Soc

Обзор возможностей межсетевого экрана “Интернет Контроль Сервер” версии 9.2

Обзор возможностей межсетевого экрана “Интернет Контроль Сервер” версии 9.2 Обзор возможностей межсетевого экрана “Интернет Контроль Сервер” версии 9.2 Обзор возможностей межсетевого экрана “Интернет Контроль Сервер” версии 9.2
26.07.2022

Интернет Контроль Сервер (ИКС) - это межсетевой экран нового поколения, предназначенный для полноценной защиты корпоративной сети. За 19 лет своего развития система прошла путь от средства учета и мониторинга трафика пользователей корпоративной сети до полноценной интегрированной системы обеспечения кибер безопасности сети и развертывания коммуникационных сервисов для малого и среднего бизнеса.

1 (1) (1).PNG

Разработчик межсетевого экрана Интернет Контроль Сервер, компания “А-Реал Консалтинг”, последовательно развивает собственную концепцию единого комплексного решения, которое берет на себя роль множества сетевых служб и сервисов. Универсальный сетевой мультитул для малого и среднего бизнеса - так компания изначально позиционирует свой продукт. Следует отметить, что эта концепция обретает популярность среди других вендоров похожих систем, поскольку явно востребована рынком, особенно на фоне ухода зарубежных вендоров, роста зарплаты хороших технических специалистов и общих экономических сложностей. 

Философия развития Интернет Контроль Сервера, как её видят в компании: “Мы даем системному администратору мультиинструмент, который помогает избавиться от рутины и спокойно решать задачи безопасности, управления и развертывания приложений в сети легко и без нервов, освобождая время для развития”.

Возможности Интернет Контроль Сервера

В связи с большим количеством разных функций реализованных в Интернет Контроль Сервере, разработчик предпочитает делить их на группы. 

Группа безопасности

Это главная функциональная группа ИКС.  В ней находится ядро служб безопасности ИКС - межсетевой экран, который задействован многими другими сервисами, например, управление правами доступа пользователей. Но основной функцией в группе безопасности является защита корпоративной сети от внешних угроз. 

Группа безопасности

Межсетевой экран ИКС контролирует движение трафика на уровне IP-адресов и портов, а с использованием других технологий ИКС - также на уровне пользователей и объектов. Он позволяет настроить запрещающие и разрешающие правила для пользователей и групп или по стандартным параметрам IP пакета, указать приоритеты трафика, управлять преобразованием сетевых адресов и портов для входящего и исходящего трафика, а также лимитировать количество подключений. 

В новой (9.2) версии ИКС добавлена актуальная сейчас возможность использования базы соответствия IP адресов различным странам и географическим локациям. Причем в свежей версии все базы - GeoIP, black-листы, вирусные базы, сигнатурные базы детектора атак полностью локализованы и подвергаются постоянным проверкам. Это защищает пользователей от рисков намеренной или случайной порчи злоумышленниками баз данных. 

В группу безопасности входит также файрвол веб-приложений (Web Application Firewall) и потоковые антивирусы ClamAV и Kaspersky. 

В версии ИКС 9.2 изменена логика работы Web Application Firewall, теперь WAF по умолчанию включен для всех ресурсов с возможностью указать хосты-исключения. Следует заметить, что сам ИКС может служить площадкой для развертывания защищаемых веб приложений. 

Kaspersky Anti-Virus в межсетевом экране мгновенно реагирует на угрозы — анализ внешнего трафика производится еще до того, как он оказывается в локальной сети. Вредоносная программа обнаруживается на этапе пограничной маршрутизации на уровне прикладных протоколов (при передаче файлов или открытии интернет-страниц). Анализируется и весь внутренний трафик, проходящий через шлюз, предупреждая распространение внутренних угроз.

Система обнаружения и предотвращения вторжений в ИКС фиксирует и хранит информацию о подозрительной активности, блокирует ботнеты, DOS-атаки, TOR, анонимайзеры, P2P и торрент-клиенты.

По умолчанию система обнаружения и предотвращения вторжений в Интернет Контроль Сервере анализирует трафик только на внешних интерфейсах. Администратор может редактировать параметры работы: указать внутренние и внешние сети, диапазоны адресов различных серверов, используемые порты.

Группа управления пользователями

Для целей управления пользователями ИКС идентифицирует их, а потом позволяет применять различные правила доступа, как для отдельных пользователей, так и для групп. Пользователи могут быть просто сконфигурированы на ИКСе, их можно забирать с контроллера домена через Active Directory, есть способы определения пользователей с помощью IP и/или MAC адресов или через приложение-агент, запущенное на компьютере пользователя. Импорт доменных пользователей из LDAP  осуществляется с группировкой их по контейнерам (OU). 

Группа управления пользователями

После того, как ИКС узнал о пользователе - он в вашей власти. Можно настраивать политики доступа для каждого пользователя или группы, причем управлять этими политиками можно на очень гранулярном уровне, принимая во внимание время доступа, типы объектов, адреса, URL, имеющиеся квоты по трафику и многое другое. Более того, администратор системы или администратор группы видит полную статистику и историю доступа (или попыток доступа) пользователей. Кроме детальной истории, для мониторинга можно использовать множество форм готовых отчетов, встроенных в ИКС и позволяющих с одного взгляда оценить все ли идет по плану: категории трафика, активность пользователей, лента поисковиков, объемы трафика, топ 5 IP-адресов и доменов, топ 5 пользователей. Если этого недостаточно, то можно сконструировать собственные отчеты. 

Группа управления пользователями

ИКС позволяет контролировать не только куда пытаются попасть пользователи, но и приложения, с помощью которых они пытаются это сделать. Контроль приложений в ИКС использует два источника данных - утилиту Xauth (локальный агент, запущенный на компьютере пользователя) и библиотеки nDPI (Deep Packet Inspection). Application Firewall обеспечивает контроль входящего/исходящего трафика на клиентских ПК и регулирует доступ приложений к сетевым ресурсам. Администратор может блокировать соединения и определять время, в течение которого будут действовать настроенные ограничения.

Утилита Xauth, запущенная на контролируемых ИКСом компьютерах, сканирует сетевые порты и сопоставляет активные соединения с приложениями. Администратор ИКС может просматривать эти данные и запрещать доступ при необходимости - приложения будут заблокированы на уровне межсетевого экрана.

Группа управления пользователями

Группа сетевой интеграции

Интегрируясь в клиентскую сеть, ИКС с несколькими сетевыми интерфейсами может стать ее центральным узлом, пропуская через себя трафик между сегментами сети и трафик с внешним миром. В такой конфигурации антивирусный контроль будет происходить еще и между разными сегментами сети и можно будет настроить правила разграничения сегментов непосредственно на ИКС. Что касается связи с операторами, то ИКС поддерживает практически все необходимые протоколы и технологии. Можно работать с несколькими провайдерами, балансировать трафик. В последней версии системы были улучшены возможности по централизованному управлению Интернет Контроль Серверами, установленными в удаленных офисах компании. В ИКС встроены различные сетевые сервисы, такие как DNS, DHCP. 

Группа сетевой интеграции

Группа удаленного доступа

В ИКС предусмотрена возможность создания криптографически защищенных туннелей между территориально удаленными ИКСами (и с другими VPN устройствами) с помощью технологий SSTP и туннелей IPSec, IPIP, GRE, OpenVPN, WireGuard. 

Группа удаленного доступа

Многим понравилось работать удаленно, пока была пандемия. Чтобы практику удаленной работы можно было продолжить без риска, связанного с перехватом ценных данных, администратор может предоставить корпоративным удаленщикам или сотрудникам в командировке доступ к внутренним ресурсам компании используя одну или несколько технологий VPN: Wireguard, OpenVPN, L2TP с Kerberos авторизацией, PPTP, PPPoE. ИКС позволяет управлять маршрутами подключенных пользователей и делает работу с VPN полностью прозрачной для администратора и безопасной для сети. 

Группа фильтрации контента

Иногда корпоративные пользователи увлекаются таким контентом из Интернета, который не несет технической угрозы, но является неприемлемым для организации по юридическим, этическим соображениям, либо просто отвлекает от работы. Для таких случаев подходят функции фильтрации контента: запрет доступа к ресурсам из списка Минюста, ограничение доступа по URL, ключевым словам, шаблонам, регулярным выражениям, блокирование баннеров, всплывающих окон, навязчивой рекламы. Наборы правил гибки, можно управлять ими как потребуется, делать исключения. В ИКС используется собственный категоризатор ресурсов Garnet Web Filter, который применяет методики искусственного интеллекта. 

Группа фильтрации контента

Группа коммуникационных сервисов

Это самая необычная для универсального шлюза безопасности группа функций. Однако, она очень полезна для корпоративных сетей клиентов. В нее входит полноценная IP АТС со всеми необходимыми функциями: интерактивное многоуровневое голосовое меню, очереди звонков, их перехват и перенаправление, встроенный браузерный web-софтфон Xphone с шифрованием вызовов, видеоконференции до 8 участников, отслеживание активных вызовов в режиме реального времени, запись звонков, прием факсов, голосовая почта. 

Группа коммуникационных сервисов

Также в этой группе: почтовый сервер, файловый сервер, Jabber сервер и Веб сервер. Управление всеми этими системами выполняется через единый интерфейс.

Каждый из указанных серверов обладает набором функций, делающих его эксплуатацию простой и безопасной. 

Так, например, почтовый сервер защищает ящики пользователей от спама, вирусов, использует шифрование при передаче почты, применяет различные фильтры и RBL. Файловый сервер поддерживает квоты, разграничение доступа к файлам, обеспечивает надежность за счет зеркалирования. Jabber сервер использует шифрование на основе сертификатов, а веб-сервер позволяет развернуть полноценный веб ресурс, который еще и будет находиться под защитой файрвола веб-приложений. 

Веб-трафик пропускается через прокси-сервер, который отвечает за инспекцию HTTPS, управление правами доступа и сбор аналитики по пользователям.

Группа коммуникационных сервисов

Итоги

Универсальность - плюсы и минусы

Как говорилось выше, ИКС - комплексный инструмент. Плюсы такого подхода состоят в существенной экономии средств на стороннее ПО и аппаратуру.  Кроме того, для управления ИКС не нужна слишком высокая квалификация и он требует меньше времени системных администраторов.

Минусы же тоже довольно понятны - это единая точка отказа. Если у вас в сети перестанет работать межсетевой экран (он же основной маршрутизатор при классической схеме развертывания ИКС), то сетевые сервисы и так же не смогут продолжать работать. Выход прост и хорошо известен - это развертывание резервной системы, готовой подхватить все операции вместо отказавшей.

Еще одно возражение состоит в том, что наличие дополнительных сервисов внутри ИКС открывает злоумышленникам дополнительные возможности для проникновения, расширяя поверхность атаки. Это действительно так, хотя, если вам не требуются дополнительные сервисы, например, IP телефония, то отключив их в интерфейсе, вы полностью удалите их с поверхности атаки, лишив злоумышленников возможности воспользоваться этими сервисами.  

Использование FreeBSD в основе продукта

Не все знают, что в отличие от других решений, в основе ИКС лежит операционная система FreeBSD. Благодаря более тщательному контролю за разработкой эта операционная система надежнее и стабильнее Linux. Но за надежность и стабильность FreeBSD приходится платить меньшим количеством поддерживаемого оборудования. 

В целом, Интернет Контроль Сервер - надежное комплексное решение, которое позволяет защитить сеть и ее ресурсы и получить набор нужных компании коммуникационных сервисов из коробки. Бесплатное тестирование продукта доступно в течение 35 дней.


Читайте также


Комментарии 0