Отличие ngfw от обычного межсетевого экрана

Обновлено: 10.01.2025

С появлением систем анализа трафика (network traffic analysis, NTA) мы часто слышим один и тот же вопрос: чем NTA отличаются от того, что уже есть на рынке? В этой статье поговорим про четыре популярных класса систем безопасности, которые выявляют атаки с помощью анализа трафика, сравним их функциональность и разберемся, в каких случаях они необходимы.

Итак, рассмотрим основные классы решений для анализа сетевого трафика:

Системы обнаружения (предотвращения) вторжений (атак): СОВ/СПВ, СОА/СПА, IDS/IPS.
Межсетевые экраны нового поколения (NGFW).
Универсальные шлюзы безопасности (UTM).
Системы анализа трафика (NTA/NDR).

IDS/IPS: что, кому и зачем

Современные IDS/IPS работают с сетевым трафиком, выявляя в нем сетевые атаки. Отличие IDS и IPS заключается лишь в дальнейших действиях, которые выполняет система после выявления угрозы: IDS может только сигнализировать о факте обнаружения, IPS — разрывать соединение, в котором была обнаружена атака. Соответственно и схемы встраивания в инфраструктуру организации у систем IDS и IPS выглядят по-разному: IDS работает исключительно с копией трафика, проходящего через сетевое оборудование (трафик перенаправляется по технологии SPAN или RSPAN), виртуальные машины (по технологии ERSPAN) или через оптический ответвитель (TAP). IPS же становится прямо на пути следования самого трафика.

Как правило, IDS/IPS устанавливают на периметре организации, сразу за межсетевым экраном, для предотвращения внешних вторжений из сети Интернет. Решения IPS также имеют возможность раскрытия шифрованного трафика и работы по схеме «человек посередине» (man-in-the-middle).

Схема работы IDS и IPS

IDS в чистом виде сегодня представлены довольно редко и преимущественно в виде опенсорсных решений или как часть решений network traffic analysis. IPS, в свою очередь, зачастую является частью более современных и комплексных решений — межсетевого экрана нового поколения (next-generation firewall, NGFW) или unified threat management (UTM), о которых мы поговорим далее.

NGFW: есть ли теперь место UTM и IPS

Прежде всего, следует отметить главное сходство NGFW и UTM. Это комплексные решения, включающие в себя, помимо IPS, набор функций:

межсетевой экран,
антивирус,
VPN,
веб-фильтр,
антиспам,
DLP.

Главное же различие между ними — это внутренняя архитектура. Если в UTM все имеющиеся функции используют ресурсы одного и того же процессора, то в NGFW они разнесены — каждой функции свой, отдельный процессор. В итоге все операции проходят параллельно, и это положительно влияет на производительность устройства.

Схема работы UTM и NGFW

Более того, даже использование отдельного IPS (вне NGFW), все еще возможно — обратить внимание на него стоит в нескольких случаях:

если нет бюджета на полноценный NGFW;
если есть потребность только в функционале IPS;
если не можете или не хотите приобрести лицензию IPS для вашего NGFW;
если ваш NGFW не справляется с подаваемым объемом трафика при включенном модуле IPS;
из-за организационных моментов: разделение ответственности между департаментами ИТ и ИБ.

Почему IPS/UTM/NGFW — это не про APT

Современные решения классов IDS/IPS, UTM, NGFW способны обрабатывать большие объемы трафика, разбирать заданный набор протоколов (вплоть до 7-го уровня модели ISO/OSI), выявлять сетевые атаки с использованием сигнатурного, поведенческого анализа, а также с помощью технологий машинного обучения и обнаружения сетевых аномалий. Решения готовы защищать периметр организации от угроз извне, а также выявлять вредоносную активность изнутри.

Однако практика тестирований на проникновение Positive Technologies показывает, что в 93% случаев можно преодолеть сетевой периметр и получить доступ к ресурсам ЛВС. На проникновение в локальную сеть некоторых компаний экспертам Positive Technologies потребовалось всего 30 минут.

