Обзор универсального шлюза безопасности ИКС КУБ 5.2

Обзор универсального шлюза безопасности ИКС КУБ 5.2


Обзор универсального шлюза безопасности ИКС КУБ 5.2

В обзоре представлена аппаратно-программная платформа от компании «А-Реал Консалтинг» — ИКС КУБ версии 5.2, которая может одновременно выполнять функции по управлению сетью, пользователями, телефонией и безопасностью за счет модулей межсетевого экрана, почтового антивируса и веб-фильтра, детектора атак, DLP, WAF и возможности управлять цифровыми сертификатами.  

Сертификат AM Test Lab

Номер сертификата: 215

Дата выдачи: 21.01.2018

Срок действия: 21.01.2023

Реестр сертифицированных продуктов »

 

  1. Введение
  2. Функциональные возможности ИКС КУБ
  3. Лицензирование ИКС КУБ
  4. Системные требования ИКС КУБ
  5. Установка и настройка ИКС КУБ
  6. Управление пользователями
  7. Управление защитой в ИКС КУБ
    1. 7.1. Антивирус
    2. 7.2. Антиспам
    3. 7.3. Межсетевой экран
    4. 7.4. Детектор атак
    5. 7.5. DLP
    6. 7.6. Контент-фильтр
    7. 7.7. Цифровые сертификаты
    8. 7.8. Web Application Firewall
  8. Работа с ИКС КУБ
    1. 8.1. Управление сетью
    2. 8.2. Файловый сервер
    3. 8.3. Почтовый сервер
    4. 8.4. Jabber-сервер
    5. 8.5. Телефония
  9. Выводы 

 

Введение

Для обеспечения работы сети и управления корпоративной безопасностью, как правило, в организациях используется множество устройств. Чтобы обеспечить многоуровневую защиту, администраторам зачастую приходится работать с большим количеством продуктов от различных вендоров. Так, например, для средней организации в порядке вещей иметь в своей сети отдельные устройства для осуществления межсетевого экранирования, прокси-сервер, почтовый сервер с настроенным почтовым антивирусом и антиспамом, сервер с функциями детектора атак и проверки трафика на возможность утечек конфиденциальной информации. Проблема администрирования и настройки такого количества устройств стояла достаточно остро, в связи с чем на рынке продуктов информационной безопасности появились UTM-системы. В то же время небольшие компании не всегда готовы поддерживать сложную инфраструктуру, и многим достаточно одного устройства, включающего в себя множество возможностей и позволяющего закрывать задачи информационной безопасности.

Возможности UTM-систем должны позволять как минимум выполнять стандартные функции межсетевого экранирования, организации удаленного доступа, проверки сетевого трафика и предотвращения сетевых вторжений.

На российском рынке представлено не так много отечественных универсальных шлюзов безопасности. Российская компания «А-Реал Консалтинг» активно разрабатывает систему ИКС КУБ, построенную на базе FreeBSD и модулей на базе программного обеспечения с открытым исходным кодом. ИКС КУБ позволяет закрывать широкий круг задач, стоящий как перед администраторами безопасности, так и сетевыми администраторами. Стоит отметить, что ИКС КУБ — это программно-аппаратная платформа, реализованная на базе оборудования отечественной компании Depo. В условиях импортозамещения система ИКС КУБ будет отличным решением для организаций с небольшим количеством сотрудников.

 

Функциональные возможности ИКС КУБ 5.2

ИКС КУБ является решением для осуществления комплексной безопасности сетевой инфраструктуры, позволяющим выполнять множество задач безопасности в рамках единой аппаратной платформы:

  • защита сети и отдельных узлов от несанкционированного доступа;
  • защита конфиденциальной информации от утечек;
  • защита почтового сервера от спама и фишинга;
  • защита входящего и исходящего трафика веб-приложений компании;
  • фильтрация контента;
  • обнаружение и предотвращение вторжений;
  • контроль доступа сотрудников в интернет;
  • VPN-шифрование.

