«Континент 4»: Новая версия NGFW-решения от компании «Код Безопасности»

Системы класса NGFW — одни из самых популярных средств для обеспечения сетевой безопасности. С учетом ухода иностранных игроков и освобождения рынка отечественные вендоры NGFW начали активно работать над функциональным паритетом с иностранными решениями.

«Континент 4» — NGFW от компании «Код Безопасности» — появился в 2018 году и является результатом работы над АПКШ «Континент 3». «Континент 4» представляется собой полностью переработанный продукт с собственной операционной системой ContinentOS, переработанной архитектурой (NGFW решение) и собственной системой управления.

Новые вызовы, связанные с уходом иностранных игроков, позволили существенно развить функционал Континент 4:

• Повышение уровня безопасности
• Автоматизация и оптимизация процессов администрирования
• Повышение производительности труда пользователей

На текущий момент все основные сценарии уже можно закрывать с помощью Континент 4:

• Защита периметра организации
• Защита геораспределенной инфраструктуры
• Защита центров обработки данных (ЦОД)
• Защита малого и среднего бизнеса
• Защита технологических сетей

За 2023 год Континент 4 стал самым продаваемым продуктом по итогам года в «Код Безопасности»

Как мы к этому пришли?

В 2023 году «Код Безопасности» выпустил три билда флагманского продукта — NGFW Континент 4:

• 4.1.7.1325
• 4.1.7.1395
• 4.1.7.1446

Какие новые функции получил Континент 4 в этих релизах:

• Прозрачная аутентификация пользователей (SSO)
• URL-фильтрация через SNI
• Расширение фидов Threat Intelligence
• Разделение пулов ip-адресов удаленных пользователей
• Оптимизация производительности
• Автоматизированные инструменты миграции с иностранных NGFW
• Инструменты автоматизации работы администратора

Прозрачная аутентификация пользователей (SSO)

Одним из основных отличий устройств класса NGFW от других решений сетевой безопасности является возможность написания политик безопасности, используя идентификаторы пользователей. Функционал аутентификации пользователей для доступа в сеть в Континент 4 присутствовал и ранее. Однако до версии 4.1.7.1325 для аутентификации пользователя при выходе в Интернет необходимо было иметь либо установленный на ПК агент, либо вводить учетные данные на Captive Portal. Это не самый удобный метод аутентификации, так как требует дополнительных действий от самих пользователей.

Поэтому в версии 4.1.7.1325 в Континент 4 была добавлена возможность прозрачной аутентификации пользователей через протокол Kerberos. В таком случае от пользователя не требуются никакие действия. Аутентификация пользователя происходит через протокол Kerberos и срабатывает, как только пользователь запустит браузер.

Такой метод аутентификации позволяет повысить производительность труда пользователей.

URL-фильтрация через SNI

Фильтрация веб-контента является одной из самых важных функций в NGFW и от качества реализации этой фильтрации напрямую зависит безопасность информационного пространства предприятия. Начиная с версии 4.1.7.1395 в Континент 4 используется несколько механизмов фильтрации веб-контента:

• Контроль приложений
• URL-фильтрация и категоризация через SSL-инспекцию
• URL-фильтрация и категоризация через SNI

В Континент 4 реализованы два типа контентной фильтрации: cо вскрытием SSL и без вскрытия SSL. Эти типы фильтрации распределены по разным цепочкам для ускорения обработки трафика. Использование фильтрации со вскрытием SSL более ресурсозатратно, так как работа этого механизма подразумевает расшифрование и зашифрование проходящего трафика.

Возможность фильтрации трафика без вскрытия SSL — через SNI — позволило совместно использовать URL-фильтрацию/категоризацию и контроль приложений.

Расширение фидов Threat Intelligence

Фиды TI, а именно индикаторы компрометации (IoC), являются одним из эффективных методом своевременного предотвращения известных атак и повышают прозрачность сетевой инфраструктуры с точки зрения обнаружения атак.

В Континент 4 в качестве IoC используются:

• Хэши вредоносных файлов
• URL вредоносных сайтов
• Вредоносные домены

Причем данные IoC агрегируют сразу с нескольких независимых баз для их дальнейшего одновременного использования.

