Журнал о компьютерных сетях и телекоммуникационных технологиях
СЕТИ И СИСТЕМЫ СВЯЗИ on-line
  ПОИСК:
    Домой
 
   
АРХИВ ЖУРНАЛА
   

2008: 1 2 3 4 5 6 7 8 9 10 11 12 13
2007: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2006: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2005: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2004: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2003: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2002: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2001: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
2000: 1 2 3 4 5 6 7 8 9 10 11 12 13 14
1999: 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16
1998: 1 2 3 4 5 6 7 8 9 10 11 12
1997: 1 2 3 4 5 6 7 8 9 10 11 12
1996: 1 2 3 4 5 6 7 8 9 10


Rambler's Top100

  

Безопасности много не бывает

Джордан Винс

Устройства UTM одерживают верх над специализированными системами безопасности.

Представьте себе, что вы направляетесь к кордону службы безопасности аэропорта. Вы подходите к одному из сотрудников, который внимательно изучает ваш посадочный талон и удостоверение личности. Затем он подает вам знак следовать дальше, и вы тут же оказываетесь перед полицейским с металлоискателем. Выдержав сканирование без щелчков и прочих звуковых сигналов, вы свободно идете каких-то полтора метра и... оказываетесь в зоне проверки личных вещей. Здесь вам приходится ждать, пока обыщут какую-то бабусю, так как у нее заподозрили наличие спрятанной в одежде взрывчатки.

Эта вполне реальная жизненная ситуация весьма похожа на то, что происходит с пакетом, когда он поступает в защищенную сеть. С увеличением числа систем, контролирующих трафик на предмет выявления попыток неавторизованного доступа, вредоносного ПО, атак, утечек информации, спама и т. д., осуществляется множество операций анализа полномочий доступа к сети и прочих всевозможных проверок — и тратится уйма денег на покупку разнообразных устройств безопасности. Теперь мысленно замените всех этих многочисленных проверяющих и досматривающих одним, наделенным самыми широкими полномочиями служащим аэропорта, который проведет вас от тротуара прямо к самолету, и вы получите представление о концепции унифицированной защиты от угроз (Unified Threat Management — UTM).

В продаже имеются продукты UTM для сетей любого масштаба. Хотя такие продукты ассоциируются преимущественно с малыми и среднего размера предприятиями, на рынке имеются решения как для совсем небольших сетей, так и для сетей очень крупных, территориально рассредоточенных организаций. Последние обычно инсталлируют несколько UTM-продуктов, что зачастую приводит к возникновению проблем с управлением ими.

К счастью, для администрирования рассредоточенных по территориально распределенной сети устройств UTM большинство производителей предлагают платформы, интегрирующиеся с существующими пакетами ПО сетевой безопасности. Неудивительно, что такие крупные, утвердившиеся на рынке сетевой безопасности компании, как Check Point Software, Cisco Systems, IBM и Juniper Networks, включают устройства UTM в свои объединенные портфели решений безопасности. Нам понравилось и то, что многие не предлагающие «всеобъемлющих» решений безопасности производители, включая Astaro, Cyberoam, Fortinet, Secure Computing, SonicWall и ZyXel, тоже уделяют внимание решению проблем централизованного управления устройствами UTM и интеграции различных технологий информационной безопасности.

Говоря о стоимости UTM-продуктов, следует отметить один касающийся этого рынка интересный момент: в некоторых из таких продуктов реализованы средства безопасности с открытым исходным кодом. Данный подход, с одной стороны, позволяет выпускать множество дешевых устройств и стимулирует конкуренцию среди поставщиков, что, несомненно, выгодно потребителю. Однако, с другой стороны, вам необходимо следить за изменениями правил лицензирования ПО.

Полную версию данной статьи смотрите в 12-м номере журнала за 2008 год.

Пятое колесо

Преимущества интеграции множества функций безопасности в едином устройстве представляются очевидными: это и низкая стоимость, и консолидированные средства генерации отчетов, и единообразный интерфейс, и упрощенная сетевая архитектура, и простота управления. По существу, как это обсуждается в статье «Кольчуга навырост» (см.: Сети и системы связи. 2008. № 11. С. 90), эти же тенденции стимулируют консолидацию рынка ПО безопасности конечных сетевых узлов. Антивирусные продукты для настольных систем пользуются сегодня широким спросом, и их продолжают оснащать все новыми и новыми функциями. В сетях аналогичная ситуация с межсетевыми экранами (МЭ).

Использование устройств UTM сулит и менее очевидные преимущества. Возьмем, к примеру, тенденцию к внедрению энергосберегающих технологий. Консолидация — это не только виртуализация ИТ-ресурсов. Снижение числа устройств безопасности за счет унификации управления защитой от угроз является еще одним способом экономии денежных средств на оплату счетов за электроэнергию. Будучи относительно зрелыми продуктами безопасности, устройства UTM обладают (и мы утверждаем это без малейшего сарказма) синергизмом. Так, антивирусный модуль, противоспамный модуль и модуль фильтрации контента могут совместно использовать одну и ту же БД известных «плохих» указателей URL, разделяя ее каждый сообразно своему профилю. Этот интегрированный подход в наиболее полной мере использует компания Fortinet: она спроектировала свою, основанную на концепции UTM платформу целиком «с чистого листа» и продолжает поддерживать все собственные БД сигнатур, что для производителей UTM-продуктов большая редкость.

Как известно, складывание всех яиц в одну корзину имеет свои негативные стороны. Маловероятно, чтобы единый UTM-продукт был способен воплотить в себе все лучшее из составляющих его компонентов. Например, большинство UTM-модулей предотвращения вторжений, за исключением таковых у компаний Check Point, IBM и Juniper, в чьих устройствах UTM реализованы технологии их лучших систем предотвращения вторжений (Intrusion Prevention Systems — IPS), будут уступать автономным системам IPS в отношении функциональности, глубины обнаружения и предотвращения вторжений. То же самое относится и к функциональности антивирусных и противоспамных модулей устройств UTM.

Не следует также полагаться на громогласные рекламные заявления производителей. Как употребление пива дорогих сортов никогда не вызывает мгновенного расположения к вам противоположного пола, так и батареи новых ноутбуков никогда не работают так долго, как обещают производители. В случае с устройствами UTM можно сказать следующее: собираясь на встречу с представителем производителя, вы выиграете, если запасетесь пресловутым «пудом соли». Бывает достаточно трудно количественно оценить заявления производителей по поводу пропускной способности автономных устройств безопасности, а от устройства с полудюжиной или более отдельных модулей синтаксического анализа следует ожидать, что его фактическая производительность со всеми включенными модулями в реальных сетевых условиях будет разительно отличаться от заявленной производителем, хотя именно из-за этого многие продукты UTM наделяются аппаратными средствами акселерации. Не опробовав продукт в своей сети со всеми нужными вам функциями, вы не можете быть уверенными в том, что он не подведет вас в решающий момент.

Еще одним потенциальным «подводным камнем» унификации управления защитой от угроз является сама концепция консолидации всех средств безопасно-сти в одном устройстве. И дело не только в том, что это создает единую точку отказа в защите сетевого шлюза, — имеется ярко выраженная тенденция не к консолидации средств безопасности, а, наоборот, к их распределению с целью повышения эффективности системы сетевой защиты.

Дебаты вокруг средств безопасности с открытым исходным кодом

Некоторые продукты UTM появились как интерфейсы к «конструкторскому набору» из технологий с открытым исходным кодом. Возьмите ПО Snort для систем обнаружения и предотвращения вторжений, ClamAV для антивирусов и IPTables/Netfilter для МЭ — вот вам и все необходимые ингредиенты для устройства UTM. Добавьте сюда мало-мальски связующую среду, пользовательский интерфейс и механизм генерации отчетов — и можете выходить на рынок.

Именно такой продукт продает компания SmoothWall и даже не пытается скрывать этот факт. Интерфейс ее продукта SmoothGuard 1000 — и тот является бесплатным ПО с открытым исходным кодом. Как следствие, клиенты от этого только выигрывают. Цена SmoothGuard 1000 составляет где-то от половины до одной трети цены конкурирующих продуктов для защиты сети такого же размера и составляет для обеспечивающего защиту 1000 узлов продукта 5000 долл. В противоположность этому предназначенный для защиты такого же числа узлов продукт компании Check Point стоит 15 500 долл. Хотя компания Astaro так же, как SmoothWall легко сознается в использовании ПО с открытым исходным кодом с целью расширения функциональности своего UTM-продукта стоимостью от 1200 долл., она к тому же заявляет о том, что в целом использует в нем лучший для данной категории продуктов подход, ссылаясь при этом на то, что недавно заменила сервер-посредник HTTP с открытым исходным кодом Squid на собственноручно разработанный сервер-посредник.

Некоторые производители клевещут на конкурирующие продукты, основанные на технологии с открытым исходным кодом, по существу же, ПО с открытым исходным кодом не лучше и не хуже фирменного. В действительно-сти там, где желающей внедрить UTM-подход компании с ограниченными ресурсами нужна более широкая, основанная на оценке рисков функциональность, вполне резонно приобрести фирменное ПО, в то же время используя в менее опасных местах ПО с открытым исходным кодом.

Однако, принимая решение в пользу открытого или фирменного решения по унифицированному управлению защитой от угроз, следует учитывать некоторые обстоятельства. Во-первых, на будущие версии открытого ПО может повлиять изменение лицензионных соглашений. Например, при переходе с версии 2.0 популярного сканера уязвимостей Nessus на версию 3.0 компания Tenable Network Security изменила свое лицензионное соглашение, при этом нелишне отметить, что сделать это оказалось возможным лишь благодаря тому, что всю или почти всю работу по созданию версии 3.0 выполняли нанятые компанией Tenable программисты. Тем не менее лицензии на предыдущие версии этого сканера отзыву не подлежат.

Еще одной проблемой является положение лицензии GPL о производных программных продуктах. В большинстве более ранних интерпретаций этого положения говорилось, что результирующий продукт не считается производным, если стыкуется с откомпилированной версией GPL-приложения посредством некоего интерфейса. Другими словами, если вы выбрали ПО Snort и вместе с ним «упаковали» ПО конфигурирования, ПО управления, ПО вывода данных и объединяющий веб-интерфейс, то это не считается производным продуктом, подлежащим GPL-лицензированию, поскольку исходное приложение (Snort) не модифицировалось. Однако это соглашение поддерживается не всеми авторами открытого ПО. В настоящее время разработчики ПО Nmap и Snort явно требуют лицензирования любых продуктов, использующих их приложения в любом виде, затрагивающем бизнес производителей UTM-устройств. Сюда, в частности, относится включение исходного кода или файлов данных или «упаковка» их в саморазархивирующийся инсталлятор.

Система обнаружения вторжений Snort задействуется теми производителями, с которыми мы разговаривали, довольно часто; на веб-сайте компании Sourcefire в качестве интегратора упоминается лишь Astaro. Другие же производители, возможно, либо не планируют использовать версию 3.0 этого продукта, либо заключили с Sourcefire частное лицензионное соглашение, детали которого компания комментировать не пожелала.

Основные возможности устройств UTM

В 2004 г. впервые появился термин «unified threat management security appliance», который не столько породил новый класс продуктов, сколько обозначил тенденцию. Межсетевые экраны «обрастали» все новыми и новыми возможностями, и оригинальное определение UTM требовало создания единого, интегрированного устройства, обладающего возможностями МЭ, обнаружения и предотвращения вторжений и антивирусного сканирования. В существующих сегодня продуктах UTM имеются не только эти, но и многие другие возможности. Ниже приводится краткий обзор возможностей устройств UTM, представленных на рынке. Межсетевые экраны. Это повсеместно распространенное средство безопасности в последнее время впало в немилость. Тем не менее в инсталляциях, реализующих политику «запрещать по умолчанию все, что явно не разрешено» (default-deny), МЭ по-прежнему занимают надежные позиции. Само происхождение устройств UTM от МЭ подсказывает подходящую модель их развертывания: сетевые среды, достаточно хорошо понятные для использования МЭ, по всей вероятности, так же хорошо подойдут и для реализации других функций безопасности. Кроме того, технологии межсетевого экранирования, которые когда-то применялись только на уровнях с первого по третий модели OSI, сегодня нацелены на весь протокольный стек этой модели. Они позволяют применять правила к данным и приложениям независимо от задействованных портов и протоколов.

Системы обнаружения и предотвращения вторжений. Концепции, на которых основаны системы IDS и IPS едва различимы (или, во всяком случае, им следовало бы быть такими). Они ценны тем, что по сравнению с традиционными МЭ обладают способностью просматривать содержимое пакетов в противоположность простому принятию решений, исходя из их заголовков. К сожалению, система IPS реализует политику «разрешать по умолчанию все, что явно не запрещено» (default-allow): создаются правила блокирования атак, уязвимостей или другой подозрительной активности сетевого трафика, элементам же последнего, не подпадающим под эти правила, предоставляется «зеленая улица».

Значительную часть вредоносного трафика можно задержать соответствующей настройкой системы IPS, но, чтобы перейти от отражения атак на серверы к нейтрализации программных компонентов взлома на клиентской стороне, производителям систем IDS/IPS, собственно говоря, пришлось пережить довольно трудные времена. Сетевые шлюзовые системы предотвращения вторжений страдают от одной труднопреодолимой проблемы — атаки, не нацеленные на сетевой сокет, обнаружить чрезвычайно сложно. Например, программный компонент взлома (exploit) подключаемого модуля браузера может быть послан внутри зашифрованного сценария JavaScript, который не только подвергается сжатию при кодировании HTTP-контента, но еще и шифруется внутри SSL-транзакции. В отсутствие работающего на конечной точке принимающего ПО или исключения возможности идеального эмулирования такой конечной точки (которой не обладает ни одна сетевая система IPS), не существует никакого надежного способа, позволяющего системе IPS останавливать атаки этого типа.

Антивирусное ПО. Исходное определение устройства UTM включало шлюзовый антивирус, что обычно подразумевало сканирование трафиков SMTP и HTTP.

Некоторые производители расширили защитные возможности своих продуктов, распространив их на протоколы одноранговых сетей (peer-to-peer protocol), передачи файлов и чатов. В недавно выпущенных продуктах UTM антивирусные возможности в чистом виде практически не встречаются, зато присутствует стандартный набор таких возможностей, как защита от шпионских программ (anti-spyware), спама (anti-spam) и вредоносных программ (anti-malware). Для проверки передаваемых файлов на предмет идентификации потенциальных угроз в новейших решениях применяется поведенческое сканирование (behavioral scanning), без использования БД статических «отпечатков» (fingerprint) известных атак. Но каким бы ни был процесс обнаружения атак — поведенческим или основанным на сигнатурах — это всего лишь различные примеры реализации политики типа «default-allow».

По мере эволюции концепции UTM соответствующие продукты стали не только предоставлять эту «большую тройку» возможностей, но и включать в себя некоторые другие возможности, в числе которых:

• поддержка сетевой инфраструктуры: учитывая лежащую в основе устройства UTM концепцию конструктора и ставшую уже общей тенденцию интегрирования с МЭ других функций, таких, как виртуальные частные сети (VPN), многие из этих устройств представляют собой полнофункциональные «сетевые инфраструктуры в коробке». Они могут включать такие возможности, как NAT, QoS (Quality of Service) или VPN. VPN-функциональность UTM-продуктов реализует не только схему «узел–узел», но и SSL и другие клиент-серверные VPN-технологии, позволяющие удаленным работникам осуществлять доступ к внутренним ресурсам компании.

• фильтрация контента: обычно этот процесс, связанный с фильтрацией веб-контента посредством сервиса «URL Blacklist» («черный список» указателей URL; одна из многих возможностей UTM, предполагающая обновление ПО по подписке), весьма часто рекламируют как стимулятор продуктивности работы служащих. Но, разумеется, смышленые пользователи всегда найдут способ получить доступ к контенту, который они хотят просмотреть.

• предотвращение утечки данных (Data-Leakage Prevention — DLP): за последние несколько лет продукты DLP стали весьма популярными. Следите за продолжающимся их слиянием с основными традиционными продуктами UTM. Хотя обширный ряд этих продуктов предо-ставляет сегодня те или иные простые механизмы предотвращения утечки данных, такие, как фильтрация электронной почты по ключевому слову или блокирование вложений, им далеко еще до продукта Proventia компании IBM, создатели которого могут по праву гордиться полнотой его функций.

• контроль доступа к сети (Network Access Control — NAC; в терминологии некоторых производителей — Network Admission Сontrol): дать исчерпывающее определение NAC достаточно трудно, не смешивая его с десятком сопутствующих функций сетевой безопасности. Предоставляющие их продукты, по идее, должны контролировать допуск в сеть, обеспечивать соблюдение политик доступа конечными узлами и интегрироваться с другими системами NAC. Производимые продуктом SonicWall принудительные проверки актуальности антивирусного ПО являются примером первых шагов в этом направлении.

• контроль доступа на основе данных идентификации (Identity-Based Access Control — IBAC) — это еще одна относительно новая технология для сетевых шлюзов безопасности. Операционные системы, приложения и различные устройства используют аутентификацию и авторизацию с незапамятных времен. Однако применение их к сетевым шлюзам стало относительно новым подходом. Компания Cyberoam делает основанный на данных идентификации контроль допуска в сеть краеугольным камнем своей стратегии разработки UTM-продуктов..

  
12 '2008
СОДЕРЖАНИЕ

бизнес

• В фокусе BBWF — видео и реклама

• Четыре основных тренда развития рынка телекоммуникаций России

инфраструктура

• Ввод в эксплуатацию и диагностика сетей VoIP

• FTTx: выбор технологии

• Универсальная сеть. Какой она будет?

• ЦОДы нового поколения

• Консорциум Green Grid и повышение энергетической эффективности ЦОДов

информационные системы

• Большая бизнес-аналитика от «большой четверки»

сети связи

• На пути к IP-трансформации

• До свидания, фиксированный WiMAX, — здравствуй, мобильный?

кабельные системы

• Кабельная проводка для систем IP-видеонаблюдения

защита данных

• Не упускать из виду

• Безопасности много не бывает

новые продукты

• «Магические» лотки OBO Bettermann: GR- и RKS-Magic; Новое решение для конференц-связи по IP; Новая система беспроводной оптической связи от MRV


• Калейдоскоп


Реклама:
 Copyright © 1996-2008 ООО "Сети и Системы Связи". вверх