هشت قابلیت کلیدی دستگاه های UTM برای تامین امنیت شبکه

این مقاله به بررسی قابلیت های کلیدی سیستم های مدیریت تهدیدات یکپارچه (UTM) در شبکه می پردازد . . .

 

utm2 

دستگاه هایی که با عنوان سیستم های مدیریت یکپارچه تهدیدات (UTM) می شناسیم از ظرفیت های مختلفی برای شناسایی و جلوگیری از تهدیدات و فعالیت های خرابکارانه بهره می برند. با این همه، نحوه به کار گیری و ترکیب این ظرفیت ها در محصولات مختلف متفاوت است. ظرفیت های امنیتی شبکه که UTM ها اغلب از آن پشتیبانی می کنند شامل موارد زیر است:

 

  • فیلترینگ محتوای وب
  • جلوگیری از نفوذ
  • کنترل اپلیکیشن ها
  • آنتی اسپم
  • آنتی ویروس برای وب و ایمیل
  • فایروال
  • شبکه خصوصی مجازی (VPN)

برخی تولید کنندگان UTM قابلیت ها و توانایی های بیشتری علاوه بر این ویژگی های کلیدی در محصولات خود در نظر می گیرند، از جمله load balancing، پیشگیری از آسیب به داده ها (DLP) و مدیریت پهنای باند.

قابلیت های امنیتی

حال بد نیست هر یک از این قابلیت های امنیت شبکه در سیستم های UTM را با دقت بیشتری مورد بررسی قرار دهیم. همان طور که پیش از این اشاره شد، میزان پشتیبانی هر محصول UTM از این قابلیت های امنیتی می تواند بسته به نوع محصولات و برند ها تفاوت های آشکاری داشته باشد. به طور مثال ممکن است یک محصول تنها از ابتدایی ترین ابزار های فیلترینگ محتوای وب مثل کنترل URL برای بررسی محتوای خرابکارانه استفاده کند، در حالی که محصول دیگری از روش های پیچیده تری مانند استفاده از reputation service ها و تحلیل های پیشرفته برای تعیین ماهیت احتمالی هر وب سایت بهره گیرد.

آنتی اسپم: تقریبا همه با فناوری آنتی اسپم آشنا هستند. آن چه ممکن است ندانید میزان تاثیرگذاری نرم افزارهای آنتی اسپم در جلوگیری از حملات پر پایه ایمیل های ورودی اتس. بسیاری از پیام های اسپم ذاتا مخرب هستند؛ به طور مثال ممکن است این ایمیل ها با فریب کاربر، او را به سمت افشای برخی اطلاعات حساس شخصی (مانند پسورد، PIN ها، شماره های امنیتی شبکه های اجتماعی و امثال آن) سوق دهند. از آن جا که مهندسی اجتماعی تبدیل به یکی از متداول ترین روش ها برای ایجاد رخنه در سیستم ها و سرقت هویت افراد شده است، مسدود سازی راه اسپم ها تا سر حد امکان و جلوگیری از دسترسی کاربران به آن، و یا علامت گذاری این ایمیل ها و ذخیره سازی در یک پوشه جداگانه برای ارزیابی های آتی امری بسیار حیاتی است. آنتی اسپم در عین حال در جلوگیری از انتشار پیام های ایجاد شده در داخل سازمان به بیرون از مجموعه (به ویژه از کامپیوترها و لپ تاپ های در معرض خطر) موثر است.

آنتی ویروس برای وب و ایمیل: فناوری های آنتی ویروس از قدیمی ترین ابزارهای امنیت شبکه محسوب می شوند. ابزارهای UTM معمولا دارای قابلیت های اسکن بدافزار هستند که برای ترافیک اپلیکیشن های وب و ایمیل، و در مواردی، دیگر ترافیک های مربوط به اپلیکیشن های شبکه - که معمولا برای انتشار بدافزار ها به کار می رود – مورد بهره برداری قرار می گیرد (به طور مثال سرویس های پیام فوری – IM). نرم افزار آنتی ویروس امروزه آن تاثیرگذاری گذشته را ندارد چرا که بدافزارها بسیار هدف مند تر و اختصاصی تر شده اند اما نرم افزارهای آنتی ویروس عموما بر پایه امضاهای امنیتی بوده و بیشتر به شناسایی نمونه های از پیش شناخته شده بدافزار می پردازند. با این حال هنوز هم داشتن آنتی ویروس ضروری است چرا که بسیاری از این حملات به واسطه آنتی ویروس قابل جلوگیری خواهد بود.