В то же время ИКС КУБ способен гибко настраивать сеть и управлять работой пользователей в сети, выполнять функции почтового сервера, файлового сервера, сервера веб-приложений и телефонии. Важно понимать, что благодаря ИКС все эти функции могут выполняться не на множестве устройств, а только на одном, позволяющем централизованно управлять каждым компонентом и получать единообразную подробную статистику и отчеты.

 

Лицензирование ИКС КУБ 5.2

Ознакомиться с порядком лицензирования ИКС КУБ можно на сайте производителя. При расчете учитываются несколько параметров:

  • Тип лицензии: новая лицензия, расширение существующей лицензии или лицензия на обновление.
  • Модуль антивируса: Dr.Web и/или Kaspersky Anti-Virus (с модулем антиспама или без него).
  • Категории трафика: SkyDNS и/или Kaspersky Web Filtering.

В стоимость новой лицензии включена аппаратная часть и лицензия на программу.

 

Системные требования ИКС КУБ 5.2

ИКС КУБ 5.2 поставляется в виде готового решения, представленного на аппаратной платформе DEPO Stream 6040CX ICS_CUBE, имеющей в себе процессор Celeron J1900, 8GB оперативной памяти DDR3L и жесткий диск 1T1000G5. Разработчики гарантируют стабильную работу устройства при 200 пользователей в сети.  

 

Установка и настройка ИКС КУБ 5.2

Платформа ИКС КУБ версии 5.2 поставляется в виде коробочного решения. Однако опишем вкратце процесс установки программного обеспечения по аналогии с другими редакциями ИКС от компании «А-Реал Консалтинг».

Для установки программного обеспечения необходимо подготовить flash-накопитель и записать на него предварительно скачанный с сайта .iso-образ с помощью утилиты для создания загрузочных носителей. После этого нужно установить flash-накопитель в платформу и настроить в BIOS загрузку с внешнего накопителя.

Установка ИКС КУБ 5.2

Программное обеспечение ИКС КУБ разработано на базе FreeBSD. Поэтому после подключения диска администратору будет выведено на экран сообщение загрузчика, а после — предложение выбрать язык установки (русский или английский). Следующим шагом появится информация о лицензионном соглашении, с которым рекомендуется ознакомиться, принять и продолжить установку.

 

Рисунок 1. После настройки BIOS на загрузку с CD-диска появится сообщение загрузчика

После настройки BIOS на загрузку с CD-диска появится сообщение загрузчика

 

Далее потребуется выбрать сетевой интерфейс, к которому в последующем будет подключена внутренняя сеть компании, и с него же будет осуществляться подключение и настройка параметров ИКС КУБ.

 

Рисунок 2. Во время настройки интерфейса необходимо назначить ему IP-адрес из внутренней подсети

Во время настройки интерфейса необходимо назначить ему IP-адрес из внутренней подсети

 

После настройки сетевых интерфейсов следует указать жесткий диск для установки. Причем форматировать и размечать диск не требуется — эти действия выполнит программа установки.

 

Рисунок 3. В процессе установки необходимо указать жесткий диск, и система самостоятельно отформатирует и разметит его

В процессе установки необходимо указать жесткий диск, и система самостоятельно отформатирует и разметит его

 

Последним шагом установки является настройка системного времени: даты, времени и часового пояса.

После выполненных действий начнется установка программного обеспечения ИКС КУБ. После завершения система перезагрузится, и начнется процесс установки компонентов.

 

Рисунок 4. В случае успешного завершения установки администратору будет выведено сообщение с данными для подключения

В случае успешного завершения установки администратору будет выведено сообщение с данными для подключения

 

Первичная настройка ИКС КУБ 5.2

После установки ИКС КУБ можно выполнить вход в веб-интерфейс управления для последующей настройки. Разработчики рекомендуют использовать браузеры Mozilla Firefox или Google Chrome. 

Интерфейс визуально разделен на две части. На панели слева представлены все модули системы, а в правой — окно выбранного модуля. При входе в веб-интерфейс отображается главная страница, на которой представлена актуальная информация по пользователям, трафику, атакам и вирусам, сетевым и аппаратным характеристикам и другое. Все данные на виджетах обновляются в режиме реального времени.

