Wymagania dla kompleksowego systemu ochrony sieciowej

Wymagania dla
kompleksowego systemu
ochrony sieciowej
ażne
 zaznacz w
dla Ciebie
lności
funkcjona
Współczesne zagrożenia sieci komputerowych wymagają zastosowania
zintegrowanej ochrony. Czy możliwe jest połączenie funkcjonalności, które
zagwarantują najwyższy poziom bezpieczeństwa sieci, treści i ochrony aplikacji,
przy jednoczesnym obniżeniu całkowitego kosztu zakupu oraz zapewnieniu
elastycznej i skalowalnej możliwości rozwoju? Przedstawiamy zestaw zagadnień,
które pozwolą Państwu na dobór optymalnego rozwiązania.
Platforma Zintegrowana:

Możliwość wirtualizacji w obrębie wszystkich funkcjonalności systemu bezpieczeństwa
Wirtualizacja pozwala budować w ramach jednej platformy fizycznej wiele niezależnych systemów
logicznych. Znajduje ona zastosowanie w ochronie wielu podmiotów lub stref bezpieczeństwa
w ramach jednej lokalizacji.Wirtualizacja może dotyczyć wszystkich funkcji bezpieczeństwa, takich
jak Firewall, IPS, Antywirus, Antyspam, WebFiltering, Kontrola Aplikacji, DLP, Uwierzytelnianie
i Optymalizacja.

Wszystkie funkcje kompleksowego systemu ochrony można uruchomić w ramach jednej platformy sprzętowej
Uruchomienie wszystkich funkcjonalności w ramach jednego urządzenia pozwala obniżyć koszty
implementacji kompleksowego systemu ochrony. Wiele platform natomiast to więcej urządzeń, kilka
interfejsów oraz bardziej złożona integracja.

Funkcje bezpieczeństwa licencjonowane na urządzenie
Licencjonowanie na określoną liczbę użytkowników jest kłopotliwe w dynamicznie rozwijających
się organizacjach. Dodatkowy użytkownik to kolejna licencja dodawana do systemu, która posiada
ponadto inną datę wygaśnięcia niż dotychczas zakupione licencje.

Granularna konfiguracja w zakresie poszczególnych funkcji bezpieczeństwa
Elastyczny system bezpieczeństwa pozwala definiować wiele zbiorów ustawień (profili) w zakresie
poszczególnych funkcjonalności, które będą później wykorzystywane w różnych politykach. Globalne
ustawienia dla urządzenia są dużym ograniczeniem.

System przystosowany do IPv6
Obecnie trwa proces stopniowej migracji do nowej wersji standardu.
W niektórych krajach, np. w Stanach Zjednoczonych, obsługa tego protokołu jest wymagana od lipca
2008r.
Firewall:

Firewall pozwala tworzyć polityki w oparciu o użytkownika domeny
Zapewnia spersonalizowaną politykę bezpieczeństwa. Administrator bazuje na grupach użytkowników,
np: serwis, finanse, administracja. Raporty podają szczegółowe informacje o aktywności użytkowników.

Sprzętowa akceleracja dla małych pakietów
Niezależnie od wielkości pakietów, którymi realizowana jest komunikacja, Firewall oferuje taką samą
przepustowość. Większość producentów podaje parametry wydajnościowe dla próbki ruchu w postaci
dużych pakietów. Małe pakiety mogą znacząco wpływać na spadek wydajności systemu.
VPN:

Szyfrowane połączenia IPSec VPN w oparciu o algorytmy kryptograficzne 3DES/AES
Nie wszystkie systemy oferują silne algorytmy szyfrowania w ramach platformy podstawowej.
W niektórych przypadkach wiąże się to z zakupem dodatkowej licencji. Systemy wyposażone
w sprzętową akcelerację pozwalają uzyskać duże przepustowości w zakresie szyfrowanych kanałów.
Ważne funkcjonalności w ramach IPSec to: wsparcie dla NAT Traversal, redundancja tuneli, realizowane
topologie, współoperacyjność (terminowanie IPSec over L2TP), zgodność z obowiązującym standardem.

Szyfrowane połączenia SSL VPN
Istotnym argumentem jest możliwość dokonania sprawdzenia łączącej się stacji w celu określenia jej
poziomu bezpieczeństwa (czy aktywne są Firewall oraz kontrola AV, jakie uruchomiono aplikacje, np.
wykrycie uruchomionych na zdalnej stacji aplikacji P2P blokuje możliwość zestawienia szyfrowanego
połączenia).

Kontrola treści i ruchu w szyfrowanym tunelu
Wszystkie funkcje bezpieczeństwa mogą kontrolować transmisję w szyfrowanym tunelu, tak aby
potencjalnie bezpieczny kanał komunikacyjny nie stał się źródłem ataku, infekcji czy wycieku informacji.
Nigdy nie wiemy jak dobrze zabezpieczony jest zdalny system, który łączy się do naszych zasobów oraz
czy obiekt z którym nawiązują połączenia nasi użytkownicy nie jest dla nich zagrożeniem.

Dedykowany klient IPSec/SSL VPN wraz z personalnym Firewallem, ochroną antywirusową i kontrolą treści
Brak takiej aplikacji powoduje, że musimy stosować aplikacje otwarte, które nie posiadają wsparcia,
pozbawione centralnego logowania i zarządzania bez gwarancji ich stabilności oraz realizowanego
poziomu bezpieczeństwa.

Certyfikat ICSA LABS na moduł VPN IPec/SSL
Kontrola aplikacji:

Możliwość wykrywania aplikacji (np. IM/GG, P2P/Skype, GMail, itp.)
na podstawie głębokiej analizy ruchu oraz ich kontrola.
Głęboka analiza ruchu pozwala wykrywać aplikacje niezależnie od wykorzystywanego protokołu czy
numeru portu. Administrator ma możliwość zablokowania określonej aplikacji działającej w ramach
portalu, nie ograniczając jednocześnie dostępu do pozostałych jego elementów.

Zarządzanie pasmem dla aplikacji
Istotną funkcją jest możliwość określenia maksymalnej wielkości pasma dla aplikacji, które nie są
istotne z punktu widzenia prowadzonej działalności. Użytkownik sieci może mieć na przykład dostęp
do WebMaila, ale pobierając z niego załącznik nie będzie zabierał pasma niezbędnego dla usług
działających produkcyjnie.
IPS/IDS:

Szeroka baza sygnatur dostarczana przez producenta sprzętu.
Szeroka baza sygnatur z minimalnym współczynnikiem błędnych trafień to duży atut systemu
ochrony przed atakami. Określenie przez producenta atrybutów sygnatury (czy chroni klienta / serwer,
jakiego OS dotyczy, jaką aplikację zabezpiecza) pozwala w szybki i łatwy sposób definiować zbiory
sygnatur istotnych dla chronionych zasobów. Oszczędzamy w ten sposób zasoby analizując ruch tylko
sygnaturami, które mają sens. Po co stosować na przykład sygnatury chroniące serwer HTTP, skoro
takiego serwera nie posiadamy.

Własne sygnatury IPS, np. zgodne ze SNORT
Czasem zdarza się, że aplikacje wewnętrzne działają w oparciu o niestandardową komunikację,
która może być blokowana przez predefiniowane sygnatury IPS. W takiej sytuacji niekoniecznie
musimy rezygnować z ochrony aplikacji wyłączając sygnaturę. Zdecydowanie lepszym wyjściem jest
opracowanie własnej reguły chroniącej ruch.

Możliwość zapisania pakietu stanowiącego o ataku, jako dowód
na przeprowadzony atak (dowód w sprawach Cyber Crime)
Po przeprowadzonym ataku pozostaje ślad w postaci zapisanego pakietu, który następnie można użyć
do przeprowadzenia analizy zdarzenia. Niezależnie zapisany materiał może być wykorzystany
w procesie dowodowym.

Czy system ma możliwość wykrywania anomalii ruchu i protokołów – ochrona DoS, DDoS (np. 500 sesji TCP od jednego użytkownika,
10k sesji do mojego serwera)
DoS oraz DDoS to kłopotliwa forma ataków, przeprowadzana najczęściej z wykorzystaniem sieci Botnet.
Jest ona dotkliwa zarówno dla atakowanych celów (w tym przypadku chodzi o „unieruchomienie”
serwerów), jak i atakujących sieci komputerowych w firmach i przedsiębiorstwach, w których
zainfekowana stacja przeprowadza atak narażając adres firmy lub całą domenę na wciągnięcie do baz
Blacklistowych. Dostępne na rynku zabezpieczenia minimalizują zagrożenia wykrywając tego rodzaju
ataki i blokując je zanim dosięgną celu lub zostaną rozpropagowane.

Certyfikat ICSA LABS na IPS
Antywirus:

Skanowanie w oparciu o proxy – technika pozwalająca analizować dowolny typ załącznika
Jakiej przepustowości jest łącze WAN, na którym będziemy skanować ruch? Czy kilkanaście, kilkadziesiąt
Mbps skanowanego ruchu to za mało? Czy jako załączniki przesyłane są do mojej firmy pliki typu zip,
RAR i inne?

Skanowanie potokowe oferuje dużą przepustowość kosztem bezpieczeństwa
Z założenia nie poddaje skanowaniu niektórych plików spakowanych, np. ZIP, RAR. Jeżeli nie wymagamy
skanowania każdego typu pliku, wybieramy tę opcję.

Czy uruchomienie skanowania antywirusowego wymaga rozbudowy sprzętowej o dodatkowe moduły
W niektórych przypadkach uruchomienie w systemie bezpieczeństwa wszystkich funkcji ochronnych
wymaga zastosowania co najmniej dwóch maszyn lub dedykowanych modułów rozszerzających.
Powiększa to koszt rozwiązania i komplikuje implementację.

Akceleracja sprzętowa dla kontroli AV
Akceleracja sprzętowa pozwala uzyskiwać duże przepustowości skanowania również w technice
skanowania bazującej na Proxy.

Skanowanie Antywirusowe podstawowych protokołów: HTTP, FTP, SMTP, POP3, IMAP, HTTPS, SMTPS, POP3S, IMAPS
Wymienione protokoły są najczęściej wykorzystywanymi kanałami komunikacyjnymi wymiany danych.
Z tego powodu powinny być analizowane przez system bezpieczeństwa, w szczególności poddawane
inspekcji AV.

Skanowanie ruchu realizowanego w oparciu o protokół IPv6
Część rozwiązań oferowanych na rynku bezpieczeństwa jest już przystosowana do pracy w nowym
standardzie IPv6.

Analiza ruchu dla protokołów działających na niestandardowych portach
Niektóre aplikacje, aby ominąć zabezpieczenia, realizują komunikację z wykorzystaniem
niestandardowych portów. Nie wszystkie systemy bezpieczeństwa mogą je rozpoznać i poddać inspekcji
przesyłaną zawartość.

Certyfikat ICSA Labs dla funkcjonalności AV
Antyspam:

Analiza ruchu z prędkością łącza bez błędnych trafień
Analiza wiadomości pocztowych w punkcie styku z internetem musi być realizowana natychmiast bez
składowania maili w celu ich późniejszej obróbki. Niechciana poczta może być usunięta lub oznaczona.
Istotne jest, aby metoda analizy poczty nie powodowała błędnych trafień.

Wykrywanie niechcianej poczty dla protokołów szyfrowanych SSL (SMTPS, POP3S, IMAPS)
Użytkownicy sieci coraz częściej korzystają z szyfrowanych kanałów komunikacyjnych przy dostępie do
serwerów poczty. Analiza protokołów szyfrowanych staje się niezbędna.

Certyfikat ICSA Labs dla funkcji Antyspam
Optymalizacja i buforowanie WAN:

Akceleracja aplikacji w sieci WAN w komunikacji Site-to-Site
oraz Client-to-Site
Na rynku istnieje grupa produktów dedykowanych przyspieszaniu pracy wybranych aplikacji.
Technologia optymalizacji jest coraz częściej implementowana w systemach zintegrowanych. Stosując
różnorodne techniki optymalizacji (cache’owanie obiektów, byte cache’ing, optymalizację protokołów
i inne) zmniejszamy czas potrzebny do zrealizowania transmisji i ograniczamy ilość transmitowanych
danych. Funkcjonalność szczególnie atrakcyjna dla firm wielooddziałowych oraz wszędzie tam, gdzie
mamy do czynienia z pracownikami mobilnymi.

Funkcjonalność Transparent lub Explicit Proxy
Cała komunikacja do świata zewnętrznego jest kierowana do wskazanego adresu. Działająca na nim
aplikacja Proxy może realizować różne usługi dodatkowe (uwierzytelnianie, inspekcja ruchu, itp.).

Cache dla protokołów HTTP, HTTPS, FTP
Obiekty ściągane ze stron są zapisywane czasowo na podręcznym dysku. Dla kolejnego użytkownika
z sieci, który uzyskuje dostęp do tych samych zasobów są one przesyłane lokalnie bez konieczności
ponownego ściągania. Oszczędzamy w ten sposób pasmo na łączach WAN oraz przyspieszamy dostęp
do treści.
Ochrona przed Wyciekiem Danych (DLP):

Możliwość identyfikacji i zapobiegania wyciekowi danych wrażliwych poza sieć
Systemy analizujące treść i kontrolujące przepływ informacji są zwykle implementowane w postaci
dedykowanych rozwiązań – zwykle kosztownych. Niektóre z oferowanych przez nie funkcjonalności
są coraz częściej uruchamiane w ramach zintegrowanych platform bezpieczeństwa. Administrator
sieci ma możliwość zapisania sesji określonych użytkowników, może zablokować próbę wysłania
informacji, w której znajdują się np. określone słowa kluczowe czy zablokować próbę wysłania plików
zabezpieczonych hasłem.
Firma ICSA Labs od ponad dwudziestu lat dostarcza niezależnych i wiarygodnych informacji
o produktach z dziedziny bezpieczeństwa informatycznego. Firma zapewnia niezależne od producentów
testy i certyfikację dla setek produktów związanych z bezpieczeństwem. Dzięki własnemu laboratorium
i restrykcyjnym kryteriom oceny firma ICSA Labs jest niekwestionowanym autorytetem w dziedzinie
bezpieczeństwa IT.
FIREWALL-CORPORATE
NETWORK IPS
ANTI-VIRUS
SSL-VPN
IPSEC-BASIC
ANTI-SPAM