firewall, systemu IDS itd. Największym problemem okazało się zarządzanie, korelowanie i analizowanie informacji, bo każdy z producentów starał się, by jego system był najlepszy na ryku i dostarczał więcej danych niż programy konkurencyjne, a jednocześnie z reguły wyposażał oprogramowanie we własną "łatwą w użyciu" konsolę.

Rozwiązania na nowy rynek

Mimo że już na początku tego wieku w dużych firmachzaczęło się pojawiać stanowisko administratora/menedżera ds. bezpieczeństwa, które obecnie jest standardem, to szybko okazało się, że trzeba tworzyć nie stanowisko, a cały dział i to w dodatku o szybko rosnącym zatrudnieniu. Dlatego też jedną z najważniejszych i najszybciej rozwijanych technologii związanych z bezpieczeństwem stały się systemy do zarządzania, integracji, automatyzacji i analizowania zagrożeń. Z reguły są to rozwiązania adresowane do zastosowań korporacyjnych.

Systematycznie rosnący popyt na systemy zabezpieczeń w segmencie MSP spowodował jednak, że producenci zaczęli szukać rozwiązań, które ułatwiłyby im sprzedaż produktów również dla tego typu odbiorców. Jednym z tego efektów było pojawienie się zintegrowanych, sprzętowo-programowych rozwiązań klasy UTM (Unified Threat Management), które w jednym urządzeniu zawierają zestaw mechanizmów zabezpieczeń, takich jak oprogramowanie antywirusowe, zaporę firewall, IDS, filtr treści, a także jedną konsolę do zarządzania. Tego typu systemy są obecnie w ofercie zarówno największych producentów, jak i wielu mniejszych firm.

Urządzenia UTM są przeznaczone dla małych i średnich firm, ale mogą również znaleźć zastosowanie w korporacjach, które mają strukturę rozproszoną lub małe odległe od centrali oddziały. Integracja wielu funkcji w jednym urządzeniu wymaga bowiem kompromisów - w porównaniu ze specjalizowanymi modułami jest to rozwiązanie mniej uniwersalne i wydajne, które z reguły nie zapewnia przepustowości wymaganej w dużych sieciach.

Trzeba postawić tamę

Najważniejszym elementem chroniącym sieć lokalną jest oczywiście zapora sieciowa. To tutaj odbywa się filtrowanie pakietów i analiza przechodzącego przez firmę ruchu. Miejsce prymitywnych zapór stosowanych dawniej w sprzętowych lub programowych firewallach zajmują dziś znacznie bardziej zaawansowane konstrukcje. Oprócz standardowych, statycznych reguł filtrowania opartych na portach źródłowych i docelowych (co potrafiły komputery z systemem Linux już od roku 1994), ważne jest analizowanie ruchu. Zestawienie tych dwóch zasad działania to podstawa współczesnych zapór sieciowych i wszystkie bez wyjątku urządzenia UTM posiadają tego typu opcje filtrowania.

Ale należy podkreślić, że nawet tak prosty mechanizm jak blokowanie niepożądanego ruchu za pomocą statycznych reguł, stawia tamę wielu zagrożeniom. Wiele wirusów atakujących komputery z systemem Windows przez sieć do ataku wykorzystuje wciąż te same porty. Zazwyczaj nie ma potrzeby udostępniania w Internecie takich usług, jak współdzielenie plików i drukarek, więc blokada ruchu związanego z nimi powoduje znaczące ograniczenie zagrożenia. Współczesne zapory potrafią nie tylko blokować zdefiniowane porty, ale też wyszukiwać pakiety zawierające konkretne znaki i na ich podstawie podejmować decyzję o blokowaniu lub przepuszczaniu ruchu sieciowego. W ten sposób można na przykład odfiltrować większość typowych pakietów wysyłanych przez wirusy oraz zablokować transmisję typu peer-to-peer, z nielicznymi wyjątkami, m.in. program Skype, który jest szczególnie dobrze przystosowany do omijania zapór sieciowych.

Bardzo wiele urządzeń UTM posiada również opcje kształtowania ruchu. Jest to szczególnie ważne, gdy przedsiębiorstwo korzysta z aplikacji wymagających niskich opóźnień. Takimi serwisami jest transmisja głosu i strumieni wideo oraz praca wykorzystująca serwer terminalowy. Zastosowanie wspólnej kolejki dla wszystkich usług często powoduje duże opóźnienia, które praktycznie uniemożliwiają zdalną pracę. Spotkałem się z przypadkami, gdy telefonia internetowa nie działała nie dlatego, że przepustowość łącza była zbyt mała, ale dlatego, że ruch peer-to-peer (którego przecież nie powinno być w ogóle) całkowicie wysycał łącze. Innym podobnym przypadkiem jest blokowanie łącza przez klienta peer--to-peer otwierającego bardzo dużą liczbę połączeń. Choć sama transmisja danych nie powodowała blokowania łącza (zajmowała tylko ok. 15% przepustowości), to liczba jednoczesnych połączeń była tak duża, że blokowała router. Zastosowanie odpowiednich opcji blokowania ruchu peer-to-peer oraz aktywnego kształtowania ruchu o wysokim priorytecie przy ostrych wymaganiach co do opóźnień, całkowicie usunęło te problemy. Zachęcam administratorów do korzystania z tych opcji, choć ich ustawienia trzeba bardzo dokładnie przemyśleć. Bo przy prawidłowej konfiguracji priorytetów możliwe jest naprawdę dobre "wypełnienie" łącza ruchem o różnych priorytetach przy zachowaniu minimalnych, możliwych do zaakceptowania opóźnień transmisji głosu lub wymiany danych z terminalami.

Funkcjonalność urządzeń UTM często łączy zaporę firewall z bramą VPN. Ta ostatnia najczęściej wykorzystuje protokół IPSec, ale są także urządzenia SSL VPN, a także PPTP lub L2TP. Ich możliwości są mniejsze w porównaniu z dużymi, dedykowanymi systemami VPN, ale dla małych i średnich firm z reguły wystarczające. Jeśli firma ma oddziały terenowe, wykorzystanie IPSec jest najprostszym sposobem połączenia sieci przy użyciu urządzeń UTM. Najczęściej spotykanym problemem jest nieodpowiednie dobranie parametrów kryptograficznych dla urządzeń stosujących IPSec. Natomiast jeśli chodzi o protokół PPTP, to ze względu na powszechnie znane niedostatki i luki bezpieczeństwa trudno polecać jego wykorzystanie, choć wiele zapór posiada taką właśnie bramę. Za PPTP przemawia w zasadzie jedynie to, że klient VPN jest wbudowany w systemy operacyjne Microsoftu. Jeśli tylko jest to możliwe, lepiej jednak użyć np. IPSec lub SSL VPN.