Обзор корпоративных UTM-решений на российском рынке. Защищаем сети по периметру

Интернет Контроль Сервер позволяет решать более 80 задач, разворачивать дополнительные сетевые сервисы. Однако если приоритетной для Вас является гарантия безопасности локальной сети и устойчивость перед различными киберугрозами, Вы можете использовать в ИКС только инструменты защиты данных.

Корпоративная сеть должна быть защищена от вторжения, уничтожения или несанкционированного изменения, при этом в рабочее время быть доступна для оперативного получения данных. Абсолютную надежность локальной сети может гарантировать только комплексный подход при формировании системы информационной безопасности. ИКС КУБ осуществляет защиту:

1. Компьютерных сетей или отдельных узлов от несанкционированного доступа (межсетевой экран).
2. Локальной сети от проникновения вредоносных файлов. В Интернет Контроль Сервер интегрированы антивирусы ClamAv (бесплатный модуль), Kaspersky Anti-Virus, Dr.Web (коммерческие модули).
3. Конфиденциальной информации от утечек (модуль DLP).
4. Корпоративной сети от ботнетов.
5. Почтового сервера от спама, фишинг-атак (модуль Kaspersky Anti-Spam).
6. Телефонии (сервис fail2ban).

ИКС КУБ – программно-аппаратное решение, и это позволяет не только исключить возможность затрат на дополнительное ПО и оборудование, но и значительно повысить степень защищенности сети.

Управление и мониторинг

ИКС КУБ с возможностью централизованного управления позволяет значительно облегчить работу системного администратора в многофилиальных организациях, где структурные подразделения находятся в физически удаленных офисах. Решение выполняет все требования, предъявляемые в момент настройки системы, рабочего процесса и восстановления после сбоя, позволяя специалисту выполнить все настройки из одного интерфейса.

Журналы. Отчеты

Данный функционал особенно важен для системных администраторов, так как позволяет отслеживать активность пользователей за любой необходимый период.

Стандартные отчеты в ИКС:

• общий сводный отчет;
• по активности пользователей;
• потребление по объему трафика;
• топ 5 IP-адресов и доменов.

Также есть возможность просмотра статистики пользователей, сгруппированной по категориям трафика.

Конструктор отчетов позволяет собирать данные по критериям, которые не представлены в стандартных отчетах (по mime типам, протоколам, интерфейсам, доменам, группам адресов, источникам трафика, времени).

Системный журнал в ИКС отображает сообщения о действиях пользователей, изменения в статусах сервисов и ошибки системы. Чтоб быть в курсе происходящего и оперативно реагировать, администратор системы может выбрать интересующий тип событий, настроить уведомления на e-mail, в jabber или icq и удаленно управлять с помощью дополнительных команд.

Контроль доступа и учет трафика

Сегодня практически любая локальная сеть подключена к интернету, поэтому, во избежание нецелевого расходования трафика в рабочее время, необходимо контролировать доступ сотрудников во внешнюю сеть.

ИКС КУБ позволит:

• назначать разные права доступа для отдельных сотрудников и групп пользователей;
• ограничивать полосы пропускания для отдельных сайтов, квотировать трафик по времени и пользователям (к примеру, разрешать использование сети в личных целях в нерабочие часы);
• выбирать способ авторизации пользователей. ИКС КУБ поддерживает авторизацию по IP, MAC, логину/паролю, через контроллер домена, VPN-соединение, программу-агент;
• осуществлять фильтрацию трафика по встроенным и интегрированным категориям, спискам Минюста и Роскомнадзора;
• вести системный журнал, составлять отчеты активности пользователей (имеются встроенные стандартизированные + конструктор отчетов).

Данные возможности позволят контролировать сетевую активность каждого пользователя, зарегистрированного в сети.

Система обнаружения и защиты от вторжений (IDS/IPS)

В ИКС используется open source IPS/IDS система – Suricata (многозадачная, высокопроизводительная, поддерживает использование GPU в режиме IDS, позволяет обрабатывать трафик до 10Gbit). ИКС КУБ позволяет выявлять факты неавторизованного доступа в сеть или чрезмерной подозрительной сетевой активности пользователей.

Система предотвращения вторжений в ИКС работает через обеспечение доступности к внутренним и опубликованным сервисам. Интернет Контроль Сервер фиксирует и сохраняет информацию о подозрительной активности, блокирует ботнеты, Dos-атаки,а также TOR, анонимайзеры, p2p и торрент-клиенты.

Сетевой поток отслеживается в реальном времени, при обнаружении опасности применяются различные меры: сброс соединения, логирование выявленных сигнатур или пропуск трафика. IPS дефрагментирует пакеты, переупорядочивает пакеты TCP для защиты от пакетов с измененными SEQ и ACK номерами.

Безопасный ВПН

VPN в ИКС КУБ – виртуальная частная сеть, позволяющая объединить в единую логическую сеть пользователей, которые физически удалены друг от друга (фрилансеры, структурные подразделения в разных офисах, партнеры, сотрудники, работающие удаленно). Несмотря на то, что передача данных осуществляется через внешнюю публичную сеть, безопасность подключения и передачи данных обеспечивается за счет логической сети при помощи сверхшифрования.

ИКС КУБ поддерживает следующие типы удаленного соединения: PPTP, L2TP, PPoE, GRE/IPIP, OpenVPN.

Устойчивое и безопасное VPN-соединение в Интернет Контроль Сервере позволяет решать срочные вопросы в режиме реального времени даже в нерабочее время.

Современное UTM-решение, отличающееся простотой настройки, безопасными предустановленными настройками и наличием всех модулей глубокого анализа трафика, необходимых для обеспечения безопасной фильтрации: системы предотвращения вторжений, контроля приложений, контент-фильтра. Давай посмотрим, что умеет Ideco.

Основные возможности

Возможности Ideco ICS:

• Защита пользователей и корпоративной сети от внешних угроз - система предотвращения вторжений, контроль приложений (DPI), контентная фильтрация веб-трафика (включая HTTPS), антивирус и антиспам Касперского, защита опубликованных веб-серверов (Web Application Firewall), интеграция с DLP- и SIEM-системами, межсетевой экран.
• Комплексное управление интернет-трафиком - авторизация пользователей, балансировка каналов, ограничение, приоритизация, отчеты.
• Средства коммуникации и почта - почтовый сервер, многоуровневая фильтрация спама, защита от вирусов и фишинговых ссылок, полные возможности фильтрации при использовании в качестве релея, современный веб-интерфейс.
• Построение корпоративной сети - безопасное подключение удаленных пользователей, организация защищенных каналов между филиалами (поддержка VPN с использованием PPTP, OpenVPN, IPsec позволяет соединить в сеть практически любые маршрутизаторы или программные шлюзы), использование нескольких подключений к провайдерам, маршрутизация, интеграция с Active Directory.

Ideco ICS объединяет в себе следующие модули безопасности:
* межсетевой экран;
* система предотвращения вторжений;
* контроль приложений;
* контент-фильтр (протокол HTTP и HTTPS);
* Web Application Firewall;
* антивирусная проверка трафика;
* антиспам и проверка почтового трафика;
* защита от DoS и брутфорс-атак;
* защищенный удаленный доступ по VPN.

Web Application Firewall - это модуль межсетевого экрана для защиты опубликованных веб-приложений. Нужно отметить, что среди российских UTM-решений Ideco ICS - единственное, где присутствует такая функциональность.
Обо всем этом ты можешь прочитать и на сайте компании, поэтому предлагаю перейти сразу к практике и посмотреть, как же выглядит Ideco ICS не на бумаге, а в реальной жизни. И начнем мы с его установки.

Установка Ideco ICS

В установке нет ничего сложного - нужно скачать ISO-образ из личного кабинета пользователя , записать его на флешку или диск (как кому нравится) и загрузиться.
Установка проходит очень быстро и без осложнений. Вот ее основные моменты:
1. Нужно проверить правильность установки времени и даты в BIOS - это очень важно для интеграции с Active Directory (впрочем, если время и дата неверные, они будут автоматически синхронизированы после подключения сервера к интернету).
2. Необходимо как минимум 3800 Мбайт оперативки.
3. Поддерживаются режимы установки, обновления и восстановления (рис. 1).
4. Все данные на накопителе будут уничтожены.
5. В процессе установки нужно настроить локальный сетевой интерфейс (рис. 2) и выбрать часовой пояс.
6. Установка потребует около 4 Гбайт дискового пространства
7. Инсталлятор сообщит имя пользователя администратора и пароль (рис. 3).

Установка проходит практически без вмешательства пользователя. Все, что нужно от пользователя, - ввести IP-адрес будущего шлюза и выбрать часовой пояс.

Управление шлюзом: консоль

Перезагружаемся (рис. 4). Если присмотреться, то видно, с использованием каких компонентов построен Ideco: суперсервер xinetd, bind DNS server, nginx, Squid, KLMS и другие.

Для доступа к консоли шлюза нужно ввести пароль servicemode. Меню управления шлюзом показано на рис. 5. Команды меню:
* Мониторинг сервера - отображает информацию о загрузке процессора, использовании памяти и диска (рис. 6).
* Мониторинг сети - информация об использовании сети (bmon).
* Сетевые параметры - здесь можно изменить IP-адрес и маску шлюза, а также просмотреть текущую конфигурацию сети (рис. 7).
* Резервные копии БД - средство создания резервных копий базы данных, здесь же можно восстановить БД из резервной копии.
* Консоль - полноценная консоль, в которой можно делать все, что хочется. Лично я первым делом посмотрел, сколько места заняла установка. Чуть более 3,2 Гбайт (рис. 8).
* Сервис - открывает подменю, где можно установить IP-адрес администратора, отключить правила firewall, разрешить интернет всем и вся, разрешить доступ к серверу по SSH, сбросить пароль администратора.
* Смена пароля - позволяет изменить пароль администратора.
* Перезагрузка сервера - перезагрузка сервера, в том числе полная и мягкая, то есть перезагрузка только служб, а не всего компьютера.
* Выход - выход из консоли управления.

