Dzisiaj nie można sobie wyobrazić firmy, która nie korzysta z Internetu. Jednak wraz z podłą-czeniem do niego pojawiają się zagrożenia. Wprowadzone niedawno urządzenia typu UTM nie tylko ułatwiają, ale także obniżają koszty ochrony przed zagrożeniami z Internetu.

Założeniem UTM (Unified Treat Management) jest integracja mechanizmów ochrony w pojedynczym, prostym i niedrogim urządzeniu. Jako minimum wyznaczono zaporę sieciową z opcją filtrowania treści, system detekcji intruzów oraz ochronę antywirusową i antyspamową. Dodatkowymi opcjami są bramy IPSec VPN do tworzenia bezpiecznych, wirtualnych sieci prywatnych - np. gdy łączymy dwa oddziały firmy - a nawet modemy szerokopasmowe DSL i punkty dostępowe sieci bezprzewodowej.

Rozwój niewielkich i niedrogich urządzeń, które z powodzeniem dają sobie radę z ochroną małych sieci lokalnych (do 100 stacji roboczych) pokazał, że nawet małe i średnie firmy są zainteresowane tą technologią. Istotną cechą rozwiązań UTM jest to, że wszystkie bez wyjątku urządzenia są zarządzane w prosty sposób przy użyciu przeglądarki internetowej. Obecnie prawie każdy dostawca urządzeń związanych z sieciami komputerowymi posiada w ofercie urządzenia klasy UTM.

Zapora sieciowa

Podstawowym składnikiem UTM jest dobrze skonstruowana i skuteczna zapora, która potrafi filtrować ruch internetowy. Tak częste robaki internetowe, jak aktywny do dziś Sasser czy SQL Slammer, można skutecznie odfiltrować za pomocą kilku prostych reguł na zaporze.

Wszystkie urządzenia UTM zawierają łatwe w konfiguracji zapory, zaś wiele z nich posiada domyślnie wbudowane reguły blokujące ruch typowy dla robaków internetowych zarażających systemy pracujące pod kontrolą Windows. To pozwala na zabezpieczenie komputerów pracowników przed zarażeniem wirusami wysyłanymi wraz z załącznikami do poczty.

Typową konfiguracją urządzeń klasy UTM jest blokowanie portów odpowiedzialnych za komunikację NetBIOS między systemami Microsoftu. Zapory w urządzeniach UTM nie są wcale namiastką profesjonalnych zapór sieciowych. Większość z nich to zaawansowane rozwiązania skutecznie chroniące sieć lokalną, pod warunkiem jednak ich poprawnej konfiguracji.

Analizator treści

Ruch internetowy, który zostaje pomyślnie przepuszczony przez pierwszą linię obrony - zaporę sieciową, jest następnie analizowany w kolejnym module urządzeń UTM - filtrze treści. Tutaj następuje filtrowanie ruchu, który odbywa się na porcie przypisanym do właściwej usługi.

Blokowaniu może podlegać: transfer danych, które nie pasują do protokołu (np. przesyłanie zaszyfrowanych danych w połączeniu na port 80), transfer danych, które są tunelowane do docelowego miejsca, ruch SSL (główne zastosowanie ma np. do ochrony informacji przesyłanych podczas naszego połączenia się z bankiem internetowym, gdy chcemy dokonać jakiejś transakcji), dane, które pasują do protokołu, ale zawierają niepożądane zawartości (czat, często stosowane przez pracowników komunikatory internetowe, poczta, spyware itp.), a także - znajdujące się na wielu stronach internetowych - obiekty Java czy skrypty Javascript.

Ochrona połączenia

Starsze zapory sieciowe były bezradne wobec ruchu SSL, który im się całkowicie wymykał spod kontroli. Można było go jedynie wyłączyć. Pomimo rozwoju rozwiązań umożliwiających kontrolę, nadal warto domyślnie zablokować ruch SSL, włączając połączenia z konkretnych stacji do konkretnych serwerów docelowych. Zazwyczaj użytkownicy korzystają z ograniczonej liczby serwisów wymagających SSL, więc utrzymanie stałej ich listy nie jest zbyt trudne. Dzięki takiemu podejściu można skutecznie odfiltrować ruch niepożądanych aplikacji - spyware, komunikatory itp.

Bardzo wiele urządzeń klasy UTM potrafi obecnie klasyfikować ruch wysyłany i odbierany przez typowe niepożądane aplikacje, takie jak spyware, wymiana plików (ściąganie ich z Internetu, np. za pośrednictwem sieci torrent), komunikatory internetowe. Do rzadkości należą jednak urządzenia, które posiadają reguły umożliwiające zablokowanie popularnego tylko w Polsce komunikatora Gadu-Gadu. Tlen, drugi pod kątem popularności komunikator w Polsce, bazuje na Jabberze i będzie klasyfikowany jako Google Talk.

Tymczasem blokowanie komunikatorów w firmie jest sprawą bezdyskusyjną, bowiem nie ma już komunikatora, który przesyłałby tylko tekst. Niemal każdy z nich potrafi w swoim kanale przesyłać pliki, niektóre także potrafią tunelować bezpośrednie połączenie TCP/IP, aby móc np. udostępnić pulpit, czy zamapować dyski. Można to np. osiągnąć przy użyciu Skype'a.

Detekcja i prewencja

Systemy detekcji i prewencji są bardzo ważnym elementem ochrony, bowiem uzupełniają istniejące oprogramowanie chroniące stacje robocze i serwery przed szkodliwym, złośliwym kodem. Istotą działania urządzenia typu IPS (Intrusion Prevention System) jest wykorzystanie zdobyczy nowoczesnej technologii analizy ruchu. Wykrywane są nie tylko znane ataki, ale bardzo często także efekty działania popularnych narzędzi łamiących zabezpieczenia.

Szczególnie ważne jest aktualizowanie baz danych IPS-a, bowiem w wielu przypadkach będzie to ostatnia linia obrony przed atakami tzw. dnia zerowego. Producenci IPS-ów często dostarczają bazy zawierające sygnatury ataków wykorzystujących dziury w oprogramowaniu, w tym systemach Windows, na które nie ma jeszcze łat dostarczonych przez dostawców systemów operacyjnych i aplikacji.

Typowym przykładem jest właśnie ochrona wrażliwych systemów Windows - od wykrycia luki do instalacji łaty może upłynąć nawet kilka dni. Gdy luka dotyczy serwera, szybka instalacja łaty nie zawsze jest możliwa. Niejedno zagrożenie zostało zatrzymane przez sprawnie działający moduł IPS. Warto o tym pamiętać. Wdrożenie IPS ma sens, jeśli jest on kupowany wraz z kontraktem serwisowym obejmującym regularne automatyczne aktualizacje baz danych.