В крупных организациях информационной безопасности уделяется больше внимания чем охране самого офиса, а расходы на сетевую безопасность могут запросто превысить бюджет на апгрейд сетевой инфраструктуры. И если перед вами ставится задача защитить офисные компьютеры от спама, вирусов, троянов и прочих вредоносных программ, то не рассчитывайте, что вам удастся отделаться малой кровью или проинсталлировав одну-единственную программу, отчитаться о результате. Конечно, вы можете перевести все рабочие машины на Linux клиенты, но мы понимаем, что скорее всего это исключение из правил. Наиболее простым решением, использующимся сегодня является локальная установка антивирусного ПО на клиентские машины, постоянное обновление операционной системы и вирусных сигнатур и постоянное напоминание, что не следует открывать незнакомые файлы в почте.
Но даже если ваш почтовый сервер надежно защищен от вторжений, использование личной почты на mail.ru сведет на нет все старания сисадмина. А без этого. как говорится, сейчас уже никуда.
Современные технологии позволяют создавать достаточно быстрые процессоры, способные анализировать сетевой трафик в реальном времени на уровне пакетов и приложений и с использованием баз сигнатур, определять и блокировать вредоносные фрагменты. Представьте себе - вы консолидируете сетевую безопасность в одном устройстве, которое отвечает и за доступ через VPN и за распределение виртуальных сетей VLAN, и обеспечивает отказоустойчивый доступ в интернет, переключая один из двух каналов. Ну и самое главное - в этом же устройстве встроен Firewall, антивирус, спам-фильтр, Web фильтр. Думаете, будет тормозить? Компания NETGEAR заявляет, что их серия UTM (Universal Threat Management) имеет пропускную способность антивируса до 130 Мбит/c, а SPI - до 900 Мбит/с в модели UTM150. Нам на тестирование дали модель UTM50, вторую сверху в модельном ряду компании. Она рассчитана на средние компании, в которых работает менее 100 сотрудников и поддерживает все те же функции, что и топовая.
Вообще, в модельном ряду NETGEAR UTM на сегодня присутствуют 5 моделей: UTM5, UTM10, UTM25, UTM50 и UTM150. Цифра в названии означает количество поддерживаемых VPN туннелей. Первые две модели SOHO-класса рассчитаны на малые офисы, эти устройства поддерживают по одному WAN-порту, имеют производительность антивирусного сканирования на уровне 15 и 20 Мбит/с и поддерживают до 5 VPN туннелей (до 2-х SSL VPN). Для небольшого офиса - самое то, учитывая дикие цены на высокоскоростной доступ в интернет.
Начиная с UTM25, вы получаете поддержку 2-х WAN портов с балансировкой нагрузки, а от UTM50 получите и производительность на уровне филиалов крупных компаний. Обратите внимание - в одной линейке производитель объединил устройства как для SOHO, так и для Enterprise. А так как реализация программных функций во всей серии одинакова и используются одни и те же базы сигнатур, небольшие компании могут рассчитывать на внимание Enterprise-класса со стороны производителя.
Но насколько быстрым ни был бы процессор, традиционный алгоритм последовательной фильтрации убьёт всю производительность, ведь каждый пакет надо сначала провести через ACL фильтр, а затем через антивирус, и чем больше ступеней фильтрации вы установите, тем больше будут задержки. В обычной жизни это приведет к тому, что даже локальный трафик из гигабитного превратится в 50-мегабитный. Но специалисты NETGEAR применили технологию потокового сканирования, при которой шлюз не дожидается принятия полного пакета и начинает сканировать его после начала передачи и сразу же отправляет его в сеть. Выгода от такого алгоритма наглядно показана на диаграмме ниже.
Во многом, благодаря этому и появилась возможность интегрировать шлюз в сеть без ущерба для производительности инфраструктуры, какие бы приложения вы ни использовали - начиная от банк-клиента и заканчивая репликацией баз данных. Пусть весь трафик идет через NETGEAR UTM, не взирая на протоколы и порты.
