UTM چیست؟
در ادامه مطالبی که در خصوص شبکه و نحوه مدیریت آن در انتشارات شرکت مهندسین تحلیلگران آتینگر منتشر میشود، در این بخش نگاهی به سیستم مدیریت یکپارچه تهدیدات یا همان UTM داشته ایم. شما مخاطبان عزیز برای مطالعه مطالب تخصصیتر میتوانید به وبلاگ سایت شرکت آتینگر به آدرس زیر مراجعه نمایید.
https://atinegar.com/category/things-an-admin-should-know/
UTM عبارتست از سیستم مدیریت یکپارچه تهدیدات، شامل مجموعه ای کامل و جامع از تمامی راهکارهای امنیتی:
برقراری دیوار آتش Identity Based Firewall
ایجاد شبکه خصوصی مجازی Virtual Private NetworkVPN
ضدویروس Anti-Virus – ضدهرزنامه Anti-Spam
شناسایی و جلوگیری از نفوذگران Intrusion Detection and Prevention
فیلترینگ محتوی Content Filtering
مدیریت پهنای باند Bandwidth management
ضد جاسوس افزار، ضد برنامههای کلاهبرداری Anti-Spyware/Anti-Phishing/AntiPharming
با توجه به گوناگونی و تنوع ابزارهای امنیت اطلاعات و شبکه، چرا یو تی ام پیشنهاد میشود؟ در پاسخ، برخی از مزایای UTM را نام میبریم:
امکان مدیریت واحد و مجتمع جهت:
- فیلترینگ براساس محتوی
- کنترل ویروسها و هرزنامهها
- دیوار آتشین و ایجاد شبکههای خصوصی مجازی
- امکان نصب آسان در شبکه
- بهره گیری از سیستمهای دفاعی جهت واکنش سریع و بلادرنگ به هرگونه تهدید شبکه ای
- مقرون به صرفه بودن از لحاظ اقتصادی و کم بودن هزینههای نصب و نگهداری سیستم
- بالا بردن بهره وری شبکه
- امکان کنترل متمرکز
- ایجاد محیط امن و سالم در شبکه
- توانایی بالا در گزارش گیری و ارائه گزارشات متنوع به مدیر شبکه
وظایف امنیتی UTM چیست؟
دیواره آتش، جلوگیری از نفوذ، ضد ویروس، ضد هرز نامه، شبکه اختصاصی مجازی، فیلترینگ محتوا، گزارش گیری و … بازار سیستم مدیریت یکپارچه تهدیدات در سراسر جهان به ارزش حدود ۱٫۲ میلیارد دلار در سال ۲۰۰۷ رسید و پیش بینی میشود تا سال ۲۰۱۱ نرخ رشد سالانه ۳۵ تا ۴۰ درصدی داشته باشد. واژه سیستم مدیریت یکپارچه در اصل توسط شرکت IDC که شرکت پژوهش بازار است ابداع شد. مزایای امنیت یکپارچه در این نهفته شدهاست که در حقیقت بجای اجرای سیستمهای متعدد که به صورت جداگانه هر کدام سرویسهای مختلفی را ارائه دهند (آنتی ویروس، فیلترینگ محتوا، جلوگیری از نفوذ و توابع فیلتر کردن هرزنامه) یک دستگاه تمامی این سرویسها را به صورت یکپارچه ارائه دهد. سازمانها با استفاده از دستگاههای UTM دارای انعطاف پذیری بیشتری هستند. از مزیتهای اصلی UTM میتوان به سادگی، نصب و استفاده کارآمد و توانایی به روز رسانی تمامی توابع امنیتی اشاره کرد.
تاریخچهای پیرامون UTM
اولین ویرایشهای سیستم مدیریت یکپارچه تهدیدات با نام UTM، از اوایل سال ۲۰۰۳ ایجاد شده است. با توجه به بررسیهای انجام گرفته اولین محصول UTM توسط شرکت ServGate به بازار ارائه شده است. از آن زمان تاکنون شرکتهای بسیاری وارد این عرصه شدهاند که بعضا محصول خود را به صورت نرم افزاری و بعضا همراه با سخت افزار ارائه مینمایند.
