انتخاب یک utm کدام برند را بخرم

با سلام خدمت همه دوستان عزیز

خیلی مواقع پیش میاد که دوستان سوال میپرسند کدام UTM را بخریم ؟ یا اگر برند خاصی مد نظر دارید دلایلتون برای انتخاب اون برند چی است؟

اول معرفی کوتاهی داشته باشیم و بریم سر بحث انتخاب

دستگاه های UTM یا Unified Threat Manager به Appliance های امنیتی گفته می شود که قابلیت های Firewall ، Virus Protection ، Anti Spam ، V/P/N& SSL V/P/N، IDS/IPS و …همگی در یک BOX با هم هست . اصولا این دستگاه های از فناوری ASIC سخت افزاری استفاده می کنند تا بالاتری performance رو داشته باشد((ASIC) سر نام خلاصه شده application-specific integrated circuit بوده و به پردازشگرهای مجتمعی اطلاق میشود که دستورالعملهای مهمی را برای منظور خاص مورد استفاده قرار میدهد.) . از محصولات مطرح الان می توان به Fortinet Forigate ، Juniper SSG ، Astaro ، Cisco ASA و Watch Guard اشاره کرد

نکته مهم فقط Device هایی اعتبار دارند که ICSA LAB Certified هستند . حتی Cisco IOS هم ICSA LAB داره البته تا جایی که یادمه برای سیسکو ASA باید security system module / content security جهت IPS/Antivirus خریداری بشه و اضافه بشه

در مورد فایروال
الان فایروال سخت افزاری Cisco ASA ، Juniper Netscreen & SSG ، Fortigate ، checkpoint و .. مطرح هستند.
اگر که فقط firewall می خواهید باشه
اول ASA به دلیل اینکه هم خوبه ، هم documentation زیاد داره
بعد از اون juniper هست که محصول فقط Firewall و در کنار آن SSG که آنتی ویروس هم داره. محصول خوبیه
بعد checkpoint . بعد هم که fortigate که در عین حال هم firewall خوبی هست . و اینکه GUI خوبی داره.documentation هم زیاد داره و پشتیبانی خوبی هم داره در ایران و به علاوه اینکه UTM هم هست و در نتیجه آنتی ویروس هم داره.

یک نکته در مورد سیسکو شاید یک جورایی بشه گفت cisco کمتر به صورت تخصصي روي UTM ها سرمايه گذاري مي كنه، چون كار اصلي و تمركز اين شركت روي Router ها و سوييچ ها است.
ميدونند كه روتري ها و سویچ های سيسكو حرف اول رو مي زنن

شركت هاي مثل جونيپر يا فورتي نت تخصصي روي بحث امنيت شبكه فعاليت ميكنند، در نتيجه Device ها و امكانات بسيار كامل تري نسبت به ديگر رقبا خواهند داشت.

شركت هايي مثل Fortinet به دليل تفكيك مباحث امنيتي و مديريتي Device هاي امنيتي از يكديگر تونسته اند سهم قابل توجهي از بازار رو در دست بگيرند.

دستگاهي مثل FortiGate با وجود قابليت هاي بسيار زيادي كه به مديران شبكه ميده، در عين حال ميتونه به يك FortiAnalyzer متصل بشه و Log ها و رخ دادهاي خودشو به FortiAnalyzer تحويل بده و اون، Log ها رو تجزيه و تحليل كنه و به مدير شبكه ارائه بده.

از حرف هاي توي مسنجر گرفته تا اتچ هايي كه كاربران توي ميل هاشون براي هم ارسال ميكنند، همگي در FortiAnalyzer ثبت و ضبط ميشه.

اين نشون ميده اين شركت به صورت كاملاً تخصصي داره روي بحث امنيت شبكه كار ميكنه !!!!

اما سیسکو برای گرفتن و آنالیز log ها دستگاهی داره به اسم mars که کار همون forti analyzer را انجام میده
یا یک دستگاه دیگه هم داره به اسم iron port email security appliance که می تونه در کنار یک میل سرور قرار بگیره ومی تونه جلوی اسپم را بگیره و علاوه بر این تشخیص ویروس و رمز نگاری ایمیل را نیز می تواند انجام دهد . اون حتی می تونه اگه اطلاعات سازمانی بخواد از طریق ایمیل فرستاده بشه و یا حتی شماره کارت اعتباری و … را تشخیص بده و اون را به مدیر شبکه گزارش کنه و یا جلوی اون را بگیره.

UTM

در مورد UTMایرانی

همانطور که میدانید اخیراً بخشنامه ای که سازمانها و ارگانهای دولتی ابلاغ شده است و موکداً ذکر شده که فقط از فایروال ایرانی در شبکه خود استفاده کنید حتی اگر فایروال دیگری دارید آنرا از مدار خارج کنید .

اول اینکه اونایی که می گند دستگاه های خارجی backdoor داره نمیدانم روی چه حسابی این حرف ها رو می زنند؟ دلیل فنی دارند که ارائه بدهند؟ بعضی ها می گویند که اطلاعات رو می فرسته. (راستش زیاد قابل قبول نیست چون فنی نیست) اما خودتان میدانید بخش نامه بخش نامه است نمیشه کاریش کرد بگذریم

من می خوام سربسته یه موضوعی رو مطرح کنم: ببینید شرکت های بزرگ در زمینه ساخت تجهیزات امنیتی، اگر هم backdoor داشته باشند، طوری نیست که به راحتی لو بره تا آبروشون به خطر بیفته به این سادگی ها رو نمی کنند چون به راحتی شبکه قابل مانیتور است و اگر لو بره شرکت باید جمع کنه بره کلا

در ضمن این چیز طبیعی است که در تمام دنیا وجود داره و اون هم اینکه قدرت دست کسی هست که تکنولوژی داره و ماها اگر می خواهیم که مثلا گرفتار backdoor اونها نشویم، باید توان ساخت دستگاه هایی با قابلیت های اونا رو داشته باشیم یعنی به جای اینکه UTM های ما 1500 تا signature حمله را ساپورت کنند، 5000 تا signature رو ساپورت کنند تا بتونند با سیسکو رقابت کنند و از سیسکو بی نیاز شوند

یک لینوکس ، که اومدن و costumize کردن با تعداد bug کوچیک و بزرگ را واقعا نمیشه
با device هایی که کاملا سخت افزاری کار می کنه ، Super Technology که هر کدوم هزار تا Certification و Reward دارن !! مقایسه کرد
از اونجایی که fortigate , juniper مبتنی بر سخت افزار و asic-based هستند تاثیر خیلی زیادی روی تروپوت شبکه نمیذارند و realtime عمل میکنند.
که همین فیچر فورتیگیت و جونیپر و سیسکو رو از بقیه متمایز میکنه. البته باید توجه داشت محدوديتهاي خاصي مثلا fortigate داره كه براي رفع اونها حتما” بايد لايسنس محصولات رو بگيري
در انتخاب یک محصول پیشینه/ اینکه کجاها کار شده / اینکه چند ساله بدون مشکل کار میکنه خودشون عواملی هستند که در انتخاب یک جنس به خریدار کمک میکنه.

در مورد تمام UTM ها شاید مقایسه کاغذی معتبر نباشه.باید دید در عمل چه می کنه. بعد هم NSS UTM بهترین certification هست که می تونه قابلیت های یک دستگاه UTM را تایید کنه..

من فکر می کنم بهترین روش اینه که اول نیازمندی ها مطرح بشه بعد متناسب با اونها بهترین محصول پیشنهاد بشه
ببینید در مورد انتخاب یه UTM نباید بگیم چون این امکاناتش زیاده پس این UTM خیلی خوبه یا چون در خیلی از شبکه های استفاده شده،خوبه یا چون خدمات پشتیبانی خوبی داره پس خوبه یا اینکه چون با ایران مشکلی نداره خوبه البته بی تاثیر نیست
به نظر من هر شبکه شرایط خاص خودش رو داره و هر UTM واسه هرشبکه ای خوب نیست نیازها مشخص میکنه که از چه UTM استفاده بشه.و نباید به صورت کلی بررسی بشه.
ببینید اولین دلیل استفاده از UTM برقراری امنیت شبکه بطوری که تاثیر کمی روی سرعت شبکه داشته باشه.
خوب UTM میتونه همزمان چند تا کار رو انجام بده فایروال ، آنتی ویروس ، IPS و … ،
چقدر IPS این UTM در مقابل حملات مقاومه از چه الگوریتمی واسه تشخیص حمله استفاده میکنه آیا هوشمنده؟ که اینم جای بحث داره.
آنتی ویروس همینطور در مورد تشخیص ویروس .

unified-front
و ….
استفاده کردن از هرکدوم از این بخش های UTM باید ببینید چقدر در overload شبکه تاثیرگذازه
به عنوان مثال Fortigate و Juniper خوبن ولی پشتیبانی و فروشش مشکل داره تا حدودی، عملاَ میگن “اگر متوجه بشیم محصول دست ایرانی هاست هیچگونه پشتیبانی ارائه نمی دیم”. قیمتشون هم یک جورایی بالاست
Cyberoam
دستگاه های UTM ایست که چندین خصوصیت امنیتی از قبیل فایروال، *** ، سیستم جلوگیری از نفوذ ، آنتی ویروس ، Anti Spam ، فیلترینگ وب ، کنترل و نظارت لایه 7 ، مدیریت لینک های چندگانه و… را بر روی یک Platform ادغام کرده است که معماری امنیت توسعه پذیر و پردازنده های چند هسته ای این توانایی را به آن می دهد که امنیتی برای آینده و توان عملیاتی سریع تر ، ارائه دهد
سایبروم یه محصول هندی هست که حدود 4 سال هست وارد ایران شده و عمر زیادی از اون نمی گذره
پشتیبانیشون عالیه
Load Blancing اش هم خوب کار میکنه.
سایبرم Bandwidth Manager داره که خیلی هم خوب کار میکنه و در کنار Identity Base بودنش قابلیت اعمال Policy های بسیار و متنوعی رو بر اساس هویت کاربر میده.
از لحاظ حقوق بین الملل و Sanction هم هیچ موردی نداره، تو ایران نمایندگی های فروش و پشتیبانی رسمی و مجاز داره.

دوران توسط خود شرکت در بستر لینوکس نوشته شده است.

انتخاب یک فایروال خوب بستگی به خیلی چیز ها داره ممکن است یک فایروال برای من خوب باشه همون فایروال برای شما خوب نباشه چند تا از معیار ها را در زیر عنوان میکنم

۱ : قیمت

ممکن است شرکت ما بخواهد ۷ تومان برای فایروال هزینه کنه ولی شرکت شما تا ۱۵ تومان هم مشکل خاصی نداشته باشه

۲ : پایداری

یک فایروال نرم افزاری روی یک سرور معمولی معمولا نگهداری بیشتری نصبت به یک فایروال سخت افزاری که ویژه ان کار طراحی شده می طلبه (منظور خراب شدن مثلا سیستم عامل یا برای به روز رسانی و …. یا مشکلاتی است که پیش میاید و ما نیاز به متخصص برای برطرف کردن مشکل پیش امده داریم)

۳ : متخصص برای راه اندازی و نگهداری

خیلی مهم است در سازمان شما کسی که قرار است مسئول فایرول باشد چه تخصص های دارد شاید در موردی اگر متخصص هست فایروال نرم افزاری مثل Iptabe بهتر عمل کنه(دقت کنید موقع خرید باید هزینه های نگهداری را حساب کنید)

۴ : نیاز ها

شما باید ببینید شما چه انتظاراتی از یک فایروال دارید مثلا ممکن است یک فایروال با قیمت ۱۰۰X خیلی خوب باشد ولی شما از امکانات ان فایروال نخواهید استفاده کنید
امیدوارم مفید بوده باشه