Stop dla robaków, wirusów ...

Nie trzeba chyba nikogo przekonywać, że konieczność ochrony przed robakami i wirusami przenoszonymi przez Internet jest standardem. I dlatego wyposażenie urządzeń UTM w odpowiedni filtr antywirusowy jest naturalną koleją rzeczy. Większość dostępnych na rynku rozwiązań UTM ma wtyczki umożliwiające skorzystanie z dedykowanych motorów antywirusowych i przeważnie są one wstępnie skonfigurowane do automatycznej aktualizacji. Instalacja antywirusa na zaporze jest dobrym pomysłem, bowiem dodaje jeszcze jedną linię obrony, która filtrując najczęstsze ataki znacząco zmniejsza ilość złośliwego oprogramowania atakującego komputery wewnątrz sieci. Wyjątkiem, który opiera się na typowej analizie antywirusowej, jest ruch szyfrowany za pomocą SSL.

Praktyka pokazała, że nawet najtańsze urządzenia UTM zawierające aktualizowany filtr antywirusowy eliminują ponad 90% wirusów zanim złośliwy kod zdąży dotrzeć do sieci lokalnej. Odsetek przechwyconych i unieszkodliwionych intruzów wzrasta jeszcze bardziej, jeśli motor antywirusa zawiera mechanizmy heurystyczne. Są one szczególnie skuteczne wobec wirusów, które jeszcze nie posiadają znanych sygnatur. Na zakup oprogramowania antywirusowego instalowanego w urządzeniu UTM nie warto żałować pieniędzy.

Jeśli urządzenie UTM zawiera szczegółowy analizator zawartości pakietów, to można wspomóc efektywność programu antywirusowego, przygotowując typowe próbki pakietów wysyłanych przez robaki i wirusy. Po skonstruowaniu reguł bazujących na porównaniu pakietów ze wzorcami znaczna część złośliwych kodów może zostać odfiltrowana, zanim program antywirusowy przystąpi do analizy ruchu. Zastosowanie reguły funkcjonalnie podobnej do opcji string w narzędziu iptables (niech reguła działa na pakiety, które zawierają podane wzorce) jest skutecznym filtrem antywirusowym. Skutki uboczne nie są zbyt dokuczliwe dla firm - po prostu użytkownicy nie mogą pobrać przez HTTP żadnego programu ani żadnego wykonywalnego kodu.

... i spamu

Spam, który zdominował ostatnio wiadomości e-mail, choć nie jest bezpośrednio szkodliwym kodem, to ma wpływ na wydajność i efektywność pracy i ochrona przed nim stała się poważnym wyzwaniem dla firm. Według mnie brama UTM nie jest najszczęśliwszym miejscem do instalacji systemu ochrony antyspamowej (lepsza jest ochrona na serwerze), chociaż i tak jest to lepsze rozwiązanie niż statyczne reguły klienta e-mail. Ponieważ niektóre urządzenia UTM już mają wbudowane mechanizmy ochrony przed spamem, warto z nich skorzystać, bo filtr antyspamowy instalowany na bramce jest z reguły bardziej skuteczny, gdyż może wykorzystać efekt skali. Ten sam spam często trafia bowiem do różnych skrzynek pocztowych w firmie, więc analiza ruchu poczty elektronicznej umożliwia wychwycenie powtarzających się wiadomości i ich skuteczne odfiltrowanie.

Filtr taki jest znacznie skuteczniejszy niż instalowany na końcowych stacjach roboczych. W niektórych urządzeniach UTM istnieje możliwość zasilenia motoru analizującego e-maile informacjami o spamie pochodzącymi z kilku czarnych list. Nie wszystkie metody i listy są obsługiwane i nie każda lista będzie dobrze działać, ale i tak jest to poważny postęp w porównaniu ze statycznymi regułami dotyczącymi nadawców, stosowanymi na przykład w Outlooku. Ochrona antyspamowa w urządzeniach UTM wciąż ustępuje jednak stosowanej na serwerach pocztowych.

Wykrywanie intruzów

Dotychczas dedykowane, komercyjne systemy detekcji intruzów były praktycznie niedostępne dla małych i średnich firm. Wymagają one instalacji odpowiedniego sprzętu i oprogramowania, podłączenia maszyny analizującej do specjalnego interfejsu przy użyciu urządzenia o nazwie tap (duplikator ruchu na port analizujący) bądź kopiowania ruchu za pomocą zaawansowanego przełącznika sieciowego. Tak skonstruowany sieciowy IDS jest niewykrywalny dla intruzów, co jest jedną z jego ważniejszych zalet. Aby jednak sprzęt i oprogramowanie mogły działać prewencyjnie, należy stosować mechanizmy umożliwiające reakcję na alarmy z IDS. System staje się wówczas bardzo skomplikowany, choć w sieciach o dużym ruchu lub wymagających zaawansowanych mechanizmów jego analizy trudno znaleźć alternatywę.

Firmy o mniejszych potrzebach z powodzeniem mogą jednak skorzystać z IDS/IPS wbudowanych w urządzenia UTM. A możliwości niektórych UTM w tej dziedzinie są większe niż się wydaje. Siła tych urządzeń tkwi w tym, że są z natury zainstalowane na styku sieci lokalnej z Internetem. Dzięki możliwości łatwej aktualizacji sygnatur IDS oraz elastyczności konfiguracji urządzenie UTM z działającym narzędziem IDS z powodzeniem radzi sobie z wykrywaniem ataków pochodzących z Internetu lub nieautoryzowanymi próbami wysyłania danych z sieci lokalnej na zewnątrz. Działania prewencyjne wyzwalane zdarzeniem zarejestrowanym przez sensor IDS są mocnym elementem UTM, bowiem akcja może być podjęta od razu - np. dynamiczna modyfikacja reguły zapory sieciowej blokująca podejrzany ruch. Można także dokonywać innych akcji - przekierować ruch na inną maszynę itd. Jedną z wad UTM jest to, że z reguły urządzenia te nie dokonują analizy szczegółowego ruchu w sieci lokalnej. Nie mogą tego robić, ponieważ zazwyczaj są dołączone do sieci działającej przy użyciu przełączników sieciowych.

Zbieranie rozproszonej informacji

Niemal każde urządzenie UTM jest wyposażone w moduł wysyłania logów do centralnego serwera. Standardem w tej dziedzinie jest syslog używany w systemach typu Unix (także Linux, BSD i nie tylko). Zaletą tego rozwiązania jest możliwość kojarzenia wielu zdarzeń z różnych urządzeń. Do sysloga mogą zapisywać nie tylko urządzenia UTM, ale także stacje dostępowe Wi-Fi, serwery, inne maszyny typu Unix, sprzętowe serwery wydruku itp. Dobrze zabezpieczony serwer z usługą syslog rejestrującą przychodzące zgłoszenia z różnych źródeł jest bardzo ważnym składnikiem wdrożenia urządzeń UTM w firmie.