Межсетевой экран (файрвол) UserGate X1: информационная безопасность в экстремальных физических условиях

Межсетевой экран UserGate X1: информационная безопасность в экстремальных физических условиях

Межсетевой экран UserGate X1: информационная безопасность в экстремальных физических условиях

Корпоративный межсетевой экран UserGate X1 выделяется из линейки продуктов UserGate уникальными физико-техническими характеристиками. Данный программно-аппаратный комплекс (ПАК) эффективен и надёжен в самых суровых условиях эксплуатации: на промышленных объектах, открытом воздухе, транспорте, сохраняя при этом все преимущества платформы обеспечения профессиональной киберзащиты UserGate.

 

 

 

 

  1. Введение
  2. Технические параметры и основные функции
    1. 2.1. Технические параметры UserGate X1
    2. 2.2. Основные функции UserGate X1
  3. Преимущества UserGate X1
  4. Особенности эксплуатации UserGate X1
    1. 4.1. Основные опции административной панели UserGate
  5. Выводы

Введение

Компания UserGate с 2011 года активно развивает линейку своих продуктов, обеспечивая профессиональные корпоративные решения по аппаратной и программной безопасности для сетей различного масштаба. В условиях активной цифровизации, постоянного роста числа подключённых к сети «Интернет» устройств всё больше возрастает потребность в обеспечении безопасности сетевых инфраструктур за пределами офиса.

Повсеместный интернет постепенно проникает в энергетику, строительство, коммунальную сферу, производство, логистику, транспорт, городские инфраструктуры. Вследствие этого обеспечение комплексной сетевой безопасности критически важных объектов всё чаще требуется в суровых эксплуатационных условиях: улица, железная дорога, промышленный объект Крайнего Севера и т. д.

Специфические условия размещения такого устройства требуют надёжных аппаратных решений. На сегодняшний день в линейке UserGate таким решением является ПАК UserGate X1, который обеспечивает весь спектр необходимой киберзащиты критически важных объектов в самых суровых эксплуатационных условиях.

Технические параметры и основные функции

Для обеспечения бесперебойной работы межсетевого экрана UserGate X1 в экстремальных условиях (на открытом воздухе, в горячем цехе) или в режиме постоянных динамических нагрузок (например, в транспорте) применяются простые и эффективные инженерные решения.

UserGate X1 выполнен в классическом боксе чёрного цвета. При габаритах 57,5x130x127 мм вес составляет всего 1 кг. Наличие необходимых креплений на корпусе даёт возможность быстрого монтажа на стандартную перфорированную DIN-рейку.

 

Рисунок 1. Внешний вид корпоративного межсетевого экрана UserGate X1

Внешний вид корпоративного межсетевого экрана UserGate X1

 

Необходимо подчеркнуть широкий рабочий температурный интервал: от минус 40 °С до плюс 70 °С. Рекомендуемая относительная влажность воздуха для безопасной эксплуатации — от 5 % до 95 % при отсутствии конденсата. Данные эксплуатационные показатели выделяют UserGate X1 среди других корпоративных моделей компании.

Технические параметры UserGate X1

 

Таблица 1. Физические характеристики UserGate X1

Характеристика Значение
Ширина 57,5 мм
Высота 130 мм
Глубина 127 мм
Вес 1 кг
Охлаждение Пассивное, вентилятор отсутствует
Монтаж DIN-рейка

 

Таблица 2. Электрические характеристики UserGate X1

Характеристика Значение
Электропитание 100–240 В; 50–60 Гц; 1,2 А
или
12–36 В
Максимальная потребляемая мощность 10,3 Вт

 

Рассмотрим назначение портов и индикаторов рабочей панели программно-аппаратного комплекса UserGate X1.

 

Рисунок 2. Схема передней панели UserGate X1

Схема передней панели UserGate X1

 

  • F1 — консольный порт DB9 для подключения консоли по RS-232.

  • F2 — 2 порта RJ-45 GbE (10/100/1000) для передачи данных.

  • F3 — порт VGA.

  • F4 — светодиодные индикаторы режима / активности портов GbE, жёсткого диска и питания.
  • F5 — 2 порта USB 2.0 Type A.

  • F6 — разъём питания постоянного тока.

Светодиодные индикаторы лицевой панели имеют несколько состояний и цветов, расшифровка которых приведена в таблице 3.

 

Таблица 3. Функции и состояния светодиодных индикаторов

Элемент Состояние Значение
PWR (питание) Зелёный Питание включено
Выключен Питание отключено
HDD (жёсткий диск) Жёлтый Происходит запись / чтение данных
Выключен Отсутствие записи / чтения данных
LINK/ACT Жёлтый горит Соединение установлено
Жёлтый мигает Соединение установлено и данные передаются
Выключен Отсутствие соединения

 

Отдельно сведём в таблицы особенности интерфейсов и показатели оборудования.

