UTM (Unified Threat Management) – Bütünleşik Güvenlik Cihazı Nedir?
Bilgisayar güvenliği, günümüz bilişim dünyasının en önemli sorunu haline gelmiştir. Virüsler, trojanlar, spamlar, saldırılar hızla artmaktadır. İnternetin yaygınlaşması ile bu zararlı uygulamalar ve ağın iş dışında başka amaçlarla kullanılması çok yaygınlaşmıştır. Bu nedenle Antivirus Gateway (Ağ Geçidinde virüs ve zararlı programları tarama) teknolojisi tüm büyük networkler için zorunlu hale gelmiştir. Aksi takdirde bu zararlı uygulamaların verdiği zarar (sistemlerin kapalı olması, şifrelerin ve bilgilerin çalınması, zaman kaybı gibi) AV Gateway’e verilen paraların kat kat üstündedir.
Ayrıca yine büyük networkler için dışarıdan gelen saldırıları engelleyebilmek için Saldırı Tesbit ve Engelleme Sistemleri gerekli hale gelmiştir.
Kullanıcıların iş dışında başka şeylerle uğraşmalarını engellemek ve zararlı programcıklar içeren web sayfalarını önlemek için ise Web Filtreleme sistemlerine ihtiyaç vardır. Yine network trafiği ve kullanıcı zamanını oldukça çalan bir diğer sorun spam maillerdir. Bunları da engelleyen Anti Spam teknolojileri hızla gelişmektedir.
Günümüzde çeşit çeşit marka ve teknolojide çözümler bulunmaktadır. Ancak sektör, genel olarak tüm tehditleri engelleyen bütünleşik cihazlara yönelmektedir. Bütünleşik Güvenlik Cihazları, güvenlik duvarı cihazı piyasasında gelişen bir eğilimdir. Bu amaçla birçok marka tüm tehditleri tek cihazda engelleyebilen “Bütünleşik Güvenlik Sistemleri” (UTM) ürünler çıkartmaya başlamıştır. Bu sayede hem merkezi ve kolay kontrol sağlanmakta hem de lisans maliyetleri farklı teknolojileri parça parça almaya kıyasla daha ucuz olmaktadır. UTM, sadece saldırılara karşı koruyan geleneksel güvenlik duvarları ve VPN (sanal özel ağ) hizmetini değil, aynı zamanda çoklu sistemler tarafından kullanılan içerik filtreleme, spam mail filtreleme, saldırı tespit sistemi, casus yazılım engelleme ve ağ geçitinde anti virüs görevlerini de yürüten gelişmiş cihazlardır. Bu gibi görevler daha önce çoklu sistemler tarafından yerine getiriliyorlardı. UTM cihazları aynı zamanda tümleşik yönetim, kontrol, log tutabilme servislerini sağlarlar.
Günümüz işletmelerinin güvenlik duvarını sağlayan donanım yapısı kalabalaştıkça normalde bulunmayan özellikleri güvenlik duvarına eklemek gerekli oldu. Bundan sonra güvenlik duvarları “güvenlik duvarı cihazları” oldular. Bu noktada bütünleşik güvenlik cihazları devreye giriyor. Anti-virüs, içerik filtreleme, saldırı tespit sistemi ve spam filtreleme kullanan çoklu sistemler yerine, kurumlar yukarıda sayılan tüm özellikleri barındıran tek bir ağ cihazını UTM güvenlik cihazı olarak alabilirler. UTM cihazının bu çoklu işlevselliği güvenlik duvarlarının yerine geçmesi için yeterli bir sebeptir. UTM cihazları, çoklu tehditlere karşı kapsamlı güvenlik sağlarlar. UTM tümleşik paketinde tipik olarak bir güvenlik duvarı, antivirüs yazılımı, içerik filtreleme ve spam filtreleme özellikleri bulunur. Ek olarak ağ geçidi, saldırı tespit ve engelleme sistemini de tek bir platformda toplar. UTM cihazı, karmaşıklığı indirgeyerek kullanıcıları karışık tehditlerden korumak için tasarlanmıştır.
Bütünleşik Güvenlik Cihazı ilk defa IDC tarafından güvenlik özelliklerini tek bir cihazda birleştiren güvenlik cihazları kategorisini tanımlamak için kullanılmıştır. UTM sağlayıcıları Fortinet, Sonicwall ve Juniper olarak sıralanabilir. UTM’in temel avantajları kullanım basitliği, hızlı kurulum ve kullanım ayrıca tüm güvenlik uygulamalarının eş zamanlı güncellenebilmesi yetenekleridir.
