Telna.ir - سیستم مدیریت تهدید یكپارچه و ویژگی‌های آن

کد مطلب: 8120

24 تیر 1389 ساعت 11:44

سیستم مدیریت تهدید یكپارچه و ویژگی‌های آن

امروزه برقراری امنیت، ایمنی و پایداری شبكه، یك مسأله مهم برای ادارات و شركت‌های دولتی و سازمان‌های كوچك و بزرگ است. تهدیدهای پیشرفته از سوی تروریست‌های فضای سایبر، كارمندان ناراضی و هكرها، رویكردی سیستماتیك را برای برقراری امنیت، ایمنی و پایداری شبكه می‌طلبد. در بسیاری از صنایع، امنیت یك انتخاب نیست بلكه یك ضرورت است...

چكیده
امروزه برقراری امنیت، ایمنی و پایداری شبكه، یك مسأله مهم برای ادارات و شركت‌های دولتی و سازمان‌های كوچك و بزرگ است. تهدیدهای پیشرفته از سوی تروریست‌های فضای سایبر، كارمندان ناراضی و هكرها، رویكردی سیستماتیك را برای برقراری امنیت، ایمنی و پایداری شبكه می‌طلبد. در بسیاری از صنایع، امنیت یك انتخاب نیست بلكه یك ضرورت است.
در این میان بخش قابل توجهی از بار فنی و مسئولیتی برقراری امنیت، ایمنی و پایداری برعهده كارشناسان امنیت شبكه سازمان‌ها و شركت‌ها می‌باشد. این كارشناسان باید با پیاده‌سازی مكانیزم‌ها و استفاده از تجهیزات امنیتی مختلف موجبات برقراری امنیت، ایمنی و پایداری در داده‌های سازمان مطبوع را فراهم كنند. در بیشتر موارد كارشناسان امنیت شبكه با مشكلات زیادی در دستگاه‌های امنیتی از جمله عدم سازگاری دستگاه‌ها با یكدیگر، عدم وجود دستگاهی برای تحلیل گزارشات تولید شده توسط تجهیزات مختلف و ... مواجه هستند. از این رو شركت‌های سازنده تجهیزات امنیتی به فكر مجتمع كردن دستگاه‌های موازی و حذف وظایف موازی آن‌ها افتادند كه نتیجه كار این شركت‌ها عرضه محصول «سیستم مدیریت تهدید یكپارچه » می‌باشد.
سیستم مدیریت تهدید یكپارچه و علل استفاده از آن
برای امن‌سازی ارتباطات درون سازمانی، میان سازمانی و اینترنتی یك سازمان، نیاز به استفاده از سرویس‌های امنیتی متعدد در شبكه و مخصوصاً در دروازه آن می‌باشد.
استفاده از دستگاه‌های امن‌سازی نظیر دیواره آتش ، سامانه تشخیص و پیشگیری از نفوذ ، ویروس‌یاب و ... بصورت مجزا به دلایل زیر توصیه نمی‌شود:
1- به ازای هر یك از سرویس‌ها، هزینه خرید سخت افزار و یا نرم‌افزار مجزا باید پرداخت شود.
2- مدیر شبكه باید به نحوه كاركرد چندین دستگاه یا سرویس آشنا باشد.
3- از آنجا كه چینش دستگاه‌ها و سرورها معمولاً به طور سری پشت سرهم می‌باشد، هر یك از دستگاه‌ها به عنوان یك گلوگاه محسوب شده و كندی یا قطعی در هر دستگاه، كار دستگاه‌های دیگر را مختل می‌كند.
4- در هر یك از دستگاه‌ها، بسته‌های اطلاعاتی یك بار گشوده شده، چك می‌شوند و دیگر بار بسته می‌شوند. بنابراین تأخیر زیادی از زمان ارسال بسته تا دریافت بسته در مقصد نهایی ایجاد می‌شود.
5- در برخی موارد به دلیل عدم سازگاری امكانات امنیتی دستگاه‌های مجزا، نمی‌توان از این امكانات در كنار یكدیگر برای امن‌سازی شبكه بهره جست. به عنوان مثال در صورتی كه برای امن‌‌سازی برخی از سرویس‌ها در محیط اینترنت از سرویس IPSec VPN استفاده شود، دیواره آتش و سایر دستگاه‌ها امكان بررسی بسته‌های عبوری را نخواهند داشت. در صورتیكه اگر بتوان از دیواره آتش موجود در دروازه بعنوان VPNServer نیز استفاده كرد، با رمزگشایی بسته‌های اطلاعاتی در دیواره‌آتش امكان بررسی این بسته‌ها نیز وجود خواهد داشت.
