![Вопросы ??? [email_address] http://utm.tusur.ru](https://image.slidesharecdn.com/utm-090412122327-phpapp02/85/I-Kukalo-Creating-UTM-System-on-Microsoft-congference-in-TPU-32-320.jpg)
I.Kukalo - "Creating UTM System" on Microsoft congference in TPU
- 1. UTM - унифицированное управление защитой от угроз ТУСУР Кукало И.А. студент гр. 1А5 Агеев Е.Ю. к.т.н. доцент каф. РЗИ
- 2. UTM «Унификация» захватывает самые разные области ИТ — от коммуникационных решений до средств обеспечения информационной безопасности (ИБ). На рынке межсетевых экранов (FW) и устройств VPN тоже происходит переход к унифицированному управлению угрозами и интегрированным решениям, объединяющим до десятка разных продуктов или функций. Термин «унифицированное управление защитой от угроз» (Unified Threat Management, UTM) появился в 2004 г. Его предложили аналитики IDC для описания брандмауэров c функциями фильтрации электронной почты, URL и содержимого Web, защиты от вредоносных и шпионских программ, обнаружения и/или предотвращения вторжений (IDS/IPS).
- 3. ПО с открытыми исходными кодами В России на сегодня разработана концепция «Развития разработки и использования свободного ПО в Российской Федерации». В соответствии с ней под свободным ПО понимается разновидность программ для ЭВМ, лицензионным договором на право использования которых, предоставляются следующие права: использовать программу для ЭВМ в любых, не запрещенных законом целях; получать доступ к исходным текстам программы как в целях изучения и адаптации, так и в целях переработки программы для ЭВМ; распространять программу (бесплатно или за плату, по своему усмотрению); вносить изменения в программу для ЭВМ (перерабатывать) и распространять экземпляры измененной (переработанной) программы с учетом возможных требований наследования лицензии.
- 4. Цели построения UTM Анти -X: Антиспам, Антивирус, Антиspyware, Антифишинг Предотвращение вторжений Уменьшение DoS/DDoS Фильтрация контента Блокирование приложений Регулирование нагрузки Контроль доступа, логгирование
- 5. Потребители Сегмент малого и среднего бизнеса минимальная стоимость простые и гибкие механизмами внедрения и эксплуатации Территориально разделенная сеть Удаленный доступ Наличие сертифицированного ПО необязательно Ограниченность в ресурсах
- 6. Требования к архитектуре СБ Модульность Масштабируемость Открытость архитектуры
- 7. Структура UTM Операционная система МСЭ , фильтрация, DMZ… ПО для маршрутизации ПО для VPN Мониторинг и оповещение СОВ Антивирус, Антиspyware Антиспам, Антифишинг Сервис PKI Аудит безопасности Контроль целостности Обновляемость Отказоустойчивость Простой в использовании интерфейс для конфигурирования
- 8. Операционная система FreeBSD FreeBSD - это современная ОС для компьютеров, совместимых с архитектурами x86 (в том числе Pentium® и Athlon™), amd64 (включая Opteron™, Athlon 64 и EM64T), Alpha/AXP, IA-64, PC-98 и UltraSPARC®. Эта система предоставляет надёжные даже при самой интенсивной нагрузке сетевые службы, и эффективное управление памятью, что позволяет обеспечивать приемлемое время отклика для тысяч одновременно работающих пользовательских задач. Разработчики FreeBSD ставят заботу об информационной безопасности в один ряд с производительностью и стабильностью.
- 9. ПО для маршрутизации В ядро включена поддержка маршрутизации 3 Гб / сек или 1 миллион пакетов в секунду Для большей производительности необходимо использовать аппаратную маршрутизацию. (ASIC- based routers )
- 10. МСЭ В ядро FreeBSD включена поддержка функций МСЭ : IP Filter , IP Firewall ( IPFW ), Packet Filter ( PF ). Pácket Fílter (PF) — Межсетевой экран, разрабатываемый в рамках проекта OpenBSD. Обладает высокой скоростью работы, удобством в конфигурировании и большими возможностями, включая поддержку IPv6. PF умеет фильтровать пакеты по следующим параметрам: Сетевой адрес (для TCP и UDP также и порт) источника и получателя пакета Сетевой интерфейс (или их группа), на котором обрабатывается пакет Флаги (для TCP) Биты TOS Тип ICMP (для ICMP и ICMPv6) Метки правил (label) и теги (tag) Локальный пользователь (владелец сокета) Различные счётчики соединений Вероятность
- 11. ПО для организации VPN SSL – современно и перспективно Open VPN Библиотека OpenSSL соответствует стандарту безопасности FIPS 140-2 IPSec – совместимо и распространено Ядро - FreeBSD racoon PPTP – удобно и практично MPD – порт FreeBSD
- 12. Реализация VPN
- 13. Список криптографических алгоритмов Симметричные алгоритмы шифрования Blowfish , Camellia , DES , RC 2, RC 4, RC 5, IDEA , AES , ГОСТ 28147-89 (экспериментальная версия). Алгоритмы хеширования MD 5, MD 2, SHA , MDC -2, ГОСТ Р34.11-94 (экспериментальная версия). Асимметричные алгоритмы шифрования RSA , DSA , Diffie - Hellman key exchange , Elliptic curve , ГОСТ Р 34.10-2001 (экспериментальная версия).
