Огляд мережевого шлюзу безпеки NETGEAR UTM50 Дистриб'юторська компанія MICS

1. Вступ У великих організаціях інформаційної безпеки приділяється більше уваги ніж охороні самого офісу,...
2. Web-інтерфейс
3. тестування
4. Ціна питання
5. висновки

Вступ

У великих організаціях інформаційної безпеки приділяється більше уваги ніж охороні самого офісу, а витрати на мережеву безпеку можуть запросто перевищити бюджет на апгрейд мережевої інфраструктури. І якщо перед вами ставиться завдання захистити офісні комп'ютери від спаму, вірусів, троянів і інших шкідливих програм, то не розраховуйте, що вам вдасться відбутися малою кров'ю або проинсталлировать одну-єдину програму, відзвітувати про результат. Звичайно, ви можете перевести всі робочі машини на Linux клієнти, але ми розуміємо, що швидше за все це виключення з правил. Найбільш простим рішенням, що використовується сьогодні є локальна установка антивірусного ПО на клієнтські машини, постійне оновлення операційної системи і вірусних сигнатур і постійне нагадування, що не слід відкривати незнайомі файли в пошті.

Але навіть якщо ваш поштовий сервер надійно захищений від вторгнень, використання особистої пошти на mail.ru зведе нанівець всі старання сисадміна. А без цього. як то кажуть, зараз вже нікуди.

Сучасні технології дозволяють створювати досить швидкі процесори, здатні аналізувати мережевий трафік в реальному часі на рівні пакетів і додатків і з використанням баз сигнатур, визначати і блокувати шкідливі фрагменти. Уявіть собі - ви консолідуєте мережеву безпеку в одному пристрої, яке відповідає і за доступ через VPN і за розподіл віртуальних мереж VLAN, і забезпечує відмовостійкий доступ в інтернет, перемикаючи один з двох каналів. Ну і найголовніше - в цьому ж пристрої вбудований Firewall, антивірус, спам-фільтр, Web фільтр. Думаєте, буде гальмувати? Компанія NETGEAR заявляє, що їх серія UTM (Universal Threat Management) має пропускну здатність антивіруса до 130 Мбіт / c, а SPI - до 900 Мбіт / с в моделі UTM150. Нам на тестування дали модель UTM50, другу зверху в модельному ряду компанії. Вона розрахована на середні компанії, в яких працює менше 100 співробітників і підтримує всі ті ж функції, що і топова.

Взагалі, в модельному ряду NETGEAR UTM на сьогодні присутні 5 моделей: UTM5, UTM10, UTM25, UTM50 і UTM150. Цифра в назві означає кількість підтримуваних VPN тунелів. Перші дві моделі SOHO-класу розраховані на малі офіси, ці пристрої підтримують по одному WAN-порту, мають продуктивність антивірусного сканування на рівні 15 і 20 Мбіт / с і підтримують до 5 VPN тунелів (до 2-х SSL VPN). Для невеликого офісу - саме те, з огляду на дикі ціни на високошвидкісний доступ в інтернет.

Починаючи з UTM25, ви отримуєте підтримку 2-х WAN портів з балансуванням навантаження, а від UTM50 отримаєте і продуктивність на рівні філій великих компаній. Зверніть увагу - в одній лінійці виробник об'єднав пристрої як для SOHO, так і для Enterprise. А так як реалізація програмних функцій у всій серії однакова і використовуються одні й ті ж бази сигнатур, невеликі компанії можуть розраховувати на увагу Enterprise-класу з боку виробника.

Але наскільки швидким не був би процесор, традиційний алгоритм послідовної фільтрації вб'є всю продуктивність, адже кожен пакет треба спочатку провести через ACL фільтр, а потім через антивірус, і чим більше ступенів фільтрації ви встановите, тим більше будуть затримки. У звичайному житті це призведе до того, що навіть локальний трафік з гигабитного перетвориться в 50-мегабітний. Але фахівці NETGEAR застосували технологію потокового сканування, при якій шлюз не чекає прийняття повного пакету і починає сканувати його після початку передачі і відразу ж відправляє його в мережу. Вигода від такого алгоритму наочно показана на діаграмі нижче.

Багато в чому, завдяки цьому і з'явилася можливість інтегрувати шлюз в мережу без шкоди для продуктивності інфраструктури, які б програми ви ні використовували - починаючи від банк-клієнта і закінчуючи репликацией баз даних. Нехай весь трафік йде через NETGEAR UTM, не дивлячись на протоколи і порти.

Чим ще може здивувати цей шлюз безпеки? Бич сучасного інтернету - спам, відволікаючий з ранку і до ночі. У NETGEAR UTM застосована технологія розподіленого аналізу вхідної пошти. Шлюз використовує деяку подобу чорних списків і сигнатур з більш ніж 50 мільйонів джерел і не вимагає часу на навчання. Правда, не зрозуміло, як самостійно навчати шлюз, щоб відписатися, наприклад, від настирливої ​​розсилки китайських партнерів або якогось майл-листа, який є спамом тільки для вас.

Природно, така напасть, як шкідливе ПЗ (трояни і інші Malware), які часто пропускаються навіть найновішими вірусами, не повинна турбувати офіс, що знаходиться під захистом NETGEAR UTM. Виробник заявляє базу сигнатур, що містить понад 1 мільйон шкідливих програм з оновленням кожні 15 хвилин, з магічними аналізом, що забезпечує захист від нових загроз (Zero-Hour Protection). Ну і знову ж таки, NETGEAR підкреслює продуктивність, в 400 разів перевищує швидкість сканування відомих антивірусів і програм типу «все-в-одному». Правда, по суті, така розпливчасте формулювання мало про що говорить. Адже, наприклад, Антивірус Касперського постійно збільшує свою продуктивність, але як гальмував, так і гальмує.

Наступна напасть, з якою бореться NETGEAR, це - клієнти миттєвих повідомлень і P2P програми. Хочете заборонити «аську», «скайп» і «торренти» - вам потрібно лише закрити відповідні сервіси. Справедливості заради, ці можливості є навіть в сучасних домашніх роутерах середнього класу. Але "аську" і "скайп" в них не так-то просто закрити, особливо QIP. Тут же йде розбір пакета на L5-L6 семиуровневой моделі OSI.

Класифікатор Web-сайтів, антивірус, спам-фільтр і Firewall, - на цих китах тримається мережева безпека як домашнього користувача, так і великої корпорації, і куди важливіше - як ця функціональність реалізована в програмному і апаратному плані.

Конструкція міжмережевого шлюзу

NETGEAR UTM виконаний в 1U корпусі, призначеному для установки в телекомунікаційні підвісні шафи. Глибина молодших версій становить 21 сантиметр, в той час як UTM25 і UTM50 - 25.3 см. NETGEAR UTM5, UTM10 і UTM25 мають ширину всього 33 см, що дозволяє встановлювати їх просто на тумбочці в офісі або кріпити в шафу або стійку за допомогою поставляються в комплекті кріплень.

Традиційно, кабель живлення підключається ззаду, мережеві і USB порти - спереду. LAN і WAN порти логічно розділені на корпусі і мають просту індикацію активності.

WAN-портів замало - всього 2, і хоча для резервування доступу в інтернет більше і не потрібно, деякі моделі мають по 4 WAN порту. Зате LAN портів цілих 6 штук, а це значить, що ви будете мати більше можливостей по налаштуванню внутрішньоофісної мережі.

На лицьовій стороні встановлено самотній USB порт, але в характеристиках NETGEAR UTM50 немає ніякої інформації про USB додатках, так що для того, щоб зрозуміти, навіщо він потрібен, доведеться покопатися в налаштуваннях.

За своєю внутрішньою конструкції NETGEAR UTM50 більше скидається на роутери та комутатори, ніж на сервер додатків, хоча по суті він ввібрав в себе і те й інше. Велика кількість вільного місця в корпусі навіває тугу, але що поробиш, адже 1U корпус, в якому виконана топова модель міжмережевого шлюзу, повинна встановлюватися в корпус без всяких перехідників, як молодші моделі в серії. Це чистий маркетинг, але в такому корпусі електроніка не буде перегріватися, а значить UTM50 буде працювати безшумно, а при поломці вентилятора не буде зависати.

Цікаво, що для зберігання вірусних сигнатур використовується флеш-картка Apacer об'ємом 2 Гб. На платі видна розмітка під невстановлений слот SODIMM, і можливо майбутні моделі будуть використовувати більший обсяг ОЗУ. Але тут тепер встановлено 1 Гігабайт DDR2, набраний 8-ю чіпами Samsung k4t1g164qe-hce6.

Серцем пристрою є 2-ядерний 64-бітний MIPS процесор Octeon CN5020 від Cavium Networks з частотою 700 МГц. З огляду на RISC-архітектуру процесора, можна очікувати від нього дуже високу продуктивність, особливо в конвеєрних операціях, таких як перевірка переданих в мережу пакетів.

Web-інтерфейс

Добре, прийшло часу подивитися на настройки шлюзу безпеки, адже настройку такого роду пристроїв ми ще не виробляли. Інтерфейс складний і заплутаний, так що насилу вдається запам'ятати, де і яка настройка була розташована.

При заході в адмін-меню ми потрапляємо на сторінку статусного екрану, де показані основні життєві параметри пристрою: кількість різних з'єднань, завантаження пам'яті, процесора, а так же поточні версії сигнатур і ліцензії. Таким чином одного погляду буде достатньо, щоб зрозуміти, чи відбулося оновлення баз шкідливих програм і спаму, чи нормально почувається шлюз, чи йде якась атака і якщо так, то за якими протоколами.

Настільки ж наочно відображається статус віртуальних мереж VLAN. За замовчуванням всі LAN порти об'єднані в перший VLAN з включеним DHCP, але ви можете налаштовувати віртуальні мережі як захочете, в тому числі і маршрутизацію між віртуальними мережами, а так само жорстку прив'язку мережевого LAN порту до віртуальної мережі.

Брандмауер дозволяє налаштовувати правила фільтрації трафіку між WAN і LAN портами, визначати правила для демілітаризованої зони (DMZ). Причому, ви можете створити DMZ як з боку глобальної мережі (WAN), так і з локальної (LAN).

І хоча багато настройки правил тут виглядають знайоме (все ж ми бачили багато в інших маршрутизаторах), нас більше цікавлять ті функції, які відрізняють Firewall від шлюзу безпеки - антивірус, захист від спаму та інші солодощі.

Перш за все, подивимося на захист електронної пошти. Найпростіший спосіб боротьби зі спамом, відомий ще з давніх часів - це фільтрація за ключовими словами. Хочете позбутися від «копій швейцарський годин» - будьте впевнені, ніхто з ваших співробітників не поговорить про них по електронній пошті. Ну а якщо ж хтось захоче передати дані по електронній пошті в запаролений архіві, ви так само зможете дізнатися про це і перехопити архів, або продовжити спостереження. Що ж виходить, передавати дані в незапароленних архівах безпечніше?

Ну і природно, фільтрація по розширенню файлів позбавить вашу електронну пошту від mp3, троянів і різних небажаних файлів. Що важливо, для кожного протоколу (IMAP, SMPT і POP3) реакції на фільтр можуть бути різними.

Ну а для більш ефективної боротьби зі спамом все ж доведеться скористатися завантажуються сигнатурами з безкоштовних сервісів, таких як Spamhaus, Spamcop та інших. Інформація з тисяч серверів буде використовуватися вашим шлюзом, щоб запобігти захаращення небажаною поштою вашої мережі. І головне - оновлення відбувається в реальному часі і безкоштовно.

Технологія аналізу поширення спаму (Distributed Spam Analysis) отримує дані про поширення спаму більш ніж з 50 мільйонів джерел по всьому світу, що позоляет створювати карту поширення електронної пошти та отримувати більше інформації про лист, ніж містить його заголовок. Це дозволяє запобігати поширенню спаму на ранньому етапі, до того як ваша мережа або ваш шлюз стануть частиною ботнету.

Не менш цікаво виглядає і сканування трафіку на шкідливий код. На даному етапі підтримується скан протоколів HTTP і HTTPS і файлів об'ємом до 10.2 Мб. Мабуть, це дозволить позбутися від найзначнішою проблеми безпеки в офісних мережах - отримання троянських програм і вірусів, що завантажуються з інтернету.

Але не менш важливий контент-фільтр, який тут дозволяє блокувати цілі категорії інтернет-сайтів. Заборонити переглядати розважальні сайти, анонімайзери, ігрові сайти, p2p-мережі, web-пошту і, звичайно ж, порносайти тепер можна цілими категоріями. На додаток можна буде додавати свої URL-и заборонених сайтів, якщо їх немає в списку. Але що більш важливо, ви зможете налаштувати виключення для деяких IP-адрес. Наприклад, директору і головному сисадміну доступ до adult-сайтів можна щось і залишити :)

тестування

Для тестування NETGEAR UTM50 ми використовували перевірений часом пакет IXChariot. Але, наш стандартний скрипт Hi-Perf Throughput не зміг показати нормальну картину продуктивності: швидкість LAN-to-WAN становила приблизно 1 Гбіт / с як з включеними ACL фільтрами, так і без них. Простіше кажучи, створений штучно трафік спокійно проходив через ACL, і продуктивності процесора досить для того, щоб обробляти потік на максимальній пропускній здатності інтерфейсу.

Про що нам це говорить? За продуктивністю ACL виходить безкоштовний, і будь-які правила брендмауера ви можете використовувати, не замислюючись про те, що вони будуть знижувати пропускну здатність мережі. І навіть якщо ми відключимо частина сервісів, таких як торренти, це не вплине на швидкість.

LAN-LAN 977 LAN-WAN (Antivirus OFF, ACL ON) 457 LAN-WAN (Antivirus On) 44

Дивлячись на те, що антивірус ріже продуктивність LAN-WAN в 20 разів, розумієш, чому виробник не дав можливості включення цієї функції для роботи в LAN середовищі. З іншого боку, реальна швидкість безпечного доступу в інтернет на рівні 40 мегабіт в секунду - це більш ніж достатньо на найближчі 4-5 років, так як навряд чи тарифи на доступ в інтернет для юридичних осіб стануть нормальними. Такий скрость цілком достатньо для доступу по VPN, роботи декількох клієнтів через RDP, та ще й з-під різних платформ, не кажучи вже про веб-серфінгу, синхронізації баз даних і роботи з банк-клієнтом. Наголошуємо ще раз - це швидкість безпечного інтернету.

Ціна питання

Середня вартість NETGEAR UTM50 становить 800 $. У порівнянні з більш розкрученим виробником шлюзів безпеки, Checkpoint, виграш в ціні більш ніж двократне. При цьому, вам не потрібно піклуватися про покупку якихось апдейтів, ліцензій, продовження платної підписки.

висновки

NETGEAR UTM50 дозволяє скоротити кошторис на мережеву інфраструктуру невеликого офісу, його функціонал забезпечить безперебійну роботу з інтернетом через 2 виділених каналу, організовує VPN доступ для співробітників «на удаленке» і істотно заощадить трафік і більш дороге робочий час, борючись зі спамом і блокуючи доступ до цілим категоріям небажаних сайтів. При грамотному обмеження прав користувачів, ви зможете зовсім позбутися від антивірусів на робочих машинах, а це - ще більш суттєва економія коштів. Правда, не знаю, наскільки ви готові відмовитися від локальних антивірусів на користь консолідованого пристрою.

Проте, NETGEAR UTM50 - не живий сисадмін і не панацея від усіх хвороб. Наприклад, поширення зарази в рамках власної мережі він не зможе запобігти, і якщо хтось приніс вірус на флешці - розраховуйте тільки на свої сили.

Куди важливіше, що за допомогою NETGEAR UTM50 ви зможете ділити вашу мережу в будь-якої конфігурації і налаштовувати правила і виключення для кожної віртуальної мережі. Ви легко зможете обмежити трафік і кількість доступних ресурсів для однієї групи, залишивши повний функціонал для іншої. Ви зможете навіть отримувати інформацію, хто намагається відправити з вашого офісу запаролених архіви, щоб припинити витік важливих документів. Сам же по собі шлюз безпеки має вичерпної інформативністю, так що вам буде легко стежити за його станом, щоб зрозуміти, чи ведеться атака на вашу корпоративну мережу, як у вас справи з заспамленності робочих поштових скриньок, оновлені чи сигнатури і прошивка і чи справляється сам девайс з покладеним на нього навантаженням.

Нещодавно ми розглядали NETGEAR SRX 5308 , Який я рекомендував як рішення для VPN-доступу для невеликих компаній. Анітрохи не благаючи достоїнств цієї моделі, тепер я вважаю, що побудова мережі невеликої компанії слід починати з таких ось, розумних шлюзів безпеки, як NETGEAR UTM. І скандалів присуджується Цей пристрій нашу найвищу нагороду "Вибір Редакції".

Офіційний сайт NETGEAR - www.netgear.ru

11 вересня 2012 р