‏UTM چیست؟

در ادامه مطالبی که در خصوص شبکه و نحوه مدیریت آن در انتشارات شرکت مهندسین تحلیلگران آتی‌نگر منتشر می‌شود، در این بخش نگاهی به سیستم مدیریت یکپارچه تهدیدات یا همان UTM داشته ایم. شما مخاطبان عزیز برای مطالعه مطالب تخصصی‌تر می‌توانید به وبلاگ سایت شرکت آتی‌نگر به آدرس زیر مراجعه نمایید.

https://atinegar.com/category/things-an-admin-should-know/

‏UTM عبارتست از سیستم مدیریت یکپارچه تهدیدات، شامل مجموعه ای کامل و جامع از تمامی راهکارهای امنیتی:

برقراری دیوار آتش Identity Based Firewall

ایجاد شبکه خصوصی مجازی Virtual Private NetworkVPN

ضدویروس Anti-Virus – ضدهرزنامه Anti-Spam

شناسایی و جلوگیری از نفوذگران Intrusion Detection and Prevention

فیلترینگ محتوی Content Filtering

مدیریت پهنای باند Bandwidth management

ضد جاسوس افزار، ضد برنامه‌های کلاهبرداری Anti-Spyware/Anti-Phishing/AntiPharming

با توجه به گوناگونی و تنوع ابزارهای امنیت اطلاعات و شبکه، چرا یو تی ام پیشنهاد می‌شود؟ در پاسخ، برخی از مزایای UTM را نام می‌بریم:
امکان مدیریت واحد و مجتمع جهت:

  • فیلترینگ براساس محتوی
  • کنترل ویروس‌ها و هرزنامه‌ها
  • دیوار آتشین و ایجاد شبکه‌های خصوصی مجازی
  • امکان نصب آسان در شبکه
  • بهره گیری از سیستم‌های دفاعی جهت واکنش سریع و بلادرنگ به هرگونه تهدید شبکه ای
  • مقرون به صرفه بودن از لحاظ اقتصادی و کم بودن هزینه‌های نصب و نگهداری سیستم
  • بالا بردن بهره وری شبکه
  • امکان کنترل متمرکز
  • ایجاد محیط امن و سالم در شبکه
  • توانایی بالا در گزارش گیری و ارائه گزارشات متنوع به مدیر شبکه

وظایف امنیتی UTM چیست؟

دیواره آتش، جلوگیری از نفوذ، ضد ویروس، ضد هرز نامه، شبکه اختصاصی مجازی، فیلترینگ محتوا، گزارش گیری و … بازار سیستم مدیریت یکپارچه تهدیدات در سراسر جهان به ارزش حدود ۱٫۲ میلیارد دلار در سال ۲۰۰۷ رسید و پیش بینی می‌شود تا سال ۲۰۱۱ نرخ رشد سالانه ۳۵ تا ۴۰ درصدی داشته باشد. واژه سیستم مدیریت یکپارچه در اصل توسط شرکت IDC که شرکت پژوهش بازار است ابداع شد. مزایای امنیت یکپارچه در این نهفته شده‌است که در حقیقت بجای اجرای سیستم‌های متعدد که به صورت جداگانه هر کدام سرویس‌های مختلفی را ارائه دهند (آنتی ویروس، فیلترینگ محتوا، جلوگیری از نفوذ و توابع فیلتر کردن هرزنامه) یک دستگاه تمامی این سرویس‌ها را به صورت یکپارچه ارائه دهد. سازمان‌ها با استفاده از دستگاه‌های UTM دارای انعطاف پذیری بیشتری هستند. از مزیت‌های اصلی UTM می‌توان به سادگی، نصب و استفاده کارآمد و توانایی به روز رسانی تمامی توابع امنیتی اشاره کرد.

