Сертификат AM Test Lab
Номер сертификата: 90
Дата выдачи: 11.10.2011
Срок действия: 11.10.2016
Введение
В современных условиях защита одного только периметра сети, реализованная в виде файрвола, не может обеспечить должной степени безопасности от внешних угроз. Атаки постоянно становятся все более изощренными, поэтому простая блокировка портов оказывается недостаточно эффективной защитой. Возникает необходимость в использовании систем класса IPS (Intrusion Prevention System – система обнаружения вторжений).
Впрочем, далеко не каждый продукт, называемый разработчиками данным термином, действительно может подойти для защиты корпоративной сети. Многие из них достаточно примитивны, и способны детектировать лишь несколько наиболее распространенных видов атак. Принцип их работы основан на сигнатурах, в которых описан типовой сетевой трафик, характерный для данного типа атак.
Подобного нельзя сказать о продукте StoneGate Intrusion Prevention System (StoneGate IPS). Он представляет собой комплексное решение для защиты сети предприятия от широкого спектра сетевых атак. В нем реализованы такие важные функциональные возможности, как поддержка зашифрованного трафика, веб-фильтрация, защита от использования уязвимостей, защита от DDoS-атак и пр.
Одной из ключевых особенностей StoneGate Intrusion Prevention System является защита от AET (Advanced Evasion Techniques – динамические техники обхода). Это достаточно новый вид угроз, который обнаружили в прошлом году эксперты компании Stonesoft Corporation. Техники AET на сегодняшний день представляют собой одну из наиболее серьёзных проблем информационной безопасности, поскольку предоставляют злоумышленникам возможность обхода существующих средств безопасности для осуществления вторжений в корпоративные сети незаметно.
StoneGate IPS может интегрироваться с другими решениями компании StoneSoft Corporation: StoneGate Firewall/VPN и StoneGate SSL VPN. Все эти продукты управляются с помощью единой консоли управления (StoneGate Management Center). Это позволяет построить единую систему защиты сети от внешних угроз, обладающую общим администрированием. Такой подход не только более надежен, чем использование нескольких разрозненных систем (за счет тесной интеграции подсистем защиты), но и заметно проще в управлении, а также обладает меньшей стоимостью владения.
Решение StoneGate IPS выпускается в двух видах – аппаратном и программном. К первому относится целый ряд устройств, которые отличаются друг от друга в основном пропускной способностью и предназначены для работы в сетях разного масштаба. Программное решение предназначено для развертывания на серверной платформе стороннего производителя или в виртуальной инфраструктуре.
Системные требования StoneGate Intrusion Prevention System
Для работы StoneGate Intrusion Prevention System необходимо предварительно развернуть систему управления StoneGate Management Center. Ниже приведены рекомендованные системные требования.
Сервер | Клиент | |
Процессор | Intel Core и выше | |
Оперативная память | 2 Гб для 32-битных ОС (3 Гб, если устанавливаются все компоненты), 6 Гб для 64-битных ОС (8 Гб, если устанавливаются все компоненты) | 1 Гб для 32-битных ОС, 2 Гб для 64-битных ОС |
Жесткий диск | 6 Гб для сервера управления и 50 Гб для сервера журналирования | |
Операционная система | 32- и 64-битные Windows 2003/Vista/2008/7/2008 R2, Cent OS, Red Hat Linux 6, SuSe Linux Enterprise 11 SP1 |
Рекомендованные требования для виртуального узла StoneGate Intrusion Prevention System приведены ниже.
Платформа | VMware ESX Server 3.5 или 4.0 |
Объем виртуального диска | 8 Гб |
Оперативная память виртуальной машины | 1 Гб (рекомендуется 2 Гб) |
Дополнительные требования | минимум 3 сетевых интерфейса |
Возможности StoneGate Intrusion Prevention System
Для реализации защиты сети StoneGate Intrusion Prevention System обладает следующими функциональными возможностями.
