UTM appliance bič na smíšené bezpečnostní hrozby

UTM (Unified Threat Management) appliance spojuje tradičně samostatné bezpečnostní služby do jednoho zařízení. Jde na...


UTM (Unified Threat Management) appliance spojuje tradičně samostatné
bezpečnostní služby do jednoho zařízení. Jde například o stavový firewall, o
služby prevence proti vniknutí, dále antivirus, antispam, antispyware či
filtrování obsahu. UTM appliance poskytuje nejen komplexní ochranu proti
hrozbám pocházejícím z internetu, ale také nabízí přímý přístup k politikám a
reportingu.

Administrátoři nyní mohou řídit a sledovat systémy z jediného místa, namísto
toho, aby přeskakovali mezi jednotlivými bezpečnostními nástroji a utilitami.
Aktualizace lze plánovat a iniciovat z jediné konzole, reporty prohlížet z
jednoho zařízení a politiky řídit rovněž z této appliance.
Tím, že jsou všechny bezpečnostní služby přesunuty do jediného zařízení,
snižují pracovní zatížení administrátorů; snadnost použití těchto produktů je
jedním z hlavních prodejních argumentů. Navíc pokud je zařízení vybaveno
sofistikovaným uživatelským rozhraním, můžete rychle provést kontrolu
aktualizace definic virů, poslední činnosti a poplachů. Každé z řešení, která
jsme testovali, nabízelo doslova bleskové řízení a monitoring, ačkoliv některé
tyto operace prováděly lépe či hůře. Administrátorům datových center tak mohou
tato zařízení poskytovat zprávy prostřednictvím všech běžných reportingovým
systémů včetně Syslogu a SNMP nástrojů.
Možným argumentem proti nasazení UTM appliance by mohl být argumnet, že
bezpečnostní pracovníci si už nemohou vybírat další specifická bezpečnostní
řešení; musejí zkrátka použít implementované produkty dodavatele UTM. Jestliže
jste například v podniku nasadili antivirus a antispyware od CA a jako
firewall/VPN chcete zvolit produkt od jiného dodavatele, neexistuje žádný
způsob, jak tyto systémy integrovat do společné řídicí platformy. Pro většinu
správců bude tento argument sporný. Bezpečnostní služby dodané jako integrovaný
celek jsou typicky samy o sobě službami s tím nejlepším "původem". Například
společnost Astaro používá kombinaci produktů firmy Kaspersky a open source
definičních souborů virů pro antivirovou ochranu, zatímco WatchGuard a ServGate
využívají McAfeeAntiVirus. Nevěříme tomu, že nějaký manažer bezpečnosti
přestane používat desktopovou antivirovou nebo antispywarovou ochranu a
spolehne se výhradně na koncová síťová zařízení. Cílem UTM je zastavit tyto
hrozby předtím, než vniknou do sítě, s tím, že zmíněná desktopová ochrana bude
představovat poslední obrannou linii.

