Обзор системы Синоним, отечественного безопасного сетевого шлюза (Security Web Gateway, SWG)

Обзор системы Синоним, безопасного сетевого шлюза


Обзор системы Синоним, безопасного сетевого шлюза

Программно-аппаратный комплекс «Синоним» от компании «АйТи БАСТИОН» — шлюз с функциями по обеспечению информационной безопасности. Позволяет изолировать сегменты корпоративной сети друг от друга, блокирует сетевые атаки, ограничивает количество существующих подключений к сторонним ресурсам, а также проводит проверку наличия необходимых цифровых сертификатов при передаче файлов между изолированными сегментами сети.

Сертификат AM Test Lab

Номер сертификата: 323

Дата выдачи: 21.12.2020

Срок действия: 21.12.2025

Реестр сертифицированных продуктов »

  1. Введение
  2. Функциональные возможности системы «Синоним»
  3. Архитектура системы «Синоним»
  4. Технические характеристики системы «Синоним»
  5. Базовая настройка системы «Синоним»
  6. Сценарии использования системы «Синоним»
    1. 6.1. Получение доступа к серверу в защищённом сегменте сети
    2. 6.2. Передача файла без проверки цифровой подписи
    3. 6.3. Передача файла с использованием проверки цифровой подписи
    4. 6.4. Противодействие сканированию закрытого сегмента сети
  7. Выводы

Введение

В современных реалиях большинству компаний, множеству государственных учреждений, иных организаций и общественных объединений для своевременного предоставления и активного продвижения своих услуг, для оперативного обмена информацией и ещё по весьма большому количеству причин приходится активно использовать сеть «Интернет». Поэтому для поддержания целостности и защищённости информационной инфраструктуры, своевременного обнаружения возможных сетевых атак и реагирования на них необходимо жёстко контролировать все точки соприкосновения внутренней сети с внешней.

Если же говорить о промышленных предприятиях, на базе которых развёрнуты и эксплуатируются автоматизированные системы управления технологическими процессами (АСУ ТП), то помимо контроля всех внешних соединений необходимо строго сегментировать имеющуюся информационную сеть предприятия и физически отделить эти сегменты от действующей АСУ ТП. Также следует строго разграничить доступ персонала к таким изолированным сетевым сегментам, составить строгие правила по всем входящим и исходящим информационным потокам и оперативно пресекать возникающие инциденты в области безопасности.

Минимизировать и ликвидировать последствия реализации угроз возможно при помощи таких решений, как безопасные сетевые шлюзы. Одним из представителей этого класса является система «Синоним» от российской компании «АйТи БАСТИОН» — программно-аппаратный шлюз с функциями по защите информации.

Система позволяет реализовать безопасную передачу данных между различными критически важными узлами сетевой инфраструктуры компании или промышленного предприятия, например между внутренней сетью и интернетом. Также возможно реализовать безопасный шлюз между внутренними сегментами информационной инфраструктуры организации, например для создания более защищённой и закрытой подсети или же для отделения корпоративной ЛВС («демилитаризованной зоны») от АСУ ТП предприятия. «Синоним» позволяет организовывать как однонаправленную, так и двунаправленную передачу данных.

Функциональные возможности системы «Синоним»

Программно-аппаратный комплекс «Синоним» на сегодняшний день доступен в двух вариантах исполнения (рисунок 1). Первый вариант является безопасным шлюзом передачи данных по сети, а второй — по интерфейсу USB. Для краткости дальнейшего описания будем называть их «Синоним-Сеть» и «Синоним-USB» соответственно.

 

Рисунок 1. Варианты исполнения системы «Синоним»

Варианты исполнения системы «Синоним»

 

Базовые принципы работы и функции системы «Синоним» в целом не зависят от варианта исполнения, но тем не менее в рамках данного обзора при описании функциональных возможностей продукта мы разделим их.

