Expert IT — February 13, 2016 at 11:31 am

UTM-ul, prieten sau dușman?

by

utmDespre securitatea informatică s-a scris, se tot scrie și sunt convins că se va mai scrie încă mult timp de acum înainte. Chiar și eu am mai scris despre asta într-un alt articol. Dat fiind că nu mai auzisem nimic pe tema asta de ceva timp, aveam senzația total greșită că lucrurile s-au mai liniștit pe frontul ăsta, dar se pare că nu e cazul. O să spuneți probabil că “da, sigur, dar eu nu sunt o țintă”, ceea ce ar putea fi adevărat, dar a nu fi o țintă nu înseamnă a fi în afara pericolului, poți deveni foarte ușor.
În orice caz, pe teme de infracționalitate informatică, vă recomand să studiați puțin ce se întâmplă cu Russian Business Network și
o să vedeți că de fapt aveți multe lucruri valoroase. Ce aveți totuși atât de prețios încât ar putea să-și dorească un hacker?
Pentru început aveți o mică rețea cu echipamente ce pot procesa date. Echipamente numai bune fiindcă le poate folosi pentru lansarea de atacuri, obținere de bitcoin sau închiriat către alții, și asta e perspectiva buna. În cazul mai rău, își poate dori identitatea dvs și aici e ceva mai grav, dar să nu ne împacientăm chiar atât de tare.


de Alexandru Gaiu, PreSales Engineer la Allied Telesis

În articolul trecut m-am referit la securitatea din interiorul rețelei, la ce se întâmplă în spatele firewall-ului. Acele etape se întâmplă în faza a doua a unui atac, după ce un hacker a reușit să pună un picior în interiorul rețelei și încearcă să se extindă de acolo. În articolul de față mă gândeam să vorbim puțin și despre firewall, primul echipament ce stă între internet și prețioasele dvs resurse interne, și în același timp primul echipament de care dau roboții de scanare. În ceea ce privește securitatea informatică, dacă nu reprezentați o țintă prin natura activității sau prin alte lucruri pe care le-ați putea avea, atunci aparențele chiar contează. Dacă un robot de scanare nu vă consideră o țintă vulnerabilă, nu veți ajunge să beneficiați de atenția unui operator uman și atunci sunteți oarecum în siguranță.

Ce sunt firewall-urile? Sunt echipamente de securitate ce există pe lângă noi de foarte mult timp și al căror scop a fost dintotdeauna
să protejeze ceva. Prima lor încarnare semăna cu o sită configurabilă. Programam un firewall pe bază de porturi astfel încât el să permită sau să blocheze accesul către anumite resurse. Acest tip de protecție a fost destul de rapid depășit de atacatori, astfel că a fost nevoie de ceva mai multă inteligență din partea echipamentului.

Statefull inspection firewall. Această versiune este capabilă de a face tot ceea ce făcea predecesorul său, dar vine cu abilitatea de a recunoaste sensul unei conexiuni, ceea ce a dus și la apariția noțiunilor de inside și outside în ceea ce privește rețelele. S-a dovedit a fi o armă redutabilă, fiindcă este o piedică serioasă în calea atacatorilor, ceea ce nu a făcut decât să-i convingă să fie mai inventivi.

UTM (Unified Threat Management), generatia a3-a de firewall. De data asta echipamentul nostru a primit armament suplimentar. A primit inteligența suplimentară pentru a putea identifica atacuri ce ar putea părea altfel trafic legitim – IPS, a devenit scanner antivirus, anti mallware, anti-spam, antiX, devenind astfel din ce în ce mai capabil să respingă variatele tipuri de atac. Totodată specialiștii în securitate au mai învățat o lecție importantă. Luându-se probabil după jurământul depus peste ocean ” to defend against all enemies, foreign and domestic”, UTM-urile au început să privească traficul în ambele sensuri reușind să identifice și să oprească din interiorul rețelelor care au fost deja compromise. Dat fiind că se afla în cel mai bun loc din rețea, exact la graniță, UTM-ul a primit și alte îndatoriri: protecție împotriva scurgerilor de date, email proxy, Web App Firewall reputation filtering și câte și mai câte.
Toate astea la un loc pot face dintr-un UTM fie un prieten de nădejde, fie un dușman.

Activând toate aceste servicii, pe lângă gradul de complexitate ridicat al configurației apare și un impact destul de puternic asupra performanței. Atât de puternic încât în multe cazuri funcțiile sunt parțial dezactivate și ne întoarcem astfel la predecesorii săi. Și fix aici intervine ceea ce a primit un nume total neinsipirat, și anume NextGen Firewall, firewall-ul care merge cu îndrăzneală acolo unde nimeni nu a mai călcat. Îmbunătățirile aici sunt mai mult la nivel tehnic. Daca în cazul UTM-urilor toate motoarele de securitate acționau independent și oarecum în serie, acum procesoarele de pe NexGen Firewall sunt capabile să decodeze pachetele și să ruleze toate scanările în paralel astfel încât impactul asupra performanței să fie minim.

De-a lungul vremii v-ați obișnuit cu mine și cel mai probabil știți unde lucrez, și probabail că știți că firmaAllied Telesis pe care o reprezint în cazul de față nu este recunoscută ca un producător de echipamente de securitate. Articolul de față pregătește terenul pentru a schimba acestea, dat fiind că ne pregătim intens pentru lansarea la începutul anului viitor a primei noastre serii de echipamente de securitate compusă din NextGen firewalls. Mai multe detalii pe tema aceasta însă veți primi în apropierea lansării oficiale a produselor.

Și ca sa închei articolul de față, îmi voi permite câteva sfaturi. În primul rand, când mă refer la rețele, nu e neapărat vorba de ceea ce aveți la birou. Dacă aveți în casă un SmartTV, un NAS sau un dispozitiv inteligent de control al casei, atunci sunteți o țintă. Toate aceste echipamente pot fi infectate și folosite în alte scopuri.

Instalați-vă un firewall propriu, echipamentul primit de la provider nu e probabil cel mai bun la asta. Petreceți câteva momente configurându-l, activați și partea de logare. Din când în când, scanați-va IP-ul din exterior cu unul dintre multiplele scannere de porturi online, nu ar trebui să găsească nimic deschis. Citiți logurile de pe firewall, în special pe cele referitoare la ce iese din rețeaua dvs. Schimbați parolele regulat, știu că e incomod, dar schimbați-le, nu e nimic mai rău decat un robot de scanare care să dea din greșeală peste vreo parolă. Încercați să mai folosiți încă un mecanism de securitate pentru rețeaua wireless, nu contează cât de
simplu și ineficace e considerat, e o piedică în plus. Și nu în ultimul rând, citiți, vedeți ce s-a mai întâmplat în domeniul securității. Dacă nu ați auzit de HeartBleed sau ShellShock, în mod clar nu ați trecut de ceva timp pe o pagină cu știri din informatică. A, și era să uit, aproape fără nici o legătură, nu aruncati bonuri si facturi la gunoi, distrugeti-le inainte de a face asta, daca nu le pastrati in general”.