ПО в UTM-устройствах: интервью с компанией Rainbow Technologies

Вступление

Не так давно мы публиковали материал по UTM-устройствам, которые предназначены для защиты сетевых ресурсов (клиентских и серверных машин) от различного рода угроз (комбинируя аппаратные и программные средства). Что и говорить, куда соблазнительнее иметь подключаемую к точкам входа и выхода в сеть "коробочку", которая сама решает большинство проблем безопасности, нежели устанавливать множество приложений по безопасности на сами клиентские и серверные системы.

Некоторое время назад компания Rainbow Technologies объявила новую линейку UTM-устройств e-Series от WatchGuard. Одна из отличительных особенностей - появление новой операционной системы Fireware Pro, построенной на базе архитектуры Intelligent Layered Security (ILS). Она пришла на смену программному обеспечению WatchGuard Firebox System, и разработчики доложили о ряде улучшений и усовершенствований. Попробуем разобраться в программной начинке UTM-устройств e-Series от WatchGuard, и заодно понять преимущества использования указанных компонентов сети...

Интервью

На наши вопросы отвечает Дэян Момчилович, руководитель отдела по работе с партнерами Rainbow Technologies.




Алексей Перевертайлов: Здравствуйте. Учитывая специфику нашего раздела (программное обеспечение) в первую очередь нас интересует отстранённый философский вопрос: можем ли мы, полагаясь исключительно на ваши устройства линейки Firebox, исключить необходимость установки антивирусов, firewall и прочих средств безопасности на клиентские и серверные системы?

Дэян Момчилович: Вопрос действительно философский, так как необходимый уровень безопасности зависит от ценности того, что нужно защитить. Для чего-то достаточно одного антивируса, а для чего-то не хватает и самых серьёзных и высокотехнологичных систем безопасности.

Firebox X e-Series от WatchGuard, о котором мы говорим - это полноценное UTM-устройство. Оно в первую очередь устанавливается на периметр сети, то есть, защищает внутреннюю сеть - от внешней, и фильтрует весь трафик, который проходит между ними. Его основная задача - отражать разные виды атак из внешний сети и "отрезать" вредоносный трафик на периметре, не позволяя ему попадать во внутреннюю сеть.

Любое устройство Firebox X e-Series можно назвать продвинутым, так как кроме пакетной фильтрации оно поддерживает и другие её виды, в том числе и фильтрацию на уровне приложений. Наличие последней позволяет нам говорить о явлении, которое называется защита Zero Day или защита "нулевого дня". Суть её заключается в том, что устройство может активно и успешно предотвращать атаки (например, попадание в сеть вирусов) даже до создания сигнатур, без которых другие решения по безопасности обнаружить такие угрозы не могут. Именно благодаря пакетной фильтрации, фильтрации на уровне приложений и защиты Zero Day наше устройство, даже не используя какие-либо сигнатуры, может защищать не менее чем от 85% всех вирусов, "червей" и прочих нежелательных кодов.

Антивирусный "движок", который задействован в устройствах Firebox X e-Series, рассчитан именно на защиту от этих оставшихся 15% зловредных программ, которые невозможно "отловить" с помощью других видов фильтрации. Он использует урезанную базу сигнатур, которая применяется для обеспечения полноценной защиты от всех видов вирусов. На сегодняшний день такая защита задействована для проверки почтового трафика (протокол SMTP) и web-трафика (протокол HTTP). Кроме того, в ближайшее время ожидается введение фильтрации данных, передаваемых по протоколу FTP. Исходя из всего вышесказанного, можно сделать вывод, что рассматриваемое устройство может защитить практически от всех видов вирусов, "червей" или других вариантов нежелательного кода на периметре сети. Тем не менее, необходимость устанавливать антивирусное программное обеспечение на клиентские компьютеры внутри сети остается, так как доступ к этим рабочим станциям можно осуществить с помощью USB-устройств, например, flash-дисков, и прочих носителей информации. И полностью исключить попадание на ПК вирусов и других вредоносных кодов, закрывая им доступ только из Интернет, нельзя. Я не слышал о том, чтобы кому-то удалось создать корректно работающее UTM-устройство, способное решить эту проблему.


Алексей Перевертайлов: В пресс-релизе относительно нового программного обеспечения Fireware Pro указано, что среди дополнительных сервисов безопасности имеются антивирус вкупе с системой предотвращения вторжений и проверкой на spyware, некое средство фильтрации URL под названием WebBlocker и даже модуль фильтрации спама spamBlocker. Не могли бы вы подробнее рассказать об этих компонентах? Свои это разработки или какие-то технологии и алгоритмы были лицензированы? Как происходит обновление базы сигнатур в антивирусном модуле?

Дэян Момчилович: На UTM-устройствах Firebox X e-Series, работающих под управлением операционной системы Fireware Pro, существует ряд дополнительных сервисов безопасности: система предотвращения вторжений, антивирус, система фильтрации web-трафика WebBlocker и система защиты от спама SpamBlocker. Эти компоненты работают на основе сигнатур. Они позволяют еще больше усилить защиту на периметре сети, которая в основном осуществляется встроенным межсетевым экраном (firewall), работающим на основе пакетного фильтра с возможностью фильтрации уровня приложений. Имея такой большой комплекс функциональных возможностей, мы можем сказать, что на сегодняшний день устройство Firebox X e-Series при подключении дополнительных сервисов безопасности обеспечивает самый высокий из всех существующих в этой области решений уровень защиты. Большая часть перечисленных выше разработок является лицензированными модулями. К примеру, SpamBlocker, который подключается на устройствах Firebox X e-Series, построен на основе системы CommTouch, являющейся на сегодняшний день самой надежной защитой от спама. Она обеспечивает блокирование примерно 97% всей нежелательной рекламной корреспонденции. Модуль WebBlocker построен на основе системы SurfControl, которая сегодня также является самой мощной в мире. Преимущество такого рода работы с лицензированными модулями заключается в том, что за относительно небольшие деньги любое предприятие, относящееся к сегменту малого и среднего бизнеса, может приобрести высочайший уровень защиты, который разработчики предоставляют в своих решениях.

Обновления баз сигнатур в антивирусном модуле может происходить двумя разными способами. Один из них - это автоматическая загрузка через Интернет. Пользователю нужно только настроить время, когда устройство само будет обращаться к серверу и проверять наличие или отсутствие новых сигнатур. Обновление можно делать и вручную. То есть, администратор может самостоятельно дать устройству Firebox X e-Series команду проверить наличие новых сигнатур, скачать и установить их в систему.


Алексей Перевертайлов: Как я понимаю, ваше устройство семейства Firebox предназначено для защиты напрямую подключаемых к нему клиентских или серверных систем? Или же есть конфигурации, в которых UTM-устройство может стать шлюзом для всей локальной сети из целой сотни машин? Не могли бы вы рассказать о пропускной способности данного аппаратного решения? Ведь оно проверяет трафик на спам, вирусы, spyware, фильтрует ссылки, работает в качестве firewall... За счёт чего удалось повысить производительность UTM-устройств e-Series от WatchGuard (об этом сказано в пресс-релизе)?

Дэян Момчилович: Наши устройства предназначены для защиты внутренней сети от атак извне, а также для разграничения сети на определённые сегменты. Имея достаточно большое количество интерфейсов, эти сегменты можно разделить, и на каждый из интерфейсов можно прописать отдельную подсеть со своими отдельными правилами. Причём это касается и всех дополнительных сервисов безопасности: систем WebBlocker, SpamBlocker и т.д.

На сегодняшний день выпускается три линейки UTM-устройств e-Series: Firebox X Edge для маленьких компаний...



Firebox X Core - для средних...



...и Firebox X Peak - для больших предприятий с разветвлённой структурой.



Производительность этих решений начинается от 110 Мбит/с у самых младших устройств (Firebox Edge) и заканчивается 2 Гбит/с у старших (Firebox X Peak). Такая высокая производительность при использовании большого количества дополнительных сервисов достигается благодаря очень важной части этих решений - "движку", или, как его ещё называют, архитектуре ILS (Intelligent Layered Security Engine). Именно ILS перераспределяет входящий трафик на разные фильтры в зависимости от его вида. Доказательством высокого качества этой технологии является то, что компания Microsoft использует её в своей новой операционной системе Windows Vista. А это подтверждает, что даже очень крупные компании, такие как корпорация Microsoft, предпочитают решения, позволяющие значительно снизить нагрузку на систему, увеличив, тем самым, её производительность.


Алексей Перевертайлов: Большое спасибо за интервью, надеемся, наши читатели получили для себя ответ на вопрос, что же представляют собой UTM-устройства, и какова эволюция их развития...