Zpět na Technologie zabezpečení sítě

Bezpečností brána pro Vás – Firemní Firewall

NG-FW-OK-UTM-1

Popis pro: šéfka firmy, co hlavně potřebuje „ať to funguje“

Zjednodušeně: Firewall, který hlídá vaše data a brání útokům

– i těm, o kterých ani nevíte že existují

🛡️ Firemní bezpečnostní brána

To zařízení hlídá, kdo vám ťuká na dveře. A taky komu od vás data utíkají oknem.

🔍 Co to je?

Je to krabička (nebo server), který se zapojí mezi internet a vaši firmu.

A co dělá?

  • Chrání vaši síť před viry, hackery a útoky z internetu
  • Hlídá, co z internetu přichází, ale i co z vaší sítě odchází (např. když je něco nakažené)
  • Pomáhá s bezpečným připojením zaměstnanců z domova nebo na cestách (VPN)
  • Umí filtrovat weby, aby se třeba na firemním netu nepařily online hry místo práce
  • Šetří linku – umí ukládat aktualizace a data, takže se stahují jen jednou pro všechny
Popis pro normální lidi:

💡 A proč bych to měl chtít?

📉 Protože útok dnes není „jestli“, ale „kdy“

Nepotřebujete být banka, aby vám do sítě vlezl BOT nebo ransomware. Stačí jeden klik na blbou přílohu. Firewall to zastaví dřív, než se něco stane.

🧑‍💻 Udrží pořádek

Dohlíží, kdo v síti co dělá. Když někdo tahá data ve tři ráno z Účta, víte to dřív než Policie ČR.

🏢 Bezpečná práce odkudkoli

Zaměstnanci se připojí bezpečně přes VPN – z home office nebo z dovolené. Funguje to i na mobilu.

📬 Chrání e-maily a web

Zastaví viry, spam i pokusy o podvodné stránky. Nezáleží, jestli používáte Outlook, Thunderbird nebo webový mail.

🔥 Funguje i jako digitální „hasič“

Napadený počítač v síti? Firewall pozná, že se chová podezřele a dá to navědomí správci sítě

🧰 Kolik to stojí?

Systém se přizpůsobuje velikosti vaší firmy – pro 10 počítačů to může být od cca 37 000 Kč, větší firmy dostanou řešení na míru. Možné dokoupit monitoring, rozšířenou záruku, HA (dvojité řešení pro nonstop provoz), atd.

📦 Co je v ceně?

  • 💻 Hardware i nastavený software
  • 🔒 Firewall, antivir, filtrování webu, VPN, dohled
  • 👷 Monitoring od Sympatiky a aktualizace systémem  výrobce
  • 🛠️ Nebo si ho můžete spravovat sami (nižší cena)

🧠 A technicky?

Pro ajťáky:

  • Untangle UTM – Statefull Inspection + Snort IDS + IPS + Transparentní proxy
  • OpenVPN server, RADIUS/LDAP/Windows auth, URL filtering, cache, update accelerator
  • QoS (HTB), VoIP optimalizace, blokace P2P, vlastní pravidla

Popis pro: „security guru po čtvrtém espressu“

V dynamickém podnikatelském prostředí musí být síť výkonnější, bezpečnější, pružnější a přístupnější než kdekoli jinde. Pracovníci potřebují schopnost zůstat v kontaktu s lidmi a službami, které potřebují uvnitř i mimo kancelář. Síť musí být flexibilní pro to, aby splnila neustále se měnící potřeby podniku.

Řešení UTM společnosti Untangle přesně dostává svému sloganu: „Vaše síť, Vaše pravidla“

untangle

UTM, tedy Unified threat management (jednotná správa hrozeb) na rozdíl od SOHO* routerů s možností NAT, je plnohodnotné řešení pro zabezpečení komunikace nejen směrem z internetu do Vaší sítě, ale také směrem z Vaší sítě do internetu.

Poskytuje komplexní ochranu před vniknutím nejen hackerů, ale převážně škodlivého SW stahovaného z internetu, či útoky na Vaše počítače internetovými roboty.

Možná si myslíte, že nemáte žádná důležitá data, která by kohokoli zajímala, nicméně BOT je v podstatě softwarový hacker, tedy je to program. Jeho nezajímá jestli máte něco důležitého, pro něho jsou hlavním cílem zcizení Vaší identity, kterou lze poté prodat a tím zneužít k nějaké nelegální činnosti, přičemž vina padne na Vás.

FW

Dalším cílem, už ne natolik závažným, je získání  uložených dat z Vašeho počítače.

Možná si říkáte, jediné co mám je kreditní karta, ale tu uloženou nemám, údaje z ní opisuji do formulářů při on-line platbách na internetu. Nicméně jakmile je PC napadeno mějakým malware, potom tím že údaje jen opíšete do webové stránky, BOT pozná že jde např. o Visa kartu a její údaje odešle správci BOT.netu.