راهکار استفاده از UTM در مواجهه با حملات روز افزون علیه سیستمهای اطلاعاتی سازمانها از طریق هک، ویروسها، کرم امنیتی (ترکیبی از حملات و تهدیدهای خارجی و داخلی) ضروری به نظر میرسد. به علاوه تکنیکهایی که کاربران سازمانها را به عنوان لینکهای ارتباطی ضعیف مورد هدف قرار میدهند، عواقبی فراتر از حد تصور در پی دارند. در حال حاضر امنیت دادهها و دسترسی غیر مجاز کارمندان به عمدهترین نگرانی شرکتها تبدیل شدهاست. به این دلیل هدفهای مخرب و از دست رفتن اطلاعات منجر به ضررهای زیاد مالی برای شرکتها شدهاست. اصولا این دستگاههای از فناوری ASIC سخت افزاری استفاده میکنند تا بالاترین performance را داشته باشند.
سرویسهای امنیتی تشکیل دهنده UTM
از آنجایی که یک محصول UTM تعداد زیادی سرویس امنیتی را در درون خود بکارگیری میکند، لذا حجم زیادی از توان پردازنده و حافظه را به خود اختصاص میدهد، و شرکتهای معتبر تولید کننده UTM، از سختافزارهای قوی و بکارگیری تکنیکهای مختلف سختافزاری و نرمافزاری در جهت افزایش Performance سیستمهای خود استفاده میکنند. Performance Acceleration به منظور افزایش کارایی یک سامانه UTM اجرا میشود.
به این منظور معمولاً فعالیت بخشهایی از سیستم که نیاز به حجم پردازنده بالایی دارد را به سختافزار واگذار میکنند؛ به طور مثال بجای استفاده از VPN و یا IPS نرمافزاری از نمونههای معادل آن که به صورت سختافزاری تولید شدهاند، استفاده میشود. به این ترتیب هر سرویس امنیتی به صورت یک کارت سختافزاری طراحی و در سامانه UTM مورد استفاده قرار گرفته و کارایی را فوقالعاده افزایش میدهد.
معرفی مختصر زیر مجموعههای UTM
۱ – دیواره آتش شبکه Network Firewall
دیواره آتش Secure point ترافیک ورودی و خروجی شبکه و همچنین ترافیک بین شبکههای داخلی را کنترل میکند. مدیر شبکه میتواند دسترسی به پروتکل را به هر شبکه داخلی، سرویس دهنده، هر سرویس و هر گروه از کاربران اجازه استفاده داده و یا مسدود نماید.
۲ – UTM و شبکه خصوصی مجازی VPN
در قسمت VPN Secure point از روشهای مختلف رمزگذاری دادهها (Data Encryption) استفاده میکند تا یک تونل امن بر روی بستر عمومی اینترنت ایجاد کند. برای پاسخگوئی به هر نیاز، Secure point VPN با انواع ساختارهای VPN سازگاری دارد مانند Host to Host, Net to Net & Host to net. Secure point VPN انواع پروتکلهای VPN نظیر IPSec, L2TP Over IPSec, PPTP را پشتیبانی میکند. همچنین کاربران VPN میتوانند از نوع Windows, Mac OS X, Windows Mobile و دیگر انواع کاربران VPN برپایه استاندارد IPSec باشند.
۳ – عامل تصدیق کاربر User Authentication
تعیین صحت (Authentication) و مشخص کردن حدود و اختیارات هر کدام از کاربران در محیط DHCP و پشتیبانی از پروتکل Radius میباشد.
۴ – فیلتر محتوا Content Filtering در UTM
فیلتر کردن محتوای اطلاعات دریافتی از اینترنت http و ftp بوسیله طبقه بندی (مبتذل، خشونت، …) و یک فیلتر هوشمند برای محافظت اطلاعات کارکنان و منابع شبکه ای سازمان.
