Olá pessoal!
Continuamos a série de artigos sobre o tema da integração integrada de TI.
E hoje queremos falar sobre um dos desenvolvimentos domésticos que nós, como integradores, podemos oferecer aos nossos clientes para resolver o problema de garantir a segurança do perímetro da rede. Isso é especialmente verdade no contexto de políticas seccionais e nos requisitos de substituição de importações.
A imposição de sanções foi um desafio, inclusive para os engenheiros que receberam a certificação, uma enorme base de conhecimento sobre as soluções de fornecedores estrangeiros, mas em algum momento eles foram forçados a mudar rapidamente para a "nova onda", na verdade começando muito novamente.
Os desenvolvedores domésticos também tiveram que atingir um novo nível para oferecer prontamente uma alternativa digna aos líderes de soluções de TI. Agora já podemos dizer que eles se saem muito bem. Vamos seguir para um exemplo específico, a tela da Internet UserGate. Vamos considerar brevemente quais tarefas ele nos permite resolver e que potencial de desenvolvimento está nele.
Então, vamos falar sobre o que o UserGate oferece do funcional e em que áreas ele pode ser aplicado.
Figura 1 - Funcionalidade dos firewalls UserGate
Figura 2 - Áreas de aplicação para firewalls UserGateOs desenvolvedores dedicaram muito tempo à criação de sua própria plataforma, que não depende do uso do código-fonte de terceiros e dos módulos de terceiros. O UserGate opera com base no sistema operacional UG OS especialmente criado e constantemente suportado e em evolução.
De fato, o UserGate é um gateway universal da Internet da classe Unified Threat Management (uma proteção unificada contra ameaças), combinando a funcionalidade de firewall, roteador, antivírus de gateway, sistema de detecção e prevenção de intrusões (SOV), servidor VPN, sistema de filtragem de conteúdo, módulo de monitoramento e estatísticas e muito mais. O produto permite gerenciar a rede da empresa, otimizar o tráfego usado e impedir efetivamente ameaças à Internet.
Vamos dar uma olhada no que o UserGate tem a oferecer em termos de funcionalidade de segurança de rede e proteção contra ameaças à rede.
Firewalling
O firewall de próxima geração embutido do UserGate (NGFW - Next Generation Firewall) filtra o tráfego que passa por determinados protocolos (por exemplo, TCP, UDP, IP), protegendo a rede contra ataques de hackers e vários tipos de invasões com base no uso desses protocolos.
Detecção e prevenção de intrusões
O Sistema de Detecção e Prevenção de Intrusões (SRO) permite que você reconheça atividades maliciosas na rede. O principal objetivo do sistema é a detecção, registro e prevenção de ameaças em tempo real, bem como o fornecimento de relatórios. O administrador pode criar vários perfis de COB (conjuntos de assinaturas relevantes para proteger certos serviços) e definir regras de COB que definem ações para o tipo de tráfego selecionado, que serão verificadas pelo módulo COB de acordo com os perfis atribuídos.
Verificação de tráfego antivírus
O UserGate Streaming Antivirus permite fornecer uma verificação antivírus do tráfego sem sacrificar o desempenho e a velocidade da rede. Segundo o fornecedor, o módulo usa um extenso banco de dados de assinaturas, que é atualizado constantemente. Como proteção adicional, um módulo de análise heurística pode ser conectado.
Verificando o tráfego de email
O UserGate é capaz de lidar com o tráfego de mensagens de trânsito (SMTP (S), POP3 (S)), analisando sua origem, bem como o conteúdo da mensagem e anexos, o que garante uma proteção confiável contra ataques de spam, vírus, pharming e phishing. O UserGate também oferece a capacidade de configurar de maneira flexível a filtragem de mensagens por grupo de usuários.
Trabalhar com sistemas de segurança externos
É possível transferir HTTP / HTTPS e tráfego de mensagens (SMTP, POP3) para servidores ICAP externos, por exemplo, para verificação antivírus ou análise de dados transmitidos pelos usuários pelos sistemas DLP. O administrador pode especificar qual tráfego deve ser enviado ao ICAP, além de configurar o trabalho com farms de servidores.
Gerenciamento de ASU TP
Na nova versão da plataforma, tornou-se possível configurar um sistema automatizado de controle de processo (ACS TP) e gerenciá-lo. O administrador pode controlar o tráfego configurando regras para detectar, bloquear e registrar eventos. Isso permite automatizar as operações básicas do processo, mantendo a capacidade de controlar e intervir, se necessário.
Definindo diretivas de segurança usando scripts
O UserGate pode reduzir significativamente o tempo entre a detecção de um ataque e a reação a ele, graças à automação de segurança usando um mecanismo de script (SOAR - Orquestração, automação e resposta de segurança). Esse conceito está no auge da popularidade e permite ao administrador criar scripts (executados de acordo com o plano ou quando um ataque é detectado), onde ações automáticas são gravadas em resposta a determinados eventos. Essa abordagem fornece configuração flexível de políticas de segurança, reduz a participação humana devido à automação de tarefas repetitivas e também permite priorizar cenários para uma resposta rápida a ameaças críticas.
Agora vamos ver quais tecnologias o UserGate oferece para fornecer soluções para os problemas de tolerância a falhas e confiabilidade.
Suporte a cluster e failover
O UserGate suporta 2 tipos de clusters: um cluster de configuração, que permite especificar configurações uniformes para nós dentro do cluster, e um cluster de failover, projetado para garantir a operação ininterrupta da rede. O cluster de failover pode operar em dois modos: Asset-Asset e Asset-Passive. Ambos oferecem suporte à sincronização de sessões do usuário, o que fornece transparência para os usuários que alternam o tráfego de um nó para outro.
FTP sobre HTTP
O módulo FTP sobre HTTP permite acessar o conteúdo do servidor FTP a partir do navegador do usuário.
Suporte para múltiplos provedores
Ao conectar o sistema a vários provedores, o UserGate permite configurar um gateway para cada um deles para fornecer acesso à Internet. O administrador também pode ajustar o balanceamento do tráfego entre provedores, indicando o peso de cada gateway ou especificar um dos gateways como o principal com a troca para outros provedores, se o gateway principal não estiver disponível.
Gerenciamento de largura de banda
As regras de controle de largura de banda são usadas para limitar o canal para usuários, hosts, serviços ou aplicativos específicos. Entre outras coisas, os produtos UserGate têm uma funcionalidade bastante ampla para rotear tráfego e publicar recursos locais.
UserGate permite usar roteamento estático e dinâmico. O roteamento dinâmico é realizado usando os protocolos OSPF e BGP, o que possibilita o uso do UserGate em uma rede corporativa roteada complexa. O administrador pode criar regras NAT no sistema (para fornecer aos usuários acesso à Internet), bem como regras para publicar com segurança recursos internos na Internet usando proxies reversos para HTTP / HTTPS e DNAT para outros protocolos.
Em princípio, nada de inovador, mas para que os engenheiros do cliente se sintam relativamente calmos, essas tecnologias são suficientes.
Gerenciamento de tráfego e controle de acesso à Internet
Se você tiver acesso à Internet, há a tarefa de controlar o tráfego. Há pouco tempo, a maioria dos clientes corporativos estava principalmente interessada em minimizar o custo do acesso à Internet (especialmente para pequenas empresas) e segurança (todos os tipos de software antivírus resolveram esse problema com êxito por um longo tempo). Hoje, é prestada cada vez mais atenção à maneira como os funcionários usam a rede e a garantir que suas ações não ameacem a segurança de serviços essenciais aos negócios.
O uso do módulo de filtragem da Internet fornece controle administrativo sobre o uso da Internet e bloqueia visitas a recursos potencialmente perigosos, bem como, quando necessário, sites não comerciais. Para analisar a segurança dos recursos solicitados pelos usuários, serviços de reputação, tipos de conteúdo MIME (fotos, vídeos, textos etc.), são utilizados dicionários morfológicos especiais fornecidos pelo UserGate, bem como listas negras e brancas de URLs. Usando o Useragent, um administrador pode proibir ou permitir o trabalho com um tipo específico de navegador. O UserGate fornece a capacidade de criar suas próprias listas em preto e branco, dicionários, tipos MIME, dicionários morfológicos e Useragent, aplicando-os a usuários e grupos de usuários. Até sites seguros podem conter imagens indesejadas em banners cujo conteúdo é independente do proprietário do recurso. O UserGate resolve esse problema bloqueando banners, protegendo os usuários de conteúdo negativo. O UserGate, em nossa opinião, tem uma função muito interessante de injetar código nas páginas da web. Permite inserir o código necessário em todas as páginas da web que o usuário visualiza. Além disso, o administrador pode receber várias métricas para cada elemento da página e, se necessário, ocultar vários elementos da exibição nas páginas da web.
Usando a tecnologia MITM (Man In The Middle), é possível filtrar não apenas o tráfego comum, mas também criptografado (protocolos HTTPS, SMTPS, POP3S), assinando-o com um certificado raiz confiável para criptografia após análise. O sistema permite configurar a verificação seletiva de tráfego, por exemplo, para não descriptografar os recursos da categoria "Finanças".
O UserGate ajuda a forçar o recurso SafeSearch a ser ativado para o Google, Yandex, Yahoo, Bing, Rambler, Ask e o portal do YouTube. Com a ajuda dessa proteção, é possível obter alta eficiência, por exemplo, filtrando as respostas às solicitações por conteúdo gráfico ou de vídeo. Você também pode bloquear os mecanismos de pesquisa que não possuem um recurso de pesquisa segura. Além disso, os administradores têm ferramentas para bloquear jogos e aplicativos nas redes sociais mais populares, apesar do fato de que o acesso às próprias redes sociais pode ser permitido.
A plataforma suporta vários mecanismos de autorização do usuário: portal Captive, Kerberos, NTLM, enquanto as contas podem vir de várias fontes - LDAP, Active Directory, FreeIPA, TACACS +, Radius, SAML IDP. A autorização SAML IDP, Kerberos ou NTLM permite que você transparentemente (sem pedir um nome de usuário e senha) para conectar usuários em um domínio do Active Directory. O administrador pode configurar regras de segurança, largura do canal, regras de firewall, filtragem de conteúdo e controle de aplicativos para usuários individuais, grupos de usuários e todos os usuários conhecidos ou desconhecidos. Além disso, o produto suporta a aplicação de regras de segurança a usuários de serviços de terminal usando agentes especiais (agentes de serviços de terminal), bem como o uso de um agente de autorização para plataformas Windows. Para garantir maior segurança das contas, é possível usar a autenticação multifator usando tokens TOTP (algoritmo de senha de uso único), SMS ou email. A funcionalidade de fornecer acesso temporário à rede pode ser útil para o convidado WiFi com confirmação por e-mail ou sms. Nesse caso, os administradores podem criar configurações de segurança separadas para cada cliente temporário.
Conclusão
Neste artigo, tentamos falar brevemente sobre a funcionalidade implementada na plataforma de firewall UserGate. Até o momento, as tecnologias para organizar redes virtuais para uma rede distribuída geograficamente e acesso seguro do usuário aos recursos da empresa etc. permaneceram fora dos colchetes.
Todos esses tópicos, até exemplos de configurações de várias tecnologias, estão planejados nos seguintes artigos na plataforma UserGate.