Обзор Traffic Inspector Next Generation - универсальный шлюз сетевой безопасности, российский UTM с DPI

Обзор Traffic Inspector Next Generation


Обзор Traffic Inspector Next Generation

Данный обзор подробно описывает универсальный шлюз сетевой безопасности Traffic Inspector Next Generation, разработанный российской компанией «Смарт-Софт». В материале представлен обзор моделей Traffic Inspector Next Generation, технические характеристики, основные функциональные возможности и описание основных интерфейсов шлюза.

Сертификат AM Test Lab

Номер сертификата: 169

Дата выдачи: 04.08.2016

Срок действия: 04.08.2021

Реестр сертифицированных продуктов »

 

1. Введение

2. Функциональные возможности

3. Модельный ряд

4. Работа с продуктом

4.1. Общее управление шлюзом

4.2. Управление правилами фильтрации и другими компонентами безопасности

4.3. Мониторинг и отчеты

5. Выводы

 

 

Введение

В наше время сложно переоценить значение интернета для современного бизнеса — глобальная сеть активно используется в бизнес-процессах для решения широкого спектра задач. Но она также таит в себе и множество опасных угроз. Как правило, основные задачи по защите корпоративных сетевых ресурсов от сетевых угроз и предоставления контролируемого доступа сотрудников к веб-ресурсам в интернете выполняют шлюзы безопасности. Традиционно это «классические» межсетевые экраны и веб-прокси-сервера. Однако с каждым днем угрозы информационной безопасности становятся все сложнее — киберпреступники используют новые методы взлома и реализуют все более изощренные атаки, чтобы получить несанкционированный доступ в сеть и украсть информацию. Поэтому в современных условиях возникает потребность в универсальных шлюзах безопасности нового поколения, которые соответствуют концепции унифицированной защиты от угроз — Unified Treat Management (UTM).

Термин Unified Threat Management (UTM) введен американским аналитическим агентством International Data Corporation (IDC). IDC под UTM подразумевает устройство, которое включает в себя как минимум межсетевой экран, систему обнаружения вторжений (IDS/IPS), VPN-сервер и антивирусный модуль. По мнению аналитического агентства Gartner, UTM-шлюз должен обеспечивать стандартные функции межсетевого экранирования с контролем состояний сетевых соединений, возможность организации удаленного доступа с использованием VPN, функциональность веб-прокси с проверками на наличие вредоносного трафика, с URL-фильтрацией и контролем приложений, антиспам-фильтрами, а также предотвращать сетевые вторжения и атаки.

До недавнего времени большинство UTM-устройств импортировались в Россию из-за рубежа. Но в условиях политической нестабильности использование импортных средств защиты информации может создать проблемы. В статье «Опасные связи: пора перестать тратить государственные деньги на иностранный софт» мы уже говорили о том, с какими негативными последствиями могут столкнуться организации, используя устройства и программное обеспечение западных вендоров. В этой ситуации логично рассмотреть UTM-решения российских разработчиков в качестве замены импортным устройствам. Тем более что сегодня отечественные компании уже предлагают достойные решения, которые могут конкурировать с западными аналогами. Об одном из таких отечественных решений — Traffic Inspector Next Generation — и пойдет речь в этом обзоре.

В июле 2016 г. российская компания «Смарт-Софт» представила универсальный шлюз безопасности для управления интернет-доступом Traffic Inspector Next Generation. Traffic Inspector Next Generation соответствует концепции унифицированной защиты от угроз — Unified Treat Management. Traffic Inspector Next Generation разворачивается в качестве шлюза на границе сети и служит входной точкой в офисную или домашнюю сеть. Такое расположение позволяет контролировать все сетевые потоки между LAN-сетью и интернетом. Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI и предоставляет широкий набор сетевых сервисов под управлением единого интерфейса. Основные функции Traffic Inspector Next Generation — обеспечение сетевой защиты, контроль доступа в интернет и сбор сетевой статистики.

