Nr 3-4/2008 (97)

IronPort - systemy antyspamowe i antywirusowe

Systemy zabezpieczeń pełnią istotną rolę w dzisiejszych sieciach teleinformatycznych, ochraniając kluczowe  zasoby sieci wewnętrznych. Wychodząc na przeciw rosnącym wymaganiom rynku, firma IronPort oferuje kompletne portfolio produktów, służących do zabezpieczenia poczty elektronicznej oraz ruchu internetowego na brzegu sieci.

Wprowadzenie

Firma IronPort jest wiodącym dostawcą i liderem na rynku z zakresu rozwiązań dotyczących zabezpieczeń poczty elektronicznej oraz ochrony przed zagrożeniami związanymi z ruchem internetowym, które stoją przed sieciami korporacyjnymi, tj. zagrożeniami bezpieczeństwa, zasobów oraz zgodności z prawem.
 


Rys.1 Rodzina produktów IroPort

W ofercie IronPort znajdują się trzy linie produktowe:

  • C-Series Email Security Appliances,
  • S-Series Web Security Appliances,
  • M-Series Secrity Management Appliances.

Urządzenia firmy IronPort zawdzięczają swój sukces zastosowaniu unikalnej technologii, jaką jest baza SenderBase. SenderBase to pierwszy na świecie i największy system globalnego monitoringu ruchu internetowego oraz mailowego w oparciu o filtr reputacyjny. Baza gromadzi dane od ponad 100,000 dostawców internetu (ISP), firm użyteczności publicznej, uniwersytetów i komercyjnych przedsiębiorstw z całego świata. SenderBase mierzy ponad 150 różnych parametrów dotyczących ruchu smtp oraz http, dla każdego z serwerów poczty w Internecie, obsługując dziennie ponad 30 miliardów zapytań z każdego zakątka globu. Dane bazy SenderBase są dostępne dla zarejestrowanych w programie instytucji, biorących udział w walce przeciw spamowi.
 


Rys.2 Baza SenderBase

C-Series - Ochrona Poczty

W dzisiejszych czasach poczta elektroniczna odgrywa kluczową rolę w komunikacji pomiędzy kontrahentami, zmuszając przedsiębiorstwa do ochrony własnej infrastruktury pocztowej nie tylko przed spamem, ale także przed wirusami czy malwarem, dla którego poczta elektroniczna jest głównym medium dystrybucyjnym.
 

Rys.3 Konsolidacja zabezpieczeń poczty elektronicznej na brzegu sieci

Urządzenia C-Series gwarantują stabilną ochronę sieci przy jednoczesnym uproszczeniu struktury strefy bezpieczeństwa, zapewniając niezawodną pracę, dostarczającą wysoką dostępność ważnych kanałów poczty elektronicznej.



Rys.4 Wielowarstwowa ochrona poczty email

Urządzenia C-Series korzystają z wielowarstwowej ochrony poczty elektronicznej w oparciu o najważniejsze funkcje:

  • Anty Spam w celu oceny ryzyka związanego z poszczególnymi wiadomościami elektronicznymi korzysta z filtra reputacyjnego, bazującego na systemie SenderBase i w czasie rzeczywistym identyfikuje podejrzanych nadawców wiadomości. Filtr reputacyjny, przydzielający przesyłanym wiadomościom określony w skali od -10 do +10 poziom zaufania, pozwala na blokowanie do 80% spamu, próbującego dostać się do sieci wewnętrznej przedsiębiorstw.
  • Anty Wirus - filtr antywirusowy poprzez identyfikację i kwarantannę podejrzanych wiadomości pozwala na powstrzymywanie wirusów rozsyłanych drogą poczty elektronicznej. Dodatkowo, wykorzystywanie w tym celu sygnatur dwóch producentów (Sophos oraz McAffee) pozwala na kompleksowe, szeregowe skanowanie zawartości wiadomości.
  • Email Encryption - umożliwia ochronę danych poufnych. Wykorzystując technologię IronPort PXE, szyfrowanie wiadomości pozwala na prostą i bezpieczną łączność dwukierunkową z dowolnym odbiorcą poczty, poprzez uwierzytelnianie odbiorcy i bezpieczne dostarczenie klucza, śledzenie wiadomości czy bezpieczną odpowiedź. 


Rys.5 Szyfrowanie wiadomości z wykorzystaniem PXE

  • DLP - funkcjonalność "Data Lost Prevention" pozwala na sankcjonowanie polityki bezpieczeństwa dla poczty przychodzącej i wychodzącej, przez blokowanie komunikacji z konkurencją bądź podejrzanymi adresatami, blokowanie treści obraźliwych czy też wymuszanie polityki komunikacji (np. poprzez dozwoloną wielkość maksymalnego załącznika).


Zarządzanie poprzez zintegrowany interfejs WWW umożliwia dostęp do raportów historycznych oraz pozwala na konfigurowanie reguł, wyszukiwanie i selektywne zwalnianie wiadomości poddanych kwarantannie:

  • Mail Flow Central - kontrola stanu wiadomości, która trafiła w obręb wewnętrznej infrastruktury poprzez narzędzie do raportowania, pozwala na błyskawiczne odpowiedzi na zgłoszenia od użytkowników końcowych.
  • Email Security Monitor - monitorowanie i raportowanie o zagrożeniach w czasie rzeczywistym. Funkcja ta pozwala śledzić wszystkie systemy nawiązujące połączenie z danym urządzeniem IronPort w celu identyfikacji zagrożeń internetowych, takich jak: spam, wirusy oraz ataki typu Denial of Service.
  • Spam Quarantine - samoobsługowa kwarantanna dla użytkowników, stwarzająca możliwość centralnego przechowywania spamu.
  • ContentScanning umożliwia wprowadzenie i wymuszenie przestrzegania standardów prawnych i reguł dozwolonego użytkowania poczty w oparciu o kontrolę zawartości wiadomości.

W portfolio bram zabezpieczających pocztę elektroniczną, znajdują się platformy dostosowane do wymagań klientów z każdego sektora rynku:

  • C150 - Do 1.000 użytkowników albo 18.000 MPH (Message Per Hour). Rozwiązanie rekomendowane dla małych i średnich przedsiębiorstw.
  • C350 - Do 10.000 użytkowników lub 46.800 MPH. Rozwiązanie rekomendowane dla średnich i dużych przedsiębiorstw.
  • C350D - Rozwiązanie dla przedsiębiorstw z unikalną i nietypową polityką maili wychodzących.
  • C650 - Do 20.000 użytkowników lub 104.400 MPH. Rozwiązanie rekomendowane dla dużych i przedsiębiorstw typu enterprise.
  • X1050 - Do 255.600 MPH. Rozwiązanie rekomendowane dla dużych przedsiębiorstw enterprise i ISP.


S-Series - Kontrola ruchu internetowego


Rosnąca na przestrzeni ostatnich lat liczba zagrożeń bezpieczeństwa, które pojawiają się wraz z ruchem internetowym pokazała, że dotychczasowe metody ochrony sieci przestają być wystarczające.  Tradycyjne bramki sieciowe nie są skuteczne w konfrontacji z lawinowo rozprzestrzeniającą się gamą złośliwych programów, pochodzących z Internetu, narażając tym samym sieci korporacyjne na niebezpieczeństwo stwarzane przez te zagrożenia. Dodatkowo oprócz zagrożeń bezpieczeństwa wynikających z działania złośliwego oprogramowania, ruch sieciowy naraża także przedsiębiorstwa na ryzyko dotyczące zgodności i produktywności, wynikające z niewłaściwego wykorzystywania zasobów sieci Internet przez pracowników firm.

 
Rys.6 Gateway zabezpieczający ruch WWW


Urządzenie zabezpieczenia sieciowego IronPort S-Series Web Security Appliance to pierwsza w branży platforma łącząca tradycyjne filtrowanie adresów URL z unikalnymi filtrami reputacyjnymi oraz filtrowaniem złośliwego oprogramowania na jednej maszynie. Platforma S-Series może być instalowana w wielu trybach tj. jawny przekazujący serwer proxy dla sieci, transparentna instalacja poza przełącznikiem w warstwie 4 lub jako router WCCP w obrębie sieci, pozwalając na elastyczną budowę sieci korporacyjnej.



Rys.7 Wielowarstwowy gateway WWW


Urządzenia S-Series to wielowarstwowy gateway zabezpieczający, obejmujący filtr reputacyjny, mechanizmy skanowania w poszukiwaniu złośliwego oprogramowania, monitor ruchu w warstwie 4 (L4) wykrywający działanie niepożądanych aplikacji przez porty inne niż port 80.

  • Serwer proxy sieci Web - podstawowa funkcjonalność pozwalająca na dogłębną analizę treści, która jest istotna dla precyzyjnego wykrywania oprogramowania z Internetu. Serwer proxy działa w oparciu o autorski system operacyjny IronPort AsyncOS, umożliwiający sprawne dostarczanie treści buforowanych stron internetowych dzięki wysoce inteligentnemu zarządzaniu pamięcią, dyskiem oraz jądrem. S-Series może być skonfigurowane jako samodzielny serwer proxy lub współpracować z innymi serwerami.
  • Monitor ruchu L4 - skanuje z prędkością transmisji cały ruch TCP/IP na wszystkich 65 535 portach, wykrywa zainstalowany malware, skutecznie zatrzymując złośliwe oprogramowanie, który próbuje obchodzić port 80 przy komunikacji z Internetem. Korzystając z dodatkowej funkcji, jaką jest dynamiczne dodawanie adresów IP znanych złośliwych programów do swojej listy portów i adresów IP, umożliwia szybsze ich wykrywanie i blokowanie. Dzięki tej możliwości, monitor ruchu L4 przegląda ruch złośliwego oprogramowania niemalże w czasie rzeczywistym - nawet w przypadku, gdy zainfekowany host próbuje uniknąć wykrycia, zmieniając adresy IP.
  • IronPort URL Filters - dysponując bazą  URL - zawierającą 20 milionów witryn (co odpowiada ponad 3 miliardom stron internetowych) w 70 językach i 200 krajach, skategoryzowaną w 52 wstępnie zdefiniowanych kategoriach - urządzenia IronPort oferują wysoki wskaźnik precyzji w kontrolowaniu treści internetowych. 
  • IronPort Web Reputation Filters - korzystając z bazy SenderBase, filtr reputacyjny używa ponad 50 różnych parametrów, związanych z ruchem w sieci Internet do precyzyjnej oceny wiarygodności adresu URL, następnie generowany jest pojedynczy wynik (w skali od -10 do +10) dla danego adresu URL, będący podstawą podjęcia decyzji o zablokowaniu strony WWW.

 
Rys.8 Filtr reputacyjny

  • Anty Wirus - podobnie jak ma to miejsce w urządzeniach C-Series, gateway WWW korzysta z dwóch filtrów antywirusowych, opartych tym razem o sygnatury dwóch producentów (Webroot oraz McAffee), tak aby zapewnić najwyższy poziom ochrony przed różnymi zagrożeniami z Internetu.
  • IronPort Web Security Manager - obraz wszystkich zasad dostępu i zabezpieczeń skonfigurowanych w urządzeniu. Z jednego miejsca odbywa się zarządzanie wszystkimi zasadami dostępu do Internetu (filtrowanie adresów URL, filtrowanie reputacyjne oraz filtrowanie złośliwego oprogramowania). Dodatkowo, istnieje możliwość dopasowywania kryteriów i wiązania ich z klientami (np. adres IP, uwierzytelniona nazwa użytkownika itd.)
  • IronPort Web Security Monitor - podgląd na wszystkie działania internetowe, w celu np. identyfikacji zagrożeń i zapobiegania im w ramach opieki nad siecią korporacyjną.

Gama bram bezpieczeństwa WWW obejmuje dwa modele:

  • S350 - Rozwiązanie dedykowane dla przedsiębiorstw posiadających 1-5000 użytkowników. Posiada te same funkcje co urządzenie S650.
  • S650 - Rozwiązanie dedykowane dla przedsiębiorstw od 250-10.000 użytkowników.


M-Series

Uzupełnieniem portfolio produktów do ochrony poczty oraz ruchu internetowego jest urządzenie IronPort M-Series, służące do zarządzania polityką bezpieczeństwa. Urządzenie IronPort M-Series pozwala na gromadzenie i konsolidację w jednym miejscu wszelkich istotnych danych, dotyczących zasad konfiguracji i opieki nad systemem, oferując administratorowi i użytkownikowi pojedynczy interfejs do zarządzania systemami zabezpieczeń poczty elektronicznej oraz ruchu internetowego.

Opracowano na podstawie materiałów producenta