Ochrona sieci firmowych
- Artur Wawrowski,
- 27.10.2009
Zintegrowane systemy ochrony sieci usprawniają ochronę i zarządzanie ryzykiem, związanym z zagrożeniami pochodzącymi z Internetu. Warto więc przemyśleć wdrożenie takiego rozwiązania we własnej firmie. Prezentujemy ich możliwości.
UTM w podstawowej konfiguracji powinien zapewniać:
- firewall,
- IPS,
- serwer VPN,
- serwer LDAP (lub możliwość integracji z istniejącą bazą),
- usługę zarządzanie logami,
- filtrowanie URL (klasyfikacja producenta, klasyfikacja administratora),
- kształtowanie pasma,
- ochronę antywirusową (protokoły http, smtp, pop3),
- ochronę antyspamową (protokoły smtp, pop3).
Jak dobierać urządzenie UTM?
Po pierwsze, należy zwrócić uwagę na wydajność. Większość administratorów postawiona przed zadaniem wyboru rozwiązania UTM dla sieci lokalnej postępuje zgodnie z ogólnie przyjętymi zasadami logiki i wyszukuje na rynku model z możliwie największą liczbą funkcji. Szybko jednak okazuje się, że zachwalane przez handlowca urządzenie - po podłączeniu do punktu styku sieci lokalnej z Internetem - drastycznie obniża przepustowość całej sieci. W efekcie administrator zaczyna czasochłonną procedurę sprawdzania każdego elementu, aby zlokalizować przyczyny spadku jej wydajności. Jak ominąć tego typu pułapkę?
Producenci w opisach urządzeń UTM podają najczęściej dwa parametry - przepustowość i liczbę sesji równoległych, które dany model jest zdolny obsłużyć. O wydajności danego rozwiązania decyduje integracja podstawowych elementów urządzenia - zapory ogniowej z systemem wykrywania i systemem zapobiegania zagrożeniom. Wybierając konkretne urządzenie, należy więc dokładnie sprawdzić, czy jego wydajność jest taka sama dla wszystkich kluczowych funkcji.
Kolejnym elementem, godnym uwagi jest system operacyjny, który zarządza urządzeniem UTM. Ma on decydujący wpływ na wydajność sprzętu. Jest też parametrem wyjściowym podczas analizy pozostałych modułów UTM. Wskazane jest, aby system operacyjny producenta UTM opierał się na jądrze znanego i sprawdzonego systemu. Przykładem mogą być tu rozwiązania z rodziny BSD (OpenBSD, FreeBSD), określane często jako najbezpieczniejsze. Istotną cechą urządzeń UTM jest również to, czy analiza pakietów odbywa się przez osobny moduł (tzw. proxy mode), czy bezpośrednio na poziomie jądra systemu (tzw. kernel mode). Pożądana jest jak najmniejsza liczba komunikatów, wysyłanych pomiędzy odrębnymi modułami ochrony a systemem operacyjnym urządzenia. Jeśli takich komunikatów jest wiele, czas analizy znacznie się wydłuża. Najlepszym rozwiązaniem jest zatem analiza w trybie kernel mode, w którym moduł IPS jest wkompilowany bezpośrednio w jądro systemu.