В варианте исполнения «Синоним-Сеть» можно выделить следующие основные функции и особенности:

  • Система позволяет изолировать сегменты (участки) сети компании друг от друга. Это даёт возможность скрывать используемые межсетевые экраны и другие средства обеспечения информационной безопасности, а также делать невидимыми целые подсети внутри организации — что, в свою очередь, значительно затрудняет распространение вредоносных программ и мешает злоумышленникам закрепляться и продвигаться в сетевой инфраструктуре.
  • Система способна нейтрализовывать сетевые атаки на физическом, сетевом, канальном и транспортном уровнях в соответствии с семиуровневой моделью OSI. Например, к таким сетевым атакам можно отнести TCP SYN flooding, TCP attack, UDP flooding, UDP attack, MAC flooding, IP modification, MAC modification, DHCP attack, ICMP attack, MAC attack.
  • Система минимизирует угрозы информационной безопасности, связанные с эксплуатацией уязвимостей «нулевого дня».
  • «Синоним» позволяет ограничивать количество внутренних систем, способных получать доступ к внешним ресурсам, и настраивать для них определённые правила доступа. Это справедливо и для внешних систем, которые могут получать доступ к внутренним закрытым информационным ресурсам компании.
  • Система проверяет наличие корректного цифрового сертификата, гарантируя его подлинность, при передаче файлов через встроенный FTP-сервер.
  • «Синоним» позволяет проводить контентную фильтрацию информации и может интегрироваться с другими ИБ-системами, такими как межсетевые экраны или антивирусное программное обеспечение, для достижения наилучших результатов работы.
  • «Синоним» даёт возможность осуществлять безопасную передачу файлов между сегментами сети.

В варианте исполнения системы «Синоним-USB» можно выделить следующие основные функции и особенности:

  • Система нейтрализует атаки на транспортном уровне протокола USB. Это достигается путём блокирования такой транспортной информации с целью её последующего восстановления и дальнейшей передачи в закрытые участки сети в соответствии с правилами действующей политики ИБ.
  • Система непрерывно проводит контроль наличия нарушений и аномалий в направлении передачи информации.
  • Система позволяет защитить рабочие места и критически важные точки информационной сети предприятия от USB-киллеров и подобных им устройств.
  • Система проводит фильтрацию данных, передаваемых от USB-совместимых устройств в защищённую информационную инфраструктуру компании, в соответствии с настроенными правилами ИБ, а также позволяет взаимодействовать с установленными антивирусными программами.

Далее в обзоре мы детально рассмотрим только сетевой вариант исполнения программно-аппаратного комплекса, поэтому в последующих разделах под словами «система “Синоним”» будет подразумеваться именно он.

Архитектура системы «Синоним»

Внутренняя архитектура системы представлена на рисунке 2. Она включает в себя три блока обработки входящего трафика: сеть А, сеть Б и ядро.

 

Рисунок 2. Внутренняя архитектура системы «Синоним»

Внутренняя архитектура системы «Синоним»

 

Описание проще начать с блока «Сеть Б», который предназначен для приёма и обработки входящего трафика из внешней информационной сети. Здесь происходят анализ потока данных и сравнение его с существующими и ранее настроенными правилами и фильтрами. Затем проверенный и отфильтрованный трафик передаётся в блок «Ядро».

В ядре происходит переупаковка пакетов входящего трафика по специальному алгоритму, заложенному разработчиками: каждый пакет обрамляется служебной информацией системы «Синоним». После этого весь подготовленный трафик поступает в блок «Сеть А», где движется по установленным протоколам передачи информации во внутреннюю защищённую сеть компании.

В случае двунаправленной передачи данных функции блоков «Сеть А» и «Сеть Б» соответствующим образом расширяются: «Сеть А» принимает входящий трафик из защищённой информационной сети компании, анализирует его и передаёт далее в блок «Ядро», где он обрабатывается, перепаковывается и поступает в блок «Сеть Б» для дальнейшей отправки адресату в незащищённую сеть.

Архитектура системы позволяет минимизировать множество сетевых атак за счёт того, что злоумышленник способен скомпрометировать только первую информационную сеть. Также она обеспечивает полноценную работу всех используемых сетевых протоколов.

Технические характеристики системы «Синоним»

Для реализации сокрытия защищённой информационной сети система «Синоним» имеет два сетевых SFP-интерфейса, которые предназначены для подключения к каждому из разделяемых сегментов.

Базовые механизмы решения основаны на применении списка разрешающих правил, которые регулируют передачу входящего трафика. Разрешающие правила должны быть настроены на каждом интерфейсе системы независимо друг от друга, но согласованно. Разрешающие правила одного интерфейса должны быть идентичны разрешающим правилам второго интерфейса, в противном случае система примет все возможные меры по блокировке всего входящего и исходящего трафика.

В таблице 1 представлены все основные технические характеристики системы «Синоним».

 

Таблица 1. Характеристики системы «Синоним»

ХарактеристикаЗначение
Общая характеристика изделия
Тип корпусаЦельный одноюнитовый корпус для установки в стойку 19’’
Глубина корпуса346 мм
Вес изделия6 кг
Потребляемая мощность для расчёта источника бесперебойного питания100–240 В, 50–60 Гц, 15–30 Вт
Поддержка Ethernet100 Мбит/с или 1 Гбит/с, автоопределение, полудуплекс и полный дуплекс
Рабочий температурный диапазон изделия0…+45 °C
Температурный диапазон хранения изделия-20…+70 °C
Среднее время наработки изделия на отказ43 277 часов
Поддержка двунаправленного трафикаДа
Поддержка нескольких протоколов передачи информации (TCP / UDP)Да, интегрирован в «Ядро» (блок односторонней передачи)
Поддержка двунаправленной / однонаправленной передачи информации по протоколу TCPПоддерживается. Настраивается отдельно администратором системы
Наличие функции проверки сетевого трафикаДа
Программное обеспечение для транслятора протоколовБез использования прокси
Поддержка прокси-сервера передачи файловДа, в режиме сервера или в пуш-режиме
Наличие киберзащиты сетевого потокаДа
Наличие функции автоматической реконфигурации при аварийном восстановленииДа
Поддержка NTP-сервераДа
Характеристика используемого накопителя
Тип и объём накопителяSSD, 128 ГБ для каждого шлюза
Гарантированный объём записи данных на накопитель (TBW)70 ТБ
Среднее время наработки накопителя на отказ2 000 000 часов
Характеристики транспортного протокола
Количество слотов транспортного протокола64
Максимальное количество подключений на каждый слот50
Поддержка транспортных протоколовПоддерживает протоколы на основе TCP / UDP, в том числе RDP, SSH, HTTP(S), Golden Gate replication, MySQL replication, TELNET, IEC-60870-5-104, ModBus, BacNet, S7, OPC-UA, а также ряд других протоколов
Парадигма, поддерживаемая UDPUnicast / Multiсast / Broadcast
Пропускная способность200 Мбит/с
Задержка1 мс
Характеристики протокола передачи файлов
Поддержка протоколовFTP, FTPS (Mode 2, защищённое соединение на канале управления; Mode 3, защищённое соединение как для управления, так и для передачи файлов), SFTP
Инструменты безопасной передачи файловВставка цифровой подписи в исходящие файлы; проверка цифровой подписи во всех входящих файлах
Максимальный размер передаваемого файла64 ГБ
Проверка подлинности файлаИспользуются цифровые сигнатуры: Binary, Base64
Поддержка шифрованияRSA / RSASSA-PS
Поддержка хеш-функцийSHA256/512
Поддержка фильтрацииДа, на основе чёрного и белого списков
Пропускная способность100 Мбит/с — скорость отдачи и приёма, 200 Мбит/с — совокупная скорость передачи

 

На рисунке 3 представлен внешний вид задней панели системы «Синоним». Всего в решении используются два интерфейса SFP (LAN), два интерфейса RJ-45, два интерфейса USB типа B и два разъёма питания.

 

Рисунок 3. Внешний вид задней панели системы «Синоним»

Внешний вид задней панели системы «Синоним»

 

Два порта SFP (LAN) используются для соединения двух сетей — «А» и «Б». Порты с интерфейсом RJ-45 применяются для управления и настройки отдельно для шлюза «А» и шлюза «Б». Порты с интерфейсом USB типа B используются для получения доступа к консоли управления шлюзами при первоначальной и базовой настройке системы в целом, а также при первоначальной настройке шлюзов «А» и «Б».

На рисунке 4 представлен внешний вид передней панели системы «Синоним». Здесь располагаются кнопка включения и три светодиода, которые своевременно сигнализируют специалисту по информационной безопасности или системному администратору о наличии или отсутствии ошибок в работе «Синонима».

 

Рисунок 4. Внешний вид передней панели системы «Синоним»

Внешний вид передней панели системы «Синоним»

 

При включении изделия попеременное мигание светодиодов сети «А», ядра и сети «Б» зелёным, синим и красным цветом сигнализирует об отсутствии ошибок при загрузке. Последующее зелёное свечение этих же светодиодов свидетельствует о нормальном функционировании изделия и о наличии подключённых к нему информационных сетей.

Базовая настройка системы «Синоним»

Настройка системы «Синоним» осуществляется поочерёдно для шлюза «А» и для шлюза «Б». Для этого необходимо подключиться к аппаратному порту «КОНСОЛЬ» каждого из шлюзов. Вся настройка решения осуществляется в режиме командной строки, вендор советует использовать для этого клиент PuTTY.

Первоначальная настройка начинается с конфигурации сети. Для этого подключаемся к консоли (рисунок 5).

 

Рисунок 5. Настройка PuTTY для конфигурирования системы «Синоним»

Настройка PuTTY для конфигурирования системы «Синоним»

 

После подключения и ввода логина и пароля администратора системы нам становится доступен консольный режим настройки системы (рисунок 6).

 

Рисунок 6. Консоль для настройки системы «Синоним»

Консоль для настройки системы «Синоним»

 

Первоначально нам доступна общая информация, а именно версия прошивки, системное время и дата.

На рисунке 7 представлена схема сети, в соответствии с которой мы будем настраивать «Синоним».

 

Рисунок 7. Схема настраиваемой сети в системе «Синоним»

Схема настраиваемой сети в системе «Синоним»

 

Для настройки сети по выбранной нами схеме поочерёдно подключаемся к порту «КОНСОЛЬ» каждого из шлюзов и настраиваем последние в соответствии с листингом, представленным на рисунках 8 и 9.

 

Рисунок 8. Настройка шлюза «Б» системы «Синоним» в соответствии со схемой сети

Настройка шлюза «Б» системы «Синоним» в соответствии со схемой сети

 

Рисунок 9. Настройка шлюза «А» системы «Синоним» в соответствии со схемой сети

Настройка шлюза «А» системы «Синоним» в соответствии со схемой сети

 

После настройки сети в системе «Синоним» необходимо установить и синхронизировать на шлюзах системное время и дату. Это возможно сделать тремя способами: с помощью NTP-сервера, в ручном режиме или путём синхронизации по второму шлюзу.

Далее настраивается режим работы системы: передача пакетных данных либо передача файлов с проверкой цифровой подписи. В заключение настраиваем слоты. На рисунке 10 и 11 в качестве примера показана настройка 4 слотов в системе «Синоним» отдельно для шлюза «А» и шлюза «Б» соответственно.

 

Рисунок 10. Настройка слотов шлюза «А» системы «Синоним»

Настройка слотов шлюза «А» системы «Синоним»

 

Рисунок 11. Настройка слотов шлюза «Б» системы «Синоним»

Настройка слотов шлюза «Б» системы «Синоним»

 

На этом этапе вся базовая настройка решения завершается.

Сценарии использования системы «Синоним»

Получение доступа к серверу в защищённом сегменте сети

Первый рассматриваемый сценарий использования системы «Синоним» — это возможность получения доступа АРМ из сети «Б» к серверу, расположенному в сети «А». Схематично вариант такого сценария представлен на рисунке 12.

 

Рисунок 12. Схема стенда для проверки доступа АРМ к серверу при использовании системы «Синоним»

Схема стенда для проверки доступа АРМ к серверу при использовании системы «Синоним»

 

Для начала убеждаемся, что АРМ из сети А имеет доступ к серверу А. Так как HTTP-протокол работает поверх TCP/IP, включаем в системе «Синоним» двунаправленный обмен данными.

Затем делаем обращение из АРМ Б к необходимому нам ресурсу на сервере А. Запрос на доступ из АРМ Б первоначально поступает на шлюз Б системы «Синоним», где транспортные уровни перестраиваются в соответствии с утверждённой политикой информационной безопасности и передаются далее на шлюз А, откуда наш запрос попадает на сервер А. В обратную сторону информация передаётся в аналогичном порядке.

В итоге АРМ Б позволяет получить доступ к информации, расположенной на сервере А в закрытой части сети. «Синоним» в этом случае обеспечивает двунаправленный обмен данными. При передаче пакетов информация уровней 1, 2, 3 и 4 в соответствии с семиуровневой моделью OSI заблокирована и восстановлена на принимающей стороне, что исключает риски атак на транспортном уровне передачи информации.

Передача файла без проверки цифровой подписи

Изучаем второй сценарий использования системы «Синоним», а именно передачу файла из сети А в сеть Б без проверки цифровой подписи передаваемого файла. Схематично вариант такого сценария представлен на рисунке 13.

 

Рисунок 13. Схема стенда для проверки передачи файла из сети А в сеть Б без проверки его цифровой подписи при использовании системы «Синоним»

Схема стенда для проверки передачи файла из сети А в сеть Б без проверки его цифровой подписи при использовании системы «Синоним»

 

При помощи АРМ А создаём тестовый файл «test.txt» без цифровой подписи и загружаем его в папку «to-send» на FTP-сервере системы «Синоним». Объект оказывается на FTP-сервере шлюза А, после чего система сравнивает параметры файла (как правило, имя и размер) с настроенными правилами и фильтрами. Если свойства файла не противоречат действующей политике безопасности компании, то он перемещается на FTP-сервер шлюза Б, в папку «incoming».

Передача файла с использованием проверки цифровой подписи

Теперь рассмотрим вариант предыдущего сценария с обязательной проверкой цифровой подписи передаваемого файла, схематично представленный на рисунке 14.

 

Рисунок 14. Схема стенда для проверки передачи файла из сети Б в сеть А с проверкой его цифровой подписи при использовании системы «Синоним»

Схема стенда для проверки передачи файла из сети Б в сеть А с проверкой его цифровой подписи при использовании системы «Синоним»

 

Система «Синоним» позволяет подписывать файлы цифровой подписью и проверять её. Используемая цифровая подпись совместима с OpenSSL. Для выполнения такой процедуры необходимо иметь два криптографических ключа: приватный и ассоциированный с ним публичный. Первый, соответственно, используется для подписывания файлов, а второй — для проверки.

С помощью АРМ Б создаём два тестовых файла: «test_yes.txt» и «test_no.txt». Загружаем их для дальнейшей передачи на FTP-сервер в папку «to-send» шлюза Б системы «Синоним». Загруженные файлы не отображаются в текущей директории, но их можно найти в папке «queue». В режиме проверки система «Синоним» ожидает появления подписи, связанной с файлом, в течение 5 минут. По истечении этого времени файл уничтожается, если подпись к нему так и не была найдена.

Поэтому следом, не позднее чем через пять минут, загружаем туда же (в папку «to-send» шлюза Б) файл «test_yes.txt.sig». Тогда файлы «test_yes.txt» и «test_yes.txt.sig» переместятся в папку «sent» и в итоге окажутся доступными для скачивания в папке «incoming» FTP-сервера шлюза А, откуда их можно забрать с АРМ А. Файл без связанной с ним цифровой подписи — «test_no.txt» — никуда не отправится и будет удалён.

Противодействие сканированию закрытого сегмента сети

В заключение разберём такой сценарий использования системы «Синоним», как противодействие несанкционированному сканированию внутренней информационной инфраструктуры, которая находится в закрытом сегменте сети. Схематично вариант такого сценария представлен на рисунке 15.

 

Рисунок 15. Схема стенда для проверки противодействия незаконному сканированию закрытого сегмента сети при использовании системы «Синоним»

Схема стенда для проверки противодействия незаконному сканированию закрытого сегмента сети при использовании системы «Синоним»

 

Как видно из рисунка 15, злоумышленник при помощи программ-сканеров пытается получить карту закрытой инфраструктуры компании. Но единственная точка доступа в такой сегмент сети в нашем случае — система «Синоним».

Запросы от нарушителя поступают на шлюз Б системы «Синоним», а именно на его сетевые порты 21 (FTP) и 80 (HTTP). Система пробрасывает соединение с порта 80 шлюза Б на тот же порт АРМ А через свой нулевой слот; АРМ А фиксирует открытое соединение через шлюз А системы «Синоним» и отправляет ответ на этот же нулевой слот.

Таким образом, для получения запрашиваемой информации необходимо знать, через какой слот в настоящий момент происходит передача данных. У злоумышленника нет таких сведений, и поэтому единственной доступной для него информацией становятся IP-адрес и MAC-адрес шлюза Б системы «Синоним».

Выводы

После детального исследования программно-аппаратного комплекса «Синоним» можно сделать вывод, что его функциональность позволяет в полной мере охватывать имеющиеся на сегодняшний момент требования по эффективному сегментированию внутренней информационной инфраструктуры компании, отделению внутренней сети от внешних каналов передачи информации, а также размежеванию офисной ЛВС и промышленной сети предприятия вместе с развёрнутой там АСУ ТП. Использование варианта исполнения «Синоним-USB» даёт возможность безопасно передавать файлы на конечные точки и защищает от устройств класса USB Killer.

При этом архитектура решения позволяет полностью скрывать внутреннюю информационную инфраструктуру компании в разделённых сегментах сети или же всю сеть целиком от неправомерного доступа извне. Также архитектура «Синонима» эффективно препятствует развитию атак на физическом, сетевом, канальном и транспортном уровнях в соответствии с семиуровневой моделью OSI.

На сегодняшний момент на отечественном рынке информационной безопасности представлено уже заметное количество решений, подобных рассматриваемой системе. При этом окончательный выбор системы «Синоним» для многих заказчиков может быть оправдан не только соображениями разумной достаточности, но и эффективным заделом на будущее.

Достоинства:

  • Два варианта исполнения «Синоним-Сеть» и «Синоним-USB», дающие возможность эффективно изолировать не только информационные сети компании, но и конечные точки инфраструктуры.
  • Архитектура, позволяющая нейтрализовывать сетевые атаки на физическом, сетевом, канальном и транспортном уровнях в соответствии с семиуровневой моделью OSI.
  • Минимизация угроз информационной безопасности, связанных с эксплуатацией уязвимостей «нулевого дня».
  • Проверка наличия корректного цифрового сертификата при передаче файлов через встроенный FTP-сервер.
  • Возможность интеграции с другими наложенными средствами защиты информации.
  • Обеспечение соответствия требованиям регуляторов к операторам КИИ.
  • Решение находится в процессе сертификации по НДВ-4 ФСТЭК России (получение сертификата запланировано на первую половину 2021 года).

Недостатки:

  • Возможность соединения между собой только двух информационных сетей (сегментов сети) сетевой инфраструктуры компании.
  • Отсутствие встроенного программного клиента для настройки системы (графический режим не предусмотрен, конфигурация в режиме командной строки требует использования стороннего ПО).

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.