Halo semuanya!
Kami melanjutkan serangkaian artikel tentang topik integrasi TI terintegrasi.
Dan hari ini kami ingin berbicara tentang salah satu perkembangan domestik yang kami, sebagai integrator, dapat menawarkan kepada pelanggan kami untuk memecahkan masalah memastikan keamanan perimeter jaringan. Ini terutama benar dalam konteks kebijakan sectional dan persyaratan substitusi impor.
Pengenaan sanksi merupakan tantangan, termasuk bagi insinyur yang menerima sertifikasi, basis pengetahuan besar tentang solusi vendor asing, tetapi pada titik tertentu mereka dipaksa untuk dengan cepat beralih ke "gelombang baru", sebenarnya mulai banyak lagi.
Pengembang dalam negeri juga harus mencapai tingkat baru untuk segera menawarkan alternatif yang layak kepada para pemimpin solusi TI. Sekarang kita sudah dapat mengatakan bahwa mereka melakukannya dengan cukup baik. Mari kita beralih ke contoh spesifik, yaitu layar Internet UserGate. Mari kita secara singkat mempertimbangkan tugas-tugas apa yang memungkinkan kita untuk selesaikan dan apa potensi pengembangan yang ada di dalamnya.
Jadi, mari kita bicara tentang apa yang ditawarkan UserGate dari fungsional, dan di bidang apa itu dapat diterapkan.
Gambar 1 - Fungsi Firewall UserGate
Gambar 2 - Area Aplikasi untuk firewall UserGatePengembang menghabiskan banyak waktu untuk membuat platform mereka sendiri, yang tidak bergantung pada penggunaan kode sumber orang lain dan modul pihak ketiga. UserGate beroperasi berdasarkan sistem operasi UG OS yang dibuat secara khusus dibuat dan terus didukung.
Faktanya, UserGate adalah gateway Internet universal dari kelas Unified Threat Management (perlindungan ancaman terpadu), menggabungkan fungsi firewall, router, gateway antivirus, deteksi intrusi dan sistem pencegahan (SOV), server VPN, sistem penyaringan konten, modul pemantauan dan statistik dan banyak lagi. Produk ini memungkinkan Anda untuk mengelola jaringan perusahaan, mengoptimalkan lalu lintas yang digunakannya dan secara efektif mencegah ancaman Internet.
Mari kita melihat lebih dekat apa yang ditawarkan UserGate dalam hal fungsionalitas keamanan jaringan dan perlindungan terhadap ancaman jaringan.
Firewall
Firewall generasi mendatang (NGFW - Next Generation Firewall) milik UserGate menyaring lalu lintas yang melewati protokol tertentu (mis. TCP, UDP, IP), sehingga melindungi jaringan dari serangan peretas dan berbagai jenis intrusi berdasarkan penggunaan protokol ini.
Deteksi dan Pencegahan Intrusi
Intrusion Detection and Prevention System (SRO) memungkinkan Anda mengenali aktivitas jahat dalam jaringan. Tujuan utama dari sistem ini adalah deteksi, penebangan dan pencegahan ancaman secara real time, serta penyediaan laporan. Administrator dapat membuat berbagai profil COB (set tanda tangan yang relevan untuk melindungi layanan tertentu) dan menetapkan aturan COB yang menentukan tindakan untuk jenis lalu lintas yang dipilih, yang akan diperiksa oleh modul COB sesuai dengan profil yang diberikan.
Pemindaian lalu lintas antivirus
UserGate Streaming Antivirus memungkinkan Anda menyediakan pemindaian antivirus terhadap lalu lintas tanpa mengorbankan kinerja dan kecepatan jaringan. Menurut vendor, modul menggunakan basis data tanda tangan yang luas, yang terus diperbarui. Sebagai perlindungan tambahan, modul analisis heuristik dapat dihubungkan.
Memeriksa Lalu Lintas Email
UserGate dapat memproses lalu lintas surat transit (SMTP (S), POP3 (S)), menganalisis sumbernya, serta isi pesan dan lampiran, yang menjamin perlindungan yang andal terhadap serangan spam, virus, pharming dan serangan phishing. UserGate juga menyediakan kemampuan untuk mengkonfigurasi penyaringan email secara fleksibel oleh grup pengguna.
Bekerja dengan sistem keamanan eksternal
Dimungkinkan untuk mentransfer HTTP / HTTPS dan lalu lintas surat (SMTP, POP3) ke server ICAP eksternal, misalnya, untuk pemindaian anti-virus atau untuk analisis data yang dikirimkan oleh pengguna dengan sistem DLP. Administrator dapat menentukan lalu lintas apa yang diperlukan untuk dikirim ke ICAP, serta mengonfigurasi pekerjaan dengan farm server.