 

Функциональные возможности Traffic Inspector Next Generation

К основным функциональным возможностям Traffic Inspector Next Generation версии 1.0 относят следующее:

  • Межсетевой экран — защищает шлюз и компьютеры пользователей от несанкционированного доступа из интернета. Средствами сетевого экрана также реализован механизм NAT, обеспечивающий общий доступ внутренних пользователей к интернету.
  • Deep Packet Inspection — позволяет распознавать и фильтровать трафик приложений независимо от используемых ими сетевых портов (L7-фильтрация).
  • Веб-прокси-сервер — служит посредником при обращении внутренних пользователей к веб-ресурсам интернета. Использование веб-прокси-сервера позволяет ускорять доступ к наиболее часто запрашиваемому веб-контенту. Веб-прокси-сервер Traffic Inspector Next Generation поддерживает перехват SSL-соединений, URL-фильтрацию и антивирусную проверку передаваемого веб-контента.
  • Система обнаружения/предотвращения вторжений (IDS/IPS) — предназначена для выявления и предотвращения вредной и потенциально опасной сетевой активности в сети, защищаемой шлюзом Traffic Inspector Next Generation.
  • VPN-сервер — поддерживает подключение удаленных VPN-клиентов с использованием технологий OpenVPN и IPsec.
  • Антивирус — Traffic Inspector Next Generation обеспечивает антивирусную проверку HTTP- и HTTPS-трафика за счет встроенного прокси-сервера и стандартного протокола ICAP. Антивирусный анализ осуществляется внешними антивирусными фильтрами от известных производителей, например Kaspersky Anti-Virus for Proxy Server.
  • Ограничитель скорости / приоритизация трафика — позволяет разграничивать пропускную способность интернет-канала между пользователями и приоритизировать обработку критичного к задержкам трафика (VoIP, видеосвязь).
  • Отказоустойчивость — несколько серверов Traffic Inspector Next Generation могут функционировать в режиме аппаратной избыточности, подменяя друг друга при выходе из строя других серверов пула Traffic Inspector Next Generation (аппаратная отказоустойчивость на базе протокола CARP). Traffic Inspector Next Generation поддерживает функционал переключения на запасные каналы доступа к интернету при выходе и строя основных (Connection Failover). Существует также возможность сохранения и восстановления конфигурации шлюза в облаке.
  • Балансировка нагрузки — обеспечивает равномерное распределение сетевой нагрузки между несколькими серверами во внутренней сети с целью оптимизации использования ресурсов, сокращения времени обслуживания запросов, а также обеспечения лучшей отказоустойчивости.
  • Отчеты/графики — Traffic Inspector Next Generation предоставляет гибкие и информативные отчеты по сетевой активности пользователей. Поддерживается протоколирование действий администратора шлюза и возможность отката к любому из запротоколированных состояний.

Traffic Inspector Next Generation имеет встроенный Netflow-анализатор и может экспортировать Netflow-данные во внешние коллекторы. К тому же Traffic Inspector Next Generation имеет полнофункциональный модуль мониторинга в реальном времени.

Traffic Inspector Next Generation реализует также ряд полезных сервисов:

  • DHCP — если требуется распространять TCP/IP настройки для клинетов шлюза с помощью протокола DHCP.
  • Перенаправляющий DNS-сервер — шлюз берет на себя все заботы по разрешению имени и возвращает клиенту готовый ответ.
  • DynamicDNS — позволяет легко обращаться к шлюзу со стороны интернета по постоянному и неизменному DNS-имени.

Управление Traffic Inspector Next Generation осуществляется c помощью браузера через удобный веб-интерфейс, доступный по защищенному HTTPS-подключению.

Аутентификация пользователей в компонентах шлюза Traffic Inspector Next Generation (веб-интерфейс, портал авторизации Captive Portal, веб-прокси-сервер, VPN-сервер) производятся с помощью ряда методов:

  • локальная база пользователей,
  • служба каталогов LDAP,
  • Radius-сервер.

В Traffic Inspector Next Generation для авторизации пользователей можно использовать сервис двухфакторной аутентификации Google authenticator.

