Bonjour à tous!
Nous poursuivons la série d'articles sur le thème de l'intégration informatique intégrée.
Et aujourd'hui, nous voulons parler de l'un des développements nationaux que nous, en tant qu'intégrateurs, pouvons offrir à nos clients pour résoudre le problème de la sécurité du périmètre du réseau. Cela est particulièrement vrai dans le contexte des politiques sectorielles et des exigences de substitution des importations.
L'imposition de sanctions a été un défi, y compris pour les ingénieurs qui ont reçu la certification, une énorme base de connaissances sur les solutions de fournisseurs étrangers, mais à un moment donné, ils ont été contraints de passer rapidement à la "nouvelle vague", recommençant en fait beaucoup de choses.
Les développeurs nationaux ont également dû atteindre un nouveau niveau afin d'offrir rapidement une alternative valable aux leaders des solutions informatiques. Maintenant, nous pouvons déjà dire qu'ils s'en sortent plutôt bien. Passons à un exemple spécifique, à savoir l'écran Internet UserGate. Examinons brièvement les tâches qu’elle nous permet de résoudre et le potentiel de développement qui en découle.
Parlons donc de ce que UserGate offre du fonctionnel et dans quels domaines il peut être appliqué.
Figure 1 - Fonctionnalité des pare-feu UserGate
Figure 2 - Domaines d'application des pare-feu UserGateLes développeurs ont consacré beaucoup de temps à créer leur propre plate-forme, qui ne repose pas sur l'utilisation du code source et des modules tiers de quelqu'un d'autre. UserGate fonctionne sur la base du système d'exploitation UG OS spécialement créé et constamment soutenu et évolutif.
En fait, UserGate est une passerelle Internet universelle de la classe Unified Threat Management (une protection unifiée contre les menaces), combinant les fonctionnalités d'un pare-feu, d'un routeur, d'un antivirus de passerelle, d'un système de détection et de prévention des intrusions (SOV), d'un serveur VPN, d'un système de filtrage de contenu, d'un module de surveillance et des statistiques et plus encore. Le produit vous permet de gérer le réseau de l'entreprise, d'optimiser le trafic qu'il utilise et de prévenir efficacement les menaces Internet.
Examinons de plus près ce que UserGate a à offrir en termes de fonctionnalités de sécurité réseau et de protection contre les menaces réseau.
Pare-feu
Le pare-feu nouvelle génération intégré de UserGate (NGFW - Next Generation Firewall) filtre le trafic passant par certains protocoles (par exemple TCP, UDP, IP), protégeant ainsi le réseau contre les attaques de pirates et divers types d'intrusions en fonction de l'utilisation de ces protocoles.
Détection et prévention des intrusions
Le système de détection et de prévention des intrusions (SRO) vous permet de reconnaître les activités malveillantes au sein du réseau. Le principal objectif du système est la détection, la journalisation et la prévention des menaces en temps réel, ainsi que la fourniture de rapports. L'administrateur peut créer différents profils COB (ensembles de signatures pertinentes pour la protection de certains services) et définir des règles COB qui définissent des actions pour le type de trafic sélectionné, qui seront vérifiées par le module COB en fonction des profils attribués.
Analyse du trafic antivirus
UserGate Streaming Antivirus vous permet de fournir une analyse antivirus du trafic sans sacrifier les performances et la vitesse du réseau. Selon le fournisseur, le module utilise une vaste base de données de signatures, qui est constamment mise à jour. Comme protection supplémentaire, un module d'analyse heuristique peut être connecté.
Vérification du trafic des e-mails
UserGate est capable de traiter le trafic de courrier en transit (SMTP (S), POP3 (S)), en analysant sa source, ainsi que le contenu du message et des pièces jointes, ce qui garantit une protection fiable contre le spam, les virus, le pharming et les attaques de phishing. UserGate offre également la possibilité de configurer de manière flexible le filtrage du courrier par groupe d'utilisateurs.
Travailler avec des systèmes de sécurité externes
Il est possible de transférer HTTP / HTTPS et le trafic de messagerie (SMTP, POP3) vers des serveurs ICAP externes, par exemple pour l'analyse antivirus ou pour l'analyse des données transmises par les utilisateurs par les systèmes DLP. L'administrateur peut spécifier quel trafic doit être envoyé à ICAP, ainsi que configurer le travail avec les batteries de serveurs.
Gestion ASU TP
Dans la nouvelle version de la plateforme, il est devenu possible de configurer et de gérer un système de contrôle de processus automatisé pour la production technologique (ACS TP). L'administrateur peut contrôler le trafic en configurant des règles de détection, de blocage et de journalisation des événements. Cela vous permet d'automatiser les opérations de base du processus, tout en conservant la capacité de contrôler et d'intervenir si nécessaire.
Définition de politiques de sécurité à l'aide de scripts
UserGate peut réduire considérablement le temps entre la détection d'une attaque et sa réaction grâce à l'automatisation de la sécurité à l'aide d'un mécanisme de script (SOAR - Security Orchestration, Automation and Response). Ce concept est au sommet de sa popularité et permet à l'administrateur de créer des scripts (exécutés selon le plan ou lorsqu'une attaque est détectée), où des actions automatiques sont écrites en réponse à certains événements. Cette approche offre une configuration flexible des politiques de sécurité, réduit la participation humaine en raison de l'automatisation des tâches répétitives, et permet également de hiérarchiser les scénarios pour une réponse rapide aux menaces critiques.
Voyons maintenant quelles technologies UserGate propose pour apporter des solutions aux problèmes de tolérance aux pannes et de fiabilité.
Prise en charge du clustering et du basculement
UserGate prend en charge 2 types de clusters: un cluster de configuration, qui vous permet de spécifier des paramètres uniformes pour les nœuds du cluster, et un cluster de basculement, conçu pour assurer un fonctionnement ininterrompu du réseau. Le cluster de basculement peut fonctionner selon deux modes: actif-actif et actif-passif. Les deux prennent en charge la synchronisation des sessions utilisateur, ce qui offre une transparence aux utilisateurs qui commutent le trafic d'un nœud à un autre.
FTP sur HTTP
Le module FTP sur HTTP vous permet d'accéder au contenu du serveur FTP depuis le navigateur de l'utilisateur.
Prise en charge de plusieurs fournisseurs
Lors de la connexion du système à plusieurs fournisseurs, UserGate vous permet de configurer une passerelle pour chacun d'eux pour fournir un accès à Internet. L'administrateur peut également ajuster l'équilibrage du trafic entre les fournisseurs en indiquant le poids de chaque passerelle, ou spécifier l'une des passerelles comme principale avec basculement vers d'autres fournisseurs si la passerelle principale n'est pas disponible.
Gestion de la bande passante
Les règles de contrôle de la bande passante sont utilisées pour limiter le canal pour des utilisateurs, hôtes, services ou applications spécifiques. Entre autres choses, les produits UserGate ont une fonctionnalité assez large pour acheminer le trafic et publier des ressources locales.
UserGate vous permet d'utiliser à la fois le routage statique et dynamique. Le routage dynamique est effectué à l'aide des protocoles OSPF et BGP, ce qui permet d'utiliser UserGate dans un réseau d'entreprise routé complexe. L'administrateur peut créer des règles NAT dans le système (pour fournir aux utilisateurs un accès Internet), ainsi que des règles pour publier en toute sécurité des ressources internes sur Internet à l'aide de procurations inverses pour HTTP / HTTPS et DNAT pour d'autres protocoles.
En principe, rien d'innovant, mais pour que les ingénieurs du client se sentent relativement calmes, ces technologies suffisent largement.
Gestion du trafic et contrôle d'accès Internet
Si vous avez accès à Internet, il y a la tâche de contrôler le trafic. Il n'y a pas si longtemps, la plupart des entreprises souhaitaient principalement minimiser les coûts d'accès à Internet (en particulier pour les petites entreprises) et de sécurité (toutes sortes de logiciels antivirus ont réussi à résoudre ce problème depuis longtemps). Aujourd'hui, de plus en plus d'attention est accordée à la façon dont les employés utilisent le réseau et à la manière de s'assurer que leurs actions ne menacent pas la sécurité des entreprises de services critiques.
