Защита сети «all inclusive». На что способно решение Ideco UTM
Тема информационной безопасности и защиты данных сегодня как нельзя актуальна для российских компаний и государственных организаций. Многие зарубежные разработчики ИБ-инструментов ушли с российского рынка, оставив свои продукты и своих клиентов без поддержки и обновлений. Одновременно в несколько раз возросло число инцидентов и хакерских атак на отечественные компании. В связи с этим многие заказчики ищут на российском ИТ-рынке продукты, способные заменить зарубежные ИБ-инструменты и защитить корпоративную ИТ- и сетевую инфраструктуру ничуть не хуже. Такие инструменты должны быть не менее удобными и надежными. Не стоит забывать и о том, что согласно требованиям государства, для защиты объектов Критической Информационной Инфраструктуры (КИИ) в Российской Федерации необходимо использовать только отечественные ИБ-решения. Поэтому интерес к российским разработкам на рынке ИБ сегодня велик, как никогда. Одним из наиболее эффективных средств фильтрации сетевого трафика можно назвать класс систем UTM (Universal Threat Management, универсальный шлюз безопасности). Это может быть как программно-аппаратный комплекс, так и виртуальное устройство, облачный сервис или приложение, объединяющее в себе множество защитных инструментов, средств анализа трафика, антивирусные, антиспамовые и другие компоненты. Подробнее о решении - в обзоре TAdviser.
Содержание |
Современное развитие UTM-систем ставит их в один ряд по функциональным возможностям с NGFW (межсетевыми экранами нового поколения). По сути, NGFW и UTM - это в настоящее время одно и то же.
Ранее (3-5 лет назад), разделение между типами продуктов касалось их функциональности, поэтому аналитическое агентство Gartner разделяло их в отчетах. Но постепенно функциональность NGFW и UTM, а также производительность и ориентация на сегменты рынка стали едиными и сегодня аналитики Gartner говорят уже просто об Enterprise Firewall. Исторически у многих NGFW осталось маркетинговое название UTM, указывающее на тот же "комбайн безопасности" из модулей глубокого анализа трафика, авторизации сессий и сетевой функциональности, - говорит Дмитрий Хомутов, генеральный директор компании «Айдеко». |
Сегодня мы расскажем о российской системе Ideco UTM от компании «Айдеко». Ideco UTM фильтрует трафик не только по IP-адресам, транспортным протоколам и портам, но и по приложениям, группам пользователей и протоколам 7-го, то есть прикладного уровня. Процесс настройки Ideco UTM предельно прост, он сводится просто к включению и отключению опций в интуитивно-понятном интерфейсе.
Продукт включает в себя следующие возможности:
- Межсетевой экран;
- Система обнаружения и предотвращения вторжений (IDS/IPS);
- Контент-фильтр;
- Контроль приложений;
- Многоуровневая антивирусная и антиспам-проверка трафика;
- Защита от ботнетов, фишинга и шпионского ПО;
- Поддержка VPN;
- Встроенный почтовый сервер;
- Поддержка сетевых протоколов IKEv2, SSTP, L2TP, PPTP и PPPoE;
- Отчетность по трафику пользователей.
Мы коротко расскажем об основных функциях Ideco UTM. Небольшой обзор не заменит собой руководство пользователя, но такой цели мы перед собой и не ставим. У компании «Айдеко» достаточно подробная техническая документация, охватывающая все версии продукта, доступны обучающие видеоролики, а также имеется круглосуточный канал связи с технической поддержкой.
Установка
Компания «Айдеко» предлагает Ideco UTM в виде ISO-образа. Он представляет собой специализированный Linux-дистрибутив на базе ядра 5.17, который можно установить как на отдельный физический сервер, так и на виртуальную машину. Главное условие - соответствие системным требованиям. Оборудование для установки обязательно должно поддерживать UEFI вместо классического BIOS. Установить систему на физический сервер можно со специальной загрузочной флэшки (ее можно создать как в Windows, так и в Linux), либо на диск виртуальной машины в Hyper-V или другом популярном гипервизоре (VMware, VirtualBox, KVM, Citrix XenServer). Что касается системных требований, то разработчики рекомендуют не менее 8 ГБ ОЗУ и не менее 64 ГБ дискового пространства. Если число пользователей в системе составит от 200 до 500, системные требования возрастают до 16 ГБ и 250 ГБ соответственно. При небольшом количестве пользователей потребуется процессор Pentium Gold G5400 или совместимый, для более крупной инфраструктуры (от 200 до 500) пользователей - не ниже Core i5. После установки необходимо создать аккаунт администратора, подключить локальный сетевой адаптер (он может быть распознан автоматически). Разработчики рекомендуют использовать сетевые адаптеры компании Intel. Затем можно открыть веб-браузер, ввести локальный IP-адрес который ранее должен был отобразиться в процессе установки, и указать порт (по умолчанию 8443).
Если все было установлено правильно, в веб-браузере появится окно авторизации под учетной записью администратора, созданной в процессе установки. После этого следует добавить в систему один или несколько сертификатов безопасности, настроить подключение к провайдеру и сетевые интерфейсы, которые будут использоваться (это можно сделать как вручную, так и автоматически), а затем можно зарегистрировать установленный шлюз безопасности в личном кабинете my.ideco.ru. Все эти операции максимально детально изложены в пользовательской документации к Ideco UTM, с которой можно ознакомиться заранее, либо использовать ее в качестве гида в процессе установки и настройки.
Мониторинг и настройка модулей
Первое, что видит администратор шлюза сразу после установки - «Панель мониторинга». Она демонстрирует такие параметры, как время работы сервера с момента запуска, уровень загрузки процессора, доступную оперативную память, температуру, а также информацию о лицензии.
На «Панели мониторинга» находятся датчики включения и выключения модулей фильтрации. Каждый из этих модулей можно не только включать и выключать, но и настраивать. Так, модуль «Файрвол» поддерживает автоматический SNAT (автоматические правила NAT для локальных сетей) и умеет создавать любые правила на основе сетевых протоколов. Модуль «Контроль приложений» работает на основе глубокого анализа трафика (Deep Packet Inspection - DPI). Он, в частности, позволяет заблокировать программы удаленного доступа, анонимайзеры, торренты и другие популярные ресурсы. Модуль «Контент-фильтр» проверяет запрашиваемый пользователем сайт или веб-страницу на наличие в списках запрещенных ресурсов. Эти списки поделены на тематические категории. Таким образом, можно оградить пользователей от открытия порно- и прочих «развлекательных» сайтов, онлайн-игр, казино, торрент-трекеров, мошеннических и фишинговых ресурсов и т.д. Эти базы регулярно автоматически обновляются. Полный список категорий фильтруемых ресурсов и перечень их возможного содержимого также содержится в пользовательской документации. Иногда бывает необходимо ограничить скорость входящего Интернет-трафика для всех, для отдельных групп, а также для отдельных пользователей. Это можно сделать с помощью модуля «Ограничение скорости». «Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов
Чтобы избежать вирусного заражения отдельных рабочих станций, а затем и всей корпоративной сети, целесообразно включить модуль «Антивирусы веб-трафика», который обеспечивает защиту входящего веб-трафика от вредоносного ПО. Для защиты используются два антивирусных продукта - свободный и бесплатный ClamAV и «Антивирус Касперского». Первый антивирус доступен по умолчанию «из коробки», а второй требует дополнительного приобретения лицензии. Модуль «Предотвращение вторжений» (IDS/IPS, Intrusion detection system/Intrusion prevention system), обнаруживает, фиксирует и предотвращает проникновение злоумышленников на сервер, интегрированные службы (почта, веб-сайт и др.) и, защищаемую интернет-шлюзом, локальную сеть. Правила блокировки трафика включают в себя блокирование активности троянских программ, шпионского ПО, бот-сетей, клиентов p2p, торрент-трекеров, вирусов, сети TOR, анонимайзеров и т.д. Ведется журнал зафиксированных и предотвращенных атак и вторжений.
За защиту почтового трафика отвечает модуль «Почтовый релей». Его необходимо включить в настройках Ideco UTM, а затем ввести все необходимые настройки почтового домена организации. В составе Ideco UTM имеется встроенный почтовый клиент Ideco Webmail, который можно привязать к веб-почте. Можно также для приема почты и ответы на письма использовать современные почтовые клиенты, требующие установки на ПК. Фильтрация спама осуществляется с помощью встроенного решения Kaspersky Antispam. Подлинность исходящей почты подтверждается благодаря DKIM-подписи, которая затем должна быть размещена у регистратора/держателя доменной зоны, в которой находится почтовый сервер.
Пользователи, группы и аутентификация
Учетные записи пользователей в рамках Ideco UTM объединяются в группы. Группой может быть подразделение организации, например бухгалтерия, либо это может быть рабочая группа, включающая в себя сотрудников из разных подразделений и департаментов, но работающих над одним проектом или задачей. В приложении реализован принцип наследования, он дает возможность легко задавать и изменять общие для пользователей параметры, определяя их для родительской группы, например, квоты или удаленный доступ по VPN. Принцип наследования очень удобен для выполнения операций управления, осуществляемых по отношению ко всем пользователям группы. Администратор шлюза безопасности может создавать и удалять учетные записи пользователей и группы, а также перемещать пользователя из одной группы в другую. Учетные записи пользователей с административными правами можно создать столько, сколько необходимо. Они бывают двух видов. Администратор может обладать ролью «Администратор» с возможностью полного доступа, либо ролью «Только просмотр», позволяющей лишь просматривать настройки. Первой категории доступна авторизация не только через веб-интерфейс, но и по SSH из локальной и из внешних сетей. Вторая категория получает доступ только через веб-интерфейс.
Для массового создания пользователей их учетные записи можно импортировать из LDAP-каталога Microsoft Active Directory. Для добавления устройств, которым также необходим доступ в Интернет, например веб-камер, доступна функция автоматического обнаружения таких устройств в сети и предоставление им доступа по MAC-адресу.
Поддерживается множество видов авторизации пользователя в системе (веб-интерфейс, SSO-подключение, журнал безопасности Active Directory, фиксированные IP- и MAC-адреса, подсети). Для VPN-доступа целесообразно использовать Ideco VPN-клиент (его можно скачать и установить бесплатно) или скрипт PowerShell. Также для пользователей Windows доступно приложение Ideco Агент, которое управляет доступом пользователей в Интернет как из локальной сети, так и по VPN. Его тоже можно скачать и установить бесплатно. Доступ будет обеспечен только в то время, когда пользователь авторизован с помощью этой программы. Для обеспечения дополнительных мер безопасности VPN-подключения можно включить в настройках двухфакторную аутентификацию пользователей с использованием номера мобильного телефона. Эта функция реализована на базе стороннего сервиса SMS Aero.
Отчетность
Администратор сети всегда обязан знать, как пользователи используют сеть, на какие сайты заходят, сколько трафика скачивают, какие поисковые запросы отправляют в Интернет и многое другое.
В Ideco UTM имеется удобная, информативная и наглядная система отчетов, позволяющая оценить такие параметры, как: наиболее активные пользователи и группы, топ-сайтов и категорий, топ наиболее часто используемые веб-протоколы, а также чаще всего блокируемые сайты, категории и протоколы. Отчетность можно получать в любом разрезе, а генерируются эти отчеты быстро, благодаря оптимизированной базе данных. Готовые отчеты можно выгружать в формате PDF и автоматически отправлять по электронной почте.Также в категории «Отчеты» фиксируются события безопасности (атаки и вторжения), и присутствует журнал авторизаций, где можно увидеть, кто из пользователей, с какого IP-адреса и когда вошел в Интернет, и сколько времени находился в Сети.
Новые функции
Шлюз Ideco UTM постоянно развивается. Разработчики выпускают в течение года несколько новых релизов, причем в них действительно появляется новая функциональность, а не только шлифуется и дорабатывается уже существующая. На сегодняшний день наиболее свежая версия - Ideco UTM 13. Помимо уже упомянутой выше двухфакторной аутентификации VPN-пользователей, в ней реализована поддержка динамической маршрутизации BGP, добавлен конструктор отчетов по веб-трафику и трафику приложений, а также добавлена новая версия клиента Ideco для VPN-авторизации.
Выводы
Мы лишь кратко рассказали о некоторых (далеко не обо всех) возможностях Ideco UTM. В заключение хотелось бы отметить простоту и удобство настройки этого продукта. Сегодня в России крайне не хватает ИБ-специалистов. Во многих организациях они просто отсутствуют в штате. Но с установкой, настройкой и последующей эксплуатацией Ideco UTM справится и не очень опытный системный администратор. Нужно лишь знать архитектуру и топологию сети, предназначение ее основных протоколов, а также внимательно читать документацию и использовать ее в работе. В наиболее сложных ситуациях на помощь придет техническая поддержка разработчика.