Jak dobrać ochronę?

Rozwiązania klasy UTM (Unified Threat Management) to urządzenia, które w jednej obudowie łączą wszystkie moduły niezbędne do kompletnego zabezpieczenia sieci firmowej na styku z Internetem.

Do ich najważniejszych funkcji zaliczyć można firewalla, system wykrywania i zapobiegania włamaniom (IPS) oraz możliwość tworzenia szyfrowanych połączeń, czyli VPN. Dobrej klasy UTMy pozwalają również równoważyć obciążenie na dostępnych łączach internetowych (tzw. load balancing) czy też definiować, którzy użytkownicy czy też jakie usługi (np. POP3, VOIP, http) w pierwszej kolejności powinny uzyskiwać dostęp do łącza (QoS – Quality of Service).

Każdy UTM powinien oferować również możliwość skanowania antywirusowego, kontroli odwiedzanych przez pracowników stron internetowych (filtr URL) oraz pierwszej linii ochrony przed spamem. Jak stwierdzić, które z rozwiązań jest godne polecenia a które przysporzy nam tylko więcej kłopotów i pracy?

Urządzenie UTM - tak, ale jakie?

Zanim przystąpimy do analizy poszczególnych funkcji urządzenia UTM, powinniśmy rozpatrzyć bardzo ważny aspekt, jakim jest zarządzanie. Kontrolowanie dużej liczby funkcji, niejednokrotnie bardzo rozbudowanych, którą cechują się urządzenia UTM, nie powinno sprawiać nam kłopotów. Pomocą dla administratora powinna być przejrzysta i intuicyjna w obsłudze konsola zarządzająca. Oczywiście weryfikacja stopnia intuicyjności konsoli jest bardzo trudna – to, co dla jednego jest proste dla innego nie koniecznie. Ważne jest jednak, aby konsola umożliwiała administratorowi w szybki sposób zdiagnozowanie źródła problemu, niezależnie od tego kiedy on miał miejsce.

Monitoring w czasie rzeczywistym pozwalający na kontrolowanie stanu połączeń dla każdej stacji w obrębie sieci lokalnej, weryfikowanie poprawność działania wszystkich usług i aktualizacji systemu oraz śledzenie ruchu przechodzącego przez urządzenie jest niezbędnym narzędziem administratora w codziennej pracy.

Ważną usługą jest również zarządzanie logami. Niektórzy producenci oferują w swoich rozwiązaniach funkcjonalności maksymalnie ułatwiające pracę administratora np. rozbudowany system przechowywanie logów w bazie SQL z opcją generowania na ich podstawie automatycznych raportów. Najlepsze rozwiązania typu UTM umożliwiają administratorowi prowadzenie monitoringu, zbierania logów oraz raportowania już w ramach podstawowych funkcji urządzenia.

Krok 1 - wybieramy IPS i firewall

Urządzenie UTM pozwala na kontrolę ruchu przechodzącego i wychodzącego czyli posiada funkcję firewall. Niektórzy producenci zwracając uwagę na łatwość zarządzania, dodają bardzo przydatne narzędzie, jakim jest analizator reguł, którego zadaniem jest wychwycenie błędów i sprzeczności. Takie narzędzie znacznie ułatwia pracę administratorowi.

Najważniejszym modułem urządzeń UTM jest system odpowiedzialny za blokowanie ataków na sieć firmową czyli IPS. O ile sposób działania firewalla jest dość prosty i nie ma przy nim zbyt wiele okazji do wykazania się innowacyjnością, o tyle IPS pokazuje to doskonale.

Jeśli kupujemy UTM, należy koniecznie zapytać sprzedawcę, w jaki sposób IPS wykrywa zagrożenia. W dalszym ciągu można spotkać rozwiązania, w których IPS wykrywa zagrożenia opierając się głównie o sygnatury, co nie zapewni naszej sieci tzw. zero day protection, czyli ochrony przed jeszcze nie sklasyfikowanymi zagrożeniami. Istotne jest aby nasz IPS oprócz sygnatur zagrożeń posiadał również dodatkowe technologie - umożliwią one efektywniejszą ochronę przed atakami nowych, nieznanych zagrożeń.

Krok 2 - zapewniamy komunikację poprzez VPN

Urządzenia UTM pozwalają także zabezpieczać dostęp do sieci lokalnej ze zdalnej lokalizacji oraz umożliwiają zadanej grupie użytkowników dostęp do serwerów znajdujących się w strefie zdemilitaryzowanej (DMZ). Takie możliwości daje VPN (Virtual Private Network), dzięki której użytkownicy sieci korporacyjnej korzystający z jej zasobów poza godzinami pracy (np. w domu) są odpowiednio zabezpieczani m.in. dzięki szyfrowanemu połączeniu.