UTM ürünleri, internet tehditlerinin yapısı gereği karmaşık şekilde gerçekleşen gelişimine ve büyümesine ayak uydurabilir. Bu ise sistem yöneticilerinin çoklu güvenlik programları kullanımı ihtiyacını ortadan kaldırır. Hackerlar bir IT işletmesinin öncelikli odak noktası olduğu sıralar güvenlik duvarları çoğu ağı koruma konusunda başarılıydı. Virüsler yaygınlaştıkça, kurumlar anti-virüs ağ geçidini takiben web içerik filtreleme ve daha sonra spam filtreleme yöntemlerini kullandılar. Bu durum yöneticilere yüksek maliyetli karmaşık sistemler getiriyor ve hatırı sayılır bir alan tutuyordu.
Anti-virüs, Anti Spam, Web Filtreleme, IPS gibi güncelleme gerektiren bu tür sistemleri satın alırken dikkat edilmesi gereken en önemli noktalardan birisi yıllık güncelleme ücretidir. Her bir ürün ayrı ayrı güncellendiğinde güncelleme ücreti çok fazla olmaktadır. Ürün tek merkezden birçok sıkıntıyı engelleyerek network performansının artmasını, network personelinin başka işlere vakit ayırabilmesini, personelinin iş dışında başka şeylerle uğraşmasının engellenmesini sağlayacağından ödenen ücretlerin kat kat fazlasını kısa sürede çıkartacaktır.
Neler barındırırlar?
IDC, bir güvenlik cihazının UTM olarak adlandırılabilmesi için tanımlamalar getirmiştir. Öncelikle bir işletim sistemi ve minimum insan müdahalesi gerektiren bir kurulum süreci olmalıdır. Cihazın ağ güvenlik duvarı, saldırı tespiti ve saldırı engelleme ve anti-virüs ağ geçidi özelliklerinin olması gerekir. Her yeteneğin müşteri tarafından kullanılması gerekmez fakat bu fonksiyonlar cihazın içinde bulunmalıdır. Bir UTM cihazı aynı zamanda bir grup veya kullanıcı için güvenlik ve gizlilik yönetimi gibi diğer özellikleri de barındırabilir.
Bir UTM cihazı kullanmanın avantajları nelerdir?
Birçok harika yazılım tabanlı güvenlik uygulamaları piyasada çoktan varken neden insanlar tehdit yönetimi güvenliği cihazlarını satın alıyorlar?
Tehdit yönetim güvenliği cihazları piyasası büyük oranda şunlardan dolayı büyüyor:
Daha az karmaşıklık: Hepsi-bir arada yaklaşımı ürün seçimini, ürün entegrasyonunu ve sürekli desteği kolaylaştırıyor. Kolay kurulum: Müşteriler veya daha çok bayii ve sertifikalı kişiler ürünleri kolayca kurabilir ve kullanabilirler. Bu süreç artan bir şekilde uzaktan yapılmaktadır. Üst düzey yazılım çözümleri: Cihazlar, güvenlik uzmanları bulunmayan işletmelerin eriştiği uzak konumlarda kullanılır. Bir tak ve kullan cihazı uzaktan kurulup yönetilebilir. Bu yönetim geniş, merkezi yazılım tabanlı güvenlik duvarlarıyla yapılabilir. Sorun giderme kolaylığı: Bir kutu hata verdiğinde sorun gidermektense yedekli kullanım ile bu sorun aşılabilir.Bu süreç sistemi daha hızlı şekilde çalışır duruma geçirir ve teknik olmayan bir kişi de bu işlemi gerçekleştirebilir. Bu özellik özellikle teknik elemanları olmayan uzak ofisler için önemlidir.
Ayrıca önerilen bu cihazların aşağıdaki ek avantajları bulunmaktadır:
VPN: Dışarıdan (mesela evden internete bağlanarak) iç ağa şifreli bir network kanalı ile ulaşılabilir.
IM FILTERING: Messenger gibi mesajlaşma uygulamaları belli kullanıcılara izin verilebilir veya yasaklanabilir.
P2P FILTERING: Kullanıcılar arası veri alışverişini sağlayan, trafiği boğan ve zararlı içeriklerin de yayılmasına neden olan P2P uygulamalarını (Kazaa, Skype, bitTorrent, eDonkey, Gnutella vb.) kişi bazlı kısıtlayabilir veya komple engelleyebilir.
TRAFFIC SHAPING: İşle ilgili uygulamalara ağda öncelik verilerek, Messenger gibi çok gerekli olmayan uygulamalara düşük bant genişliği ayrılabilir.
Bir UTM cihazını değerlendirirken göz önünde bulundurulması gerekenler nelerdir?
Aşağıda UTM cihazlarını alırken lehinde ve aleyhinde değerlendirme yapmak için 5 temel unsur bulunmaktadır:
1- Güvenlik kurulumunuzda bir açık olmadığından emin olun. Bir UTM cihazı internet tabanlı tehditlere karşı geniş kapsamlı güvenlik koruması sağlar.
2- Bütünleşik Güvenlik Cihazı’nı tam olarak sağlayabilmek için cihazın güvenlik duvarı, anti-virüs filtresi, anti-spam filtresi, URL filtresi ve saldırı tespit sisteminin olması gerekir.
3- UTM cihazı kusursuz olmalıdır; anti-virüs filtresi veritabanı gibi bileşenler güncel ve kullanımı kolay olmalıdır.
4- Bir UTM cihazı yılda 7 gün 24 saat çalışıyor halde olmalıdır – şirket ağınız için şeffaf koruma ve istikrarlı olmalıdır.
5- Fiyatının karşılanabilir olması ve ürünün kapsamlı olması gerekir.
Ek Bilgiler
Güvenlik
Bilgisayar endüstrisinde, bir bilgisayarda depolanan verilere yetkisiz bireyler tarafından ulaşılamamasına dayanır. Çoğu güvenlik önlemleri veri şifreleme ve şifrelerden oluşur. Veri şifreleme, verinin bir deşifre mekanizması olmaksızın anlaşılamayacak şekilde dönüştürülmesidir. Bir şifre, bir programa veya sisteme kullanıcı erişim hakkı veren bir kelime ya da cümledir.
Güvenlik Duvarı
Özel bir ağa veya ağdan yetkisiz erişimi engelleyecek şekilde tasarlanmış sistemdir. Güvenlik duvarları hem donanıma hem de yazılıma veya her ikisine birden eklenebilir. Güvenlik duvarları sıklıkla yetkisiz internet kullanıcıların, internete bağlı özel ağlara, özellikle intranete erişimlerini engellemek için kullanılır. Güvenlik duvarından geçerek intranete giren veya çıkan her mesaj, güvenlik duvarı tarafından incelenir ve belirlenmiş güvenlik kriterlerine uymayan mesajları engeller.
Çeşitli güvenlik duvarı teknikleri vardır:
Paket filtreleme: Ağdan çıkan veya giren her pakete bakar ve kullanıcı tanımlı kurallara göre kabul veya reddeder. Paket filtreleme oldukça etkilidir ve kullanıcı esnekliği vardır fakat konfigürasyonu zordur. Ek olarak IP spoofing saldırılarına karşı etkisi şüphelidir.
Uygulama katmanında kontrol: FTP ve Telnet sunucusu gibi belirli uygulamalara güvenlik mekanizması uygular. Bu oldukça etkilidir ama bir performans düşüşüne sebep olabilir.
TCP/IP düzeyinde kontrol: Bir tcp veya udp bağlantısı sağlandığında güvenlik mekanizmasını uygular. Bağlantı bir kere sağlandıysa başka bir kontrole gerek olmadan paket alışverişi yapılabilir.
Proxy sunucusu: Ağa giren veya çıkan tüm mesajları önler. Proxy sunucusu ağ adresini etkili bir şekilde gizler.
Uygulamada birçok güvenlik duvarı bu tekniklerden ikisini bir arada kullanır.
Bir güvenlik duvarı ilk sırada özel bilgileri korumakla görevlidir. Daha sıkı bir güvenlik için veri şifrelenebilir.
Ağ Geçidi
1- Bir ağda bulunan ve başka bir ağa giriş görevi gören bir düğümdür. İşletmelerde ağ geçidi, bir iş istasyonundan web sitelerini sunan dış ağa giden trafiği yönlendiren bir bilgisayardır. Evlerde ağ geçidi kullanıcıyı internete bağlayan internet servis sağlayıcısıdır.
2- şletmelerde ağ geçidi genellikle Proxy sunucusu ve güvenlik duvarı olarak çalışır. Ağ geçidi aynı zamanda paketlerin nereye gönderildiğini belirlemek için paket başlıklarını ve iletim tablolarını kullanan router (yönlendirici) ve ağ geçidinde giren ve çıkan paketler için güncel yolu sağlayan switch ile birleşiktir.
3- Router için daha eskiden kullanılan fakat şu anda genel olarak router kullanıldığından terk edilen bir terim.
Saldırı Tespit Sistemi
Bir saldırı tespit sistemi (IDS) gelen ve giden ağ faaliyetlerini inceler ve bir ağa veya sisteme saldıracak kişinin veya sistemi tehlikeye düşüreceğini gösteren şüpheli paket şablonlarını belirler.
IDS’yi kategorize etmek için çeşitli yollar vardır:
Suistimal tespiti ve bozukluk tespiti: Suistimal tespitinde, IDS topladığı bilgiyi inceler ve büyük saldırı işareti veritabanlarıyla karşılaştırır. Esasında IDS daha önce kayda alınmış belirli saldırılara bakar. Bir virüs tespit sistemi gibi, suistimal tespit yazılımı ancak paket karşılaştırması yaptığı saldırı imzaları bulunan veritabanı kadar iyidir. Bozukluk tespitinde, sistem yöneticisi referans çizgisini veya normal ağ trafiğinin yük durumunu, arıza, protokol ve tipik paket boyutunu tanımlar. Bozukluk saptayıcısı ağ segmentlerini referans hattıyla karşılaştırmak ve bozukluklara bakmak için kontrol eder.
Ağ ve host tabanlı sistemler: Ağ tabanlı bir sistemde (NIDS) bir ağdan geçen her paket tek tek incelenir. NIDS güvenlik duvarının basit filtreleme kuralları tarafından gözden kaçırılmak üzere tasarlanan zararlı maddeleri tespit edebilir. Host tabanlı bir sistemde, IDS her bilgisayarın veya hostun faaliyetini inceler.
Pasif sistem ve Reaktif sistem: Pasif bir sistemde, IDS potansiyel bir güvenlik ihlalini tespit eder, bilgiyi kaydeder ve uyarı verir. Bir reaktif sistemde IDS, şüpheli paket kaynağından gelen ağ trafiğini engellemek için bir kullanıcıyı sistemden çıkararak veya güvenlik duvarını yeniden programlayarak karşılık verir.
İkiside ağ güvenliğiyle ilgili olduğu halde bir IDS güvenlik duvarından farkı IDS’nin saldırıları önlemek için gözlemesidir. Güvenlik duvarı saldırıyı engellemek için ağlar arasındaki erişimi kısıtlar ve ağ içinden bir saldırıyı bildirmez. Bir IDS şüpheli bir saldırıyı gerçekleştiğinde değerlendirir ve alarm verir. Bir IDS aynı zamanda içerden gelen saldırıları gözler.
Saldırı Engelleme Sistemi
IPS bilgisayar güvenlik sisteminde kullanılır. Ağ trafiği için kurallar sağlar beraberinde sistem veya ağ yöneticilerini şüpheli trafikten uyarmak için saldırı tespit sistemi getirir, ama yöneticiye faaliyet uyarısı vermeyi önleme imkânı verir. Bazıları IPS’yi, IDS ve uygulama düzeyli güvenlik duvarı kombinasyonu ile karşılaştırır.
Platform
Bir sistemin tabanında bulunan donanım veya yazılım. Örneğin platform DOS Versiyon 6.0 çalıştıran bir Intel 80486 mikroişlemci olabilir. Platform aynı zamanda bir Ethernet ağındaki UNIX makineleri olabilir.
Platform, üzerinde bir sistemin geliştirilebileceği standardı tanımlar. Bir platform bir kere tanımlandıysa, yazılım geliştiricileri uygun yazılımları üretebilir ve idareciler uygun donanımı ve uygulamaları satabilirler. Terim sıklıklıkla işletim sisteminin eş anlamlısı olarak kullanılır.
Cross-platform (çapraz platform) terimi farklı platformlarda çalışan uygulamalara, biçemlere veya aygıtlara delalet eder. Örneğin bir cross-platform, bir programcıya birçok platform için tek seferde programlar geliştirmeyi mümkün kılan programlama ortamıdır.