Bezpieczeństwo na nowym poziomie

Współczesne urządzenia UTM są wyposażone w zaawansowane narzędzia do analizy pakietów, które potrafią zablokować praktycznie każdy niepożądany ruch w sieci, na przykład generowany przez aplikacje peer-to-peer.

Współczesne urządzenia UTM są wyposażone w zaawansowane narzędzia do analizy pakietów, które potrafią zablokować praktycznie każdy niepożądany ruch w sieci, na przykład generowany przez aplikacje peer-to-peer.

Bezpieczeństwo na nowym poziomie

Przepustowość urządzenia UTM WATCHGUARD osiąga 10 GB/S w trybie zapory oraz 2GB/S w trybie IPSEC. Możliwa jest konfiguracja klastra Active-Active i równoważenie obciążenia łącz.

Typowe urządzenie UTM (Unified Threat Management) posiada zaporę sieciową z opcją filtrowania treści pracującą w warstwie aplikacji, system IPS do detekcji intruzów, ochronę antywirusową i antyspamową, funkcję translacji adresów internetowych, a często także bramę obsługującą zdalny dostęp za pośrednictwem kanałów VPN. Obecnie prawie każdy dostawca urządzeń związanych z sieciami komputerowymi posiada w ofercie urządzenia tej klasy.

Jedną z największych zalet tego typu sprzętu jest możliwość względnie łatwego zarządzania różnego rodzaju zabezpieczeniami sieci przy wykorzystaniu pojedynczych urządzeń i zintegrowanego w nich oprogramowania. UTM mogą zastąpić kilka wcześniej używanych i niezależnie zarządzanych systemów, takich jak zapora sieciowa, koncentrator VPN, filtr treści i narzędzia do monitoringu połączeń sieciowych. Z tego powodu wielu użytkowników jest coraz bardziej zainteresowanych planową wymianą dotychczas używanych modeli urządzeń na nowe, wykorzystujące właśnie technologię UTM. Oprócz lepszego zarządzania, przejęcie wielu funkcji przez jedno urządzenie ma poważną zaletę - logi z niego zgromadzone są w jednym miejscu. Dzięki temu zadanie korelacji zdarzeń z różnych urządzeń nie wymaga zbierania zapisów przez sieć, a wszelkie analizy - wykonywane przez administratorów - stają się o wiele prostsze.

Zalety migracji do UTM są szczególnie widoczne wtedy, gdy urządzenia te zastępują starsze zapory i aplikacje proxy, takie jak np. BorderManager lub Microsoft ISA. Integracja logów, detekcja intruzów, zdalny dostęp za pomocą SSL VPN i IPSec dają możliwości zwiększenia bezpieczeństwa i elastyczności sieci firmowej.

Pakiety pod lupą

Ważnym kierunkiem rozwoju urządzeń UTM jest wykorzystanie narzędzi do klasyfikacji ruchu. Zamiast podziału transmisji pod względem portów, stosuje się już obecnie powszechnie dogłębną inspekcję pakietów w celu rozpoznawania aplikacji, które generują dany ruch. W ten sposób można łatwo odfiltrować potencjalnie niepożądane programy, zablokować ruch generowany przez aplikacje peer-to-peer lub pobieranie niepożądanych treści. Taka analiza umożliwia m.in. wychwycenie ruchu, który jest prowadzony na standardowych portach, ale powinien zostać zablokowany. Przykładem może być blokowanie komunikatorów sieciowych, transferu danych w szyfrowanych tunelach HTTPS, wykrywanie oraz raportowanie i blokowanie ruchu typowego dla spyware, a także wykrywanie pierwszych symptomów ataków kierowanych przeciwko firmie.

Coś, co było do niedawna wyłączną domeną systemów IPS - np. McAfee Intrushield, Tipping Point X-Series, czy IBM Proventia IPS - obecnie staje się standardowym wyposażeniem nowoczesnych urządzeń UTM. Zapora sieciowa pracująca na poziomie portów ochrony, a najważniejszą pracę wykonują moduły dogłębnej analizy pakietów. Oprócz blokowania niepożądanego ruchu, współczesne urządzenia UTM posiadają narzędzia umożliwiające wykrycie i zablokowanie ataków, które mają na celu wykorzystanie luki w bezpieczeństwie serwerów i aplikacji. Jest to bardzo ważna bariera ochronna, która z reguły działa znacznie szybciej niż producenci dostarczający aktualizacje programów do zabezpieczania sieci. A takie narzędzia są stale rozwijane, co podkreślają niemal wszyscy dostawcy sprzętu sieciowego.

