TREŚĆ. Symantec Gateway Security z serii 5400

Transkrypt

1 Symantec Enterprise Security OPRACOWANIE TECHNICZNE Symantec Gateway Security z serii 5400 TREŚĆ Obecne na rynku rozwiązania konkurencyjne Wymagania wobec rozwiązania preferowanego Najważniejsze funkcje rozwiązania preferowanego Technologie dostępne w rozwiązaniu preferowanym Urządzenie Symantec Gateway Security z serii 5400

2 Spis treści Wprowadzenie Wyzwanie Obecne na rynku rozwiązania konkurencyjne Wymagania wobec rozwiązania preferowanego Najważniejsze funkcje rozwiązania preferowanego Technologie dostępne w rozwiązaniu preferowanym Porównanie modeli urządzeń Instalacja Przykład 1: Konfiguracja DMZ Internet Przykład 2: Konfiguracja Sieć usługowa Internet Przykład 3: Konfiguracja intranetowa Zarządzanie Zapora ogniowa z pełną analizą pakietów Urządzenie Symantec Gateway Security z serii Wirtualne sieci prywatne Oprogramowanie Symantec Client VPN z funkcją LiveUpdate Zapobieganie włamaniom Ochrona antywirusowa Filtrowanie treści Ochrona antyspamowa Wysoka dostępność i równoważenie obciążenia Zaawansowane zarządzanie Elastyczne opcje licencjonowania Korzyści wynikające z zastosowania urządzenia Symantec Gateway Security z serii Wnioski

3 Wprowadzenie W niniejszym dokumencie zamieszczono opis funkcji urządzenia Symantec Gateway Security z serii Wykazano tu również, dlaczego zestaw tradycyjnych jednofunkcyjnych urządzeń zabezpieczających jest niewystarczający, kosztowny i trudny w zarządzaniu. Pogląd ten został uzasadniony koniecznością ochrony sieci korporacyjnych przed szeregiem niebezpieczeństw, w tym zagrożeń hybrydowych (wirusów, robaków i koni trojańskich), takich jak Nimda i Blaster. Ponadto omówiono potrzebę wdrożenia zintegrowanego rozwiązania, które oferowałoby siedem dobrze znanych typów zabezpieczeń zaporę ogniową z pełną analizą pakietów, ochronę antywirusową i antyspamową, wirtualne sieci prywatne, mechanizm zapobiegania włamaniom i ich wykrywania oraz filtrowania treści, jak również funkcje wysokiej dostępności i równoważenia obciążenia a przy tym byłoby jednocześnie niedrogie, skalowalne oraz łatwe w zarządzaniu. Takie właśnie jest urządzenie Symantec Gateway Security z serii Wyzwanie W dzisiejszych czasach jednym z głównych zadań informatyków jest ochrona sieci firmowych przed szeregiem niebezpieczeństw zagrażających zarówno samym sieciom, jak i całej działalności przedsiębiorstwa. Obecnie oprócz tradycyjnych już problemów, takich jak działania hakerów czy załączniki wiadomości zawierające destrukcyjny kod pojawiają się także różne zagrożenia hybrydowe: robaki MyDoom czy SQL Slammer oraz ataki typu godzina zero. Łączą one w sobie cechy wirusów komputerowych, robaków, koni trojańskich oraz szkodliwego kodu. Zyskują dostęp do sieci, korzystając z istniejących luk w zabezpieczeniach serwerów czy w zabezpieczeniach internetowych, między innymi w klientach połączonych zdalnie za pośrednictwem wirtualnej sieci prywatnej. Ataki typu godzina zero mogą następować w ciągu zaledwie kilku godzin lub nawet minut po wykryciu luki, co stanowi nieprawdopodobne wyzwanie dla firm informatycznych. Powyższe zagrożenia rozprzestrzeniają się w sieci, wykorzystując wiele różnych technik. Często naruszają prywatność ofiar, zostawiając w systemie tylne wejścia na potrzeby przyszłych ataków. Wiele produktów dostępnych na rynku oferuje pojedyncze typy zabezpieczeń, takie jak zapory ogniowe, wirtualne sieci prywatne (VPN, Virtual Private Network) czy mechanizm wykrywania włamań. Żaden z nich nie oferuje jednak rozwiązania kompletnego i w pełni zintegrowanego. Zwalczanie współczesnych zagrożeń za pomocą takich jednofunkcyjnych środków ochronnych może być niezwykle kosztowne i trudne z logistycznego punktu widzenia, ponieważ wymaga nieproporcjonalnej rozbudowy działów informatycznych w celu obsługi poszczególnych interfejsów, dokonywania osobnych aktualizacji oraz monitorowania licznych dzienników systemowych i raportów. Nawet urządzenia tego samego producenta są często słabo zintegrowane, co grozi powstawaniem luk w systemie bezpieczeństwa. Problemy tego typu mają jeszcze większe znaczenie w przypadku dużych i rozwijających się przedsiębiorstw, dysponujących wieloma bramkami i współpracujących z odległymi placówkami. Obecne na rynku rozwiązania konkurencyjne Firmy Nokia, Cisco oraz NetScreen oferują zintegrowane w różnym stopniu urządzenia obsługujące dwie lub trzy technologie, takie jak ochrona antywirusowa, zapora ogniowa oraz mechanizm wykrywania włamań. Żaden z tych producentów nie dostarcza jednak rozwiązania kompletnego i w pełni zintegrowanego. Klienci otrzymują zestaw niepowiązanych ze sobą produktów, które nie zawsze dobrze współdziałają; wymagają ponadto oddzielnego zarządzania i obsługi. Firma Symantec w ramach jednej umowy proponuje natomiast najlepsze z dostępnych technologii, scentralizowany interfejs zarządzania i wsparcie techniczne. 3

