UTM - унифицированное управление защитой от угроз

ТУСУРКукало И.А. студент гр. 1А5Агеев Е.Ю. к.т.н. доцент каф. РЗИ

UTM «Унификация» захватывает самые разные области

ИТ — от коммуникационных решений до средств обеспечения информационной безопасности (ИБ). На рынке межсетевых экранов (FW) и устройств VPN тоже происходит переход к унифицированному управлению угрозами и интегрированным решениям, объединяющим до десятка разных продуктов или функций.

Термин «унифицированное управление защитой от угроз» (Unified Threat Management, UTM) появился в 2004 г. Его предложили аналитики IDC для описания брандмауэров c функциями фильтрации электронной почты, URL и содержимого Web, защиты от вредоносных и шпионских программ, обнаружения и/или предотвращения вторжений (IDS/IPS).

ПО с открытыми исходными кодами В России на сегодня разработана концепция «Развития

разработки и использования свободного ПО в Российской Федерации».

В соответствии с ней под свободным ПО понимается разновидность программ для ЭВМ, лицензионным договором на право использования которых, предоставляются следующие права:

использовать программу для ЭВМ в любых, не запрещенных законом целях;

получать доступ к исходным текстам программы как в целях изучения и адаптации, так и в целях переработки программы для ЭВМ;

распространять программу (бесплатно или за плату, по своему усмотрению);

вносить изменения в программу для ЭВМ (перерабатывать) и распространять экземпляры измененной (переработанной) программы с учетом возможных требований наследования лицензии.

Цели построения UTM Анти-X: Антиспам, Антивирус,

Антиspyware, Антифишинг Предотвращение вторжений Уменьшение DoS/DDoS Фильтрация контента Блокирование приложений Регулирование нагрузки Контроль доступа, логгирование

Потребители Сегмент малого и среднего бизнеса минимальная стоимость простые и гибкие механизмами

внедрения и эксплуатации

Территориально разделенная сеть Удаленный доступ Наличие сертифицированного ПО

необязательно Ограниченность в ресурсах

Требования к архитектуре СБ

Модульность Масштабируемость Открытость архитектуры

Структура UTM Операционная система МСЭ, фильтрация, DMZ… ПО для маршрутизации ПО для VPN Мониторинг и оповещение СОВ Антивирус, Антиspyware Антиспам, Антифишинг Сервис PKI Аудит безопасности Контроль целостности Обновляемость Отказоустойчивость Простой в использовании интерфейс для

конфигурирования

Операционная системаFreeBSD FreeBSD - это современная ОС для компьютеров,

совместимых с архитектурами x86 (в том числе Pentium® и Athlon™), amd64 (включая Opteron™, Athlon 64 и EM64T), Alpha/AXP, IA-64, PC-98 и UltraSPARC®.

Эта система предоставляет надёжные даже при самой интенсивной нагрузке сетевые службы, и эффективное управление памятью, что позволяет обеспечивать приемлемое время отклика для тысяч одновременно работающих пользовательских задач.

Разработчики FreeBSD ставят заботу об информационной безопасности в один ряд с производительностью и стабильностью.

ПО для маршрутизации

В ядро включена поддержка маршрутизации

3 Гб/сек или 1 миллион пакетов в секунду

Для большей производительности необходимо использовать аппаратную маршрутизацию. (ASIC-based routers)

МСЭ В ядро FreeBSD включена поддержка функций МСЭ : IP Filter, IP

Firewall (IPFW), Packet Filter (PF). Packet Filter (PF) — Межсетевой экран, разрабатываемый в рамках

проекта OpenBSD. Обладает высокой скоростью работы, удобством в конфигурировании и большими возможностями, включая поддержку IPv6.

PF умеет фильтровать пакеты по следующим параметрам: Сетевой адрес (для TCP и UDP также и порт) источника и получателя

пакета Сетевой интерфейс (или их группа), на котором обрабатывается пакет Флаги (для TCP) Биты TOS Тип ICMP (для ICMP и ICMPv6) Метки правил (label) и теги (tag) Локальный пользователь (владелец сокета) Различные счётчики соединений Вероятность

ПО для организации VPN

SSL – современно и перспективноOpenVPNБиблиотека OpenSSL соответствует

стандарту безопасности FIPS 140-2 IPSec – совместимо и распространено Ядро - FreeBSD racoon PPTP – удобно и практичноMPD – порт FreeBSD

Реализация VPN

Список криптографических алгоритмов Симметричные алгоритмы шифрования Blowfish, Camellia, DES, RC2, RC4, RC5,

IDEA, AES, ГОСТ 28147-89 (экспериментальная версия).

