UTM: Sofistikovaná ochrana z jediné krabičky

Základní ochranu spravovaných dat představuje lokální síť. Na hranici mezi bezpečnou vnitřní a nebezpečnou vnější zónou, tedy internetem, se tradičně umísťuje směrovač (router). Aby však tato hranice byla opravdu bezpečná, je vhodné místo směrovače instalovat firewall. Většina podniků již firewall nasazený má, ať už jako samostatné zařízení nebo jako přídavnou funkci ve směrovači. Není však firewall jako firewall.

Ten tradiční se spoléhal pouze na zdrojové/cílové informace obsažené v hlavičce rámce/paketu nebo fragmetu a na všeobecně známá čísla portů a typ protokolu. Uživatel si vždy jednoduše otevřel porty pouze těch aplikací, které používal, a zbytek nechal zavřený. Postupem doby však začaly aplikace tzv. tunelovat provoz přes známé porty, obvykle přes HTTP/HTTPS, tedy porty, které byly primárně otevřeny.

Z dnešního pohledu proto tradiční firewall zaměřený pouze na protokoly/porty nenabízí dostatečnou ochranu lokální sítě, a to nejen před škodlivými aplikacemi pokoušejícími se dostat dovnitř, ale i před neoprávněnými aplikacemi pokoušejícími se přenést informace ze sítě ven.

Firewall nové generace

Moderní zařízení proto již musí fungovat na jiném principu. Nejčastěji pracuje na základě tzv. signatur, podle nichž firewall umí identifikovat typ provozu (aplikace) i v případě, že používá jiný než standardní port.

Takto pracující zařízení jsou označována jako next generation firewally (NGFW) a dokážou velmi efektivně zabránit komunikaci nechtěných aplikací a zajistit, aby se do nebo ze sítě dostaly pouze oprávněné a autorizované aplikace.

Správce sítě má díky NGFW možnost například omezovat šířku pro dané aplikace v závislosti na tom, který uživatel aplikaci používá, případně úplně danou aplikaci zakázat.

Jedna z variant, kterou výrobci používají, se jmenuje Deep Packet Inspection (DPI). Díky ní lze také rozlišit, zda daný uživatel přes IM program posílá soubor nebo telefonuje, a nastavit politiky tak, aby nedocházelo k vynášení dokumentů ze společnosti.

Primárně jde o omezení P2P (torrent, direct connect, kazza...) aplikací, IM (Skype, ICQ, MSN, Google talk, Jabber...) aplikací a aplikací pro streamování videa. V případě nasazení NGFW tedy správce získá kompletní kontrolu nad provozem jdoucím ven a do firmy. Nicméně ani NG firewall neřeší problémy se škodlivými kódy, které aktuálně patří k největším hrozbám.

UTM pro jednotnou správu hrozeb

Pokud chceme poskytnout své lokální síti kompletní ochranu, je vhodné volit tzv. UTM neboli zařízení pro jednotnou správu hrozeb. UTM integruje funkce několika tradičně oddělených zařízení – firewall, antispam, antivirus, IPS a filtr webových stránek. K tomu samozřejmě patří i centralizovaná správa, dohled a logování.

Hlavní výhoda UTM zařízení tkví právě v centralizaci celého řešení, kdy hlavně pro menší firmu odpadá nutnost spravovat několik oddělených systémů s různými rozhraními. Zjednodušená správa se odrazí ve snížení nároků na školení pracovníků a odpadá i nutnost platit za podporu několika různých systémů.

Centralizovaný dohled dokáže velmi přehledně zobrazit informace o problémech – viry, nepovolené stránky atd. Velkou výhodou je v případě UTM zařízení i nižší spotřeba elektrické energie.

Výběr zařízení

Při výběru samotného UTM zařízení je nutné dát pozor na několik klíčových parametrů. U firewallu byl a je výběr velmi jednoduchý, protože existuje pouze několik parametrů, které je nutné porovnat – výkon (v megabitech nebo paketech za sekundu), počet nových spojení za sekundu a množství celkových spojení. Tyto parametry se samozřejmě objevují i u UTM zařízení, ale přibývají k tomu i další:

1. Rychlost aktualizace – velmi důležitý parametr pro IPS, filtraci webu a AntiX funkcionalitu. Hlavně ta je závislá na rychlosti vydávání aktualizací. Přední hráči na trhu nabízejí aktualizaci každé čtyři hodiny, což je rychlost srovnatelná s rychlostí updatů programů pro PC/servery.
2. Velikost databáze – hlavní parametr pro úspěšnou funkčnost filtrace webových adres. Čím je databáze větší (ideálně s lokáním zaměřením), tím je vyšší pravděpodobnost, že stránka bude zařazena do správné kategorie. Nelze zajistit 100% fungování v případě malých lokálních stránek, ty však může ručně definovat administrátor.
3. Propustnost AntiX – v okamžiku, kdy jsou zapnuty tyto funkce, dochází většinou k výraznému poklesu propustnosti celého zařízení. Zde by se měl zákazník zajímat, jak velký provoz dokáže zařízení zkontrolovat – odfiltrovat viry a spam.
4. VPN parametry – počet tunelů, propustnost na daném protokolu a typy podporovaných protokolů. Většinou je různá propustnost při použití protokolu IPsec (přední výrobci integrovali podporu do hardwaru, a proto je propustnost velmi vysoká) a na SSL VPN (zde musí vše jít přes procesor).
5. Tradiční parametry firewallu – propustnost a počet spojení samozřejmě hrají svoji roli i v případě UTM zařízení, ale většinou slabé místo jeho provozu nepředstavují.

Autor pracuje jako product and solution manager ve společnosti  Huawei Technologies Czech.

Jaké zařízení vybrat?

Proč by firma měla uvažovat o nasazení UTM zařízení? Odpověď je jednoduchá – díky jednomu zařízení je možné kompletně ochránit svoji síť před hrozbami z internetu (viry, trojské koně, spam), umožnit bezpečnou komunikaci mezi svými pobočkami přes veřejný internet (díky tomu může dojít ke snížení poplatků) a umožnit zaměstnancům práci z domova či během služebních cest díky bezpečnému vzdálenému zpřístupnění interních zdrojů firmy.

Zatímco tradiční firewally zůstávají nadále využívány především v datových centrech, serverových farmách nebo v případě NG firewallů u velkých operátorů, kterým jde o vysoký výkon při překladu adres, UTM se stávají doménou prostředí menších a středních firem (či jejich poboček).

Pro podniky mají ještě jednu velkou výhodu – oproti tradičním firewallům, které pouze povolují/zakazují jednotlivé aplikace na základě informací v hlavičce paketu/fragmentu, dokážou UTM zařízení i monitorovat využití sítě.

Většina firem tak často po nasazení UTM zjistí, že velká část kapacity linky je využita pro nepracovní účely a vytíženost pracovníků není zas tak vysoká, jak se předpokládalo. UTM zařízení totiž ukáže i to, jak zaměstnanci brouzdají na internetu nebo využívají P2P a IM programy.

UTM přináší úspory

-        Pořizovací náklady – kupuje se jen jedno zařízení

-        Náklady na správu a podporu

-        Výdaje na zaměstnance a jejich školení

-        Nižší spotřeba elektrické energie

Co vše dokáže UTM nahradit a sloučit?

1. Směrovač s funkcí firewallu – moderní UTM nemají problém zvládnout připojení pomocí jakýchkoliv rozhraní (Ethernet, xDSL, Wi-Fi). Samozřejmostí je podpora překladu adres.
2. NG firewall – většina UTM již umí integrovat funkce NG firewallů, například pomocí DPI.
3. IPS (Intrunsion Prevention System, ochrana sítě před útoky) – systém poskytuje ochranu před známými i neznámými síťovými útoky.
4. AntiX – antivirová a antispamová ochrana – dnešní systémy dokážou detekovat viry v e-mailových přílohách, ve FTP přenosu a při stahování z webových stránek. Spam je většinou rozdělován do několika kategorií podle míry pravděpodobnosti, že se jedná o spam. Systém pak buď e-mail označí (změnou předmětu), nebo zamezí jeho doručení.
5. Filtrování webových adres – samozřejmostí je nastavení omezení v závislosti na skupině uživatelů a na čase. Jiná budou tedy omezení pro úředníka a jiná pro správce sítě.
6. VPN koncentrátor – zajišťuje bezpečnou komunikaci mezi jednotlivými pobočkami, případně umožňuje přístup pracovníků mimo společnost k vnitřním zdrojům. Většinou se používají SSL VPN nebo IPSec VPN.