 

Таблица 4. Характеристика интерфейсов UserGate X1

Интерфейс Описание
Порты Ethernet IPMI Два порта RJ-45 10/100/1000 с автоматическим определением режима и скорости передачи данных
Консольный порт Порт DB9 для подключения консоли RS-232.
Скорость передачи данных: 115200 б/с
Биты данных: 8
Контроль чётности: нет
Стоповый бит: 1
USB-порты Два стандартных порта USB 2.0 Type A

 

Таблица 5. Спецификация оборудования UserGate X1

Наименование Описание
Процессор Intel Atom E3825, 2 ядра
Оперативная память  8 ГБ DDR3L 1333 МГц
Жёсткий диск 1х500 ГБ
Порт 10/100/1000 Base-T 2 шт

 

Производительность является важным показателем в условиях постоянно растущего количества подключённых к сети «Интернет» устройств, а следовательно, и постоянно растущего трафика.

 

Таблица 6. Производительность межсетевого экрана UserGate X1

Параметр Производительность
Пропускная способность межсетевого экрана, UDP до 800 Мбит/с
Система обнаружения вторжений (IPS) до 50 Мбит/с
Система обнаружения вторжений (IDS), SPAN-порт до 70 Мбит/с
Контентная фильтрация до 15 Мбит/c
Инспектирование SSL до 10 Мбит/c
Управление приложениями L7 до 60 Мбит/c
Потоковый антивирус до 15 Мбит/c
Количество одновременных TCP-сессий до 2 000 000
Количество новых сессий в секунду до 10 000

 

В работе с UserGate X1 поставщик рекомендует задействовать не более 5 пользователей в соответствии со стандартным профилем. Однако конечное количество пользователей определяется индивидуально: оно зависит от задач компании, характера работы специалистов и конфигурации журналирования сервера UserGate.

Основные функции UserGate X1

Спектр базовой функциональности продукта выглядит следующим образом:

  • Межсетевой экран нового поколения.
  • Система обнаружения вторжений (IDS / IPS).
  • Обратный прокси-сервер.
  • Контроль доступа в интернет.
  • Контроль приложений L7.
  • Дешифрование SSL.
  • Гостевой портал.
  • Безопасная публикация внутренних ресурсов и сервисов.
  • Антивирусная защита.
  • Advanced Threat Protection (фильтрация URL по категориям, морфологический анализ, облачный антивирус Entensys, модуль ADblock и т. д.).
  • Безопасность почты.
  • Идентификация пользователей.
  • Поддержка концепции BYOD (Bring Your Own Device).
  • Виртуальная частная сеть (VPN).
  • Удалённое администрирование.
  • Поддержка АСУ ТП / SCADA (автоматизированная система управления технологическим производством / Supervisory Control And Data Acquisition).
  • Поддержка кластеризации и высокой отказоустойчивости.

Следует отдельно отметить нововведения, добавленные в UserGate X1.

Доступ к внутренним ресурсам через портал SSL VPN (опция шифрованного логического подключения) — это дополнительный контроль доступа и повышение уровня защиты от ряда атак злоумышленников, например MitM (Man-in-the-Middle).

Введение SIEM и SOAR. SIEM — это оперативный анализ, обработка и выгрузка необходимой информации об инцидентах. SOAR — быстрая реакция на угрозы безопасности на контуре. Грамотная автоматизация аналитики всегда экономит время, а в мире информационной безопасности скорость реагирования и принятия решения играет важную роль.

Рассмотрим ключевые преимущества особенностей сетевого экрана UserGate X1.

Преимущества UserGate X1

UserGate X1 — это не только надёжная работа в условиях экстремальной среды, но и комплекс всех необходимых современных решений для обеспечения профессиональной информационной безопасности объектов, в том числе и критически важных инфраструктур.

Сертификация. Корпоративный межсетевой экран UserGate X1 имеет сертификат ФСТЭК России № 3905 (межсетевые экраны четвёртого класса профилей А и Б, четвёртый класс систем обнаружения вторжений, четвёртый уровень доверия). Длительный и скрупулёзный процесс сертификации по новым требованиям ФСТЭК состоял из анализа аппаратной части, операционной системы и основных функций устройства. Наличие сертификата ФСТЭК позволяет UserGate X1 применяться в составе автоматизированных систем (АС) до класса защищённости 1Г, в информационных системах персональных данных (ИСПДн) первого уровня защищённости, в значимых объектах КИИ первой категории, в государственных информационных системах (ГИС) первого класса защищённости, в информационных системах общего пользования второго класса и АСУ ТП первого класса защищённости.