Защита от широкого спектра атак
StoneGate IPS блокирует вредоносный или потенциально опасный трафик во внутренней сети предприятия. Это позволяет бороться с такими возможными угрозами, осуществляющиеся с корпоративных ПК, деятельность вредоносных и шпионских программ, P2P-приложений и пр. Помимо этого, в StoneGate IPS реализованы проактивные технологии, а также защита от атак Zero-day.
Защита от DDoS-атак
Рассматриваемая система имеет инструменты для предотвращения DDoS-атак, направленных на корпоративные серверы. Это обеспечивает бесперебойную работу различных сетевых сервисов.
Защита от AET
В StoneGate IPS реализована система обнаружения техник AET, которые могут использовать злоумышленники для обхода средств защиты в процессе осуществления вторжений. Она основана на включении в процедуру инспекции трафика механизма его нормализации, работающего на всех уровнях сетевой модели.
Веб-фильтрация
Интересной возможностью StoneGate IPS является система веб-фильтрации, которая позволяет блокировать доступ сотрудников к сайтам нежелательных тематик. Она основана на постоянно обновляемой базе данных сайтов, дифференцированной по категориям. Веб-фильтрация позволяет не только повысить безопасность информационной системы за счет блокирования потенциально опасных проектов, но и увеличить производительность труда благодаря запрету доступа к развлекательным страницам, социальным сетям и пр.
Поддержка IPv6
В StoneGate IPS реализована поддержка IPv6, что позволяет системе работать в современных информационных системах.
Обработка зашифрованного трафика
В StoneGate IPS реализована поддержка SSL/TLS. Это позволяет системе осуществлять контроль и анализ зашифрованного трафика и блокировать атаки, осуществляемые по протоколу HTTPS (обычные HTTP-атаки, осуществляющиеся через SSL/TLS-туннели и недоступные для блокирования с помощью обычных средств).
Оптимизация сетевых потоков
StoneGate IPS позволяет администраторам осуществлять контроль сетевой активности в корпоративной информационной системе. Это помогает выявить не относящийся к бизнес-приложениям трафик и блокировать его, сохраняя высокую пропускную способность сети и ее узлов.
Два режима работы
В рассматриваемой системе реализовано два основных режима работы: IDS и IPS. В первом из них система обнаруживает атаки и блокирует нежелательный сетевой трафик. В режиме IDS продукт работает в пассивно и осуществляет сугубо мониторинг.
Интеграция с StoneGate Firewall/VPN
StoneGate IPS может быть интегрирован с другим продуктом StoneSoft Corporation - StoneGate Firewall/VPN. Совместная работа данных продуктов позволяет построить комплексную систему защиты корпоративной сети от разнообразных сетевых атак.
Организация многоуровневой защиты
В StoneGate IPS реализована технология Transparent Access Control. Она позволяет разделить корпоративную сеть на несколько виртуальных сегментов, не изменяя ее реальную топологию. Это может использоваться для организации многоуровневой защиты и индивидуальной настройки политик безопасности для каждого сегмента в отдельности.
Интеллектуальный анализатор событий
Информация о событиях, определяемых сенсорами StoneGate IPS, поступают не в консоль управления, а обрабатываются интеллектуальным анализатором. Он исследует их в поисках потенциально опасных последовательностей, аккумулируя схожие, поступающие с разных сенсоров, информационные потоки. Это позволяет избавиться от множества повторяющихся событий, обеспечивает первичную фильтрацию, агрегацию и интеллектуальную обработку событий по принципу SIM/SIEM-систем, существенно облегчая работу администратора.
Единая система администрирования
StoneGate IPS, равно как и другие продукты компании StoneSoft Corporation, управляются с помощью единой консоли. Такое единообразие упрощает процесс администрирования и снижает совокупную стоимость системы защиты. Стоит отметить, что с помощью консоли можно удаленно управлять всеми развернутыми в информационной системе предприятия узлами StoneGate IPS, StoneGate SSL VPN и StoneGate Firewall/VPN, что еще больше снижает стоимость обслуживания.
Простое масштабирование
Система защиты, реализованная с помощью StoneGate IPS, является легко масштабируемой. При необходимости увеличения ее производительности к ней можно добавлять новые узлы защиты, создавая из них кластер. Таким образом можно развивать систему без необходимости отказа от уже установленных устройств.