L'utilisation du module de filtrage Internet fournit un contrôle administratif sur l'utilisation d'Internet et bloque les visites de ressources potentiellement dangereuses, ainsi que, le cas échéant, de sites non professionnels. Pour analyser la sécurité des ressources demandées par les utilisateurs, des services de réputation, des types de contenus MIME (photos, vidéos, textes, etc.), des dictionnaires morphologiques spéciaux fournis par UserGate, ainsi que des listes URL noires et blanches sont utilisées. À l'aide de Useragent, un administrateur peut interdire ou autoriser le travail avec un type spécifique de navigateur. UserGate offre la possibilité de créer vos propres listes noires et blanches, dictionnaires, types MIME, dictionnaires morphologiques et Useragent, en les appliquant aux utilisateurs et aux groupes d'utilisateurs. Même les sites sûrs peuvent contenir des images indésirables sur des bannières dont le contenu est indépendant du propriétaire de la ressource. UserGate résout ce problème en bloquant les bannières, protégeant ainsi les utilisateurs du contenu négatif. UserGate, à notre avis, a une fonction très intéressante d'injection de code dans les pages Web. Il vous permet d'insérer le code nécessaire dans toutes les pages Web consultées par l'utilisateur. En outre, l'administrateur peut recevoir diverses mesures pour chaque élément de la page et, si nécessaire, masquer divers éléments à afficher sur les pages Web.
En utilisant la technologie MITM (Man In The Middle), il est possible de filtrer non seulement le trafic régulier, mais également le trafic crypté (protocoles HTTPS, SMTPS, POP3S), en le signant avec un certificat racine de confiance pour le cryptage après analyse. Le système vous permet de configurer la vérification sélective du trafic, par exemple, pour ne pas décrypter les ressources de la catégorie "Finance".
UserGate permet de forcer l'activation de la fonction SafeSearch pour Google, Yandex, Yahoo, Bing, Rambler, Ask et le portail YouTube. Avec l'aide d'une telle protection, il est possible d'atteindre une efficacité élevée, par exemple, en filtrant les réponses aux demandes par contenu graphique ou vidéo. Vous pouvez également bloquer les moteurs de recherche qui ne disposent pas d'une fonction de recherche sécurisée. De plus, les administrateurs disposent d'outils pour bloquer les jeux et les applications sur les réseaux sociaux les plus populaires, malgré le fait que l'accès aux réseaux sociaux eux-mêmes puisse être autorisé.
La plateforme prend en charge divers mécanismes d'autorisation utilisateur: portail captif, Kerberos, NTLM, tandis que les comptes peuvent provenir de diverses sources - LDAP, Active Directory, FreeIPA, TACACS +, Radius, SAML IDP. Autorisation SAML IDP, Kerberos ou NTLM vous permet de façon transparente (sans demander un nom d'utilisateur et un mot de passe) pour connecter les utilisateurs dans un domaine Active Directory. L'administrateur peut configurer les règles de sécurité, la largeur de canal, les règles de pare-feu, le filtrage de contenu et le contrôle des applications pour les utilisateurs individuels, les groupes d'utilisateurs, ainsi que tous les utilisateurs connus ou inconnus. En outre, le produit prend en charge l'application de règles de sécurité aux utilisateurs de services Terminal Server à l'aide d'agents spéciaux (Terminal Services Agents), ainsi que l'utilisation d'un agent d'autorisation pour les plates-formes Windows. Pour assurer une plus grande sécurité des comptes, il est possible d'utiliser l'authentification multifacteur à l'aide de jetons TOTP (Time-based One Time Password Algorithm), SMS ou e-mail. La fonctionnalité de fournir un accès temporaire au réseau peut être utile pour le WiFi invité avec confirmation par e-mail ou sms. Dans ce cas, les administrateurs peuvent créer des paramètres de sécurité distincts pour chaque client temporaire.
Conclusion
Dans cet article, nous avons essayé de parler brièvement des fonctionnalités implémentées sur la plate-forme de pare-feu UserGate. Jusqu'à présent, les technologies d'organisation des réseaux virtuels pour un réseau géo-distribué et l'accès sécurisé des utilisateurs aux ressources de l'entreprise, etc. sont restées en dehors des limites.
Tous ces sujets, jusqu'à des exemples de configurations de différentes technologies, sont prévus dans les articles suivants sur la plateforme UserGate.