Jeśli weźmiemy zwykły router, czy to jakiś D-link czy jakiś lepszy biznesowy Cisco to zawsze mamy jakiegoś firewalla. Jednak w większości pozwala to tworzenie podstawowych reguł blokowania ruchu blokowania po ip czy po portach. I zazwyczaj w oparciu o takie urządzenie cała reszta zabezpieczeń była robiona w oparciu o software . Czy to jakiś serwer z IDS przez który przepuszczało się ruch , czy to antywirus , ale zawsze było to coś softwarowego.
W pewnym momencie zaczęły pojawiać się urządzenia utm . Czym za tym jest UTM, albo co to jest UTM ? . Pod rozwinięciem się tej tajemniczej nazwy kryje się rozszerzenie Unified Threat Management . Fajna enigmatyczna nazwa, ale jak to rozumieć ? Najlepiej jako kompleksowe, działające na wielu płaszczyznach zabezpieczenie sieci.
Na przykładzie urządzeń Stormshield (bo mamy z nimi do czynienia) oznacza to zabezpieczenia m.in
- Firewall ( jak na zwykłym routerze)
- IDS (zaawansowany system wykrywania włamań i niefajnych rzeczy)
- IPS to taki IDS z funkcją adekwatnego reagowania na zagrożenia
- Blokowanie bazujące na reputacji – coś co daje nam możliwość blokowania w oparciu o reputację strony www czy też adresu IP
- Blokowanie Aplikacji – można blokować po aplikacji – blokujemy np Anydeska i nie interesują nas technikalia typu na jakich portach to działa.
- Analiza Podatności – urządzenie analizuje ruch i daje nam ładną listę który komputer u nas ma jaki soft nieaktualny . Tak – po analizie rucho utm określa jaką wersje danego programu mamy i informuje nas o starociach
- Antywirus – antywirus w routerze – brzmi jak marketing , ale UTM jest w stanie poskładać przesyłane pakiety i przeskanować antywirusem , przydatne przy emailach i stronach www.
- Zaawansowane filtrowanie stron po kategoriach – można sobie wybrać aby blokować strony np z kategorii gry , bez wpisywania adresów itp .
- Zaawansowane blokowanie stron po certyfikatach ssl – można blokować po wystawcy certyfikatu – czyli np można zblokować allegro po wystawcy certyfikatu i nie interesują nas domeny czy subdomeny.
Taki powierzchowny opis funkcjonalności już sam w sobie daje do zrozumienia co może znaczyć słowo kompleksowe czy wielopłaszczyznowe zabezpieczenie sieci.Oczywiście poza zabezpieczeniami dostajemy kawał porządnego sprzętu ze wsparciem producenta i przydatnymi funkcjonalnościami typu VPN .
Z technicznego punktu widzenia funkcjonalności te są trochę imponujące, bo jak inaczej określić możliwość dekodowania SSL, i skanowania zawartości w czasie rzeczywistym ?
Zatem czy takie urządzenia są potrzebne ?
IMHO Tak , pomijając takie trywialne rzeczy jak zapewnienie bezpieczeństwa, to potrafią wziąć na siebie lwią część pracy administratora/informatyka w temacie bezpieczeństwa. Zrobienie w firmie gdzie jest 50 komputerów tego typu funkcjonalności potrwało by lata , a aktualizowanie stworzonego rozwiązania stałoby się tematem typu “neverending story”.
Dla kogo to jest rozwiązanie ?
Dla firm które potrzebują sensownego poziomu bezpieczeństwa , dla samorządów, szpitali itp.
A cenowo ?
Cenowo , tanio nie jest . Ba powiedziałbym nawet że jest drogo. Poza zakupem płaci się zazwyczaj również za licencje , gdyż jest tutaj podział na moduły ( nie trzeba wszystkiego wykupywać od razu ) za które płacimy co roku .
Ogólnie nie podoba mi, jak wszystkim, płacenie co roku, ale patrząc na częstotliwość updatów od producenta i to że producent aktualizuje bazy kategorii , zapewnia chmurowy backup konfigu , to jest to w jakiś sposób uzasadnione.
Ogólnie na polskim rynku jest kilku czołowych producentów UTMów z prawdziwego zdarzenia, IMHO są to rozwiązania w miarę równoważne.
FAQ: UTM - Unified Threat Management, router i bezpieczeństwo sieci
UTM (Unified Threat Management), czyli zunifikowane zarządzanie zagrożeniami, to zaawansowane urządzenie sieciowe łączące w sobie funkcje wielu systemów bezpieczeństwa w jednym rozwiązaniu. W odróżnieniu od zwykłego routera, który głównie kieruje ruchem sieciowym i oferuje podstawowy firewall z filtrowaniem po adresach IP i portach, UTM zapewnia kompleksową ochronę sieci. Standardowy router pozwala na tworzenie podstawowych reguł blokowania ruchu, ale nie analizuje zawartości przesyłanych danych. UTM natomiast integruje zaawansowany firewall, system wykrywania i zapobiegania włamaniom (IDS/IPS), antywirus sieciowy, filtrowanie treści internetowych, ochronę przed spamem, VPN oraz kontrolę aplikacji. Dzięki temu cały ruch sieciowy jest analizowany na wielu poziomach jednocześnie, co zapewnia znacznie wyższy poziom bezpieczeństwa. UTM jest szczególnie przydatny w środowiskach biznesowych, gdzie jedno urządzenie zastępuje kilka osobnych systemów bezpieczeństwa.