4 Wymagania wobec rozwiązania preferowanego Możliwości wielu przedsiębiorstw ograniczane są przez budżet i liczebność kadry informatycznej. Firmy te wymagają centralnego zarządzania wieloma bramkami zabezpieczającymi oraz funkcjami rejestrowania zdarzeń, alarmowania i tworzenia raportów. Przyjęte rozwiązanie powinno być też skalowalne, tak aby można było sprostać zmianom wymagań w przyszłości. Proces instalacji i konfiguracji oprogramowania powinien być prosty, a podstawowe funkcje dostępne od razu ze wstępnie zdefiniowanymi parametrami. Przejrzysty i łatwy w obsłudze interfejs graficzny ma pozwolić nawet nowym użytkownikom bezproblemowo dokonać instalacji i uzyskać maksymalną wydajność najważniejszych zabezpieczeń. Administrator powinien móc bez trudu zarządzać wszystkimi usługami z jednego miejsca. Wszystkie funkcje zabezpieczeń muszą współdziałać i komunikować się ze sobą, aby jak najlepiej chronić sieć przed zaawansowanymi zagrożeniami hybrydowymi. Także możliwość współpracy zjednym dostawcą jest niewątpliwie zaletą, ponieważ może wpłynąć na zmniejszenie kosztów instalacji, zarządzania i wsparcia technicznego. Najważniejsze funkcje rozwiązania preferowanego Niektóre z najbardziej przydatnych funkcji: Pełna kontrola danych przesyłanych w ramach połączeń zdalnego dostępu wykorzystujących wirtualne sieci prywatne (VPN). Dane tunelowane w sieci VPN powinny być chronione dzięki analizie pakietów pod kątem zgodności z regułami zapory ogniowej, jak również przez mechanizm zapobiegania włamaniom oraz wykrywania wirusów i filtrowania treści. Zestawianie połączeń VPN między bramkami z wykorzystaniem pełnej kontroli danych (umożliwia wykrywanie włamań między placówkami). Segmentacja sieci wewnętrznej w celu zahamowania procesu rozprzestrzeniania się destrukcyjnego kodu. Zarządzanie poprawkami zabezpieczeń. Wysoka dostępność i równoważenie obciążenia. Zapobieganie włamaniom i wykrywanie ich na poziomie bramki. Skanowanie antywirusowe poczty elektronicznej, połączeń FTP i HTTP. Zapora ogniowa z pełną analizą pakietów (na poziomie aplikacji). Elastyczne opcje licencjonowania. 4

5 Technologie dostępne w rozwiązaniu preferowanym W urządzeniach Symantec Gateway Security z serii 5400 wykorzystywane są wszystkie najważniejsze technologie zabezpieczeń potrzebne do zapewnienia ochrony przed bardziej zaawansowanymi zagrożeniami. PORÓWNANIE MODELI URZĄDZEŃ Na serię 5400 urządzeń Symantec Gateway Security składa się pięć różnych modeli. Symantec Gateway Security 5420 to proste rozwiązanie dla środowisk sieciowych o niedużym natężeniu ruchu. Jest ono standardowo wyposażone w sześć portów 10/100 Fast Ethernet i wbudowany akcelerator szyfrowania. Urządzenia Symantec Gateway Security 5440 oraz Symantec Gateway Security 5441 są bardziej zaawansowane. Dostępnych jest sześć portów Gigabit Ethernet (10/100/1000) i szybki akcelerator szyfrowania. Model 5440 jest wyposażony w sześć interfejsów RJ45 dla skrętki miedzianej, natomiast 5441 w dwa gniazda RJ45 i cztery przeznaczone dla światłowodu wielomodowego. Oba te warianty zapewniają środowiskom sieciowym o dużym natężeniu ruchu odpowiednią przepustowość i skalowalność. Symantec Gateway Security 5460 oraz Symantec Gateway Security 5461 to wysokiej klasy urządzenia przeznaczone dla większych przedsiębiorstw lub środowisk o intensywnym ruchu w szyfrowanych sieciach VPN i dużych wymaganiach dotyczących szybkości transferu danych. Oba są wyposażone w osiem portów Gigabit Ethernet i dwa szybkie akceleratory szyfrowania. Model 5460 dysponuje ośmioma gniazdami RJ45 (10/100/1000) dla skrętki miedzianej, natomiast 5461 ma dwa interfejsy RJ45 i sześć przeznaczonych dla światłowodu wielomodowego. Pięć wymienionych modeli zapewnia razem wyjątkową skalowalność i szeroką gamę wariantów, takich jak: przepustowość od 200 Mb/s do 1,8 Gb/s, a nawet więcej w konfiguracjach klastrowych, sześć portów 10/100 Fast Ethernet lub do ośmiu portów Gigabit Ethernet, możliwość podłączenia zarówno skrętki miedzianej, jak i światłowodu, przepustowość od 100 Mb/s do 600 Mb/s w sieciach VPN korzystających z protokołu IPsec, obudowy o wysokości 1U oraz 2U. 5

6 Poniższa tabela zawiera podsumowanie różnic między poszczególnymi modelami z serii 5400: Symantec Gateway Security z serii Obszary zastosowań Funkcje zabezpieczeń Zalecana liczba użytkowników Przepustowość (Mb/s) maksymalna/nominalna Tunele VPN/wydajność (Mb/s) Typy interfejsów i szybkość (Mb/s) Główne: obiekty średnie i duże Dodatkowe: rozbudowane oddziały terenowe Zintegrowane: zapora ogniowa z pełną analizą pakietów, sieci VPN, ochrona antywirusowa w bramce, wykrywanie anomalii oraz mechanizm ochrony przed włamaniami oparty na sygnaturach ataków, dynamiczne filtrowanie treści, elastyczne opcje licencjonowania / / / / /700 G2G/C2G 250 (3DES) 6 X 10/100 skrętka miedziana G2G/C2G 400 (3DES) 6 X 10/100/1000 skrętka miedziana G2G/C2G 400 (3DES) 2 X 10/100/1000 skrętka miedziana G2G/C2G /650 (3DES) 8 X 10/100/1000 skrętka miedziana G2G/C2G /650 (3DES) 2 X 10/100/1000 skrętka miedziana 4 X 1000 (MMF) światłowód 6 X 1000 (MMF) światłowód INSTALACJA Porty Ethernet urządzeń Symantec Gateway Security z serii 5400 są całkowicie od siebie niezależne i mogą służyć do różnych celów. W typowej konfiguracji jeden port umożliwia połączenie sieci korporacyjnej z Internetem lub inną siecią publiczną, pozostałe natomiast mogą być używane przez różne sieci chronione, usługowe lub na potrzeby strefy zdemilitaryzowanej (DMZ). Reguły dla par portów wejściowego i wyjściowego są definiowane przez administratora. Mogą one być stosowane do analizowania ruchu przychodzącego z Internetu, wychodzącego z sieci chronionej do Internetu lub ruchu pomiędzy wewnętrznymi segmentami sieci LAN. Ta wszechstronność jest charakterystyczna tylko dla urządzeń Symantec Gateway Security z serii Dzięki niej można powstrzymać rozprzestrzenianie się wirusów poza daną sieć i zapobiec atakom typu odmowa usługi (DoS, Denial of Service). PRZYKŁAD 1: KONFIGURACJA DMZ INTERNET Konfiguracja tego typu zakłada utworzenie sieci pośredniczącej między sieciami prywatnymi i siecią publiczną. Wada tego rozwiązania polega na tym, że publicznie dostępne hosty nie są chronione przez bramki, co zwiększa ich podatność na ataki i oznacza duże nakłady związane z zarządzaniem w celu zapewnienia bezpieczeństwa. 6

7 Baza danych Sieć chroniona Serwer Internet SGS 5400 DMZ Router Rysunek 1: Przykład konfiguracji DMZ Internet PRZYKŁAD 2: KONFIGURACJA SIEĆ USŁUGOWA INTERNET W przypadku tej konfiguracji tworzona jest sieć izolowana. Zawiera ona serwery, które mają być dostępne z zewnątrz. Jest to rozwiązanie najbezpieczniejsze i najbardziej elastyczne, ponieważ serwery te mogą być chronione za pomocą funkcji zapobiegania włamaniom i ich wykrywania, ochrony antywirusowej i innych. Ułatwia to zarządzanie i umożliwia sprawowanie szczegółowej kontroli dostępu. W tym układzie zapora ogniowa ma co najmniej trzy interfejsy sieciowe. Sieć usługowa Usługi publiczne (SMTP, FTP, WWW i inne) Sieć chroniona Internet SGS 5400 DMZ Router Rysunek 2: Przykład konfiguracji Sieć usługowa Internet 7

8 PRZYKŁAD 3: KONFIGURACJA INTRANETOWA W tej konfiguracji zapory ogniowe są wykorzystywane wewnątrz sieci prywatnej. Pozwala to zapewnić lepszą ochronę przed zagrożeniami wewnętrznymi. Sieć usługowa Usługi publiczne (SMTP, FTP, WWW i inne) Sieć chroniona Router Internet Router DMZ SGS 5400 Sieć wewnętrzna SGS 5400 Router Rysunek 3: Przykład konfiguracji intranetowej ZARZĄDZANIE Konsola zarządzania (Management Console) udostępnia oparty na sieci WWW graficzny interfejs użytkownika SGMI (Symantec Gateway Management Interface) umożliwiający niezależne zarządzanie systemem. Dzięki temu administrator może bezpiecznie kontrolować cały system z dowolnego miejsca przy użyciu przeglądarki internetowej; może także definiować różne role administracyjne z określonymi zestawami praw dostępu. Interfejs SGMI nie wymaga instalacji po stronie użytkownika. Oprogramowanie Symantec Advanced Manager for Security Gateways oferuje zestaw zaawansowanych funkcji dodatkowych, takich jak centralne zarządzanie wieloma urządzeniami; jest również zgodne z architekturą Symantec Enterprise Security Architecture (SESA), omawianą w dalszej części niniejszego dokumentu. Kreator konfiguracji wspomaga administratora w procesie wstępnego określania ustawień systemu. Na tym etapie wymagane jest podanie szeregu informacji dotyczących systemu, ustawienie aktualnej daty i godziny oraz wybranie zestawu opcji, które mają być włączone. Dzięki wykorzystaniu interfejsu Symantec Gateway Management Interface możliwa jest praca z zastosowaniem protokołu HTTPS lub IPsec z szyfrowaniem przy użyciu algorytmu 3DES. Kreator klastrów umożliwia łatwe tworzenie, modyfikowanie oraz usuwanie klastrów charakteryzujących się wysoką dostępnością i możliwością równoważenia obciążenia. Węzły są synchronizowane w jednym węźle zarządzania z możliwością zapisu, a cały klaster można łatwo monitorować za pomocą wyświetlacza aktualizowanego w czasie rzeczywistym. 8

9 ZAPORA OGNIOWA Z PEŁNĄ ANALIZĄ PAKIETÓW Zapory ogniowe analizują przychodzące do danej sieci lub wychodzące z niej pakiety i usuwają te spośród nich, które spełniają określone kryteria. W tym celu stosowana jest zazwyczaj jedna z czterech technik. Proste filtrowanie pakietów (ang. simple packet filtering) odbywa się w warstwie sieciowej modelu OSI (warstwa 3). Przychodzące i wychodzące pakiety IP są analizowane przez zaporę ogniową i odrzucane bądź przepuszczane na podstawie swoich adresów sieciowych oraz odpowiednich reguł zdefiniowanych przez administratora systemu. Sprawdzane są określone pola samego nagłówka pakietu, a nie zawarte w nim dane. Proste filtrowanie pakietów jest stosowane w wielu routerach i zaporach ogniowych. Bramki utrzymujące stan połączeń (ang. circuit-level gateway) działają w warstwie sesji modelu OSI (warstwa 5). Korzystają one z tablicy stanów zawierającej listę dozwolonych połączeń. Przy próbie nawiązania nowego połączenia za pośrednictwem protokołu TCP lub UDP jest ono porównywane z odpowiednią tablicą i na tej podstawie przepuszczane lub odrzucane. Jednak filtr tego typu nie analizuje przesyłanych danych. Dopóki są one częścią ustanowionej sesji, są przepuszczane przez zaporę ogniową. Treść zasadnicza Treść zasadnicza Warstwa 7 Warstwa aplikacji Warstwa 6 Warstwa prezentacji Warstwa 5 Warstwa sesji Wewnętrzna stacja robocza klient NAGŁÓWEK Warstwa 4 Warstwa transportowa Warstwa 3 Warstwa sieciowa Stos IP zapory ogniowej Serwer zewnętrzny NAGŁÓWEK Treść zasadnicza Pakiet IP Warstwa 2 Warstwa łącza danych Warstwa 1 Warstwa fizyczna NAGŁÓWEK Treść zasadnicza Pakiet IP Rysunek 4: Zapora ogniowa z pełną analizą pakietów 9

10 Stanowe filtrowanie pakietów (ang. stateful packet filtering) zapewnia większe bezpieczeństwo niż filtrowanie proste, ponieważ treść pakietów jest badana zarówno na poziomie sieci (warstwa 3), jak i na poziomie aplikacji (warstwa 7), ale tylko podczas inicjowania połączenia. Analizowane są określone pola nagłówka pakietu IP podobnie jak przy filtrowaniu prostym. Po ustanowieniu sesji jest ona dodawana do odpowiedniej tablicy, a należące do niej pakiety są przepuszczane bez dodatkowej analizy. Najlepszą ochronę zapewnia zapora ogniowa działająca w warstwie aplikacji (warstwa 7). Funkcjonuje ona podobnie do serwerów proxy, przekazując żądania użytkownika i ukrywając prawdziwy adres sieciowy. Rozpoznaje wszystkie wiadomości przychodzące do sieci i z niej wychodzące. Zastępuje poszczególne serwery aplikacji, na przykład HTTP czy FTP, i przyjmuje tylko pakiety dla nich przeznaczone. Sprawdza autentyczność każdego pakietu, jego zgodność z dokumentami RFC oraz możliwość wystąpienia przepełnienia bufora i jeśli nie wykryje żadnych problemów przekazuje go dalej do odpowiedniej aplikacji. Urządzenie Symantec Gateway Security z serii 5400 Wbudowana w urządzenia Symantec Gateway Security z serii 5400 zapora ogniowa z pełną analizą pakietów łączy w sobie możliwości każdego z czterech omawianych typów zapór. Wykrywa i odrzuca nieprawidłowe pakiety w warstwach IP, sesji oraz aplikacji. W pierwszej z nich (warstwa 3) analizuje pakiety i blokuje ruch wychodzący z serwera, który mógłby doprowadzić do wewnętrznego ataku typu odmowa usługi (DoS). W drugiej (warstwa 5) kontroluje sesje, natomiast na poziomie aplikacji (warstwa 7) sprawdza zgodność z dokumentami RFC dotyczącymi protokołów sieciowych, takich jak HTTP, SMTP oraz FTP. Ponadto wykrywa i powstrzymuje ataki polegające na przepełnianiu bufora oraz dokonuje translacji adresów sieciowych (NAT, Network Address Translation). Im wyższy jest wymagany poziom bezpieczeństwa, tym wyższa warstwa modelu OSI, w której przetwarzane są pakiety. Ta jedyna w swoim rodzaju architektura sprawia, że urządzenia Symantec Gateway Security z serii 5400 zapewniają najlepszą dostępną obecnie ochronę. Świadczy o tym chociażby przyznany temu rozwiązaniu certyfikat Common Criteria EAL-4. Zapora ogniowa jest zintegrowana z innymi funkcjami urządzeń z serii 5400, takimi jak sieci VPN, bramka antywirusowa, mechanizm wykrywania anomalii, ochrona przed włamaniami działająca na podstawie sygnatur ataków, system wykrywania włamań oraz dynamiczne filtrowanie treści. Duże znaczenie ma też dostępność elastycznych opcji licencjonowania produktu. 10

11 WIRTUALNE SIECI PRYWATNE Wirtualne sieci prywatne (VPN) umożliwiają nawiązywanie bezpiecznych połączeń przez niezabezpieczone sieci dzięki tworzeniu szyfrowanego tunelu danych. Użytkownik ma wrażenie, że korzysta ze zwykłej sieci prywatnej. Urządzenia Symantec Gateway Security z serii 5400 udostępniają technologię, która jest zgodna z protokołem IPsec, ma certyfikat ICSA oraz umożliwia konfigurowanie odpornych na zagrożenia i wymagających niewielkich nakładów połączeń przez Internet. Stosowany jest także mechanizm hermetyzacji pakietów UDP-IPsec, dzięki czemu poszerza się zakres zastosowań tego rozwiązania. W przypadku awarii bramki podstawowej urządzenie automatycznie ponawia próbę nawiązania komunikacji za pośrednictwem bramki pomocniczej, co zwiększa niezawodność sesji VPN. Wysoką wydajność wirtualnych sieci prywatnych zestawianych za pomocą urządzeń firmy Symantec zapewnia zintegrowana akceleracja sprzętowa, która umożliwia uzyskanie przepustowości nawet do 600 Mb/s przy wykorzystaniu szyfrowania za pomocą algorytmu 3DES. System oferuje także funkcje niewidocznego przełączania awaryjnego oraz równoważenia obciążenia tuneli zestawionych pomiędzy bramkami. W przypadku korzystania z programu Symantec Client VPN 8.0 zapewnia również dostosowaną do obsługi translacji adresów sieciowych hermetyzację pakietów UDP i identyfikację klientów oraz minimalizuje spadek przepustowości w sytuacji, gdy wiele sieci korzysta z tego samego zdalnego adresu IP. Technologia Symantec VPN obsługuje ponadto funkcje kontroli dostępu. Możliwe jest ograniczenie dostępu do tuneli VPN tylko do wybranych aplikacji, chociaż i tak tunele te łączą zazwyczaj jedynie sieci zaufane. Pakiety można przepuszczać lub odrzucać na podstawie adresu źródłowego, docelowego lub użytego protokołu. Tunelowane dane można także chronić na poziomie aplikacji, tak jak zwykły ruch w sieci, wykrywając między innymi wirusy i filtrując treść. Obsługiwana jest dwukierunkowa translacja adresów sieciowych, rejestrowanie zdarzeń, hermetyzacja pakietów UDP oraz opcja losowego wybierania portów IKE/ISAKMP. Budowa pakietu Poniższy rysunek przedstawia pakiet VPN. Oryginalny pakiet IP pochodzący z sieci prywatnej jest zaszyfrowany, a integralność danych jest zapewniona dzięki sumie kontrolnej. Urządzenie obsługuje algorytmy AES, 3DES oraz DES, jak również kilka sposobów sprawdzania poprawności odebranych informacji. Można w tym celu skorzystać z protokołu Authentication Header lub Encapsulating Security Payload, przy czym ten ostatni oprócz integralności danych zapewnia także ich bezpieczeństwo. Niezabezpieczone adresy sieciowe bramek zabezpieczających Suma kontrolna zapewniająca integralność Zabezpieczone adresy sieciowe komputerów komunikujących się w sieci VPN Tunelowany pakiet Nagłówki IP Nagłówki zabezpieczające Oryginalny nagłówek IP Treść zasadnicza pakietu Rysunek 5: Składniki pakietu Dane zaszyfrowane 11

12 Oprogramowanie Symantec Client VPN z funkcją LiveUpdate Zastosowanie programu Symantec Client VPN z funkcją LiveUpdate umożliwia zmniejszenie kosztów zarządzania oprogramowaniem i dystrybucji aktualizacji. Jednorazowe uruchomienie tej funkcji powoduje, że wszystkie obsługujące ją produkty firmy Symantec zostają zaktualizowane automatycznie. Każda wydana poprawka zawiera wszystkie poprzednie. Ikona programu jest zawsze wyświetlana na pasku zadań. Pozwala ona użytkownikowi połączyć się z bramką lub rozłączyć połączenie, skonfigurować opcje kontroli portów, włączyć lub wyłączyć udostępnianie plików i drukarek, przejrzeć stan połączenia oraz otworzyć pliki dziennika systemowego. Oprócz tego funkcja Gateway Groups umożliwia logiczne grupowanie bramek zabezpieczeń oraz stosowanie automatycznego przełączania awaryjnego w przypadku nieudanego połączenia. Wśród innych funkcji można wyróżnić wykrywanie wielkości parametru MTU, pozwalające zminimalizować utratę danych w razie wystąpienia problemów z połączeniem, oraz hermetyzację pakietów UDP, dzięki której dane protokołu IPsec mogą być przesyłane przez pośredniczące urządzenia dokonujące translacji adresów sieciowych (NAT), takie jak domowe zapory ogniowe. ZAPOBIEGANIE WŁAMANIOM Urządzenia Symantec Gateway Security z serii 5400 łączą w sobie mechanizm wykrywania anomalii w protokołach oraz system ochrony przed włamaniami działający na podstawie sygnatur ataków, będące kontynuatorami wielokrotnie nagradzanej technologii ManHunt firmy Symantec. Mechanizm wykrywania anomalii odnajduje w protokołach nieprawidłowości, które nie znajdują się jeszcze w bazie sygnatur, co pozwala na rozpoznawanie nowych, nieznanych zagrożeń. Dzięki temu można powstrzymać atak, zanim tak naprawdę dotrze on do docelowej sieci. System ochrony przed włamaniami potrafi także wykrywać anomalie w ruchu sieciowym, takie jak działania typu rozproszona odmowa usługi (DDoS, Distributed Denial of Service). Administrator może skonfigurować system w taki sposób, aby na poziomie poszczególnych interfejsów dowolne spośród setek typów działań nieuprawnionych lub destrukcyjnych było blokowane, dodawane do listy działań blokowanych lub aby automatycznie był dla niego generowany alert. Dodatkowo można korzystać z funkcji składania pofragmentowanych pakietów sieciowych. Baza sygnatur ataków jest aktualizowana przy użyciu technologii LiveUpdate. OCHRONA ANTYWIRUSOWA Ochrona antywirusowa oferowana w urządzeniach Symantec Gateway Security z serii 5400 zapewnia zarówno tradycyjny mechanizm wykrywania wirusów korzystający z ich definicji, jak i heurystyczne technologie wykrywania nowych, nieznanych form zagrożeń. Skanowanie i naprawianie załączników w ruchu HTTP, SMTP oraz FTP odbywa się w trybie wielowątkowym, dzięki czemu zostaje znacznie przyspieszone. Specjalny filtr wiadomości umożliwia administratorowi zablokowanie niebezpiecznych załączników na podstawie tematu, nazwy pliku lub jego rozmiaru, jeszcze zanim będą dostępne definicje wirusów. Chroni także przed zagrożeniami trudnymi do wykrycia, takimi jak wirusy korzystające ze zniekształceń formatu MIME oraz zainfekowane pliki ukryte w wielopoziomowych archiwach ZIP. 12

13 Urządzenia Symantec Gateway Security z serii 5400 korzystają z wielu technologii ochrony antywirusowej, takich jak NAVEX, Decomposer, BloodHound oraz Striker. Jest to ten sam najlepszy w branży mechanizm antywirusowy, który jest stosowany w innych produktach firmy Symantec. Serwer antywirusowy skanuje ruch FTP, HTTP oraz SMTP, jak również formanty ActiveX oraz aplety języka Java. Istnieje możliwość określenia typów badanych plików oraz dokonania wyboru działań, które mają zostać podjęte w przypadku napotkania wirusa. Dzięki technologii Symantec LiveUpdate można z łatwością utrzymywać aktualną bazę definicji wirusów. Należy zwrócić uwagę, że ochrona granic sieci przed destrukcyjnymi programami nie oznacza, że można przestać chronić poszczególne komputery wewnątrz sieci. Może się zdarzyć, że użytkownicy będą je infekować przy użyciu nośników zewnętrznych lub komputerów przenośnych. FILTROWANIE TREŚCI Urządzenia Symantec Gateway Security z serii 5400 pozwalają blokować lub filtrować witryny WWW zawierające materiały obraźliwe lub niezwiązane z działalnością przedsiębiorstwa na podstawie określonych uprzednio kryteriów opartych na analizie treści. OCHRONA ANTYSPAMOWA Ochrona antyspamowa może być skonfigurowana do filtrowania poczty elektronicznej na podstawie listy znanych domen będących źródłami spamu. Dostępna jest również funkcja sprawdzania poprawności nadawcy i ścieżki wiadomości. WYSOKA DOSTĘPNOŚĆ I RÓWNOWAŻENIE OBCIĄŻENIA W systemach, od których wymaga się wysokiej dostępności, wykorzystywane są węzły nadmiarowe, zapewniające nieprzerwaną łączność w przypadku awarii. Równoważenie obciążenia polega na rozdzielaniu zadań między kilka systemów w celu zwiększenia ogólnej elastyczności i skalowalności systemu. Obsługa wysokiej dostępności i równoważenia obciążenia odbywa się w trybie aktywny-pasywny (Active-Passive), w którym połowa węzłów pracuje, a druga czuwa, oraz aktywny-aktywny (Active-Active), kiedy wszystkie węzły pracują. Ten ostatni tryb pozwala lepiej wykorzystać dostępne zasoby, zmniejszyć koszty obsługi i zapewnić skalowalność systemu. Mechanizm równoważenia obciążenia może przydzielać zasoby losowo, najmniej obciążonym składnikom systemu lub na zasadzie kolejki. Klastry to grupy niezależnych urządzeń, które współpracują ze sobą, zapewniając nadmiarowość na użytek przełączania awaryjnego oraz równoważenia obciążenia. Elementy składowe takiej grupy monitorują się nawzajem przy użyciu sygnałów taktowania w sieci LAN. Węzeł rozpoznaje awarię innego węzła w klastrze na podstawie braku sygnału jego aktywności lub dzięki technologii monitorowania sygnałów taktowania i wykrywania obciążenia. Węzły nie tylko stwierdzają awarie, ale również odciążają inne węzły w klastrze, gdy natężenie obsługiwanego przez nie ruchu sieciowego przekroczy określony poziom. Klaster udostępnia wirtualne adresy IP, dzięki czemu indywidualne adresy mogą być współużytkowane i przełączane między jego składnikami. Węzeł przyjmujący pakiety nazywa się węzłem odbiorczym. W przypadku awarii jego rolę przejmuje inny węzeł. 13