Веб-интерфейс

Для доступа к веб-интерфейсу (все-таки возможностей в нем больше, чем в сервисном режиме) используется URL https://IP-адрес, где IP-адрес - это адрес, указанный в настройках. Для входа используются данные, изображенные на рис. 3. Главная страница веб-интерфейса изображена на рис. 10.

Собственно, что делать после того, как вошел в веб-интерфейс? Все зависит от поставленной задачи. Если задача заключается только в предоставлении доступа к интернету группе пользователей, то нужно как минимум выбрать внешний интерфейс (через который наш сервер будет предоставлять доступ к интернету) и добавить пользователей.

Добавление внешнего интерфейса

Чтобы добавить внешний интерфейс, нужно перейти в раздел «Серверы > Интерфейсы», выбрать роль интерфейса «Внешний», ввести его название и установить сетевые параметры. Обрати внимание, что можно установить IP-адрес для проверки связи (можно использовать сервер Google - 8.8.8.8), а также выбрать резервный интерфейс, если он есть. Если имеется два внешних интерфейса, то для основного нужно установить переключатель «Основной».

Создание пользователей

В разделе «Пользователи» нужно первым делом выбрать тип авторизации (рис. 16). В самом простом случае можно выбрать авторизацию по IP. Этот вариант подойдет для небольшой сети, когда понятно, кто есть кто, а также в случаях, когда нужно быстро развернуть шлюз для доступа к интернету, а полноценная настройка еще предстоит в будущем.
На боковой панели слева находятся кнопки «Добавить группу» и «Добавить пользователя». Пользователей целесообразно объединять в группы для более простого управления ими. Создадим группу «Офис» (рис. 12).

Затем интерфейс отобразит настройки группы (рис. 13). Нажми кнопку «Создать пользователей», чтобы вызвать инструмент группового добавления пользователей (рис. 14). Нужно задать префикс имени, префикс логина пользователя, а также диапазон IP-адресов добавляемых пользователей. Конечно, можно добавлять пользователей по одному, но это не очень удобно, особенно если есть возможность это автоматизировать.

Собственно, на этом все. Осталось только на клиентах установить IP-адрес нашего сервера Ideco ICS в качестве шлюза. Если тебе лень этим заниматься, в разделе «Сервер > DHCP» можно включить DHCP-сервер и установить его параметры (рис. 16). Как минимум нужно указать диапазон IP-адресов и назначение шлюза по умолчанию клиентам.

Если поставленная задача - просто предоставить пользователям доступ к интернету, то она уже выполнена. На все про все ушло минут двадцать (вместе с установкой Ideco ICS). Если не учитывать установку самой ОС, то на чтение этой статьи ты потратишь больше времени, чем на настройку сервера.

Блокировки и всевозможные ограничения

Все, что настраивалось до этого момента, можно довольно быстро настроить на любом Linux/FreeBSD-сервере. А вот сейчас начинается самое интересное. Перейди в раздел «Сервер», «Контент-фильтр». Здесь можно выбрать, какой именно контент будет блокироваться сервером. Так, в категории «Блокировка файлов» (рис. 17) показаны типы файлов, подлежащие блокировке. А в категории «Стандартные» можно заблокировать VPN (блокируются все популярные VPN-службы и программы в любых исполнениях), торренты, веб-прокси, сайты с контентом для взрослых и прочее.

Настройка подобного контент-фильтра вручную займет определенное время. С помощью Ideco ICS можно выполнить блокировку необходимых ресурсов за пару щелчков мыши. При этом тебе не нужно настраивать ни файрвол, ни прокси.
База стандартного контент-фильтра содержит 34 категории трафика и более чем 900 тысяч URL, а расширенного еще больше - 143 категории и 500 миллионов URL. Обе базы регулярно обновляются и поддерживаются в актуальном состоянии. Кроме возможности блокировки по типам сайтов, эти же базы позволяют категоризировать веб-отчетность по потреблению пользователями трафика. Другими словами, можно будет понять, сколько часов сотрудники тратят на работу, а сколько - на развлечения или собственные интересы в рабочее время.

Преимущества Ideco ICS

Основные фишки Ideco ICS:

• Изначально все модули, службы, правила файрвола и контентной фильтрации настроены для обеспечения максимальной защиты сети и сервера.
• Многие настройки нельзя изменить, то есть систему не получится настроить небезопасно, даже при всем своем желании или неопытности.
• Простота настройки.
• Поддержка интеграции с Active Directory.
• Все пользователи и устройства должны быть обязательно авторизованы для выхода в интернет. Неавторизованный трафик запрещен, что позволяет всегда получать статистику по использованию интернета пользователями и устройствами.
• Отечественные базы контентной фильтрации (расширенного контент-фильтра), более релевантные для российского интернет-сегмента, чем западные базы.
• Полностью российское решение, включая базы фильтрации контента, антивирусов (антивирус Касперского, см. рис. 19), системы предотвращения вторжений (базы собственной разработки).
• Блокировка попыток обхода системы контентной фильтрации (анонимайзеров), включая популярные плагины к браузерам, Opera VPN, Яндекс.Турбо.
• Удобная система отчетности.