تاریخچه‌ای پیرامون UTM

اولین ویرایش‌های سیستم مدیریت یکپارچه تهدیدات با نام UTM، از اوایل سال ۲۰۰۳ ایجاد شده است. با توجه به بررسی‌های انجام گرفته اولین محصول UTM توسط شرکت ServGate‌ به بازار ارائه شده است. از آن زمان تاکنون شرکتهای بسیاری وارد این عرصه شده‌اند که بعضا محصول خود را به صورت نرم افزاری و بعضا همراه با سخت افزار ارائه می‌نمایند.
راهکار استفاده از UTM در مواجهه با حملات روز افزون علیه سیستم‌های اطلاعاتی سازمان‌ها از طریق هک، ویروس‌ها، کرم امنیتی (ترکیبی از حملات و تهدیدهای خارجی و داخلی) ضروری به نظر می‌رسد. به علاوه تکنیک‌هایی که کاربران سازمان‌ها را به عنوان لینک‌های ارتباطی ضعیف مورد هدف قرار می‌دهند، عواقبی فراتر از حد تصور در پی دارند. در حال حاضر امنیت داده‌ها و دسترسی غیر مجاز کارمندان به عمده‌ترین نگرانی شرکت‌ها تبدیل شده‌است. به این دلیل هدف‌های مخرب و از دست رفتن اطلاعات منجر به ضررهای زیاد مالی برای شرکت‌ها شده‌است. اصولا این دستگاه‌های از فناوری ASIC سخت افزاری استفاده می‌کنند تا بالاترین performance را داشته باشند.

سرویس‌های امنیتی تشکیل دهنده UTM

از آنجایی که یک محصول UTM تعداد زیادی سرویس امنیتی را در درون خود بکارگیری می‌کند، لذا حجم زیادی از توان پردازنده و حافظه را به خود اختصاص می‌دهد، و شرکت‌های معتبر تولید کننده UTM، از سخت‌افزارهای قوی و بکارگیری تکنیک‌های مختلف سخت‌افزاری و نرم‌افزاری در جهت افزایش Performance سیستم‌های خود استفاده می‌کنند. Performance Acceleration به منظور افزایش کارایی یک سامانه UTM اجرا می‌شود.

به این منظور معمولاً فعالیت بخش‌هایی از سیستم که نیاز به حجم پردازنده بالایی دارد را به سخت‌افزار واگذار می‌کنند؛ به طور مثال بجای استفاده از VPN و یا IPS نرم‌افزاری از نمونه‌های معادل آن که به صورت سخت‌افزاری تولید شده‌اند، استفاده می‌شود. به این ترتیب هر سرویس امنیتی به صورت یک کارت سخت‌افزاری طراحی و در سامانه UTM مورد استفاده قرار گرفته و کارایی را فوق‌العاده افزایش می‌دهد.

معرفی مختصر زیر مجموعه‌های UTM

‏‏۱ – دیواره آتش شبکه Network Firewall

دیواره آتش Secure point ترافیک ورودی و خروجی شبکه و همچنین ترافیک بین شبکه‌های داخلی را کنترل می‌کند. مدیر شبکه می‌تواند دسترسی به پروتکل را به هر شبکه داخلی، سرویس دهنده، هر سرویس و هر گروه از کاربران اجازه استفاده داده و یا مسدود نماید.

‏‏‏‏۲ – UTM و شبکه خصوصی مجازی VPN

در قسمت VPN Secure point از روش‌های مختلف رمزگذاری داده‌ها (Data Encryption) استفاده می‌کند تا یک تونل امن بر روی بستر عمومی اینترنت ایجاد کند. برای پاسخگوئی به هر نیاز، Secure point VPN با انواع ساختارهای VPN سازگاری دارد مانند Host to Host, Net to Net & Host to net. Secure point VPN انواع پروتکل‌های VPN نظیر IPSec, L2TP Over IPSec, PPTP را پشتیبانی می‌کند. همچنین کاربران VPN می‌توانند از نوع Windows, Mac OS X, Windows Mobile و دیگر انواع کاربران VPN برپایه استاندارد IPSec باشند.

۳ – عامل تصدیق کاربر User Authentication

تعیین صحت (Authentication) و مشخص کردن حدود و اختیارات هر کدام از کاربران در محیط DHCP و پشتیبانی از پروتکل Radius می‌باشد.