Система мониторинга и отчетности
С помощью консоли управления администратор может осуществлять мониторинг состояния всех узлов защиты. Кроме того, в системе предусмотрена возможность создания табличных и графических отчетов, в том числе и их автоматическая генерация по расписанию.
Система управления инцидентами
В компонент управления также встроена подсистема работы с инцидентами. Из единого интерфейса администратор имеет возможность как внести изменения в политику инспекции трафика, так и исключить ложные срабатывания, а также управлять журналами и расследовать зафиксированные инциденты. Что особенно актуально для систем класса IDS/IPS.
Установка StoneGate Management Center и StoneGate Intrusion Prevention System
Первый этап внедрения StoneGate Intrusion Prevention System заключается в разворачивании консоли управления - StoneGate Management Center. Дистрибутив для нее можно загрузить непосредственно с сайта разработчика. Обратите внимание, что для этого требуется ввести номер лицензии. Получить его можно при покупке от продавца или запросить тестовую лицензию на сайте разработчика.
Сама процедура установки выглядит следующим образом. Запускаем дистрибутив и дожидаемся, пока программа распакует установочные файлы. После этого мастер предлагает пройти несколько стандартных шагов: просмотр и подтверждение лицензионного соглашения, выбор папки установки и пр.
В большинстве случаев можно использовать вариант Typical. При этом будут установлены компоненты Management Server, Log Server и Management Client. Их достаточно для функционирования системы управления на одном компьютере. Если установка осуществляется на рабочее место администратора, тогда можно выбрать вариант Management Client only. В этом случае будет инсталлирован только клиент, с помощью которого можно удаленно подключаться к Management Server (альтернативный вариант, который облегчает управление с любого рабочего места инфраструктуры, не требует локальной установки клиента – достаточно активировать опцию «быстрого старта» в свойствах сервера управления уже после инсталляции и подключаться с помощью браузера с поддержкой Java). Помимо этого предлагаются варианты Demo Mode (инсталлируются все компоненты для ознакомления с работой системы) и Custom, при выборе которого пользователь сам устанавливает необходимые компоненты.
Рисунок 1. Выбор типа установки StoneGate Management Center
На следующем этапе предлагается установить IP-адреса, на которых будут работать Management Server и Log Server. Их можно ввести вручную, однако проще выбрать из списка существующих на компьютере сетевых интерфейсов.
Рисунок 2. Ввод IP-адресов в процессе установки StoneGate Management Center
После этого необходимо установить имя и пароль администратора системы. Обратите внимание, что пароль должен состоять только из латинских букв и цифр и иметь длину минимум 7 символов.
Рисунок 3. Ввод логина и пароля администратора в процессе установки StoneGate Management Center
Далее нужно определить IP-адрес и порт, по которому компонент Log Server будет получать информацию от "движка".
Рисунок 4. Ввод IP-адреса для компонента Log Server
После этого остается только определить папку для хранения логов.
Рисунок 5. Выбор папки для хранения логов в процессе установки StoneGate Management Center
В завершение мастер покажет финишное окно, в котором отображается основная информация о предстоящем процессе установки.
Рисунок 6. Финишное окно мастера установки StoneGate Management Center
Следующий шаг – установка StoneGate Intrusion Prevention System (сегодня мы говорим о программном решении). Проще все использовать для этого виртуальное устройство, которое можно загрузить с сайта разработчика и просто импортировать в виртуальную инфраструктуру предприятия.
Первичная настройка StoneGate Intrusion Prevention System
Настройка системы защиты осуществляется с помощью программы Management Client. Администрирование может осуществляться как с удаленного ПК, так непосредственно с того компьютера, на котором был установлен Management Server. В первую очередь необходимо установить соединение с сервером. Для этого нужно запустить Management Client и настроить параметры подключения: ввести нужный IP-адрес, логин и пароль администратора.