Общий перечень этих баз в Континент 4.1.7:

• фиды «Код Безопасности»
• фиды Лаборатории Касперского
• фиды Центрального Банка (ФинЦЕРТ)
• пользовательские (через импорт хэшей ВПО)

Фиды в Континент 4:

Импорт пользовательских хэшей:

Использование пользовательских хэшей при фильтрации трафика:

Разделение пулов ip-адресов удаленных пользователей

В версии 4.1.7.1325 была добавлена возможность разделения пулов ip-адресов удаленных пользователей. Ранее все удаленные пользователи при подключении по VPN получали IP-адреса из единого пула. Теперь в Континент 4 можно назначить разным группам пользователей IP-адреса из разных пулов.

Данная функция позволяет разграничить доступ удаленных пользователей к различным сегментам на уровне подсетей, что в целом приводит к повышению уровня изоляции внутренней сети и минимизирует риски компрометации корпоративной инфраструктуры.

Оптимизация производительности

В версиях 4.1.7 в сравнении с 4.1.5 был оптимизирован код, что позволило увеличить производительность Континент 4.

1. Производительность логирования:
2. Ранее пользователи Континент 4 могли сталкиваться с проблемой задержки событий сетевой безопасности. Новая версия исправляет эту проблему за счет увеличения производительности логирования в несколько раз.
3. Производительность NGFW:

Появилась возможность использования URL-фильтрацию по категориям при включенном высокопроизводительном DPI (Deep Packet Inspection). Ранее пользователи могли использовать URL-фильтрация по категориям только в стандартном режиме DPI. Высокопроизводительный режим DPI позволяет обрабатывать трафик приложений на уровне ядра, что значительно повышает пропускную способность при L7-фильтрации.

Данные изменения были осуществлены в версии 4.1.7.1446. Таким образом одной из главных задач релиза Континент 4.1.7.1446 является оптимизация производительности для обеспечения стабильной работы как на уровне мониторинга, так и на уровне компонентом безопасности.

Автоматизированные инструменты миграции с иностранных NGFW

Континент 4 поддерживает ряд инструментов автоматизированной миграции с иностранных NGFW:

1. Миграция с Check Point
2. Миграция с FortiGate
3. Миграция с Cisco ASA
4. Миграция с Palo Alto
5. Миграция с Juniper осуществляется через промежуточный импорт в Check Point с помощью, а затем из Check Point в Континент 4.1.7, с помощью утилиты в п.1.
6. Миграция с Континент 3.9.2 и выше
7. Телеграм-бот с инструментами миграции

Использование данных инструментов позволяет сократить время миграции и минимизировать риски, связанные с ошибками при ручном переносе политик безопасности.

Инструменты автоматизации работы администратора

Континент 4 также стал поддерживать инструменты для работы с API. Перечень инструментов и возможностей:

1. c4_lib — библиотека для работы с API Континент 4
2. c4_config_exporter — инструмент для экспорта конфигурации УБ для сторонних систем Firewall Assurance
3. c4_rules_maker — инструмент для генерации правил по заданным директивам
4. c4_vlan_maker — инструмент для генерации логических интерфейсов VLAN по заданному списку
5. c4_config_transfer — инструмент для переноса в ограниченном объеме политики между разными ЦУС
6. c4_policy_install — инструмент для подачи ЦУС команды на установку политики
7. c4_ioc_importer_rv — Инструмент для импорта объектов IoC (Indicator of Compromise) от вендора R-Vision
8. c4_ioc_importer_sv — Инструмент для импорта объектов IoC (Indicator of Compromise) от вендора Security Vision
9. aserv_c4_importer — Инструмент для переноса (миграции) данных с СД Континент 3 на СД Континент 4
10. c4_xls_rules_maker — Инструмент для создания правил фильтрации (FW) и трансляции (NAT) по заданному шаблону

Таким образом, основные цели релизов Континент 4.1.7:

1. Добавление нового ключевого функционала
2. Оптимизация производительности