Vyberte si ten svůj
Pro náš test UTM řešení jsme požadovali zařízení, které by mohlo nejlépe
vyhovoval použití v pobočce firmy. Tedy malé appliance montovatelné do racku,
jež podporuje všechny základní charakteristiky UTM a může být řízeno centrálně
z podnikového datového centra. Své produkty nám nakonec poskytlo pět firem
Astaro, Fortinet, ServGate, SonicWall a WatchGuard. Ve vech případech šlo o
zařízení 1 U. Symantec, Secure Computing a TippingPoint byly přizvány, ale
nemohly se zúčastnit pro různé problémy s časovým harmonogramem.
Na každém zařízení jsme spustili sérii testovacích scénářů podobných těm, které
by mohla zažít jakákoliv zabezpečená kancelář. Firewall jsme vždy umístili před
Windows SBS (Small Business Server) 2003 server, na kterém běžel Outlook Web
Access, standardní portál SBS vzdáleného pracoviště, SMTP poštovní služby
(Exchange) a FTP server. Následně jsme vytvořili inbound politiky určené pro
exponování a ochranu každé služby. Potom jsme se pokusili zneužít tyto služby
za pomoci Core Impact od Core Security Technologies.
Naše testy vniknutí zahrnovaly sérii pro každou službu dobře známých a dobře
zdokumentovaných zneužití a útoků. Útoky jsme směřovali proti exponovaným
službám, všechny z nich se pokoušely buď tuto službu shodit (DoS), nebo spustit
kód na serveru. Core Impact umožnil mimořádně snadné nastavení těchto testů,
ale co je ještě důležitější, umožnil, aby stejné testy byly opakovány pro každé
zařízení UTM. Výsledky prokázaly, že každý firewall byl víc než schopný
zabránit přímému útoku, přičemž náš cílový server nebyl ani jednou "zasažen".
Během každé fáze útoku jsme sledovali záznamy z firewallu, abychom věděli, co
se děje, když dochází k útoku.
Dále jsme u každého UTM boxu prověřovali výkon a schopnosti při skenování virů.
Zkopírovali jsme tedy ze systému Windows XP s použitím Internet Exploreru jako
FTP klienta 160MB zip soubor infikovaný virem z "veřejného" FTP serveru do naší
chráněné sítě. Pouze SonicWall a ServGate byly schopné zacházet s kopií souboru
správně, bez ignorování viru v souboru. Byli jsme ohromeni zjištěním, že ne
všechna UTM řešení mohou skenovat viry ve všech typech provozu a ve všech
situacích. To je oblast, na které mnoho dodavatelů musí ještě zapracovat.

Astaro Security Gateway 220
Šasi UTM appliance Astaro Security Gateway 220 UTM nabízí osm 10/100Mb
ethernetových rozhraní. Osazen je dále 40GB pevný disk, který je také používán
pro web caching a slouží jako odkladiště infikovaných objektů, tedy karanténa.
Nastavení a vytvoření politiky nebylo tak jednoduché jako u produktů od firmy
Fortinet nebo SonicWall, ale jejich vytvoření nezabralo víc než jednu hodinu.
Naopak Astaro se může pochlubit jedním z lepších reportingových enginů.
Dát dohromady různá inbound a outbound přístupová pravidla vám u tohoto
produktu zabere pár kliknutí navíc. Jde například o vytvoření paketového filtru
a dynamických pravidel NAT tak, aby bylo dosaženo platného inbound provozu.
Jiná zařízení, jako ServGate nebo SonicWall, tento krok navíc provedou sami.
Politika pro outbound může být definována různými způsoby použitím různých
proxy.
ASG 220 přichází s úplnou řadou standardních vlastností routingu a v
transparentním režimu může být všech osm rozhraní přemostěno což zvládne jako
jediná jednotka v testu. Líbilo se nám mít kapacity na nastavení rozdílných
podsítí na různých fyzických rozhraních Ethernetu a vytvářet politiky mezi nimi
včetně VLAN. Zařízení také pracuje s dynamickou DNS a RIP (Routing Information
Protocol) v1 a v2. QoS je k dispozici pro každou politiku, ale je omezená na
nastavení normální, nízká a vysoká.
Definování různých bezpečnostních politik pro inbound provoz vyžadovalo použití
paketových filtrů, proxy i definic NAT. Na rozdíl od SonicWallu, který veškerá
nastavení provede za vás, Astaro požaduje od administrátora, aby vytvořil každé
pravidlo paketového filtru a spároval ho s manuálně vytvořeným pravidlem NAT.
Tento požadavek neomezuje funkčnost politiky, jen více zatěžuje administrátora.
Základní vlastnosti Astaro jsou budovány jako část aplikačních proxy. Například
skenování virů bude kontrolovat inbound a outbound provoz prostřednictvím SMTP
proxy, přičemž podezřelé zprávy mohou být umístěny do karantény pro pozdější
analýzu. HTTP proxy poskytuje filtrování obsahu na klientem požadovaném provozu
a pro omezení příležitostného surfování zaměstnanců používá filtrování URL
pomocí seznamů Cobion. Bohužel skenování na přítomnost virů není k dispozici
pro FTP provoz. Skutečná FTP proxy bude k dispozici v příští verzi produktu a
bude obsahovat i antivirové skenování.
IPS je v zařízení dobře zastoupena seznamem více než 4 000 detekčních
definičních souborů virů. Pravidla IPS jsou seskupena podle typu útoku, což
umožňuje jejich rychlé a snadné řízení. Během našich penetračních testů s Core
Impact se nám nikdy nepodařilo zneužít žádnou ze služeb exponovaných v ASG 220.
Každý útok byl odvrácen a zaznamenán pro pozdější prozkoumání.
Žádné samostatné UTM zařízení nenabízí úplnou sadu služeb VPN a rovněž ASG 220
není v tomto směru žádnou výjimkou. Nabízí ale široké spektrum úrovně
zabezpečení a šifrovacích algoritmů, které umožňují velmi pružné nasazení. V
zařízení také je obsažen Microsoft PPTP (Point-to-Point Tunneling Protocol) pro
připojení typu client-to-site pro cestující pracovníky. Podobně jako u definice
politiky vyžaduje nastavení IPSec trochu více úsilí. Dobře zpracovaný
reportingový nástroj v ASG 220 poskytuje rozmanité grafické diagramy, stejně
jako nezopracované log soubory. Jsou zde dva další balíky, Report Manager a
Configuration Manager, které umožňují centralizovaný zpravování reportingu a
řízení politik.

Fortinet FortiGate 400A
FortiGate 400A se dodává se šesti 10/100Mb ethernetovými rozhraními a spojuje
hladké řízení politik se schopnostmi routingu, které se obvykle nacházejí pouze
ve větších hardwarech. Služby této UTM appliance jsou kompletní, stejně jako
služby VPN a dynamického routingu. Řízení na dálku se provádí prostřednictvím
konzole FortiManager, přičemž počáteční nastavení a konfigurace zabere méně než
30 minut. IPS FortiGate byla navíc schopna zastavit všechny útoky Core Impact,
které jsme na tuto appliance uplatnili. Nejdražší UTM box v našem přehledu,
FortiGate, se chlubí velmi flexibilním a silným nástrojem routingu. Každé z
jeho šesti fastethernetových rozhraní může být členem různé IP sítě s odlišnými
politikami routingu a nastavení RIP v1 a v2. Ve skutečnosti toto jedinečné
zařízení umožňuje, aby každé fyzické rozhraní mělo svůj vlastní DHCP server.
Jedna z nejzajímavějších vlastností je, že appliance může být rozdělena do dvou
virtuálních domén. Tato vlastnost v podstatě rozděluje firewall na dvě logická
zařízení. Fyzická rozhraní a politiky jsou přiděleny jako členové specifické
domény.
Přístupové politiky firewallu 400A pokrývají mnoho různých situací bez toho, že
by byly příliš složité na definování. Přidělení adres specifickým službám a
tvorba bezpečnostní politiky na základě typu provozu byly velmi snadné. Škoda
jen, že politiky přístupu nejsou automaticky uspořádané, tak jako je tomu
například u SonicWall Pro 2040. Prostřednictvím uživatelského rozhraní je ale
lze snadno přeuspořádat.
400A v rámci VPN pracuje se spojeními site-to-site IPSec a také s PPTP a L2TP
(Layer 2 Tunneling Protocol) jako client-to-site. Rozsah možností šifrování se
pohybuje od DES po AES256 (Advanced Encryption Standard 256bitové) pro
maximální možné zabezpečení. Podpora Fortinetu pro QoS patřila k nejlepším; s
možností stanovit priority provozu a manipulovat s hodnotami DiffServ.
V 400A nabízí všechny očekávané bezpečnostní služby a na rozdíl od firem Astaro
a WatchGuard umožňuje Fortinet, aby antivirové skenování bylo přiřazeno jinému
provozu než SNMP. Služby jsou přidělovány specifickým akcím v Profilu ochrany.
Profily mohou být tvořeny určitým souborem služeb šitých na míru určitému typu
provozu. Například jsme vytvořili profil jen s antivirem, IPS ho povolila a
používala jako politiku ochrany FTP provozu. Administrátoři tak mohou vytvořit
mnoho různých profilů, každý pro určitou specifickou potřebu.
Antivirová služba, ačkoliv je lepší než u většiny konkurenčních produktů, má
svá omezení. Obsahuje horní limit pro maximální velikost souboru, který může
být skenován. Jestliže je soubor větší než 50 MB, administrátoři mají volbu buď
zamítnout transfer úplně, nebo ignorovat nadměrný soubor a vpustit jej do sítě
bez skenování. Tento limit velikosti je uplatňován na všechny formy provozu.
Fortinet vede pro služby antiviru, IPS, webové a spamové filtry své vlastní
seznamy definičních souborů virů, přičemž jejich aktualizace mohou být
naplánovány po hodinách. Administrátoři navíc mohou vytvořit uživatelské
definiční soubory nebo jednoduše použít obsažený seznam. Tak jako u všech
ostatních testovaných řešení jsme prostřednictvím Core Impact nebyli schopni v
IPS Fortinetu najít skulinu.
Reportingové a záznamové služby jsou u FortiGate průměrné. Zařízení vytváří pět
různých záznamů, ale pro dosažení nejlepších výsledků budou dle našeho názoru
administrátoři chtít přesunout informace buď do syslogu, nebo WebTrends
serveru. Pro centralizované řízení je Fortinet FortiManager použitelnou
platformou. Umožňuje přímé řízení na dálku, stejně jako agregaci reportů a
záznamů.

ServGate EdgeForce M30
Zařízení ServGate EdgeForce M30 bylo vybaveno třemi 10/100Mb/s rozhraními a
20GB pevný disk pro web caching a mnoho jeho základních bezpečnostních služeb.
Nastavení a konfigurace M30 byla jednoduchá; jednotku jsme měli připravenu k
provozu a s přednastavenou outbound politikou za méně než 30 minut. M30 v rámci
testované skupiny vyniká snadnou tvorbou a údržbou politik.
EdgeForce M30 je postavena na účelově vybudovaném hardwaru. Ústředním prvkem
produktu je stavový firewall, který poskytuje dobrou celkovou ochranu. Stejně
tak jako Fortinet a WatchGuard i ServGate poskytuje dynamický (RIP v1 a v2) a
statický routing, ale i dynamickou DNS. QoS je obsažena, ale není tak kompletní
jako její podpora u zařízení Fortinetu. Podpora VLAN bude k dispozici v příští
verzi ServGate OS.
VPN služby jsou rovněž na slušné úrovni, a to včetně site-to-site IPSec a PPTP,
VPN klient ServGate také poskytuje služby client-to-site. Administrátoři dále
mohou zvýšit úroveň zabezpečení šifrováním 3DES a AES256.
Tvorba inbound politiky pro naše chráněné zdroje vyžadovala pro každou službu
nejdříve definování virtuálního IP aliasu a potom jejich připojení k příslušné
politice mapování IP. Část tvorby politiky zahrnuje volbu obsahového filtru pro
inbound provoz. Obsahové filtry ServGate vycházejí z pravidel IPS a dodatečných
bezpečnostních služeb, jako je antivirus. Administrátoři mohou použít
připravená pravidla IPS a obsahového filtru nebo vytvořit nová, která budou
plnit specifické potřeby. Bezpečnostní služby dostupné v M30 jsou na velmi
dobré úrovni. Pro antivirus a antispam ServGate používá skenovací nástroje
společnosti McAfee. Pro filtrování internetu je obsažen SurfControl. Veškeré
licence pro tyto nástroje třetích stran jsou v rámci ServGate zahrnuty v
celkové ceně. Jelikož je zařízení vybaveno pevným diskem, mohou být soubory a
zprávy dávány do karantény namísto toho, aby byly jednoduše smazány.
Na rozdíl od WatchGuard Firebox Core poskytuje ServGate EdgeForce M30
antivirové skenování pro provoz SMTP, HTTP, POP3 a FTP. M30 prošel našim
antivirovým testem s úspěchem, když zvládl přenos 160MB souboru a v něm
instalovaný virus identifikoval a odstranil.
IPS ServGatu je založen na open source nástroji Snort a jeho definičních
souborech virů, který umožňuje dost velkou flexibilitu při vytváření obsahových
filtrů. Seznam pravidel je příjemně rozdělený do kategorií, jako je "zneužití",
"P2P" a "útoky z internetu", což usnadňuje vytváření pravidel IPS pro obsahové
filtry. Ve všech našich pokusech o proniknutí se pravidla a politiky IPS
ServGate držely dobře a zabránily jakémukoliv neoprávněnému přístupu. Sledování
systému na dálku a reporting jsou díky použití Global Manageru snadnou
záležitostí. Jeho prostřednictvím lze ovládat všechny aspekty M30 z
centralizovaného datového centra. Global Manager přitom může obsluhovat až 200
EdgeForce zařízení. Jeho příští verze by měla nabídnout ještě větší
škálovatelnost.

SonicWall Pro 2040
Zařízení SonicWall Pro 2040 nabízí čtyři 10/100Mb/s síťová rozhraní a solidní
služby firewallu. Jeho instalace a počáteční konfigurace byla nejjednodušší ze
všech námi testovaných produktů i díky některým šikovným průvodcům nastavení.
Trvalo pouze několik minut, než bylo zařízení připraveno k práci. Správa
politik byla u SonicWallu relativně jednoduchá (opět ji zjednošovaly užiteční
průvodci). Podpora VLAN sice nebyla v této verzi obsažena, ale dle vyjádření
výrobce bude brzy k dispozici.
SonicWall Pro 2040 nevynechává nic z hlediska vlastností firewallu. Jeho
stavový nástroj přichází se širokým spektrem předdefinovaných služeb, další pak
může přidat uživatel. Pro rychlejší vytváření pravidel mohou být přitom
jednotlivé služby seskupeny do jednoho objektu. Na rozdíl od produktů firem
Astaro a WatchGuard nespoléhá SonicWall na aplikační proxy. To znamená, že Pro
2040 může použít antivirové filtry a všechny další ochrany na jakýkoliv typ
provozu.
Správa politik firewallu je usnadněna použitím nové formy pohledu na přístupová
pravidla. Byli jsme schopni rychle zvolit pohled zaměřený na určitý soubor
fyzických rozhraní a pravidla s nimi spojená. Každému, kdo musí udržovat velký
soubor pravidel, tato vlastnost podstatně usnadní jeho administrátorskou práci.
Implementovaná je podpora pro dynamickou DNS, stejně jako QoS, ale podpora VLAN
bude k dispozici až v další verzi OS. Dynamický routing v tomto vydání také
chybí; nový OS rovněž nabídne RIP a OSPF. Schopnosti VPN odpovídají v Pro 2040
této kategorii produktů. SonicWall poskytuje IPSec site-to-site a
client-to-site PPTP a podporu pro vlastního proprietárního VPN klienta.
Možnosti zabezpečení zde nejsou tak široké jako například u appliance Astaro
220, nicméně k dispozici jsou šifovací algoritmy jako 3DES a AES256. Stejně
jako při vytváření politiky provázejí tvorbu a nastavení tunelů průvodci
politikou. Bezpečnostní služby SonicWall jsou kombinací aplikací třetí strany a
interně vyvinutých produktů. Síťový antivirus (na straně klienta, client-side)
je vyřešen produktem společnosti McAfee, zatímco antivirová brána (skenování
TCP streamů v reálném čase) je ovládána vlastním skenovacím nástrojem
SonicWallu. K vyhledávání antispywaru používá SonicWall definiční soubory virů
vyvinuté interně ve spojení se třetí stranou (kdo to je, nám výrobce
neprozradil). Filtrování obsahu je prováděno systémem SonicWall nebo v
kombinaci s N2H2 či Websense serverem.
Z hlediska celkové efektivnosti byl Pro 2040 jedním ze dvou zařízení, které si
úspěšně poradily se 160MB souborem infikovaným virem a kopírovaným
prostřednictvím FTP. Kromě boxů SonicWallu a ServGate ostatní UTM zařízení buď
přenos souboru neprovedla, nebo v něm virus nenašla. Služby IPS jsou
poskytovány prostřednictvím kombinace interních a definičních souborů virů od
Snortu. Jejich použití je velmi flexibilní s globálními a individuálními
přiděleními zón sítě. Tak jako u IPS nacházejících se v EdgeForce M30 jsou
definiční soubory seskupeny do kategorií a administrátoři je mohou
povolovat/zakazovat. Tak jako u všech námi testovaným UMT produktů se nám i v
případě SonicWallu nepodařilo toto zařízení napadnout.
Pro 2040 obsahuje logging a reporting, ale pro získání podrobnějších informací
o uživatelích a typech provozu budou administrátoři chtít používat balík
SonicWall ViewPoint, který je k dispozici za příplatek. Monitoring a správa na
dálku se provádějí prostřednictvím SonicWall Global Management Systemu, který
ke své práci vyžaduje databázi Oracle nebo Microsoft SQL Server (ani jeden není
součástí dodávky).

WatchGuard Firebox X2500 Core
Firebox X2500 Core disponuje osmi 10/100Mb rozhraními zasazenými do elegantního
červenného 1U šasi, které vypadá víc jako Ferrari než firewall. Společně s
pěkným vzhledem v něm ale naleznete hodně užitečného. Firebox, aby vybudoval
solidní bezpečnostní zařízení, nabaluje stavový firewall kolem aplikačních
proxy, umožňuje jemné nastavení outbound politiky a obsahuje vůbec nejlepší
nástroje reportingu a monitoringu. Počáteční konfigurace Fireboxu nám zabrala
trochu delší dobu, ale přesto jsme měli jednotku připravenu k provozu za méně
než hodinu.
Tak jako SonicWall Pro 2040 vychází i WatchGuard Firebox X 2500 z koncepce
silného firewallu. Prostřednictvím paketových filtrů a aplikačních proxy mohou
administrátoři sestavit bezpečnostní politiku specifickou pro potřeby sítě. Při
definování politik je důležité rozumět provozu, který bude procházet přes
Firebox, a tomu, které bezpečnostní služby musíte použít.
Jestliže je provoz definován použitím paketového filtru, není k dispozici žádná
rezerva pro skenování provozu na viry nebo jiné pochybné aktivity. Jediným
způsobem, jak analyzovat provoz, je "protlačit" ho přes aplikační proxy.
Firebox přichází s proxy pro HTTP, FTP, DNS, SMTP a generický TCP provoz.
Nejběžnější provoz tedy bude pokryt, přičemž neexistuje limit na to, kolik
různých definic proxy můžete použít. My jsme vytvořili řadu různých politik
HTTP použitím proxy, z nichž každá měla specifická bezpečnostní nastavení a
pravidla.
UTM služby jsou ve Fireboxu k dispozici, ale všechny nejsou obsaženy ve všech
proxy. V některých případech dává jejich nepřítomnost perfektní smysl;
například není potřeba kontroly internetu při SMTP provozu. Ale u jiných by to
mohl být problém. Například FTP provoz může být kontrolován z hlediska
platnosti a chráněn IPS, ale nelze kontrolovat soubory na přítomnost virů. Na
HTTP proxy také chybí antivirové skenování, ačkoliv je zde kontroluje malware.
SMTP proxy je jedinou, kde můžete skenování využít.
Prevence průniku je u WatchGuardu nastavena na globálním základě a stará se o
ni TCP proxy. IPS v našem testu pracovala dobře, když zabránila Core Impact
zneužít jakýkoliv z exponovaných serverů. IPS WatchGuardu může zablokovat
provoz z jakékoliv adresy, kterou určí jako zdroj útoku, což je zajímavá
vlastnost. Během našich testů penetrace jsme museli stále měnit IP adresy
útočícího počítače, protože Firebox bránil jakékoliv komunikaci. Dynamický
routing byl nejlepší ze všech testovaných produktů, umožňuje RIP v1 a v2 a také
OSPF a BGP (Border Gateway Protocol). Služby VPN jsou také dobré, k dispozici
je IPSec site-to-site a client-to-site služby spravované PPTP, L2TP a vlastní
mobilní VPN klient WatchGuardu. QoS je rovněž k dispozici, ačkoliv ne tak úplná
jako u Fortinetu. Dynamická DNS není podporována.



SonicWall Pro 2040
UTM appliance
Ocenění Computerworld Excellent si z testu odnáší produkt SonicWall Pro 2040,
který všemi našimi testy prošel beze ztráty kytičky, což mu vyneslo nejvyšší
výsledky v našem hodnocení. Toto zařízení demonstrovalo vynikající ochranu
proti útokům a také poskytovalo všechny základní UTM služby pro různé typy
provozu.









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.