Рисунок 7. Установка соединения с Management Server
При первом подключении администратора предлагается просмотреть и подтвердить контрольную сумму сертификата системы управления.
Рисунок 8. Контрольная сумма сертификата системы управления
Далее система выдаст сообщение об отсутствии лицензии и предложит ее активировать. Для этого необходимо указать ей файл с лицензией, который можно получить на сайте разработчика (или от поставщика). После этого администратору станут доступны все возможности.
Работа по управлению системой защиты осуществляется в едином окне, в котором может быть открыто произвольное количество вкладок. Внешний вид вновь открытой вкладки имеет следующий вид.
Рисунок 9. Внешний вид консоли управления
Для работы с IPS нужно нажать на одноименный пункт.
Рисунок 10. Раздел для управления StoneGate Intrusion Prevention System
Для настройки системы защиты в первую очередь необходимо подключить инсталлированный модуль IPS к системе управления. Для этого необходимо открыть раздел IPS Engines и добавить в нем новый узел: нажать на кнопку New и выбрать в открывшемся контекстном меню тип IPS – анализатор, комбинированный тип (анализатор и сенсор), одиночный сенсор или их кластер. В небольших и средних сетях, в которых чаще используется программный IPS, обычно используют второй вариант. В этом случае виртуальный сервер будет работать одновременно как сенсор и анализатор.
При создании нового IPS необходимо указать его свойства. Сделать это можно в специальном окне, состоящем из целого ряда вкладок. На первой из них задаются основные параметры: имя, серверы журналирования и уведомлений и пр.
Рисунок 11. Основные параметры подключаемого узла StoneGate Intrusion Prevention System
Далее необходимо добавить интерфейсы для связи с IPS. Сделать это можно на вкладке Interfaces. Открываем ее и создаем нужное количество интерфейсов, задавая для каждого из них тип – normal (для управления IPS), capture или inline (используются для перехвата и инспектирования трафика).
Рисунок 12. Создание нового интерфейса для управления StoneGate Intrusion Prevention System
После создания каждому интерфейсу необходимо присвоить IP-адрес или VLAN-интерфейс. Сделать это можно с помощью контекстного меню или кнопок на панели инструментов.
Рисунок 13. Ввод IP-адреса интерфейса управления StoneGate Intrusion Prevention System
С помощью других вкладок окна свойств можно настроить остальные параметры узла StoneGate Intrusion Prevention System – права доступа пользователей, исключения для работы совместно с фаерволом, адрес DNS-сервера и пр.
Рисунок 14. Настройка прав доступа к узлу StoneGate Intrusion Prevention System
При сохранении параметров узла StoneGate Intrusion Prevention System система предлагает настроить маршрутизацию для его интерфейсов. Делать это нужно только в том случае, если доступ к IPS осуществляется через промежуточные сети. В противном случае от предложения можно отказаться. После этого созданный узел появится в списке IPS Engines.
Далее необходимо инициализировать созданный узел. Без этого подключение к нему будет невозможно. Осуществляется данная процедура следующим образом. Сначала необходимо найти в списке консоли управления нужный узел IPS, кликнуть на нем правой кнопкой мыши и в контекстном меню выбрать пункт Configuration->Save Initial Configuration. В открывшемся окне будет отображена вся необходимая информация: одноразовый пароль, необходимый для подключения к серверу управления и "отпечаток" SSL. Администратору остается только установить временную зону, а также раскладку клавиатуры.
Рисунок 15. Информация для инициализации узла StoneGate Intrusion Prevention System
Теперь все эти данные необходимо перенести на узел IPS. В случае с программным приложением сделать это можно двумя способами. Самый простой из них – с использованием USB-накопителя. Его нужно подключить к компьютеру и в описанном выше окне сохранить конфигурацию в виде файла с помощью кнопки Save As. Если же "флешки" под рукой не оказалось, можно просто переписать все данные на листок бумаги с тем, чтобы потом ввести их вручную.