Поддержка АСУ ТП (SCADA). Текущая версия операционной системы UG OS поддерживает комплексы SCADA или АСУ ТП, позволяющие автоматизировать основные операции технологического процесса, то есть экономить время и оптимизировать производительность. Системный администратор может контролировать все процессы и вмешиваться по мере необходимости — например, обеспечивать контроль трафика, настроив правила обнаружения, блокировки и журналирования событий.

VPN-подключение. Организация логической сети для сотрудников компании посредством VPN (Virtual Private Network) помогает объединить все офисы между собой и обеспечить безопасный уровень шифрования (протокол IPsec) для всех участников. Для проброса туннеля применяется L2TP (Layer 2 Tunneling Protocol). Предоставляя данную опцию, UserGate X1 позволяет организовать безопасную локальную сеть компании без лишних усилий.

Обеспечение безопасности IIoT. Во всём мире направление IIoT (Industrial Internet of Things) с каждым годом набирает обороты. Уже сейчас требуется введение механизмов обеспечения надлежащей безопасности по вектору технологий промышленного интернета вещей. Данная сфера только формируется и развивается. Решения IIoT зачастую содержат ряд серьёзных уязвимостей, закрытие которых требует времени (аппаратных или программных исправлений). Безопасность объекта или всей инфраструктуры в этот период может находиться под угрозой. UserGate X1 предлагает актуальные решения для обеспечения комплексной кибербезопасности непосредственно IIoT.

Соответствие регламентирующим документам РФ. UserGate X1 полностью соответствует ГОСТ Р МЭК 60870-5-104 (контроль передачи блока ASDU) и приказу № 31 ФСТЭК России (соответствие эксплуатируемых и внедряемых решений АСУ ТП). Выполняются все необходимые отечественные требования к функциональности и информационной защите критически важных промышленных объектов.

Комплексный подход к безопасности. Применение самостоятельно разработанной операционной системы UG OS лежит в основе всех продуктов UserGate. Это позволяет обеспечить клиентам оперативность в устранении возникающих неполадок. Наличие собственной ОС предоставляет опцию гибкой разработки программных модулей для конкретных потребностей бизнеса. UserGate X1 так же эффективен, как и остальные продукты линейки UserGate для корпоративных сетей: в его составе есть NGFW (Next Generation Firewall) — высокофункциональный межсетевой экран, IDPS (Intrusion Detection and Prevention System) — подсистема защиты от кибератак, имеются антивирус, фильтрация опасных скриптов и подозрительных приложений, равно как и все остальные необходимые функции обеспечения безопасности. Режим NGFW UserGate X1 обрабатывает трафик со скоростью до 300 Мбит/с, а с активированными опциями IDPS, антивируса и т. д. — до 10–15 Мбит/с.

Стабильность эксплуатации в экстремальных условиях. Ещё раз подчеркнём ключевую особенность программно-аппаратного комплекса UserGate X1, которая отличает его от других моделей линейки: надёжность функционирования в самых сложных условиях окружающей среды (при температурах от минус 40 °С до плюс 70 °С и относительной влажности воздуха от 5 % до 95 % без конденсата). Специально разработанные габариты и вес позволяют осуществить монтаж как в стойку, так на стену или DIN-рейку. Устройство может эффективно применяться практически на любых производственных площадях, в горячих и холодных цехах, на открытом воздухе, в транспорте и т. д.

Особенности эксплуатации UserGate X1

Поставщик требует соблюдения определённых условий к месту размещения оборудования. В основном это относится к эксплуатации в помещении. При выборе места необходимо учитывать ряд факторов.

Температура окружающего воздуха: при монтаже в закрытой стойке эффективная температура окружающего воздуха может быть выше температуры воздуха в помещении. Во время работы оборудования температура окружающего его воздуха должна быть не выше (ниже) максимальной температуры окружающей среды, указанной производителем (-40 °С и +70 °С).

Ограничение циркуляции окружающего воздуха: при монтаже оборудования в стойке необходимо обеспечить достаточно места для движения воздуха.

Механические нагрузки: следует избегать дополнительной механической нагрузки на корпус, которая может повредить оборудование.

Перегрузка цепей электропитания: цепи питания должны быть оборудованы защитой от перегрузки.

Надёжное заземление: корпус оборудования, устанавливаемого в телекоммуникационном шкафу, должен быть безопасно заземлён. Особое внимание следует обратить на случаи отсутствия прямого подключения к шине заземления (например, фиксация шнура питания кабельными стяжками).

Основные опции административной панели UserGate

В интуитивно понятном графическом интерфейсе представлены необходимые опции настройки сети, параметры контроля и мониторинга безопасности трафика.

 

Рисунок 3. Графический интерфейс административной панели UserGate

Графический интерфейс административной панели UserGate

 

Перечислим основные категории верхнего меню.

«Главная консоль» — основная категория по управлению сетью и политиками безопасности.

