Большинство защищенных интернет-шлюзов в России импортируется из-за рубежа. В основном это решения американских компаний Cisco, Intel Security, Websense, Palo Alto Networks и других. В условиях политической нестабильности это создаёт определённые проблемы, в частности, для государственных компаний и тех, кто попал под влияние санкций и не может использовать западное оборудование. Поэтому многие специалисты по информационной безопасности задумываются о переходе, хотя бы частично, на российские аналоги.
3. Плюсы и минусы российского защищённого интернет-шлюза
Введение
Нельзя быть подключенным к Интернету и оставаться свободным от Интернета. Сегодня все основные задачи по защите от агрессивной деятельности в глобальной сети выполняет сетевой шлюз – без него уже не может обойтись ни одна компания. Однако и простой защиты в виде маршрутизатора с функциями межсетевого экранирования в большинстве случаев также недостаточно. В современных условиях возникает потребность в шлюзах нового поколения, которые не просто блокируют потенциально опасные запросы по определённым правилам, но и способны в безопасном, на первый взгляд, трафике обнаруживать признаки вредоносной деятельности. Фактически это означает, что на сегодняшний день средство защиты корпоративной сети также должно иметь функции обнаружения вторжений, то есть, как минимум модуль IDS, но, при этом, ещё и другие инструменты защиты: шлюзовой антивирус, спам-фильтр и прочие компоненты. При этом желательно, чтобы все защитные функции централизованно управлялись из единой консоли.
К сожалению, большинство подобных шлюзов сейчас импортируется из-за рубежа. В основном это решения американских компаний – в том числе, Cisco, Intel Security, Websense, Palo Alto Networks и др. Это создаёт определённые проблемы, в частности, для государственных компаний и тех, кто по тем или иным причинам не может использовать западное оборудование. Осознавая необходимость поиска альтернативы, многие специалисты по информационной безопасности сейчас задумываются о переходе, хотя бы частично, на российские аналоги. Риск в самый ответственный момент лишиться защиты только из-за неблагоприятной политической ситуации по понятным причинам не добавляет желания покупать продукцию перечисленных производителей.
У иностранных решений есть и другие проблемы:
- Решения иностранных компаний обходятся ощутимо дороже отечественных – например, из-за переплаты за бренд, ввозных пошлин, наценки импортёра и большей TCO (совокупной стоимости владения) зарубежного продукта.
- В данный момент нет никакой гарантии, что санкции не окажутся со временем расширены, в результате чего пользователь, внедривший иностранное решение, не столкнется с проблемами при масштабировании инфраструктуры или при покупке необходимых комплектующих для имеющегося решения. Санкции также могут вызвать, в том числе, и проблемы с технической поддержкой иностранных решений.
- В Госдуме уже рассматривается законопроект о запрете использования западного программного обеспечения при наличии отечественных аналогов, которые на рынке шлюзовых средств защиты вполне есть. Риск принятия аналогичного закона в отношении западного оборудования пока невелик, но отнюдь не нулевой.
- Техническая поддержка иностранных продуктов очень сложная и долгая — чтобы добавить в неё функции, необходимые российским заказчикам (например, российские алгоритмы шифрования), требуются годы. Российские же аналоги изначально создаются, исходя из локальных реалий рынка, а сами производители реагируют на запросы российских клиентов более оперативно.
- К тому же, российское законодательство устроено так, что решения для государственных компаний должны получать сертификаты ФСТЭК и ФСБ. Хотя примеры сертификации иностранных решений есть, но они, как правило, относятся к достаточно старым версиям. Российские же производители имеют возможность сертифицировать свою продукцию более оперативно.
В свете вышеизложенного многие работающие в России организации начинают более пристально рассматривать отечественных производителей защищённых шлюзов.
Российский интернет-шлюз
Сегодня мы обратили внимание на российскую компанию «А-Реал Консалтинг», которая предлагает российским пользователям своё решение ИКС (Интернет Контроль-Сервер). ИКС – это настоящий многофункциональный корпоративный шлюз, который совмещает в себе самые разнообразные функции защиты: блокировку лишнего и опасного трафика, создание шифрованных туннелей до филиалов, систему обнаружения вторжений, антивирус, спам-фильтр и многое другое. При этом он обладает следующими дополнительными возможностями:
- ИКС обеспечивает защиту корпоративной сети от вредоносных программ и спама, позволяет осуществлять учет трафика, управлять доступом, организовывать защищённые телефонные соединения через IP-УАТС Asterisk, развертывать почтовые, файловые, веб- и даже jabber- серверы.
- С его помощью появляется возможность управлять общим доступом в Интернет, создавать белые/черные списки сайтов, контролировать доступ к социальным сетям и другим ресурсам с нежелательным контентом, ограничивать время использования Интернета. Специальный режим фильтрации позволяет блокировать доступ к любым ресурсам, кроме входящих в доверенный белый список.
- В основе решения лежит открытая система FreeBSD 9.2, управлять которой можно из удобного единого интерфейса.
ИКС поддерживает достаточное количество каналов связи с внешним миром. Это может быть и проводное, и беспроводное (Wi-Fi) соединение, или даже 3G модем. При этом ИКС может как подключаться к VPN-серверам, так и сам играть роль VPN-сервера.
В ИКС, как и в любых других межсетевых экранах, имеется всё необходимое для маршрутизации трафика между корпоративной сетью и Интернет: DHCP, перенаправление портов, таблица маршрутизации, правила фильтрации, сетевые утилиты.
