Dzisiaj nie można wyobrazić sobie firmy, która nie korzysta z poczty elektronicznej, czy nie pozyskuje informacji z Internetu. Wraz z podłączeniem do tej sieci pojawiają się jednak zagrożenia. Do niedawna na wysoko zaawansowane produkty zabezpieczające mogły pozwolić sobie nieliczne firmy z dużym budżetem. Dziś - dzięki urządzeniom UTM - stały się one bardziej dostępne.

Samo pojęcie UTM (Unified Threat Management) pochodzi z 2004 r. i jest przypisywane firmie analitycznej IDC. Założenie UTM jest proste - zintegrować jak najwięcej mechanizmów ochrony w pojedynczym, prostym i niedrogim urządzeniu. Jako minimum wyznaczono zaporę sieciową z opcją filtrowania treści, pracującą w warstwie aplikacji, uproszczony system detekcji intruzów, ochronę antywirusową i antyspamową, a także funkcję translacji adresów internetowych. W tamtych czasach zapora posiadająca zaawansowane możliwości filtrowania, wykrywania i przeciwdziałania zagrożeniom była dość kosztowna. Rozwój niewielkich urządzeń, które dają sobie radę z ochroną małych sieci LAN (do 100 stacji roboczych), pokazał, że nawet małe firmy są zainteresowane tą technologią.

Obecnie prawie każdy dostawca urządzeń związanych z sieciami komputerowymi posiada w ofercie urządzenia klasy UTM. Niektóre z nich mają na tyle dużą wydajność, że z powodzeniem poradzą sobie z ochroną sieci składających się nawet z 1000 stacji roboczych (np. UTM-1 firmy Checkpoint czy niektóre produkty firm Juniper lub Fortinet). Oprócz podstawowych funkcji regułą staje się wyposażanie urządzeń w bramę VPN, a nawet modemy DSL i punkty dostępowe sieci bezprzewodowej.

Zapora sieciowa

Podstawowym składnikiem UTM jest dobrze skonstruowana i skuteczna zapora, która potrafi filtrować ruch internetowy. Praktyka pokazuje, że znaczną część zagrożeń daje się opanować dzięki zastosowaniu prostych reguł. Tak częste robaki internetowe, jak aktywny do dziś Sasser czy SQL Slammer, dają się skutecznie odfiltrować za pomocą kilku prostych reguł na zaporze. Wszystkie urządzenia UTM zawierają zapory, które bardzo prosto skonfigurować, wiele z nich posiada wbudowane reguły blokujące ruch typowy dla robaków internetowych zarażających systemy Windows. Typową konfiguracją dostępną "z pudełka" jest blokowanie portów odpowiedzialnych za komunikację NetBIOS między systemami Microsoftu. Zastosowanie takich regułek odciąży następne ogniwo ochrony, bowiem podejrzany ruch zostanie zablokowany zanim podlegnie dodatkowej analizie.

Wiele urządzeń UTM posiada filtr, którego działaniem jest blokowanie adresów IP zgodnie z czarną i białą listą. W ten sposób można odciążyć filtr treści, blokując połączenia do serwisów odpowiedzialnych za przesyłanie niepożądanych treści. Typowymi wpisami jest blokowanie reklam i statystyk ruchu przez użycie wyrażeń wieloznacznych. Jeśli firma blokuje korzystanie z prywatnej poczty elektronicznej przez pracowników, to wiele reguł zabraniających dostępu do publicznych serwerów poczty przez WWW może być zastosowanych właśnie tutaj.

Ruch internetowy, który zostaje pomyślnie przepuszczony przez pierwszą linię obrony, czyli zaporę sieciową, jest analizowany w następnym ogniwie - filtrze treści pracującym w warstwie aplikacyjnej. Tutaj ma miejsce filtrowanie ruchu, który odbywa się na porcie przypisanym do właściwej usługi. Starsze zapory były zupełnie bezradne wobec ruchu SSL, który całkowicie wymykał się im spod kontroli. Można było go jedynie wyłączyć. Pomimo rozwoju rozwiązań umożliwiających kontrolę, nadal warto domyślnie zablokować ruch SSL, włączając połączenia z konkretnych stacji do konkretnych serwerów docelowych. Zazwyczaj użytkownicy korzystają z ograniczonej liczby serwisów wymagających SSL, więc utrzymanie stałej listy nie jest zbyt trudne. Dzięki takiemu podejściu można bardzo skutecznie odfiltrować ruch niepożądanych aplikacji (spyware, Skype, komunikatory itp.).

Bardzo wiele urządzeń UTM potrafi obecnie klasyfikować ruch wysyłany i odbierany przez typowe niepożądane aplikacje - takie jak wymiana plików peer-to-peer, Skype, komunikatory internetowe. Wiele urządzeń UTM potrafi także zarządzać ruchem, tak aby nadać priorytety poszczególnym jego klasom. W ten sposób stosunkowo łatwo można zapewnić lepsze wykorzystanie łącza. Najważniejszym jest oczywiście podział ruchu pod kątem potrzeb konkretnego zastosowania. Usługi terminalowe i VoIP powinny mieć wysoki priorytet, aby zapewnić możliwie małe opóźnienia, zaś ruch masowy może wypełnić pozostałą część przepustowości z niskim priorytetem. Odpowiednie reguły zapewnią zarówno pasmo dla VoIP, jak i równoczesne pobieranie stron WWW.