Funkcjonalność VPN w rozwiązaniach typu UTM można podzielić na dwie grupy: budowanie tuneli VPN między oddziałami firmy (Site-To-Site) oraz budowanie tuneli VPN między użytkownikami mobilnymi a firmą (Client-To-Site). Najczęściej spotykanymi protokołami wykorzystywanymi do tworzenia wirtualnej sieci prywatnej są IPSec oraz SSL. Najbardziej pożądana jest sytuacja, w której producent oferuje w ramach danego rozwiązania możliwość wykorzystania obydwu wymienionych protokołów. Jeśli zamierzamy w znacznym stopniu korzystać z VPN, warto porównać, ile równocześnie tuneli można otworzyć w danym urządzeniu.

Krok 3 - sprawdzamy bazy użytkowników

Kolejną funkcją urządzeń UTM zalecaną przy korzystaniu z VPN jest tzw. serwer usług katalogowych. Chodzi tu o możliwość stworzenia bazy użytkowników w celu ustawienia polityk bezpieczeństwa dla każdego z osobna (per user). W przypadku urządzeń UTM ważna jest możliwość integracji urządzenia z istniejącym serwerem LDAP, AD (Active Directory) lub uruchomienie takiej usługi bezpośrednio na urządzeniu.

Dzięki takiemu rozwiązaniu reguły na firewallu są tworzone dla konkretnej uwierzytelnionej osoby (grupy osób), niezależnie od tego, z której stacji (z którego IP) osoba ta korzysta. Przydatną funkcją jest możliwość tworzenia kalendarzy, które pozwalają określić m.in. w jakich godzinach lub dniach powinien działać konkretny zestaw reguł. Może on odnosić się do zbioru reguł na firewallu, filtra URL lub do translacji adresów (NAT) czy VPN. Przykładem wykorzystania funkcji kalendarzy jest blokowanie w godzinach pracy stron internetowych umożliwiających zakupy on-line i odblokowywanie ich po zakończeniu pracy.

Powiązanie zbiorów reguł z kalendarzami może być wykorzystywane również przy kształtowaniu pasma (QoS). W wyniku tego kontrola obciążenia pasma może odbywać się przez urządzenia automatycznie z różnymi rygorami w zależności od dnia tygodnia i godziny. Rozwiązanie to umożliwia określanie limitu dla danego ruchu w postaci wartości dyskretnych np. przy użyciu wartości procentowych. Pozwala to na zastosowanie bardzo elastycznej polityki dotyczącej regulacji ruchu pakietów w sieci.

Często pomijaną funkcjonalnością UTM jest możliwość zapewnienia ciągłości połączenia w przypadku awarii któregoś z łączy ISP. Innymi słowy – chodzi o konfigurację łącza zapasowego, które zostaje uruchomione, gdy łącze główne staje się niedostępne. Taka funkcjonalność umożliwia także równoważenie łączy przy jednoczesnym korzystaniu z usług dwóch lub większej liczby dostawców (load balancing).

Krok 5 - ochrona przed wirusami i spamem

UTM-y pozwalają również na ochronę antywirusową oraz antyspamową w miejscu styku sieci z Internetem – co nie oznacza, że nie należy następnie stosować zabezpieczeń na stacjach roboczych.

Pożądanym uzupełnieniem tych zabezpieczeń jest funkcjonalność filtrowanie stron internetowych, która znacznie obniża prawdopodobieństwo zainfekowania sieci groźnym wirusem przez blokowanie podejrzanych stron zawierających m.in. treści pornograficzne, pirackie wersje oprogramowania, cracki itp.

Producent urządzenia zaopatrzonego w taką usługę powinien udostępniać gotową klasyfikacje adresów URL oraz umożliwiać administratorowi tworzenie własnej przez dopisywanie stron.

Podsumowanie

Można zatem, pokusić się o wniosek, że podstawowymi parametrami, które należy brać pod uwagę, wybierając rozwiązanie UTM, są: wysoki poziom bezpieczeństwa przy równoczesnym zachowaniu wysokiej wydajności urządzenia oraz wygodna administracja. Ważne jest również, aby sprawdzić czy producent zapewnia wsparcie techniczne w języku polskim, czy też z każdym problemem trzeba będzie dzwonić na drugi koniec świata.

Istotne jest także, aby podczas kompleksowego badania wszystkich parametrów UTM, zwrócić uwagę, czy funkcja za którą u jednego producenta trzeba słono dopłacić u innego nie jest już w standardzie (monitoring, raportowanie).

Pamiętajmy, że jak każdy sprzęt tego typu urządzenie może ulec awarii – warto zapytać, na jakich warunkach wytwórca udziela gwarancji na swój produkt. Czy gwarancja jest odnawialna czy na z góry ustalony okres czasu. Czy produkt będzie naprawiany (co za zwyczaj zajmuje więcej czasu) czy też będzie wymieniony na nowy.

Podczas zakupu warto również sprawdzić, czy dystrybutor zapewnia lub umożliwia uczestnictwo w szkoleniach na temat danego rozwiązania.