امروز با یکی از دوستان درباره مقوله حفاظت از کاربران اینترنتی و نقش دستگاه های UTM در حال صحبت بودیم. بحث سر مقوله ای بود که دوست دارم راجع آن توضیح مختصری داشته باشیم.
فرض کنید که شما به عنوان مدیر شبکه خود قصد محافظت از کاربران شبکه و درواقع سرمایه ها (asset) های شبکه خود را دارید. در عین حال با بستری مثل اینترنت هم مقابله می کنید که انواع و اقسام خطرات در آن دیده می شود. یکی از موضوعاتی که همیشه من در شبکه ها بر سر آن بحث و جدل داشته ام ، بحث میزان آزادی کاربری است. بسیاری از مدیران ادعای حفاظت از شبکه می کنند و از آن طرف هم مطرح می کنند که قصد محدود سازی در بستر اینترنت ندارند. در این حالت اصلا امنیت اینترنتی دیگر معنا ندارد. حتی کارآمد ترین تجهیزات امنیتی هم  کمک شایانی به شما نمی کند. پس این از مواردی است که قبل از به فکر افتادن در مورد حفظ امنیت شبکه خود حتما کاملا در مورد آن فکر کنید !!!
خوب بگذریم ، فرض کنید که با شبکه ای طرف هستیم که کاملا در این مورد policy هایی مناسب اتخاذ کرده و محدودیت لازم را در شبکه خود اعمال کرده است. به طبع ترافیک های مجاز کاربران اینترنتی شامل HTTP ، HTTPS و FTP می باشد. بیشترین ترافیک اینترنتی که برای کاربران مجاز است بر روی این پروتکل ها قرار دارد. استفاده از ماژول های Anti-X براحتی کاربران سرویس های HTTP و FTP را در برابر حملاتی نظیر Anti-virus ، Anti-spam ، Trojan ، Malware ، Grayware و .. محافظت می کنند. یه طور مثال اگر که UTM شرکت Fortigateاستفاده می کنید تنها کافیست که یک Protection Profileتعریف شود و بر روی ترافیک مربوطه فعال شود.
اما اینجا همان نقطه ای است که در مشکل در آن بوجود آمده است !! چرا به دلیل زیر :
فرض کنید که کاربر شما از یک application استفاده می کند که از HTTP Over SSL یا همان HTTPSاستفاده می کند. به دلیل encrypt شدن دیتا، فایروال ها در حالت پیش فرض امکان inspect کردن ترافیک را ندارد. پس کاربر می تواند که هم سایت هایی را ببیند که بر خلاف قوانین فیلترینگ وب تعریف شده است. به علاوه ای امکان دیدار از سایت هایی وجود دارد که در آنها codeهای مخرب وجود  دارد و یا .....
خوب پس راه حل چیست ؟؟ برای این مقابله با این مشکل که بسیار هم مهم هست دو راه حل وجود دارد.
1.    راه حل اول استفاده از UTM هایی می باشد که از SSL Inspection استفاده می کنند. با توجه به مکانیزم ارتباطی SSL این سخت افزار ها بگونه ای عمل می کنند که امکان Inspection این ترافیک را میسر می کنند. این تجهیزات چونکه بین مبداء و مقصد قرار دارند به صورت proxy عمل کرده و در بین ارتباط قرار می گیرند. در fortiOS  نسخه 4 و دستگاه های جدید آن این قابلیت قرار داده شده است. سری محصولات جدید شرکت Juniper نیز از آن پشتیبانی می کنند. اما تجهیزات سیسکو این قابلیت را ندارند و از آن پشتیبانی نمی کنند. ( در حال حاضر). شتجربه شخص من  می گوید  که  fortigate بهتر است بدلیل اینکه از یک ASIC اختصاصی برای این کار استفاده می کند..
2.    راه کار دوم ارائه اینترت در حالت Web proxyاست. در این حالت به صورت خودآگاه دستگاه UTM در حالت Proxyقرار می گیرد و لذا امکان اسکن کردن و تست تمامی درخواست ها را داراست. نکته مهم اینکه fortigate نیز از نسخه 4 خود از web proxyپشتیبانی می کند ، اما Juniper SSG و SRX هیچ یک از این قابلیت پشتیبانی نمی کنند. تجهیزات سیسکو نیز از طریق Authentication Proxy در IOS و Cut-through proxy در ASA این قابلیت را ارائه می کند.