【第168期 September 5, 2011】
 

資安前哨站

Unified Threat Management (UTM)技術剖析

作者/鄭健忠

[發表日期:2011/9/1]


前言

隨著病毒、木馬、蠕蟲、DDoS…等等網路攻擊的手法不斷翻,傳統的防火牆已經無法有效阻擋當下最廣泛也最具威脅性的網路混合式攻擊。例如:HTTP GET Flooding,能運用Internet上的殭屍病毒(BotNet),以發散的來源IP,而且看來完全正常的應用系統封包躲過防火牆,通過防毒牆或主機系統上防毒軟體與主機型入侵偵測軟體(Host IPS)進行合法大量且密集的點閱網頁,造成網頁伺服器當機(crash),這樣的威脅已不能單獨用攻擊、蠕蟲或病毒來加以描述,如此的混合式攻擊,也層出不窮越演越烈,於是造就了整合防禦產品的興起。

為什麼傳統防火牆總是無法防禦最新的攻擊


《圖一》

傳統防火牆弱點如下︰
  • 沒有深度封包檢測來發現惡意程式。
  • 封包大小若是被切割後發送,無法進行封包重組。
  • 惡意程式可以透過被允許的政策(policy)建立連線穿越過去。
  • 傳統的部署方法僅僅是網路邊緣,不能防禦內部攻擊。

為什麼深度封包檢測(Deep Packet Inspection)及 IDS/IPS無法防禦

一、混合型攻擊



《圖二》

IDS/IPS的弱點如下︰
  • 所有的流量封包內容、Protocol都要檢查一遍,耗損不必要的系統資源。
  • 容易造成應用服務誤判、誤攔,造成營業損失。
  • 不容易檢查使用者的應用服務行為。
  • 無法偵測出被切割(fragment)或是多層次被壓縮過的惡意程式與蠕蟲。
  • 通常情況下,部署於網路邊界。

二、日趨複雜的安全管理


《圖三》

假設性的網路安全
  • 以為已經全面的安全。
  • 以為可以對個人被攻擊能迅速地回應。

實際上的缺點
  • 部署許多不能相容的多種產品在企業網路上,不易整合。
  • 提升了網路的複雜性甚至增加封包延遲時間(delay time)。
  • 增加了管理操作成本。
  • 不是最佳的安全部署方法。

多層次資安技術阻擋混合式攻擊


《圖四》
  • 能夠有效阻擋日趨靈活的攻擊手段。
  • 快速攔阻並縮短系統漏洞攻擊爆發時間。
  • 過濾問題電子郵件與間諜釣魚網站的威脅安全。

防禦內容層的攻擊需要比深度包檢測更高級別的檢測層次


《圖五》

一、多層次的安全需求


《圖六》

  • 防火牆:Defend against intrusions
  • 防毒牆:Protect email/web from virus infection
  • 入侵防禦:
    Protect against malicious attacks
    Application Control
  • 虛擬私有網路:
    IPSEC VPN
    PPTP/L2TP VPN
    SSL VPN
  • 不當網頁過濾:阻絕色情、暴力...網頁

二、整合型資安設備--滿足多層次安全防護需求


《圖七》

優勢
  • 全面的安全
  • 大大地減少了攻擊導致的網路停頓時間
  • 減少了廠商和設備的數量
  • 簡化了安全管理
  • 相應的安全報警、日誌和報表
  • 提升檢測能力

UTM的技術性能

從技術角度來說,UTM需要無縫集成多項安全技術,達到不降低網路應用的性能,提供2-7層的安全防護,所以以下一些關鍵技術實現了,才能說是成熟穩定的UTM:

一、高性能的硬體技術

UTM產品相對於一般防火牆,不僅僅是功能增加了很多,檢測的層次也從防火牆的網路層上升到了應用層,這對於硬體資源的佔用是成百倍甚至上千倍的。由此導致的結果就是,UTM產品雖然功能很多,但在多種功能同時運行時,性能會大打折扣甚至無法運行。

只有採用高性能的硬體技術,才能實現即時的資料封包檢測、特徵匹配、應用協定分析與處理、防禦DDoS攻擊、高速的VPN加密/解密、流量塑形。顯然,Server base架構的設備是不能夠滿足要求的,有NP和ASIC加速晶片技術是目前更好的選擇。因此採用更優秀的硬體平臺提高性能,是UTM產品的必然趨勢。

二、深度融合的技術平臺

UTM產品包括L3 switch、防火牆、防毒牆、IDS/IPS、VPN、內容過濾、應用程式控管、流量負載平衡等功能模組,各種功能模組對資料的處理各有其處理方式及資源佔用,並且其模組功能最有有第三方認證單位測試過,並提有正式認證資格,如防火牆有ICSA認證、IPS有NSS認證...等等。如果基於某個功能模組發展起來的UTM產品,沒有充分考慮到技術的深度融合,只是一味地將很多功能"簡單架構"在一起,其結果將直接影響UTM系統效率,造成整體性能下降,甚至整個設備當機無法使用。

所以,UTM產品需要在一個統一平臺基礎上,深度融合各種技術,以達到產品技術組合的最優化。

參考文件

1.FortiGate DoS Protection - Block Malicious Traffic Before It Affects Critical Applications and Systems,white paper,Fortinet

2.中國軟件網,http://www.soft6.com

3.Multi-Layer Security Platforms - The New Definition for Best of Breed,white paper,Fortinet

4.資安論壇,http://forum.icst.org.tw/phpbb/viewtopic.php?f=24&t=9235