Hallo allerseits!
Wir setzen die Artikelserie zum Thema integrierte IT-Integration fort.
Und heute möchten wir über eine der inländischen Entwicklungen sprechen, die wir als Integratoren unseren Kunden anbieten können, um das Problem der Gewährleistung der Sicherheit des Netzwerkumfangs zu lösen. Dies gilt insbesondere im Zusammenhang mit Schnittrichtlinien und den Anforderungen der Importsubstitution.
Die Verhängung von Sanktionen war eine Herausforderung, auch für Ingenieure, die eine Zertifizierung erhalten hatten, eine riesige Wissensbasis über die Lösungen ausländischer Anbieter, aber irgendwann waren sie gezwungen, schnell auf die "neue Welle" umzusteigen und tatsächlich viel von vorne zu beginnen.
Inländische Entwickler mussten auch ein neues Niveau erreichen, um den Marktführern von IT-Lösungen umgehend eine würdige Alternative anbieten zu können. Jetzt können wir schon sagen, dass sie ziemlich gut abschneiden. Kommen wir zu einem bestimmten Beispiel, nämlich dem UserGate-Internetbildschirm. Lassen Sie uns kurz überlegen, welche Aufgaben es uns ermöglicht und welches Entwicklungspotential darin liegt.
Lassen Sie uns also darüber sprechen, was UserGate von der Funktion bietet und in welchen Bereichen es angewendet werden kann.
Abbildung 1 - Funktionalität von UserGate-Firewalls
Abbildung 2 - Anwendungsbereiche für UserGate-FirewallsDie Entwickler haben viel Zeit in die Erstellung ihrer eigenen Plattform investiert, die nicht auf der Verwendung des Quellcodes und der Module von Drittanbietern anderer basiert. UserGate basiert auf dem speziell erstellten und ständig unterstützten und sich weiterentwickelnden Betriebssystem UG OS.
Tatsächlich ist UserGate ein universelles Internet-Gateway der Unified Threat Management-Klasse (ein einheitlicher Bedrohungsschutz), das die Funktionen einer Firewall, eines Routers, eines Gateway-Antivirenprogramms, eines Intrusion Detection and Prevention-Systems (SOV), eines VPN-Servers, eines Inhaltsfiltersystems und eines Überwachungsmoduls kombiniert und Statistiken und mehr. Mit dem Produkt können Sie das Netzwerk des Unternehmens verwalten, den verwendeten Datenverkehr optimieren und Internetbedrohungen wirksam verhindern.
Schauen wir uns genauer an, was UserGate in Bezug auf Netzwerksicherheitsfunktionen und Schutz vor Netzwerkbedrohungen bieten kann.
Firewall
Die in UserGate integrierte Firewall der nächsten Generation (NGFW - Next Generation Firewall) filtert den Datenverkehr, der durch bestimmte Protokolle (z. B. TCP, UDP, IP) geleitet wird, und schützt so das Netzwerk vor Hackerangriffen und verschiedenen Arten von Eingriffen, die auf der Verwendung dieser Protokolle basieren.
Intrusion Detection und Prävention
Mit dem Intrusion Detection and Prevention System (SRO) können Sie böswillige Aktivitäten im Netzwerk erkennen. Das Hauptziel des Systems ist die Erkennung, Protokollierung und Verhinderung von Bedrohungen in Echtzeit sowie die Bereitstellung von Berichten. Der Administrator kann verschiedene COB-Profile erstellen (Signatursätze, die für den Schutz bestimmter Dienste relevant sind) und COB-Regeln festlegen, die Aktionen für den ausgewählten Verkehrstyp definieren, die vom COB-Modul gemäß den zugewiesenen Profilen überprüft werden.
Antivirus-Verkehrsscan
Mit UserGate Streaming Antivirus können Sie Antivirenscans des Datenverkehrs bereitstellen, ohne die Netzwerkleistung und -geschwindigkeit zu beeinträchtigen. Laut Hersteller verwendet das Modul eine umfangreiche Signaturdatenbank, die ständig aktualisiert wird. Als zusätzlichen Schutz kann ein heuristisches Analysemodul angeschlossen werden.
Überprüfen des E-Mail-Verkehrs
UserGate kann den Transit-Mail-Verkehr (SMTP (S), POP3 (S)) verarbeiten, seine Quelle sowie den Inhalt der Nachricht und der Anhänge analysieren und so einen zuverlässigen Schutz vor Spam, Viren, Pharming- und Phishing-Angriffen gewährleisten. UserGate bietet auch die Möglichkeit, die E-Mail-Filterung nach Benutzergruppen flexibel zu konfigurieren.
Arbeiten Sie mit externen Sicherheitssystemen
Es ist möglich, HTTP / HTTPS und E-Mail-Verkehr (SMTP, POP3) an externe ICAP-Server zu übertragen, beispielsweise zum Antiviren-Scannen oder zur Analyse von Daten, die von Benutzern von DLP-Systemen übertragen werden. Der Administrator kann angeben, welcher Datenverkehr an ICAP gesendet werden soll, und die Arbeit mit Serverfarmen konfigurieren.
ASU TP Management
In der neuen Version der Plattform wurde es möglich, ein automatisiertes Prozessleitsystem für die technologische Produktion (ACS TP) zu konfigurieren und zu verwalten. Der Administrator kann den Datenverkehr steuern, indem er Regeln zum Erkennen, Blockieren und Protokollieren von Ereignissen konfiguriert. Auf diese Weise können Sie die grundlegenden Vorgänge des Prozesses automatisieren und gleichzeitig die Möglichkeit behalten, bei Bedarf zu steuern und einzugreifen.
Festlegen von Sicherheitsrichtlinien mithilfe von Skripten
UserGate kann dank der Sicherheitsautomatisierung mithilfe eines Skriptmechanismus (SOAR - Security Orchestration, Automation and Response) die Zeit zwischen der Erkennung eines Angriffs und der Reaktion darauf erheblich verkürzen. Dieses Konzept erfreut sich größter Beliebtheit und ermöglicht es dem Administrator, Skripts zu erstellen (nach Plan ausgeführt oder wenn ein Angriff erkannt wird), in denen automatische Aktionen als Reaktion auf bestimmte Ereignisse geschrieben werden. Dieser Ansatz bietet eine flexible Konfiguration von Sicherheitsrichtlinien, reduziert die Beteiligung von Menschen aufgrund der Automatisierung sich wiederholender Aufgaben und ermöglicht die Priorisierung von Szenarien für eine schnelle Reaktion auf kritische Bedrohungen.
Lassen Sie uns nun sehen, welche Technologien UserGate anbietet, um Lösungen für die Probleme der Fehlertoleranz und Zuverlässigkeit bereitzustellen.
Clustering- und Failover-Unterstützung
UserGate unterstützt zwei Arten von Clustern: einen Konfigurationscluster, mit dem Sie einheitliche Einstellungen für Knoten innerhalb des Clusters festlegen können, und einen Failovercluster, der einen unterbrechungsfreien Betrieb des Netzwerks gewährleisten soll. Der Failovercluster kann in zwei Modi betrieben werden: Asset-Asset und Asset-Passive. Beide unterstützen die Synchronisierung von Benutzersitzungen, wodurch Benutzer, die Datenverkehr von einem Knoten zu einem anderen wechseln, transparent werden.
FTP über HTTP
Über das FTP-Modul über HTTP können Sie über den Browser des Benutzers auf den Inhalt des FTP-Servers zugreifen.
Unterstützung für mehrere Anbieter
Wenn Sie das System mit mehreren Anbietern verbinden, können Sie mit UserGate für jeden einen Gateway konfigurieren, um den Zugriff auf das Internet zu ermöglichen. Der Administrator kann auch die Verteilung des Datenverkehrs zwischen Anbietern anpassen, indem er das Gewicht jedes Gateways angibt, oder eines der Gateways als Hauptgateway angeben und zu anderen Anbietern wechseln, wenn das Hauptgateway nicht verfügbar ist.
Bandbreitenmanagement
Bandbreitensteuerungsregeln werden verwendet, um den Kanal für bestimmte Benutzer, Hosts, Dienste oder Anwendungen zu begrenzen. UserGate-Produkte verfügen unter anderem über eine ziemlich breite Funktionalität zum Weiterleiten des Datenverkehrs und zum Veröffentlichen lokaler Ressourcen.
Mit UserGate können Sie sowohl statisches als auch dynamisches Routing verwenden. Das dynamische Routing wird mithilfe von OSPF- und BGP-Protokollen durchgeführt, wodurch UserGate in einem komplexen gerouteten Unternehmensnetzwerk verwendet werden kann. Der Administrator kann NAT-Regeln im System erstellen (um Benutzern den Internetzugang zu ermöglichen) sowie Regeln für die sichere Veröffentlichung interner Ressourcen im Internet mithilfe von Reverse-Proxys für HTTP / HTTPS und DNAT für andere Protokolle.
Im Prinzip nichts Innovatives, aber damit sich die Ingenieure des Kunden relativ ruhig fühlen, reichen diese Technologien völlig aus.
Verkehrsmanagement und Internetzugangskontrolle
Wenn Sie über einen Internetzugang verfügen, müssen Sie den Datenverkehr steuern. Vor nicht allzu langer Zeit waren die meisten Unternehmenskunden in erster Linie daran interessiert, die Kosten für Internetzugang (insbesondere für kleine Unternehmen) und Sicherheit zu minimieren (alle Arten von Antivirensoftware haben dieses Problem seit langem erfolgreich gelöst). Heutzutage wird immer mehr darauf geachtet, wie Mitarbeiter das Netzwerk nutzen und wie sichergestellt werden kann, dass ihre Handlungen die Sicherheit geschäftskritischer Dienste nicht gefährden.
Die Verwendung des Internetfiltermoduls bietet administrative Kontrolle über die Nutzung des Internets und blockiert Besuche potenziell gefährlicher Ressourcen sowie erforderlichenfalls nicht arbeitender Websites. Zur Analyse der Sicherheit von Ressourcen, die von Benutzern angefordert werden, werden Reputationsdienste, MIME-Arten von Inhalten (Fotos, Videos, Texte usw.), spezielle morphologische Wörterbücher, die von UserGate bereitgestellt werden, sowie URL-Schwarzweißlisten verwendet. Mit Useragent kann ein Administrator die Arbeit mit einem bestimmten Browsertyp verbieten oder zulassen. UserGate bietet die Möglichkeit, eigene Schwarz-Weiß-Listen, Wörterbücher, MIME-Typen, morphologische Wörterbücher und Useragent zu erstellen und diese auf Benutzer und Benutzergruppen anzuwenden. Selbst sichere Websites können unerwünschte Bilder auf Bannern enthalten, deren Inhalt vom Eigentümer der Ressource unabhängig ist. UserGate löst dieses Problem, indem Banner blockiert und Benutzer vor negativen Inhalten geschützt werden. UserGate hat unserer Meinung nach eine sehr interessante Funktion beim Einfügen von Code in Webseiten. Sie können den erforderlichen Code in alle Webseiten einfügen, die der Benutzer anzeigt. Darüber hinaus kann der Administrator verschiedene Metriken für jedes Element der Seite empfangen und bei Bedarf verschiedene Elemente für die Anzeige auf Webseiten ausblenden.
Mithilfe der MITM-Technologie (Man In The Middle) kann nicht nur regulärer, sondern auch verschlüsselter Datenverkehr (HTTPS-, SMTPS-, POP3S-Protokolle) gefiltert und nach der Analyse mit einem vertrauenswürdigen Stammzertifikat zur Verschlüsselung signiert werden. Mit dem System können Sie die selektive Verkehrsüberprüfung konfigurieren, um beispielsweise die Ressourcen der Kategorie "Finanzen" nicht zu entschlüsseln.
Mit UserGate kann die SafeSearch-Funktion für Google, Yandex, Yahoo, Bing, Rambler, Ask und das YouTube-Portal aktiviert werden. Mit Hilfe eines solchen Schutzes ist es möglich, eine hohe Effizienz zu erzielen, indem beispielsweise Antworten auf Anfragen nach Grafik- oder Videoinhalten gefiltert werden. Sie können auch Suchmaschinen blockieren, die keine sichere Suchfunktion haben. Darüber hinaus verfügen Administratoren über Tools zum Blockieren von Spielen und Anwendungen in den beliebtesten sozialen Netzwerken, obwohl der Zugriff auf die sozialen Netzwerke selbst gestattet werden kann.
Die Plattform unterstützt verschiedene Benutzerautorisierungsmechanismen: Captive-Portal, Kerberos, NTLM, während Konten aus verschiedenen Quellen stammen können - LDAP, Active Directory, FreeIPA, TACACS +, Radius, SAML IDP. Autorisierung Mit SAML IDP, Kerberos oder NTLM können Sie transparent (ohne nach einem Benutzernamen und einem Kennwort zu fragen) Benutzer in einer Active Directory-Domäne verbinden. Der Administrator kann Sicherheitsregeln, Kanalbreite, Firewallregeln, Inhaltsfilterung und Anwendungssteuerung für einzelne Benutzer, Benutzergruppen sowie alle bekannten oder unbekannten Benutzer konfigurieren. Darüber hinaus unterstützt das Produkt die Anwendung von Sicherheitsregeln auf Benutzer von Terminaldiensten mithilfe spezieller Agenten (Terminaldiensteagenten) sowie die Verwendung eines Autorisierungsagenten für Windows-Plattformen. Um eine höhere Sicherheit der Konten zu gewährleisten, kann die Multi-Faktor-Authentifizierung mithilfe von TOTP-Token (zeitbasierter Einmalkennwortalgorithmus), SMS oder E-Mail verwendet werden. Die Funktionalität des temporären Zugriffs auf das Netzwerk kann für Gast-WLAN mit Bestätigung per E-Mail oder SMS nützlich sein. In diesem Fall können Administratoren für jeden temporären Client separate Sicherheitseinstellungen erstellen.
Fazit
In diesem Artikel haben wir versucht, kurz auf die Funktionen einzugehen, die auf der UserGate-Firewall-Plattform implementiert sind. Bisher blieben Technologien zum Organisieren virtueller Netzwerke für ein geoverteiltes Netzwerk und zum sicheren Benutzerzugriff auf Unternehmensressourcen usw. außerhalb der Klammern.
Alle diese Themen, bis hin zu Beispielen für Konfigurationen verschiedener Technologien, sind in den folgenden Artikeln auf der UserGate-Plattform geplant.