Почтовый сервер

Ideco ICS - это не только шлюз с возможностью интеграции с Active Directory. Продукт, помимо всего прочего, содержит еще и встроенный почтовый сервер, настроить который можно в разделе «Сервер > Почтовый сервер» (рис. 20).

Система предотвращения вторжений (IDS)

Ideco ICS «из коробки» оснащен системой предотвращения вторжений (IDS), которая позволяет еще и блокировать анонимайзеры. Для настройки IDS нужно перейти в раздел «Безопасность > Предотвращение вторжений» и включить IDS/IPS (рис. 21).

Вкладка «Правила» позволяет определить группы правил IDS (рис. 22). Именно здесь можно включить/выключить блокировку Opera VPN, анонимайзеров, атак и прочего.

Для работы IDS нужно минимум 8 Гбайт оперативки на сервере.
В числе возможностей - функции, обычные для системы предотвращения вторжений (блокировка атакующих, ботнетов и поиск опасных сигнатур в трафике), но, кроме того, система позволяет блокировать трафик по базе IP Reputation и GeoIP, без его глубокого анализа (что ускоряет фильтрацию трафика и повышает устойчивость к DoS- и DDoS-атакам), а также блокировать телеметрию Windows (функции слежения за пользователями данной операционной системы, что не делают продукты других вендоров).

Отчеты и статистика

Раздел «Отчеты» позволяет просмотреть и экспортировать различную статистическую информацию. Доступен экспорт отчетов в форматах HTML, CSV, XLS. Формат CSV удобен для последующего анализа отчетов в других программных продуктах.

Дополнительную информацию можно получить в обзоре от разработчиков Ideco:

Шлюз безопасности Ideco ICS - уникальное предложение на российском рынке UTM-решений: современный продукт, обеспечивающий разностороннюю защиту от сетевых угроз и при этом практически не требующий настройки. Развертывание данного решения занимает считаные минуты, а на выходе получаем полноценный шлюз со всевозможными функциями - от защиты и блокировки до поддержки Active Directory и развернутой отчетности.

В статье рассматривается роль UTM-систем в условиях требований к сетевой безопасности, предъявляемых бизнесом. Проводится базовый анализ «расстановки сил» на мировом и российском рынке. Под UTM-системами (универсальными шлюзами безопасности) будем подразумевать класс многофункциональных сетевых устройств, преимущественно фаерволов, которые содержат в себе множество функций, таких как антиспам, антивирус, защиту от вторжений (IDS/IPS) и контентную фильтрацию.

Введение

Риски использования сетей известны. Однако в современных условиях отказаться от последних уже не представляется возможным. Тем самым, остаётся лишь минимизировать их до приемлемого уровня.

Принципиально можно выделить два подхода в обеспечении комплексной безопасности. Первый часто называют классическим или традиционным. Его суть базируется на аксиоме «специализированный продукт лучше многофункционального комбайна».

Однако, вместе с ростом возможностей различных решений, начали проявляться и «узкие места» их совместного использования. Так, за счёт автономности каждого продукта, происходило дублирование функционального наполнения, что, в конечном счёте, сказывалось на быстродействии и итоговой стоимости не в лучшую сторону. Кроме того, не было гарантий, что различные решения от различных производителей будут «мирно соседствовать» друг с другом, а не конфликтовать. Это, в свою очередь, также порождало дополнительные трудности для внедрения, управления и обслуживания систем. Наконец, вставал вопрос взаимодействия различных решений между собой (обмен информацией для выстраивания «общей картины», корреляция событий и т.п.) и удобства управления ими.

С точки зрения бизнеса, любое решение должно быть эффективным не только в практическом аспекте. Важно, чтобы оно, с одной стороны, позволяло снизить итоговую стоимость владения, а с другой, не увеличило сложность инфраструктуры. Поэтому вопрос появления UTM-систем, был лишь вопросом времени.

Что такое универсальные шлюзы безопасности (UTM)?

Дадим краткое описание для наиболее популярных решений.

Fortinet (есть сертификация ФСТЭК)

Компания Fortinet предлагает широкий модельный ряд устройств, начиная с серии FortiGate-20 для небольших предприятий и офисов и заканчивая серией FortiGate-5000, предназначенной для очень больших предприятий и провайдеров. Платформы FortiGate используют операционную систему FortiOS с сопроцессорами FortiASIC и другим аппаратным обеспечением. Каждое устройство FortiGate включает в себя:

• Межсетевой экран, VPN и Traffic Shaping;
• Систему предотвращения вторжений (IPS);
• Антивирус/Противодействие действию вредоносных программ;
• Интегрированный Wi-Fi контроллер;
• Контроль приложений;
• Защиту от утечек данных;
• Поиск уязвимостей;
• Поддержку IPv6;
• Web-фильтрацию;
• Антиспам;
• Поддержку VoIP;
• Маршрутизацию/коммутацию;
• WAN-оптимизацию и web-кеширование.