Manajemen ASU TP
Dalam versi baru platform, menjadi mungkin untuk mengkonfigurasi dan mengelola sistem kontrol proses otomatis untuk produksi teknologi (ACS TP). Administrator dapat mengontrol lalu lintas dengan mengonfigurasi aturan untuk mendeteksi, memblokir, dan mencatat peristiwa. Ini memungkinkan Anda untuk mengotomatiskan operasi dasar proses, sambil mempertahankan kemampuan untuk mengendalikan dan mengintervensi jika perlu.
Menetapkan Kebijakan Keamanan Menggunakan Skrip
UserGate dapat secara signifikan mengurangi waktu antara deteksi serangan dan reaksi terhadapnya berkat otomatisasi keamanan menggunakan mekanisme skrip (SOAR - Keamanan, Otomasi, dan Respons) Keamanan. Konsep ini berada di puncak popularitas dan memungkinkan administrator untuk membuat skrip (berjalan sesuai rencana atau ketika serangan terdeteksi), di mana tindakan otomatis ditulis sebagai respons terhadap peristiwa tertentu. Pendekatan ini memberikan konfigurasi kebijakan keamanan yang fleksibel, mengurangi partisipasi manusia karena otomatisasi tugas yang berulang, dan juga memungkinkan untuk memprioritaskan skenario untuk respons cepat terhadap ancaman kritis.
Sekarang mari kita lihat teknologi apa yang ditawarkan UserGate untuk memberikan solusi bagi masalah toleransi kesalahan dan keandalan.
Dukungan Clustering dan Failover
UserGate mendukung 2 jenis klaster: klaster konfigurasi, yang memungkinkan Anda menentukan pengaturan seragam untuk klaster di dalam klaster, dan kluster failover, yang dirancang untuk memastikan operasi jaringan yang tidak terganggu. Cluster failover dapat beroperasi dalam dua mode: Aset-Aset dan Aset-Pasif. Keduanya mendukung sinkronisasi sesi pengguna, yang memberikan transparansi bagi pengguna yang mengalihkan lalu lintas dari satu node ke node lain.
FTP melalui HTTP
Modul FTP melalui HTTP memungkinkan Anda untuk mengakses konten server FTP dari browser pengguna.
Dukungan untuk banyak penyedia
Saat menghubungkan sistem ke beberapa penyedia, UserGate memungkinkan Anda untuk mengkonfigurasi gateway untuk masing-masing penyedia untuk menyediakan akses ke Internet. Administrator juga dapat menyesuaikan keseimbangan lalu lintas antara penyedia dengan menunjukkan bobot masing-masing gateway, atau menentukan salah satu gateway sebagai yang utama dengan beralih ke penyedia lain jika gateway utama tidak tersedia.
Manajemen bandwidth
Aturan kontrol bandwidth digunakan untuk membatasi saluran untuk pengguna, host, layanan, atau aplikasi tertentu. Antara lain, produk UserGate memiliki fungsi yang cukup luas untuk merutekan lalu lintas dan menerbitkan sumber daya lokal.
UserGate memungkinkan Anda menggunakan perutean statis dan dinamis. Perutean dinamis dilakukan menggunakan protokol OSPF dan BGP, yang memungkinkan untuk menggunakan UserGate dalam jaringan perusahaan terarah yang kompleks. Administrator dapat membuat aturan NAT di sistem (untuk menyediakan akses Internet bagi pengguna), serta aturan untuk menerbitkan sumber daya internal secara aman di Internet menggunakan proxy terbalik untuk HTTP / HTTPS dan DNAT untuk protokol lain.
Pada prinsipnya, tidak ada yang inovatif, tetapi agar para insinyur pelanggan merasa relatif tenang, teknologi ini cukup memadai.
Manajemen lalu lintas dan kontrol akses internet
Jika Anda memiliki akses Internet, ada tugas untuk mengendalikan lalu lintas. Belum lama ini, sebagian besar klien korporat terutama tertarik untuk meminimalkan biaya akses Internet (terutama untuk perusahaan kecil) dan keamanan (semua jenis perangkat lunak antivirus telah berhasil menyelesaikan masalah ini sejak lama). Saat ini, semakin banyak perhatian diberikan pada bagaimana karyawan menggunakan Jaringan dan bagaimana memastikan bahwa tindakan mereka tidak mengancam keamanan layanan bisnis yang penting.
Penggunaan modul pemfilteran Internet menyediakan kontrol administratif atas penggunaan Internet dan memblokir kunjungan ke sumber daya yang berpotensi berbahaya, serta, bila perlu, situs yang tidak berfungsi. Untuk menganalisis keamanan sumber daya yang diminta oleh pengguna, layanan reputasi, jenis konten MIME (foto, video, teks, dll.), Kamus morfologis khusus yang disediakan oleh UserGate, serta URL daftar hitam dan putih digunakan. Menggunakan Useragent, administrator dapat melarang atau mengizinkan pekerjaan dengan jenis browser tertentu. UserGate menyediakan kemampuan untuk membuat daftar hitam dan putih Anda sendiri, kamus, tipe MIME, kamus morfologis dan Useragent, menerapkannya pada pengguna dan grup pengguna. Bahkan situs yang aman dapat berisi gambar yang tidak diinginkan pada spanduk yang isinya tidak tergantung pada pemilik sumber daya. UserGate menyelesaikan masalah ini dengan memblokir spanduk, melindungi pengguna dari konten negatif. UserGate, menurut pendapat kami, memiliki fungsi yang sangat menarik untuk menyuntikkan kode ke halaman web. Ini memungkinkan Anda untuk memasukkan kode yang diperlukan ke semua halaman web yang dilihat pengguna. Selanjutnya, administrator dapat menerima berbagai metrik untuk setiap elemen halaman dan, jika perlu, menyembunyikan berbagai elemen agar tidak ditampilkan di halaman web.
Menggunakan teknologi MITM (Man In The Middle), dimungkinkan untuk menyaring tidak hanya lalu lintas biasa, tetapi juga terenkripsi (HTTPS, SMTPS, protokol POP3S), menandatanganinya dengan sertifikat akar tepercaya untuk enkripsi setelah analisis. Sistem ini memungkinkan Anda untuk mengkonfigurasi verifikasi lalu lintas selektif, misalnya, untuk tidak mendekripsi sumber daya dari kategori "Keuangan".
UserGate membantu memaksa fitur SafeSearch diaktifkan untuk Google, Yandex, Yahoo, Bing, Rambler, Ask, dan portal YouTube. Dengan bantuan perlindungan seperti itu dimungkinkan untuk mencapai efisiensi tinggi, misalnya, dengan memfilter tanggapan terhadap permintaan dengan konten grafis atau video. Anda juga dapat memblokir mesin pencari yang tidak memiliki fitur pencarian aman. Selain itu, administrator memiliki alat untuk memblokir game dan aplikasi di jejaring sosial yang paling populer, meskipun faktanya akses ke jejaring sosial itu sendiri dapat diizinkan.
Platform ini mendukung berbagai mekanisme otorisasi pengguna: Captive portal, Kerberos, NTLM, sementara akun dapat berasal dari berbagai sumber - LDAP, Direktori aktif, FreeIPA, TACACS +, Radius, SAML IDP. Otorisasi SAML IDP, Kerberos atau NTLM memungkinkan Anda untuk secara transparan (tanpa meminta nama pengguna dan kata sandi) untuk menghubungkan pengguna dalam domain Active Directory. Administrator dapat mengonfigurasi aturan keamanan, lebar saluran, aturan firewall, pemfilteran konten, dan kontrol aplikasi untuk pengguna individu, grup pengguna, serta semua pengguna yang dikenal atau tidak dikenal. Selain itu, produk ini mendukung penerapan aturan keamanan untuk pengguna layanan terminal menggunakan agen khusus (Agen Layanan Terminal), serta penggunaan agen otorisasi untuk platform Windows. Untuk memastikan keamanan akun yang lebih besar, dimungkinkan untuk menggunakan otentikasi multi-faktor menggunakan token TOTP (Algoritma Sandi Satu Kali Berbasis Waktu), SMS atau email. Fungsi menyediakan akses sementara ke jaringan dapat berguna untuk WiFi tamu dengan konfirmasi melalui email atau sms. Dalam hal ini, administrator dapat membuat pengaturan keamanan terpisah untuk setiap klien sementara.
Kesimpulan
Pada artikel ini, kami mencoba untuk membahas secara singkat tentang fungsionalitas yang diterapkan pada platform firewall UserGate. Sejauh ini, teknologi untuk mengatur jaringan virtual untuk jaringan yang didistribusikan secara geografis, dan akses pengguna yang aman ke sumber daya perusahaan, dll. Tetap berada di luar kurung.
Semua topik ini, hingga contoh konfigurasi berbagai teknologi, direncanakan dalam artikel berikut pada platform UserGate.