«Дашбоард» — ключевая информация о состоянии сети, версиях, нагрузке, оповещениях и т. д. собрана в одном месте и визуализирована для удобства администратора посредством графиков.

«Диагностика и мониторинг» — отображение всех текущих соединений и информации о каждом соединении. Здесь же администратор может задавать правила для выбранного IP-адреса, получать данные о сессиях интересующего его пользователя. Выбранный трафик можно экспортировать в PCAP-файл для дальнейшего более глубокого анализа.

«Журналы и отчёты» — здесь логируются все события, происходящие в контролируемой сети, и действия администратора на устройстве (изменение настроек, авторизация). Поддерживаются сортировка, фильтрация и экспорт логов в формат CSV, а также внешняя выгрузка в SIEM.

Рассмотрим далее содержание каждого раздела главной консоли и отметим некоторые важные особенности.

«UserGate»: общие настройки и управление устройством — часовой пояс, язык, логирование, кеширование, режим авторизации; создание и удаление администраторов, управление текущими сертификатами и настройки SNMP (Simple Network Management Protocol).

«Сеть»: зоны, интерфейсы, шлюзы, DHCP; перехват и изменение DNS-запросов пользователей согласно заданным правилам; маршруты, OSPF, BGP.

«Пользователи и устройства»: серверы и профили авторизации; терминальные серверы; группы; пользователи (могут применяться персональные правила и политики по отдельному пользователю); настройка идентификации и авторизации (AD, LDAP, Kerberos, NTLM, 2FA и т. д.); captive-портал и captive-профили; политики и устройства BYOD (контроль правил доступа к смартфонам, планшетам); профили MFA.

«Политики сети»: межсетевой экран (фильтрация трафика по заданным правилам); NAT и маршрутизация, балансировка нагрузки; пропускная способность (ограничения канала для хостов, пользователей или приложений по временным интервалам).

«Политики безопасности»: фильтрация контента (запрет или разрешение передачи контента по заданным условиям, таким как URL, время, пользователи и группы, морфология, IP-адрес, метод HTTP и т. д.); веб-безопасность; дешифрование (полная проверка трафика, защищённого TLS / SSL); система обнаружения вторжений (работает на основе эвристических правил, применяет анализ сигнатур предыдущих атак); правила АСУ ТП (использование в правилах заданных профилей ТП); сценарии (по сути — принцип работы SOAR, организация реакции на обнаруженную атаку или определённых событий); защита почтового трафика (поддерживается эвристический анализ содержимого писем на всех языках); правила и серверы ICAP (производят более глубокий анализ выбранного трафика); правила обратного проксирования, reverse-серверы.

«VPN»: портал SSL VPN (дистанционный доступ клиентов или безопасное соединение офисов); серверные правила, клиентские правила; туннели VPN; профили безопасности VPN.

«Оповещения»: правила оповещений (информирование администратора средствами SMTP или SMPP о различных событиях — обнаружена атака, запрошен доступ, заблокирован вирус и т. д.); профили оповещений.

«Библиотеки»: морфология, сервисы, IP-адреса, User-Agent браузера и т. д.
Элементы библиотеки формируются постепенно по ходу настройки правил администратором. Некоторые элементы поставляются Entensys по лицензии и приобретаются отдельно, лицензия поддерживает автоматическое обновление.

Более глубоко возможности и настройки межсетевого экрана UserGate мы рассматривали в нашем профессиональном сертификационном обзоре.

Выводы

UserGate X1 — это сочетание современных инженерных и программно-аппаратных решений, которые обеспечивают сетевую безопасность промышленных инфраструктур в экстремальных условиях эксплуатации.

Компания гарантирует надёжную работу межсетевого экрана UserGate X1 при температуре от -40 °С до +70 °С и при относительной влажности воздуха от 5 % до 95 %. При этом UserGate X1 является современным профессиональным межсетевым экраном и может использоваться для объектов КИИ (критически важных инфраструктур). Он использует технологии нового поколения (NGFW), сертифицирован ФСТЭК России, поддерживает АСУ ТП (SCADA), обеспечивает VPN-подключение и поддержку безопасности IIoT, соответствует регламентирующим документам РФ (ГОСТ Р МЭК 60870-5-104 и приказ № 31 ФСТЭК России), имеет систему защиты от кибератак (IDPS), осуществляет антивирусную защиту, фильтрацию опасных скриптов, подозрительных приложений, сообщений электронной почты и т. д., обеспечивая производительность до 800 Мбит/с. Всё это позволяет применять UserGate X1 на промышленных и транспортных объектах, в строительстве, производстве, городской инфраструктуре и во многих других сферах и отраслях, где условия эксплуатации требуют экстремальных показателей надёжности и отказоустойчивости.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru