با سلام خدمت شمادوستان عزیز و مدیران آی تی محترم
در این پست قصددارم یکی از ابزار های امنیتی شبکه را به شما معرفی کنم.
(Unified Threat Management (UTM شاید برای شما جالب باشد که بدانید UTM چیست؟ UTM عبارتست از سیستم مدیریت یکپارچه تهدیدات، شامل مجموعه ای کامل و جامع از تمامی راهکارهای امنیتی:
- برقراری دیوار آتش Identity Based Firewall - ایجاد شبکه خصوصی مجازی Virtual Private Network)***) - ضدویروس Anti-Virus - ضدهرزنامه Anti-Spam - شناسایی و جلوگیری از نفوذگران Intrusion Detection and Prevention - *****ینگ محتوی Content Filtering - مدیریت پهنای باند Bandwidth management - ضد جاسوس افزار، ضد برنامههای کلاهبرداری Anti-Spyware/Anti-Phishing/AntiPharming
با توجه به گوناگونی و تنوع ابزارهای امنیت اطلاعات و شبکه، چرا UTM پیشنهاد می شود؟ در پاسخ، برخی از مزایای UTM را نام می بریم:
امکان مدیریت واحد و مجتمع جهت: - *****ینگ براساس محتوی - کنترل ویروسها و هرزنامهها - دیوار آتشین و ایجاد شبکههای خصوصی مجازی - امکان نصب آسان در شبکه - بهره گیری از سیستمهای دفاعی جهت واکنش سریع و بلادرنگ به هرگونه تهدید شبکه ای - مقرون به صرفه بودن از لحاظ اقتصادی و کم بودن هزینههای نصب و نگهداری سیستم - بالا بردن بهره وری شبکه - امکان کنترل متمرکز - ایجاد محیط امن و سالم در شبکه - توانایی بالا در گزارش گیری و ارائه گزارشات متنوع به مدیر شبکه
وظایف امنیتی
دیواره آتش، جلوگیری از نفوذ، ضد ویروس، ضد هرز نامه، شبکه اختصاصی مجازی، *****ینگ محتوا، گزارش گیری و ... بازار سیستم مدیریت یکپارچه تهدیدات در سراسر جهان به ارزش حدود ۱٫۲ میلیارد دلار در سال ۲۰۰۷ رسید و پیش بینی میشود تا سال ۲۰۱۱ نرخ رشد سالانه ۳۵ تا ۴۰ درصدی داشته باشد. واژه سیستم مدیریت یکپارچه در اصل توسط شرکت IDC که شرکت پژوهش بازار است ابداع شد. مزایای امنیت یکپارچه در این نهفته شدهاست که در حقیقت بجای اجرای سیستمهای متعدد که بصورت جداگانه هر کدام سرویسهای مختلفی را ارائه دهند(آنتی ویروس، *****ینگ محتوا، جلوگیری از نفوذ و توابع ***** کردن هرزنامه) یک دستگاه تمامی این سرویسها را بصورت یکپارچه ارائه دهد. سازمانها با استفاده از دستگاههای UTM دارای انعطاف پذیری بیشتری هستند . از مزیتهای اصلی UTM میتوان به سادگی، نصب و استفاده کارآمد و توانایی به روز رسانی تمامی توابع امنیتی اشاره کرد.
تاریخچهای پیرامون UTM
اولين ويرايشهاي سيستم مديريت يكپارچه تهديدات با نام UTM، از اوايل سال 2003 ايجاد شده است. با توجه به بررسيهاي انجام گرفته اولين محصول UTM توسط شركت ServGate به بازار ارائه شده است. از آن زمان تاکنون شرکتهای بسیاری وارد این عرصه شده اند که بعضا محصول خود را بصورت نرم افزاری و بعضا همراه با سخت افزار ارائه مینمایند.
راهکار استفاده از UTM در مواجهه با حملات روز افزون علیه سیستمهای اطلاعاتی سازمانها از طریق هک، ویروسها، کرم امنیتی(ترکیبی از حملات و تحدیدهای خارجی و داخلی) ضروری به نظر میرسد. به علاوه تکنیکهایی که کاربران سازمانها را به عنوان لینکهای ارتباطی ضعیف مورد هدف قرار میدهند، عواقبی فراتر از حد تصور در پی دارند. در حال حاضر امنیت دادهها و دسترسی غیر مجاز کارمندان به عمدهترین نگرانی شرکتها تبدیل شدهاست. به این دلیل هدفهای مخرب و از دست رفتن اطلاعات منجر به ضررهای زیاد مالی برای شرکتها شدهاست. اصولا این دستگاههای از فناوری ASIC سخت افزاری استفاده می کنند تا بالاترین performance را داشته باشند.
سرويسهاي امنيتي تشكيل دهنده UTM
از آنجايي كه يك محصول UTM تعداد زيادي سرويس امنيتي را در درون خود بكارگيري ميكند، لذا حجم زيادي از توان پردازنده و حافظه را به خود اختصاص ميدهد، و شركتهاي معتبر توليد كننده UTM، از سختافزارهاي قوي و بكارگيري تكنيكهاي مختلف سختافزاري و نرمافزاري در جهت افزايش Performance سيستمهاي خود استفاده ميكنند. Performance Acceleration به منظور افزايش كارايي يك سامانه UTM اجرا ميشود، به اين منظور معمولاً فعاليت بخشهايي از سيستم كه نياز به حجم پردازنده بالايي دارد را به سختافزار واگذار ميكنند؛ بطور مثال بجاي استفاده از *** و يا IPS نرمافزاري از نمونههاي معادل آن كه بصورت سختافزاري توليد شدهاند، استفاده ميشود. به اين ترتيب هر سرويس امنيتي بصورت يك كارت سختافزاري طراحي و در سامانه UTM مورد استفاده قرار گرفته و كارايي را فوقالعاده افزايش ميدهد.
Nik0TiN
November 4th, 2012, 14:01
معرفی مختصر زیر مجموعههای UTMها
1 - Network Firewall دیواره آتش شبکه
دیواره آتش Secure point ترافیک ورودی و خروجی شبکه و همچنین ترافیک بین شبکههای داخلی را کنترل می کند. مدیر شبکه می تواند دسترسی به پروتکل را به هر شبکه داخلی، سرویس دهنده، هر سرویس و هر گروه از کاربران اجازه استفاده داده و یا مسدود نماید.
2 - شبکه خصوصی مجازی***
در قسمت *** Secure point از روشهای مختلف رمزگذاری دادهها (Data Encryption) استفاده میکند تا یک تونل امن بر روی بستر عمومی اینترنت ایجاد کند. برای پاسخگوئی به هر نیاز، Secure point ***با انواع ساختارهای *** سازگاری دارد مانند Host to Host, Net to Net & Host to net. Secure point *** انواع پروتکلهای *** نظیر IPSec, L2TP Over IPSec, PPTP را پشتیبانی می کند. همچنین کاربران *** می توانند از نوع Windows, Mac OS X, Windows Mobile و دیگر انواع کاربران *** برپایه استاندارد IPSec باشند.
3 - عامل تصدیق کاربر User Authentication
تعیین صحت (Authentication) و مشخص کردن حدود و اختیارات هر کدام از کاربران در محیط DHCP و پشتیبانی از پروتکل Radius می باشد.
4 - ***** محتواContent Filtering
***** کردن محتوای اطلاعات دریافتی از اینترنت http و ftp بوسیله طبقه بندی ( مبتذل، خشونت، ...) و یک ***** هوشمند برای محافظت اطلاعات کارکنان و منابع شبکه ای سازمان.
5 - Firewall Security Management مدیریت امنیت دیواره آتش
این نرم افزار یک ابزار گرافیکی با امنیت بالا برای مدیریت از راه دور Secure point Network Firewall, *** وAnti Virus/Content Filter است. Secure point Security Manager شما را از خطرات ناشی از مشکلات امنیتی مرورگرها حفظ میکند (برخی دیوارههای آتش از یک مرورگر معمولی برای پیکربندی استفاده میکنند و مرورگرها هم مسائل امنیتی خاص خود را دارند) و همچنین رمزنگاری در آن پیاده سازی شده است.
6 - Spam Filter ***** ایمیلهای ناخواسته
پیشگیری و مسدود کردن ایمیلهای ناخواسته برای پروتکلهای SMTP و POP3
7 - Antivirus ضد ویروس
ترکیب و جمع چند اتصال فیزیکی شبکه و اجتماع آنها در یک اتصال منطقی بهمحافظت در برابر ویروسها، تروجانها، کرمها و کدهای مخرب، برنامههای جاسوسی (Spyware) برای پروتکلهای وب (FTP ,HTTP) و ایمیل (SMTP, POP3) . نرم افزار آنتی ویروس Securepoint پروتکلهای زیر را پشتیبانی میکند:
. SMTP - SMTP Antivirus Filtering
· POP3 - POP3 Antivirus-Filtering in transparent-mode
· HTTP - http Antivirus and Content Filtering
· FTP - ftp Antivirus and Content Filtering
8 - نرم افزار ضد جاسوسیAnti Spy ware
برنامههای جاسوسی برنامههای هستند که بون اطلاع و اجازه کاربر بر روی کامپیوتر وی نصب و فعال می گردد و اقذلم به جمع آوری اطلاعات درباره فعالیتهای کاربر و ارسال آنها به سایتهای خاص می نمایند. اثرات و عوارض این برنامههای جاسوسی از کند شدن تا سرقت اطلاعات شخصی و رمزهای عبور کاربر هستند. بخش ضد جاسوسی Secure point نه تنها از ورود برنامههای جاسوسی، تبلیغاتی . سایر برنامههای مخرب به داخل شبکه جلوگیری میکند بلکه از ارسال اطلاعات داخل به بیرون(حتی در صورت آلودگی سیستمهای شبکه به برنامههای جاسوسی) نیز جلوگیری می نماید.
9 - Traffic shaping
تعیین حق تقدم برای اطلاعات مهم و پشتیبانی برنامههای خاص همانند VoIP بوسیله تخصیص پهنای باند مشخص و سرویس دهی بهینه.
10 - IDS/IPS
این دیواره آتش با داشتن سیستم هوشمند شناسائی حملات قادر به شناسایی، ضبط، تحلیل و گزارش حملات به سیستم و تشخیص هر گونه فعالیتهای مشکوک میباشد همچنین IDS/IPS تکمیل کننده ای جهت سیستم شناسائی و مانع نفوذ به شبکه می باشد. معرفی مهمترين سرويسهاي امنيتي تشكيل دهنده سيستم UTM بصورت کامل
Nik0TiN
November 4th, 2012, 14:02
فايروال
فايروال وسيلهاي است که کنترل دسترسي به يک شبکه را بنابر سياست امنيتي شبکه تعريف ميکند.علاوه بر آن از آنجايي که معمولاً يک فايروال بر سر راه ورودي يک شبکه مي نشيند لذا براي ترجمه آدرس شبکه نيز بکار گرفته مي شود. مشخصههاي مهم يک فايروال قوي و مناسب جهت ايجاد يک شبکه امن عبارتند از: 1- توانايي ثبت و اخطار :ثبت وقايع يکي از مشخصههاي بسيار مهم يک فايروال به شمار ميرود و به مديران شبکه اين امکان را مي دهد که انجام حملات را کنترل کنند. همچنين مدير شبکه مي تواند با کمک اطلاعات ثبت شده به کنترل ترافيک ايجاد شده توسط کاربران مجاز بپردازد. در يک روال ثبت مناسب ، مدير مي تواند براحتي به بخشهاي مهم از اطلاعات ثبت شده دسترسي پيدا کند. همچنين يک فايروال خوب بايد بتواند علاوه بر ثبت وقايع، در شرايط بحراني، مدير شبکه را از وقايع مطلع کند و براي وي اخطار بفرستد. 2- بازديد حجم بالايي از بستههاي اطلاعات: يکي از تستهاي يک فايروال ، توانايي آن در بازديد حجم بالايي از بستههاي اطلاعاتي بدون کاهش چشمگير کارايي شبکه است. حجم داده اي که يک فايروال ميتواند کنترل کند براي شبکههاي مختلف متفاوت است اما يک فايروال قطعا نبايد به گلوگاه شبکه تحت حفاظتش تبديل شود.عوامل مختلفي در سرعت پردازش اطلاعات توسط فايروال نقش دارند. بيشترين محدوديتها از طرف سرعت پردازنده و بهينه سازي کد نرم افزار بر کارايي فايروال تحميل مي شوند. عامل محدودکننده ديگر ميتواند کارتهاي واسطي باشد که بر روي فايروال نصب مي شوند. فايروالي که بعضي کارها مانند صدور اخطار، کنترل دسترسي مبني بر URL و بررسي وقايع ثبت شده را به نرم افزارهاي ديگر ميسپارد از سرعت و کارايي بيشتر و بهتري برخوردار است. 3- سادگي پيکربندي: سادگي پيکربندي شامل امکان راه اندازي سريع فايروال و مشاهده سريع خطاها و مشکلات است.در واقع بسياري از مشکلات امنيتي که دامنگير شبکهها مي شود به پيکربندي غلط فايروال بر ميگردد. لذا پيکربندي سريع و ساده يک فايروال ، امکان بروز خطا را کم مي کند. براي مثال امکان نمايش گرافيکي معماري شبکه و يا ابزراي که بتواند سياستهاي امنيتي را به پيکربندي ترجمه کند ، براي يک فايروال بسيار مهم است. 4- امنيت و افزونگي فايروال: امنيت فايروال خود يکي از نکات مهم در يک شبکه امن است.فايروالي که نتواند امنيت خود را تامين کند ، قطعا اجازه ورود هکرها و مهاجمان را به ساير بخشهاي شبکه نيز خواهد داد. امنيت در دو بخش از فايروال ، تامين کننده امنيت فايروال و شبکه است: الف- امنيت سيستم عامل فايروال : اگر نرم افزار فايروال بر روي سيستم عامل جداگانه اي کار ميکند، نقاط ضعف امنيتي سيستم عامل ، مي تواند نقاط ضعف فايروال نيز به حساب بيايد. بنابراين امنيت و استحکام سيستم عامل فايروال و بروزرساني آن از نکات مهم در امنيت فايروال است. ب- دسترسي امن به فايروال جهت مقاصد مديريتي : يک فايروال بايد مکانيزمهاي امنيتي خاصي را براي دسترسي مديران شبکه در نظر بگيرد. اين روشها مي تواند رمزنگاري را همراه با روشهاي مناسب تعيين هويت بکار گيرد تا بتواند در مقابل نفوذگران تاب بياورد. تعدادي از ويژگيهاي فايروال عبارتند از:
Dynamic/static NAT and PAT on both inside and outside addresses
Policy-based NAT
Could be integrate with the external URL filtering softwares
SSH and Telnet for configuration
TACACS+ and RADIUS
Secure Management access through 3DES encryption standard
Up to 80,000 ACLs
Standard ACL for Open Shortest Path First (OSPF) route redistribution
Per-user ACLs
Routing Information Protocol (RIP) v1 and OSPF Dynamic routing protocol
Protection from Denial of Service (DoS)
DNS Guard
Flood Defender
Flood Guard
TCP Intercept
Unicast Reverse Path Forwarding (uRPF)
Mail Guard
FragGuard and Virtual Reassembly
Internet Control Message Protocol (ICMP) stateful inspection
User Datagram Protocol (UDP) rate control
ARP Inspection
Dynamic Host Control Protocol (DHCP)
Stateful failover
H.323 v3 and 4 intrusion detection (or prevention) system
يك سيستم تشخيص نفوذ عبارتست از ابزاري كه منحصرا براي پايش دروازههاي اطلاعاتي، فعاليتهاي خصمانه و نفوذهاي شناخته شده پيكربندي شدهاست. يك IDS يك ابزار تخصصي است كه بخوبي قادر است تا ترافيك شبكه و يا فعاليتهاي ميزبانهاي آنرا تجزيه و تحليل كند. دادههاي تحليل شده ميتواند از آناليز بستههاي شبكه گرفته تا محتواي فايلهاي Log متعلق به فايروالها، روترها و سرويسدهندهها و نيز فايلهاي Log سيستمهاي محلي و دادههاي جريان شبكه را شامل شود. بعلاوه، يك IDS معمولاً داراي يك پايگاهداده از الگوها و مشخصههاي حملات شناخته شده است كه ميتواند اين الگوها و مشخصهها را با دادههاي ترافيك شبكه و رفتار شبكه براي يافتن موارد انطباق مقايسه كند. در مواجهه با موارد يافته شده ترافيك خطرناك، سيستم تشخيص نفوذ ميتواند هشدارهايي را اعلام كرده و يا اقدامات خودكار مختلفي را همچون قطع جلسه ارتباطي يا لينك اينترنتي مبدأ حمله، مسدود كردن وي با بهروز كردن قواعد فايروال و يا انجام دادن فعاليتهاي بيشتر در جهت شناخت دقيقتر نفوذكننده و جمعآوري شواهد بيشتري در مورد فعاليتهاي شرورانه انجام دهد. درصورتي كه يك سيستم IDS توان پيشگيري ازنفوذ را نيز داشته باشند به عنوان IPS معرفي ميشوند؛ كه در اين حالت معمولاً سيستم تشخيص نفوذ يا با فايروال در ارتباط بوده و بستهها را از آن دريافت ميكند و يا اينكه خود در لايههاي پاييني هم سطح فايروال قرار داشته و فعاليت جلوگيري از نفوذ را نيز انجام ميدهد.
IDP Policies: Multiple, Custom
User-based policy creation
Automatic real-time updates
Protocol Anomaly Detection
Block HTTP ***** traffic
P2P applications signatures
IP logging
NTP Synchronization
Nik0TiN
November 4th, 2012, 14:03
***
*** دو كامپيوتر يا دو شبكه را به كمك يك شبكه ديگر كه به عنوان مسير انتقال به كار مي گيرد به هم متصل مي كند . براي نمونه مي توان به دو كامپيوتر يكي در تهران و ديگري در مشهد كه در فضاي اينترنت به يك شبكه وصل شده اند اشاره كرد . *** از نگاه كاربر كاملا” مانند يك شبكه محلي به نظر مي رسد . براي پياده سازي چنين چيزي ، *** به هر كاربر يك ارتباط IP مجازي مي دهد . دادههايي كه روي اين ارتباط آمد و شد دارند را سرويس گيرنده نخست به رمز در آورده و در قالب بستهها بسته بندي كرده و به سوي سرويس دهنده *** مي فرستد . اگر بستر اين انتقال اينترنت باشد بستهها همان بستههاي IP خواهند بود . سرويس گيرنده *** بستهها را پس از دريافت رمز گشايي كرده و پردازش لازم را روي آن انجام مي دهد. تعدادي از ويژگيهاي *** عبارتند از:
IPSec, L2TP, PPTP Support
Provides site-to-site IPSec, remote-access IPSec,
Encryption - 3DES, DES, AES, Twofish, Blowfish, Serpent , …
Hash Algorithms - MD5, SHA-1
Authentication - Preshared key, Digital certificates
IPSec NAT Traversal
Dead peer detection and PFS support
Diffie Hellman Groups - 1,2,5,14,15,16…
External Certificate Authority support
Export Road Warrior connection configuration
Domain name support for tunnel end points
*** connection redundancy
آنتي ويروس
ويروسها برنامههايي هستند که به شکل پنهاني، موقع اجرا شدن برنامه آلوده خود را به برنامههاي اجرايي نظير فايلهاي COM و EXE مي چسبانند و معمولاً بدون اينکه تاثيري در کار اصلي برنامه آلوده بگذارند، منتظر زمان فعاليت نهايي يا برقراري شرط خاصي مي شوند . حال اين فعاليت مي تواند بزرگتر کردن فايلهاي مختلف DATA باشد ، يا آلوده کردن فايلهاي اجرايي و يا از بين بردن اطلاعات PARTITION TABLE، معدوم کردن اطلاعا ت با ارزش يا از کار انداختن فايل هاي اجرايي و ... باشد . ولي در هر حال يک چيز در اکثر ويروسها مشترک مي باشد و آن انتقال ويروس از فايل هاي آلوده به فايل هاي سالم است . نرمافزارهاي آنتي ويروس تمام فايلها را بطور خودكار بررسي كرده و فايلهايي كه داراي گونههاي شناخته شده ويروسها هستند را شناسايي و عكسالعمل مناسب انجام ميدهند. تعدادي از ويژگيهاي ابزارهاي آنتيويروس بصورت ذيل است:
Virus, Worm, Trojan Detection & Removal
Spyware, Malware, Phishing protection
Automatic virus signature database update
Scans HTTP, FTP, SMTP, POP3, IMAP
Customize individual user scanning
Self Service Quarantine area
Scan and deliver by file size
Block by file types
Add disclaimer/signature
Anti-Spam
اسپم در كامپيوتر به ايميلهايي گفته مي شود كه به طور ناخواسته براي ما فرستاده مي شوند و جنبه تبليغاتي دارند. راههاي مختلفي براي مقابله با اسپمها در جاهاي مختلف آمده و حتي ياهو هم يك آنتي اسپم را براي كاربرانش پيشنهاد كرده است. تعدادي از ويژگيهاي آنتي اسپم عبارتند از:
Real-time Blacklist (RBL)
MIME header check
Filter based on message header, size, sender, recipient
Subject line tagging
IP address blacklist/exempt list
Redirect spam mails to dedicated email address
Image-based spam filtering using RPD Technology
Zero hour Virus Outbreak Protection
********
فيلتر ابزاري است كه به منظور تصفيه اتصالات وب استفاده ميشود. در كشورهاي مختلف دنيا ******** به دو روش انجام ميشود: فيلتر كردن نشانيهاي اينترنتي براساس يك ليست سياه(در يك پايگاه داده)، و فيلتر كردن براساس محتواي هر صفحه اينترنتي. روش دوم در دنيا به فيلتر محتوا (content filter) معروف است كه براي پهناي باند خيلي بالا قابل انجام نيست. تعدادي از ويژگيهاي سيستم ******** عبارتند از:
Inbuilt Web Category Database
URL, keyword, File type block
Default Categories
Define Custom Categories
HTTP Upload block
Block Malware, Phishing, Pharming URLs
Custom block messages per category
Block Java Applets, Cookies, Active X
CIPA Compliant
Nik0TiN
November 4th, 2012, 14:04
سختافزار تشكيل دهنده UTM
بسياري از محصولات UTM موجود در بازار قابل نصب بر روي سيستمهاي PC معمولي هستند، ولي پايين بودن توان پردازشي و ... PC معمولي، در بسياري از موارد سرعت استفاده از شبكه را بسيار كند ميكند به نحوي كه از حوصله كاربران خارج است. با اين وجود سازمانهاي مختلف با توجه به تعداد كاربران خود و حجم استفاده از شبكه اينترنت، از Applianceهايي با ويژگيهاي سختافزاري متفاوتي استفاده ميكنند. استفاده از سختافزارهاي معمولي براي سازمانهايي با تعداد كاربران زياد، غير ممكن است، اخيرا معماري با عنوان ATCA با همكاري بيش از 100 شركت سختافزاري جهان ( PICMG) تدوين شده است كه توليد قطعات سختافزاري بر اساس اين معماري، Performance سيستمها را فوقالعاده افزايش ميدهد. شركت Fortinet محصولات Enterprice جديد خود را بر اساس معماري ATCA توليد كرده است كه با بررسي مشخصات اين محصول در بند مربوط به معرفي FortiGate با قدرت آن آشنا خواهيد شد. قابل ذكر است كرنل سيستم عاملي كه براي محصولات ايجاد شده با معماري ATCA استفاده ميشود بايد قابليت پشتيباني Carrier Grade را داشته باشد. يك سامانه UTM براي اينكه امكان پشتيباني چندين گيگابيت را داشته باشد، بايد استعداد Carrier-Grade را داشته باشد؛ اين قابليت امكاناتي نظير دسترسپذيري، مقياسپذيري، مديريتپذيري، مشخصات پاسخها و ... را بصورت استاندارد فراهم ميكند.
Nik0TiN
November 4th, 2012, 14:05
دوستانی که علاقه مند به خرید و یا دریافت اطلاعات بیشتر درمورد یو تی ام سایبروم هستند می توانند به سایت زیر مراجعه کنند
cyberoam.ir نماینده رسمی محصولات سایبروم در ایران (http://www.cyberoam.ir)
ایران سایبروم (http://www.cyberoam.ir/forum)