در سال‌های اخیر، برای رفع مشكلات فوق در دروازه، دستگاه‌هایی عرضه شده‌اند كه بیشتر یا همه نیازهای امنیتی در دروازه را به‌صورت یك راه‌حل امنیتی جامع و واحد ارائه می‌دهند. از این دستگاه‌ها با عنوان سیستم مدیریت تهدید یكپارچه یا UTM یاد می‌شود.
سرویس‌های قابل ارائه بر روی UTM
با توجه به هدف تهیه UTM، كه یكپارچه‌سازی و مدیریت ابزارهای امنیتی در یك بسته كامل با مدیریت یكپارچه است مهمترین بخش یك UTM، سیستم مدیریتی آن می‌باشد كه استفاده از همه ابزارهای امنیتی را ساده‌تر می‌كند و همچنین بازدهی را افزایش می‌دهد. در ادامه ویژگی‌هایی كه به طور معمول در UTM‌ها ارائه می‌گردد، بررسی می‌شود. ممكن است برخی از UTM‌ها همه این ویژگی‌ها را دارا نباشند. به طور كلی هرچه UTM دارای ویژگی‌های كاملتری باشد، UTM بهتری به حساب می‌آید.
دیواره آتش
دیواره‌آتش امكان برقراری امنیت در لایه‌های لینك داده ، اینترنت و انتقال را فراهم می‌كند. دیواره آتش با بررسی آدرس‌های MAC وIP و شماره پورت‌های مبدأ و مقصد بسته عبوری و انطباق این موارد با قوانینی كه مدیر شبكه مشخص كرده است، اجازه عبور یا عدم عبور بسته را صادر می‌كند. در واقع دیواره‌آتش وسیله‌ای است كه كنترل دسترسی به یك شبكه را بنابر سیاست امنیتی شبكه تعریف و اعمال می‌كند.
سیستم تشخیص و پیشگیری از نفوذ
برای محافظت شبكه در برابر بهره‌برداری نفوذگران از ضعف‌های امنیتی سیستم‌ها و نفوذ به شبكه مورد استفاده قرار می‌گیرد. این امكان، امنیت را در لایه‌های 5 و 6 و 7 شبكه فراهم می‌سازد. معمولاً از سیستمی كه تنها امكان تشخیص و گزارش نفوذ را داشته باشد به عنوان IDS یاد می‌شود و به سیستمی كه علاوه بر تشخیص و گزارش، امكان پیشگیری از نفوذ را دارد IPS یا IDP گفته می‌شود. UTMهای مختلف تعداد نفوذها ی متفاوتی را شناسایی می‌كنند و البته برای تشخیص موارد نفوذ جدید، باید الگوهای IDP بروزرسانی شوند.
وجود امكانات زیر برای سرویس IDP در UTM ضروری به نظر می‌رسد:
امكان بروزرسانی
امكان تعریف الگوهای شخصی
امكان مستثنی كردن برخی الگوها و عدم اعمال آن‌ها بر روی ترافیك عبوری
امكان انتخاب الگوهایی خاص از بین الگوها بر اساس مواردی چون نوع سیستم‌عامل مقصد، نوع سرویس مقصد، كلاینت یا سرور بودن مقصد و ...
امكان اعمال الگوهای انتخابی بر روی هریك از Policy های دلخواه
شبكه اختصاصی مجازی
VPN شبكه‌ای از مدارهای مجازی برای پیاده‌‏سازی شبكه‌ خصوصی یك شركت یا سازمان روی یك شبكه عمومی مانند اینترنت است. VPN دو كامپیوتر یا دو شبكه را به كمك یك شبكه دیگر -كه به عنوان مسیر انتقال به كار می‌رود- به هم متصل می‌كند. VPN از نگاه كاربر كاملاً مانند یك شبكه محلی به نظر می‌رسد. برای پیاده‌سازی چنین ارتباطی، VPN به هر كاربر یك ارتباط مجازی می‌دهد. VPN از رمز گذاری روی داده‌ها استفاده كرده و تنها كسی كه آدرس‌های لازم و رمز عبور را در اختیار داشته باشد می‌تواند به این شبكه وارد شود .
معمولاً ارتباطات VPN براساس یكی از انواع PPTP، L2TP و IPSec برقرار می‌گردد. IPSec VPN امن‌ترین نوع VPN می‌باشد و در عین حال بیشترین بار رمزگذاری و رمزگشایی و برپایی ارتباط VPN را بر روی پردازنده اعمال می كند.
ویروس‌یاب
سرویس ویروس‌یاب موجود در UTM با بررسی محتوای بسته‌های عبوری از UTM، در صورت وجود ویروس در بسته مورد نظر، اجازه عبور بسته را نمی‌دهد. وجود ویروس‌یاب به برقراری امنیت در لایه كاربرد كمك می‌كند. ویروس‌یاب‌های مسیر دروازه به جای جستجوی فایل‌ها، بسته عبوری را جستجو می‌كنند. در برخی از UTM‌ها با تشخیص ویروس علاوه بر جلوگیری از عبور بسته، ممكن است اقدامات دیگری از قبیل مسدود كردن ارتباط فرستنده ویروس با شبكه داخلی و ... انجام گیرد. وجود امكان مستثنی‌سازی آدرس IP یا ویروس یكی دیگر از معیارهای قدرت ویروس‌یاب UTM می‌باشد. معیار دیگر، امكان جانبی ویروس‌یاب در تشخیص ویروس‌ها است. به عنوان مثال سرویس ویروس‌یاب برخی UTM‌ها امكان جلوگیری از عبور بسته‌هایی با سایز و یا حجم غیراستاندارد، یا جلوگیری از عبور فایل‌هایی با پسوند خاص و ... را دارد.
یكی از معیارهای مهم دیگر امكان فعال یا غیرفعال كردن ویروس‌یاب بر روی هر Policy است. در برخی از UTMها این امكان فراهم نمی‌باشد و تنها می‌توان به طور كلی ویروس‌یاب را برای بررسی ترافیك عبوری از یك یا چند اینترفیس یا zone خاص UTM فعال یا غیرفعال نمود.
ضد هرزنامه
هرزنامه اصطلاحاً به ایمیل‌هایی گفته می‌شود كه به طور ناخواسته به صندوق پستی كاربران فرستاده می‌شوند و معمولاً جنبه تبلیغاتی دارند.
ضدهرزنامه امكانی است كه از طریق آن بسته‌های حاوی پست‌های الكترونیكی عبوری از دروازه – كه بطور معمول با یكی از پروتكل‌های SMTP، POP3 یا IMAP منتقل می‌شود- برای جلوگیری از ورود هرزنامه به شبكه داخلی جستجو می‌شوند. UTMها با استفاده از روش‌های ذیل هرزنامه‌ها را شناسایی می‌كنند:
1. استفاده از لیست سیاه : لیست سیاه شامل اطلاعاتی از هرزنامه است. این اطلاعات یكی از موارد آدرس پست الكترونیك فرستنده‌های هرزنامه، دامنه‌هایی كه معمولاً از آنها هرزنامه ارسال می‌شود و عباراتی كه بطور منحصر به فرد در محتوا و عنوان هرزنامه وجود دارند. لیست سیاه معمولاً بر دو نوع از پیش تعریف شده و شخصی وجود دارد. لیست سیاه از پیش تعریف شده معمولاً از طریق شركت سازنده UTM بصورت دوره‌ای بروزرسانی می‌گردد. لیست سیاه شخصی توسط مدیر امنیت شبكه ایجاد می‌گردد.
2. استفاده از لیست سفید : شامل اطلاعاتی از دامنه‌ها یا آدرس‌های پست الكترونیكی است كه ما به آنها اطمینان داریم و بسته‌های عبوری از آنها نباید جستجو گردند.
3. استفاده از روش RDNS : در بیشتر هرزنامه‌ها آدرس پست الكترونیكی فرستنده هرزنامه یك آدرس دروغین می‌باشد. UTM با استفاده از اطلاعات موجود در سایت مرجع RIPE می‌تواند این عدم همخوانی را تشخیص دهد.
4. استفاده از روش علامتگذاری بر روی نامه‌های الكترونیكی ارسالی: برخی از هرزنامه‌ها خود را در قالب پیغام‌های خطا - كه در حالت عادی توسط Mail Server‌ها و در صورت وجود خطا در ارسال و دریافت نامه‌های الكترونیك تولید می‌گردد- جا می‌زنند. UTM برای تشخیص این هرزنامه‌ها و همچنین هرزنامه‌های الكترونیكی كه از نوع پاسخ باشد، بر روی نامه‌های خروجی از خود علامتگذاری می‌كند و در صورتیكه در پاسخ دریافتی آن علامت موجود نباشد بسته به عنوان هرزنامه تشخیص داده می‌شود.
رفتار UTM در قبال هرزنامه‌ها به دو صورت است. با توجه به تنظیمات انجام شده توسط مدیر شبكه می‌تواند یا جلوی ورود هرزنامه را گرفته ویا برای هرزنامه برچسب زده تا كاربر نهایی خود در مورد آن تصمیم گیری نماید.
پالایش صفحات وب
پالایش وب ابزاری است كه به منظور تصفیه اتصالات وب استفاده می‌شود. در كشورهای مختلف دنیا، فیلترینگ براساس دسته بندی‌های از پیش تعریف شده و یا براساس تعاریف شخصی، به دو روش ذیل انجام می‌شود:
1. فیلتر كردن نشانی‌های اینترنتی براساس:
• آدرس URL - آدرس دامنه - عبارت موجود در URL
2. فیلتر كردن براساس محتوای هر صفحه اینترنتی كه این روش در دنیا به فیلتر محتوا معروف است.
مدیریت پهنای باند
به منظور تقسیم بهینه پهنای باند اینترنتی بین گروه‌های مختلف كاربران بر اساس نیاز كاری آن‌ها، می‌توان از این امكان سود برد. همچنین از این امكان می‌توان برای تقسیم پهنای باند خطوط ارتباطی WAN بین نقاط مختلف استفاده كرد.
Web Caching
به منظور افزایش سرعت دسترسی كاربران به اطلاعات شبكه اینترنت، می‌توان داده‌هایی را كه كاربران به آنها مراجعه بیشتری دارند، در دستگاه UTM ذخیره‌سازی كرد. با این كار، كاربران در زمان‌های بعدی در صورت نیاز به این اطلاعات، به جای اینترنت آن‌ها را از دستگاه UTMدریافت می‌كنند. ممكن است اطلاعات بر روی دیسك سخت یا فلش ذخیره و بازیابی گردد. سرعت ذخیره و بازیابی در فلش بیش از دیسك سخت است. بیشتر UTMها از امكان Caching برخوردار نیستند.
AAA
این سرویس امكان احراز هویت كاربران ، كنترل میزان دسترسی كاربران به منابع شبكه و كنترل زمان دسترسی كاربر را فراهم می‌كند. یك UTM با توجه به تنظیماتی كه مدیر شبكه بر روی آن انجام می‌دهد، می‌تواند خود به عنوان سرور AAA تنظیم گردد و یا از یك سرور AAA خارجی استفاده كند.
IM and P2P Control
یكی از راه‌های ورود ویروس و نفوذ هكرها به شبكه‌، اجرای برنامه‌های Instant Messaging نظیرYahoo Messenger در محیط شبكه می‌باشد. استفاده از این برنامه‌ها همچنین باعث اتلاف وقت كاركنان در یك محیط كاری می‌گردد. برنامه‌های P2P نظیرemule ، Kaza و Bittorent برنامه‌هایی هستند كه كاربران از طریق آن‌ها داده‌ها و برنامه‌های خود را با افراد دیگر در محیط اینترنت به اشتراك می‌گذارند. این برنامه‌ها علاوه بر این‌كه ممكن است باعث به خطر افتادن امنیت داده‌های یك سازمان گردند، میزان زیادی از پهنای باند اینترنت سازمان را اشغال می‌كنند.
معمولاً نمی‌توان از طریق مسدودسازی پورت‌ها در دیواره‌آتش، جلوی ارتباط برنامه‌های IM و P2P با سرورهایشان در اینترنت را گرفت. بلكه باید با استفاده از شناسه هر برنامه، جلوی ارتباط آن برنامه را با سرور اینترنتی گرفت.
Route and NAT
از آن‌جا كه دستگاه‌های تامین كننده امنیت در Gateway وظیفه برقراری ارتباط شبكه داخلی با اینترنت، شبكه‌های دیگر درون سازمان و شبكه سازمان‌ها و شركت‌های همكار را نیز بر عهده دارند، بنابراین باید امكان مسیریابی ایستا و پویا و همچنین انواع NAT را داشته باشند. UTMها معمولاًپروتكل‌های مسیریابی پویای BGP، OSPF، RIP نسخه 1 و 2 را پشتیبانی می‌كنند.
گزارش دهی ، رویدادنگاری و پالایش
برای نظارت بر نحوه استفاده كاربران داخلی و خارجی از سرویس‌های شبكه نظیر اینترنت، برنامه‌های كاربردی و ... وجود امكانات گزارش‌دهی در این دستگاه‌ها ضروری می‌باشد. همچنین این دستگاه‌ها باید امكان ارائهLog از وضعیت كاری قسمت‌های مختلف خود را داشته باشند. بهتر است دستگاه قابلیت تهیه گزارش هم به صورت نمودار و هم به صورت متنی را داشته باشد. ارائه گزارش ترافیك جاری در بسیاری از موارد سودمند خواهد بود.
Multi-Link Management
هنگامیكه در یك سازمان دو یا چند لینك ارتباطی با اینترنت موجود باشد وجود امكان Load Balancing بین این خطوط، تشخیص قطع بودن خط، تغییر بار یك خط برمبنای میزان پایداری آن و همچنین تقسیم ترافیك كاربران بر روی این خطوط بسیار مهم می‌‌باشد. UTMهایی كه تمام موارد فوق را پوشش دهند UTMهای مناسبی می‌باشند.
سرویس‌های عمومی
از UTM‌ها می‌توان بعنوان سرور DHCP، DNS و WINS استفاده كرد.
مشخصه‌های دیگر متمایز كننده UTM
نوع پردازش بسته‌ها
برخی از UTMها به‌صورت نرم‌افزاری و برخی دیگر به‌صورت سخت‌افزاری بسته‌ها را پردازش می‌كنند. UTMهایی كه بسته‌ها را به‌صورت سخت‌افزاری پردازش می‌كنند میزان گذردهی و كارایی بهتری دارند و در ضمن قیمت آن‌ها بالاتر از نمونه‌هایی با پردازشگر نرم‌افزاری است. استفاده از این نوع UTMها نسبت به مدل‌هایی با پردازش نرم‌افزاری ارجحیت دارد.
اخیراً نوعی معماری با عنوان ATCA با همكاری بیش از 100 شركت سخت‌افزاری جهان تدوین شده است كه تولید قطعات سخت‌افزاری بر اساس این معماری، بازدهی سیستم‌ها را فوق‌العاده افزایش می‌دهد.
یك سامانه UTM برای اینكه امكان پشتیبانی چندین گیگابیت را داشته باشد، باید استعداد Carrier-Grade را داشته باشد؛ این قابلیت امكاناتی نظیر دسترس‌پذیری، مقیاس‌پذیری، مدیریت‌پذیری، مشخصات پاسخ‌ها و غیره را بصورت استاندارد فراهم می‌كند.
نوع سیستم عامل مورد استفاده درUTM
توصیه می‌گردد UTMی برای استفاده انتخاب گردد كه سیستم‌عامل مخصوص به خود را داشته باشد. زیرا در این حالت، امكان حدس زدن نقاط ضعف امنیتی سیستم‌عامل آن توسط نفوذگران وجود نخواهد داشت.
امكان HA
High Availability به امكانی اطلاق می‌شود كه طی آن یك دستگاه كاملاً مشابه دستگاه موجود در شبكه با تنظیمات یكسان وجود داشته باشد و در صورت بروز اشكال برای دستگاه اصلی، دستگاه فرعی به صورت خودكار وظایف دستگاه اصلی را بعهده گیرد. High Availability بر دونوع فعال-فعال و فعال-غیرفعال می‌باشد. در نوع فعال-فعال در شرایط عادی هر دو دستگاه اصلی و فرعی به صورت فعال در شبكه كار می‌كنند و ترافیك شبكه بین آنها تقسیم می‌گردد. در نوع فعال-غیرفعال، ترافیك شبكه تنها از دستگاه اصلی عبور می‌كند و در صورت بروز اشكال تمامی ترافیك از دستگاه فرعی عبور می‌كند. این امكان به برقراری پایداری در شبكه كمك می‌كند.
Load Balancing یا Load Sharing
این امكان، مكمل امكان HA می‌باشد. در صورتی كه دستگاه در حالت فعال-فعال تنظیم گردد، با استفاده از Load Balancing این امكان فراهم می‌گردد كه دستگاه فرعی نیز در پردازش و عبور ترافیك نقش ایفا كند. همچنین می‌توان نسبت باری را كه می بایست توسط هر دستگاه پردازش گردد مشخص كرد.
مستندات كامل، پشتیبانی مناسب و امكان بروزرسانی
لازم است تا شركت سازنده برای كار با دستگاه، مستندات كاملی فراهم كرده باشد. در این صورت استفاده از امكانات دستگاه راحت‌تر خواهد شد.
از آنجا كه دستگاه UTM معمولاً در گلوگاه شبكه قرار می‌گیرد، اگر شركت سازنده از تیم پشتیبانی قوی و سریعی برخوردار نباشد، ممكن است در صورت بروز اشكال برای دستگاه باعث از كار افتادن و قطع سرویس‌های موجود در شبكه گردد. بنابراین می‌بایست دستگاه UTM از پشتیبانی مناسبی برخوردار باشد.
همچنین بهتر است دستگاهی جهت نصب در شبكه انتخاب گردد كه احتمال بسیار ضعیفی در اختلال بروزرسانی پایگاه داده ویروس یاب، IPS ، سیستم پالایش وب و ... آن وجود داشته باشد.