Ожидаемый результат принес опрос более тысячи руководителей ИТ-подразделений крупных и средних европейских компаний, проведенный по заказу Intel. Его цель заключалась в определении основной проблемы, которая очень волнует специалистов. Свыше половины респондентов ответили, что незамедлительного решения требует проблема сетевой защиты. Как выяснилось, высококвалифицированный ИТ-персонал тратит не менее 30% рабочего времени на защиту информации в компьютерных сетях. Ситуация в крупных компаниях (со штатом свыше 500 сотрудников) — еще тревожнее: около четверти респондентов тратят на решение подобных задач половину рабочего времени.

Проблематика сетевой безопасности неразрывно связана с основополагающими технологиями, используемыми в современных телекоммуникациях. При разработке семейства IP-протоколов приоритет был отдан надежности функционирования сети в целом. Во времена появления этих протоколов сетевая защита обеспечивалась механизмами, которые просто нереально воспроизвести в условиях Глобальной сети. Теперь уже бесполезно сетовать на недальновидность создателей Internet: кардинально изменить ситуацию практически невозможно, и надо учиться защищаться от угроз.

Наибольшую опасность для корпоративной ИТ-инфраструктуры порождают действия, связанные с несанкционированным доступом к внутренним ресурсам и блокированием нормальной работы серверов. Известен довольно широкий спектр таких угроз, причем основой каждой из них является совокупность технических и человеческих факторов. И не стоит надеяться, что даже самые лучшие технические решения в области защиты станут панацеей от всех бед.

Компромисс цены и надежности

Безопасность — это относительная мера. Если «ее слишком много», то заметно усложняется доступ к системе, которую мы собираемся защитить. Нужно искать разумный компромисс между надежностью и доступностью.

Для средних, по российским меркам, предприятий компромиссным решением вполне могут стать устройства класса UTM (Unified Threat Management). Их позиционируют как комплексные многофункциональные системы, предотвращающие всевозможные атаки. По сути, UTM совмещают в себе функционал устройств разных типов — межсетевого экрана (firewall), системы обнаружения и предотвращения вторжений (IDS/IPS), антивирусного и антиспамового шлюза. Часто на эти же программно-аппаратные комплексы возлагается решение дополнительных задач, например маршрутизации и поддержки VPN-сетей.

Поставщики решений зачастую рекомендуют использовать UTM в малом бизнесе. Такой подход оправдан, но лишь отчасти. В нашей стране малым предприятиям, в силу микроскопичности их ИТ-бюджетов и невысокой ценности информационных ресурсов, проще и дешевле пользоваться сервисом сетевой защиты от Internet-провайдера.

Как любое универсальное решение, оборудование UTM имеет свои «плюсы» и «минусы». К первым можно отнести экономию средств и времени на внедрение по сравнению с организацией защиты аналогичного уровня на основе отдельных компонентов. Кроме того, UTM представляет собой сбалансированное и предварительно протестированное решение, которое способно реализовать комплексный подход к обеспечению безопасности. Наконец, решения этого класса не очень требовательны к квалификации технического персонала.

Главным недостатком UTM является то, что функциональность любого универсального решения, как правило, слабее, чем сумма функций отдельных специализированных продуктов. При необходимости в высокой степени защищенности систем специалисты по безопасности предпочитают создавать конкретные решения за счет интеграции нескольких продуктов.

Несмотря ни на что, унифицированные продукты, предназначенные для управления угрозами, хорошо востребованы предприятиями — самыми разными по масштабу и роду деятельности. По данным Rainbow Technologies, такое решение, например, успешно защищает сервер Internet-магазина бытовой техники, который подвергается регулярным DDoS-атакам. UTM-решение позволило заметно сократить долю спама в почтовой системе одного из автомобильных холдингов. Помимо локальных применений есть и примеры построения систем защиты на базе UTM для распределенной сети (скажем, охватывающей центральный офис пивоваренной компании и ее филиалы).

Разработчики и их продукты

Российский рынок оборудования класса UTM пока может похвастать лишь предложениями зарубежных производителей. К сожалению, отечественные разработчики не сумели составить им достойную конкуренцию. Исключение — разве что решение Eset NOD32 Firewall.

На российском рынке продукты UTM могут быть интересны, в первую очередь, средним компаниям, в сетях которых насчитывается по 100–200 рабочих мест. При отборе оборудования UTM для нашего обзора главным критерием стала производительность в разных режимах работы, обеспечивающая комфортную работы пользователей. Чаще всего поставщики указывают характеристики производительности оборудования в режимах межсетевого экранирования (Firewall), предотвращения вторжений (IPS) и защиты от вирусов (AV).

Компания Check Point предлагает унифицированное средство защиты UTM-1 Edge, объединяющее в себе межсетевой экран, систему предотвращения вторжений, антивирусный шлюз, а также шлюз для организации VPN и удаленного доступа. Интегрированный firewall контролирует работу большого числа приложений, протоколов и сервисов, оснащен механизмом блокировки трафика, явно не вписывающегося в категорию бизнес-приложений. Например, он блокирует передачу мгновенных сообщений (IM) и трафик одноранговых сетей (P2P). Антивирусный шлюз позволяет отслеживать вредоносный код в сообщениях электронной почты, потоках FTP и HTTP. При этом нет ограничений на объем анализируемых данных. Декомпрессия архивных файлов осуществляется «на лету».

