Zintegrowane zabezpieczenia
- 02.10.2007
Dzisiaj nie można sobie wyobrazić firmy, która nie korzysta z Internetu. Jednak wraz z podłą-czeniem do niego pojawiają się zagrożenia. Wprowadzone niedawno urządzenia typu UTM nie tylko ułatwiają, ale także obniżają koszty ochrony przed zagrożeniami z Internetu.
Dzisiaj nie można sobie wyobrazić firmy, która nie korzysta z Internetu. Jednak wraz z podłą-czeniem do niego pojawiają się zagrożenia. Wprowadzone niedawno urządzenia typu UTM nie tylko ułatwiają, ale także obniżają koszty ochrony przed zagrożeniami z Internetu.
Założeniem UTM (Unified Treat Management) jest integracja mechanizmów ochrony w pojedynczym, prostym i niedrogim urządzeniu. Jako minimum wyznaczono zaporę sieciową z opcją filtrowania treści, system detekcji intruzów oraz ochronę antywirusową i antyspamową. Dodatkowymi opcjami są bramy IPSec VPN do tworzenia bezpiecznych, wirtualnych sieci prywatnych - np. gdy łączymy dwa oddziały firmy - a nawet modemy szerokopasmowe DSL i punkty dostępowe sieci bezprzewodowej.
Przedstawiamy ceny różnej klasy i typu urządzeń UTM uzależnione od wielkości sieci, w której mają być stosowane. Trzeba je także traktować jako ceny orientacyjne. Do większości z nich trzeba również doliczyć koszt kontraktu serwisowego - różny dla różnych rozwiązań i producentów.
1500 zł Watchguard firebox edge x15
2400 zł FortiGate 50B
2400 zł CheckPoint Safe@office 500 ADSL
2700 zł D-link DFL-260
2900 zł 3Com TippingPoint X5
3900 zł D-link DFL-860
3600 zł Netasq f25
4600 zł CheckPoint VPN-1-UTM edge
6400 zł FortiGate 100A
12 000 zł 3Com TippingPoint x506
Zapora sieciowa
Podstawowym składnikiem UTM jest dobrze skonstruowana i skuteczna zapora, która potrafi filtrować ruch internetowy. Tak częste robaki internetowe, jak aktywny do dziś Sasser czy SQL Slammer, można skutecznie odfiltrować za pomocą kilku prostych reguł na zaporze.
Wszystkie urządzenia UTM zawierają łatwe w konfiguracji zapory, zaś wiele z nich posiada domyślnie wbudowane reguły blokujące ruch typowy dla robaków internetowych zarażających systemy pracujące pod kontrolą Windows. To pozwala na zabezpieczenie komputerów pracowników przed zarażeniem wirusami wysyłanymi wraz z załącznikami do poczty.
Typową konfiguracją urządzeń klasy UTM jest blokowanie portów odpowiedzialnych za komunikację NetBIOS między systemami Microsoftu. Zapory w urządzeniach UTM nie są wcale namiastką profesjonalnych zapór sieciowych. Większość z nich to zaawansowane rozwiązania skutecznie chroniące sieć lokalną, pod warunkiem jednak ich poprawnej konfiguracji.
Analizator treści
Ruch internetowy, który zostaje pomyślnie przepuszczony przez pierwszą linię obrony - zaporę sieciową, jest następnie analizowany w kolejnym module urządzeń UTM - filtrze treści. Tutaj następuje filtrowanie ruchu, który odbywa się na porcie przypisanym do właściwej usługi.
Blokowaniu może podlegać: transfer danych, które nie pasują do protokołu (np. przesyłanie zaszyfrowanych danych w połączeniu na port 80), transfer danych, które są tunelowane do docelowego miejsca, ruch SSL (główne zastosowanie ma np. do ochrony informacji przesyłanych podczas naszego połączenia się z bankiem internetowym, gdy chcemy dokonać jakiejś transakcji), dane, które pasują do protokołu, ale zawierają niepożądane zawartości (czat, często stosowane przez pracowników komunikatory internetowe, poczta, spyware itp.), a także - znajdujące się na wielu stronach internetowych - obiekty Java czy skrypty Javascript.
Ochrona połączenia
Starsze zapory sieciowe były bezradne wobec ruchu SSL, który im się całkowicie wymykał spod kontroli. Można było go jedynie wyłączyć. Pomimo rozwoju rozwiązań umożliwiających kontrolę, nadal warto domyślnie zablokować ruch SSL, włączając połączenia z konkretnych stacji do konkretnych serwerów docelowych. Zazwyczaj użytkownicy korzystają z ograniczonej liczby serwisów wymagających SSL, więc utrzymanie stałej ich listy nie jest zbyt trudne. Dzięki takiemu podejściu można skutecznie odfiltrować ruch niepożądanych aplikacji - spyware, komunikatory itp.
Bardzo wiele urządzeń klasy UTM potrafi obecnie klasyfikować ruch wysyłany i odbierany przez typowe niepożądane aplikacje, takie jak spyware, wymiana plików (ściąganie ich z Internetu, np. za pośrednictwem sieci torrent), komunikatory internetowe. Do rzadkości należą jednak urządzenia, które posiadają reguły umożliwiające zablokowanie popularnego tylko w Polsce komunikatora Gadu-Gadu. Tlen, drugi pod kątem popularności komunikator w Polsce, bazuje na Jabberze i będzie klasyfikowany jako Google Talk.
Tymczasem blokowanie komunikatorów w firmie jest sprawą bezdyskusyjną, bowiem nie ma już komunikatora, który przesyłałby tylko tekst. Niemal każdy z nich potrafi w swoim kanale przesyłać pliki, niektóre także potrafią tunelować bezpośrednie połączenie TCP/IP, aby móc np. udostępnić pulpit, czy zamapować dyski. Można to np. osiągnąć przy użyciu Skype'a.
Detekcja i prewencja
Systemy detekcji i prewencji są bardzo ważnym elementem ochrony, bowiem uzupełniają istniejące oprogramowanie chroniące stacje robocze i serwery przed szkodliwym, złośliwym kodem. Istotą działania urządzenia typu IPS (Intrusion Prevention System) jest wykorzystanie zdobyczy nowoczesnej technologii analizy ruchu. Wykrywane są nie tylko znane ataki, ale bardzo często także efekty działania popularnych narzędzi łamiących zabezpieczenia.
Szczególnie ważne jest aktualizowanie baz danych IPS-a, bowiem w wielu przypadkach będzie to ostatnia linia obrony przed atakami tzw. dnia zerowego. Producenci IPS-ów często dostarczają bazy zawierające sygnatury ataków wykorzystujących dziury w oprogramowaniu, w tym systemach Windows, na które nie ma jeszcze łat dostarczonych przez dostawców systemów operacyjnych i aplikacji.
Typowym przykładem jest właśnie ochrona wrażliwych systemów Windows - od wykrycia luki do instalacji łaty może upłynąć nawet kilka dni. Gdy luka dotyczy serwera, szybka instalacja łaty nie zawsze jest możliwa. Niejedno zagrożenie zostało zatrzymane przez sprawnie działający moduł IPS. Warto o tym pamiętać. Wdrożenie IPS ma sens, jeśli jest on kupowany wraz z kontraktem serwisowym obejmującym regularne automatyczne aktualizacje baz danych.