Межсетевые экраны в России: плюсы, и особенности импортозамещения
Информационная безопасность Информационная безопасность

Краткий обзор отечественных межсетевых экранов? Как повысить эффективность NGFW? Какого функционала еще нет в российских продуктах?

Главная>Информационная безопасность>Российские межсетевые экраны: плюсы, точки роста и особенности импортозамещения
Информационная безопасность Тема номера

Российские межсетевые экраны: плюсы, точки роста и особенности импортозамещения

Дата публикации:
13.10.2022
Посетителей:
2240
Просмотров:
2307
Время просмотра:
2.3

Авторы

Автор
Станислав Калабин Руководитель группы сетевой безопасности центра информационной безопасности компании «Инфосистемы Джет»

 

Краткий обзор отечественных межсетевых экранов.


Как повысить эффективность NGFW?


Какого функционала еще нет в российских продуктах?

 

В последние месяцы даже тем, кто всегда отмахивался от отечественных межсетевых экранов, пришлось пристально на них посмотреть. Большинство зарубежных вендоров отозвали лицензии и запретили российским компаниям скачивать обновления для своих продуктов. Проще говоря, даже если система еще не «окирпичилась», она уже не защитит от новых угроз и в ближайшее время станет бесполезной. Некоторые межсетевые экраны скоро нельзя будет использовать даже для классической L4-фильтрации и организации удаленного доступа в сеть.

Да, на рынке осталось несколько зарубежных вендоров, но они ввели ограничения на поставки нового оборудования и перестали работать с частью российских заказчиков. Так что, если вам нужен межсетевой экран, самое время обратить внимание на отечественные продукты. Мы выбрали лучшие решения, разобрались в их особенностях и готовы поделиться опытом.


Что такое NGFW


NGFW (Next Generation Firewall) — это межсетевые экраны для глубокой фильтрации трафика, которые могут контролировать и блокировать его на уровне приложений. По сути эти Firewall’ы являются UTM-устройствами — универсальными средствами безопасности «все в одном», предоставляющими комплексную защиту от угроз сетевого характера.

 

Чаще всего наших заказчиков интересует следующий функционал NGFW:

Также среди важных функций NGFW стоит отметить:

 

  • Возможность отправки журналов безопасности во внешние системы для последующего анализа.
  • Наличие API-функционала, позволяющего оперативно реагировать на обнаруженные другими системами угрозы (интеграция с IRP-системами).

Анализируем рынок


Мы протестировали несколько российских NGFW:

 

  • UserGate
  • Континент (версии 4.1)
  • Ideco UTM
  • NGFW Mirada
  • Numa Edge


К сожалению, ни один из этих продуктов полностью не покрывает функционал топовых зарубежных NGFW. Но если не искать замену «один в один», а отталкиваться от функциональных требований и реальных задач, можно сказать, что все они достойны внимания.

 

UserGate — продукт новосибирских ИБ-специалистов, вырос на базе их web proxy. Хорошо работает с пользовательским трафиком и умеет расшифровывать его для последующего анализа. Неплохо передает данные о пользователях с помощью собственного Windows-агента. Есть инструменты для выгрузки журналов во внешние системы и возможность интеграции с IRP-системами через встроенный API. В целом решение покрывает функционал трех из пяти доменов ИБ-фреймворка NIST.


Точки роста — не самая подробная документация и довольно странные функциональные ограничения. Например, редистрибуция маршрутов из OSPF в BGP есть, а в обратную сторону — уже нет. Кроме того, у продукта сильно ограничены инструменты для диагностики и самостоятельного решения проблем. Для малого и среднего бизнеса это не так важно, но для сегмента enterprise потребуется доработка.

 

Континент 4.1 — межсетевой экран компании «Код Безопасности». Вырос из АПКШ «Континент», основная задача которого — шифрование каналов связи с использованием алгоритмов ГОСТ. У «Континент 4.1» есть функционал определения пользователей (Indentity Based Firewall) и web proxy (пока категории не очень проработаны, но вендор обещает это исправить). Также в наличии — встроенный IPS-компонент и возможность расшифровки пользовательского трафика для глубокого анализа.


Главная точка роста — интеграция с внешними решениями. К сожалению, пока продукт не может интегрироваться с системами многофакторной аутентификации по протоколу Radius и отправлять расшифрованный трафик на анализ по протоколу ICAP. Кроме того, отсутствует API для интеграции с IRP-системами.

 

Ideco UTM — решение уральской компании Ideco. Популярно среди небольших заказчиков, которых интересует не высокая производительность, а широкий функционал. Говоря в терминах NIST, этот продукт целиком и полностью про Protect. Ideco UTM заточен на обработку пользовательского трафика и обладает интуитивно понятным интерфейсом. Закрывает практически весь необходимый функционал, за исключением собственной песочницы и возможности заблокировать передачу файла в случае обнаружения вредоноса с использованием внешней Sandbox. Есть возможности Site-to-Site VPN и Remote Access VPN — для этого используется сервис создания сертификатов Let’s Encrypt.


Среди точек роста: нельзя использовать несколько профилей IPS для разного трафика и отправлять журналы в SIEM, также нет API для интеграции с IRP-системами. А крупным компаниям будет не хватать возможности использования собственных сертификатов.

 

NGFW Mirada — продукт компании АстроСофт, позиционируется как NGFW для серверных сегментов. Заявлена высокая производительность — до 40 Гбит/сек в режиме IPS и 1,5 Тбит/сек для пакетного фильтра. Реализованы основные протоколы динамической маршрутизации, есть контроль приложений, интеграция с AD и инструменты для интеграции с внешними средствами антивирусной защиты. Высокая производительность обеспечивается оригинальной архитектурой, где срабатывание сигнатуры IPS или уровня приложений приводит к созданию временного блокирующего правила на уровне быстрого пакетного фильтра. В части web proxy возможности базовые, VPN-клиента нет (опять же, решение заточено на защиту серверных сегментов).


Точка роста — текущий способ формирования правил, позволяющий оперировать сетями, но не группами серверов или портов.

 

Numa Edge — межсетевой экран компании NumaTech. На борту — обширные возможности в части межсетевого экранирования трафика, контроля приложений и web proxy. Можно отправлять логи в SIEM, в наличии VPN, в котором используются отечественные алгоритмы. Numa Edge можно интегрировать с внешними системами по протоколам ICAP и NETFLOW, плюс есть возможность интеграции с IRP благодаря понятному CLI. Отметим уникальный функционал фильтрации трафика по мандатным меткам (AstraLinux, MLS/MCS RFC 1108).


Точка роста — создание собственного IPS-модуля, которое уже заложено в Road Map на 2023 год.

Повышаем эффективность NGFW


Все NGFW, в которых есть возможность отправки трафика по ICAP, мы рекомендуем интегрировать со средствами антивирусной защиты и песочницами. Простой пример: мы протестировали связку из межсетевого экрана UserGate и PT Sandbox. Настроили на PT Sandbox три политики проверки, которые обрабатывали трафик на трех входящих портах. На первом осуществлялась проверка потоковым антивирусом. На втором трафик проходил потоковый антивирус и проверку в песочнице с использованием базового образа ОС Windows заказчика. На третьем осуществлялась проверка потоковым антивирусом и в песочнице с использованием образа ОС Windows, где были установлены пакеты для работы с офисными документами. Таким образом мы существенно расширили функционал антивируса NGFW UserGate, который проверяет вложения только по собственной базе хешей вредоносов. При этом настройка — какие файлы проверять, как именно и от каких пользователей — осуществляется со стороны UserGate (конкретные параметры прописаны в политике отправки на внешние серверы ICAP). Система отправляет пользовательские вложения на антивирусную проверку: файлы Word и Excel, pdf, PowerPoint — в песочницу с установленными офисными компонентами, а исполняемые файлы — в песочницу без офисных компонентов. Это заметно экономит ресурсы. В итоге мы получаем гибкую политику проверки файлов на NGFW UserGate, которая управляется из единого окна.


Второй полезный совет — при доступе через VPN используйте внешние системы мультифакторной аутентификации (MFA). Да, у некоторых из перечисленных продуктов есть встроенные механизмы MFA, но ими нельзя пользоваться в других системах. Казалось бы, что может быть проще — нужно добавить внешний сервер авторизации по протоколу Radius к VPN-шлюзу. Но при интеграции с отечественными межсетевыми экранами нужно учитывать два существенных ограничения:

 

  • Ни один из протестированных NGFW не умеет работать в режиме challenge-response по протоколу Radius. Можно использовать push-режим: на телефон приходит уведомление, нажимаете «подтвердить» — это и есть второй фактор. Второй вариант: пароль и одноразовый код должны быть переданы в одном поле во время аутентификации. Этому критерию удовлетворяют MFA-системы Aladdin JAS и облачное решение Multifactor.
  • Протокол Radius не позволяет передавать данные о принадлежности пользователя к доменным группам, а оперировать отдельными пользователями можно только на небольших инсталляциях. Соответственно, межсетевой экран должен уметь работать с доменными группами, проверяя принадлежность к ним напрямую в AD и аутентифицируя их в Radius. Реализовать такую схему нам удалось только с решением UserGate. В остальных продуктах, поддерживающих Radius, проверить принадлежность пользователей к доменной группе невозможно.

От чего придется отказаться

 

Ни одно отечественное решение не может разделяться на несколько виртуальных межсетевых экранов (у разных вендоров это называется context, vdom, virtual system и др.). Функционал позволяет использовать систему в разных, не пересекающихся областях сети.

 

Теоретически для его реализации достаточно поддержки отдельных таблиц маршрутизации VRF. Но рассмотренные нами продукты или не поддерживают VRF, или имеют значительные ограничения по использованию динамической маршрутизации. Это сводит на нет попытки использовать этот функционал для разделения межсетевого экрана. Возможно, при замене зарубежных NGFW на отечественные аналоги количество межсетевых экранов в вашей сети возрастет.

 

Также в российских решениях нет функционала по контролю почты и защите от утечек (DLP). Он напрямую не относится к обработке трафика, но часто представлен на борту зарубежных NGFW.

Если не хватает производительности


Во-первых, ограничьте используемый функционал. Пока у отечественных производителей нет специализированных чипов и не все идеально в части распределения нагрузки между процессорами и потоками. Проще говоря, чем больше функционала используете, тем ниже общая производительность. Около пяти лет назад проблема была распространена и среди зарубежных продуктов, но вендоры обзавелись специализированными чипами и научились балансировать потоки (к слову, UserGate уже анонсировал разработку собственных чипов). Хорошим решением будет разделить пользователей и сетевые сегменты на разные группы критичности и применять к ним разные политики. Например, если сотруднику не требуется доступ в интернет, можно его ограничить и не использовать сложные проверки для трафика внутри сети (отключить SSL Decryption).

 

Во-вторых, делегируйте часть функций NGFW другим средствам защиты. Антивирусную проверку и проверку в песочницах вполне можно передать отдельным продуктам. А функции VPN, межсетевого экрана и web proxy можно разнести на разные устройства. Например, в случае межсетевого экрана UserGate можно выделить одну ноду в качестве балансировщика и распределять с ее помощью трафик между остальными.


В-третьих, используйте несколько межсетевых экранов. Пересмотрев архитектуру сети и разделив потоки east-west и south-north, можно установить несколько решений, каждое из которых будет отвечать за отдельный поток.

Уведомления об обновлении тем – в вашей почте

Активный аудит

Все связи на этой земле распались. И имена потеряли смысл. Остался лишь мир, полный угрозы, мир, лишенный имени и потому таивший в себе безымянные опасности, которые подстерегали тебя на каждом шагу. Опасности эти не обрушивались на человека ...

Новые приоритеты в информационной безопасности США

Трагические события, которые произошли в США 11 сентября 2001 года и повергли в шок весь мир, вновь напомнили человечеству об обратной стороне технического прогресса. Варварские террористические акты, совершенные группой террористов-смертников ...

Решения Hewlett Packard для защиты информацион ных систем

Современные компании все шире внедряют корпоративные информационные системы (КИС) в свою деятельность. Это позволяет повысить эффективность деятельности за счет использования более оперативной и полной информации внутри компании, а также ...

Обеспечение информационной безопасности в вычислительных комплексах на базе мэйнфреймов

Лет 30-40 назад информационные системы строились только на базе мэйнфреймов. Соответственно, архитектура информационной системы, как правило, была централизованной. Затем наступила эра малых машин, распределенных архитектур обработки ...

О контентной фильтрации (продолжение темы Jetinfo №8 (2006))

В обеспечении компьютерной безопасности контентная фильтрация очень важна, поскольку позволяет вычленять потенциально опасные вещи и корректно их обрабатывать

AntiFraud Russia: математика против мошенников

Как технологии ML и Big Data помогают выявлять телефонный спам? Какие антифрод-сервисы предоставляют заказчикам телеком-операторы?

Positive Hack Days 11: как нынешний кризис повлиял на ситуацию с кадрами в ИБ

Почему сейчас нанимать ИБ-специалистов проще, чем три месяца назад? Зачем топ-менеджерам креативность? Усилится ли кадровый голод в обозримом будущем?

«Сезон охоты на русские информсистемы»

Почему кризис в первую очередь ударит по малому и среднему бизнесу? Сколько лет понадобится, чтобы допилить отечественные ИБ-решения? Почему деревянный софт — не главная проблема российского рынка?

Спасибо!
Вы подписались на обновления наших статей
Предложить
авторский материал





    Спасибо!
    Вы подписались на обновления наших статей
    Подписаться
    на тему







      Спасибо!
      Вы подписались на обновления наших статей
      Оформить
      подписку на журнал







        Спасибо!
        Вы подписались на обновления наших статей
        Оформить
        подписку на новости







          Спасибо!
          Вы подписались на обновления наших статей
          Задать вопрос
          редактору








            Оставить заявку

            Мы всегда рады ответить на любые Ваши вопросы

            * Обязательные поля для заполнения

            Спасибо!

            Благодарим за обращение. Ваша заявка принята

            Наш специалист свяжется с Вами в течение рабочего дня