После проникновения в сеть действия злоумышленников остаются для многих систем безопасности незамеченными. Причин тому несколько:

Решения не анализируют внутренний трафик, а потому не способны выявлять присутствие и перемещение злоумышленника внутри.

Системы хранят информацию только об известных угрозах. Но в случае APT, например, на момент ее реализации угрозы еще неизвестны.

Следствие предыдущего пункта. Данная функциональность необходима для обнаружения неизвестных на момент реализации угроз

Таким образом, как IDS/IPS, так и UTM и NGFW не способны обеспечить защиту от целенаправленных атак, локализовать угрозу, точно выявить пораженные узлы и предоставить фактуру для проведения полноценного расследования. Устранить этот пробел призваны решения класса NTA. Их еще называют NDR-системами (сокращение от network detection and response).

NTA/NDR и выявление целенаправленных атак

На российском рынке инструменты класса NTA стали появляться относительно недавно, однако на Западе этот сегмент уже сформирован. В исследовании аналитического агентства Gartner, посвященном таким системам, отмечается, что NTA-решения позволили многим клиентам обнаружить подозрительную активность в трафике, пропущенную «периметровыми» средствами безопасности. Институт SANS выяснил, что решения NTA входят в топ технологий для выявления угроз, работой которых довольны в SOC по всему миру.

Среди ключевых возможностей NTA отметим следующие:

В инфраструктуре организации NTA выступает единой точкой анализа всего трафика или произвольного набора сетевых сегментов.

Схема встраивания NTA в инфраструктуру организации

В зависимости от конкретного NTA-решения возможно перенаправление сырого трафика с сегментов (посредством технологий SPAN, RSPAN, ERSPAN) или с использованием flow-протоколов (NetFlow, S-Flow).

В отличие от IPS, UTM и NGFW, решения NTA работают в режиме обнаружения, а не предотвращения вторжений, а также не способны раскрывать зашифрованный трафик путем постановки в режиме «человек по середине». Для NTA данный факт не является проблемой по следующим причинам:

Итак, что выбрать?

Мы подготовили сравнительную таблицу классов решений, взяв срез по рынку. При выборе нужно учитывать, что наборы функций у решений одного класса могут существенно различаться.

Долгое время периметровые средства были единственным эшелоном защиты и способом осуществления мониторинга сети. Ландшафт угроз меняется, и теперь важно обеспечивать не только мониторинг периметра, но и глубоко изучать угрозы внутренней сети. C точки зрения современных технологий, подходящий кандидат — это решения класса NTA.

С примерами выявленных угроз в сетях 41 крупной компании можно ознакомиться в отчете по пилотным внедрениям PT NAD.

Наткнулся на блог Эндрю Платона, президента компании Anitian Enterprise Security, человека, имеющего 20-летний стаж работы в сфере информационной безопасности. В своем блоге Эндрю поднимает достаточно интересную тему, касающуюся концепции «Межсетевых экранов следующего поколения», так называемых NGFW. По его словам, промышленные аналитики, такие, как Gartner, и производители межсетевых экранов, подобные Palo Alto, утверждают, что NGFW изменит рынок систем сетевой безопасности и вытеснит традиционные средства защиты доступа или унифицированных управлений угрозами Unified Threat Management. Кроме того, производители NGFW позиционируют свои продукты как “следующий большой шаг” в эволюции систем сетевой безопасности.

Поскольку исходный вариант темы – на английском языке, привожу под хабракатом перевод.

Так почему же NGFW столь революционный? Что отличает NGFW от UTM?

Ничего. Нет никакого различия между UTM и NGFW. Это те же технологии с теми же возможностями, которые стали продавать и рекламировать как разные. Более того, в сущности, межсетевые экраны следующего поколения (NGFW) не имеют ничего уникального или революционного. Это обычные межсетевые экраны, у которых был расширен набор функциональных возможностей. Другими словами, NGFW – это UTM.

