- Информационная безопасность
- Комплексное средство защиты с поддержкой алгоритмов шифрования ГОСТ — Континент
- Защита объектов КИИ
- Управление информационной безопасностью
- Управление устройствами Apple
- BYOD и комплексная информационная безопасность мобильных устройств
- Управление инфраструктурой на базе Cisco DNA
- Межсетевые экраны NGFW от Cisco Systems
- Начальный уровень защиты компании
- Защита для малого бизнеса
- Телефония
- WI-FI
- Видеонаблюдение и СКУД
- О компании
- Вакансии
Комплексное средство защиты с поддержкой алгоритмов шифрования ГОСТ — Континент
Согласно Указу Президента РФ №250 от 1 мая 2022 года, « …органам (организациям) запрещается использовать средства защиты информации, странами происхождения которых является иностранные государства, совершающие в отношении Российской Федерации, российских юридических лиц и физических лиц недружественные действия, либо производителями которых являются организации, находящиеся под юрисдикцией таких иностранных государств, прямо или косвенно подконтрольные им либо аффилированные с ними.»
Аппаратно-программный комплекс «Континент» является продуктом российского производства и предназначен для построения, создания и управления защищенных структур передачи данных с использованием алгоритмов ГОСТ.
Решаемые задачи:
- Выполнение требований регуляторов в области защиты объектов критической информационной инфраструктуры (ОКИИ);
- Выполнение требований регуляторов в области защиты информации организаций Российской Федерации.
Основные функции:
- Обеспечение связи ЛВС-ЛВС по защищенному виртуальному каналу связи поверх сетей передачи данных общего пользования
- Предоставление доступа удаленным пользователям к ресурсам защищаемой ЛВС;
- межсетевое экранирование;
- обнаружение вторжений в информационную систему, передача сведений в систему ГОССОПКА
- автоматическая регистрация событий, связанных с функционированием комплекса, в том числе событий НСД;
- централизованное управление компонентами комплекса.
АПК включает в себя:
- Криптошлюз
- Криптокоммуникатор
- Детектор атак
- Центр управления сетью
- АРМ администратора системы.
Для подключения удаленных пользователей к ресурсам защищенной сети используется программный комплекс Континент АП (абонентский пункт).
Внедрение
Перед внедрением АПК в обязательном порядке необходимо провести оценку применимости:
Планирование – Анализ и постановка задач – Проектирование – Развертывание и внедрение – Эксплуатация – Поддержка.
Перечень документов, необходимый для стабильной работы Континента:
- Пилотное тестирование: Техническое предложение – Технические требования – Общее руководство – Методика испытаний – Отчёт о результатах – Анализ оценки удовлетворенности.
- Проектирование: Техническое задание – Пояснительная записка – Программа и методика испытаний.
- Внедрение: Рабочая документация – Программа и методика испытаний – Отчёт о результатах.
- Этапы работ по миграции на аналог: Цели и требования к аналогу – Возможные риски – Оптимальный план миграции.
Подробное описание компонентов и функций АПК Континент:
Центр управления сетями (ЦУС)
ЦУС является программным средством, в функции которого входит:
- Обеспечение защищенного функционирования всего комплекса: генерация ключей, аутентификация пользователей;
- Контроль работоспособности и состояния сетевых устройств, включая передачу необходимых сведений в систему мониторинга и аудита АПК Континент;
- Централизованное управление работой сетевых устройств комплекса.
ЦУС обеспечивает централизованное управление сетевыми узлами, правилами фильтрации трафика, настройками маршрутизации, VPN-сетями и криптографическими ключами. Данный компонент является ключевым в АПК Континент, без которого ввод в эксплуатацию комплекса, его функционирование и подключение других компонентов комплекса (о которых речь пойдёт далее) – невозможно. ЦУС является ключевым ключевым компонентом по регулированию и функционированию комплекса. Перед настройкой комплекса, необходимо выполнить инициализацию ЦУС. Инициализация происходить посредством указания внутреннего адреса, внешнего адреса и адреса маршрутизатора. Также указывается пароль для администратора, записывающий на USB-носитель, тем самым создается идентификатор пользователя под правами администратора (при последующем запуске комплекса этот идентификатор потребуется для выполнения аутентификации пользователя комплекса, также идентификатор необходим при инициализации модуля «Сервер доступа» и клиента «Континент АП». Последний используется для последующего использования подключения удаленных пользователей с использованием идентификатора). После этого можно выполнить вход в ЦУС с использованием идентификатора.
Межсетевой экран
Данный компонент, после ЦУС, является не менее важным в АПК Континент, без которого прохождение трафика между сетями внутри созданной сети, создание политик (разрешающих/блокирующих) и их применение – невозможно. Межсетевой экран, выполняет двойную фильтрацию (до и после шифрования) трафика, проходящего через устройство. Межсетевой экран имеет следующие преимущества:
- Контроль протоколов и приложений: Данная функция позволяет создавать политики и проводить детальную фильтрацию трафика по сигнатурам приложений и протоколов (имеется 300 приложений на базовом движке и 7000 на продвинутом)
- Защита от вредоносных веб-сайтов: Данная функция позволяет создавать политики по блокировке вредоносных сайтов по протоколам HTTP, HTTPS, FTP.
- URL-фильтрация по категориям: Данная функция имеет возможность категоризации интернет-ресурсов, которая разрешает/блокирует доступ к сайтам в сети Интернет по URL или FQDN, на базе предопределения категорий сайтов и на базе собственных чёрных и белых списков. Также в межсетевом экране присутствует использование доменных имён в правилах фильтрации, что позволит увидеть какой пользователь и по какому правилу был выведен в журнале правил.
- Антивирус: В межсетевом экране используется проверка трафика потоковым антивирусом, т.е. антивирусом, который встроен в этот межсетевой экран и осуществляющий защиту от вирусов, эксплойтов и т.д.
- Модуль GeoProtection: Данная функция позволит фильтровать трафик по географической принадлежности IP-адресов.
Данные преимущества отличают межсетевой экран Континент от других российских аналогов межсетевых экранов NGFW.
Виртуальные частные сети (VPN)
В отличие от других систем NGFW в АПК Континент есть Модуль L3VPN, который является криптошлюзом, а именно программным средством, устанавливаемым на АПК Континент (с архитектурой x64) и выполняющий следующие функции:
- Организация защищенных каналов на сетевом уровне с заданной топологией;
- Обеспечение передачи данных на канальном и сетевом уровне;
- Трансляция сетевых адресов; пакетная фильтрация;
- Регистрация событий безопасности, управления и системных событий.
Данный криптошлюз работает в совокупности с ЦУС и может располагаться внутри защищаемой сети или как шлюз, защищающий локальную сеть (в этом сценарии ЦУС также ставится на криптошлюз). Однако в основном используют первый вариант, т.к. во втором случае криптошлюз, защищающий локальную сеть, с установленным ЦУС, будет тратить больше ресурсов на защиту локальной сети, а в первом случае можно разгрузить лишние ресурсы на другие модули.
Помимо криптошлюза в АПК Континент имеется Модуль L2VPN, являющийся криптографическим коммутатором, который представляет собой программное средство, предварительно устанавливаемое на АПК Континент с архитектурой х64. Криптографический коммутатор обеспечивает защищенную передачу Ethernet-кадров (L2) через сети общего пользования между территориально разделенными сегментами сети предприятия с использованием шифрованных (L3) VPN-туннелей «Континент» (L2VPN). Имеется возможность создания VPN:
- Построение Full-mesh сетей;
- Построение «звезда»;
- Клиентский RA VPN с контролем состояния подключаемых устройств.
Имеются также ранее упомянутые клиенты для подключения удаленных пользователей «Континент АП» и новая версия «Континент ZTN». Оба этих модуля имеют подключение к VPN через мобильные устройства и ПК. Данный клиент поддерживает:
- Клиентские приложения для всех платформ;
- Поддержка сервером доступа аутентификации по сертификатам ГОСТ 2012 (ТК 26);
- Поддержка ключевых носителей;
- Возможность установки VPN до регистрации пользователя в ОС;
- Объединённый TLS и VPN клиенты в одном инсталляторе;
- Режим запрета незащищённых соединений;
- Разделение пулов IP адресов удалённых пользователей.
Данный клиент, это универсальное средство для подключения удаленных пользователей, отличающее данный NGFW от других российских аналогов. За счёт выбора пользователем: методов аутентификации, доступа (по какому адресу будет производиться подключение к VPN), управления соединением, множественного подключения и временного интервала клиент является универсальным средством подключения удаленных пользователей по VPN с возможностью их идентификации по личному идентификатору.
Сервер доступа
Установив соединение по L2VPN & L3VPN в АПК Континент настраивается Сервер доступа. Через данный модуль удаленные пользователи могут осуществить защищенное подключение, использующих программный VPN-клиент «Континент АП» или «Континент ZTN-клиент», тем самым обеспечивая защищенность не только подключения, но и сети.
Идентификация пользователей
После соединения через сервер доступа происходит Идентификация пользователей. Данная функция позволяет использовать идентификатор(ы) пользователя(ей) в правилах фильтрации. Идентификация пользователей не только позволяет использовать личный идентификатор, записанный на внешнем съемном носителе, при инициализации пользователя, но и подключать новых пользователей таким же способом с указанием личного идентификатора для каждого конкретного пользователя (однако только один пользователь может инициализировать подключение к комплексу, при подключении двух и более пользователей одновременно не будет инициировано ни одного подключения к комплексу). Также поддерживается: прозрачная аутентификация, аутентификация через Kerberos, Captive-Portal и агент аутентификации.
Система обнаружения вторжений (СОВ)
После идентификации пользователя, тот может начать настройку правил и политик в межсетевом экране, инициализировав подключения модуля СОВ. Данный модуль позволяет выполнять обнаружение и предотвращение сетевых атак с помощью сигнатур (они же «БРП» — база решающих правил). В СОВ также присутствует эшелонированная защита, выполняющая предотвращение, поиск известных угроз, поиск неизвестных угроз.
Поиск известных угроз они же сигнатуры IPS (СОВ) происходит на сетевом и канальном уровнях, также производится блокировка доступа к сайтам с помощью Kaspersky или Threat Intelligence. Помимо этого, также есть возможность анализа сетевого трафика и антивирусная проверка с помощью потокового антивирус или добавления собственных хэшей вредоносных файлов, с целью проверки работы СОВ.
Одной из отличительных черт АПК Континент модуля СОВ является — собственный профиль IPS, который можно установить на узел (узлы). При необходимости в СОВ уже имеются созданные специализированные профили под определённые типы угроз (3 профиля).
Модуль поведенческого анализа (МПА)
Это инновационное нововведение для российских NGFW. Модуль поведенческого анализа (МПА) – это самообучаемый программный модуль, предназначенный для обнаружения атак сканирования, атак на основе корректности протоколов и угроз типа «отказ в обслуживании». Обнаружение и предотвращение аномального трафика, атак сканирования и атак на основе корректности протоколов и угроз типа «отказ в обслуживании». В основе работы модуля лежат методики анализа характеристик сетевого трафика с учетом их изменений во времени с помощью набора шаблонов атак. Модуль можно настроить на постоянное обучение или обучение по времени или приостановить его работу.
При обучении по времени задается интервал администратором комплекса работы модуля. В процессе обучения модуль обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети. Когда обучение заканчивается, модуль работает с теми значениями, которые получил в процессе обучения. Режим «Обучение по времени» включается для каждого нового IP-адреса в сети.
При постоянном обучении МПА обрабатывает трафик, создает правила фильтрации и запоминает среднюю нагрузку узлов сети на протяжении всего периода активности.
Ниже представлен набор шаблонов, которые МПА анализирует и после анализа создает правила фильтрации или политики по предотвращению атак, вот этот список:
- SYNсканирование,
- FIN/RSTсканирование,
- ICMPсканирование,
- UDPсканирование,
- ICMP-пакеты, состоящие только из заголовка,
- Превышение размера DNS запроса/ответа,
- Корректность пакетов,
- Снижение размера пакета,
- DNS-spoofing,
- Несовпадающие ответы DNS,
- Неверные ответы DNS,
- SYN-flood,
- SMURF-атака,
- FIN/RST-flood,
- FRAGGLE-атака,
- LAND-атака.
МПА анализирует внешний и внутренний трафик, в том числе трафик, поступающий из туннелей VPN после его расшифрования. Для блокировки трафика МПА создает правила фильтрации. В случае обнаружения атаки МПА выполняет одно из трех действий: регистрирует событие в журнале сетевой безопасности и временно блокирует источник атаки; регистрирует событие в журнале сетевой безопасности; собирает статистику.
События, связанные с работой МПА как программного компонента УБ, регистрируются в системном журнале. В журнале управления регистрируются события, связанные с изменением конфигурации УБ или настроек МПА. МПА функционирует только на УБ в режиме UTM.
Дополнительная информация по АПК Континент
Помимо вышеописанных модулей и компонентов АПК Континент в комплексе имеются функции, которые не вошли в описание основных модулей, а именно:
- Континент позволяет разграничивать ресурсы, тем самым увеличивая работоспособность межсетевого экрана.
- Одна из отличительных черт, это пропускная способность, которая достигает до 50 Гбит/сек в комплексе, тем самым позволяя функционировать в огромной сети предприятия без потери соединения.
- Осуществляется контроль приложений их блокировка/ разрешение, обнаружение/классификация не доступная на большинстве российских NGFW.
- Присутствует мониторинг SIEM(MAX PATROL SIEM), KUMA, RUSIEM, KOMRAD. Анализ конфигураций (EFROS CI, SKYBOX, НЕТХАБ). Сторонние системы безопасности (Песочницы, антивирусы, DLP, DS INTEGRITY)
- Имеется собственное инновационное для российских NGFW решение. Функциональный брокер сетевых пакетов для балансировки трафика.
DS integrity — Брокеры сетевых пакетов, осуществляющие доставку и распределение трафика для систем анализа и мониторинга, осуществляющее агрегацию, зеркалирование, фильтрацию, дедупликацию, модификацию и балансировку.
- Присутствует собственная DLP система (Threat Intelligence), позволяющая анализировать и создавать политики в отношении: источников TI, отчётов об угрозах, соц. Сетей (сбор данных –> нормализация, фильтрация, обогащение, скоринг -> добавление в базу лаборатории анализа сетевых угроз -> континент 4).
- Поиск неизвестных угроз и передача файлов по ним в сетевую песочницу по протоколу ICAP
- Использование ГОСТ Р 12 — 2015 для l3vpn между узлом безопасности континент 4
- Использование Ipsec AES для L3vpn между узлом безопасности континент 4 и любым другим сетевым оборудованием с поддержкой IPSEC
- Имеется поддержка IPv6 (менее приоритетно).
- Присутствует повышенная производительность NGFW до 10 Гбит/сек.
- Присутствует поддержка сетевых технологий (VXLAN, динамическая маршрутизация и т.д.).
- Имеется возможность импорта политик Check Point.
- Имеется возможность импорта политик с Cisco ASA, FortiGate, Palo Alto через промежуточный импорт в Check Point.
Данные функции АПК Континент являются отличительной чертой данного NGFW от других на российском рынке.
Система управления АПК Континент
Данный пункт подразумевает общие понятия, для полноценного понимания вышеизложенного описания АПК Континент, а именно:
- Единая база сетевых объектов;
- Распределение трафика по механизмам безопасности;
- Импорт доменных пользователей;
- Централизованное управление настройками;
- Массовое развёртывание узлов безопасности;
- Импорт политик со сторонних межсетевых экранов/миграция;
- Централизованный веб мониторинг;
- Отправка логов в сторонние системы для анализа по протоколам syslog, netflow, snmp.