UTM Server ed Appliance

Revisione 0.02.

I Sistemi Unified threat management (UTM), unificando molti servizi, ed in particolare i servizi che presiedono alla sicurezza, quali i firewall, hanno raggiunto una buona diffusione.

La principale distinzione in ambito UTM è riconducibile ad

  • UTM Appliance
  • UTM Server.

Le UTM Appliance sono legate ad un dispositivo compatto che contiene tutte le parti hardware e software necessarie, perfettamente installate ed integrate al momento dell’acquisto. In genere è una ARM Box o, nei modelli più costosi,  i386 Celeron Box di derivazione Mobile.

Le UTM Appliance hanno processori che contengono in genere al più due core con una frequenza di lavoro tra uno e due GHz. I Sistemi Server sono invece costituiti da componenti di qualità superiore, appartenenti alla fascia denominata Server, con una o più CPU amd64 da 6 od 8 core, con frequenza in genere superiore ai 3 GHz.

Le UTM Appliance hanno la memoria centrale in genere da uno a due GB. La memoria di massa è del tipo SD, di nota fragilità, e raramente SSD, e di rado raggiunge i 16 GB. I Sistemi Server possono avere 16 GB o 32 GB  od insiemi ben superiori di memoria centrale, in genere con parità, e dischi fissi Server, tipicamente nella configurazione RAID, con capacità a partire da 1000 GB per raggiungere facilmente i 4 TB o 6 TB . La presenza di dischi fissi di fascia alta permette di erogare servizi con uso intensivo delle memorie di massa, quale conservare log dettagliati per il monitoraggio, anche in tempi differiti, o realizzare intensi web cache.

Le UTM Appliance hanno schede di rete in genere costruite sul BUS USB, i Sistemi Server hanno NIC quali Intel Quad Server con caratteristiche nettamente superiori.

Il Sistema Operativo delle Appliance è in genere di derivazione Linux o UNIX, per esempio BSD, con forti restrizioni. Le UTM Server hanno veri e propri Sistemi Operativi Server quali UNIX Linux Ubuntu Server LTS 64.

Il costo delle UTM Appliance, con installazione, può superare i 1000€ per raggiungere facilmente e superare 5000 €.

Le UTM Server in genere sono costituire da una parte hardware ovvero un Computer della fascia Server con scheda di rete adeguata, dal costo variabile tra 1000 a 4000€,  ed una distribuzione dedicata, in genere UNIX Linux Server con un’enorme parco servizi pronto.

Le UTM Server sono costruite su distribuzioni Linux di grande diffusione, quali Ubuntu Server, in modo da rispettare la struttura della distribuzione originaria. Questo permette di avere a disposizione vasti archivi di applicazioni installabili ed anche di realizzare personalizzazioni, per esempio aggiungere nell’UTM stessa Network Sniffer,  quali l’ottimo Wireshark, o quanto necessario in programmi Python per il monitoraggio, oppure compilare codice C++/Qt per il parsing in tempo reale dell’output del server Rsyslog od iptables con riporto, per esempio, in un RDBMS. In questo modo modo è possibile interagire con ogni drop o redirect del NAT della UTM. Infine, solo come esempio, si possono installare, o direttamente usare se preinstallati, Sistemi Groupware o RDBMS o Web Server.

Inoltre la UTM Server tipica, essendo una particolare distribuzione Linux, può essere virtualizzata in un ambiente di gestione Macchine Virtuali, quale Oracle VirtualBox OSE.

Quest’ultimo scenario realizza un assetto formidabile.

Infatti il dispositivo di rete, per esempio Intel Quad Server, viene rimappato a piacere nei dispositivi di rete virtuali, realizzando delle topologie di rete fortemente flessibili e strutturate su quattro reti locali, come si dice in gergo, separate rame.

Si possono allestire due host fisici che virtualizzano più UTM Server. Copiando le esportazioni delle ultime versioni delle UTM installate nel secondo sistema si dispone di una soluzione failover formidabile: nel caso di necessità basta avviare, anche da remoto, con amministrazione SSH e virtualizzazione headless, la v.m. UTM seconda che avvierà tutti i servizi in modo conforme. Il tutto può diventare un servizio automatico con un sistema, per esempio mediante programmi Python, di monitoraggio che può completamente gestire lo start/stop delle macchine virtuali nel contesto headless.

Si aggiunga che, se la topologia di rete è evoluta, per esempio separando a livello rame la rete dati principale dalle WAN, DMZ e l’ospiti/WiFi, è possibile dedicare ad ogni rete, relativi servizi ed IP Statici Pubblici utilizzati, una V.M. UTM Server, quindi quattro sistemi virtuali server in esecuzione contemporanea nello stesso host fisico. I servizi dal DHCP alla gestione degli IP statici, firewall, DNAT, VNC, VPN, NTP, NTPD  ed altri vengono così separati, semplificando l’amministrazione.