В Traffic Inspector Next Generation также существует возможность создания временных пользователей. Данная функция может быть полезна для гостиниц, публичных Wi-Fi-сетей, где необходимо идентифицировать пользователей и предоставить им доступ на ограниченное время.

Далее в обзоре будет рассмотрен модельный ряд Traffic Inspector Next Generation, а также показана работа с основными компонентами шлюза.

 

Модельный ряд Traffic Inspector Next Generation

Компания «Смарт-Софт» предлагает широкий ряд устройств, начиная с модели для небольших предприятий и офисов (до 100 пользователей) и заканчивая моделью, предназначенной для крупных корпораций (свыше 1000 пользователей).

 

Таблица 1. Модельный ряд Traffic Inspector Next Generation

Технические характеристики

Модельный ряд

Traffic Inspector Next Generation S 100

Traffic Inspector Next Generation M 1000

Traffic Inspector Next Generation L 2000+

Назначение

Небольшие офисы

Средний бизнес

Крупные корпорации

Платформа

Процессор

AMD GX-412 TC

Intel Xeon E3-1225V5

Intel Xeon E3-1275v3

Емкость устройства хранения данных

30GB

500GB

128GB SSD

Объем оперативной памяти

4GB ECC

8GB ECC

8GB ECC

Сетевые интерфейсы

3 GE

2 GE

8 GE \ 2 10GE

Консольный  интерфейс

RS-232

RS-232

RS-232

Форм-фактор

embedded

1U

1U

Габариты (ВхШxГ):

28x168x157

43x437x287

44x485x359

Масса

0,4кг

6кг

8.5 кг

Эксплуатационные характеристики

Пропускная способность межсетевого экрана (Мбит/с)

320

1000

10000

Пропускная способность при включенном IDS/IPS, (Мбит/с)

240

1000

8000

Число пользователей

<100

<1000

>1000

Число сетей VLAN

4094

4094

4094

Назначение

 

 

 

Соответствие требованиям российского законодательства в области ИБ

Приказ ФСТЭК России от 9 февраля 2016 г. № 9 (требования к межсетевым экранам)

Тип «Б», Класс защиты 4

(находится в формальной стадии регистрации во ФСТЭК)

Тип «Б», Класс защиты 4

(находится в формальной стадии регистрации во ФСТЭК)

Тип «Б», Класс защиты 4

(находится в формальной стадии регистрации во ФСТЭК)

 

Рисунок 1. Внешний вид шлюза Traffic Inspector Next Generation S 100

Внешний вид шлюза Traffic Inspector Next Generation S 100

 

Работа с Traffic Inspector Next Generation

Общее управление шлюзом

Управление шлюзом осуществляется c помощью браузера через веб-интерфейс, доступный по умолчанию по порту 443 (HTTPS) или 80 (HTTP) со стороны внутреннего LAN-адаптера шлюза.

 

Рисунок 2. Аутентификация администратора для доступа к веб-интерфейсу Traffic Inspector Next Generation

Аутентификация администратора для доступа к веб-интерфейсу Traffic Inspector Next Generation

 

Окно веб-интерфейса состоит из трех зон — слева расположено иерархическое меню, разделенное по функциональным возможностям, справа отображается основная информация и настройки соответствующего раздела, вверху выводится информация об учетной записи администратора и кнопка выхода из системы.

На начальной странице интерфейса администратора Traffic Inspector Next Generation («Инструментальная панель») отображается набор виджетов с ключевой информацией о шлюзе. Администратор может настроить виджеты начальной страницы по своему вкусу, например, добавить виджеты с информацией о системе, сетевой статистике по интерфесам, статусе служб и другие.

 

Рисунок 3. Начальная страница интерфейса администратора в Traffic Inspector Next Generation

Начальная страница интерфейса администратора в Traffic Inspector Next Generation

 

В Traffic Inspector Next Generation предусмотрен мастер настройки шлюза. С помощью мастера можно настроить имя шлюза, домен, DNS-серверы, часовой пояс и NTP-сервер, TCP/IP-настройки внешних и внутренних адаптеров шлюза, настройки PPPoE / PPTP-подключений.