- 14. Производительность VPN 16100.01k 16142.21k 16042.58k 15934.95k 15485.55k aes-256 CBC 18128.90k 18111.83k 18051.93k 17913.43k 17338.95k aes-192 CBC 21181.78k 21236.53k 21088.09k 20858.41k 20298.75k aes-128 CBC 25384.28k 25432.19k 25176.06k 24536.13k 22870.35k cast CBC 35124.57k 34956.07k 34664.70k 34651.74k 32069.08k Blowfish CBC 68263.94k 67767.64k 66914.74k 64905.50k 57561.14k rc5-32/12 CBC 8467.80k 8468.48k 8447.32k 8356.65k 8038.72k rc2 CBC 16826.37k 16802.47k 16738.56k 16604.78k 15655.19k idea CBC 7858.86k 7852.37k 7816.62k 7685.31k 7474.74k des EDE3 21749.76k 21814.97k 21716.22k 21585.24k 20494.70k des CBC 112017.41k 109965.65k 111563.43k 103726.75k 90142.04k rc4 59072.51k 51938.65k 36562.60k 16892.76k 5810.05k rmd160 84077.23k 71337.98k 46929.07k 19797.27k 6341.00k sha1 156237.06k 125175.13k 72236.29k 26624.06k 7759.01k hmac(md5) 154162.52k 119329.11k 64989.44k 23101.61k 6658.93k md5 204186.28k 152377.69k 81425.75k 28497.81k 8088.59k md4 2722.47k 2713.26k 2691.07k 2601.19k 2303.33k mdc2 2646.65k 2551.81k 2302.72k 1658.54k 781.82k md2 8129 байт 1024 байт 256 байт 64 байт 16 байт Тип операции
- 15. СОВ Snort - сетевая СОВ, способная анализировать трафик в реальном масштабе времени и IP пакеты, вошедшие в сеть. Snort может анализировать протоколы и может использоваться, чтобы обнаружить разнообразные нападения. SnortSnarf
- 16. Возможности Snort Опознает: Передачу шеллкода по любому порту, stealth-сканирование, эксплуатирование различных сервисов, всевозможные признаки DoS-атак и даже неудачные попытки аутентификации на различных сервисах …
- 17. Защищенный прокси-сервер Squid 3.0.13 Поддержка протокола ICAP, позволяет производить: Антивирусный контроль ICAP совместимых продуктов (TrendMicro, Dr-Web, ClamAV…) Проверка контента на содержимое
- 18. Антивирус, Антиspyware - Продукт C-ICAP – программный ICAP- сервер, который производит проверку на вирусы проходящих через него файлов с помощью ClamAV
- 19. Антивирус, Антиspyware - Средство сканирование по запросу; встроенная поддержка для RAR (2.0, 3.0), Zip, Gzip, Bzip2, Tar, MS OLE2, MS Cabinet файлов, MS CHM (сжатый HTML), MS SZDD; встроенная поддержка сжатых выполняемых файлов(UPX, FSG и Petite); встроенная поддержка почтовых систем; цифровая подпись обновлений антивирусных баз; обнаружение более 90.000 вирусов, червей и троянов; возможность интеграции с ПО сторонних разработчиков: серверы почтовых систем, файловые серверы, proxy-серверы, hosting-серверы и т.д.
