محصول فایروال یوتیام نسل بعدی (Next Generation Firewall-UTM) با نام IPImen یک محصول تخصصی در زمینه امن سازی شبکه است که به دست توانای متخصصان داخلی تولید گردیده است و قابلیت های مختلف تعبیه شده در ان متناسب با نیازهای سازمان های ایرانی است که ماحصل کسب نظرات، پیشنهادات، انتقادات و راهکارهای ارائه شده توسط مدیران شبکه در سراسر کشور می باشد. در واقع این محصول از نظر قابلیت، گام های بلندتر و موفق تری را نسبت به بسیاری از تولید کنندگان برداشته است و امروزه در نقش یک محصول Next Generation عرض اندام می نماید.
محصول IPImen NGFirewall-UTM میتواند قابلیت دفاع لحظهای،Responsive و هوشمند را در مقابل بدافزارها و تهدیدات پیش رو فراهم نماید. قابلیت های تعبیه شده در این محصول اساس زیرساخت امنیتی شبکه سازمانی را تشکیل میدهند.
ویژگی انعطافپذیری در فایروالها این امکان را فراهم مینماید تا روند پیادهسازی متناسب با نیازهای خاص امنیتی در قسمت خاصی از سازمان بدون خطا در عملکرد صورت گیرد. تمامی تجهیزات فایروال در IPImen NGFirewall-UTM از طریق کنسول مدیریتی واحد به یکدیگر مرتبط میشوند. این ارتباط متقابل به ارائه اثربخشترین نوع محافظت پرداخته و علاوه بر تسهیل پیادهسازی، موجب کاهش نقاط تماس متعدد و Policyها در سراسر سازمان میگردد.علاوه بر این، راهکار فوق به منظور فراهم آوردن بهترین نوع محافظت دربرابر حملات هدفمند و پیشرفتهترین تهدیدات امنیتی به ارائهی مواردی همچون امنیت شبکه به صورت End-to-End از طریق یک پلتفرم، یک سیستمعامل امنیت شبکه و مدیریت یکپارچه Policy با یک کنسول واحد میپردازد.
مدیران IT با تهیه و نصب این محصول در شبکه خود، براحتی و بدون نگرانی در مورد سربار و تحمیل هزینههای سنگین، میتوانند از عملکرد و اجرای فیلترشکنها، Malwareها(Trojan، Spywareو…)، دانلودرها، پیام رسان های اجتماعی و سایر نرم افزارها بر روی کامپیوتر کاربران جلوگیری نموده و یا درصورت استفاده، پهنای باندی خاص را برای آنها تعیین نمایند، سپس کاربران را رصد نموده و گزارش سایتهای بازدید شده توسط این نرم افزارها را مشاهده نمایند. این محصول بهصورت کاملاً تخصصی بر بستر سیستمعامل سفارشیسازی شده توسط این شرکت بانام ImenOS ارائه میگردد.
محدودیتی در نوع فعالیت سازمانها یا شرکتها و یا سایز آنها وجود ندارد و بهطور کل هر سازمانی که قصد داشته باشد دسترسی کاربران خود به نرم افرازهای فیلترشکن را فیلتر نماید، میتواند از این محصول استفاده کند. در ذیل به مهمترین استفاده کنندگان این محصول اشارهشده است:
و…
محصول IPImen Radius Billing یک نرم افزار حرفه ای در زمینه مدیریت کاربران شبکه در استفاده از منابع شبکه و اینترنت است که ماحصل بررسی محصولات محتلف بومی و غیربومی ارائه شده در زمینه اکانتینگ است که با بررسی دقیق و موشکافانه مشکلات رایج و قابلیت های محبوب در این محصولات، سعی داشته است که یک بسته نرم افزاری جامع و کامل را ارائه نماید تا مدیران سیستم بدون هیچگونه نگرانی از عملکرد یکپارچه آن ، اقدام به خرید و جایگزینی این محصول با سایر محصولات دارای مشکل بنمایند.
این محصول با توجه به طراحی کاملا بومی، همچنان مستعد پیاده سازی قابلیت های جدیدتر و جذاب تری است که ممکن است توسط کارشناسان این حوزه پیشنهاد گردد.
مفهوم اکانتینگ به محصولاتی اطلاق میگردد که بصورت سخت افزاری یا نرم افزاری ارائه شده و بصورت جامع و یکپارچه اقدام به مدیریت میزان مصرف کاربران و همچنین سهمیه بندی اینترنت یا منابع پهنای باندی سازمان میپردازد.
محصول IPImen Internet Billing ، یک AAA Server کامل و قدرتمند است که وظیفه کنترل، احراز هویت و مدیریت مصرف اینترنت در سامانه های لن اکانتینگ (Lan Accounting) را برعهده دارد. این محصول با پشتیبانی کامل از پروتکل RADIUS و ارائه پروسه کامل AAA (احراز هویت (Authentication)، مدیریت دسترسی ها و محدودیت ها (Authorization)و مدیریت مصرف منابع (Accounting) ) در قالب قابلیتهایی همچون اکانتینگ و احراز هویت و … ارائه شده است.
با توجه به ایرانی بودن این محصول ، تلاش ما بر این بوده که تمامی جزییات مرتبط با اکانتینگ را در این محصول تعبیه نماییم تا نیازهای اساسی مدیران سازمانهای ایرانی را (با توجه به گران بودن پهنای باند اینترنت، بهرهوری پایین کارمندان، استفاده غیراصولی از اینترنت و …) با یک مدیریت شناور به همراه همگامسازی کامل با Active Directory، امکان مدیریت جامع کاربران، گروهها و Reseller ها را فراهم کرده باشیم. در قابلیت احراز هویت این محصول نیز تمامی الزامات در راستای کنترل کاربران در Device های مختلف ازجمله PC، Laptop، Mobile، Tablet و … را با رویکرد بینیازی از نصب Agent در دستگاه کاربران در نظر گرفته است تا برخلاف محصولاتی که شمارا ملزم به نصب Agent، Token یا پیادهسازی پراکسی مینمایند، بتواند با حداقل پیچیدگی و در تمامی حالات NAT، Route و Transparent ، کاربران را با متدهای مختلف حتی بهصورت SSL، احراز هویت نماید.
در این محصول به قابلیتهای مرتبط با مدیریت ترافیک و مدیریت پهنای باند تأکید زیادی شده است و بهصورت multi Identity میتوان انواع محدودیتها را به کاملترین روش ممکن اعمال نمود. همچنین مدیریت ارتباطات Wi-Fi و ارائه خدمات بیسیم در بعضی از مدلهای سختافزاری این محصول نیز، موجب بینیازی مدیران شبکه از نصب دستگاههای Access point خواهد شد و مدیریت یکپارچه را به شما ارائه خواهد داد.
یکی از مهمترین قابلیتهای این محصول، امکان ارائه گزارشهایی بسیار دقیق از وضعیت موجود شبکه و سیستم است که مدیران شبکه را از استفاده سایر محصولات آنالیز و مانیتورینگ بینیاز مینماید.
این سیستم میتواند همزمان در تمامی مدلهای L3 Route ، L3 NAT ، L2 Bridge و Proxy قرارگرفته و خدمات خود را ارائه دهد و استفاده از یکی از حالات ذکرشده موجب نمیگردد تا کل سیستم در همان مدل قرار گیرد. بهطور مثال تعریف PBR یا همان Force Route در یک رول یا بردن Interface ها در مدل Bridge ، این اجبار را برای شما به وجود نمیآورد که کل سیستم را در این مدل تنظیم نمایید.
محصول IPImen Bigdata Analyzer یک آنالیزگر تخصصی جهت بررسی و مدیریت لاگ ها و اطلاعات حجیم در حوزه Big Data است. این محصول به عنوان یک نرم افزار کاربردی، قابل نصب بر روی سرورهای سازمانی بوده و گزارشات کاملی را ارئه مینماید.
مدیریت شبکه های محلی
مدیران شبکه همواره بیشترین هزینه ها را برای ارتباطات بیرونی WAN و درگاه های ورودی صرف میکنند تا همواره دسترسی های غیرمجاز به داخل شبکه را محدود نموده و امنیت بالایی را فراهم نمایند. بدیهی است که نفوذگران و هکرها نیز از این موضوع ناآگاه نبوده و میدانند که نفوذ به درگاه های ورودی معمولا سخت و پیچیده بوده و همیشه سعی میکنند که با تلاش های بیهوده وقت خود را تلف نکنند و چند قدم از مدیران شبکه جلوتر باشند؛ آنها بخوبی میدانند که یکی از بخش های مهم شبکه های سازمانی که معمولا ادمین ها از امنیت ان غافل میشوند، بخش LAN است. در صورت که نفوذگران دو کلید طلایی را در این بخش از شبکه در دست دارند. اول اینکه در داخل این بخش از شبکه معمولا راهکارهای امنیتی خاصی غیر از آنتی ویروس استفاده نمیشود و دیگر اینکه کاربران ناآگاه در این بخش از شبکه مستقر هستند و خود میتوانند درگاه بزرگی برای نفوذ و دسترسی به سایر بخش ها باشند، بدون اینکه نیاز باشد نفوذگر با سختی های فراوان از فایروال عبور کند.
محصول LAN Manager با نام مختصر LANMan در راستای امن سازی این بخش مهم از شبکه یعنی LAN طراحی و پیاده سازی شده است و هدف آن مدیریت ارتباطات در شبکه های LAN است. این محصول با کنترل ترافیک های ردوبدل شده بین کاربران در سطح شبکه های LAN یا بزرگتر و اعمال پالیسی های امنیتی جهت باز و بسته کردن پورت ها، اقدام به کنترل، امن سازی و رمزنگاری این ارتباطات مینماید تا با کمترین سربار و کمترین هزینه بتوان از نشت اطلاعات، شنود اطلاعات، امکان نفوذ به شبکه، عملکرد بدافزارها و … براحتی جلوگیری نمود.
نگرانی بابت دسترسی پیمانکاران به سایر بخش های شبکه
در اکثر سازمان ها دسترسی هایی برای پیمانکاران خارج از سازمان وجود دارد که توسط RDP و یا هر مدل ارتباطی دیگر، به سرورهای خود در سازمان دسترسی داشته باشند. بدیهی است که پیمانکاران با اتصال به سرور خود امکان دسترسی به سایر سرورها را داشته و در حالت های بدون VLAN امکان دسترسی به سایر Zone ها و کلاینت های مستقر در سازمان را نیز خواهند داشت. توسط این محصول میتوان براحتی پالیسی های مناسب را تعریف نمود که امکان هرگونه دسترسی به سایر سرورها و سیستم های شبکه از پیمانکار سلب شود و تنها مجاز به ارتباط با سرورهای تعیین شده باشد.
نگرانی بابت دسترسی میهمانان و افراد ناخوانده به شبکه سازمان
در بسیاری از سازمان ها، همواره مشتریان، پیمانکاران، مدعووین و … در حال تردد هستند و بعضاً به همراه خود سیستم های مانند گوشی تلفن همراه، لپتاپ و … را به سازمان وارد میکنند. هر یک از این دستگاه ها میتواند در غفلت یا ناآگاهی مدیرشبکه، به شبکه سازمان متصل شود (چه توسط کابل و چه توسط آنتن های وایرلس) و در راحت ترین حالت، تنها با اجرای نرم افزارهایی مانند Wireshark، اطلاعات رد و بدل شده در سطح شبکه از جمله نامه ها، فایل ها، نام کاربری و رمزعبور و … را شنود نماید و یا براحتی با راه اندازی سناریو ARP Poisoning یا DHCP Poisoning و … اقدام به اختلال و در نتیجه کشف اطلاعات نماید(البته در بسیاری از شبکه های بزرگ قابلیت های DHCP Snooping و Port Security فعال میگردد اما باز هم در مواردی دسترسی های غیرمجاز وجود خواهد داشت).
برای رفع این مشکل در شبکه LAN، محصول LANMan امکان رمزنگاری اطلاعات را فراهم مینماید. تا مدیر شبکه بدون نیاز به نصب محصولات جانبی، یا بدون استفاده از سناریوهای تانل و VPN (که در واقعیت عملی نبوده و سربار زیادی را تحمیل مینمایند)، براحتی و بدون نگرانی از سربار بالا و پیچیده شدن شبکه، اقدام به رمزنگاری اطلاعات کاربران بنماید. این رمزنگاری میتواند با الگوریتم های استاندارد و مطرح دنیا و یا حتی الگوریتم های شخصی و بومی انجام شود و در نهایت حتی در صورتی که نفوذگر به اطلاعات شبکه دست پیدا کند این اطلاعات بصورت رمزشده (مثلا با الگوریتم AES256) نمایش داده میشوند که عملا دسترسی به اصل آنها غیرممکن است.
در صورتی که شما در سازمان خود قبلا از سایر محصولات بومی یا بعضی از محصولات خارجی(از جمله سایبروم، آستارو، سوفوس) استفاده میکردید و دیگر به ان نیازی ندارید، میتوانید بدون پرداخت هزینه های جانبی بابت سخت افزار، بر روی همین سخت افزارها، محصول IPImen LANMan را دریافت نمایید.
همچنین شما میتوانید بدون نیاز به سخت افزار، این محصول را بصورت ماشین مجازی قابل نصب بر روی انواع Hypervisor ها دریافت نمایید.
این محصول در واقع نوعی متفاوت از ارائه محصول IPImen NGFW-UTM است که با راهکاری جدید و با فرمی متفاوت به مشتریان ارائه میگردد.
این محصول بر پایه مدل سرویس اجاره ای (Firewall as a Service) اختصاص به مشتریان ارایه میگردد. این راهکار در واقع یک فایروال نسل بعدی است که بستری امن و تخصصی جهت ارائه این محصول بصورت مجازی و آنلاین فراهم شده است تا مشتریان بتوانند براحتی و بدون نیاز به صرف هزینه های کلان بابت لایسنس محصولات و سخت افزار آنها، این محصول را بصورت ماهانه خریداری نموده و هزینه آن را بصورت ماهانه پرداخت نمایند تا علاوه بر برخورداری از امکانات امنیتی که بعدا به انها اشاره خواهد شد بدون نگرانی از مناسب نبودن محصول در آینده و یا بدون نگرانی بایت صرف هزینه جهت سخت افزار و بدون نگرانی بابت نحوه ارتقاء توان خروجی محصول، اقدام به استفاده از محصول بنماید.
در نهایت میبینم که با IPImen علاوه بر این که مشتری نیازی به سرمایه گذاری هنگفت نخواهد داشت، حتی برای جمع آوری آن هم هیچ ضرر و زیانی متحمل نمی شود و هر زمان که بخواهد می تواند اشتراک خود را ملغی کند. کاری که تصور آن هم برای شرکتهای کوچک و بزرگ که سخت افزارها و نرم افزاری متعدد با انبوهی از متخصصان گرانقیمت دور خود جمع کرده اند محال است.
فایروال های نسل بعدی یا Next Generation Firewalls گونه جدیدی از فایروال ها و تجهیزات امنیتی هستند که برخلاف فایروال های معمولی که تنها به پورت ها و آدرس های مبدا و مقصد توجه میکنند، میتوانند سطوح بالاتری از شناسه های فرستنده پکت را بررسی نموده وامنیت بالاتری را فراهم نمایند، این نسل از فایروال ها حتی سطوح امنیت را تا حد نرم افزارهای کاربری نصب شده بر روی سیستم کلاینت ها ارتقاء داده اند و تخصص اصلی انها اعمال محدودیت و بررسی App های است، کاری که از توان فایروال معمولی خارج است.