Последний этап выполняется непосредственно на узле StoneGate Intrusion Prevention System. В нашем случае им является виртуальный сервер работающий в среде VMware. Он работает под управлением ОС Linux, однако бояться этого не стоит. Никаких особых знаний от администратора не требуется. Итак, сначала нужно включить виртуальный сервер и дождаться его загрузки. Далее автоматически запустится скрипт настройки узла. На первом его этапе пользователь может импортировать сохраненную на USB-накопителе конфигурацию. Для этого достаточно нажать на кнопку Import и выбрать пункт USB Memory.
Рисунок 16. Импорт информации для инициализации на узел StoneGate Intrusion Prevention System
При использовании импорта на следующих шагах скрипта настройка никаких действий предпринимать уже будет не нужно. В противном случае на первом из них необходимо ввести раскладку клавиатуры, часовой пояс, имя хоста, а также установить пароль для пользователя root.
Рисунок 17. Первый этап настройки узла StoneGate Intrusion Prevention System
Далее нужно указать из перечня доступных сетевых интерфейсов тот, который будет использоваться для управления узлом IPS. Для этого достаточно установить на него курсор и нажать на "Пробел". Если в перечне сетевые интерфейсы отсутствуют, необходимо нажать на кнопку Autodetect.
Рисунок 18. Второй этап настройки узла StoneGate Intrusion Prevention System
На последнем этапе настройки вводится следующая информация: IP-адрес, сетевая маска и шлюз (при необходимости) узла IPS, данные сервера управления, тип установки (сенсор, анализатор, комбинированный).
Рисунок 19. Третий этап настройки узла StoneGate Intrusion Prevention System
После завершения инициализации узла IPS он становится доступен из консоли управления. Для его работы еще необходимо загрузить в него политику безопасности. Об этом будет рассказано далее.
Администрирование StoneGate Intrusion Prevention System
Если все предыдущие описанные этапы занимают считанные минуты, то основная операция сопровождения StoneGate Intrusion Prevention System – настройка политик инспектирования трафика. Для облегчения работы администраторов в системе введено такое понятие, как шаблоны. В них можно сначала описать нужные правила, а потом уже на их основе создавать сами политики. Такой подход позволяет на базе одного шаблона создать целый набор незначительно отличающихся друг от друга политик, например, для использования в разных подсетях корпоративной информационной системы.
Отдельно стоит отметить, что сразу после установки в системе есть шаблоны политик, содержащие типовые правила безопасности, включая и защиту от AET. Это достаточно удобно, поскольку ускоряет внедрение системы. Администратор может взять за основу готовый шаблон и изменить только нужные ему правила.
Процедуры создания и редактирования шаблона и политики практически идентичны друг другу. Для их запуска необходимо перейти в раздел IPS Policies и нажать на соответствующую кнопку на панели управления или выбрать подходящий пункт в контекстном меню. В открывшемся окне нужно ввести имя и указать шаблон-основание.
Рисунок 20. Окно свойств политики StoneGate Intrusion Prevention System
Дополнительно можно перейти на вкладку Permission и настроить права доступа администраторов.
Рисунок 21. Настройка прав доступа
После создания политики или шаблона открывается список входящих в него правил. Все они поделены на четыре типа и разнесены, соответственно, по четырем вкладкам. В разделе Ethernet приводятся правила для фильтрации трафика на основе MAC-адресов сетевых устройств и низкоуровневых сетевых протоколов.
Рисунок 22. Настройка правил Ethernet при создании политики StoneGate Intrusion Prevention System
Вкладка IPv4 Access позволяет создавать правила, контролирующие доступ на основе IP-адресов (стандарта IPv4), IP- и транспортных протоколов (включая номера портов).
Рисунок 23. Настройка правил IPv4 при создании политики StoneGate Intrusion Prevention System
Вкладка IPv6 Access аналогична предыдущей, только предназначена для стандарта IPv6.
Рисунок 24. Настройка правил IPv6 при создании политики StoneGate Intrusion Prevention System
Последняя вкладка под названием Inspection содержит правила для детектирования и блокирования всевозможных сетевых атак и прочих угроз. Это один из наиболее важных элементов политики безопасности. Именно на этой вкладке осуществляется настройка системы на защиту от вторжений разных типов, включая AET. Здесь же настраивается веб-фильтрация, предотвращение сетевой активности нежелательных приложений и пр.
Рисунок 25. Настройка правил инспектирования трафика при создании политики StoneGate Intrusion Prevention System
Следует отметить, что функции Transparent Access Control, в которые входят Ethernet и IP правила фильтрации, сертифицированы как МЭ 3-го класса по ФСТЭК.
После завершения ввода в политику всех необходимых правил ее нужно загрузить на узел IPS. Сделать это можно прямо из окна редактирования с помощью кнопки Save and Install. Или же данную процедуру можно запустить, кликнув правой кнопкой мыши на нужном узле IPS в консоли управления и выбрав в открывшемся меню пункт Configuration->Install Policy. К слову, в интерфейсе управления любую операцию можно сделать несколькими способами, администратору нет необходимости запоминать четкую последовательность «кликов» или пунктов меню – интерфейсу достаточно интуитивно понятен в работе.
Сама процедура загрузки политики довольно проста. После ее запуска открывается специальное окно. В первую очередь нужно выбрать один или несколько узлов IPS. Для этого достаточно найти их в левом списке (в нем приведены все зарегистрированные в системе управления узлы IPS) и переместить в правый. После этого остается только выбрать политику с помощью кнопки Select и запустить инсталляцию.
Рисунок 26. Загрузка политики на узел StoneGate Intrusion Prevention System
Помимо этого администратору в процессе работы со StoneGate Intrusion Prevention System может потребоваться выполнение таких действий, как ввод и настройка прав других сотрудников ИТ-отдела, общий мониторинг работы системы, генерация отчетов и пр. Подробно разобрать их все в рамках одной статьи практически невозможно. Поэтому на сегодня мы ограничимся только рассмотренными выше операциями.
Выводы
Итак, как мы смогли убедиться, StoneGate Intrusion Prevention System – очень мощная система, которая позволяет обезопасить корпоративную сеть от всевозможных сетевых атак, фильтровать трафик, предотвращать доступ к потенциально опасным или просто нежелательным сайтам, блокировать сетевую активность различных приложений и выполнять прочие подобные задачи. Она также может играть роль межсетевого экрана, контролируя информационные потоки между сетевыми сегментами на канальном уровне, без вмешательства в топологию маршрутизации.
Важной особенностью StoneGate Intrusion Prevention System является возможность противостояниям динамическим техникам обхода, более известным как AET. Этот вид угроз, был обнаружена лишь в прошлом году, до сих пор является одной из наиболее серьезных рисков для корпоративных сетей. Используя ее, хакеры могут обходить средства защиты, в которых не предусмотрена блокировка AET и, тем самым, осуществлять вторжения незаметно.
Отличительной особенностью StoneGate Intrusion Prevention System, помимо широких функциональных возможностей, является встроенные механизмы интеграции с другими инструментами безопасности того же разработчика, в частности, с фаерволом, а также с другими средствами и системами за счет внешних механизмов - скриптов. Это позволяет организовать интегрированную систему защиты, обладающую единой системой управления. Также очень важно то, что продукт выпускается как в виде готовых аппаратно-программных комплексов, так виде виртуального сервера (что очень актуально с ростом популярности виртуализации на предприятиях).
Говоря о StoneGate Intrusion Prevention System, нельзя не отметить возможности масштабирования. По мере роста корпоративной ИС может наращиваться и производительность системы защиты путем увеличения количества узлов IPS, их объединения в кластеры. Кроме того, в рассматриваемом продукте реализована возможность разделения корпоративной сети на виртуальные сегменты, обладающие разными политиками безопасности.
Интерфейс StoneGate Intrusion Prevention System может показаться сложным для неискушённого пользователя. Данное впечатление связано с широким спектром настроек продукта, на освоение которых потребуется некоторое время.
Следует отметить, что в данный момент происходит русификация интерфейса системы управления. Документация же на систему, в том числе руководство администратора, доступны как на английском, так и на русском языке. Также ведётся работа по русификации официального сайта компании.