Что действительно интересно, так это то, как Gartner и вендоры выстроились в линию, чтобы создать целый класс сфабрикованных продуктов. Откровенно говоря, это древняя тактика — менять политические приоритеты. Еще со времен Римской империи политики прибегали к этому. Итак, суть процесса довольно проста:

1. У Вас есть продукт (или кандидат), который не совсем отвечает конкурентным требованиям. Ему недостает функциональности или же есть негативные аспекты.
2. Вместо того, чтобы принять меры непосредственно к этим недостаткам, вы заводите новую беседу, чтобы отвлечь внимание от отрицательных свойств.
3. Вы сосредотачиваете обсуждение исключительно на «новой» беседе и отклоняете другую проблему как устаревшую, несовременную или же как таковую, что актуальна для незначительной части общества.
4. Скормите все это эхо-камере СМИ (или промышленным аналитикам) и долго, до отвращения говорите на эту самую тему.

Затем наблюдаете, как старая тема растворяется в новой, и все желают обсуждать новые вопросы, а дискуссии же о старой проблеме считают бесполезными. Эхо-камера СМИ, или, в данном случае — промышленные аналитики Gartner, критически настроены к этой работе. Вам необходимо спозиционировать вашу новинку таким образом, чтобы память о старой проблеме канула в лету.

Решения вендоров традиционных систем сетевой и информационной защиты не соответствовали тенденциям унифицированного управления угрозами UTM, когда тот появился на рынке. Их зависимость от использования старого кода и корпоративных клиентов подавляли инновации. Первые попытки прорваться на рынок мультифункциональных защитных устройств были достаточно неэффективными. CheckPoint и Juniper — тому примеры. Их ранние устройства защиты данных были топорными и недостаточно мощными. Они значительно уступали более инновационным продуктам таких компаний, как Fortinet и Astaro.

Кроме того, эти, так же как и некоторые новые подающие надежды компании, вроде Sourcefire и Palo Alto Networks, не имели интеллектуальной собственности, чтобы конкурировать с таким разнообразием возможностей. Им недоставало хорошего антивируса, анти-спама или «движка» URL-фильтрации.

По существу, вместо того, чтобы конкурировать, они просто перепрофилировались. Первым шагом стало обособление UTM в небольшой деловой рынок. Gartner, никогда не упускающий возможности продать очередные отчёты, скоро представил категорию корпоративного межсетевого экрана (Enterprise Firewall), которая, конечно, была предназначена для всех этих устройств следующего поколения. UTM низвели к дискуссиям о малом бизнесе и управляемых услугах. Следующий шаг: представить NGFW как уникальный, непохожий на другие, особенный межсетевой экран. Таким образом, NGFW стал следующей ступенью после протокольного анализа пакетов с сопровождением состояния на сервере. Некоторые вендоры зашли столь далеко, что объявили, будто алгоритм защиты от несанкционированного доступа методом проверки пакетов с сопровождением состояния (stateful packet inspection) их NGFW был абсолютно уникальным и новым. Что, конечно же, было не так.

Удивляет то, насколько хорошо эта индустрия приняла эту уловку. Производители изменили объект разговора о межсетевых экранах, в действительности не изменяя технологий. Gartner укрепил общее представление, дабы убедить потребителей. И потребители проглотили наживку. Маркетинг NGFW был чрезвычайно эффективным.

Дабы не быть голословным, рассмотрим набор функциональных возможностей устройств таких брендов, как Palo Alto Networks, CheckPoint, Sourcefire и McAfee, которые являются, так называемыми NGFW, т.е. межсетевыми экранами следующего поколения. Пропишите в Google «next generation firewall» и убедитесь, что эти четыре продукта всплывут первыми. Теперь впишите «unified threat management” (унифицированное управление угрозами), и вы увидите SonicWall, WatchGuard, Fortinet, и Sophos (Astaro) и еще некоторых небольших производителей. Сравним эти продукты. Возьмем, к примеру, Juniper и Cisco, поскольку они хорошо известны и к тому же тяготеют к игре на оба фронта.

Заметили что-нибудь? Функционал тот же. Единственное заметное различие — это включение защиты электронной почты. В продукции Palo Alto Network и Sourcefire этой защиты нет. Но это можно аргументировать тем, что их антивирусные программы и другие программные и аппаратные системы обеспечивают защиту электронной почты.

Конечно, вендоры NGFW будут утверждать об уникальности и ссылаться на то, что их продукты способны обнаружить приложения на всех портах. В действительности же подобные заявления превращаются в пустой звук, как только вы осознаете, что это всего лишь очередной маркетинговый ход. К примеру, Palo Alto утверждает, что их AppID уникален. Вовсе нет. Еще с давних времен другие продукты поддерживают функцию идентификации приложений. Sourcefire подчеркивает, что их система предотвращения вторжений (IPS), которая представлена в NGFW, не имеет аналогов. Это не так. Огромное количество продуктов имеют системы сетевой и компьютерной безопасности, обнаруживающие вторжения или нарушения безопасности и автоматически защищающие от них. Декодирование, аутентификация, проверка контента – ни одна из этих функций в системах защиты не является уникальной как для UTM, так и для NGFW-платформ.

Схожесть UTM и NGFW не значит, что все эти продукты идентичны по своим возможностям. У каждого изготовителя есть свои преимущества и недостатки. Качество и эксплуатационные характеристики этих продуктов в значительной степени различаются. Однако, с точки зрения исключительно их функционала, они абсолютно одинаковы. Их различия в подходе к проверке приложений, антивирусу или системам предотвращения вторжений могут объяснить преимущества их производительности или точности, но это не изменяет тот факт, что базовый набор функциональных возможностей у всех один и тот же.

Теперь обдумайте определение NGFW, которое дала компания Gartner в своем Магическом квадранте для корпоративных межсетевых экранов 14 декабря 2011.

Так как рынок межсетевых экранов развивается, начиная средствами защиты с сопровождением состояния и заканчивая межсетевыми экранами следующего поколения, иные функции безопасности (как система предотвращения вторжений) и полностековое инспектирование трафика (full-stack inspection), включая приложения, также будут обеспечены в NGFW. Рано или поздно рынок NGFW включит в себя большинство отдельных устройств с системой предотвращения вторжений. Однако, это не случится сиюсекундно, поскольку многие вендоры корпоративных межсетевых экранов имеют в своей продукции IPS, что делает их конкурентоспособными с автономными IPS-решениями, и несомненно противодействуют интегрированию функций и вместо этого совмещают их в одном устройстве. Несмотря на то, что межсетевой экран/VPN и IPS (а иногда и URL-фильтры) конвергируют, другие продукты безопасности — нет. Продукты «всё-в-одном» (all-in-one) или продукты унифицированного управления угрозами (UTM) подходят для предприятий малого и среднего бизнеса, но не для корпораций: Gartner прогнозирует, что это разделение продлится по крайней мере до 2015 года. Межсетевые экраны, которые предназначены для филиалов компаний, становятся специализированным продуктом, отделяясь от продуктов для малого и среднего бизнеса.

Возникает множество вопросов, связанных с этим определением. Во-первых, промышленность не развивается от межсетевых экранов с сопровождением состояния к чему-то другому. Проверка с сопровождением состояния — это составляющая любого отдельно взятого UTM и NGFW, представленного на рынке. Это то, что невозможно изъять или заменить. Более того, в самом протокольном анализе передаваемых пакетов с учётом состояния соединения нет ничего нового или инновационного. Любой межсетевой экран на планете, который представляет хоть какой-нибудь интерес, производит фильтрацию пакетов на основе данных о состоянии соединения в течение многих десятилетий.