کنترل اپلیکیشن: همان طور که از نام این قابلیت پیداست، کنترل اپلیکیشن یعنی فرایند مدیریت نرم افزار ها و برنامه های کاربردی مجاز برای استفاده کاربرد. این فرایند می تواند شامل application whitelisting functionality و تعیین نرم افزارهای مجاز و غیر مجاز باشد، در عین حال محدودیت هایی را نیز در استفاده از یک اپلیکیشن اعمال نماید. یک نمونه از این محدودیت ها تعیین ساعات استفاده از برنامه در روز یا هفته است. یک نمونه دیگر، محدودسازی پهنای باند مورد استفاده اپلیکیشن است. این قابلیت در بالاترین حد خود امکان شناسایی و اعمال policy های کنترلی روی اپلیکیشن ها را – فارغ از نحوه استفاده از اپلیکیشن برای دور زدن فرایند شناسایی (هم چون اجرا روی پورت های متفاوت، استفاده از پروتکل های جایگزین و امثال آن) دارا است. کنترل اپلیکیشن اهمیتی روزافزاون در بحث امنیت شبکه دارد چرا که بسیاری از اپلیکیشن ها ذاتا مخرب بوده و یا دارای نقاط ضعف قابل بهره برداری هستند که می تواند به ایجاد خطر در شبکه منتج شود. کنترل اپلیکیشن در عین حال به سازمان ها کمک می کند تا نصب و استفاده از اپلیکیشن ها را محدود نماید و در نتیجه موجب کاهش سطح حملات به صورت کلی گردد.

فایروال: فایروال اصلی ترین جنبه در کنترل امنیت شبکه است که وظیفه اش محدود کردن ایجاد کانکشن در شبکه میان هاست ها است. هم چون آنتی ویروس، فایروال ها هم امروزه کارایی سابق را ندارند چرا که ماهیت حملات امروزه تغییر یافته است. پیش از این درصد قابل توجهی از حملات شامل ایجاد کانکشن های غیر مجاز در شبکه بود. در عین حال که احتمال وقوع این مساله نیز امروزه به میزان قابل توجهی کاهش یافته است اما هم چنان این دغدغه در سازمان ها وجود دارد، به ویژه برای هاست هایی که دارای اطلاعات حساس هستند، از جمله سرور های پایگاه داده. حتی سازمان هایی که حوزه های امنیتی چندانی به لحاظ اطلاعاتی ندارند نیز به طور کلی نیازمند فایروال برای حفاظت از دارایی های ارزشمند سایبری خود خواهند بود.

جلوگیری از نفوذ: فناوری جلوگیری از نفوذ (که با نام فناوری شناسایی نفوذ یا فناوری شناسایی و جلوگیری از نفوذ نیز شناخته می شود) برای کشف و جلوگیری از نوعی از حملات که دیگر سیستم های امنیت شبکه در UTM قادر به توقف آن نیستند مورد استفاده قرار می گیرد. روش جلوگیری از نفوذ در محصولات مختلف بسته به نوع مکانیسم مورد استفاده متفاوت است، اما به طور کلی موثرترین روش در این زمینه، استفاده از ترکیبی از راهکارها هم چون شناسایی بر پایه امضا، بر پایه شناسایی عدم تطابق و بر پایه reputation یا شهرت عامل مخرب است. این روش ها به نرم افزار شناسایی نفوذ این امکان را می دهد تا حملات شناخته شده و ناشناس را دفع نماید، که در این میان شناخت حملات ناشناس یکی از مهم ترین قابلیت هایی است که در بسیاری از UTM ها با خلاء آن روبرو هستیم.

VPN: برخلاف اغلب قابلیت ها در UTM ها که برای جلوگیری از حملات و شناسایی آن ها به کار می روند، ایجاد شبکه مجازی اختصاصی نوعی فناوری است که به منظور حفاظت از فعالیت های شبکه ای سازمان در برابر شنود و یا دسترسی غیرمجاز صورت گرفته است. در واقع VPN نوعی تونل اختصاصی و حفاظت شده در اختیار کاربر قرار می دهد تا از طریق آن فعالیت های شبکه به انجام برسد. VPN ها به طور روزافزون در حفاظت شبکه ای هاست های غیر ثابت در سازمان هم چون لپ تاپ، گوشی های هوشمند و تبلت ها به کار گرفته می شود. این دستگاه ها معمولا از شبکه های بیرونی فاقد امنیت یا دارای امنیت ناکافی استفاده می کنند، بنابراین VPN موجب حفاظت در فرایند استفاده از این شبکه ها خواهد شد. در عین حال VPN ها را می توان برای ایجاد تونل جهت هدایت ترافیک هاست های غیر ثابت به UTM پیکربندی نمود، که این قابلیت به ما این امکان را می دهد تا تمامی کنترل های امنیتی شبکه UTM را بر روی ترافیک این میزبان ها اعمال نموده و مانع از وقوع حوادث امنیتی بر روی این سیستم ها شویم.

فیلترینگ محتوای وب: فیلترینگ محتوای وب در اصل فناوری ساده ای بود که مانع از دسترسی به وب سایت های غیر مجاز برای استفاده در محیط کار می شد. از آن زمان، قابلیت های فیلترینگ محتوای وب به میزان قابل توجهی توسعه یافته و بازه وسیعی از فناوری ها را برای تعیین مجاز یا غیر مجاز بودن درخواست ها در وب در بر می گیرد. یک نمونه از این امر استفاده از reputation service ها برای رتبه بندی احتمال سالم بودن یا مخرب بودن هر وب سایت است. در عین حال روش های تحلیلی دیگری نیز برای پویش در وب سایت ها و یافتن موارد تخطی از اصول امنیتی نیز وجود دارد که نشان می دهد سایت ها ممکن است دارای مشکلات امنیتی عدیده ای باشند، از جمله خطر نشت اطلاعات یا محتوای مخرب. میزان نیاز سازمان به استفاده از سرویس های فیلترینگ محتوای وب ممکن است بسته به سیاست های خاص امنیت وب در آن سازمان متفاوت باشد، به ویژه زمانی که بحث سایت هایی مطرح می شود که با علامت «نامناسب» بر چسب گذاری شده اند اما ذاتا سایت های مخرب و دارای بد افزار نیستند.

معماری تکنیکال: همان طور که از محصولات فناوری امنیت شبکه انتظار می رود، UTM ها نیز دارای یک معماری تکنیکال اولیه شامل یک یا چند سیستم و سرور در شبکه هستند. معمولا این ابزارها در نقاط کلیدی در محدوده شبکه قرار می گیرند، یعنی به طور مثال بسته به نزدیکی به لینک های بیرونی ارتباطی در شبکه سازمان، اهمیت آن ها نیز تعریف می شود. به ویژه در شرکت های بزرگ تر، UTM ها یا سرور ها ممکن است در مرز میان بخش های مختلف سازمان، مثلا بین دو واحد اصلی یک شرکت به کار گرفته شوند. اساسا UTM ها موثر ترین کارایی خود را در مرز شبکه ها دارند، جایی که شبکه ها با سطوح مختلف امنیتی یا سیاست های متفاوت امنیتی با هم در تعامل و برخورد هستند.

به دلیل این که هر UTM (دستگاه یا سرور) نقشی کلیدی در امنیت شبکه ایفا می کند، ضروری است که تمامی جانمایی ها دارای ساختار پیش بینی redundancy برای کاهش تاثیرات از کار افتادگی یک UTM باشند. به یاد داشته باشید که از آن جا که UTM امکان ارائه سرویس فایروال و دیگر عملکرد های کلیدی امنیتی را در سیستم فراهم می کند، از کار افتادن آن می تواند به میزان قابل توجهی موجب قطعی ارتباطات شبکه از جایگاهی که UTM در آن قرار گرفته است شود. سال های متمادی متخصصین توصیه می کردند که سازمان ها از چند فایروال در نقاط کلیدی استفاده شوند و این UTM های چندگانه در این نقاط اهمیتی به سزا داشت. هم چنین فراموش نکنیم که نقش UTM در برنامه های بازیابی اطلاعات بعد از حملات در نقاط حساس و دیگر بخش های اطلاعاتی که نیازمند حفاظت هستند بسیار حائز اهمیت است.

نویسنده مقاله : تیم فنی آرادسامانه

نظرات

ارسال نظر