 

Рисунок 4. Настройка шлюза в меню «Мастер» в Traffic Inspector Next Generation

Настройка шлюза в меню «Мастер» в Traffic Inspector Next Generation

Управление правилами фильтрации и другими компонентами безопасности

Настройки правил фильтрации доступны в разделе «Межсетевой экран». Правила задаются отдельно для WAN- и LAN-адаптеров и располагаются в виде списка. Для каждого правила могут указываться следующие параметры:

  • протокол (Proto);
  • отправитель;
  • порт (отправителя);
  • получатель;
  • порт (получателя);
  • шлюз;
  • расписание (для этого правила);
  • описание.

Если сетевой пакет удовлетворяет критериям правила, то к пакету применяется действие, заданное в правиле. Если к пакету применено правило, то пакет не будет сверяться с оставшимися правилами в списке. Если к пакету не может быть применено ни одно правило, то пакет отбрасывается.

 

Рисунок 5. Настройка правил для LAN-интерфейса в меню «Межсетевой экран» в Traffic Inspector Next Generation

Настройка правил для LAN-интерфейса в меню «Межсетевой экран» в Traffic Inspector Next Generation

 

По умолчанию любое обращение к шлюзу со стороны WAN-адаптера запрещено, а из внутренней сети разрешен любой доступ как на сам шлюз (LAN-адаптер шлюза), так и в интернет. При этом встроенное правило антиблокировки защищает администратора шлюза от потери доступа к веб-интерфейсу (HTTP (TCP/80) и HTTPS (TCP/443)).

Правила сетевой трансляции настраиваются в разделе NAT. По умолчанию здесь настроена опция «Автоматическое создание правил исходящего NAT». При данной настройке к любому трафику из внутренней сети офиса применяется прямое и обратное преобразование сетевых адресов (NAT) в автоматическом режиме.

 

Рисунок 6. Настройка NAT в Traffic Inspector Next Generation

Настройка NAT в Traffic Inspector Next Generation

 

Веб-фильтрация с использованием категорий реализуется в Traffic Inspector Next Generation за счет встроенного прокси-сервера и одного из свободных или платных черных списков. Популярные списки, которые хорошо работают в Traffic Inspector Next Generation, включают:

Shallalist.de http://www.shallalist.de/– бесплатный список для личного использования и частично платный для коммерческого использования.

URLBlacklist.com http://urlblacklist.com/ — платный коммерческий список.

Squidblacklist.org http://www.squidblacklist.org/– платный коммерческий список.

Контроль приложений Deep Packet Inspection позволяет распознавать и фильтровать трафик приложений независимо от используемых ими сетевых портов (L7-фильтрация). Использование контроля приложений позволяет оперативно определять сетевое приложение, соответствующее сессии, и далее применять ответные меры, например блокировать сессию или отслеживать действия пользователя. Контроль приложений опирается на декодеры протоколов, что позволяет выявлять приложения как на стандартных, так и на нестандартных портах.

 

Рисунок 7. Статистика Deep Packet Inspection в Traffic Inspector Next Generation

Статистика Deep Packet Inspection в Traffic Inspector Next Generation

 

Встроенная система обнаружения и предотвращения вторжений  (IDS/IPS) контролирует доступ в локальную сеть и автоматически защищает ее от вторжений. Traffic Inspector Next Generation просматривает трафик для выявления неавторизованной деятельности, записывает в журнал и отклоняет при необходимости. Решение использует систему проверки трафика NetMap для повышения производительности и снижения загрузки центрального процессора.

Чтобы модуль работал корректно, необходимо установить правила для системы обнаружения атак.

