Do niedawna w dużych korporacjach królowały zapory sieciowe, a także systemy wykrywania oraz blokowania włamań klasy IDS czy IPS – Intrusion Detection System i Intrusion Prevention System. Te zabezpieczenia uzupełniane były sprzętem w czasie rzeczywistym monitorującym pocztę elektroniczną, chroniąc ją przed spamem, malware i niepożądanymi treściami, a także kontrolujące pakiety wysyłane przez komunikatory internetowe i oprogramowanie klienckie portali społecznościowych. Tego typu systemy były w stanie obsługiwać tysiące użytkowników, i przefiltrować setki e-maili w ciągu sekundy.

Jednak z punktu widzenia administratora system bezpieczeństwa, mimo, że bardzo wydajny, ale składający się z kilku lub kilkunastu urządzeń, często produkowanych przez rożne firmy, nie należy do łatwych w zarządzaniu. Aby ominąć problemy z samodzielną konfiguracją kompleksowego systemu bezpieczeństwa, a jednocześnie zmniejszyć ogromne koszty zakupu specjalizowanych urządzeń, producenci sprzętu sieciowego wpadli dobrych kilkanaście lat temu na pomysł skonstruowania uniwersalnych urządzeń chroniących sieci LAN przed różnego rodzaju zagrożeniami płynącymi z internetu. Tak narodziła się klasa urządzeń UTM (Unified Threat Management), które kompleksowo zabezpieczają styk firmowej sieci z internetem i dzisiaj praktycznie wyparły z rynku pojedyncze rozwiązania dedykowane.

Zobacz również:

• Firewall as a Service - nowy trend w cyberbezpieczeństwie

Funkcjonalność UTM

Sprzęt UTM łączy w sobie różnorakie funkcje. Uważa się, że system zabezpieczeń klasy UTM powinien zapewniać kompletną ochronę infrastruktury IT łącząc w sobie co najmniej od 9 do 11 funkcjonalności, Są to: zapora sieciowa, system prewencji przed włamaniami – IPS, koncentrator VPN, ochrona antywirusowa, kontrola treści WWW (filtracja URL), zabezpieczenia przed oprogramowaniem szpiegującym (antyspyware), zabezpieczenia przed niechcianą pocztą elektroniczną (antyspam), kontrola aplikacji przesyłającej pliki (np. Instant Messaging i P2P), kształtowanie ruchu (traffic shaping), zabezpieczenie sieci WLAN przed atakiem oraz optymalizacja i akceleracja danych przesyłanych w sieci WAN.

Zasadniczą zaletą systemów UTM jest jednolita konsola administracyjna, która umożliwia łatwe zarządzanie wszystkimi wymienionymi funkcjami. Dzięki temu możliwe jest prowadzenie jednolitej polityki bezpieczeństwa organizacji. UTM-y pozwalają również równoważyć obciążenie na dostępnych łączach internetowych. Oferują takie funkcje jak load balancing i Quality of Service. Możliwe jest też zdefiniowanie użytkowników, którzy będą mieli dostęp do poszczególnych usług np. POP3, IMAP, SMTP, VoIP, HTTP i FTP.

Mniejsze urządzenia UTM wyposażone są w kilku- lub kilkunastoportowy switch, dzięki czemu na bazie jednego urządzenia od razu można zbudować niewielką sieć, co jest szczególnie istotne dla mniejszych firm. Większość dostępnych na rynku urządzeń UTM przeznaczonych jest do obsługi sieci LAN złożonych z 50–200 komputerów. Ich produkcją zajmują się m.in. takie firmy jak Fortinet, Cisco, Juniper, Check Point czy ZyXEL.

Podstawowe funkcje UTM-a

Dwoma głównymi elementami funkcjonalnymi każdego urządzenia UTM są zapora sieciowa i system odpowiedzialny za blokowanie ataków na sieć organizacji, czyli IPS / IDS. Są one bezpośrednio powiązane również z najważniejszymi parametrami urządzenia UTM – przepustowością i liczbą obsługiwanych równolegle sesji bądź limitem użytkowników. Te procesy najbardziej obciążają procesor i pamięć zainstalowane w urządzeniu.

Kupując UTM koniecznie trzeba zwrócić uwagę na to, aby wydajność dla tych obu kluczowych funkcji była taka sama. Inaczej w skrajnym wypadku może dojść do drastycznego obniżenia przez UTM przepustowości sieci.

Zapory sieciowe stosowane w UTM-ach dysponują zasadniczo identycznym zestawem funkcji i sposobem ich konfigurowania jak typowy sprzętowy firewall. Innymi słowy, UTM-owa zapora musi zapewniać dokładną kontrolę ruchu sieciowego, umożliwiać tworzenie reguł w odniesieniu do portów i protokołu IP, pozwalać na filtrowanie adresów stron internetowych, z podziałem na kategorie witryn, np. portale społecznościowe czy sklepy internetowe, które mogą być dostępne lub zabronione dla poszczególnych użytkowników czy grup pracowników.