Кроме того, в чем именно различие между UTM и NGFW? Gartner не приводит ни единого веского аргумента на сей счет, упомянув всего лишь о том, что UTM является „не подходящим решением“ для корпораций. Почему же UTM — не подходящие? Если поразмыслить о том, что все устройства UTM так же, как и продукты NGFW, используют идентичный функциональный набор, а так же о том, что вендоры UTM тоже выпускают корпоративную продукцию — различий не заметно.

К тому же приписывание «всё-в-одном» к UTM довольно странное, поскольку продукты UTM и NGFW обладают абсолютно идентичным функциональным набором. Так в чем же отличие между UTM «всё-в-одном» и NGFW?

Gartner мог сделать заявление, что продукты UTM ориентированы на класс малого и среднего бизнеса, в то время, как целевым сегментом NGFW являются большие корпорации. Это утверждение заслуживает внимания, но какова цель? Следует ли из этого, что продукты для малого и среднего бизнеса, производимые Palo Alto, в действительности являются UTM? Или же продукция корпоративного класса, которую выпускает Sonicwall – не что иное, как NGFW? Подобное разграничение лишь мутит воду в водоёме, хотя в этом нет никакого смысла. UTM — это и есть NGFW. Почему бы не отнести их к одному виду, но при этом разделить в соответствии с целевым сегментом на продукцию класса малого и среднего бизнеса и отдельно класса больших корпораций, как и любые другие технологии.

Разделение между UTM и NGFW, в сущности, является всего лишь изобретением маркетологов, цель которого — создать образ для определенных вендоров, как более конкурентоспособных, чем они есть на самом деле. Это сделано умышленно для изменения правил по ходу игры, чтобы подвести корпоративных клиентов к другой системе критериев, а также изолировать устоявшиеся компании, такие, как Fortinet и Astaro, в пределах класса „малого бизнеса“.

Сведущие корпорации, как и потребители малого бизнеса, должны видеть, что есть на самом деле: бессмысленный дифференциатор, созданный с целью продать менее авторитетный продукт по премиум-цене. Если Вам предстоит приобретение нового устройства сетевой безопасности, мудро подходите к этому решению, игнорируя эту дифференциацию: рассматривайте UTM и NGFW технологии как абсолютно идентичные, выбирайте ту продукцию, которая отвечает в наибольшей степени потребностям Вашего бизнеса.

Что касается Gartner, то они пребывают в категории бизнеса продажи советов и формирования рынка. Однако это тот самый случай, когда совет вводит в заблуждение. Это заставляет задаться вопросом, каковы их побуждения? Действительно ли их цель — продавать отчёты? Или есть некоторые другие скрытые мотивы? Нет полной уверенности насчёт этого, но однозначно ясно, что Gartner хочет чтобы UTM и NGFW, боролись за рынок и долю завоеванного внимания.

Минусы архитектуры UTM. Почему появились NGFW?

Рис 1. Пример архитектуры работы UTM.

Первой архитектурной проблемой UTM являлось то, что все движки внутри по очереди передавали друг другу сетевые пакеты и ждали когда предыдущий движок закончит работу, чтобы начать свою. В результате чем больше функций встраивает вендор в свое устройство, тем медленнее оно работает. В результате пользователям таких устройств приходится отключать IPS и антивирус или часть их сигнатур, чтобы трафик вообще ходил. То есть вроде платили как за устройство защиты, а пользуются только как роутером. Нужно было что-то придумать, чтобы движки защиты не ждали друг друга и работали параллельно.
Новым ходом производителей NGFW стало то, что в них использовали специализированные чипы, которые одновременно смотрят на тот же самый трафик. Это стало возможным, поскольку каждый процессор стал отвечать за свою функцию: в один прошиты сигнатуры IPS, в другой сигнатуры антивируса, в третий сигнатуры URL. Можно включать все сигнатуры во всех движках - трафик находится под полной защитой без снижения производительности. Программируемые чипы такого типа называются ПЛИС (программируемая логическая интегральная схема) или в английской литературе FPGA. Их отличие от ASIC в том, что они могут перепрограммироваться на ходу и выполнять новые функции, например, проверку новых сигнатур, после обновления микрокода или любые другие функции. Этим NGFW и пользуется - все обновления прошиваются непосредственно в чипы FPGA.

Второй архитектурной проблемой UTM стало то, что все файловые операции требовали работы жесткого диска. Какая скорость чтения с жесткого диска? 100 Мегабайт в секунду. А что будет делать UTM, если у вас в ЦОД 10Гбит скорости? Если 300 человек в вашей компании решат скачать папочку с файлами по сети Микрософт (протокол SMB), то что сделает UTM? Плохие UTM просто загрузятся на 100% и перестанут работать. В продвинутых UTM на этот случай встроены различные механизмы автоотключения работы движков защиты: antivirus-bypass, ips-bypass и другие, которые выключают функции безопасности, когда загрузка аппаратной части превысит ее возможности. А если нужно не просто сохранить файл, но еще и распаковать архив? Скорость работы снижается еще. Поэтому UTM в основном применяются в маленьких компаниях, где скорости были неважны, либо где безопасность - опция. Практика показывает, что как только скорость сети возрастает, то в UTM приходится выключать все движки кроме маршрутизации и пакетного межсетевого экрана, либо просто ставить обычный межсетевой экран. То есть давно уже стояла задача как-то ускорить работу файлового антивируса. Новым архитектурным сдвигом у первого производителя NGFW, появившегося в 2007 году, стало то, что файлы перестали сохраняться на диск, то есть весь разбор трафика, раскодирование и сборка файлов для проверки антивирусом стали производиться в памяти. Это сильно повысило производительность устройств защиты и отвязало их от производительности жестких дисков. Скорости сетей растут быстрее скоростей жестких дисков. Только NGFW спасут безопасников. Сейчас по версии компании Gartner есть два лидера в NGFW: Palo Alto Networks и Check Point.

А как работают с приложениями 7 уровня в UTM и NGFW?

С появлением NGFW у заказчиков появилась новая возможность - определение приложений 7 уровня. Сетевые инженеры изучают семиуровневую модель сетевых взаимодействий OSI ISO. На 4 уровне этой модели работают протоколы TCP и UDP, что в последние 20 лет работы сетей IP считалось достаточно для анализа трафика и для управлением трафиком. То есть обычный межсетевой экран просто показывает IP адреса и порты. А что делается на следующих 5-7 уровнях? Межсетевой экран нового поколения видит все уровни абстракции и показывает что за приложение какой файл передало. Это сильно повышает понимание сетевых взаимодействий ИТ специалистами и усиливает безопасность, поскольку вскрывает туннелирование внутри открытых приложений и позволяет блокировать приложение, а не просто порт. Например, как блокировать skype или bittorent обычным межсетевым экраном старого поколения? Да, никак.

Производители UTM в итоге добавили движок определения приложений. Однако в них два движка управления трафиком - портовый 4 на уровне TCP, UDP и ICMP и на уровне поиска контента приложений в трафике типа teamviewer, tor, skype. Получилось, что у UTM несколько политик: одна управляет портами, вторая управляет приложениями. И это создает очень много трудностей, в результате политикой управления приложениями никто не пользуется.

На тему визуализации на уровне приложений прилагаю презентацию. Также это затрагивает тему Shadow IT. Но про это позже..

Прилагаю еще одно независимое мнение по поводу чем отличается UTM и NGFW:

Поскольку исходный вариант темы – на английском языке, привожу под хабракатом перевод.

Так почему же NGFW столь революционный? Что отличает NGFW от UTM?

Читайте также: