Hola a todos!
Continuamos la serie de artículos sobre el tema de la integración integrada de TI.
Y hoy queremos hablar sobre uno de los desarrollos nacionales que nosotros, como integradores, podemos ofrecer a nuestros clientes para resolver el problema de garantizar la seguridad del perímetro de la red. Esto es especialmente cierto en el contexto de las políticas seccionales y los requisitos de sustitución de importaciones.
La imposición de sanciones fue un desafío, incluso para los ingenieros que recibieron la certificación, una gran base de conocimiento sobre las soluciones de proveedores extranjeros, pero en algún momento se vieron obligados a cambiar rápidamente a la "nueva ola", comenzando realmente de nuevo.
Los desarrolladores nacionales también tuvieron que alcanzar un nuevo nivel para ofrecer rápidamente una alternativa digna a los líderes de soluciones de TI. Ahora ya podemos decir que les va bastante bien. Pasemos a un ejemplo específico, a saber, la pantalla de Internet de UserGate. Consideremos brevemente qué tareas nos permite resolver y qué potencial de desarrollo reside en ello.
Entonces, hablemos sobre lo que ofrece UserGate desde lo funcional y en qué áreas se puede aplicar.
Figura 1 - Funcionalidad de los firewalls de UserGate
Figura 2 - Áreas de aplicación para firewalls UserGateLos desarrolladores dedicaron mucho tiempo a crear su propia plataforma, que no se basa en el uso del código fuente de otra persona y los módulos de terceros. UserGate opera sobre la base del sistema operativo UG especialmente creado y constantemente apoyado y en evolución.
De hecho, UserGate es una puerta de enlace universal de Internet de la clase Unified Threat Management (una protección unificada contra amenazas), que combina la funcionalidad de un firewall, enrutador, puerta de enlace antivirus, sistema de detección y prevención de intrusiones (SOV), servidor VPN, sistema de filtrado de contenido, módulo de monitoreo y estadísticas y más. El producto le permite administrar la red de la empresa, optimizar el tráfico que utiliza y prevenir eficazmente las amenazas de Internet.
Echemos un vistazo más de cerca a lo que UserGate tiene para ofrecer en términos de funcionalidad de seguridad de red y protección contra amenazas de red.
Cortafuegos
El firewall integrado de próxima generación de UserGate (NGFW - Next Generation Firewall) filtra el tráfico que pasa a través de ciertos protocolos (por ejemplo, TCP, UDP, IP), protegiendo así la red de ataques de hackers y varios tipos de intrusiones basadas en el uso de estos protocolos.
Detección y prevención de intrusiones
El Sistema de detección y prevención de intrusiones (SRO) le permite reconocer la actividad maliciosa dentro de la red. El objetivo principal del sistema es la detección, registro y prevención de amenazas en tiempo real, así como la provisión de informes. El administrador puede crear varios perfiles COB (conjuntos de firmas relevantes para proteger ciertos servicios) y establecer reglas COB que definan acciones para el tipo de tráfico seleccionado, que serán verificadas por el módulo COB de acuerdo con los perfiles asignados.
Escaneo de tráfico antivirus
UserGate Streaming Antivirus le permite proporcionar análisis antivirus del tráfico sin sacrificar el rendimiento y la velocidad de la red. Según el proveedor, el módulo utiliza una extensa base de datos de firmas, que se actualiza constantemente. Como protección adicional, se puede conectar un módulo de análisis heurístico.
Comprobación del tráfico de correo electrónico
UserGate puede procesar el tráfico de correo de tránsito (SMTP (S), POP3 (S)), analizando su fuente, así como el contenido del mensaje y los archivos adjuntos, lo que garantiza una protección confiable contra el spam, virus, ataques de pharming y phishing. UserGate también brinda la capacidad de configurar de manera flexible el filtrado de correo por grupo de usuarios.
Trabajar con sistemas de seguridad externos.
Es posible transferir HTTP / HTTPS y tráfico de correo (SMTP, POP3) a servidores ICAP externos, por ejemplo, para escaneo antivirus o para análisis de datos transmitidos por usuarios por sistemas DLP. El administrador puede especificar qué tráfico se debe enviar a ICAP, así como configurar el trabajo con granjas de servidores.
ASU TP Management
En la nueva versión de la plataforma, se hizo posible configurar y administrar un sistema automatizado de control de procesos para la producción tecnológica (ACS TP). El administrador puede controlar el tráfico configurando reglas para detectar, bloquear y registrar eventos. Esto le permite automatizar las operaciones básicas del proceso, mientras mantiene la capacidad de controlar e intervenir si es necesario.
Establecer políticas de seguridad utilizando scripts
UserGate puede reducir significativamente el tiempo entre la detección de un ataque y la reacción al mismo gracias a la automatización de seguridad mediante un mecanismo de secuencias de comandos (SOAR - Security Orchestration, Automation and Response). Este concepto está en la cima de la popularidad y permite al administrador crear scripts (ejecutados según el plan o cuando se detecta un ataque), donde las acciones automáticas se escriben en respuesta a ciertos eventos. Este enfoque proporciona una configuración flexible de las políticas de seguridad, reduce la participación humana debido a la automatización de tareas repetitivas y también permite priorizar escenarios para una respuesta rápida a amenazas críticas.
Ahora veamos qué tecnologías ofrece UserGate para proporcionar soluciones a los problemas de tolerancia a fallas y confiabilidad.
Clustering y soporte de conmutación por error
UserGate admite 2 tipos de clústeres: un clúster de configuración, que le permite especificar configuraciones uniformes para los nodos dentro del clúster, y un clúster de conmutación por error, diseñado para garantizar el funcionamiento ininterrumpido de la red. El clúster de conmutación por error puede funcionar en dos modos: activo-activo y activo-pasivo. Ambos admiten la sincronización de sesiones de usuario, lo que proporciona transparencia para los usuarios que cambian el tráfico de un nodo a otro.
FTP sobre HTTP
El módulo FTP sobre HTTP le permite acceder a los contenidos del servidor FTP desde el navegador del usuario.
Soporte para múltiples proveedores.
Al conectar el sistema a varios proveedores, UserGate le permite configurar una puerta de enlace para que cada uno de ellos proporcione acceso a Internet. El administrador también puede ajustar el equilibrio del tráfico entre proveedores indicando el peso de cada puerta de enlace, o especificar una de las puertas de enlace como la principal con el cambio a otros proveedores si la puerta de enlace principal no está disponible.
Gestión de ancho de banda
Las reglas de control de ancho de banda se utilizan para limitar el canal para usuarios, hosts, servicios o aplicaciones específicos. Entre otras cosas, los productos UserGate tienen una funcionalidad bastante amplia para enrutar el tráfico y publicar recursos locales.
UserGate le permite usar enrutamiento estático y dinámico. El enrutamiento dinámico se realiza utilizando los protocolos OSPF y BGP, lo que hace posible utilizar UserGate en una red empresarial enrutada compleja. El administrador puede crear reglas NAT en el sistema (para proporcionar a los usuarios acceso a Internet), así como reglas para publicar de manera segura recursos internos en Internet utilizando proxys inversos para HTTP / HTTPS y DNAT para otros protocolos.
En principio, nada innovador, pero para que los ingenieros del cliente se sientan relativamente tranquilos, estas tecnologías son suficientes.
Gestión del tráfico y control de acceso a internet.
Si tiene acceso a Internet, existe la tarea de controlar el tráfico. No hace mucho tiempo, la mayoría de los clientes corporativos estaban interesados principalmente en minimizar el costo del acceso a Internet (especialmente para las pequeñas empresas) y la seguridad (todo tipo de software antivirus ha resuelto con éxito este problema durante mucho tiempo). Hoy en día, se presta cada vez más atención a cómo los empleados usan la Red y cómo garantizar que sus acciones no amenacen la seguridad de los servicios críticos del negocio.
El uso del módulo de filtrado de Internet proporciona control administrativo sobre el uso de Internet y bloquea las visitas a recursos potencialmente peligrosos, así como, cuando sea necesario, sitios que no son de trabajo. Para analizar la seguridad de los recursos solicitados por los usuarios, se utilizan servicios de reputación, tipos de contenido MIME (fotos, videos, textos, etc.), diccionarios morfológicos especiales proporcionados por UserGate, así como listas de URL en blanco y negro. Con Useragent, un administrador puede prohibir o permitir el trabajo con un tipo específico de navegador. UserGate brinda la capacidad de crear sus propias listas en blanco y negro, diccionarios, tipos MIME, diccionarios morfológicos y Useragent, aplicándolos a usuarios y grupos de usuarios. Incluso los sitios seguros pueden contener imágenes no deseadas en pancartas cuyo contenido es independiente del propietario del recurso. UserGate resuelve este problema bloqueando pancartas, protegiendo a los usuarios del contenido negativo. UserGate, en nuestra opinión, tiene una función muy interesante de inyectar código en páginas web. Le permite insertar el código necesario en todas las páginas web que ve el usuario. Además, el administrador puede recibir varias métricas para cada elemento de la página y, si es necesario, ocultar varios elementos para que no se muestren en las páginas web.
Usando la tecnología MITM (Man In The Middle), es posible filtrar no solo el tráfico regular, sino también el encriptado (protocolos HTTPS, SMTPS, POP3S), firmando con un certificado raíz confiable para encriptar después del análisis. El sistema le permite configurar la verificación selectiva del tráfico, por ejemplo, para no descifrar los recursos de la categoría "Finanzas".
UserGate ayuda a forzar la activación de la función SafeSearch para Google, Yandex, Yahoo, Bing, Rambler, Ask y el portal de YouTube. Con la ayuda de dicha protección, es posible lograr una alta eficiencia, por ejemplo, filtrando las respuestas a las solicitudes por contenido gráfico o de video. También puede bloquear los motores de búsqueda que no tienen una función de búsqueda segura. Además, los administradores tienen herramientas para bloquear juegos y aplicaciones en las redes sociales más populares, a pesar de que se puede permitir el acceso a las redes sociales.
La plataforma admite varios mecanismos de autorización de usuario: portal cautivo, Kerberos, NTLM, mientras que las cuentas pueden provenir de varias fuentes: LDAP, Active Directory, FreeIPA, TACACS +, Radius, SAML IDP. Autorización SAML IDP, Kerberos o NTLM le permite transparentemente (sin solicitar un nombre de usuario y contraseña) para conectar a los usuarios en un dominio de Active Directory. El administrador puede configurar reglas de seguridad, ancho de canal, reglas de firewall, filtrado de contenido y control de aplicaciones para usuarios individuales, grupos de usuarios, así como para todos los usuarios conocidos o desconocidos. Además, el producto admite la aplicación de reglas de seguridad a los usuarios de servicios de terminal que utilizan agentes especiales (Agentes de servicios de terminal), así como el uso de un agente de autorización para plataformas Windows. Para garantizar una mayor seguridad de las cuentas, es posible utilizar la autenticación multifactor utilizando tokens TOTP (Algoritmo de contraseña de un solo uso basado en el tiempo), SMS o correo electrónico. La funcionalidad de proporcionar acceso temporal a la red puede ser útil para WiFi de invitados con confirmación por correo electrónico o sms. En este caso, los administradores pueden crear configuraciones de seguridad separadas para cada cliente temporal.
Conclusión
En este artículo intentamos hablar brevemente sobre la funcionalidad que se implementa en la plataforma de firewall UserGate. Hasta ahora, las tecnologías para organizar redes virtuales para una red distribuida geográficamente y el acceso seguro de los usuarios a los recursos de la empresa, etc. se han mantenido fuera de los corchetes.
Todos estos temas, hasta ejemplos de configuraciones de varias tecnologías, se planean en los siguientes artículos sobre la plataforma UserGate.