Przykładowo urządzenia UTM SonicWALL wykorzystują mechanizm głębokiej inspekcji pakietów DPI (Deep Packet Inspection). Dzięki niemu możliwe jest badanie informacji aż do warstwy aplikacji i zapewnianie ochrony przed atakami wymierzonymi w słabe punkty aplikacji. Mechanizm DPI skanuje ruch pod kątem wielu typów aplikacji i protokołów, w tym SMTP, POP3, IMAP, FTP, HTTP, Net- BIOS oraz protokołów strumieniowych, czy też transmisji typu VoIP lub SIP, a także ponad 50 typów aplikacji, umożliwiając wykrywanie włamań oraz zapobieganie im.

Dodatkowe opcje

Oprócz dokładnej analizy ruchu, urządzenia UTM są z reguły wyposażone w opcję blokowania ruchu WWW na podstawie adresów URL. Kontrola odwiedzanych stron jest często wykorzystywana przez firmy. Zablokowaniu mogą podlegać strony o różnym charakterze, ale niestety klasyfikacja polskiego Internetu jest najsłabszą stroną sprzedawanych u nas urządzeń UTM. Ich użytkownicy od dawna domagają się skuteczniejszych narzędzi i motorów do kontroli treści. Nie każde urządzenie jest wyposażone w takie funkcje, ale moduły takie zawierają modele UTM oferowane przez stosunkowo wielu producentów, m.in. SonicWall, 3Com/Tipping Point, WatchGuard i IBM.

Jednym z ważnych powodów, przemawiających za migracją i wdrożeniem nowoczesnych systemów UTM są dodatkowe usługi sieciowe, którymi dysponują te urządzenia. Oprócz zapory z modułem dogłębnej analizy pakietów, systemem detekcji i prewencji sieciowej, dostawcy wyposażają produkty w motory antywirusowe i antyspamowe. Ochrona antywirusowa na bramie łączącej firmę z Internetem jest pierwszą i bardzo silną linią obrony. Oprócz opcji stricte ochronnych, warto jednak docenić też narzędzia związane z zarządzaniem połączeniami. Urządzenia klasy UTM mogą być wyposażone w bramę VPN - do wyboru jest najczęściej klasyczny IPSec i przenośny SSL VPN - a integracja wielu usług w jednym urządzeniu jest bardzo wygodna i korzystna dla użytkowników.

Superwysoka wydajność Urządzenia

UTM tylko wtedy będą mogły w pełni zastąpić zestaw innych, wykorzystywanych wcześniej, niezależnych produktów, gdy właściwe opcje będą włączone. Choć UTM integruje wiele operacji w jednym systemie, to użytkownik musi wybrać, jakie funkcje są mu potrzebne i uwzględnić je w doborze modelu do konkretnych zastosowań. Oprócz tego, nowoczesne urządzenia UTM mają znacznie wyższą wydajność niż starsze modele, ale nadal może się okazać, że jest ona niewystarczająca dla konkretnych zastosowań. Warto jednak pamiętać, że na rynku pojawiają się nowi, mniej znani dostawcy, którzy mają w ofercie systemy UTM o bardzo wysokiej wydajności. Przykładem może być seria urządzeń firmy Allot, kierowanych do operatorów, dużych przedsiębiorstw lub instytucji rządowych, którzy wymagają systemów o szczególnie wysokiej przepustowości. Firma oferuje UTM osiągające przepustowość rzędu 10 Gb/s, przy pełnej funkcjonalności, a niebawem mają być dostępne modele urządzeń o przepustowości 40 Gb/s. Aby to osiągnąć, Allot opracował architekturę systemów wykorzystujących wiele procesorów zawierających do 32 rdzeni CPU i programowalne układy scalone FPGA. „Mamy w ofercie rozwiązania Allot Communication z obszaru Deep Packet Inspection, służące do porządkowania ruchu w sieciach komputerowych, inteligentnego nim zarządzania, wydzielania wirtualnych i dedykowanych pasm oraz monitoringu całego ruchu sieciowego na znacznie wyższym poziomie szczegółowości. Stwarza to przejrzystość i kontrolę niezbędną do zarządzania aplikacjami i usługami, gwarancją jakości usług QoS oraz ograniczania kosztów operacyjnych” - mówi Krzysztof Szubert, prezes Connect Distribution, dystrybutora urządzeń Allot w Polsce.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200