Urządzenie UTM oferuje szereg zintegrowanych funkcji bezpieczeństwa chroniących sieć na wielu poziomach jednocześnie. Zaawansowany firewall stanowi podstawę ochrony, analizując ruch nie tylko na poziomie adresów IP i portów, ale również na poziomie aplikacji, identyfikując i kontrolując konkretne programy korzystające z sieci. System IDS/IPS wykrywa próby włamań i automatycznie je blokuje, analizując wzorce ruchu sieciowego w poszukiwaniu znanych sygnatur ataków. Antywirus sieciowy skanuje cały ruch przechodzący przez urządzenie, wykrywając złośliwe oprogramowanie zanim dotrze do komputerów w sieci. Filtrowanie treści webowych pozwala na blokowanie dostępu do niebezpiecznych lub nieproduktywnych stron internetowych. VPN umożliwia bezpieczne połączenie zdalnych pracowników z siecią firmową. Ochrona przed spamem filtruje niechciane wiadomości e-mail. Sandboxing analizuje podejrzane pliki w izolowanym środowisku przed dopuszczeniem ich do sieci.
UTM jest zdecydowanie rekomendowany dla małych i średnich firm, które chcą zapewnić profesjonalny poziom bezpieczeństwa sieci bez konieczności zatrudniania dedykowanego zespołu ds. cyberbezpieczeństwa. Małe firmy są coraz częstszym celem cyberataków, ponieważ przestępcy wiedzą, że ich zabezpieczenia są zazwyczaj słabsze niż w dużych korporacjach. UTM pozwala na centralne zarządzanie bezpieczeństwem sieci z jednego urządzenia, co jest prostsze i tańsze niż kupowanie osobnych rozwiązań dla firewalla, antywirusa sieciowego, VPN i filtrowania treści. Dla małej firmy z 5-50 komputerami UTM zapewnia ochronę porównywalną z rozwiązaniami stosowanymi w dużych przedsiębiorstwach przy znacznie niższych kosztach. Popularnymi producentami UTM dla małych firm są Fortinet z serią FortiGate, Sophos, WatchGuard i Zyxel. Koszty zakupu urządzenia UTM dla małej firmy zaczynają się od kilku tysięcy złotych, do czego należy doliczyć roczną subskrypcję aktualizacji sygnatur i baz danych zagrożeń.
Na rynku urządzeń UTM dominuje kilku producentów oferujących rozwiązania dla różnych segmentów klientów. Fortinet z serią FortiGate jest liderem rynku, oferując urządzenia od małych modeli dla biur domowych po potężne systemy dla dużych centrów danych. FortiGate wyróżnia się autorskimi procesorami ASIC, które zapewniają wysoką wydajność przy jednoczesnej inspekcji ruchu. Sophos z serią XGS Firewall oferuje intuicyjny interfejs zarządzania i jest szczególnie ceniony w segmencie małych i średnich firm. WatchGuard z serią Firebox jest znany z łatwości konfiguracji i przystępnych cen. Zyxel z serią USG FLEX to dobry wybór dla mniejszych organizacji szukających solidnej ochrony w rozsądnej cenie. Palo Alto Networks oferuje zaawansowane rozwiązania dla większych organizacji z naciskiem na kontrolę aplikacji i ochronę przed zaawansowanymi zagrożeniami. Przy wyborze UTM warto uwzględnić przepustowość urządzenia przy włączonych wszystkich modułach ochrony, ponieważ inspekcja ruchu znacząco obciąża procesor.
UTM i NGFW (Next Generation Firewall) to terminy, które w praktyce coraz bardziej się przenikają, ale istnieją między nimi pewne różnice koncepcyjne. UTM to tradycyjnie urządzenie typu wszystko w jednym, integrujące firewall, antywirus, IDS/IPS, VPN, filtrowanie treści i ochronę przed spamem w jednym rozwiązaniu skierowanym głównie do małych i średnich firm. NGFW to ewolucja klasycznego firewalla o możliwości inspekcji na poziomie aplikacji, zaawansowaną analizę zagrożeń i integrację z systemami threat intelligence, skierowaną do średnich i dużych organizacji. Główna różnica polega na podejściu do wydajności i skalowalności. NGFW są zazwyczaj zoptymalizowane pod kątem wydajności przy włączonych zaawansowanych funkcjach inspekcji, podczas gdy UTM mogą tracić wydajność przy jednoczesnym uruchomieniu wszystkich modułów. W praktyce współcześni producenci tacy jak Fortinet czy Palo Alto oferują urządzenia łączące cechy obu kategorii. Dla małych firm różnica jest głównie marketingowa, a kluczowe jest sprawdzenie jakie funkcje oferuje konkretny model.
Konfiguracja podstawowych zabezpieczeń sieciowych w firmie powinna obejmować kilka kluczowych elementów. Pierwszym krokiem jest wdrożenie urządzenia UTM lub zaawansowanego firewalla na granicy sieci, który będzie filtrował cały ruch przychodzący i wychodzący. Należy skonfigurować reguły firewalla zgodnie z zasadą minimalnych uprawnień, zezwalając tylko na niezbędny ruch sieciowy. Drugim krokiem jest segmentacja sieci, czyli podział na oddzielne podsieci dla różnych działów lub typów urządzeń, na przykład oddzielna sieć dla gości WiFi, pracowników i serwerów. Trzecim elementem jest konfiguracja VPN dla pracowników zdalnych. Czwartym krokiem jest włączenie filtrowania treści internetowych, blokując dostęp do znanych złośliwych stron. Piątym elementem jest konfiguracja centralnego systemu aktualizacji, aby wszystkie komputery otrzymywały aktualizacje bezpieczeństwa. Szóstym krokiem jest wdrożenie monitoringu sieci z alertami o podejrzanej aktywności. Całość powinna być uzupełniona o regularne przeglądy konfiguracji i testy bezpieczeństwa.