 

Рисунок 8. Меню управления правилами системы IDS/IPS в Traffic Inspector Next Generation

Меню управления правилами системы IDS/IPS в Traffic Inspector Next Generation

 

Traffic Inspector Next Generation обеспечивает антивирусную проверку HTTP- и HTTPS-трафика за счет встроенного прокси-сервера и стандартного протокола ICAP. Антивирусный анализ осуществляется внешними антивирусными модулями от известных производителей. Работая вместе, эти механизмы дают надежную защиту от вредоносных программ. При этом защита может быть расширена за счет встроенной системы предотвращения вторжений (IPS) и веб-фильтрации, основанной на категоризации.

 

Рисунок 9. Вирусы, обнаруженные антивирусным фильтром в Traffic Inspector Next Generation

Вирусы, обнаруженные антивирусным фильтром в Traffic Inspector Next Generation

 

Мониторинг и отчеты

Traffic Inspector Next Generation протоколирует изменения настроек шлюза в журнале изменений настроек. Поддерживается откат к любому из запротоколированных состояний.

 

Рисунок 10. Журнал изменения настроек шлюза в Traffic Inspector Next Generation

Журнал изменения настроек шлюза в Traffic Inspector Next Generation

 

Информацию о нагруженности шлюза можно посмотреть в подразделе «Состояние» раздела «Отчеты».

 

Рисунок 11. Мониторинг нагруженности шлюза в Traffic Inspector Next Generation

Мониторинг нагруженности шлюза в Traffic Inspector Next Generation

 

Отчеты по сетевой активности настраиваются в разделе «Отчеты» в подразделе NetFlow и доступны для анализа в подразделе Insight.

Traffic Inspector Next Generation имеет встроенный Netflow-анализатор (Insight). Netflow — это технология мониторинга от Cisco. Traffic Inspector Next Generation поддерживает возможность экспортирования Netflow-данных во внешние коллекторы, а также имеет полнофункциональный модуль мониторинга в реальном времени.

 

Рисунок 12. Сетевая статистика Netflow в Traffic Inspector Next Generation

Сетевая статистика Netflow в Traffic Inspector Next Generation

 

Анализатор Insight полностью интегрирован в Traffic Inspector Next Generation. Графический интерфейс Insight прост, но вместе с тем функционален. Insight предлагает широкий набор инструментов для анализа, начиная от обзорных графиков и заканчивая средством выгрузки данных в CSV-файлы для дальнейшего анализа в spreadsheet-приложении.

Netflow включает в себя следующие функции:

  • Захват на 5 уровнях конкретизации;
    • последние 2 часа, усредненное значение за 30 секунд;
    • последние 8 часов, усредненное значение за 5 минут;
    • последняя неделя, усредненное значение за 1 час;
    • последний месяц, усредненное значение за 24 часа;
    • последний год, усредненное значение за 24 часа.
    • Графическая репрезентация потоков.
    • Топ по использованию интерфейса, по IP-адресам и портам.
    • Входящий/исходящий трафик в пакетах и байтах.
    • Детализированное отображение с выбором даты и фильтрами по портам/IP-адресам (до двух месяцев).
    • Выгрузка данных в формат CSV для офлайн-анализа.
    • Выбираемый уровень детализации.
    • Выбираемый уровень разрешения.
    • Выбираемый диапазон дат.

Режим отображения по умолчанию — ТОП по пользователям и обзорные графики. Данный режим отображения позволяет быстро ознакомиться с текущими и ранее существовавшими потоками и представляет собой график для входящего и исходящего трафика для каждого используемого интерфейса. Для выбранного интерфейса отображаются 25 наиболее активных пользователей (по портам и IP-адресам), в пределах выбранного диапазона дат.

Кольцевая диаграмма показывает трафик по портам/приложениям в процентном отношении. Можно изменить режим отображения одинарным или двойным щелчком по одному из отображаемых портов. При выборе сектора кольцевой диаграммы открывается страница с более детализированной информацией.

Администратор может попасть на страницу с детализированной информацией, щелкнув по сектору кольцевой диаграммы и вкладке «Подробности». При открытии детализированной информации через вкладку, пользователь получает возможность составить новый запрос.

На вкладке «Экспорт» можно экспортировать данные для последующего анализа в других spreadsheet-приложениях.