 

Рисунок 5. Главный интерфейс системы ИКС КУБ

Главный интерфейс системы ИКС КУБ

 

Первоначально систему можно настроить с помощью Мастера первоначальной настройки системы. Это позволит указать название организации, имя хоста и учетные данные администратора.

Совместно с Мастером первоначальной настройки вендор предлагает воспользоваться Мастером настройки сети. Это позволит завершить этап первоначальной настройки и запустить модуль межсетевого экрана.

Во время настройки сети потребуется настроить каждый сетевой интерфейс, указав его тип (для корректной работы необходимо указать как минимум один интерфейс класса «Провайдер» и один класса «Локальная сеть»).

Минимальная настройка сети заключается в выполнении трех шагов:

  • указание типа интерфейсов;
  • настройка локального интерфейса;
  • настройка интерфейса провайдера.

 

Рисунок 6. Существующие типы интерфейсов в ИКС КУБ 5.2

Существующие типы интерфейсов в ИКС КУБ 5.2

 

Для настройки интерфейса локальной сети администратору следует указать его mac-адрес. Также можно настроить интерфейс на работу по протоколу DHCP.

 

Рисунок 7. Пример настройки локальной сети в ИКС КУБ 5.2

Пример настройки локальной сети в ИКС КУБ 5.2

 

Для интерфейса провайдера потребуется ввести IP-адрес и маску интерфейса, IP-адрес шлюза и адрес DNS-сервера.

 

Рисунок 8. Пример настройки интерфейса провайдера в ИКС КУБ 5.2

Пример настройки интерфейса провайдера в ИКС КУБ 5.2

 

После настройки всех интерфейсов система покажет на экране введенные данные для проверки, после чего можно завершать работу Мастера.

Схемы развертывания ИКС КУБ 5.2

Вендор предлагает несколько сценариев для размещения ИКС КУБ в сети, рассмотрим два наиболее популярных среди существующих заказчиков.

Выделенная линия

Первый вариант заключается в установке ИКС КУБ в разрыв сети. Таким образом, устройство будет выполнять роль маршрутизатора и межсетевого экрана. При такой настройке на ИКС КУБ достаточно настроить один сетевой интерфейс, подключенный к внешней сети, и один интерфейс, подключенный к локальной сети компании.

 

Рисунок 9. ИКС КУБ 5.2 может быть установлен в качестве маршрутизатора

ИКС КУБ 5.2 может быть установлен в качестве маршрутизатора

 

Размещение в качестве выделенного сервиса

Второй вариант установки позволяет использовать только отдельные сервисы на ИКС КУБ, например, прокси-сервер, веб-сервер или сервер электронной почты. При такой конфигурации устройство устанавливается рядом с другими серверами или компьютерами в сети.

 

Рисунок 10. В случае, когда не требуется маршрутизатор, ИКС КУБ 5.2 может быть установлен рядом с другими устройствами

В случае, когда не требуется маршрутизатор, ИКС КУБ 5.2 может быть установлен рядом с другими устройствами

 

Управление пользователями

Пользователи в ИКС КУБ — это единица управления системой. Они являются наименьшим объектом применения политик.

Создание пользователя возможно как в ручном режиме, так и с помощью Мастера создания пользователя. После добавления пользователь получает доступ во внешнюю сеть в соответствии с его способом авторизации, а также индивидуальными и глобальными политиками доступа.

ИКС КУБ 5.2 поддерживает следующие возможные ограничения для пользователей:

  • Запрещающие и разрешающие правила на уровне IP-адресов.
  • Запрещающие и разрешающие правила прокси, исключения.
  • Ограничение количества соединений.
  • Ограничение скорости.
  • Выделение полосы пропускания.
  • Квоты на трафик по указанному адресу, протоколу или порту.
  • Статический маршрут.
  • DLP.
  • Контентная фильтрация.

Созданных пользователей можно объединять в группы, на которые назначаются правила доступа и квоты. Перемещение пользователей между группами осуществляется простым перетаскиванием мышью.

В ИКС КУБ 5.2 можно импортировать пользователей различными способами: из файла, из домена, LDAP-каталогов или из сети.

 

Рисунок 11. Пример списка пользователей в ИКС КУБ 5.2

Пример списка пользователей в ИКС КУБ 5.2

 

Управление защитой в ИКС КУБ 5.2

Для управления защитой сети компании ИКС КУБ предоставляет администраторам широкий выбор модулей, которые можно гибко настраивать.

Антивирус

ИКС КУБ осуществляет защиту от вредоносных файлов с помощью трех антивирусов — бесплатного ClamAV и платных Dr.Web и Kaspersky. Причем ClamAV выполняет роль антивирусного прокси-сервера и настраивается на соответствующей вкладке.

 

Рисунок 12. На вкладке «Антивирус» можно настроить проверку HTTP-трафика на наличие вредоносов

На вкладке «Антивирус» можно настроить проверку HTTP-трафика на наличие вредоносов

Антиспам

Для защиты сотрудников компании от спама ИКС КУБ предлагает использовать модуль «Антиспам» от «Лаборатории Касперского». Таким образом, на наличие спама проверяются письма, проходящие через устройство. В настройках можно самостоятельно указать черные и белые списки IP-адресов и адресов электронной почты.

 

Рисунок 13. Многообразие настроек модуля антиспама

Многообразие настроек модуля антиспама

Межсетевой экран

Для осуществления контроля и фильтрации сетевых пакетов, в ИКС КУБ имеется модуль межсетевого экрана. В настройках можно настроить трансляцию сетевых адресов и перенаправление портов.

Правила межсетевого экрана позволяют указывать IP-адрес источника и IP-адрес назначения, протокол, порт источника и порт назначения, сетевой интерфейс и время действия правила. Также можно настроить приоритеты для трафика, позволяющие назначить более высокий приоритет обработке почты.

 

Рисунок 14. Возможности ИКС КУБ 5.2 позволяют гибко настроить параметры межсетевого экрана

Возможности ИКС КУБ 5.2 позволяют гибко настроить параметры межсетевого экрана

Детектор атак

Детектор атак в 5 версии ИКС КУБ реализован на базе свободной сетевой системы обнаружения и предотвращения вторжений с исходным кодом — Suricata. В отличие от Snort, которая использовалась ранее, Suricata является более надежной, высокопроизводительной и многозадачной системой и полностью поддерживает формат правил Snort. Таким образом теперь Интернет Контроль Сервер позволяет блокировать трафик по правилам, в том числе и на Тор-сети, ботнет-сети и p2p-сети.

Обновления для детектора атак можно скачивать и устанавливать вручную, а можно настроить ИКС КУБ на самостоятельное получение обновлений.

 

Рисунок 15. Пример настроек детектора атак в ИКС КУБ 5.2

Пример настроек детектора атак в ИКС КУБ 5.2

DLP

Модуль DLP можно включить для проверки почтового трафика и выполнения проверки на прокси. В качестве параметров можно настроить использование контрольных сумм файлов, шаблоны, ключевые слова и отпечатки текстовых файлов.

 

Рисунок 16. Для выявления утечек конфиденциальной информации можно настроить модуль DLP

Для выявления утечек конфиденциальной информации можно настроить модуль DLP

Контент-фильтр

Модуль контентной фильтрации проверят данные по шаблонам и ключевым словам. Более того, в ИКС заранее встроены несколько групп слов для контент-фильтра: Список слов для школ, по данным сервиса SkyDNS, список слов с сайта Госнаркоконтроля и список слов с сайта Минюста. Такие списки позволяют блокировать загрузку веб-страниц в случае совпадения слов из заданных списков с текстом, содержащемся в HTML-коде сайта.

Заказчикам, которым важен компонент контентной фильтрации (например, школам) ИКС КУБ позволяет обеспечить максимальную защиту сети. В то же время для тех, кому требуются и дополнительные возможности, описанные в следующем разделе, ИКС КУБ предоставляет возможность использовать их без угроз для безопасности.