۵ – مدیریت امنیت دیواره آتش Firewall Security Management
این نرم افزار یک ابزار گرافیکی با امنیت بالا برای مدیریت از راه دور Secure point Network Firewall, VPN و Anti Virus/Content Filter است. Secure point Security Manager شما را از خطرات ناشی از مشکلات امنیتی مرورگرها حفظ میکند (برخی دیوارههای آتش از یک مرورگر معمولی برای پیکربندی استفاده میکنند و مرورگرها هم مسائل امنیتی خاص خود را دارند) و همچنین رمزنگاری در آن پیاده سازی شده است.
۶ – فیلتر ایمیلهای ناخواسته Spam Filter
پیشگیری و مسدود کردن ایمیلهای ناخواسته برای پروتکلهای SMTP و POP3
۷ – ضد ویروس Antivirus
ترکیب و جمع چند اتصال فیزیکی شبکه و اجتماع آنها در یک اتصال منطقی بهمحافظت در برابر ویروسها، تروجانها، کرمها و کدهای مخرب، برنامههای جاسوسی (Spyware) برای پروتکلهای وب (FTP ,HTTP) و ایمیل (SMTP, POP3) . نرم افزار آنتی ویروس Securepoint پروتکلهای زیر را پشتیبانی میکند:
SMTP – SMTP Antivirus Filtering
POP3 – POP3 Antivirus-Filtering in transparent-mode
HTTP – http Antivirus and Content Filtering
FTP – ftp Antivirus and Content Filtering
۸ – نرم افزار ضد جاسوسی Anti Spy ware
برنامههای جاسوسی برنامههای هستند که بدون اطلاع و اجازه کاربر بر روی کامپیوتر وی نصب و فعال میگردد و اقدام به جمع آوری اطلاعات درباره فعالیتهای کاربر و ارسال آنها به سایتهای خاص مینمایند. اثرات و عوارض این برنامههای جاسوسی از کند شدن تا سرقت اطلاعات شخصی و رمزهای عبور کاربر هستند. بخش ضد جاسوسی Secure point نه تنها از ورود برنامههای جاسوسی، تبلیغاتی. سایر برنامههای مخرب به داخل شبکه جلوگیری میکند بلکه از ارسال اطلاعات داخل به بیرون (حتی در صورت آلودگی سیستمهای شبکه به برنامههای جاسوسی) نیز جلوگیری مینماید.
۹ – Traffic shaping
تعیین حق تقدم برای اطلاعات مهم و پشتیبانی برنامههای خاص همانند VoIP بوسیله تخصیص پهنای باند مشخص و سرویس دهی بهینه.
۱۰ – IDS/IPS
این دیواره آتش با داشتن سیستم هوشمند شناسائی حملات قادر به شناسایی، ضبط، تحلیل و گزارش حملات به سیستم و تشخیص هر گونه فعالیتهای مشکوک میباشد همچنین IDS/IPS تکمیل کننده ای جهت سیستم شناسائی و مانع نفوذ به شبکه میباشد.
مهمترین سرویسهای امنیتی تشکیل دهنده سیستم UTM
فایروال UTM
فایروال وسیلهای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف میکند. علاوه بر آن از آنجایی که معمولاً یک فایروال بر سر راه ورودی یک شبکه مینشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته میشود. مشخصههای مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:
۱- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصههای بسیار مهم یک فایروال به شمار میرود و به مدیران شبکه این امکان را میدهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه میتواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب، مدیر میتواند به راحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.
۲- بازدید حجم بالایی از بستههای اطلاعات: یکی از تستهای یک فایروال، توانایی آن در بازدید حجم بالایی از بستههای اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال میتواند کنترل کند برای شبکههای مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود. عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیتها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل میشوند. عامل محدودکننده دیگر میتواند کارتهای واسطی باشد که بر روی فایروال نصب میشوند. فایروالی که بعضی کارها مانند صدور اخطار، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر میسپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.
۳- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است. در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکهها میشود به پیکربندی غلط فایروال بر میگردد؛ لذا پیکربندی سریع و ساده یک فایروال، امکان بروز خطا را کم میکند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار مهم است.
۴- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است. فایروالی که نتواند امنیت خود را تامین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال، تامین کننده امنیت فایروال و شبکه است: الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار میکند،
نقاط ضعف امنیتی سیستم عامل، میتواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است. ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها میتواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد. تعدادی از ویژگیهای فایروال عبارتند از:
Dynamic/static NAT and PAT on both inside and outside addresses
Policy-based NAT
Could be integrate with the external URL filtering softwares
SSH and Telnet for configuration
TACACS+ and RADIUS
Secure Management access through 3DES encryption standard
Up to 80,000 ACLs
Standard ACL for Open Shortest Path First (OSPF) route redistribution
Per-user ACLs
Routing Information Protocol (RIP) v1 and OSPF Dynamic routing protocol
Protection from Denial of Service (DoS)
DNS Guard
Flood Defender
Flood Guard
TCP Intercept
Unicast Reverse Path Forwarding (uRPF)
Mail Guard
FragGuard and Virtual Reassembly
Internet Control Message Protocol (ICMP) stateful inspection
User Datagram Protocol (UDP) rate control
ARP Inspection
Dynamic Host Control Protocol (DHCP)
Stateful failover
H.323 v3 and 4 intrusion detection (or prevention) system
یک سیستم تشخیص نفوذ عبارتست از ابزاری که منحصرا برای پایش دروازههای اطلاعاتی، فعالیتهای خصمانه و نفوذهای شناخته شده پیکربندی شدهاست. یک IDS یک ابزار تخصصی است که به خوبی قادر است تا ترافیک شبکه و یا فعالیتهای میزبانهای آنرا تجزیه و تحلیل کند. دادههای تحلیل شده میتواند از آنالیز بستههای شبکه گرفته تا محتوای فایلهای Log متعلق به فایروالها، روترها و سرویسدهندهها و نیز فایلهای Log سیستمهای محلی و دادههای جریان شبکه را شامل شود.
بعلاوه، یک IDS معمولاً دارای یک پایگاهداده از الگوها و مشخصههای حملات شناخته شده است که میتواند این الگوها و مشخصهها را با دادههای ترافیک شبکه و رفتار شبکه برای یافتن موارد انطباق مقایسه کند. در مواجهه با موارد یافته شده ترافیک خطرناک،
سیستم تشخیص نفوذ میتواند هشدارهایی را اعلام کرده و یا اقدامات خودکار مختلفی را همچون قطع جلسه ارتباطی یا لینک اینترنتی مبدأ حمله، مسدود کردن وی با بهروز کردن قواعد فایروال و یا انجام دادن فعالیتهای بیشتر در جهت شناخت دقیقتر نفوذکننده و جمعآوری شواهد بیشتری در مورد فعالیتهای شرورانه انجام دهد.
درصورتی که یک سیستم IDS توان پیشگیری ازنفوذ را نیز داشته باشند به عنوان IPS معرفی میشوند؛ که در این حالت معمولاً سیستم تشخیص نفوذ یا با فایروال در ارتباط بوده و بستهها را از آن دریافت میکند و یا اینکه خود در لایههای پایینی هم سطح فایروال قرار داشته و فعالیت جلوگیری از نفوذ را نیز انجام میدهد.
IDP Policies: Multiple, Custom
User-based policy creation
Automatic real-time updates
Protocol Anomaly Detection
Block HTTP Proxy traffic
P2P applications signatures
IP logging
NTP Synchronization
VPN یو تی ام
VPN دو کامپیوتر یا دو شبکه را به کمک یک شبکه دیگر که به عنوان مسیر انتقال به کار میگیرد به هم متصل میکند. برای نمونه میتوان به دو کامپیوتر یکی در تهران و دیگری در مشهد که در فضای اینترنت به یک شبکه وصل شدهاند اشاره کرد. VPN از نگاه کاربر کاملا” مانند یک شبکه محلی به نظر میرسد.
برای پیاده سازی چنین چیزی، VPN به هر کاربر یک ارتباط IP مجازی میدهد. دادههایی که روی این ارتباط آمد و شد دارند را سرویس گیرنده نخست به رمز در آورده و در قالب بستهها بسته بندی کرده و به سوی سرویس دهنده VPN میفرستد. اگر بستر این انتقال اینترنت باشد بستهها همان بستههای IP خواهند بود. سرویس گیرنده VPN بستهها را پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام میدهد. تعدادی از ویژگیهای VPN عبارتند از:
IPSec, L2TP, PPTP Support
Provides site-to-site IPSec, remote-access IPSec,
Encryption – 3DES, DES, AES, Twofish, Blowfish, Serpent , …
Hash Algorithms – MD5, SHA-1
Authentication – Preshared key, Digital certificates
IPSec NAT Traversal
Dead peer detection and PFS support
Diffie Hellman Groups – 1,2,5,14,15,16…
External Certificate Authority support
Export Road Warrior connection configuration
Domain name support for tunnel end points
VPN connection redundancy
آنتی ویروس UTM
ویروسها برنامههایی هستند که به شکل پنهانی، موقع اجرا شدن برنامه آلوده خود را به برنامههای اجرایی نظیر فایلهای COM و EXE میچسبانند و معمولاً بدون اینکه تاثیری در کار اصلی برنامه آلوده بگذارند، منتظر زمان فعالیت نهایی یا برقراری شرط خاصی میشوند. حال این فعالیت میتواند بزرگتر کردن فایلهای مختلف DATA باشد، یا آلوده کردن فایلهای اجرایی و یا از بین بردن اطلاعات PARTITION TABLE، معدوم کردن اطلاعا ت با ارزش یا از کار انداختن فایلهای اجرایی و … باشد. ولی در هر حال یک چیز در اکثر ویروسها مشترک میباشد و آن انتقال ویروس از فایلهای آلوده به فایلهای سالم است.
نرمافزارهای آنتی ویروس تمام فایلها را به طور خودکار بررسی کرده و فایلهایی که دارای گونههای شناخته شده ویروسها هستند را شناسایی و عکسالعمل مناسب انجام میدهند. تعدادی از ویژگیهای ابزارهای آنتیویروس به صورت ذیل است:
Virus, Worm, Trojan Detection & Removal
Spyware, Malware, Phishing protection
Automatic virus signature database update
Scans HTTP, FTP, SMTP, POP3, IMAP
Customize individual user scanning
Self Service Quarantine area
Scan and deliver by file size
Block by file types
Add disclaimer/signature
Anti-Spam یو تی ام
اسپم در کامپیوتر به ایمیلهایی گفته میشود که به طور ناخواسته برای ما فرستاده میشوند و جنبه تبلیغاتی دارند. راههای مختلفی برای مقابله با اسپمها در جاهای مختلف آمده و حتی یاهو هم یک آنتی اسپم را برای کاربرانش پیشنهاد کرده است. تعدادی از ویژگیهای آنتی اسپم عبارتند از:
Real-time Blacklist (RBL)
MIME header check
Filter based on message header, size, sender, recipient
Subject line tagging
IP address blacklist/exempt list
Redirect spam mails to dedicated email address
Image-based spam filtering using RPD Technology
Zero hour Virus Outbreak Protection
فیلترینگ UTM
فیلتر ابزاری است که به منظور تصفیه اتصالات وب استفاده میشود. در کشورهای مختلف دنیا فیلترینگ به دو روش انجام میشود: فیلتر کردن نشانیهای اینترنتی براساس یک لیست سیاه (در یک پایگاه داده)، و فیلتر کردن براساس محتوای هر صفحه اینترنتی. روش دوم در دنیا به فیلتر محتوا (content filter) معروف است که برای پهنای باند خیلی بالا قابل انجام نیست. تعدادی از ویژگیهای سیستم فیلترینگ عبارتند از:
Inbuilt Web Category Database
URL, keyword, File type block
Default Categories
Define Custom Categories
HTTP Upload block
Block Malware, Phishing, Pharming URLs
Custom block messages per category
Block Java Applets, Cookies, Active X
CIPA Compliant
مطلبی دیگر از این انتشارات
هماهنگ و خودکار؛ ابزارهای اتوماسیون و ارکستراسیون شبکه
مطلبی دیگر از این انتشارات
مفهوم Hardening چیست؟
مطلبی دیگر از این انتشارات
مشکلات استفاده از روتر به جای سامانه اکانتینگ اینترنت