Устройства получают динамические обновления от глобального исследовательского центра FortiGuard Labs. Также продукты на базе FortiGate обладают сложным сетевым функционалом, включая кластеризацию (active/active, active/passive) и виртуальные домены (VDOM), которые дают возможностью разделять сети, требующие различных политик безопасности.

Check Point (есть сертификация ФСТЭК)

Компания Check Point выделяет следующие преимущества для своих устройств Check Point UTM-1:

• Проверенные технологии, пользующиеся доверием компаний из списка Fortune 500;
• Все необходимое для защиты Вашей сети: функционал, обновления и управление безопасностью;
• Защита сетей, систем и пользователей от множества видов атак из Интернета
• Обеспечение конфиденциальности путем защиты удаленного доступа и связи между узлами;
• Быстрое и простое развертывание системы безопасности и ее администрирование благодаря наличию многих функций безопасности в одном устройстве и широкой линейке устройств для компаний любого размера - от малого офиса до крупного предприятия;
• Защита от появляющихся новых угроз при помощи службы обновлений Check Point Update Service.

Все устройства UTM могут включать такие программные блейды, как: FireWall, VPN, систему предотвращения вторжений, SSL VPN, защиту от вирусов, программ-шпионов и спама, специализированный межсетевой экран для защиты web-приложений и web-фильтрацию. По желанию, можно добавить другие программные блейды. Подробнее с техническими характеристиками можно ознакомиться .

Dell

Ещё один лидер отрасли, больше ориентированный на крупные компании, чем на средний и малый бизнес. Приобретение в 2012 компании Sonicwall благоприятно сказалось на портфеле предлагаемых решений. Все решения, от SuperMassive E10800 до TZ 100, строятся на собственной платформе Network Security SonicOS Platform и включают в себя:

• Next-Generation Firewall;
• Контроль приложений;
• Глубокое исследование пакетов (в том числе и зашифрованных с помощью SSL);
• Организация VPN и SSL VPN;
• Антивирус;
• Веб-фильтрация;
• Система предотвращения вторжений (IPS).

Подробнее с техническими характеристиками можно ознакомиться .

WatchGuard (есть сертификат ФСТЭК)

В линейке UTM компания WatchGuard представлена устройствами Firebox X на базе многоуровневой архитектуры Intelligent Layered Security. Архитектура состоит из шести слоев защиты, взаимодействующих друг с другом:

• «Внешние службы безопасности» - предлагают технологии, расширяющие защиту сети за межсетевой экран;
• «Целостность данных» - проверяет целостность пакетов и их соответствие протоколам;
• «VPN» - проверяет зашифрованные внешние соединения организации;
• Межсетевой экран с динамическим анализом ограничивает трафик от источников, до тех пунктов назначения и портов, которые разрешены в соответствии с политикой безопасности;
• «Глубокий анализ приложений» - обеспечивает их соответствие с уровнем приложений модели ISO, отсекает опасные файлы по шаблону или по типу файла, блокирует опасные команды и преобразует данные для избежания утечки;
• «Безопасность содержимого» - анализирует и упорядочивает трафик для соответствующего приложения. Примером этого являются технологии, основанные на применении сигнатур, службы блокирования спама и фильтрации URL.

Благодаря этому, подозрительный трафик динамически выявляется и блокируется, а нормальный пропускается внутрь сети.

В системе также используются собственные:

• Антивирус/система предотвращения вторжений на шлюзе;
• WebBlocker;
• SpamBlocker.

Подробнее с техническими характеристиками можно ознакомиться .

Sophos (есть сертификат ФСТЭК)

Модельный ряд устройств компании представлен линейкой UTM xxx (от младшей модели UTM 100 до старшей UTM 625). Основные отличия заключаются в пропускной способности.

Решения включают ряд интегрированных сетевых приложений:

• DPI межсетевой экран;
• Система обнаружения вторжений и веб-фильтрация;
• Безопасность и защита электронной почты
• Контент-фильтры;
• Антивирусный контроль трафика;
• Сетевой сервис (VLAN, DNS, DHCP, VPN);
• Отчетность.

Решения позволяют обеспечить безопасность и защиту сетевых сегментов и сетевых сервисов в телекоммуникационной инфраструктуре SOHO, SME, Enterprise, ISP и обеспечить контроль и тонкую очистку IP-трафика на сетевом уровне. уровнях приложений (FW, IDS/IPS, VPN, Mail Security, WEB/FTP/IM/P2P Security, Анти-вирус, Анти-спам).

Подробнее с техническими характеристиками можно ознакомиться .

NETASQ

Компания NETASQ, входящая в корпорацию EADS, специализируется на создании межсетевых экранов оборонного класса для надёжной защиты сетей любого масштаба. UTM-устройства NETASQ имеют сертификаты НАТО и Евросоюза, а также соответствуют классу EAL4+ «Общих критериев оценки защищенности информационных технологий».

В преимущества своих продуктов компания выделяет:

1. NETASQ Vulnerability Manager;
2. Антиспам с фильтрацией рассылок;
3. Интеграцию с «Антивирусом Касперского»;
4. Фильтрацию URL с непрерывным обновлением из облака;
5. Фильтрацию внутри SSL/TLS;
6. VPN-решения с аппаратным ускорением;

В портфеле компании присутствуют как аппаратные, так и виртуальные UTM-экраны (серия U и серия V соответственно). Серия V сертифицирована Citrix и VMware. Серия U, в свою очередь, имеет внушительное время наработки на отказ (MTBF) - 9-11 лет.

Подробнее с техническими характеристиками можно ознакомиться .

Cisco (есть сертификат ФСТЭК)

Компания предлагает решения как для крупного (Cisco ASA ХХХХ Series), так и для малого/среднего бизнеса (Cisco Small Business ISA ХХХ Series). Решения поддерживают функции:

• Контроля приложений и поведения приложений;
• Веб-фильтрации;
• Защиты от ботнетов;
• Защиты от интернет-угроз в режиме, максимально приближенному к реальному времени;

Также обеспечивается:

• Поддержка двух сетей VPN для связи между офисами и партнерами, с расширением до 25 (ASA 5505) или 750 (ASA 5520) сотрудников
• Поддержка от 5 (ASA 5505) до 250 (ASA 5550) пользователей локальной сети из любой точки

Подробнее с техническими характеристиками можно ознакомиться .

Juniper Networks

Функциональное направление UTM поддерживают линейки устройств SRX Series и J Series.

В основные преимущества относят:

• Всестороннюю многоуровневую защиту, включающую защиту от вредоносного ПО, IPS, фильтрацию URL-адресов, контентную фильтрацию и анти-спам;
• Контроль и защиту приложений с применением политик на основе пользовательских ролей для противодействия атакам на приложения и сервисы Web 2.0;
• Предустановленные, быстро подключаемые инструменты UTM;
• Минимальные затраты на приобретение и содержание защищённого шлюза в рамках единого производителя защитного комплекса.

Решение состоит из нескольких компонент:

• Антивирус. Защищает сеть от вредоносніх программ, вирусов, шпионских программ, червей, троянов и других атак, а также от почтовых и веб-угроз, которые могут подвергнуть риску бизнес предприятия и корпоративные активы. В основе встроенной в UTM системы защиты от вредоносных программ лежит антивирусное ядро «Лаборатории Касперского».
• IPS . Применяются различные методы детектирования, в т.ч. выявление аномалий протокола и трафика, контекстные сигнатуры, распознавание SYN-флуда, спуфинг-мошенничества, а также обнаружение бэкдоров.
• AppSecure . Ориентированный на приложения (application-aware) комплекс сервисов по обеспечению безопасности, который анализирует трафик, предоставляет широкие возможности мониторинга приложений (application visibility), обеспечивает применение правил сетевого экрана для приложений, позволяет контролировать использование приложений и защищает сеть.
• Улучшенная фильтрация веб-трафика (Enhanced Web Filtering, EWF) обеспечивает защиту от потенциально вредоносных веб-сайтов несколькими способами. Технология использует 95 категорий URL-адресов, что позволяет организовать их гибкий контроль, помогает администраторам отслеживать сетевую активность и обеспечивает выполнение корпоративных политик использования веб-ресурсов. В работе EWF применяется оперативный, осуществляемый в режиме реального времени репутационный анализ на базе сети последнего поколения, которая проверяет на наличие вредоносного кода более 40 млн. веб-сайтов в час. EWF также ведёт совокупный учёт опасности для всех URL-адресов – как категоризированных, так и некатегоризированных, позволяя компаниям отслеживать и/или блокировать сайты с плохой репутацией.
• Антиспам.

Подробнее с техническими характеристиками можно ознакомиться .

Выводы

Российский рынок UTM-систем определённо представляет интерес, как для производителей, так и для потенциальных покупателей. Однако в силу устоявшихся «традиций», производителям приходится вести одновременную «битву» как на фронте сертификации и выстраивания партнёрского канала, так и на ниве маркетинга и продвижения.

Так, можно уже сегодня наблюдать, как практически все из рассмотренных компаний ведут работу над переводами материалов на русский язык, обзаводятся новыми партнёрами, а также проводят сертификацию своих решений. К примеру, в 2012 году Dell учредила отдельную компанию Dell Russia специально для российского рынка (компания не будет заниматься даже «ближайшими соседями» - Украиной и Беларусью). Отечественные разработчики тоже не стоят на месте, развивая свои решения. Примечательно, что многие производители (как отечественные, так и зарубежные) интегрируют сторонние модули в свои продукты. Показательным в этом плане является антивирусный модуль: различные UTM-системы используют ClamAV, Антивирус Касперского, Avira AV, Dr.Web и.т.д.

Тем не менее, вывод очевиден: российский рынок рассматривается всерьёз и на долгосрочную перспективу. Пока отступать не планирует никто, а значит, впереди нас ждут борьба за место под отечественным солнцем. Ведь «№1 в Мире» - это совсем не то же самое, что «№1 в России».

По итогам 2015 года Лаборатория Касперского привела неутешительную статистику: около 58% корпоративных ПК подвергались атакам вредоносных программ минимум один раз. И это только успешно отраженные. Из них треть (29%) подверглись атакам через интернет. Отмечалось, что в три раза чаще угрозам подвергаются не домашние компьютеры, а именно корпоративные, поэтому бизнес находится в опасности потери или уничтожения данных.

В 2017 ситуация не стала безопасней : вспомним хотя бы недавний переполох от печально известных вирусов Petya, WannaCry и BadRabbit. И все равно порядка 80% компаний не занимаются обновлением своей системы безопасности, а около 30% имеют явно видимые уязвимости.

Сетевая безопасность в теории и на деле

Не так давно пользователям интернета было достаточно простого файрволла. Однако времена изменились, и теперь требуется более серьезное решение – UTM-устройство, в котором объединен весь функционал, предназначенный для защиты корпоративных сетей от инвазии. Воспользовавшись системой комплексного управления угрозами, компания получит антивирус, сетевой экран, систему предотвращения угроз, защиту от спама и многое другое «в одном флаконе».

В отличие от классического способа, предполагающего покупку ряда отдельных устройств и их интеграцию в единую систему, это более экономичный и производительный вариант, стоящий фактически на трех китах:

• Многоуровневая защита в реальном времени.
• Универсальный фильтр, не пропускающий шпионские программы и вирусы.
• Защита от спама и нежелательного контента.

Такой подход избавляет от необходимости увеличивать траты на «железо», найм IT-специалистов, способных заставить работать всю эту систему корректно, и спасает от проблем с регулярным падением скорости трафика.

На практике для крупных и малых предприятий в приоритете будет разный функционал. Обращаясь к комплексным системам, небольшие организации надеются, прежде всего, решить проблему безопасного доступа в сеть для сотрудников и клиентов. Для корпоративных сетей среднего уровня сложности необходим устойчивый канал связи. Крупные компании озабочены сохранением секретов. Каждая задача в итоге имеет строго индивидуальное решение.

Практика крупных компаний

Например, для компании «Газпром» и подобных ей организаций, отдающих предпочтения российскому софту, это означает снижение рисков, возникающих при использовании иностранного ПО. Кроме того, эргономика диктует необходимость использования оборудования, стандартизированного под уже используемую аппаратную структуру.

Проблемы, с которыми сталкивается крупный бизнес, вызваны именно размерами организации. UTM здесь помогает в решении вопросов, связанных с огромным количеством сотрудников, большими объемами данных, передаваемых по внутренней сети, и необходимостью в манипулировании отдельными кластерами, имеющими доступ в интернет.

Функционал, востребованный крупным бизнесом:

• Расширенный контроль за работой пользователей ПК, их доступом в Сеть и к отдельным ресурсам.
• Защита внутренней сети от угроз, включающая фильтрацию URL и двухфакторную идентификацию пользователей.
• Фильтрация контента, передающегося по внутренней сети, управление Wi-Fi-сетями.

Еще один пример из нашей практики. В дирекции железнодорожных вокзалов компании «РЖД» (классический пример крупного бизнес-проекта с ограниченным трафиком) решение купировало ряд проблем с безопасностью, предотвращая утечку данных, а также спровоцировало прогнозируемое повышение эффективности труда в связи с установкой внутренних блокировок.

Для предприятий банковской сферы, по нашему опыту, особо важно обеспечение стабильного, скоростного и непрерывного интернет-трафика, что достигается благодаря возможности балансировать и перераспределять нагрузки. Важна также защита от утечки информации и контроль ее сохранности.

Торговые комплексы, в частности, коломенский «Рио» , также периодически подвергаются угрозе внешних атак на свою сеть. Однако чаще всего руководство моллов интересует возможность введения внутреннего контроля над сотрудниками, имеющими ограничения по работе с интернетом в зависимости от их обязанностей. Кроме того, интернет активно раздается по всей площади ТК, что увеличивает опасность нарушения периметра. И для успешного предотвращения подобных ситуаций UTM-решение предлагает использовать управление приложениями.

В настоящее время в торговом комплексе «Рио» активно применяются фильтры, разноуровневая блокировка и удаление программ и приложений, попавших в черный список. Основной результат в данном случае – повышение эффективности труда и экономия времени вследствие того, что сотрудники больше не отвлекаются на социальные сети и посторонние интернет-магазины.

Потребности сферы услуг

Кафе, рестораны и отели сталкиваются с необходимостью свободной раздачи Wi-Fi, являющейся на данный момент, согласно отзывам посетителей, одной из самых востребованных услуг. В ряду проблем, требующих немедленного решения, стоят: качественный доступ в интернет и соответствие законодательству РФ. Кроме того, отельные сети имеют некоторую специфику, связанную с повышенными нагрузками. Социальные сети, выкладка фото и видеоматериалов из отпуска и просто серфинг не должны вызывать сбоев и отключения всей системы.

Все эти проблемы купирует соответствующим образом настроенная UTM-система. В качестве решения предлагается введение идентификации устройств по SMS, фильтрация контента и трафика, разделение потоков, на которых сидят клиенты и сотрудники, по цензурным и возрастным показателям. Также обязательно устанавливается защита устройств, подключенных к сети.

Больницы, поликлиники и другие медицинские учреждения требуют унифицированного комплекса безопасности, управляемого из единого центра с учетом филиальной структуры. Российское UTM-решение приоритетно для подобных госучреждений в связи с политикой импортозамещения и соблюдения закона о защите персональных данных.

Выгоды UTM-решений

Главная очевидна: одно устройство заменяет сразу несколько, отлично выполняя функции каждого. Кроме того, подключить и настроить такое устройство на порядок проще, а работать с ним может кто угодно. Преимуществ у комплексного решения несколько:

• Финансовое. Приобретение по отдельности качественных защитных инструментов (система безопасности, антивирусный блок, VPN и прокси-сервер , межсетевой экран и пр.) – это в разы больше расходов на оборудование. Особенно, когда речь идет об импортных вариантах. UTM-устройства гораздо доступней, а качественные отечественные продукты тем более.
• Функциональное. Угрозы предотвращаются на уровне сетевого шлюза, что не прерывает рабочий процесс и не отражается на качестве трафика. Скорость стабильная и постоянная, чувствительные к этому приложения постоянно доступны и работают штатно.
• Простота и доступность. Система на основе UTM не просто быстро устанавливается, но и удобно управляется, что упрощает администрирование. А отечественные решения выполнены на русском языке, что позволяет легко разобраться в технической части без лишнего ковыряния в специфической терминологии.
• Централизованный мониторинг и управление. UTM-решение позволяет управлять удаленными сетями из единого центра без дополнительных расходов на оборудование и персонал.

В целом UTM-устройства становятся центральным элементом обеспечения ИБ любой компании с сетью от нескольких компьютеров до десятков тысяч точек доступа, эффективно предотвращая неприятности и помогая избежать процесса разгребания последствий заражений и взломов.

Однако следует учитывать, что UTM не решает всех проблем, так как не управляет конечными устройствами, беззащитными перед недобросовестными пользователями. Локальная вирусная угроза требует наличия антивирусных программ, помимо антивирусного шлюза, а для гарантированного предотвращения утечки информации необходима установка DLP-систем. Показательна в этом плане недавняя история с аэропортом Heathrow , где начато расследование после того, как на одной из улиц Лондона нашли флеш-накопитель с данными, связанными с обеспечением безопасности и проведения антитеррористических мероприятий в аэропорту.

Критерии выбора UTM-системы

Система должна соответствовать нескольким параметрам. Это максимальное удобство, надежность, легкость настройки, понятное управление, постоянная техподдержка от производителя и относительно невысокая стоимость. Помимо этого, имеется жесткое требование обязательной сертификации ФСТЭК (ФЗ-149, ФЗ-152, ФЗ-188). Оно распространяется на образовательные и госучреждения, бизнес, работающий с персональной информацией, учреждения здравоохранения, предприятия госсектора. За использование несертифицированных систем предусмотрены жесткие санкции: штраф до 50 тыс. рублей, в отдельных случаях – изъятие предмета правонарушения и приостановка деятельности до 90 суток.

Берегите себя и свои данные, используйте современные системы информационной безопасности и не забывайте ставить обновления вендоров.

Понятие Unified Threat Management (UTM), как отдельный класс оборудования для защиты сетевых ресурсов, было введено международным агентством IDC, исследующим мировой ИТ-рынок. По введенной классификации, UTM-решения - это многофункциональные программно-аппаратные комплексы, в которых совмещены функции разных устройств: межсетевого экрана, системы обнаружения и предотвращения вторжений в сеть, а также функции антивирусного шлюза.

Российский рынок UTM-устройств представлен только иностранными производителями. Причем, некоторые компании, представляя свои решения и называя их UTM - просто объединяют функционал независимых устройств сетевой безопасности (таких как: межсетевой экран, антивирусный шлюз, система обнаружения/предотвращения вторжений) в одном корпусе с единой системой мониторинга и управления. Подобные устройства нельзя считать полноценной UTM-системой.

Аббревиатура UTM обозначает Unified Threat Management, что дословно можно перевести на русский язык примерно как: объединенное управление угрозами. В данной статье мы рассмотрим, какие же именно функции должно выполнять устройство, чтобы считаться полноценным UTM, каковы преимущества использования таких систем и от каких видов угроз они могут защитить.