Цифровые сертификаты

В ИКС КУБ 5.2 можно создать несколько различных корневых сертификатов для различных служб, например, FTP и HTTPs. Это позволит устанавливать защищенное соединение, при котором исключается возможность расшифровки трафика злоумышленниками.

 

Рисунок 17. Пример хранения цифровых сертификатов в ИКС КУБ 5.2

Пример хранения цифровых сертификатов в ИКС КУБ 5.2

Web Application Firewall

Модуль WAF, который появился в последней версии ИКС, позволяет отслеживать и блокировать такие распространенные атаки на веб-приложения, как SQL-инъекции, межсайтовый скриптинг и неправильная настройка безопасности. Включить WAF можно на странице редактирования виртуального хоста (см. рисунок 19).

 

Работа с ИКС КУБ 5.2

Платформа ИКС КУБ позволяет выполнять множество функций и настраивать большое количество параметров. Это помогает гибко настроить устройство под нужды компании и потребности как сетевых администраторов, так и администраторов безопасности.

Управление сетью

Выполнение ИКС КУБ 5.2 функций маршрутизатора возможно за счет гибкой настройки сети. Для подключения могут использоваться как Wi-Fi-сети, так и VPN. Доступ во внешнюю сеть может осуществляться по различным протоколам, таким как PPTP, L2TP, PPPoE, VLAN, 3G, IPIP и GRE.

Обезопасить внутреннюю сеть можно настроив зону DMZ.

ИКС КУБ 5.2 поддерживает сборку статистики по IP-трафику с маршрутизаторов Cisco по протоколу netflow версий 5 и 9.

Файловый сервер

ИКС КУБ может быть использован в качестве хранилища файлов сотрудников компании. К папкам из хранилища файлов можно предоставить общий доступ, доступ через веб-интерфейс или FTP-доступ.

 

Рисунок 18. Параметры, доступные для настройки FTP-сервера организации

Параметры, доступные для настройки FTP-сервера организации

Модуль веб-сервера позволяет добавлять веб-ресурсы и привязывать их к IP-адресам ИКС КУБ. На странице настроек можно разрешить или запретить выполнение PHP-скриптов и назначить права доступа.

Для размещения сайта потребуется выполнить всего 4 действия:

  • Добавить в Хранилище файлов папку и создать в ней FTP-ресурс.
  • Закачать необходимые материалы по протоколу FTP.
  • Создать в этой же папке виртуальный хост.
  • Настроить DNS-записи для доменного имени созданного виртуального хоста.

 

Рисунок 19. В ИКС КУБ 5.2 можно поднять свой виртуальный хост

В ИКС КУБ 5.2 можно поднять свой виртуальный хост

Почтовый сервер

Настройка на ИКС КУБ собственного почтового сервера открывает для администратора множество возможностей по формированию политик приема и отправки электронных сообщений, ведению учета и статистики.

Работу пользователей можно настроить не только через почтовый клиент, но и через веб-интерфейс.

 

Рисунок 20. На ИКС КУБ можно настроить почтовый сервер и получать детальную статистику

На ИКС КУБ можно настроить почтовый сервер и получать детальную статистику

Jabber-сервер

ИКС КУБ 5.2 может выступать в роли сервера обмена сообщениями по протоколу XMPP. Для этого необходимо создать новый jabber-домен, после чего добавить пользователей. Для подключения к jabber-серверу на ИКС КУБ пользователям потребуется на клиенте указать IP-адрес внутреннего интерфейса ИКС КУБ.

 

Рисунок 21. В корпоративных целях на ИКС КУБ 5.2 можно поднять собственный jabber-сервер

В корпоративных целях на ИКС КУБ 5.2 можно поднять собственный jabber-сервер

Телефония

ИКС КУБ может выступать в роли сервера IP-телефонии. Этот модуль разработан на базе сервера Asterisk. Сервер поддерживает передачу аудиосигнала по протоколам SIP и IAX.

 

Рисунок 22. Пример добавления телефонного номера в ИКС КУБ 5.2

Пример добавления телефонного номера в ИКС КУБ 5.2

 

Выводы

Программно-аппаратный комплекс по управлению безопасностью ИКС КУБ 5.2 можно назвать достойным конкурентом на рынке отечественных UTM-систем. Возможность централизованного управления, а также наличие модуля DLP и WAF позволяет говорить о преимуществе ИКС КУБ перед решениями того же класса. Модуль контентной фильтрации позволяет обеспечивать максимальную защиту и блокировать загрузку веб-страниц по предустановленным спискам слов от SkyDNS и государственных органов. Платформа позволит закрывать задачи информационной безопасности, которые стоят перед малым бизнесом и государственными компаниями с небольшим количеством сотрудников. Наравне с импортными решениями разработчикам ИКС КУБ удалось построить многофункциональную платформу на базе программного обеспечения с исходным кодом, добавив решения, которые отсутствуют в традиционных UTM-системах.  Интегрированные модули межсетевого экрана, детектора атак и антивируса позволяют не тратить отдельные аппаратные мощности под каждую задачу. Помимо выполнения традиционных задач безопасности, преимуществом продукта является возможность настройки почтового сервера, сервера телефонии, файлового хранилища и jabber-сервера на той же самой аппаратной платформе. Настройка продукта не вызывает затруднений, дружественный интерфейс позволит администраторам с небольшим опытом быстро разобраться с каждым модулем и решить проблемы безопасности. Для опытных специалистов приятным бонусом послужит гибкость настройки каждого модуля и обширные возможности получения статистики и мониторинга.

На данный момент платформа ИКС КУБ 5.2, в отличие от смежного решения «А-Реал Консалтинг» — ИКС ФСТЭК, не имеет сертификата ФСТЭК, позволяющего закрывать задачи аттестации, но получение сертификата планируется в ближайшее время. Однако ИКС КУБ уже сейчас входит в реестр отечественного ПО и является продуктом, который с успехом выполнит повседневные задачи системных администраторов и администраторов по безопасности.

Достоинства:

  • Поставляется в качестве единой компактной программно-аппаратной платформы, которая имеет трехлетнюю гарантию от производителя, позволяет выполнять множество функций и не требует дополнительных расходов.
  • Комплексное коробочное решение, закрывающее стандартные функции UTM-систем (межсетевой экран, VPN, IPS, антивирус и антиспам), а также включающее в себя дополнительные возможности (файловый сервер, почтовый сервер, сервер телефонии, DLP, модуль контентной фильтрации и WAF).
  • Российское решение на базе FreeBSD и программного обеспечения с открытым исходным кодом. Входит в реестр отечественного ПО.
  • Возможность использования российских антивирусных решений (Dr.Web, Kaspersky Anti-Virus), а также модуля веб-фильтрации от «Лаборатории Касперского».

Недостатки:

  • ИКС КУБ не имеет сертификата ФСТЭК России, однако в данный момент передан на сертификацию во ФСТЭК и проходит испытания в лаборатории.
  • Межсетевой экран не работает на уровне приложений.
  • Не осуществляется фильтрация трафика IPv6.
  • Модуль DLP не проверяет HTTPs-трафик, списки ключевых слов придется создавать самостоятельно.
  • В случае выхода из строя UTM-устройства компания может лишиться доступности сразу многих сервисов. 

Реестр сертифицированных продуктов »

Записаться на демонстрацию

Нажимая "Запросить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить пробную версию

Нажимая "Получить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Запросить цены

Нажимая "Отправить", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

Задать вопрос

Нажимая "Задать", вы соглашаетесь с Политикой конфиденциальности и обработки персональных данных нашей компании

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Лаборатория AM Test Lab готова провести независимую экспертизу и добровольную сертификацию любого продукта или сервиса по информационной безопасности и подготовить его профессиональный обзор. Для получения дополнительной информации необходимо оформить запрос.