 

Рисунок 13. Вкладка «Подробности» в подразделе Insight в Traffic Inspector Next Generation

Вкладка «Подробности» в подразделе Insight в Traffic Inspector Next Generation

 

Выводы

Traffic Inspector Next Generation — универсальный шлюз безопасности нового поколения для сегментов SOHO/SMB/Enterprise, обладающий хорошими техническими характеристиками и большим числом функциональных возможностей. Шлюз Traffic Inspector Next Generation соответствует концепции унифицированной защиты от угроз — Unified treat management (UTM), он может быть установлен как единственное устройство и выполнять все необходимые функции защиты — межсетевой экран, IDS/IPS, VPN-сервер, веб-прокси и т. п. Благодаря поддержке кластеризации несколько устройств Traffic Inspector Next Generation обеспечат безупречное отказоустойчивое решение.

Отметим, что на текущей момент Traffic Inspector Next Generation уже проходит процедуру сертификации во ФСТЭК России на соответствие новым требованиям к межсетевым экранам (тип Б, класс защиты 4), что дает возможность использовать его в составе системы защиты информационных систем, где применение сертифицированных продуктов обязательно.

К сильным сторонам продукта также можно отнести наличие системы контроля приложений Deep Packet Inspection, которая позволяет распознавать и фильтровать трафик приложений на седьмом уровне модели OSI, широкие возможности мониторинга и подготовки отчетов при помощи технологии NetFlow, возможность сохранения и восстановления конфигураций в облаке, двухфакторная аутентификация пользователей.

По функционалу первая версия Traffic Inspector Next Generation немного уступает UTM-устройствам и устройствам класса Next Generation Firewall (NGFW) западных вендоров. В составе функций Traffic Inspector Next Generation, например, нет системы предотвращения утечки информации Data loss/leakage protection (DLP) и антиспам-фильтра. Также некоторые зарубежные вендоры в своих NGFW и UTM-устройствах уже предлагают технологии защиты от угроз «нулевого дня» и целевых атак. Тем не менее, Traffic Inspector Next Generation может стать достойной заменой зарубежным аналогам. Это особенно актуально в связи со сложившейся политической ситуацией в России.

Еще к недостаткам Traffic Inspector Next Generation можно отнести отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, как следствие, отсутствие сертификатов по требованиям безопасности ФСБ России, а также отсутствие сертификатов соответствия требованиям ФСТЭК России на модуль системы обнаружения и предотвращения вторжений. Отсутствие указанных сертификатов может являться существенным ограничением при использовании продукта в качестве средства построения VPN-сетей и системы обнаружения вторжений в организациях государственного сектора, а также во многих частных компаниях.

Достоинства:

  • Комплексное российское решение по сетевой безопасности.
  • Широкий модельный ряд — SOHO/SMB/ Enterprise.
  • Возможность построения гибкой системы правил обработки сетевого трафика.
  • Управление трафиком, балансировка канала.
  • Контроль приложений.
  • Двухфакторная авторизация пользователей.
  • Высокая отказоустойчивость.
  • Система обнаружения и предотвращения вторжений.
  • Сохранение и восстановление конфигураций в облаке.
  • Мониторинг трафика с помощью технологии NetFlow.
  • Поддержка расширения функционала.
  • Постоянные обновления и полноценная поддержка продукта.

Недостатки:

  • Отсутствие поддержки российских криптографических алгоритмов ГОСТ 28147-89 VPN-сервером шлюза и, следовательно, отсутствие сертификатов соответствия по требованиям безопасности ФСБ РФ, предъявляемых к средствам криптографической защиты информации. В качестве компенсирующей меры разработчики рекомендуют использовать Traffic Inspector Next Generation  в связке с продуктами ViPNet от компании «ИнфоТеКС».
  • Отсутствие сертификатов соответствия ФСТЭК России на модуль системы обнаружения и предотвращения вторжений.
  • Отсутствие модулей DLP, антиспам и полноценной веб-фильтрации, привычных для зарубежных UTM-решений, которые пока находятся в планах разработки.

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.