Varnost IP omrežij
Varnost omrežij je postala z naglim razvojem komunikacij, tehnologij ter hitrim dostopom do informacij preko spleta zelo pomemben ali celo najpomembnejši element vseh omrežij. Klasična požarna pregrada ne zadošča več za omejevanje in nadzor prometa v omrežjih in med njimi. Razvoj je za zagotavljanje varnosti prinesel nove naprave in orodja. Z naraščanjem števila naprav za zagotavljanje varnosti pa se je pokazala potreba po njihovem zmanjševanju in združevanju orodij v eni napravi. Tako so nastale UTM požarne pregrade, ki poleg omejevanja prometa in varnega oddaljenega dostopa, omogočajo tudi funkcije DOS in DDOS zaščite, IPS zaščite, protivirusne zaščite, zaščite pred neželeno pošto in webfilter zaščite. Poleg integriranih naprav so za velika podjetja, finančne ustanove in ponudnike storitev zelo primerne specialne IPS in DPI naprave, ki zagotavljajo veliko prepustnost in možnost integracije s poslovnimi sistemi.
Podjetjem in operaterjem ponujamo učinkovite varnostne rešitve svetovno priznanih proizvajalcev, ki so vodilni na svojih področjih in so najbolje ocenjeni s strani uglednih ocenjevalnih organizacij. Visoka usposobljenost in dolgoletne izkušnje nam omogočajo načrtovanje, izgradnjo in vzdrževanje varnostnih rešitev, ki ustrezajo potrebam stranke hkrati pa so učinkovite in enostavne za upravljanje.
Primer UTM požarne pregrade
OPIS PROBLEMA
Stranka ima centralno lokacijo in nekaj deset oddaljenih poslovalnic. Svoje oddaljene lokacije želi imeti na varen način povezane s centralno lokacijo, kjer se nahajajo strežniki in podatkovne baze. Narašča tudi potreba po oddaljenem dostopu (delo na daljavo). Rešitev mora upoštevati zahteve za visoko stopnjo varnosti, cenovno sprejemljivost izgradnje in vzdrževanja rešitve ter podporo za prehod na IPv6 v prihodnosti.
Hkrati stranka želi imeti varen dostop do spleta skupaj s pregledovanjem spletnega prometa za viruse, črve, neželeno pošto ipd. Poleg tega želi v določeni meri omejiti rabo neproduktivnih spletnih strani v službenem času.
REŠITEV
Na oddaljenih lokacijah namestimo usmerjevalnike ali požarne pregrade s funkcionalnostjo IPSEC VPN in na vsaki od lokacij zakupimo internetni priključek. Na centralno lokacijo namestimo močnejši usmerjevalnik oz. še bolje - požarno pregrado UTM za koncentriranje IPSEC tunelov in hitri internetni priključek. VPN omrežje je zgrajeno na osnovi zvezdaste arhitekture. VPN tuneli so kriptirani s 3DES ali AES enkripcijo ter za dodatno varnost varovani še s certifikati. Oddaljene lokacije imajo možnost komunikacije samo do centralne lokacije zaradi večje varnosti in lažjega upravljanja VPN omrežja.
UTM naprava preverja spletni promet in ščiti omrežje pred morebitnim škodljivim prometom (virusi, črvi, neželeno pošto ipd.). Hkrati lahko naprava omejuje tudi dostop do neproduktivnih spletnih strani v skladu s politiko podjetja.
Na požarni pregradi vklopimo funkcionalnost VPN Client, ki je namenjena varnemu dostopanju oddaljenih uporabnikov do strežnikov podjetja. Avtentikacijo VPN klientov je možno vezati na interne AD/LDAP/RADIUS strežnike podjetja, prav tako lahko nastavimo omejitve dostopa za oddaljene uporabnike. To možnost uporabljamo tudi za zunanje pogodbene partnerje za morebitne potrebe vzdrževanja programske opreme.
PREDNOSTI
Stranka se z uporabno širokopasovnega priključka in IPSEC VPN rešitve izogne dragim najetim vodom. Zagotovljena je varnost in nespremenljivost podatkov, ki se prenašajo med centralno lokacijo in oddaljenimi lokacijami. Stranka lahko prenaša zaupne poslovne podatke med svojimi enotami preko IPSEC VPN omrežja. Stranka lahko uporabi aplikacije tipa strežnik/odjemalec za zmanjšanje potrebne opreme na oddaljenih lokacijah.
Stranka v primeru uporabe naprave UTM pridobi tudi varovanje omrežja na vseh lokacijah pred virusi, črvi, neželeno pošto ipd. in hkrati učinkovito omeji uporabo neproduktivnih spletnih strani v službenem času.
Primer omejevanja in prioritizacije prometa z DPI (Deep Packet Inspection) tehnologijo
Stranka ima več lokacij, ki so med seboj povezane preko VPN omrežja na centralni lokaciji. Sooča se s problemom občasnega okrnjenega delovanja interaktivnih aplikacij (poslovne aplikacije, VoIP, videokonferenca,...). Omrežje varujejo s ti. 'statefull' požarno pregrado, omejuje se tudi nabor dovoljenega prometa. Kljub dokaj restriktivni politiki je opaziti počasno delovanje omrežja z občasnimi izpadi.
REŠITEV
Običajne požarne pregrade pri posameznih paketih vidijo le IP naslov ter glavo paketa, zato lahko kot regularen promet označijo tudi aplikacijo, ki se lažno predstavlja na TCP vratih 80 kot navaden http promet, ne znajo pa prepoznati na takšen način prikritega P2P prometa, ki stranki odžira velik del pasovne širine. Vgradnja DPI (Deep Packet Inspection) naprave v omrežje omogoča spremljanje prometa na višjih plasteh OSI modela (L4-L7) v realnem času. Stranka z ustreznimi nastavitvami določi
prednostno obravnavanje pomembnega prometa (npr. VoIP, video, poslovne aplikacije) in omeji pasovno širino manj pomembnim aplikacijam (npr. BitTorent, Youtube ipd.). Omenjene manj pomembne aplikacije je mogoče tudi popolnoma onemogočiti. Naprava izvaja analizo fiksnih in dinamičnih portov ter prepoznava signature posameznih aplikacij in njihovo obnašanje.
PREDNOSTI
Stranka z uvedbo DPI naprave pridobi hitrejše in zanesljivejše delovanje svojega omrežja. Stranki je z uporabo orodij za nadzor in poročila omogočena natančna analiza dogajanja v omrežju. DPI naprava tudi identificira ter blokira kompleksnejše grožnje omrežju (DDoS, DoS napadi itd.), ki pogosto niso zaustavljene na običajnih požarnih pregradah.