Решение имеет развитые возможности поддержки VPN-соединений. Кроме того, поддерживаются динамическая маршрутизация OSPF и подключение VPN-клиентов. UTM-1 Edge W выпускается со встроенной беспроводной точкой доступа стандарта IEEE 802.11b/g. При необходимости крупномасштабных внедрений UTM-1 Edge легко интегрируется с системой Check Point SMART, благодаря чему управление отдельными компонентами защитного периметра значительно упрощается.

Cisco традиционно уделяет вопросам сетевой защиты повышенное внимание и предлагает множество необходимых устройств. Мы остановили свой выбор на модели ASA 5510, которая ориентирована на создание периметра безопасности корпоративной сети.

Cisco ASA 5510 поставляется в четырех основных конфигурациях — межсетевого экрана, средства построения VPN, системы предотвращения вторжений и комплексного средства защиты от вирусов и спама. В решение входят дополнительные компоненты, такие как система Security Manager (формирует инфраструктуру управления разветвленной корпоративной сетью) и система Cisco MARS (обеспечивает мониторинг сетевой среды и реагирует на нарушения периметра безопасности в режиме реального времени).

Словацкая фирма Eset поставляет программный комплекс NOD32 Firewall, включающий в себя помимо функций корпоративного МЭ систему антивирусной защиты Eset NOD32, средства фильтрации почтового и Web-трафика, механизмы обнаружения и предупреждения сетевых атак. Решение поддерживает создание сетей VPN. Оно построено на основе серверной платформы, работающей под управлением Linux. Программная часть устройства класса UTM разработана отечественной компанией Leta IT, тесно сотрудничающей с Eset.

Решение NOD32 Firewall способно контролировать сетевой трафик в режиме реального времени, фильтровать контент по категориям Web-ресурсов, защищать от атак типа DDoS и блокировать попытки сканирования портов. В решение включена поддержка серверов DNS, DHCP и функции управления пропускной способностью канала. Контролируется трафик почтовых серверов SMTP и POP3. Разработчики предусмотрели возможность создания распределенных корпоративных сетей с помощью VPN-соединений. При этом в NOD32 Firewall реализованы разные механизмы объединения сетей, алгоритмы аутентификации и шифрования.

Компания Fortinet предлагает целое семейство устройств FortiGate класса UTM, позиционируя их как решения, которые способны обеспечить надежную защиту сети при сохранении высокого уровня производительности корпоративных систем и приложений реального времени. Модель FortiGate-224B ориентирована на защиту периметра корпоративной сети со 150–200 пользователями.

Оборудование FortiGate-224B обеспечивает функциональность межсетевого экрана, сервера VPN, Web-фильтра, системы предотвращения вторжений, антивируса и антиспама. Имеются встроенные интерфейсы коммутатора локальной сети второго уровня и WAN-интерфейсы, что позволяет заказчику обойтись без внешних устройств маршрутизации и коммутации. На внешних каналах поддерживаются маршрутизация по протоколам RIP, OSPF и BGP, а также аутентификация пользователей перед предоставлением доступа к сетевым сервисам.

Juniper Networks в свое время купил известного производителя систем сетевой защиты NetScreen и сегодня предлагает решения серии Secure Service Gateway (SSG), относящиеся к классу UTM. В эту серию входят восемь продуктов, различающихся по конструктивному исполнению и производительности. Например, аппаратно-программное решение SSG 140, позиционируемое как основа системы безопасности сетей на предприятиях среднего размера, поддерживает множество средств защиты и маршрутизации. Продукт построен по модульной схеме, благодаря чему можно подключать его к глобальным сетям по разным технологиям доступа. По заверениям разработчика, реализуемый набор функций обеспечивает защиту сети (в том числе голосового трафика VoIP) практически от любых атак. Кроме того, поддерживаются зоны безопасности, что позволяет назначать для них отдельные политики и гибко учитывать интересы всех групп пользователей.

Компания SonicWALL предлагает большой спектр устройств UTM. Например, NSA 240 — младшая модель в линейке, ориентированная на использование в качестве системы защиты корпоративной сети средних предприятий и филиалов крупных компаний. Основа данной линейки оборудования — интеграция всех средств защиты от потенциальных угроз (межсетевого экрана, системы защиты от вторжений, шлюзов защиты от вирусов и шпионского ПО). Обеспечена фильтрация Web-трафика по 56 категориям сайтов.

Одной из изюминок своего решения SonicWALL считает технологию глубокого сканирования и анализа входящего информационного потока. Для того чтобы исключить снижение производительности сети, в этой технологии задействуется параллельная обработка данных на многопроцессорном ядре.