14 Urządzenia Symantec Gateway Security z serii 5400 oferują technologie wysokiej dostępności i równoważenia obciążenia z funkcją przełączania awaryjnego niewidocznego dla reguł, stanów i połączeń zapór ogniowych i sieci VPN. Obsługują one klastry złożone z dwóch do ośmiu węzłów współużytkujących zakresy adresów NAT, listy blokowanych adresów, informacje o tunelach VPN oraz uwierzytelnianiu. Przełączanie awaryjne można skonfigurować, wybierając odpowiednie reguły. Dla protokołów FTP, Telnet, SSL i wielu aplikacji korzystających z protokołu TCP przełączanie awaryjne jest procesem niewidocznym. W przypadku połączeń VPN przełączenie między bramkami zachodzi automatycznie, natomiast tunele VPN do klientów wymagają ponownego połączenia (z wyjątkiem sytuacji, gdy wykorzystywana jest wersja 8.0 oprogramowania Symantec Client VPN wtedy cały proces przebiega automatycznie). ZAAWANSOWANE ZARZĄDZANIE Klienci wymagający bardziej zaawansowanych możliwości mogą skorzystać z oprogramowania Symantec Advanced Manager for Security Gateways, które udostępnia mechanizm scentralizowanego zarządzania polityką bezpieczeństwa nawet setek urządzeń przy użyciu pojedynczej konsoli. U podstaw tej technologii leży architektura SESA. Pakiet SESA Foundation Pakiet SESA Foundation składa się z czterech składników: SESA Agent to aplikacja utworzona w języku Java, uruchamiana w każdym komputerze z zarządzanym produktem Symantec Enterprise Security i łącząca je z narzędziem SESA Manager. Obsługuje wszystkie funkcje zabezpieczeń systemu. SESA Manager udostępnia centralny zbiór informacji o zdarzeniach oraz związanych z nimi dzienników systemowych i raportów, jak również zapewnia do nich dostęp. Pozwala też przeglądać reguły zabezpieczeń i zarządzać nimi. Jest to serwer aplikacji internetowych, który uruchamia serwlety i związane z nimi oprogramowanie pośredniczące. Większość placówek potrzebuje niewielu takich menedżerów od kilku do kilkunastu, w zależności od rozmiaru organizacji. SESA DataStore to relacyjna baza danych, w której przechowywane są informacje o zdarzeniach zebrane z podłączonych produktów obsługiwanych przez technologię SESA. Niektóre organizacje mogą potrzebować tylko jednej bazy, jednak te rozproszone geograficznie będą prawdopodobnie korzystać z kilku baz synchronizowanych z centralą. SESA Directory to katalog LDAP, w którym magazynowane są dane o użytkownikach, komputerach i zarządzanych produktach. Pozwala on administratorowi tworzyć i obsługiwać grupy, reguły konfiguracyjne oraz topologię systemu. Oferuje również funkcje szczegółowej kontroli zarządzanych obiektów, takich jak domeny administracyjne, role i jednostki organizacyjne oraz elastyczny mechanizm zapytań. W danym przedsiębiorstwie potrzebny jest tylko jeden katalog SESA Directory. Opcje zarządzania Oprogramowanie Symantec Advanced Manager for Security Gateways umożliwia bezpieczne, centralne zarządzanie setkami lub nawet tysiącami bramek zabezpieczających przy użyciu przeglądarki internetowej. Jego łatwy w użyciu interfejs udostępnia także w jednym miejscu funkcje rejestrowania zdarzeń, alarmowania oraz tworzenia raportów dotyczących stanu całej infrastruktury bezpieczeństwa. Umożliwia to organizacji przejęcie pełnej kontroli nad zarządzaniem konfiguracją i monitorowaniem jej oraz wykorzystanie dotychczasowych inwestycji w bramki zabezpieczające. 14

15 ELASTYCZNE OPCJE LICENCJONOWANIA Administrator urządzeń Symantec Gateway Security z serii 5400 może nabyć licencję pozwalającą uaktywnić tylko te funkcje zabezpieczeń, które są potrzebne. Opcja podstawowa obejmuje zaporę ogniową z pełną analizą pakietów dla 50 węzłów, sesje VPN między bramkami bez ograniczeń i pojedyncze sesje między klientem a bramką przeznaczone do zdalnego zarządzania wszystko to w bardzo atrakcyjnej cenie. W razie potrzeby można w każdej chwili szybko załadować plik licencji i włączyć inne potrzebne funkcje. Korzyści wynikające z zastosowania urządzenia Symantec Gateway Security z serii 5400 Urządzenie Symantec Gateway Security z serii 5400 zapewnia przedsiębiorstwom najwyższy poziom ochrony przed atakami typu godzina zero i innymi zagrożeniami. Ściśle integruje najważniejsze funkcje zabezpieczeń, korzystając ze sprawdzonej architektury zabezpieczeń firmy Symantec. Stanowi najlepsze połączenie wydajności i bezpieczeństwa z atrakcyjną ofertą cenową, dzięki czemu klienci mogą skutecznie i szybko chronić swoje systemy przed atakami. Funkcjonalność urządzenia Symantec Gateway Security z serii 5400 można zwiększać wraz z rozwojem firmy. Klienci mają szeroki wybór funkcji i modeli, mogą więc zacząć od wdrożenia tych, które są im w danym momencie potrzebne, a następnie planować bezproblemową rozbudowę. Urządzenie to stanowi udogodnienie dla menedżerów zasobów informatycznych. Instalacja urządzenia nie jest trudna. Centralne zarządzanie za pomocą narzędzia Advanced Manager wymaga mniejszego niż dotąd nakładu pracy oraz skraca czas reakcji. Taka integracja ułatwia proces instalacji, konfiguracji i administracji oraz pozwala skorzystać z globalnego doświadczenia i profesjonalnych usług firmy Symantec. Wnioski Produkty Symantec Gateway Security z serii 5400 to w pełni zintegrowane, kompleksowe urządzenia wspomagające zabezpieczenie sieci. Łączą funkcjonalność sprzętowej zapory ogniowej, technologii wirtualnych sieci prywatnych, systemu zapobiegania włamaniom i ich wykrywania, ochrony antywirusowej i antyspamowej oraz mechanizmu filtrowania treści. Ponadto zawierają wbudowane funkcje wysokiej dostępności i równoważenia obciążenia, zapewniając skalowalne rozwiązanie umożliwiające centralne zarządzanie, rejestrowanie zdarzeń, tworzenie raportów oraz generowanie alarmów. Klienci mogą wybrać jeden z trzech dostępnych modeli i nabyć potrzebny im zestaw funkcji, korzystając z elastycznych opcji licencjonowania. Dzięki temu mogą nie tylko oszczędzić czas i pieniądze, ale także aktywnie chronić swoją sieć przed nowymi, nieznanymi zagrożeniami. 15

16 FIRMA SYMANTEC ŚWIATOWY LIDER W DZIEDZINIE TECHNOLOGII ZABEZPIECZEŃ INTERNETOWYCH OFERUJE PEŁNĄ GAMĘ PROGRAMÓW ORAZ URZĄDZEŃ ZABEZPIECZAJĄCYCH SIEĆ I FILTRUJĄCYCH PRZESYŁANE I POBIERANE TREŚCI, PRZEZNACZONYCH DLA ODBIORCÓW INDYWIDUALNYCH, FIRM ORAZ DOSTAWCÓW USŁUG. FIRMA SYMANTEC JEST NAJWIĘKSZYM NA ŚWIECIE DOSTAWCĄ ROZWIĄZAŃ ZABEZPIECZAJĄCYCH STACJE ROBOCZE, BRAMKI I SERWERY, REALIZUJĄCYCH FUNKCJE OCHRONY ANTYWIRUSOWEJ, ZAPÓR OGNIOWYCH, WIRTUALNYCH SIECI PRYWATNYCH, ZARZĄDZANIA LUKAMI W ZABEZPIECZENIACH SIECI KOMPUTEROWYCH, ZAPOBIEGANIA WŁAMANIOM, FILTROWANIA TREŚCI POCHODZĄCYCH Z INTERNETU I POCZTY ELEKTRONICZNEJ, ZDALNEGO ZARZĄDZANIA ORAZ USŁUG ZABEZPIECZAJĄCYCH DLA PRZEDSIĘBIORSTW I DOSTAWCÓW USŁUG NA CAŁYM ŚWIECIE. MARKA NORTON FIRMY SYMANTEC, KTÓRĄ OPATRZONE SĄ DETALICZNE WERSJE PRODUKTÓW ZABEZPIECZAJĄCYCH, JEST ŚWIATOWYM LIDEREM POD WZGLĘDEM SPRZEDAŻY DETALICZNEJ ORAZ ZDOBYWCĄ NAJWIĘKSZEJ LICZBY NAGRÓD PRZYZNAWANYCH PROGRAMOM KOMPUTEROWYM. CENTRALA ŚWIATOWA FIRMY ZNAJDUJE SIĘ W CUPERTINO W KALIFORNII, USA, A JEJ FILIE DZIAŁAJĄ W 35 KRAJACH NA CAŁYM ŚWIECIE. WIĘCEJ INFORMACJI MOŻNA ZNALEŹĆ POD ADRESEM CENTRALA ŚWIATOWA Nazwa Symantec i logo Symantec są zastrzeżonymi znakami towarowymi firmy Symantec Corporation, zarejestrowanymi w USA. Inne nazwy marek i produktów są znakami towarowymi odpowiednich właścicieli. Copyright 2004 Symantec Corporation. Wszelkie prawa zastrzeżone. Wydrukowano w Niemczech Wszystkie informacje dotyczące produktów mogą ulec zmianie. WP PL Stevens Creek Blvd. Cupertino, CA USA SYMANTEC (POLSKA) Al. Jana Pawła II Warszawa Tel. (22) Faks (22) Firma Symantec ma biura w ponad 35 krajach. Informacje o biurach i numery telefonów dla poszczególnych krajów można znaleźć w naszej witrynie internetowej. Informacje dotyczące obsługi klientów i pomocy technicznej można znaleźć w naszej witrynie internetowej: