Сертификат AM Test Lab
Номер сертификата: 169
Дата выдачи: 04.08.2016
Срок действия: 04.08.2021
4.2. Управление правилами фильтрации и другими компонентами безопасности
Введение
В наше время сложно переоценить значение интернета для современного бизнеса — глобальная сеть активно используется в бизнес-процессах для решения широкого спектра задач. Но она также таит в себе и множество опасных угроз. Как правило, основные задачи по защите корпоративных сетевых ресурсов от сетевых угроз и предоставления контролируемого доступа сотрудников к веб-ресурсам в интернете выполняют шлюзы безопасности. Традиционно это «классические» межсетевые экраны и веб-прокси-сервера. Однако с каждым днем угрозы информационной безопасности становятся все сложнее — киберпреступники используют новые методы взлома и реализуют все более изощренные атаки, чтобы получить несанкционированный доступ в сеть и украсть информацию. Поэтому в современных условиях возникает потребность в универсальных шлюзах безопасности нового поколения, которые соответствуют концепции унифицированной защиты от угроз — Unified Treat Management (UTM).
Термин Unified Threat Management (UTM) введен американским аналитическим агентством International Data Corporation (IDC). IDC под UTM подразумевает устройство, которое включает в себя как минимум межсетевой экран, систему обнаружения вторжений (IDS/IPS), VPN-сервер и антивирусный модуль. По мнению аналитического агентства Gartner, UTM-шлюз должен обеспечивать стандартные функции межсетевого экранирования с контролем состояний сетевых соединений, возможность организации удаленного доступа с использованием VPN, функциональность веб-прокси с проверками на наличие вредоносного трафика, с URL-фильтрацией и контролем приложений, антиспам-фильтрами, а также предотвращать сетевые вторжения и атаки.
До недавнего времени большинство UTM-устройств импортировались в Россию из-за рубежа. Но в условиях политической нестабильности использование импортных средств защиты информации может создать проблемы. В статье «Опасные связи: пора перестать тратить государственные деньги на иностранный софт» мы уже говорили о том, с какими негативными последствиями могут столкнуться организации, используя устройства и программное обеспечение западных вендоров. В этой ситуации логично рассмотреть UTM-решения российских разработчиков в качестве замены импортным устройствам. Тем более что сегодня отечественные компании уже предлагают достойные решения, которые могут конкурировать с западными аналогами. Об одном из таких отечественных решений — Traffic Inspector Next Generation — и пойдет речь в этом обзоре.
В июле 2016 г. российская компания «Смарт-Софт» представила универсальный шлюз безопасности для управления интернет-доступом Traffic Inspector Next Generation. Traffic Inspector Next Generation соответствует концепции унифицированной защиты от угроз — Unified Treat Management. Traffic Inspector Next Generation разворачивается в качестве шлюза на границе сети и служит входной точкой в офисную или домашнюю сеть. Такое расположение позволяет контролировать все сетевые потоки между LAN-сетью и интернетом. Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI и предоставляет широкий набор сетевых сервисов под управлением единого интерфейса. Основные функции Traffic Inspector Next Generation — обеспечение сетевой защиты, контроль доступа в интернет и сбор сетевой статистики.
Функциональные возможности Traffic Inspector Next Generation
К основным функциональным возможностям Traffic Inspector Next Generation версии 1.0 относят следующее:
- Межсетевой экран — защищает шлюз и компьютеры пользователей от несанкционированного доступа из интернета. Средствами сетевого экрана также реализован механизм NAT, обеспечивающий общий доступ внутренних пользователей к интернету.
- Deep Packet Inspection — позволяет распознавать и фильтровать трафик приложений независимо от используемых ими сетевых портов (L7-фильтрация).
- Веб-прокси-сервер — служит посредником при обращении внутренних пользователей к веб-ресурсам интернета. Использование веб-прокси-сервера позволяет ускорять доступ к наиболее часто запрашиваемому веб-контенту. Веб-прокси-сервер Traffic Inspector Next Generation поддерживает перехват SSL-соединений, URL-фильтрацию и антивирусную проверку передаваемого веб-контента.
- Система обнаружения/предотвращения вторжений (IDS/IPS) — предназначена для выявления и предотвращения вредной и потенциально опасной сетевой активности в сети, защищаемой шлюзом Traffic Inspector Next Generation.
- VPN-сервер — поддерживает подключение удаленных VPN-клиентов с использованием технологий OpenVPN и IPsec.
- Антивирус — Traffic Inspector Next Generation обеспечивает антивирусную проверку HTTP- и HTTPS-трафика за счет встроенного прокси-сервера и стандартного протокола ICAP. Антивирусный анализ осуществляется внешними антивирусными фильтрами от известных производителей, например Kaspersky Anti-Virus for Proxy Server.
- Ограничитель скорости / приоритизация трафика — позволяет разграничивать пропускную способность интернет-канала между пользователями и приоритизировать обработку критичного к задержкам трафика (VoIP, видеосвязь).
- Отказоустойчивость — несколько серверов Traffic Inspector Next Generation могут функционировать в режиме аппаратной избыточности, подменяя друг друга при выходе из строя других серверов пула Traffic Inspector Next Generation (аппаратная отказоустойчивость на базе протокола CARP). Traffic Inspector Next Generation поддерживает функционал переключения на запасные каналы доступа к интернету при выходе и строя основных (Connection Failover). Существует также возможность сохранения и восстановления конфигурации шлюза в облаке.
- Балансировка нагрузки — обеспечивает равномерное распределение сетевой нагрузки между несколькими серверами во внутренней сети с целью оптимизации использования ресурсов, сокращения времени обслуживания запросов, а также обеспечения лучшей отказоустойчивости.
- Отчеты/графики — Traffic Inspector Next Generation предоставляет гибкие и информативные отчеты по сетевой активности пользователей. Поддерживается протоколирование действий администратора шлюза и возможность отката к любому из запротоколированных состояний.
Traffic Inspector Next Generation имеет встроенный Netflow-анализатор и может экспортировать Netflow-данные во внешние коллекторы. К тому же Traffic Inspector Next Generation имеет полнофункциональный модуль мониторинга в реальном времени.
Traffic Inspector Next Generation реализует также ряд полезных сервисов:
- DHCP — если требуется распространять TCP/IP настройки для клинетов шлюза с помощью протокола DHCP.
- Перенаправляющий DNS-сервер — шлюз берет на себя все заботы по разрешению имени и возвращает клиенту готовый ответ.
- DynamicDNS — позволяет легко обращаться к шлюзу со стороны интернета по постоянному и неизменному DNS-имени.
Управление Traffic Inspector Next Generation осуществляется c помощью браузера через удобный веб-интерфейс, доступный по защищенному HTTPS-подключению.
Аутентификация пользователей в компонентах шлюза Traffic Inspector Next Generation (веб-интерфейс, портал авторизации Captive Portal, веб-прокси-сервер, VPN-сервер) производятся с помощью ряда методов:
- локальная база пользователей,
- служба каталогов LDAP,
- Radius-сервер.
В Traffic Inspector Next Generation для авторизации пользователей можно использовать сервис двухфакторной аутентификации Google authenticator.
В Traffic Inspector Next Generation также существует возможность создания временных пользователей. Данная функция может быть полезна для гостиниц, публичных Wi-Fi-сетей, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время.
Далее в обзоре будет рассмотрен модельный ряд Traffic Inspector Next Generation, а также показана работа с основными компонентами шлюза.
Модельный ряд Traffic Inspector Next Generation
Компания «Смарт-Софт» предлагает широкий ряд устройств, начиная с модели для небольших предприятий и офисов (до 100 пользователей) и заканчивая моделью, предназначенной для крупных корпораций (свыше 1000 пользователей).
Таблица 1. Модельный ряд Traffic Inspector Next Generation
Технические характеристики | Модельный ряд | ||
Traffic Inspector Next Generation S 100 | Traffic Inspector Next Generation M 1000 | Traffic Inspector Next Generation L 2000+ | |
Назначение | Небольшие офисы | Средний бизнес | Крупные корпорации |
Платформа | |||
Процессор | AMD GX-412 TC | Intel Xeon E3-1225V5 | Intel Xeon E3-1275v3 |
Емкость устройства хранения данных | 30GB | 500GB | 128GB SSD |
Объем оперативной памяти | 4GB ECC | 8GB ECC | 8GB ECC |
Сетевые интерфейсы | 3 GE | 2 GE | 8 GE \ 2 10GE |
Консольный интерфейс | RS-232 | RS-232 | RS-232 |
Форм-фактор | embedded | 1U | 1U |
Габариты (ВхШxГ): | 28x168x157 | 43x437x287 | 44x485x359 |
Масса | 0,4кг | 6кг | 8.5 кг |
Эксплуатационные характеристики | |||
Пропускная способность межсетевого экрана (Мбит/с) | 320 | 1000 | 10000 |
Пропускная способность при включенном IDS/IPS, (Мбит/с) | 240 | 1000 | 8000 |
Число пользователей | <100 | <1000 | >1000 |
Число сетей VLAN | 4094 | 4094 | 4094 |
Назначение |
|
|
|
Соответствие требованиям российского законодательства в области ИБ | |||
Приказ ФСТЭК России от 9 февраля 2016 г. № 9 (требования к межсетевым экранам) | Тип «Б», Класс защиты 4 (находится в формальной стадии регистрации во ФСТЭК) | Тип «Б», Класс защиты 4 (находится в формальной стадии регистрации во ФСТЭК) | Тип «Б», Класс защиты 4 (находится в формальной стадии регистрации во ФСТЭК) |
Рисунок 1. Внешний вид шлюза Traffic Inspector Next Generation S 100
Работа с Traffic Inspector Next Generation
Общее управление шлюзом
Управление шлюзом осуществляется c помощью браузера через веб-интерфейс, доступный по умолчанию по порту 443 (HTTPS) или 80 (HTTP) со стороны внутреннего LAN-адаптера шлюза.
Рисунок 2. Аутентификация администратора для доступа к веб-интерфейсу Traffic Inspector Next Generation
Окно веб-интерфейса состоит из трех зон — слева расположено иерархическое меню, разделенное по функциональным возможностям, справа отображается основная информация и настройки соответствующего раздела, вверху выводится информация об учетной записи администратора и кнопка выхода из системы.
На начальной странице интерфейса администратора Traffic Inspector Next Generation («Инструментальная панель») отображается набор виджетов с ключевой информацией о шлюзе. Администратор может настроить виджеты начальной страницы по своему вкусу, например, добавить виджеты с информацией о системе, сетевой статистике по интерфесам, статусе служб и другие.
Рисунок 3. Начальная страница интерфейса администратора в Traffic Inspector Next Generation
В Traffic Inspector Next Generation предусмотрен мастер настройки шлюза. С помощью мастера можно настроить имя шлюза, домен, DNS-серверы, часовой пояс и NTP-сервер, TCP/IP-настройки внешних и внутренних адаптеров шлюза, настройки PPPoE / PPTP-подключений.
Рисунок 4. Настройка шлюза в меню «Мастер» в Traffic Inspector Next Generation
Управление правилами фильтрации и другими компонентами безопасности
Настройки правил фильтрации доступны в разделе «Межсетевой экран». Правила задаются отдельно для WAN- и LAN-адаптеров и располагаются в виде списка. Для каждого правила могут указываться следующие параметры:
- протокол (Proto);
- отправитель;
- порт (отправителя);
- получатель;
- порт (получателя);
- шлюз;
- расписание (для этого правила);
- описание.
Если сетевой пакет удовлетворяет критериям правила, то к пакету применяется действие, заданное в правиле. Если к пакету применено правило, то пакет не будет сверяться с оставшимися правилами в списке. Если к пакету не может быть применено ни одно правило, то пакет отбрасывается.
Рисунок 5. Настройка правил для LAN-интерфейса в меню «Межсетевой экран» в Traffic Inspector Next Generation
По умолчанию любое обращение к шлюзу со стороны WAN-адаптера запрещено, а из внутренней сети разрешен любой доступ как на сам шлюз (LAN-адаптер шлюза), так и в интернет. При этом встроенное правило антиблокировки защищает администратора шлюза от потери доступа к веб-интерфейсу (HTTP (TCP/80) и HTTPS (TCP/443)).
Правила сетевой трансляции настраиваются в разделе NAT. По умолчанию здесь настроена опция «Автоматическое создание правил исходящего NAT». При данной настройке к любому трафику из внутренней сети офиса применяется прямое и обратное преобразование сетевых адресов (NAT) в автоматическом режиме.
Рисунок 6. Настройка NAT в Traffic Inspector Next Generation
Веб-фильтрация с использованием категорий реализуется в Traffic Inspector Next Generation за счет встроенного прокси-сервера и одного из свободных или платных черных списков. Популярные списки, которые хорошо работают в Traffic Inspector Next Generation, включают:
Shallalist.de http://www.shallalist.de/– бесплатный список для личного использования и частично платный для коммерческого использования.
URLBlacklist.com http://urlblacklist.com/ — платный коммерческий список.
Squidblacklist.org http://www.squidblacklist.org/– платный коммерческий список.
Контроль приложений Deep Packet Inspection позволяет распознавать и фильтровать трафик приложений независимо от используемых ими сетевых портов (L7-фильтрация). Использование контроля приложений позволяет оперативно определять сетевое приложение, соответствующее сессии, и далее применять ответные меры, например блокировать сессию или отслеживать действия пользователя. Контроль приложений опирается на декодеры протоколов, что позволяет выявлять приложения как на стандартных, так и на нестандартных портах.
Рисунок 7. Статистика Deep Packet Inspection в Traffic Inspector Next Generation
Встроенная система обнаружения и предотвращения вторжений (IDS/IPS) контролирует доступ в локальную сеть и автоматически защищает ее от вторжений. Traffic Inspector Next Generation просматривает трафик для выявления неавторизованной деятельности, записывает в журнал и отклоняет при необходимости. Решение использует систему проверки трафика NetMap для повышения производительности и снижения загрузки центрального процессора.
Чтобы модуль работал корректно, необходимо установить правила для системы обнаружения атак.
Рисунок 8. Меню управления правилами системы IDS/IPS в Traffic Inspector Next Generation
Traffic Inspector Next Generation обеспечивает антивирусную проверку HTTP- и HTTPS-трафика за счет встроенного прокси-сервера и стандартного протокола ICAP. Антивирусный анализ осуществляется внешними антивирусными модулями от известных производителей. Работая вместе, эти механизмы дают надежную защиту от вредоносных программ. При этом защита может быть расширена за счет встроенной системы предотвращения вторжений (IPS) и веб-фильтрации, основанной на категоризации.
Рисунок 9. Вирусы, обнаруженные антивирусным фильтром в Traffic Inspector Next Generation
Мониторинг и отчеты
Traffic Inspector Next Generation протоколирует изменения настроек шлюза в журнале изменений настроек. Поддерживается откат к любому из запротоколированных состояний.
Рисунок 10. Журнал изменения настроек шлюза в Traffic Inspector Next Generation
Информацию о нагруженности шлюза можно посмотреть в подразделе «Состояние» раздела «Отчеты».
Рисунок 11. Мониторинг нагруженности шлюза в Traffic Inspector Next Generation
Отчеты по сетевой активности настраиваются в разделе «Отчеты» в подразделе NetFlow и доступны для анализа в подразделе Insight.
Traffic Inspector Next Generation имеет встроенный Netflow-анализатор (Insight). Netflow — это технология мониторинга от Cisco. Traffic Inspector Next Generation поддерживает возможность экспортирования Netflow-данных во внешние коллекторы, а также имеет полнофункциональный модуль мониторинга в реальном времени.
Рисунок 12. Сетевая статистика Netflow в Traffic Inspector Next Generation
Анализатор Insight полностью интегрирован в Traffic Inspector Next Generation. Графический интерфейс Insight прост, но вместе с тем функционален. Insight предлагает широкий набор инструментов для анализа, начиная от обзорных графиков и заканчивая средством выгрузки данных в CSV-файлы для дальнейшего анализа в spreadsheet-приложении.
Netflow включает в себя следующие функции:
- Захват на 5 уровнях конкретизации;
- последние 2 часа, усредненное значение за 30 секунд;
- последние 8 часов, усредненное значение за 5 минут;
- последняя неделя, усредненное значение за 1 час;
- последний месяц, усредненное значение за 24 часа;
- последний год, усредненное значение за 24 часа.
- Графическая репрезентация потоков.
- Топ по использованию интерфейса, по IP-адресам и портам.
- Входящий/исходящий трафик в пакетах и байтах.
- Детализированное отображение с выбором даты и фильтрами по портам/IP-адресам (до двух месяцев).
- Выгрузка данных в формат CSV для офлайн-анализа.
- Выбираемый уровень детализации.
- Выбираемый уровень разрешения.
- Выбираемый диапазон дат.
Режим отображения по умолчанию — ТОП по пользователям и обзорные графики. Данный режим отображения позволяет быстро ознакомиться с текущими и ранее существовавшими потоками и представляет собой график для входящего и исходящего трафика для каждого используемого интерфейса. Для выбранного интерфейса отображаются 25 наиболее активных пользователей (по портам и IP-адресам), в пределах выбранного диапазона дат.
Кольцевая диаграмма показывает трафик по портам/приложениям в процентном отношении. Можно изменить режим отображения одинарным или двойным щелчком по одному из отображаемых портов. При выборе сектора кольцевой диаграммы открывается страница с более детализированной информацией.
Администратор может попасть на страницу с детализированной информацией, щелкнув по сектору кольцевой диаграммы и вкладке «Подробности». При открытии детализированной информации через вкладку, пользователь получает возможность составить новый запрос.
На вкладке «Экспорт» можно экспортировать данные для последующего анализа в других spreadsheet-приложениях.
Рисунок 13. Вкладка «Подробности» в подразделе Insight в Traffic Inspector Next Generation
Выводы
Traffic Inspector Next Generation — универсальный шлюз безопасности нового поколения для сегментов SOHO/SMB/Enterprise, обладающий хорошими техническими характеристиками и большим числом функциональных возможностей. Шлюз Traffic Inspector Next Generation соответствует концепции унифицированной защиты от угроз — Unified treat management (UTM), он может быть установлен как единственное устройство и выполнять все необходимые функции защиты — межсетевой экран, IDS/IPS, VPN-сервер, веб-прокси и т. п. Благодаря поддержке кластеризации несколько устройств Traffic Inspector Next Generation обеспечат безупречное отказоустойчивое решение.
Отметим, что на текущей момент Traffic Inspector Next Generation уже проходит процедуру сертификации во ФСТЭК России на соответствие новым требованиям к межсетевым экранам (тип Б, класс защиты 4), что дает возможность использовать его в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно.
К сильным сторонам продукта также можно отнести наличие системы контроля приложений Deep Packet Inspection, которая позволяет распознавать и фильтровать трафик приложений на седьмом уровне модели OSI, широкие возможности мониторинга и подготовки отчетов при помощи технологии NetFlow, возможность сохранения и восстановления конфигураций в облаке, двухфакторная аутентификация пользователей.
По функционалу первая версия Traffic Inspector Next Generation немного уступает UTM-устройствам и устройствам класса Next Generation Firewall (NGFW) западных вендоров. В составе функций Traffic Inspector Next Generation, например, нет системы предотвращения утечки информации Data loss/leakage protection (DLP) и антиспам-фильтра. Также некоторые зарубежные вендоры в своих NGFW и UTM-устройствах уже предлагают технологии защиты от угроз «нулевого дня» и целевых атак. Тем не менее, Traffic Inspector Next Generation может стать достойной заменой зарубежным аналогам. Это особенно актуально в связи со сложившейся политической ситуацией в России.
Еще к недостаткам Traffic Inspector Next Generation можно отнести отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, как следствие, отсутствие сертификатов по требованиям безопасности ФСБ России, а также отсутствие сертификатов соответствия требованиям ФСТЭК России на модуль системы обнаружения и предотвращения вторжений. Отсутствие указанных сертификатов может являться существенным ограничением при использовании продукта в качестве средства построения VPN-сетей и системы обнаружения вторжений в организациях государственного сектора, а также во многих частных компаниях.
Достоинства:
- Комплексное российское решение по сетевой безопасности.
- Широкий модельный ряд — SOHO/SMB/ Enterprise.
- Возможность построения гибкой системы правил обработки сетевого трафика.
- Управление трафиком, балансировка канала.
- Контроль приложений.
- Двухфакторная авторизация пользователей.
- Высокая отказоустойчивость.
- Система обнаружения и предотвращения вторжений.
- Сохранение и восстановление конфигураций в облаке.
- Мониторинг трафика с помощью технологии NetFlow.
- Поддержка расширения функционала.
- Постоянные обновления и полноценная поддержка продукта.
Недостатки:
- Отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, следовательно, отсутствие сертификатов соответствия по требованиям безопасности ФСБ РФ, предъявляемых к средствам криптографической защиты информации. В качестве компенсирующей меры разработчики рекомендуют использовать Traffic Inspector Next Generation в связке с продуктами ViPNet от компании «ИнфоТеКС».
- Отсутствие сертификатов соответствия ФСТЭК России на модуль системы обнаружения и предотвращения вторжений.
- Отсутствие модулей DLP, антиспам и полноценной веб-фильтрации, привычных для зарубежных UTM-решений, которые пока находятся в планах разработки.