S těmito údaji lze potom nakupovat na internetu bez zadávání dalších údajů.

Uvědomme si co potřebujete k tomu, aby jste svoji kartou zaplatili zboží na internetu. Ano a to je vše co také dostane a to to samé bude potřebovat pan BOT.net správce (pasivní hacker). Vaše data o kartě dostane od prográmku z Vašeho PC na zlatém podnosu a vůbec se při tom nenadře. Navíc mohou i bez toho být uloženy omylem ve vyrovnávací paměti Vašeho internetového prohlížeče. Stejným způsobem lze zcizit certifikát pro internetové bankovnictví. Ten je sice chráněný heslem, nicméně ve chvíli kdy tento certifikát použijete pro přihlášení do banky, spyware na vašem počítači zjistí Vaši akci a kromě okopírování certifikátu také odchytí jeho přístupové heslo a vše stejným způsobem jako u platební karty odešle panu hackerovi. (spíše bysme měli používat označení Lammer, protože opravdoví Hacker používá sofistikovanější techniky a své cíle si vybírá nebo jsou mu vybrány) Jediný bezpečný způsob manipulace s účtem je OTP (One Time Password) se kterým tuším jako první u nás začala bývalá Expandia Banka. Jde o zaslání jednorázového přihlašovacího hesla na mobilní telefon. Obejít tento systém autentizace sice také lze, nicméně usilí jaké by musel hacker vynaložit by bylo ve většině případů neúměrně vyšší, než co by získal. Navíc toto nelze provádět hromadným útokem. Pro platební karty je možná funkce zamykání karet. Před platbou je potom kartu nutné přes mobilní telefon odemknout. Každopádně i v případě, že místo aplikačního firewallu použijete nejaký routřík za pár tisíc, či dokonce set, korun a vše budete mít ochráněno přes OTP zapomoci mobilního telefonu, pořád Vám může alespoň smazat Váš disk nebo jakkoli jinak poškodit data. Pokud potom nemáte zálohu a jste např. účetní, nejdříve zaplatíte IT technikovi za opětovnou instalaci OS (pravděpodobně windows), jejich oupdatování (pokud je technik pečlivější, tedy odborník) instalaci ovladačů a případné obnovení dat. Když zaplatíte jen tu instalaci, pořád budete kolem tisícovky za jeden počítač + spoustu práce např. s opětovným zadáním a zaúčtováním faktur apod.

S UTM získáte stabilní a otestovaný SERVER s jednoduchou správou určený pro firemní nasazení. Kompletně nastavený podle požadavků případně typu prostředí/sítě. Firewall je monitorován našimi pracovníky, kteří jej  udržují v aktualizovaném stavu (lze automatizovat), aby byla minimalizována možnost napadení Vaší sítě. Dohlíží na správnou funkci HW jako jsou pevné disky, otáčky větráků, teplota CPU apod, aby se předešlo případnému selhání HW a mohl být vyměněn ještě před tím než k němu dojde. Stejně tak, jako lze prodloužit podporu pro údržbu HW i SW tak lze systém zakoupit pouze se zárukou na HW s tím, že údržbu SW bude provádět Váš Informatik/sys­témový administrátor. Tím klesne také pořizovací cena. Jednotlivé moduly lze objednat samostatně a HW přispůsobit potřebám společnosti. Cena se tak může pohybovat od 37000 za základní systém na HW vhodném pro cca 10 klientů (PC) po systém plně osazený všemi moduly na HW pro společnost se stovkami počítačů za individuální cenu. Ta je závislá i na požadavcích, jakými může být nasazení redundantního řešení, nebo přímo více nodová koncepce. Zde v případě selhání funkce přebírá veškeré požadavky další ze systémů, či systémy běží současně– Fault Tolerance/Load Balancing.

Inspekce stavů – stateful inspection

  • Založen na technologii, která identifikuje každý příchozí paket. Rozpoznáním zdroje a obsahu každého paketu umí odhalit a předcházet útokům z internetu.
  • Stejnou funkci umí plnit i opačným směrem. Pokud je uvnitř Vaší sítě napadený počítač, umí jej odhalit a zablokovat jeho komunikaci do internetu. Tím předejde šíření infekce. – Tato funkce je standardně vypnuta. –
  • Systém je dále v základu vybaven sofistikovaným IDS – Intrusion Detection System (Snort), který kontroluje povolenou komunikaci, kde zjišťuje, zda komunikace odpovídá paketově typu komunikace, která je nastavena.

Zabezpečení e-mailu – mail security

  • Kontroluje e-maily na viry, spyware a spam (nevyžádanou poštu).
  • Díky transparentním proxy na firewallu může kontrolovat jakoukoliv mailovou komunikaci, ať jde o mailový server či klienta MS outlook, Thunderbird nebo jakýkoliv jiný.
  • Všechny serverové systémy i mailoví klienti budou pod ochranou firewallu, aniž by jste museli jakkoliv měnit jejich nastavení.

Zabezpečení webu a ftp – web&ftp security

  • Procházení internetem přes webový prohlížeč se tak pro Vaše uživatele stává bezpečné.
  • Možnost lokálního správce uživatelských účtů (nastavení přímo na FW), včetně skupinové správy.
  • Identd (RFC 1413) autentizace.
  • LDAP autentizace včetně Active Directory, eDirectory a OpenLDAP
  • Windows autentizace (doména) včetně nativních windows domén a Samby.
  • RADIUS autentizace, včetně IAS
  • Přístup na web pomocí správy IP a MAC adres
  • omezení šířky pásma (Download throttling)
  • Omezení přístupu na bázi časových rozvrhů
  • Dohled přístupu na web pomocí tříd
  • MIME type filter
  • Možnost zablokování neautorizovaných webových prohlížečů nebo klientského SW.
  • Podpora automatického nastavení klienta (PAC and WPAD)
  • Transparentní proxy server (na koncových stanicích není třeba nic instalovat ani nastavovat), který stojí mezi Vámi a napadeným webem či ftp serverem útok zastaví.
  • Filtr hlídá viry a spyware.
  • Nezáleží jakého klienta používáte. (InternetExplorer, FireFox, Operu, Safari, GoogleChrome či jakýkoli jiný)

Filtrování obsahu – URL filtering

  • HTTP komunikace je filtrována filtrem obsahu.
  • Vaši zaměstnanci či děti tak mohou být ochráněni před stránkami s nahotou, násilím, hráčstvím apod.
  • Filtr hlídá nevhodný obsah, který si máte možnost zvolit podle kategorií.

Vyrovnávací paměť – web cache & updates

  • Možnost zapnutí proxy serveru s podporou vyrovnávací paměti pro pobočky s pomalejším připojením k internetu (s možností cache v paměti pro velmi rychlou odezvu)
  • Zvyšuje bezpečnost kontrolou procházejících dat tím, že stojí mezi Vámi a potenciální hrozbou
  • Možnost volby prohlížečů, kterými uživatelé budou moci web prohlížet
  • Možnost rozšíření vyrovnávací paměti o tzv. Update Accelerator
  • Zvyšuje rychlost downloadu až 1500x při připojení ISDN (64kbit/s připojka)
  • Garantuje doručení z lokální cache i v případě, že webová cache byla vyčištěna
  • Před instalací firewallu na místo pobočky může být námi přednaplněna
  • Funkce UA pro updaty software od společností: Microsoft (Windows update),Apple, Linux, Adobe, Symantec, Avast, Trend Micro a na zakázku možnost dodělat další podle přání (vyjma FireFox update)
  • UA se chová jako souborové uložiště a automatickou aktualizací obsahu a veškeré updaty se dějí transparentně, tedy bez nutnosti na koncových stanicích něco nastavovat.
  • Uložiště se udržuje aktualizované pravidelnou kontrolou podle nastavení a stahování probíhá v nezatížených časech, čímž nebrzdí provoz uživatelů

Virtuální privátní síť – VPN

  • VPN díky OpenVPN technologii není problém. Snadno a rychle nastavíte šifrované, tedy zabezpečené SSL tunely mezi pobočkami firem.
  • Pracovníky na cestách s notebooky.
  • Vzdálená pracoviště s obyčejným PC.
  • Připojíte se tak odkudkoli, kde je internet a to z Windows, Linuxu či Mac OSX.
  • Možnost také MS pptp

Systém prevence vniknutí – Intrusion Prevention System

  • IDS systém lze přepnout do režimu IPS (Intrusion Prevention System), který umí předcházet vniknutí kontrolou povolené komunikace, kde zjišťuje, zda komunikace odpovídá paketově typu komunikace, která je nastavena a pokud zjistí, že neodpovídá, vzdálenou IP adresu zablokuje.

Rovnoměrná šířka pásma a VoIP – QoS, ToS a priorizace paketů

  • HTB algoritmus pro nastavení priorizace paketů
  • Automatické rozpoznávání typu služby
  • Možnost snízěni priority či úplného zakázání P2P sítí nebo čehokoli jiného
  • Detailní nastavení a grafy toku dat jednotlivými třídami
  • Možnost sledovat graficky tok internetu jednotlivých počítaců
  • Možnost graficky prohlížet využití jednotlivých protokolů

 

Společnost Sympatika, s.r.o. zajišťuje pouze HW, implementaci a servis. SW řešení je zajišťováno společností Untangle, jejíž produk je licencován vč. ročního předplatné za poskytované služby (inspekční moduly)

Přímý odkaz na tento článek: https://www.sympatika.cz/technologie/firemni-firewall/