Оборудование SonicWALL служит для построения VPN, поддерживает развитые возможности маршрутизации и различные сетевые протоколы. Кроме того, утверждается, что данная разработка обеспечивает высокий уровень защищенности при обслуживании VoIP-приложений по протоколам SIP и Н.323.

Из линейки продукции WatchGuard мы выбрали Firebox X550e — систему с развитой функциональностью, ориентированную на использование в сетях малых и средних предприятий. Основой решений класса UTM от WatchGuard является использование принципа защиты от смешанных атак, поэтому они объединяют в себе межсетевой экран, систему предотвращения атак, антивирусный и антиспамовый шлюзы, фильтрацию Web-ресурсов, систему противодействия шпионскому ПО.

Другая идея, реализованная разработчиками, называется «принципом совместной защиты». Сетевой трафик, проверенный по определенному критерию на одном уровне защиты, не проверятся по этому же критерию на другом уровне. Такой подход позволяет добиться высокой производительности шлюза и снизить нагрузку на его процессор.

Главным достоинством своего решения производитель считает технологию Zero Day, которая призвана обеспечивать эффективное противодействие новым видам угроз, для которых еще не появились соответствующие сигнатуры. Обычно «окно уязвимости», в течение которого злоумышленники имеют большой шанс провести успешную атаку, длится от нескольких часов до нескольких дней. При использовании технологии Zero Day вероятность негативных последствий заметно снижается.

Компания ZyXEL предлагает свой вариант сетевого экрана класса UTM, ориентированного на использование в корпоративных сетях с числом пользователей до 500. Ее решение ZyWALL 1050 предназначено для построения системы сетевой защиты, обеспечивающей полноценную защиту от вирусов, предотвращение вторжений и поддержку виртуальных частных сетей. Устройство имеет пять портов Gigabit Ethernet, которые могут настраиваться для использования в качестве интерфейсов WAN, LAN, DMZ и WLAN — в зависимости от конфигурации сети.

Поддерживается прозрачная передача трафика VoIP по протоколам SIP и Н.323 через межсетевые экраны и NAT-серверы. Пакетный голосовой трафик может пересылаться и по туннелям VPN. Обеспечиваются механизмы предотвращения атак и угроз для всех видов синхронного и асинхронного трафика, работа антивирусной системы на базе сигнатур, контентная фильтрация по 60 категориям сайтов и защита от спама. Решение ZyWALL 1050 поддерживает множество топологий частных сетей, работая в режиме VPN-концентратора и объединяя виртуальные сети в зоны с едиными политиками защиты.


Как швейцарский нож

Дмитрий Костров, директор по проектам Дирекции технологической защиты корпоративного центра МТС

Решения UTM предназначены преимущественно для сегмента малого и среднего бизнеса. Само понятие Unified Threat Management как отдельного класса оборудования для защиты сетевых ресурсов введено международным агентством IDC. Согласно его определению, UTM-решения — это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных защитных устройств. Обычно имеются в виду межсетевой экран, VPN-шлюз, системы обнаружения и предотвращения вторжений в сеть, функции антивируса и антиспама, шлюзов, фильтрации URL.

Для того чтобы обеспечить действительно эффективную защиту, устройство должно быть многоуровневым, активным и высокоинтегрированным. Простота развертывания систем и следование принципу «все в одном» делает рынок таких устройств достаточно динамичным. Совокупная стоимость владения и сроки возврата инвестиций при внедрении UTM-решений кажутся очень привлекательными.

Вместе с тем системы UTM похожи на «швейцарский нож»: его можно носить с собой на всякий случай, но пробить в стене дырку он не позволит — для этого нужна дрель. Не исключено, что появление в UTM средств защиты от неизвестных атак, обновление сигнатур и т.п. не будут столь же оперативными, как в отдельных специализированных устройствах, используемых в «классической» схеме защиты корпоративных сетей. Остается нерешенной и проблема единой точки отказа.

«Согласие» без спама

Страховая компания «Согласие» закончила внедрение системы фильтрации спама PineApp Mail-SeCure, предоставленной фирмой Netberg. Меньше чем за месяц тестирования новая антиспам-система показала высокую производительность и эффективность работы. По результатам тестов принято решение о внедрении системы на первой линии защиты корпоративной сети.

«Новая система оказалась наиболее полным решением для обеспечения безопасности корпоративной почты, — рассказывает начальник отдела телекоммуникаций СК «Согласие» Дмитрий Вольперт. — Теперь у нас блокируется более 99% спама. Установленное решение повлияло на повышение эффективности работы нашей компании, значительно снизив потребление ресурсов сети и увеличив эффективную пропускную способность».

Как рассказал директор Netberg Алексей Высоков, PineApp Mail-SeCure защищает организации от нацеленных и ненацеленных угроз, связанных с применением электронной почты. Для защиты почты Mail-SeCure использует комплекс из пяти антивирусных и одиннадцати мультитехнологических решений, блокирующих фишинг-атаки и спам. Система предоставляет администратору инструменты гибкого управления политиками безопасности, а пользователям дает возможность отслеживать собственный почтовый трафик.


Таблица