مقایسه کاربردی UTM‌ ها

**subzer0** · 2011-06-21, 09:32 AM

دوستانی که بیشتر اطلاعات دارند ممکنه راجع به UTM های ایرانی، مزیت ها و ضعف های اونا توضیح بدن؟ چند تا یی معرفی کنید تا مقایسه کنیم.
بعد از اینکه سایبروم خریدن باب شد! و صحبت ها از وجود backdoor روی سایبروم شد و البته بحث فشار تحریم ها و تغییرات اساسی توی تجهیزات (دولتی) ایران مثلا مخابرات که رفت رو هوآوی!! (Huawei) بحث UTM ایرانی کارا و مطمئن خیلی داغ شده
منتظر نظرات و مطالبتون هستم.

موضوعات مشابه:

**richman** · 2011-06-21, 09:50 AM

با سلام
اوون طور که من اطلاع دارم (شنیده هاست) چند شرکت در این زمینه کار میکنن که یکی از انها وابسته به یکی از ارگانهای نظامی هست...اکثرا یه لینوکس رو custom کردند و در یه سخت افزار embeded کردن...نکته اینکه در برخی مراکز دولتی به خاطر حساسیت امکان استفاده از utm های خارجی وجود نداره و شرکتهای فعال در زمینه utm با توجه به مجوزهایی که از سازمان هایی مثل پدافند غیر عامل و..... میگیرن تونستند بازار خوبی به راه بیاندازن...

**subzer0** · 2011-06-21, 03:13 PM

ok اینایی که فرمودید درسته اما من میخوام اطلاعات بیشتری کسب کنم. متاسفانه خیلی مطلب و شاید اسپم وجود داره و جست و جو نمیتونه جواب بده! من میخوام اسم چند تا معروفترین هاشو بدونم تا بیشتر تحقیق و مقایسه کنم. گفتم شاید کسی اینجا تجربه خاصی در این مورد داشته باشه که بتونه کمک کنه
درکل فکر میکنم حتی سیسکو هم هسته لینوکس داره و پکیج های لازمه رو روی اون هسته قرار داده. در واقع کار لینوکسی مشکلی واسه ساخت همچین چیزی که میفرمایید نیست. به نظر من بیشترین انرژی و حساسیت روی سیاست ها و امکاناتی هست که طراحی و سنجیده میشه
منتظر انتقال تجربه دوستان دیگه هم هستیم ..

**silas** · 2011-06-22, 08:37 AM

نوشته اصلی توسط subzer0

دوستانی که بیشتر اطلاعات دارند ممکنه راجع به UTM های ایرانی، مزیت ها و ضعف های اونا توضیح بدن؟ چند تا یی معرفی کنید تا مقایسه کنیم.
بعد از اینکه سایبروم خریدن باب شد! و صحبت ها از وجود backdoor روی سایبروم شد و البته بحث فشار تحریم ها و تغییرات اساسی توی تجهیزات (دولتی) ایران مثلا مخابرات که رفت رو هوآوی!! (Huawei) بحث UTM ایرانی کارا و مطمئن خیلی داغ شده
منتظر نظرات و مطالبتون هستم.

ببینید دوست عزیز، اول اینکه اونایی که می گند دستگاه های خارجی backdoor داره روی چه حسابی این حرف ها رو می زنند؟ دلیل فنی دارند که ارائه بدهند؟ بعضی ها می گند که اطلاعات رو می فرسته. خب ببینید دستور netstat یک دستور استاندارد هست که اصلا ربطی به دستگاه و سیستم عامل هم نداره و خروجی این دستور مستقل از پلت فرم هست. شما با این دستور می تونید متوجه شوید که آیا کانکشن دیگه ای به جای دیگه وجود داره یا نه.