- 20. Антиспам, Антифишинг S endmail впервые был включён в состав 4.1c BSD (первая версия BSD, включающая TCP/IP стек) в 1979 SpamAssassin — эффективное средство для фильтрации спама, основанное на взаимодействии ключевых компонентов — оценочного демона, транспортного агента и базы шаблонов писем. SpamAssassin использует Байесовскую фильтрацию, обработку DNSBL, Sender Policy Framework, DomainKeys, DKIM, Razor и другие методы распознавания спама. Проверка на вирусы с помощью ClamAV
- 21. Инфраструктура PKI Для организации PKI будет использоваться уже упомянутая библиотека OpenSSL. Она позволяет создавать ключи RSA, DH, DSA и сертификаты X.509, подписывать их, формировать CSR и CRT.
- 22. Реализация PKI
- 23. Производительность PKI 99.8 120.2 0.0100 сек . 0.0083 сек . DSA 2048 бит 325.6 400.4 0.0031 сек . 0.0025 сек . DSA 1024 бит 977.6 1186.1 0.0010 сек . 0.0008 сек . DSA 512 бит 322.7 5.0 0.0031 сек . 0.1987 сек . RSA 4096 бит 112 9.8 33.7 0.0009 сек . 0.0297 сек . RSA 2048 бит 3660.4 200.7 0.0003 сек . 0.0050 сек . RSA 1024 бит 10151.5 954.7 0.0001 сек . 0.0010 сек . RSA 512 бит Проверок подписей в сек . Подписей в сек . Проверка подписи Подпись Алгоритм, длина ключа
- 24. Аудит безопасности Анализ защищенности сети заключается в периодическом сканировании узлов сети на предмет уязвимостей, недекларированных сервисов, ошибок настройки, позволяющих реализовать атаки. Сканированию подлежат: узлы локального сегмента и ДМЗ. Периодичность проведения проверок: 1 раз в 7 дней. Периодичность обновления базы уязвимостей: ежедневно. Набор проводимых тестов: все доступные в базе сканера, кроме опасных атак типа «отказ в обслуживании». Действия в случае обнаружения уязвимостей: отчет о результатах сканирования передается администратору безопасности и администратору сети. На основе отчета разрабатываются рекомендации по устранению уязвимостей.
- 25. Аудит безопасности Nessus - программа со множеством возможностей. Одна из очень сильных особенностей Nessus - это технология клиент-сервер. Сервер может быть размещён в самых разнообразных стратегических точках сети, позволяя осуществлять проверки разных участков сети. Центральный клиент или многочисленные клиенты могут контролировать сервер.. Nessus сервер осуществляет действительную проверку, в то время, как клиент отвечает за функциональность конфигурации и отчёты. Nmap – предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети а также портов и соответствующих им служб. Для этого Nmap использует много различных методов сканирования, таких, как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование. Metasploit - это лучший способ доказать начальству что пора что то менять .
- 26. Контроль целостности При работе компьютеров в сети на их дисковом пространстве, как правило, имеется набор файлов, которые остаются неизменными при нормальной работе сервисов и оборудования. При вмешательстве в нормальную работу обычно происходят изменения в названных файлах, или злоумышленник специально производит изменения в системе. Средства контроля целостности файловых систем позволяют делать снимки состояния данных и отслеживать возникающие изменения.
- 27. Контроль целостности Контролируются следующие файловые системы: для ОС FreeBSD рекурсивно: / bin , / boot , / etc , / lib , / libexec , / rescue , / sbin , / usr (исключая / etc / mail , / usr / home , / usr / ports , / usr / local / man , / usr / local / www ); Периодичность контроля: 1 раз в сутки. Действия в случае обнаружения изменений в контролируемых файловых системах: занесение информации об изменениях в журнал работы; оповещение администратора по электронной почте.
- 28. Отказоустойчивость Защищено SHA-1 HMAC
- 29. Обновление ПО Обновление ОС до последней стабильной версии используя CVSup, периодическое обновление системы; Обновление БД сигнатур антивирусного и шпионского ПО, периодическое обновление; Обновление БД правил СОВ, периодическое обновление; Обновление БД модуля фильтрации спама, периодическое обновление; Обновление БД уязвимых приложений, периодическое обновление; Обновление БД подсистемы аудита, периодическое обновление;
- 30. Упрощенный интерфейс администрирования Веб интерфейс Специализированное приложение Ядро движка управления: Java PHP Метаязык для упрощения настроек: XML
- 31. Анализ рисков ALE = SLE x ARO Для информации составляющей коммерческую тайну 78 %; Для информации служебного пользования 69 %; Эксперты: Начальник отдела ИТ главный специалист службы безопасности
- 32. Вопросы ??? [email_address] http://utm.tusur.ru