Чем еще может удивить этот шлюз безопасности? Бич современного интернета - спам, отвлекающий с утра и до ночи. В NETGEAR UTM применена технология распределенного анализа входящей почты. Шлюз использует некоторое подобие черных списков и сигнатур с более чем 50 миллионов источников и не требует времени на обучение. Правда, не понятно, как самостоятельно обучать шлюз, чтобы отписаться, например, от назойливой рассылки китайских партнеров или какого-то майл-листа, который является спамом только для вас.
Естественно, такая напасть, как вредоносное ПО (трояны и прочие Malware), которые частенько пропускаются даже самыми новыми вирусами, не должна беспокоить офис, находящийся под защитой NETGEAR UTM. Производитель заявляет базу сигнатур, содержащую свыше 1 миллиона вредоносных программ с обновлением каждые 15 минут, с эвристическим анализом, обеспечивающим защиту от вновь появляющихся угроз (Zero-Hour Protection). Ну и опять-таки, NETGEAR подчеркивает производительность, в 400 раз превышающая скорость сканирования известных антивирусов и программ типа «все-в-одном». Правда, по сути, такая расплывчатая формулировка мало о чем говорит. Ведь, например, Антивирус Касперского постоянно увеличивает свою производительность, но как тормозил, так и тормозит.
Следующая напасть, с которой борется NETGEAR, это - клиенты мгновенных сообщений и P2P программы. Хотите запретить «аську», «скайп» и «торренты» - вам нужно лишь закрыть соответствующие сервисы. Справедливости ради, эти возможности есть даже в современных домашних роутерах среднего класса. Но "аську" и "скайп" в них не так-то просто закрыть, особенно QIP. Здесь же идет разбор пакета на L5-L6 семиуровневой модели OSI.
Классификатор Web-сайтов, антивирус, спам-фильтр и Firewall, - на этих китах держится сетевая безопасность как домашнего пользователя, так и крупной корпорации, и куда важнее - как эта функциональность реализована в программном и аппаратном плане.
NETGEAR UTM выполнен в 1U корпусе, предназначенном для установки в телекоммуникационные подвесные шкафы. Глубина младших версий составляет 21 сантиметр, в то время как UTM25 и UTM50 - 25.3 см. NETGEAR UTM5, UTM10 и UTM25 имеют ширину всего 33 см, что позволяет устанавливать их просто на тумбочке в офисе или крепить в шкаф или стойку с помощью поставляемых в комплекте креплений.
Традиционно, кабель питания подключается сзади, сетевые и USB порты - спереди. LAN и WAN порты логически разделены на корпусе и имеют простую индикацию активности.
WAN-портов маловато - всего 2, и хотя для резервирования доступа в интернет больше и не нужно, некоторые модели имеют по 4 WAN порта. Зато LAN портов целых 6 штук, а это значит, что вы будете иметь больше возможностей по настройке внутриофисной сети.
На лицевой стороне установлен одинокий USB порт, но в характеристиках NETGEAR UTM50 нет никакой информации об USB приложениях, так что для того, чтобы понять, зачем он нужен, придется покопаться в настройках.
По своей внутренней конструкции NETGEAR UTM50 более походит на роутеры и коммутаторы, нежели на сервер приложений, хотя по сути он впитал в себя и то и другое. Обилие свободного места в корпусе навевает тоску, но что поделать, ведь 1U корпус, в котором исполнена топовая модель межсетевого шлюза, должна устанавливаться в корпус без всяких переходников, как младшие модели в серии. Это чистый маркетинг, но в таком корпусе электроника не будет перегреваться, а значит UTM50 будет работать бесшумно, а при поломке вентилятора не будет зависать.
Интересно, что для хранения вирусных сигнатур используется флеш-карточка Apacer объемом 2 Гб. На плате видна разметка под неустановленный слот SODIMM, и возможно будущие модели будут использовать больший объем ОЗУ. Но тут итак установлен 1 Гигабайт DDR2, набранный 8-ю чипами Samsung k4t1g164qe-hce6.