من خیلی می خوام سربسته یه موضوعی رو مطرح کنم: ببینید شرکت های بزرگ در زمینه ساخت تجهیزات امنیتی، اگر هم backdoor داشته باشند، طوری نیست که به راحتی لو بره تا آبروشون به خطر بیفته یعنی اگر هم backdoor باشند اصلا جسارتا در سطح فکر ماها نیست و نمی تونیم تصورش کنیم فرض کنید قابلیت کنترل از طریق ماهواره ها از طریق امواج الکترو مغناطیس رو دارند و یا خیلی چیزهای دیگه که اصلا من که نمی تونم تصور کنم (البته برای این منظور پیشنهاد میشه که اتاق سرور 16 متر زیر زمین باشه و shield دار).
من با برخی از UTM های ایرانی کار کردم ولی نمی تونم اسم ببرم ولی مطمئن باشید که اگر اگر اگر دستگاه های خارجی backdoor دارند، اینها هم دارند البته در سطحی پایین تر و ضعیف تر.

در ضمن این چیز طبیعی است که در تمام دنیا وجود داره و اون هم اینکه قدرت دست کسی هست که تکنولوژی داره و ماها اگر می خواهیم که مثلا گرفتار backdoor اونها نشویم، باید توان ساخت دستگاه هایی با قابلیت های اونا رو داشته باشیم یعنی به جای اینکه UTM های ما 1500 تا signature حمله را ساپورت کنند، 65000 تا signature رو ساپورت کنند تا بتونند با سیسکو رقابت کنند و از سیسکو بی نیاز شوند

**aliafzalan** · 2011-06-22, 11:29 AM

نوشته اصلی توسط silas

در ضمن این چیز طبیعی است که در تمام دنیا وجود داره و اون هم اینکه قدرت دست کسی هست که تکنولوژی داره و ماها اگر می خواهیم که مثلا گرفتار backdoor اونها نشویم، باید توان ساخت دستگاه هایی با قابلیت های اونا رو داشته باشیم یعنی به جای اینکه UTM های ما 1500 تا signature حمله را ساپورت کنند، 65000 تا signature رو ساپورت کنند تا بتونند با سیسکو رقابت کنند و از سیسکو بی نیاز شوند

سلام
میشه بگید این آمار 65000 تا سیسکو را از کجا اوردید ؟؟ منبع ؟

**subzer0** · 2011-06-22, 04:16 PM

در شرایط موجود من حرف شما راجع به اینکه میتونه این backdoor داشتن شایعه باشه رو درست فرض میکنم. اما بحث اولتیماتوم میتونه غیر فنی باشه!! در حال حاضر همچین بحثایی وجود داره.
حداقل میتونیم بگیم حمایت از تولیدات داخلی یا نمیدونم همچین چیزی دیگه!! فعلا که میگیم اطلاعاتتون رو به اشتراک بگذارید هنوز اتفاق خاصی قرار نیست بیفته. یه جاهایی مثل مرحله تحقیق را جع به UTM ایرانی. بهتره اطلاعات مستند و تجارب همدیگرو چک کنیم و نتیجه بگیریم. شاید یکی از دلایل ضعیف بودن محصولاتمون اهمیت ندادن و همین تفکر باشه. اگر اهمیت بدیم هزینه کنیم و پول وارد عرصه بشه خب میتونه بهتر هم بشه.

بحث رو فنی دنبال کنیم چطوره؟

من بیشتر راجع به تامین امنیت یه دپارتمان با انواع سرور ها که در wan و lan و حتی اینترنت سرویس میده سوال دارم.
اصلا معیار های انتخاب یک UTM چی میتونه باشه؟

**richman** · 2011-06-23, 05:42 AM

دوست عزیز این خیلی بستگی به نوع سناریویی که میخاید پیاده کنید داره خیلی هاا UTM به اون خفنی را میگیرن و از یک دهم توانایی اون استفاده نمیکنن و فقط برای امنیت GW اون در حالت تنظیمات پیش فرض استفاده میکنن.....اما مثلا خود من سناریویی داشتم که بجای GW مجبور بودم UTM را در Core نتوورک بزارم که به یک سری چیز ها برسم ...با این شبکه به قطعات ریز تقسیم کرده مثل dmz و Server farm و Branch و lan و.....حال کنترل بین همه اینا و ارتلاط همه اینا باید از utm هدایت و بصورت مرکزی کنترل میشد....یعنی ارتباط شعب هم با سرور های LAN باید از UTM میگذشت...حال این سناریو رو بزار کنار یه سناریوی Internet Access ...تفاوت زیادی داره....
این سناریویی که پیاده شد مزیای زیادی میداد...به این صورت که هر ترافیکی رو که خواستی میتونستی کنترل یا مخدود کنی و حتی اگر جایی به دلیلی خاصی تو ارتباط داخلی بخای IPS فعال کنی هیچ مشکلی نیست. و براحتی امکان پذیره

**silas** · 2011-06-23, 12:01 PM

نوشته اصلی توسط aliafzalan

سلام
میشه بگید این آمار 65000 تا سیسکو را از کجا اوردید ؟؟ منبع ؟

شما در لینک زیر می تونید لیست signature های IPS سیسکو رو با SID مشاهده کنید که از 1 تا 36606 هست. پس فعلا 36000 تا signature اصلی رو قبول کنید. در ضمن حدود 65000 تا هم signature فرعی داره که متاسفانه لینک اینو فعلا پیدا نکردم ولی توی خود سایت سیسکو دیده بودم و نیز اینکه اگر پشت IPS باشید می تونید عدد 65000 رو ببینید منم سعی می کنم که به یک IPS سیسکو دسترسی پیدا کنم و از اون صفحه یک screenshot براتون بذارم.
http://tools.cisco.com/security/cent...y=All&release=

نوشته اصلی توسط subzer0

در شرایط موجود من حرف شما راجع به اینکه میتونه این backdoor داشتن شایعه باشه رو درست فرض میکنم. اما بحث اولتیماتوم میتونه غیر فنی باشه!! در حال حاضر همچین بحثایی وجود داره.
حداقل میتونیم بگیم حمایت از تولیدات داخلی یا نمیدونم همچین چیزی دیگه!! فعلا که میگیم اطلاعاتتون رو به اشتراک بگذارید هنوز اتفاق خاصی قرار نیست بیفته. یه جاهایی مثل مرحله تحقیق را جع به UTM ایرانی. بهتره اطلاعات مستند و تجارب همدیگرو چک کنیم و نتیجه بگیریم. شاید یکی از دلایل ضعیف بودن محصولاتمون اهمیت ندادن و همین تفکر باشه. اگر اهمیت بدیم هزینه کنیم و پول وارد عرصه بشه خب میتونه بهتر هم بشه.

بحث رو فنی دنبال کنیم چطوره؟

من بیشتر راجع به تامین امنیت یه دپارتمان با انواع سرور ها که در wan و lan و حتی اینترنت سرویس میده سوال دارم.
اصلا معیار های انتخاب یک UTM چی میتونه باشه؟

من با دو تا از UTM های ایرانی کار کردم که متعلق به دو شرکت مختلف بودند و هردوشون طبق صحبت های آقای حاجی زاده، از لینوکس customize شده استفاده می کردند که بر روی یک appliance نصب کرده بودن و هر دوشون برای IDS و IPS از Snort استفاده می کردند و تنها تعداد بسیار کمی signature اضافه کرده بودند که اصلا کار سختی نیست. تا جائیکه من می دونم در برابر ترافیک بالا خوب جواب نمی دن چون که نمی تون از سخت افزارشون برای این منظور استفاده کنند و تمام کارها رو نرم افزار انجام می ده ولی در تجهیزاتی مثل سیسکو، خود سخت افزار هم درگیر می شه و بنابراین کارایی بالاتری دارند. حالا اگه اشتباه می کنم دوستان بفرمایند

**aliafzalan** · 2011-06-23, 01:10 PM

نوشته اصلی توسط silas

شما در لینک زیر می تونید لیست signature های IPS سیسکو رو با SID مشاهده کنید که از 1 تا 36606 هست. پس فعلا 36000 تا signature اصلی رو قبول کنید. در ضمن حدود 65000 تا هم signature فرعی داره که متاسفانه لینک اینو فعلا پیدا نکردم ولی توی خود سایت سیسکو دیده بودم و نیز اینکه اگر پشت IPS باشید می تونید عدد 65000 رو ببینید منم سعی می کنم که به یک IPS سیسکو دسترسی پیدا کنم و از اون صفحه یک screenshot براتون بذارم.
Cisco Intrusion Prevention System Signatures

این هم یه عکس از IPS سیسکو. (البته آپدیتش به چند ماه پیش بر میگرده، ولی خب مطمئنا عددش تا الان خیلی تغییر نکرده)
Total Signature = 4739

IPS.JPG

تعداد Signature های Fortigate هم تقریبا نزدیک به همینه. (5100 تا)
Fortinet, Inc. : Multi-threat Security Systems For Real Time Network Protection, Network Virus Protection, VPN, Intrusion Detection & Prevention

**Star-x** · 2011-06-23, 02:08 PM

نوشته اصلی توسط aliafzalan

این هم یه عکس از IPS سیسکو. (البته آپدیتش به چند ماه پیش بر میگرده، ولی خب مطمئنا عددش تا الان خیلی تغییر نکرده)
Total Signature = 4739

IPS.JPG

تعداد Signature های Fortigate هم تقریبا نزدیک به همینه. (5100 تا)
Fortinet, Inc. : Multi-threat Security Systems For Real Time Network Protection, Network Virus Protection, VPN, Intrusion Detection & Prevention

آقا خیلی مفید بود،ممنون.

**esfahanweb** · 2011-06-24, 02:22 PM

نوشته اصلی توسط aliafzalan

این هم یه عکس از IPS سیسکو. (البته آپدیتش به چند ماه پیش بر میگرده، ولی خب مطمئنا عددش تا الان خیلی تغییر نکرده)
Total Signature = 4739

IPS.JPG

تعداد Signature های Fortigate هم تقریبا نزدیک به همینه. (5100 تا)
Fortinet, Inc. : Multi-threat Security Systems For Real Time Network Protection, Network Virus Protection, VPN, Intrusion Detection & Prevention

آقا واقعاً مفید و جامع بود ، فقط می خواستم نظر شما را درمورد Netasq هم بدونم.

**silas** · 2011-06-25, 09:59 PM

نوشته اصلی توسط aliafzalan

این هم یه عکس از IPS سیسکو. (البته آپدیتش به چند ماه پیش بر میگرده، ولی خب مطمئنا عددش تا الان خیلی تغییر نکرده)
Total Signature = 4739

تعداد Signature های Fortigate هم تقریبا نزدیک به همینه. (5100 تا)
Fortinet, Inc. : Multi-threat Security Systems For Real Time Network Protection, Network Virus Protection, VPN, Intrusion Detection & Prevention

البته بحث راجع به این موضوع به این موضوع خیلی مربوط نمیشه ولی من دلیل خودمو توضیح بدم:
همانطوریکه شما خودتون بهتر از من می دونید توی بحث IPS، ما هم signature ID داریم و هم Subsignature ID. یعنی ممکن است که ما 1000 نوه attack اصلی داشته باشیم که به هر کدام هم یک signature ID اختصاص داده میشه و هر کدام از این نوع attack ها انواع مختلفی دیگر داشته باشه و دوباره هر کدام از این زیر مجموعه ها، زیرمجموعه های دیگر. یعنی مثلا برای حمله DOS عدد 2000 اختصاص بدند یعنی signature ID=2000 و بعدش در انواع مختلف حمله DOS، حمله از نوع smarf وجود دارد که این رو با زیربخش 1 مشخص کنیم یعنی subsignature ID=2000/1 و دوباره در نوع smarf چند زیرنوع دیگر داریم که مثلا یکیشون udp هست پس بصورت 2000/1/1 شماره گذاری می شه. (این یک تصویر از IPS سیسکو هست که subsignature ها رو نشون می ده)

http://www.newnets.net/others/ips.JPG

مطلبی که من در مورد تعداد signature های سیسکو گفتم از زبان استاد CCSP بنده بود که با brand های مختلف کار کرده اند و وقتی دلایل شما رو برایشان توضیح دادم گفتند که تعداد subsignature های سیسکو بیشتر از juniper و fortigate هست یعنی ممکن است تعداد signature های یک brand دیگه بیشتر از سیسکو باشه ولی اگر تعداد زیرمجموعه ها رو نیز درنظر بگیریم، سیسکو بیشتر است.
من با یکی دو تا از UTM های ایرانی و نیز snort خوب کار کرده ام ولی با برندهای مشهوری چون سیسکو آشنایی چندانی ندارم.
به هر حال خیلی ممنون که دلایل خودتون رو با منبع ذکر کردید

**aliafzalan** · 2011-06-26, 07:45 AM

نوشته اصلی توسط silas

البته بحث راجع به این موضوع به این موضوع خیلی مربوط نمیشه ولی من دلیل خودمو توضیح بدم:
همانطوریکه شما خودتون بهتر از من می دونید توی بحث IPS، ما هم signature ID داریم و هم Subsignature ID. یعنی ممکن است که ما 1000 نوه attack اصلی داشته باشیم که به هر کدام هم یک signature ID اختصاص داده میشه و هر کدام از این نوع attack ها انواع مختلفی دیگر داشته باشه و دوباره هر کدام از این زیر مجموعه ها، زیرمجموعه های دیگر. یعنی مثلا برای حمله DOS عدد 2000 اختصاص بدند یعنی signature ID=2000 و بعدش در انواع مختلف حمله DOS، حمله از نوع smarf وجود دارد که این رو با زیربخش 1 مشخص کنیم یعنی subsignature ID=2000/1 و دوباره در نوع smarf چند زیرنوع دیگر داریم که مثلا یکیشون udp هست پس بصورت 2000/1/1 شماره گذاری می شه. (این یک تصویر از IPS سیسکو هست که subsignature ها رو نشون می ده)

http://www.newnets.net/others/ips.JPG

بله، کاملا درسته.
ولی اون تعداد 4739 که توی شکل بالا نشون داده شده، تعداد Signature ها + Subsignature هااست.

**al1p0ur** · 2011-06-27, 04:13 PM

به نظر من بهتره به جای اینکه از UTM هایی که نداریم بد بگیم (یا کم بگیم) بیاییم از امکانات و توانایی های UTM هایی که داریم صحبت کنیم .
مثلا این UTM اصلا چه کاری در شبکه انجام میده که از نظر شما خوبه ؟ یکی فقط باهاش اکانتینگ میکنه و میگه خوبه یا یکی اونو گذاشته لبه شبکش و از امنیتش استفاده میکنه و میگه خوبه ، در حالیکه امنیت اولی و اکانتینگ دومی اصلا به درد نمیخوره .
باید معیارهای خوب بودن و بد بودن مشخص باشه و هر کسی تجاربش رو بیاره وسط ، نه شنیده هاش رو !!!
تو هر شرکتی برید 50 تا فایل مقایسه میذارن جلوتون که محصول خودشون همه ی تیک ها رو داره و کاملا ok هست و محصول رقیبشون کلا مرخصه !

**subzer0** · 2011-06-28, 12:16 PM

دوستان بحث backdoor داشتن با اپن سورس بودن حل میشه دیگه؟!
یعنی اگر open source باشه دیگه backdoor نمیتونه داشته باشه درسته؟

نظرتون راجع به همچین چیزایی چیه؟
میتونید این لینک رو ببینید یه مقایسه شسته و رفته ، یک اپن سورسش رو با چند تا از UTMهای مطرح انجام داده
مقایسه
و اگر کسی با همچین مارکهایی که open source هستندکار کرده راجع به پشتیبانیش چی میشه گفت؟

موضوع: مقایسه کاربردی UTM‌ ها

پیوند

ابزارهای موضوع

نمایش

مقایسه کاربردی UTM‌ ها

کلمات کلیدی در جستجوها:

utm ایرانی

مقایسه انواع utm

کاربرد utm

برچسب برای این موضوع

مجوز های ارسال و ویرایش