Среди утилит – уже ставшие стандартом де-факто ping и traceroute, опрос DNS, справочный сервис WhoIs, анализатор трафика, измеритель скорости канала и даже сканер защищённости сети. Коммуникационные возможности включают в себя встроенный сервер почты с удобным веб-интерфейсом, приложение для унифицированных коммуникаций на основе Jabber, а также сервер IP-УАТС Asterisk. Для организации корпоративного портала будет полезен встроенный веб-сервер на основе PHP и базы данных MySQL.
ИКС предлагает администраторам гибкую систему отчетности по использованию сети. Тут можно посмотреть, кто из пользователей посещал какие сайты, и сколько времени на них было проведено. Всего же в продукте предусмотрено 15 предустановленных отчетов, но клиенты вполне могут расширить этот список с помощью мощного конструктора документации.
Важнейшей функцией защищённого интернет-шлюза является защита от вредоносных программ и спама. Для этого ИКС использует антивирусный и антиспам-модули от «Лаборатории Касперского», обеспечивая высокий уровень обнаружения и нейтрализации вирусов, троянов, программ-невидимок и прочего вредоносных программ, а также нежелательной почты.
Одной из основных задач шлюзов нового поколения является возможность обнаруживать различные виды сетевых атак извне, на лету анализируя трафик с помощью набора автоматически подгружаемых правил. В случае, если обнаруживается деструктивная деятельность, шлюз прерывает передачу данных и делает соответствующую пометку в журнале.
В целом же можно сказать, что ИКС вполне может быть использован для защиты государственных систем, а также практически везде, где обрабатываются персональные данные. Отдельно стоит сказать про внедрение данного шлюза в школах. Дело в том, что проектировался ИКС в строгом соответствии с федеральным законом 436-ФЗ "О защите детей от информации…" – а это является необходимым условием для обеспечения защиты учебных заведений. При этом, по заверениям Игоря Сухарева, директора компании "А-Реал Консалтинг", использование ИКС не требует высокой квалификации, что важно и для школ и для государственных заведений. "Наличие высококвалифицированного специалиста не является обязательным, – утверждает Игорь Сухарев. – Наше ПО активно используют школы, имея в штате только учителя информатики".
Плюсы и минусы российского защищённого интернет-шлюза
Оценить возможности ИКС можно с помощью установки бесплатной демо-версии, которую можно скачать с сайта компании-производителя. При этом на период тестирования и первого года использования программы все клиенты могут рассчитывать на бесплатную техническую поддержку, вплоть до удаленной настройки ИКС. Доступна также аппаратная версия ИКС: высоконадежные серверы для неё специально разработаны группой компаний Depo Computers и ГК «Аквариус» специально под требования эффективной работы программного обеспечения «Интернет Контроль Сервер». Эти решения являются полностью отлаженными, многократно проверенными и готовыми к работе «из коробки». Таким образом, решение можно достаточно быстро развернуть для защиты самых разнообразных сетей государственных ведомств, коммерческих компаний, учебных заведений и других клиентов, которым нужно защищённое подключение к Интернет.
Поддержка большого числа защитных функций и множества дополнительных сервисов позволяет клиентам работать с большим разнообразием сервисов, а не только стандартными протоколами электронной почты и веб. Jabber и IP-телефония Asterisk позволяют сотрудникам компании находиться постоянно на связи. Наличие сертификатов и поддержки от российского производителя решения позволяет надеяться на своевременное решение всех возникающих у клиента проблем.
Однако сам факт объединения в одном устройстве такого большого количества функций является уже потенциально опасным. В частности, взлом одной службы, например веб-сервера, дает атакующим возможность проникнуть в операционную систему и перестроить в том числе и защитные функции продукта. Наличие Jabber и IP-телефонии также создаёт опасность создания скрытых каналов вовне, по которым можно будет передавать множество ценной информации из корпоративной сети. Поэтому расширенным набором функций стоит пользоваться крайне осмотрительно и постоянно контролировать их использование. Впрочем, Игорь Сухарев заверяет, что хакеров, которые умеют атаковать системы на FreeBSD не так и много. В частности, он подтверждает, что "использование большого количества сервисов действительно может ставить под сомнение общую безопасность за счёт взлома одной из служб. Однако, использование FreeBSD в основе операционной системы позволяет значительно снизить риски. Это связано, в первую очередь, с гораздо меньшим количеством кибер-преступников, специализирующихся на FreeBSD – большинство из них делает акцент на Windows. А это значит, что и вирусов, направленных на взлом и заражение FreeBSD, не так много."
С другой стороны, для использования FreeBSD может потребоваться наличие в штате системного администратора или сотрудника службы ИБ с соответствующей квалификацией. В результате может оказаться, что эффект низкой цены на сам продукт будет частично нивелироваться дополнительной стоимостью услуг системного администратора. Впрочем, производитель сделал достаточно много для решения этой проблемы. "Что касается сложности эксплуатации системы, основанной на FreeBSD, то это однозначно не про ИКС, – уверяет Игорь Сухарев. – Все управление осуществляется через интуитивно понятный и простой веб-интерфейс. На официальном сайте легко можно найти подробную документацию, обучающие видеоуроки, а также анонсы и записи бесплатных вебинаров по настройкам программы."