Musi być też dostępna możliwość określenia godzin i dni, w których dane filtry będą działy. Dzięki temu użytkownicy mogą po godzinach pracy lub w weekendy mieć szerszy dostęp do internetu niż w czasie pracy. Co więcej, oprócz przewidzianej przez producenta, automatycznie aktualizowanej listy adresów URL, administrator sieci LAN powinien mieć również zapewnioną możliwość samodzielnego uzupełnienia listy stron i przypisania ich do odpowiednich kategorii.

Znacznie istotniejszą funkcją są mechanizmy IPS. W tańszych urządzeniach zagrożenia wykrywane są wyłącznie na podstawie sygnatur kontekstowych, co nie zapewnia pewnej ochrony przed jeszcze nie sklasyfikowanymi zagrożeniami typu zero day. Droższe modele mają dodatkowo zaszyte algorytmy analizy heurystycznej i procedury uczenia maszynowego umożliwiające analizę protokołów na podstawie zachowań użytkowników. Dzięki temu są w stanie wykryć nieznane jeszcze zagrożenia i nietypowo prowadzone ataki. Warto wspomnieć, że analiza prowadzona w poszukiwaniu zagrożeń dotyczy całego ruchu sieciowego od trzeciej do siódmej warstwy modelu OSI, a więc od warstwy aplikacji do warstwy sieciowej.

W analizie heurystycznej podstawę wykrywania zagrożeń stanowi statystyka oraz analiza przez algorytmy sztucznej inteligencji zachowań określanych na podstawie dotychczasowego ruchu w sieci. Na tej podstawie określa się czy dany ruch w sieci jest za dopuszczalny lub czy wiąże się z potencjalnym atakiem.

Analiza protokołów sprawdza natomiast zgodność ruchu sieciowego ze standardami RFC i tylko ruch zgodny z tym standardem może być przepuszczony. Tutaj kontrolowane są nie tylko pakiety sieciowe, ale również sesje.

Ochrona antywirusowa i antyspamowa

Drugą istotną funkcjonalnością urządzenia UTM jest ochrona antywirusowa i antyspamowa. Wszystkie wiadomości wychodzące i przychodzące, a wiec protokoły POP3, SMTP, IMAP, a także HTTP, obowiązkowo są skanowane na obecność malware’u i spamu, a w razie ich wykrycia – automatycznie usuwane. Odbiorca e-maila przychodzącego i użytkownik sieci wewnętrznej, który wysyłał e-mail zawierający malware, jest automatycznie powiadamiany o zaistniałym zdarzeniu, zgodnie z panująca w firnie polityką bezpieczeństwa.

Ochrona przed spamem realizowana jest zazwyczaj poprzez system DNS Blacklisting znany także pod nazwą RBL czyli Real Time Blackhole. Spam blokowany jest tutaj dzięki stale aktualizowanej liście serwerów, które go rozsyłają. Dla każdej odebranej przez UTM wiadomości wysyłane jest specjalne zapytanie do serwerów RBL. Jeżeli adres IP nadawcy lub serwera pocztowego, przez który wiadomość przechodziła, a więc tzw. relay server, znajduje się na liście spamerów, wówczas wiadomość jest blokowana albo, jeśli jest to zgodne z polityką bezpieczeństwa, oznaczana sygnaturą spam.

Ważną opcją jest jest możliwość samodzielnej edycji listy serwerów RBL, które są uwzględniane podczas rozsyłania zapytań. W większości urządzeń UTM administrator ma możliwość tworzenia własnych białych czarnych listy domen związaną z ochroną antywirusową, jak i antyspamową. Obecnie, większość urządzeń UTM ma zaimplementowane algorytmy heurystyczne wykorzystywane do wykrywania spamu, a także analizę semantyczną oraz analizę zestawów znaków i kodu HTML oraz reguły reakcji zwrotnej, tzw. counter-reaction.

Koncentrator VPN

Elementem, bez którego UTM nie byłby uniwersalnym urządzeniem zapewniającym bezpieczeństwo w firmie, jest wbudowany serwer Virtual Private Network. Dzięki niemu można łatwo tworzyć i konfigurować kanały VPN zestawiane między zdalnymi użytkownikami znajdującymi się poza firmą lub pomiędzy centralą a oddziałami firmy – chodzi oczywiście o połączenia client-to-site i połączenia site-to-site.

Kanały VPN obsługiwane przez urządzenia UTM budowane są przede wszystkim na bazie protokołu IPSec i mogą być szyfrowane z użyciem algorytmów DES, 3DES lub AES. Wiele modeli dopuszcza też otwarcie kanałów VPN typu client-to-site z wykorzystaniem protokołu SSL. Dzięki temu na zdalnym komputerze nie trzeba instalować klienta VPN, a do uzyskania połączenia wystarczy zwykła przeglądarka WWW. Dostępność kanałów VPN w czasie powinna być, rzecz jasna, nadzorowana z poziomu konsoli administracyjnej.