Сердцем устройства является 2-ядерный 64-битный MIPS процессор Octeon CN5020 от Cavium Networks с частотой 700 МГц. Учитывая RISC-архитектуру процессора, можно ожидать от него очень высокую производительность, особенно в конвейерных операциях, таких как проверка передаваемых в сеть пакетов.
Хорошо, пришло времени посмотреть на настройки сетевого шлюза безопасности, ведь настройку такого рода устройств мы еще не производили. Интерфейс сложный и запутанный, так что с трудом удается запомнить, где и какая настройка была расположена.
При заходе в админ-меню мы попадаем на страницу статусного экрана, где показаны основные жизненные параметры устройства: количество разных соединений, загрузка памяти, процессора, а так же текущие версии сигнатур и лицензии. Таким образом одного взгляда будет достаточно, чтобы понять, произошло ли обновление баз вредоносных программ и спама, нормально ли чувствует себя шлюз, идет ли какая атака и если да, то по каким протоколам.
Столь же наглядно отображается статус виртуальных сетей VLAN. По умолчанию все LAN порты объединены в первый VLAN с включенным DHCP, но вы можете настраивать виртуальные сети как захотите, в том числе и маршрутизацию между виртуальными сетями, а так же жесткую привязку сетевого LAN порта к виртуальной сети.
Межсетевой экран позволяет настраивать правила фильтрации трафика между WAN и LAN портами, определять правила для демилитаризованной зоны (DMZ). Причем, вы можете создать DMZ как со стороны глобальной сети (WAN), так и с локальной (LAN).
И хотя многие настройки правил здесь выглядят знакомо (все же мы видели многое в других маршрутизаторах), нас более интересуют те функции, которые отличают Firewall от шлюза безопасности - антивирус, защита от спама и прочие сладости.
Прежде всего, посмотрим на защиту электронной почты. Самый простой способ борьбы со спамом, известный еще с древних времен - это фильтрация по ключевым словам. Хотите избавиться от «копий швейцарский часов» - будьте уверены, никто из ваших сотрудников не поговорит о них по электронной почте. Ну а если же кто-то захочет передать данные по электронной почте в запароленном архиве, вы так же сможете узнать об этом и перехватить архив, либо продолжить наблюдение. Что ж получается, передавать данные в незапароленных архивах безопаснее?
Ну и естественно, фильтрация по расширению файлов избавит вашу электронную почту от mp3, троянов и разных нежелательных файлов. Что важно, для каждого протокола (IMAP, SMPT и POP3) реакции на фильтр могут быть разными.
Ну а для более эффективной борьбы со спамом все же придется воспользоваться загружаемыми сигнатурами с бесплатных сервисов, таких как Spamhaus, Spamcop и других. Информация с тысяч серверов будет использоваться вашим шлюзом, чтобы предотвратить захламление нежелательной почтой вашей сети. И главное - обновление происходит в реальном времени и бесплатно.
Технология анализа распространения спама (Distributed Spam Analysis) получает данные о распространении спама более чем с 50 миллионов источников по всему миру, что позоляет создавать карту распространения электронной почты и получать больше информации о письме, чем содержит его заголовок. Это позволяет предотвращать распространение спама на раннем этапе, до того как ваша сеть или ваш шлюз станут частью ботнета.
Не менее интересно выглядит и сканирование трафика на вредоносный код. На данном этапе поддерживается скан протоколов HTTP и HTTPS и файлов объемом до 10.2 Мб. Пожалуй, это позволит избавиться от самой значительной проблемы безопасности в офисных сетях - получению троянских программ и вирусов, скачиваемых из интернета.
Но не менее важен контент-фильтр, который здесь позволяет блокировать целые категории интернет-сайтов. Запретить просматривать развлекательные сайты, анонимайзеры, игровые сайты, p2p-сети, web-почту и, конечно же, порносайты теперь можно целыми категориями. В дополнение можно будет добавлять свои URL-ы запрещенных сайтов, если их нет в списке. Но что более важно, вы сможете настроить исключения для некоторых IP-адресов. Например, директору и главному сисадмину доступ к adult-сайтам можно-то и оставить :)
Для тестирования NETGEAR UTM50 мы использовали проверенный временем пакет IXChariot. Но, наш стандартный скрипт Hi-Perf Throughput не смог показать нормальную картину производительности: скорость LAN-to-WAN составляла примерно 1 Гбит/с как со включенными ACL фильтрами, так и без них. Проще говоря, созданный искусственно трафик спокойно проходил через ACL, и производительности процессора достаточно для того, чтобы обрабатывать поток на максимальной пропускной способности интерфейса.