Алгоритмы хеширования MD5, MD2, SHA, MDC-2, ГОСТ Р34.11-94

(экспериментальная версия). Асимметричные алгоритмы шифрования RSA, DSA, Diffie-Hellman key exchange,

Elliptic curve, ГОСТ Р 34.10-2001 (экспериментальная версия).

Производительность VPNТип операции 16 байт 64 байт 256 байт 1024 байт 8129 байт

md2 781.82k 1658.54k 2302.72k 2551.81k 2646.65k

mdc2 2303.33k 2601.19k 2691.07k 2713.26k 2722.47k

md4 8088.59k 28497.81k 81425.75k 152377.69k 204186.28k

md5 6658.93k 23101.61k 64989.44k 119329.11k 154162.52k

hmac(md5) 7759.01k 26624.06k 72236.29k 125175.13k 156237.06k

sha1 6341.00k 19797.27k 46929.07k 71337.98k 84077.23k

rmd160 5810.05k 16892.76k 36562.60k 51938.65k 59072.51k

rc4 90142.04k 103726.75k 111563.43k 109965.65k 112017.41k

des CBC 20494.70k 21585.24k 21716.22k 21814.97k 21749.76k

des EDE3 7474.74k 7685.31k 7816.62k 7852.37k 7858.86k

idea CBC 15655.19k 16604.78k 16738.56k 16802.47k 16826.37k

rc2 CBC 8038.72k 8356.65k 8447.32k 8468.48k 8467.80k

rc5-32/12 CBC 57561.14k 64905.50k 66914.74k 67767.64k 68263.94k

Blowfish CBC 32069.08k 34651.74k 34664.70k 34956.07k 35124.57k

cast CBC 22870.35k 24536.13k 25176.06k 25432.19k 25384.28k

aes-128 CBC 20298.75k 20858.41k 21088.09k 21236.53k 21181.78k

aes-192 CBC 17338.95k 17913.43k 18051.93k 18111.83k 18128.90k

aes-256 CBC 15485.55k 15934.95k 16042.58k 16142.21k 16100.01k

СОВ

Snort - сетевая СОВ, способная анализировать трафик в реальном масштабе времени и IP пакеты, вошедшие в сеть. Snort может анализировать протоколы и может использоваться, чтобы обнаружить разнообразные нападения.

SnortSnarf

Возможности Snort

Опознает: Передачу шеллкода по любому

порту, stealth-сканирование, эксплуатирование различных сервисов, всевозможные признаки DoS-атак и даже неудачные попытки аутентификации на различных сервисах …

Защищенный прокси-сервер

Squid 3.0.13 Поддержка протокола ICAP,

позволяет производить: Антивирусный контроль ICAP

совместимых продуктов (TrendMicro, Dr-Web, ClamAV…)

Проверка контента на содержимое

Антивирус, Антиspyware - Продукт

C-ICAP – программный ICAP-сервер, который производит проверку на вирусы проходящих через него файлов с помощью ClamAV

Антивирус, Антиspyware - Средство сканирование по запросу; встроенная поддержка для RAR (2.0, 3.0), Zip, Gzip,

Bzip2, Tar, MS OLE2, MS Cabinet файлов, MS CHM (сжатый HTML), MS SZDD;

встроенная поддержка сжатых выполняемых файлов(UPX, FSG и Petite);

встроенная поддержка почтовых систем; цифровая подпись обновлений антивирусных баз; обнаружение более 90.000 вирусов, червей и

троянов; возможность интеграции с ПО сторонних

разработчиков: серверы почтовых систем, файловые серверы, proxy-серверы, hosting-серверы и т.д.

Антиспам, Антифишинг Sendmail впервые был включён в состав 4.1c BSD

(первая версия BSD, включающая TCP/IP стек) в 1979

SpamAssassin — эффективное средство для фильтрации спама, основанное на взаимодействии ключевых компонентов — оценочного демона, транспортного агента и базы шаблонов писем.

SpamAssassin использует Байесовскую фильтрацию, обработку DNSBL, Sender Policy Framework, DomainKeys, DKIM, Razor и другие методы распознавания спама.

Проверка на вирусы с помощью ClamAV

Инфраструктура PKI

Для организации PKI будет использоваться уже упомянутая библиотека OpenSSL. Она позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT.

Реализация PKI

Производительность PKIАлгоритм, длина

ключаПодпись Проверка подписи Подписей в сек. Проверок подписей в

сек.

RSA 512 бит 0.0010 сек. 0.0001 сек. 954.7 10151.5

RSA 1024 бит 0.0050 сек. 0.0003 сек. 200.7 3660.4

RSA 2048 бит 0.0297 сек. 0.0009 сек. 33.7 1129.8

RSA 4096 бит 0.1987 сек. 0.0031 сек. 5.0 322.7

DSA 512 бит 0.0008 сек. 0.0010 сек. 1186.1 977.6

DSA 1024 бит 0.0025 сек. 0.0031 сек. 400.4 325.6

DSA 2048 бит 0.0083 сек. 0.0100 сек. 120.2 99.8

Аудит безопасности Анализ защищенности сети заключается в

периодическом сканировании узлов сети на предмет уязвимостей, недекларированных сервисов, ошибок настройки, позволяющих реализовать атаки.

Сканированию подлежат: узлы локального сегмента и ДМЗ.

Периодичность проведения проверок: 1 раз в 7 дней. Периодичность обновления базы уязвимостей:

ежедневно. Набор проводимых тестов: все доступные в базе

сканера, кроме опасных атак типа «отказ в обслуживании».

Действия в случае обнаружения уязвимостей: отчет о результатах сканирования передается администратору безопасности и администратору сети. На основе отчета разрабатываются рекомендации по устранению уязвимостей.

Аудит безопасности Nessus - программа со множеством возможностей. Одна из

очень сильных особенностей Nessus - это технология клиент-сервер. Сервер может быть размещён в самых разнообразных стратегических точках сети, позволяя осуществлять проверки разных участков сети. Центральный клиент или многочисленные клиенты могут контролировать сервер.. Nessus сервер осуществляет действительную проверку, в то время, как клиент отвечает за функциональность конфигурации и отчёты.

Nmap – предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети а также портов и соответствующих им служб. Для этого Nmap использует много различных методов сканирования, таких, как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование.

Metasploit - это лучший способ доказать начальству что пора что то менять.

Контроль целостности При работе компьютеров в сети на их

дисковом пространстве, как правило, имеется набор файлов, которые остаются неизменными при нормальной работе сервисов и оборудования. При вмешательстве в нормальную работу обычно происходят изменения в названных файлах, или злоумышленник специально производит изменения в системе. Средства контроля целостности файловых систем позволяют делать снимки состояния данных и отслеживать возникающие изменения.

Контроль целостности Контролируются следующие файловые системы: для ОС FreeBSD рекурсивно: /bin, /boot, /etc, /lib,

/libexec, /rescue, /sbin, /usr (исключая /etc/mail, /usr/home, /usr/ports, /usr/local/man, /usr/local/www);

Периодичность контроля: 1 раз в сутки. Действия в случае обнаружения изменений в

контролируемых файловых системах: занесение информации об изменениях в журнал

работы; оповещение администратора по электронной

почте.

Отказоустойчивость

ЗащищеноSHA-1 HMAC

Обновление ПО Обновление ОС до последней стабильной

версии используя CVSup, периодическое обновление системы;

Обновление БД сигнатур антивирусного и шпионского ПО, периодическое обновление;

Обновление БД правил СОВ, периодическое обновление;

Обновление БД модуля фильтрации спама, периодическое обновление;

Обновление БД уязвимых приложений, периодическое обновление;

Обновление БД подсистемы аудита, периодическое обновление;

Упрощенный интерфейс администрирования Веб интерфейс Специализированное приложение

Ядро движка управления: Java PHP

Метаязык для упрощения настроек: XML

Анализ рисков ALE = SLE x ARO Для информации составляющей

коммерческую тайну 78 %; Для информации служебного

пользования 69 %;

Эксперты: Начальник отдела ИТ главный специалист службы

безопасности

Вопросы ???

i@kukalo.ru http://utm.tusur.ru