Zarządzanie UTM-em

Naturalnym sposobem administrowania sprzętem UTM jest zarządzanie z poziomu przeglądarki internetowej poprzez wbudowany w urządzenie serwer WWW. Problem w tym, że to rozwiązanie, choć wygodne, w większych organizacjach bywa niezgodne z wewnętrzną polityką bezpieczeństwa. Znacznie bezpieczniejszym rozwiązaniem jest zastosowanie dedykowanego oprogramowania, czyli dostarczanej przez producenta konsoli administracyjnej urządzenia.

Większy poziom bezpieczeństwa uzyskuje się tutaj dzięki wykorzystaniu własnego, szyfrowanego protokołu komunikacyjnego. Konsole administracyjne dysponują też zazwyczaj znacznie większą liczbą opcji diagnostycznych i analizy zdarzeń, a także lepiej zorganizowaną obsługą dzienników zdarzeń niż udostępnia to wbudowany w urządzenie UTM serwer WWW. Istotna jest też obsługa skryptów i interfejsów komunikacyjnych umożliwiających łatwe konfigurowanie sieci, zwłaszcza w organizacjach stosujących sieci definiowane programowo SDN.

Większe systemy UTM udostępniają mechanizmy przechowywania logów w zewnętrznej bazie SQL. Oczywiście, istnieje też możliwość automatycznego generowania raportów na podstawie logów, nawet w najprostszych UTM dedykowanych na rynek małych firm, wówczas raporty i statystyki dostępne są z poziomu serwera WWW. Z kolei dla wbudowanego serwera VPN możliwa jest analiza i kontrola dostępności kanałów VPN.

Co ważne, wiele urządzeń UTM pozwala na bezpośrednie podpięcie „fizycznej” z konsoli administracyjnej. Wystarczy, że na przednim lub tylnym panelu urządzenia producent przewidział specjalne porty RJ-45 lub USB, które pozwalają podłączyć w serwerowni do UTM-a notebooka z uruchomioną konsolą administracyjną. Takie rozwiązanie w znaczący sposób zwiększa bezpieczeństwo całego rozwiązania zabezpieczającego firmową sieć LAN.

UTM: co w środku

Skoro już jesteśmy przy warstwie sprzętowej, warto przyjrzeć się fizycznej budowie UTM-a. System UTM to specjalizowany komputer działający pod kontrolą własnego, szybkiego systemu operacyjnego. OS bazuje najczęściej na jednej z dystrybucji Linuksa lub na własnym rozwiązaniu opracowanym przez producenta sprzętu. Do budowy UTM-ów wykorzystuje albo najszybsze wersje wielordzeniowych procesorów serwerowych wyposażonych w duże ilości pamięci cache albo szybkie, specjalnie zaprojektowane układy pozwalające przetwarzać duże ilości charakterystycznych danych. Ich pracą zarządza wówczas zwykły procesor, który odpowiada za podział zadań pomiędzy poszczególne, specjalizowane układy scalone Niekiedy korzysta się też tutaj ze standardowych procesorów sygnałowych DSP.

Najważniejszym parametrem technicznym urządzenia UTM jest przepustowość firewalla i IPS-a wyrażana w megabitach lub gigabitach na sekundę. To ten parametr decyduje o rzeczywistej szybkości działania UTM-a.

Istotna jest też liczba jednocześnie obsługiwanych połączeń przefiltrowywanych e-maili na sekundę. Z kolei, jeżeli zależy nam na serwerze VPN, warto sprawdzić liczbę obsługiwanych tuneli IPSec VPN i SSL VPN. Ważnym parametrem jest możliwość pracy w trybie proxy lub bridge. Zastosowanie tego ostatniego sprawia, że ochrona udostępniana przez urządzenie UTM jest „przezroczysta” dla ruchu sieciowego, dzięki czemu nie wymaga żadnych zmian w konfiguracji naszej sieci.

Alternatywy dla UTM-a

Nie każda firma potrzebuje w pełni funkcjonalnego systemu UTM. Alternatywnym rozwiązaniem są systemy Next Generation Firewall. Od strony realizowanych zadań bezpieczeństwa urządzenia UTM oraz NGFW są do siebie bardzo podobne. To drugie to prostu nowoczesny firewall, który często jest kilkukrotnie szybszy od UTM-a.

Innymi słowy, urządzenie klasy NGFW zapewnia funkcjonalność będącą jedynie podzbiorem funkcjonalności bardziej uniwersalnego UTM-a. Współczesne firewalle nowej generacji łączą w sobie funkcje zapory sieciowej, serwera VPN i systemu prewencji antywłamaniowej, które, jak już wspomnieliśmy, zaprojektowano z myślą o uzyskaniu bardzo wysokiej przepustowości. Brakuje w nich natomiast wszystkich elementów związanych z ochroną antymalware i ochroną poczty elektronicznej, która coraz częściej realizowana jest przez systemy w chmurze. Dzięki temu firmy mogą zaoszczędzić część środków inwestycyjnych przenosząc je do środków operacyjnych.