О чем нам это говорит? По производительности ACL получается бесплатен, и любые правила брэндмауэра вы можете использовать, не задумываясь о том, что они будут снижать пропускную способность сети. И даже если мы отключим часть сервисов, таких как торренты, это не повлияет на скорость.
Направление | Скорость (Мбит/с) |
LAN-LAN | 977 |
LAN-WAN (Antivirus OFF, ACL ON) | 457 |
LAN-WAN (Antivirus On) | 44 |
Глядя на то, как антивирус режет производительность LAN-WAN в 20 раз, понимаешь, почему производитель не дал возможности включения этой функции для работы в LAN среде. С другой стороны, реальная скорость безопасного доступа в интернет на уровне 40 мегабит в секунду - это более чем достаточно на ближайшие 4-5 лет, так как едва ли тарифы на доступ в интернет для юридических лиц станут нормальными. Такой скрости вполне достаточно для доступа по VPN, работы нескольких клиентов через RDP, да ещё и из-под разных платформ, не говоря уже о веб-серфинге, синхронизации баз данных и работе с банк-клиентом. Подчеркиваем еще раз - это скорость безопасного интернета.
Средняя стоимость NETGEAR UTM50 составляет 800$. По сравнению с более раскрученным производителем шлюзов безопасности, Checkpoint, выигрыш в цене более чем двукратный. При этом, вам не нужно заботиться о покупке каких-то апдейтов, лицензий, продлениях платной подписки.
NETGEAR UTM50 позволяет сократить смету на сетевую инфраструктуру небольшого офиса, его функционал обеспечит бесперебойную работу с интернетом через 2 выделенных канала, организует VPN доступ для сотрудников «на удаленке» и существенно сэкономит трафик и более дорогое рабочее время, борясь со спамом и блокируя доступ к целым категориям нежелательных сайтов. При грамотном ограничении прав пользователей, вы сможете вовсе избавиться от антивирусов на рабочих машинах, а это - еще более существенная экономия средств. Правда, не знаю, насколько вы готовы отказаться от локальных антивирусов в пользу консолидированного устройства.
Тем не менее, NETGEAR UTM50 - не живой сисадмин и не панацея от всех болезней. К примеру, распространение заразы в рамках собственной сети он не сможет предотвратить, и если кто-то принес вирус на флешке - рассчитывайте только на свои силы.
Куда важнее, что с помощью NETGEAR UTM50 вы сможете делить вашу сеть в любой конфигурации и настраивать правила и исключения для каждой виртуальной сети. Вы легко сможете ограничить трафик и количество доступных ресурсов для одной группы, оставив полный функционал для другой. Вы сможете даже получать информацию, кто пытается отправить из вашего офиса запароленные архивы, чтобы пресечь утечку важных документов. Сам же по себе шлюз безопасности обладает исчерпывающей информативностью, так что вам будет легко следить за его состоянием, чтобы понять, ведется ли атака на вашу корпоративную сеть, как у вас обстоят дела с заспамленностью рабочих почтовых ящиков, обновлены ли сигнатуры и прошивка и справляется ли сам девайс с возложенной на него нагрузкой.
Недавно мы рассматривали NETGEAR SRX 5308, который я рекомендовал как решение для VPN-доступа для небольших компаний. Нисколько не умоля достоинств этой модели, теперь я считаю, что построение сети небольшой компании следует начинать с таких вот, умных шлюзов безопасности, как NETGEAR UTM. И мы присуждаем данному устройству нашу высшую награду "Выбор Редакции".
Официальный сайт NETGEAR - www.netgear.ru
Источник: Hardwareportal.ru