Monitoruj i zapobiegaj

TESTY
NETASQ UTM U250
Urządzenia UTM
Monitoruj
i zapobiegaj
Scentralizowane zarządzanie
zagrożeniami wymaga
wielu różnorodnych funkcji
i dużej mocy obliczeniowej.
Sprawdźmy, jak radzi sobie
z tym zadaniem urządzenie
Netasq UTM U250.
Artur Cieślik
N
a rynku od pewnego czasu możemy znaleźć urządzenia zwane ogólnie UTM. Pod nazwą
Unified Threat Management kryją się
wielofunkcyjne firewalle, zawierające
w jednym „pudełku” wiele usług zabezpieczających przed różnymi zagrożeniami. Potrafią się propagować zarówno od
strony sieci publicznej, jak i w sieci wewnętrznej organizacji. Zadaniem UTM-a
jest ograniczanie ryzyka przedostania się
wirusa, malware lub intruza do chronionego obszaru sieci, niezależnie od przyjętej metody ataku.
Testowane urządzenie to UTM Netasq U250. Producent opisuje je jako
system bezpieczeństwa, zapewniający
pełną ochronę styku z Internetem. U250
umożliwia kontrolę połączeń sieciowych,
blokowanie włamań oraz szyfrowanie
transmisji dla użytkowników mobilnych
i zdalnych lokalizacji. Działa także jako
stateful firewall (zapora ogniowa z nadzorowaniem połączeń), IPS (Intrusion
Prevention System – system zapobiegania włamaniom), brama antywirusowa
wykorzystująca silnik Kaspersky’ego lub
ClamAV oraz mechanizm filtracji treści
i adresów stron WWW. Ponadto UTM
oferuje możliwość tworzenia do 512 tuneli VPN wykorzystujących SSL oraz połączeń szyfrowanych IPSec.
SPECYFIKACJA:
Przepustowość firewalla
i IPS (Mbps): 850
Przepustowość IPSec VPN (AES): 190
Interfejsy 10/100/1000: 6
Jednoczesne połączenia: 400 000
Nowe sesje/sekundę: 8500
VLAN-y 802.1Q: 128
Liczba tuneli IPSec VPN: 1000
Liczba tuneli SSL VPN: 512
Maksymalna liczba reguł
filtrowania: 8000
Jednoczesne klienty PPTP: 96
Redundantne połączenia WAN: 8
Technologie: routing w oparciu
o reguły, silnik ASQ, wykrywanie
i analiza protokołów, sygnatury
kontekstowe, ochrona VoIP, opcjonalnie:
wewnętrzny audyt sieci SEISMO
CENA:
Urządzenie U250: ok. 3000 EUR + VAT
Podstawowy serwis na 1 rok
dla urządzenia U250: ok. 720 EUR + VAT
ALTERNATYWNE PRODUKTY:
Netasq UTM U30
– cena ok. 2700 PLN + VAT
FortiGate 200A – cena b.d.
>>>>>>>>
Wielkość sieci ma znaczenie
Producent podaje wydajność firewalla
z IPS na poziomie 850 Mbps, możliwość
obsługi 400 000 połączeń jednoczesnych
oraz 8500 nowych sesji na sekundę. Daje
26
| MARZEC 2010
www.itwadministracji.pl
to duże możliwości, jednak w przypadku, gdy potrzebujemy innej wydajności,
możemy zdecydować się na inny model
urządzenia, mającego praktycznie identyczną funkcjonalność. Jeżeli większą,
możemy zdecydować się na U450 lub
U1100, które dysponują odpowiednio
wydajnością firewalla z IPS na poziomie 1000 Mbps i 2800 Mbps oraz liczbą
jednoczesnych połączeń równą maks.
600 000 oraz 800 000. W przypadku
TESTY
mniejszych wymagań dobrym rozwiązaniem byłyby U120 lub U70, oferujące
odpowiednio wydajność 700 Mbps oraz
600 Mbps, a także liczba obsługiwanych
połączeń jednoczesnych na poziomie
200 000 oraz 100 000.
W testowanym UTM-ie zastosowano
rozwiązania gwarantujące wysoką dostępność oraz wydajność urządzenia. Jest
to połączenie wydajnego sprzętu oraz
oprogramowania systemowego, którego
centrum stanowi ASQ (Active Security
Qualification). Jest to technologia IPS wbudowana w system operacyjny urządzeń
Netasq, która ogranicza czas wykonywania
operacji poprzez analizę ruchu sieciowego
na poziomie mniejszej liczby modułów
niż w przypadku standardowych rozwiązań. Producent podaje, że w klasycznym
przypadku UTM potrzebuje 31 kroków,
aby zanalizować ruch sieciowy, natomiast
UTM z silnikiem ASQ już tylko 12. ASQ
jest technologią rozwijaną w laboratoriach
Netasq od 1998 roku. Bazuje ona na kontroli transmisji w odniesieniu do wykorzystywanych protokołów, kontekstu analizy pakietu, ale zawiera także mechanizm
heurystycznego wykrywania zagrożeń.
Przez zastosowanie sygnatur kontekstowych Netasq UTM ogranicza zjawisko tzw.
false positive, czyli oznaczania jako szkodliwego kodu w ruchu sieciowym, który
w rzeczywistości nie stanowi zagrożenia
dla sieci. Dzięki zmniejszeniu rozmiarów
zjawiska false positive administrator nie
jest zarzucany dużą liczbą przeznaczonych
do dalszej analizy incydentów, które – choć
na pewno zmieszczą się w dziennikach
zdarzeń na zastosowanym w urządzeniu
dysku o pojemności 70 GB – niepotrzebnie
wprowadzałyby administratora w błąd.
Urządzenie oferuje także redundancję
na poziomie sprzętu i połączenia z siecią
WAN. UTM może działać w trybie High
Availability (jako klaster), czyli wysokiej
dostępności, równolegle z drugim U250.
Dysponując sześcioma portami Ethernet, możemy przeznaczyć dwa z nich do
obsługi łączy internetowych, które mogą
działać w trybie failover.
Sprzęt i uruchomienie
Netasq U250 ma solidną obudowę metalową o wysokości 1U oraz wymiarach
umożliwiających montaż w szafie 19”.
Z przodu urządzenia znajdują się: sześć
portów Gigabit Ethernet, port USB, port
monitora i klawiatury oraz RS232 dla
konsoli tekstowej. Całość sygnalizacji
znajduje się również na przednim panelu,
przy czym przy każdym porcie Ethernet
umieszczono diodę sygnalizującą stan
portu i prędkość połączenia. Nie zostały
umieszczone konkretne oznaczenia portów, np. LAN, WAN, DMZ, zastosowano
wyłącznie numerację portów.
W zestawie znajdują się kable Ethernet potrzebne do podłączenia urządzenia
do sieci LAN oraz kabel do konsoli CLI
(command line interface). Aby rozpocząć
konfigurację, wystarczy podłączyć komputer do jednego z portów, a komputer
otrzyma odpowiedni adres IP przekazany
przez serwer DHCP z podsieci podanej
w skróconej instrukcji obsługi. Konfiguracja połączenia z urządzeniem odbywa
się początkowo poprzez przeglądarkę
internetową, po czym właściwą konfigurację UTM-a rozpoczynamy po instalacji
dołączonego oprogramowania Netasq
Unified Manager.
po lewej stronie interfejsu, a w centrum
znajdują się informacje o aktywnej konfiguracji oraz rodzajach licencji. Dostępne
grupy opcji dotyczą sieci, IPS, SEISMO
(analizatora podatności), wysyłki powiadomień przez e-mail, logów, aktualizacji,
kalendarzy, harmonogramu stosowania
zestawów zasad, certyfikatów i PKI, polityk zabezpieczeń, autentykacji, VPN,
proxy, analizy treści oraz standardowych
usług sieciowych, np. DHCP. Po rozwinięciu poszczególnych opcji mamy dostępnych wiele funkcji, które mogą służyć
ochronie przed zagrożeniami, jak również kontroli pracy użytkowników.
Na pierwszy rzut oka możemy być zdezorientowani, od czego zacząć. Na szczęście
jednak do urządzenia dołączono płytę ze
skróconą dokumentacją w języku polskim,
dzięki której zaczniemy w miarę sprawnie poruszać się po angielskojęzycznym
>>
Werdykt
IPS z dużą liczbą sygnatur
Filtrowanie treści
dla 4 najważniejszych protokołów
Częste aktualizacje sygnatur
FOT. MATERIAŁY PRODUCENTA
>>>>>>>
Ochrona sieci
Nazwę użytkownika i hasło, które podajemy podczas logowania, możemy zapisać w oferowanej przez oprogramowanie
książce adresowej. Książka przechowywana jest w zaszyfrowanej bazie na dysku
komputera administratora. Opcje zorganizowane są hierarchicznie w drzewku
www.itwadministracji.pl
Integracja z Active Directory/LDAP
Dokumentacja w języku polskim
Czasami skomplikowana konfiguracja
Nieefektywne narzędzie
do analizy logów
Ocena końcowa:
4/5
| MARZEC 2010
27
TESTY
Edycja zasad filtrowania we wbudowanym firewallu
>> interfejsie
konfiguracyjnym. W Netasq
Unified Manager nie znajdziemy opcji
związanych z monitorowaniem w czasie
rzeczywistym urządzenia oraz odczytem
logów. Do tego służą dwie osobne aplikacje, odpowiednio: Netasq Realtime Monitor oraz Netasq Event Reporter.
Przyjrzyjmy się konfiguracji dwóch
najważniejszych usług bezpieczeństwa,
firewalla oraz IPS. Filtr pakietowy znajdziemy w grupie funkcji Policy pod nazwą Filtering. Po wybraniu tej opcji pojawia się okienko, które służy do wyboru
slotu. Pod tym pojęciem producent ukrył
zestawy zasad, które możemy konfigurować niezależnie i stosować w różnym czasie samodzielnie bądź automatycznie – za
pomocą harmonogramu. Przykładem
może być zestaw reguł urzędu, stosowany
od godziny 7.30 do 15.30, umożliwiający
normalną pracę wszystkim uprawnionym użytkownikom, a następnie zestaw
w slocie nr 2, który jest stosowany po
godzinie 15.30, pozwalający na dostęp do
odpowiednich zasobów sieci Internet jedynie administratorowi. Reguły firewalla,
przetwarzane kolejno, możemy skonfigurować z dużą dokładnością, opierając się
na obiektach tworzonych w książce adresowej. Mamy możliwość zdefiniowania
reguły na podstawie nazwy hosta, zakresu adresów, podsieci, grup (hostów, sieci)
oraz usług lub grup usług. Możemy również zdefiniować kierunek sprawdzanego
ruchu sieciowego, decyzję firewalla czy
choćby interfejs, na którym reguła będzie
funkcjonować.
Podobnie są zorganizowane reguły
NAT, które umożliwiają dokładną definicję reguł dotyczących translacji adresów
lub przekierowania ruchu sieciowego do
odpowiedniej usługi sieciowej, np. proxy.
Na szczęście nie musimy konfigurować
wszystkich reguł, część z nich może być
utworzona automatycznie w zależności od uruchomionej funkcji przez tzw.
implicit rules. Są to reguły automatyczne, stosowane w pierwszej kolejności,
jeszcze przed regułami administratora,
które są niezbędne do uruchomienia komunikacji, np. VPN, SMTP, POP3 itp.
Na przykład: uruchamiając usługę IPSec
VPN, automatycznie tworzone są zasady
ogólne (implicit rules) dla pakietów ESP
oraz ISAKMP, powiązane z interfejsem
zewnętrznym firewalla.
przez IPS-a pod kątem zgodności ze standardami RFC. Ruch niezgodny z zasadami zdefiniowanymi na podstawie dokumentów RFC jest blokowany. Ponadto
kontroli podlegają pojedyncze pakiety
oraz ich fragmenty, połączenia sieciowe
oraz ustanowione sesje. Za analizę protokołów odpowiedzialne są wtyczki (pluginy), które analizują transmisję, np. FTP,
MySQL, SIP. Niektóre z nich, jak plug-in
FTP, udostępniają opcje konfiguracyjne
do określenia maksymalnych dozwolonych buforów dla poszczególnych składowych protokołu, jednakże większość
działa zupełnie automatycznie, nie pozwalając administratorowi na zmianę
parametrów.
Porównanie z bazą sygnatur ataków
i zagrożeń jest kolejnym elementem
ochrony w IPS U250. Testowany UTM
zawiera wzorce zawartości pakietów odpowiadających poszczególnym rodzajom
zagrożeń. Baza sygnatur systemu IPS
może zawierać dużą liczbę wzorców, przez
co może stanowić źródło tzw. false positive, czyli wykrywać ataki lub zagrożenia,
których nigdy nie było. IPS, przez analizę w odpowiednim kontekście, pozwala
na ograniczenie wspomnianych błędów.
UTM Netasq U250 ma zestaw sygnatur
kontekstowych, odpowiedzialnych za wykrywanie np. malware, zagrożeń przesyłanych z witryn WWW, ataków typu SQL
injection. Pomimo zastosowanych technik
można jednak zauważyć, że w standardowej konfiguracji IPS stanowi czasami dla
użytkowników źródło problemów, ponieważ reaguje na zagrożenia bez przyczyny,
np. blokując część zawartości bardziej rozbudowanej strony Sieci. Choć istnieje tu
opcja bypass, która pozwala na ominięcie
kontroli IPS dla wskazanej grupy hostów,
to nie zawiera ona opcji wyłączenia tylko
jednej sygnatury dla wskazanej grupy. Możemy wyłączyć kontrolę z dokładnością do
„końcówek” transmisji, np. komputera
w sieci lokalnej i witryny WWW, lecz wyłączenie będzie obowiązywać dla wszystkich sygnatur systemu IPS.
Netasq U250 potrafi działać w sposób
transparentny. Uzyskujemy go przez konfigurację interfejsów sieciowych w trybie
mostka. Jest to możliwość często wykorzystywana przez administratorów,
>>>>>>>>>
28
| MARZEC 2010
Niemiły dla włamywacza
Ochrona przed włamaniami jest centralnym punktem zabezpieczeń w tego
typu urządzeniach. Netasq U250 zawiera
funkcję IPS, podzieloną na 3 grupy: analiza protokołów, analiza heurystyczna oraz
porównanie analizowanego ruchu sieciowego ze zdefiniowanymi sygnaturami
zagrożeń i ataków. W analizie protokołów, podczas przesyłania pakietów przez
UTM, ruch sieciowy jest kontrolowany
www.itwadministracji.pl
TESTY
którzy nie chcąc zmieniać konfiguracji
sieci, wpinają urządzenie kontrolujące
ruch sieciowy w trybie inline.
Jeżeli dysponujemy własnymi serwerami WWW, FTP lub poczty SMTP/POP3,
możemy wykorzystać Netasq U250 do ich
ochrony przez utworzenie strefy DMZ (DeMilitarized Zone – strefa zdemilitaryzowana). W UTM możemy przeznaczyć dowolny port, do którego chcielibyśmy podłączyć
nasz serwer, a w oprogramowaniu urządzenia wystarczy uruchomić odpowiednie reguły wykrywania włamań i kontroli
na wskazanym interfejsie. W przypadku
hostów znajdujących się w strefie DMZ
ryzyko ataku jest wysokie, szczególnie zagrożenie ze strony DoS (Denial of Service)
lub exploitów wykorzystujących przepełnienie buforów. Jest ono jednak minimalizowane przez wiele sygnatur IPS, przeznaczonych do wykrywania zagrożeń
serwerów i aplikacji WWW.
Kontrola aplikacji
W testowanym UTM U250 jest kilka
ważnych funkcji, podnoszących poziom
bezpieczeństwa komputerów znajdujących się wewnątrz sieci LAN. Zestaw
usług proxy, przechwytujących komunikację SMTP, POP3, HTTP, FTP, pozwala
na sprawdzenie treści przesyłanych tymi
protokołami za pomocą modułu antywirusowego, antyspamowego oraz filtracji
URL. Antywirus wykorzystuje dwa silniki: Kaspersky oraz ClamAV. Domyślnie
włączony jest ClamAV, a z ochrony aplikacji Kaspersky’ego możemy korzystać po
wykupieniu dodatkowej opcji. Podobnie
wygląda kontrola dostępu do kategorii
URL. Bez konieczności dodatkowych
opłat mamy dostęp do ograniczonej
bazy danych niebezpiecznych adresów,
jednakże po wykupieniu odpowiedniej
subskrypcji dostępna jest również duża
liczba kategorii Optenet. Reguły dostępu
do odpowiednich witryn WWW możemy
w tym module kontrolować za pomocą
podobnych reguł jak w przypadku firewalla, z tą różnicą, że opieramy je na grupie
hostów i użytkowników oraz wskazanej
kategorii witryn. Przykładem mogą być
kategorie takie jak proxy i anonimizery,
portale społecznościowe, serwery P2P,
news, games itd. Wskazując, które z grup
Podsumowanie
UTM Netasq U250 jest jednym z urządzeń z rodziny zintegrowanych rozwiązań zabezpieczeń bramy dostępu do
Internetu. Cechuje się rozbudowaną
funkcjonalnością, przeznaczoną przede
wszystkim dla organizacji średniej
wielkości. Przewidziano montaż urządzenia w szafie teleinformatycznej 19’’,
a dzięki umieszczeniu najważniejszych
portów na panelu przednim kontrola
fizycznych połączeń nie nastręcza
problemów. Konfigurację ułatwia przejrzysta aplikacja służąca do zarządzania
urządzeniem. Jednak niektóre funkcje
wymagają miejscami skomplikowanych i jednocześnie słabo udokumentowanych operacji, których opis
dostępny jest wyłącznie w angielskojęzycznej bazie wiedzy Netasq. Istnieje
możliwość integracji z Active Directory,
która działa poprawnie, jednakże
uruchomienie autoryzacji typu Single
Sign-On jest skomplikowane i słabo
udokumentowane. Dostęp zdalny do
sieci LAN może być realizowany za pomocą IPSec VPN oraz SSL VPN, a liczba
tuneli jest wystarczająca dla większości
zastosowań. Monitorowanie w czasie
rzeczywistym jest mocną stroną U250,
natomiast najsłabszym elementem zestawu jest aplikacja służąca do odczytu
historycznych logów z urządzenia.
Urządzenie polecamy zaawansowanym administratorom, mającym wcześniejsze doświadczenie z systemami
firewall oraz IPS. Przyda się na pewno
znajomość systemów Linux/Unix/BSD,
ponieważ w niektórych bardziej skomplikowanych problemach będziemy
zmuszeni do poruszania się po bardzo
podobnym systemie operacyjnym za
pomocą konsoli tekstowej. Urządzenie
oferuje bardzo dobry poziom ochrony,
zapewniając najważniejsze funkcje
zabezpieczeń dla sieci jednostek administracji publicznej.
użytkowników mogą pobierać treści z odpowiednich grup witryn WWW, ograniczamy ryzyko dostępu malware do komputera lub przesłania informacji poza sieć
wewnętrzną za pomocą portali WWW
czy też wiadomości e-mail.
W opisywanym module brakuje jednak możliwości tworzenia własnych
zasad, które umożliwiałyby przechwytywanie zdefiniowanych słów lub wyrażeń
w przesyłanej treści. Przykładem monitorowanych treści mogą być informacje
wrażliwe z punktu widzenia urzędu czy
chociażby dane osobowe. Podobny problem dotyczy IPS-a. Jest on wprawdzie
często aktualizowany, jednakże dobrze
byłoby mieć możliwość utworzenia własnej reguły wyszukującej odpowiedni typ
pakietów, mogących świadczyć o pojawieniu się zagrożenia.
Serwery proxy dają nam jeszcze jedną
możliwość: otrzymania informacji o autoryzacji użytkownika w LDAP lub Active
Directory do urządzenia Netasq. W U250
mamy dostępny portal autoryzacyjny,
w którym użytkownik musi podać właściwe dane o autoryzacji, aby skorzystać
z zasobów sieci Internet. Zaimplementowana została również metoda SSO (Single
Sign-On), która pozwala na automatyczne przekazanie informacji o autoryzacji użytkownika w Active Directory bez
potrzeby ponownego podawania loginu
i hasła przez użytkownika. Niestety, jest
ona skomplikowana w konfiguracji i wymaga sporo pracy administratora.
Serwery proxy jednak nie zawsze działają niezawodnie. Podczas testów serwer
SMTP proxy przy wysyłaniu dużej liczby maili opóźniał wysyłanie wiadomości
nawet o godzinę. Po zgłoszeniu problemu wsparcie techniczne przesłało informację, że niestety może się tak zdarzyć,
a problem rozwiązać można wyłącznie
przez skorzystanie z konsoli tekstowej,
edycję pliku konfiguracyjnego proxy oraz
restart urządzenia.
>
>>>>>>>
www.itwadministracji.pl
Autor jest wieloletnim menedżerem Działu
Integracji Systemów. Obecnie jest audytorem
bezpieczeństwa systemów sieciowych oraz
trenerem kadr IT w sektorze administracji
publicznej. Specjalizuje się w zabezpieczeniach
systemów i aplikacji oraz projektowaniu
wielopoziomowych rozwiązań bezpieczeństwa.
| MARZEC 2010
29