۴ – فیلتر محتوا Content Filtering در UTM

فیلتر کردن محتوای اطلاعات دریافتی از اینترنت http و ftp بوسیله طبقه بندی (مبتذل، خشونت، …) و یک فیلتر هوشمند برای محافظت اطلاعات کارکنان و منابع شبکه ای سازمان.

۵ – مدیریت امنیت دیواره آتش Firewall Security Management

این نرم افزار یک ابزار گرافیکی با امنیت بالا برای مدیریت از راه دور Secure point Network Firewall, VPN و Anti Virus/Content Filter است. Secure point Security Manager شما را از خطرات ناشی از مشکلات امنیتی مرورگرها حفظ می‌کند (برخی دیواره‌های آتش از یک مرورگر معمولی برای پیکربندی استفاده می‌کنند و مرورگرها هم مسائل امنیتی خاص خود را دارند) و همچنین رمزنگاری در آن پیاده سازی شده است.

۶ – فیلتر ایمیل‌های ناخواسته Spam Filter

پیشگیری و مسدود کردن ایمیل‌های ناخواسته برای پروتکل‌های SMTP و POP3

۷ – ضد ویروس Antivirus

ترکیب و جمع چند اتصال فیزیکی شبکه و اجتماع آن‌ها در یک اتصال منطقی بهمحافظت در برابر ویروس‌ها، تروجانها، کرم‌ها و کدهای مخرب، برنامه‌های جاسوسی (Spyware) برای پروتکل‌های وب (FTP ,HTTP) و ایمیل (SMTP, POP3) . نرم افزار آنتی ویروس Securepoint پروتکل‌های زیر را پشتیبانی می‌کند:

‏‏‏‏‏SMTP – SMTP Antivirus Filtering

‏‏‏‏‏POP3 – POP3 Antivirus-Filtering in transparent-mode

‏‏‏‏‏HTTP – http Antivirus and Content Filtering

‏‏‏‏‏FTP – ftp Antivirus and Content Filtering

۸ – نرم افزار ضد جاسوسی Anti Spy ware

برنامه‌های جاسوسی برنامه‌های هستند که بدون اطلاع و اجازه کاربر بر روی کامپیوتر وی نصب و فعال می‌گردد و اقدام به جمع آوری اطلاعات درباره فعالیت‌های کاربر و ارسال آنها به سایتهای خاص می‌نمایند. اثرات و عوارض این برنامه‌های جاسوسی از کند شدن تا سرقت اطلاعات شخصی و رمزهای عبور کاربر هستند. بخش ضد جاسوسی Secure point نه تنها از ورود برنامه‌های جاسوسی، تبلیغاتی. سایر برنامه‌های مخرب به داخل شبکه جلوگیری می‌کند بلکه از ارسال اطلاعات داخل به بیرون (حتی در صورت آلودگی سیستم‌های شبکه به برنامه‌های جاسوسی) نیز جلوگیری می‌نماید.

‏‏‏‏‏۹ – Traffic shaping

تعیین حق تقدم برای اطلاعات مهم و پشتیبانی برنامه‌های خاص همانند VoIP بوسیله تخصیص پهنای باند مشخص و سرویس دهی بهینه.

‏‏‏‏‏۱۰ – IDS/IPS

این دیواره آتش با داشتن سیستم هوشمند شناسائی حملات قادر به شناسایی، ضبط، تحلیل و گزارش حملات به سیستم و تشخیص هر گونه فعالیتهای مشکوک می‌باشد همچنین IDS/IPS تکمیل کننده ای جهت سیستم شناسائی و مانع نفوذ به شبکه می‌باشد.

مهم‌ترین سرویس‌های امنیتی تشکیل دهنده سیستم UTM

فایروال UTM

فایروال وسیله‌ای است که کنترل دسترسی به یک شبکه را بنابر سیاست امنیتی شبکه تعریف می‌کند. علاوه بر آن از آنجایی که معمولاً یک فایروال بر سر راه ورودی یک شبکه می‌نشیند لذا برای ترجمه آدرس شبکه نیز بکار گرفته می‌شود. مشخصه‌های مهم یک فایروال قوی و مناسب جهت ایجاد یک شبکه امن عبارتند از:

۱- توانایی ثبت و اخطار :ثبت وقایع یکی از مشخصه‌های بسیار مهم یک فایروال به شمار می‌رود و به مدیران شبکه این امکان را می‌دهد که انجام حملات را کنترل کنند. همچنین مدیر شبکه می‌تواند با کمک اطلاعات ثبت شده به کنترل ترافیک ایجاد شده توسط کاربران مجاز بپردازد. در یک روال ثبت مناسب، مدیر می‌تواند به راحتی به بخشهای مهم از اطلاعات ثبت شده دسترسی پیدا کند. همچنین یک فایروال خوب باید بتواند علاوه بر ثبت وقایع، در شرایط بحرانی، مدیر شبکه را از وقایع مطلع کند و برای وی اخطار بفرستد.

۲- بازدید حجم بالایی از بسته‌های اطلاعات: یکی از تستهای یک فایروال، توانایی آن در بازدید حجم بالایی از بسته‌های اطلاعاتی بدون کاهش چشمگیر کارایی شبکه است. حجم داده ای که یک فایروال می‌تواند کنترل کند برای شبکه‌های مختلف متفاوت است اما یک فایروال قطعا نباید به گلوگاه شبکه تحت حفاظتش تبدیل شود. عوامل مختلفی در سرعت پردازش اطلاعات توسط فایروال نقش دارند. بیشترین محدودیت‌ها از طرف سرعت پردازنده و بهینه سازی کد نرم افزار بر کارایی فایروال تحمیل می‌شوند. عامل محدودکننده دیگر می‌تواند کارتهای واسطی باشد که بر روی فایروال نصب می‌شوند. فایروالی که بعضی کارها مانند صدور اخطار، کنترل دسترسی مبنی بر URL و بررسی وقایع ثبت شده را به نرم افزارهای دیگر می‌سپارد از سرعت و کارایی بیشتر و بهتری برخوردار است.

۳- سادگی پیکربندی: سادگی پیکربندی شامل امکان راه اندازی سریع فایروال و مشاهده سریع خطاها و مشکلات است. در واقع بسیاری از مشکلات امنیتی که دامنگیر شبکه‌ها می‌شود به پیکربندی غلط فایروال بر می‌گردد؛ لذا پیکربندی سریع و ساده یک فایروال، امکان بروز خطا را کم می‌کند. برای مثال امکان نمایش گرافیکی معماری شبکه و یا ابزرای که بتواند سیاستهای امنیتی را به پیکربندی ترجمه کند، برای یک فایروال بسیار مهم است.

۴- امنیت و افزونگی فایروال: امنیت فایروال خود یکی از نکات مهم در یک شبکه امن است. فایروالی که نتواند امنیت خود را تامین کند، قطعا اجازه ورود هکرها و مهاجمان را به سایر بخشهای شبکه نیز خواهد داد. امنیت در دو بخش از فایروال، تامین کننده امنیت فایروال و شبکه است: الف- امنیت سیستم عامل فایروال : اگر نرم افزار فایروال بر روی سیستم عامل جداگانه ای کار می‌کند،

نقاط ضعف امنیتی سیستم عامل، می‌تواند نقاط ضعف فایروال نیز به حساب بیاید. بنابراین امنیت و استحکام سیستم عامل فایروال و بروزرسانی آن از نکات مهم در امنیت فایروال است. ب- دسترسی امن به فایروال جهت مقاصد مدیریتی : یک فایروال باید مکانیزمهای امنیتی خاصی را برای دسترسی مدیران شبکه در نظر بگیرد. این روشها می‌تواند رمزنگاری را همراه با روشهای مناسب تعیین هویت بکار گیرد تا بتواند در مقابل نفوذگران تاب بیاورد. تعدادی از ویژگی‌های فایروال عبارتند از:

Dynamic/static NAT and PAT on both inside and outside addresses
Policy-based NAT
Could be integrate with the external URL filtering softwares
SSH and Telnet for configuration
TACACS+ and RADIUS
Secure Management access through 3DES encryption standard
Up to 80,000 ACLs
Standard ACL for Open Shortest Path First (OSPF) route redistribution
Per-user ACLs
Routing Information Protocol (RIP) v1 and OSPF Dynamic routing protocol
Protection from Denial of Service (DoS)
DNS Guard
Flood Defender
Flood Guard
TCP Intercept
Unicast Reverse Path Forwarding (uRPF)
Mail Guard
FragGuard and Virtual Reassembly
Internet Control Message Protocol (ICMP) stateful inspection
User Datagram Protocol (UDP) rate control
ARP Inspection
Dynamic Host Control Protocol (DHCP)
Stateful failover
H.323 v3 and 4 intrusion detection (or prevention) system

یک سیستم تشخیص نفوذ عبارتست از ابزاری که منحصرا برای پایش دروازه‌های اطلاعاتی، فعالیتهای خصمانه و نفوذهای شناخته شده پیکربندی شده‌است. یک IDS یک ابزار تخصصی است که به خوبی قادر است تا ترافیک شبکه و یا فعالیتهای میزبانهای آنرا تجزیه و تحلیل کند. داده‌های تحلیل شده می‌تواند از آنالیز بسته‌های شبکه گرفته تا محتوای فایلهای Log متعلق به فایروال‌ها، روترها و سرویس‌دهنده‌ها و نیز فایلهای Log سیستم‌های محلی و داده‌های جریان شبکه را شامل شود.

بعلاوه، یک IDS معمولاً دارای یک پایگاه‌داده از الگوها و مشخصه‌های حملات شناخته شده است که می‌تواند این الگوها و مشخصه‌ها را با داده‌های ترافیک شبکه و رفتار شبکه برای یافتن موارد انطباق مقایسه کند. در مواجهه با موارد یافته شده ترافیک خطرناک،

سیستم تشخیص نفوذ می‌تواند هشدارهایی را اعلام کرده و یا اقدامات خودکار مختلفی را همچون قطع جلسه ارتباطی یا لینک اینترنتی مبدأ حمله، مسدود کردن وی با به‌روز کردن قواعد فایروال و یا انجام دادن فعالیتهای بیشتر در جهت شناخت دقیق‌تر نفوذکننده و جمع‌آوری شواهد بیشتری در مورد فعالیتهای شرورانه انجام دهد.

درصورتی که یک سیستم IDS توان پیشگیری ازنفوذ را نیز داشته باشند به عنوان IPS معرفی می‌شوند؛ که در این حالت معمولاً سیستم تشخیص نفوذ یا با فایروال در ارتباط بوده و بسته‌ها را از آن دریافت می‌کند و یا اینکه خود در لایه‌های پایینی هم سطح فایروال قرار داشته و فعالیت جلوگیری از نفوذ را نیز انجام می‌دهد.

IDP Policies: Multiple, Custom
User-based policy creation
Automatic real-time updates
Protocol Anomaly Detection
Block HTTP Proxy traffic
P2P applications signatures
IP logging
NTP Synchronization

‏‏‏‏‏VPN یو تی ام

‏‏‏‏‏VPN دو کامپیوتر یا دو شبکه را به کمک یک شبکه دیگر که به عنوان مسیر انتقال به کار می‌گیرد به هم متصل می‌کند. برای نمونه می‌توان به دو کامپیوتر یکی در تهران و دیگری در مشهد که در فضای اینترنت به یک شبکه وصل شده‌اند اشاره کرد. VPN از نگاه کاربر کاملا” مانند یک شبکه محلی به نظر می‌رسد.

برای پیاده سازی چنین چیزی، VPN به هر کاربر یک ارتباط IP مجازی می‌دهد. داده‌هایی که روی این ارتباط آمد و شد دارند را سرویس گیرنده نخست به رمز در آورده و در قالب بسته‌ها بسته بندی کرده و به سوی سرویس دهنده VPN می‌فرستد. اگر بستر این انتقال اینترنت باشد بسته‌ها همان بسته‌های IP خواهند بود. سرویس گیرنده VPN بسته‌ها را پس از دریافت رمز گشایی کرده و پردازش لازم را روی آن انجام می‌دهد. تعدادی از ویژگی‌های VPN عبارتند از:

IPSec, L2TP, PPTP Support
Provides site-to-site IPSec, remote-access IPSec,
Encryption – 3DES, DES, AES, Twofish, Blowfish, Serpent , …
Hash Algorithms – MD5, SHA-1
Authentication – Preshared key, Digital certificates
IPSec NAT Traversal
Dead peer detection and PFS support
Diffie Hellman Groups – 1,2,5,14,15,16…
External Certificate Authority support
Export Road Warrior connection configuration
Domain name support for tunnel end points
VPN connection redundancy

آنتی ویروس UTM

ویروس‌ها برنامه‌هایی هستند که به شکل پنهانی، موقع اجرا شدن برنامه آلوده خود را به برنامه‌های اجرایی نظیر فایل‌های COM و EXE می‌چسبانند و معمولاً بدون اینکه تاثیری در کار اصلی برنامه آلوده بگذارند، منتظر زمان فعالیت نهایی یا برقراری شرط خاصی می‌شوند. حال این فعالیت می‌تواند بزرگ‌تر کردن فایلهای مختلف DATA باشد، یا آلوده کردن فایلهای اجرایی و یا از بین بردن اطلاعات PARTITION TABLE، معدوم کردن اطلاعا ت با ارزش یا از کار انداختن فایل‌های اجرایی و … باشد. ولی در هر حال یک چیز در اکثر ویروس‌ها مشترک می‌باشد و آن انتقال ویروس از فایل‌های آلوده به فایل‌های سالم است.

نرم‌افزارهای آنتی ویروس تمام فایل‌ها را به طور خودکار بررسی کرده و فایل‌هایی که دارای گونه‌های شناخته شده ویروس‌ها هستند را شناسایی و عکس‌العمل مناسب انجام می‌دهند. تعدادی از ویژگی‌های ابزارهای آنتی‌ویروس به صورت ذیل است:

Virus, Worm, Trojan Detection & Removal
Spyware, Malware, Phishing protection
Automatic virus signature database update
Scans HTTP, FTP, SMTP, POP3, IMAP
Customize individual user scanning
Self Service Quarantine area
Scan and deliver by file size
Block by file types
Add disclaimer/signature

‏‏‏‏‏Anti-Spam یو تی ام

اسپم در کامپیوتر به ایمیل‌هایی گفته می‌شود که به طور ناخواسته برای ما فرستاده می‌شوند و جنبه تبلیغاتی دارند. راه‌های مختلفی برای مقابله با اسپم‌ها در جاهای مختلف آمده و حتی یاهو هم یک آنتی اسپم را برای کاربرانش پیشنهاد کرده است. تعدادی از ویژگی‌های آنتی اسپم عبارتند از:

Real-time Blacklist (RBL)
MIME header check
Filter based on message header, size, sender, recipient
Subject line tagging
IP address blacklist/exempt list
Redirect spam mails to dedicated email address
Image-based spam filtering using RPD Technology
Zero hour Virus Outbreak Protection

فیلترینگ UTM

فیلتر ابزاری است که به منظور تصفیه اتصالات وب استفاده می‌شود. در کشورهای مختلف دنیا فیلترینگ به دو روش انجام می‌شود: فیلتر کردن نشانی‌های اینترنتی براساس یک لیست سیاه (در یک پایگاه داده)، و فیلتر کردن براساس محتوای هر صفحه اینترنتی. روش دوم در دنیا به فیلتر محتوا (content filter) معروف است که برای پهنای باند خیلی بالا قابل انجام نیست. تعدادی از ویژگی‌های سیستم فیلترینگ عبارتند از:

Inbuilt Web Category Database
URL, keyword, File type block
Default Categories
Define Custom Categories
HTTP Upload block
Block Malware, Phishing, Pharming URLs
Custom block messages per category
Block Java Applets, Cookies, Active X
CIPA Compliant


‏‏