2021/12/20 14:22:29

«Швейцарский нож» для сетевого администратора. Обзор возможностей корпоративного шлюза «Интернет Контроль Сервер»


Содержание

Любая сеть нуждается в защите и контроле, а корпоративная сеть - в особенности. Помимо движения трафика, в корпоративной сети также работает целый ряд сервисов, таких как телефония, почта, обмен сообщениями и многое другое. Чтобы построить подобную инфраструктуру, зачастую требуется приобрести, внедрить и интегрировать не один десяток программных продуктов от разных производителей. У каждого из этих продуктов свои особенности, свои системные требования, своя платформа. ИТ-специалистам в этом случае приходится тратить немало времени на настройку, проверку совместимости и разрешение конфликтов между различными компонентами программного комплекса. В свою очередь, совокупная стоимость лицензии на все сетевые инструменты может сильно ударить по карману заказчика. Наконец, в условиях сложной международной обстановки никто не застрахован от санкций, которым может быть подвергнута любая российская компания или предприятие. Зарубежный разработчик может прекратить поддержку своего продукта, оставив заказчика на произвол судьбы. Можно в качестве альтернативы воспользоваться СПО, но поддержка со стороны сообщества пользователей не всегда может сравниться по качеству, оперативности и компетентности со специалистами, работающими в штате компании-разработчика.

В этой ситуации оптимальным вариантом будет выбор комплексного программного продукта, сочетающего в себе практически всю необходимую функциональность для корпоративной сети, своеобразного «мультитула или швейцарского ножа». Такой «швейцарский нож» должен представлять собой отечественную разработку, построенную на надежной и проверенной платформе, а процесс установки, настройки и эксплуатации призван быть предельно понятным и прозрачным.

Одним из таких решений можно назвать сетевой корпоративный шлюз «Интернет Контроль Сервер» (ИКС), разработанный российской компанией «А-Реал Консалтинг». Разработан шлюз ИКС на базе Unix-подобной операционной системы FreeBSD. Продукт ориентирован на коммерческие и бюджетные учреждения (редакция «ИКС Стандарт»), учебные заведения и библиотеки (редакция «ИКС Контент-фильтр») и государственные структуры и организации, которые работают с персональными данными (редакция «ИКС ФСТЭК»).

Шлюз ИКС включает в себя более восьмидесяти функций, среди которых: защита сети, управление доступом, контроль контента, учет трафика, управление хранилищем файлов, сервер Jabber, почтовый сервер и IP-телефония. Мы не будем этом обзоре останавливаться на всех функциях ИКС. Они подробно описаны в пользовательской документации, с которой можно ознакомиться на сайте разработчика. Расскажем лишь о некоторых, наиболее интересных для корпоративного пользователя возможностях программного продукта.

Мониторинг приложений

Мониторинг приложений, запущенных на устройстве пользователя

Пользователи в сети устанавливают на свои конечные устройства различные приложения, а администратору, в целях безопасности, необходимо осуществлять мониторинг их работы: следить за открытыми портами, собирать информацию о генерируемом трафике и используемых протоколах и т. д. Для этой задачи используется утилита авторизации Xauth, которая решении ИКС доступна по логину/паролю, домену, статическому IP адресу, также отвечает за мониторинг установленного ПО.

Что касается мониторинга, то разработчиками предусмотрено не только наблюдение за сетевой активностью приложений, но и мониторинг трафика того или иного приложения в индивидуальном порядке на ПК пользователя, а также управление групповыми правилами. Иными словами, можно заблокировать нежелательную программу как у одного, у группы, так и у всех пользователей. Утилита Xauth входит в состав дистрибутива Интернет-шлюза ИКС. «Группа Астра» в свободном доступе опубликовала курс по российской службе каталога ALD Pro для обучения администраторов 4.2 т

Для управления приложениями конкретного пользователя необходимо выбрать его в меню ИКС, и во вкладке «Приложения» можно будет увидеть все запущенные на удаленном ПК программы и их сетевую активность: IP-адреса, порты и протоколы.

Достаточно выбрать нежелательное приложение и нажать на кнопку «Запретить доступ». Для групповой блокировки необходимо выбрать группу (или создать новую), а затем во вкладке «Правила и ограничения» выбрать пункт «Добавить» -> «Запрещающее правило Application Firewall». В открывшемся окне необходимо выбрать из выпадающего списка приложение и указать интервал блокировки по дням и часам. Допустим, можно запретить пользователям запускать какое-либо ПО только в течение рабочего дня.

Запрещающее правило в Application firewall

Фильтрация контента

Во Всемирной Паутине доступен самый разнообразный контент: от полезного и развлекательного, до вредного и даже противозаконного. Но находясь на рабочем месте пользователям желательно посещать сайты, необходимые для их профессиональной деятельности, либо читать новостные ресурсы, чтобы не отстать от повестки дня. Учащимся учебных заведений, соответственно, необходимо получать в сети знания, необходимые в учебном процессе. Доступ ко всем остальным категориям веб-контента можно и желательно ограничивать.

Ограничивать учащихся от нежелательной информации в Интернете требует федеральное законодательство, а именно ФЗ-436 и ФЗ-139. Такая функция есть в составе шлюза ИКС. Поддерживается несколько вариантов фильтрации контента: по URL, по ключевым словам, по критериям безопасного поиска, по спискам Минюста РФ, доступ только в сайты Реестра безопасных образовательных сайтов (РБОС), веб-фильтрам SkyDNS (фильтрует более 60 категорий трафика), Kaspersky Web Filter (фильтрует более 70 категорий трафика) и Garnet (собственная разработка создателей ИКС).

SkyDNS и KWF являются сторонними продуктами, их требуется приобрести отдельно в качестве дополнительных модулей. Фильтр Garnet является самообучаемой системой, и, на основе имеющихся данных в базе, он оперативно определяет категории вновь появляющихся сайтов. Garnet поставляется вместе с ИКС и с недавних пор также требует приобретения лицензии. Если Garnet неправильно определит категорию сайта, об этом можно отправить сообщение разработчикам. Базы нежелательного контента оперативно обновляются, и доступ к обновлениям получают пользователи в течение первого года, а в последующие годы - клиенты, купившие дополнительно техническую поддержку.

Фильтровать контент можно как для отдельного пользователя, так и для группы, либо для всех пользователей. Для настройки фильтрации необходим сертификат, который даст возможность шлюзу ИКС работать с зашифрованным трафиком. Добавить новый сертификат можно в пункте «Защита» -> «Сертификаты» главного меню приложения. Шлюз ИКС выполняет роль прокси-сервера, через который проходит веб-трафик пользователя и выполняется его фильтрация. После создания сертификата его нужно выбрать в меню «Сеть» -> «Прокси» -> «Сертификат для HTTP-фильтрации». Для наиболее полной и качественной фильтрации необходимо отметить галочкой пункт «Расшифровать трафик с подменой сертификата». Также поддерживаются определенные условия, которыми должен обладать трафик, чтобы к нему не применялись правила фильтрации. Созданный сертификат необходимо экспортировать, то есть выгрузить в виде файла в формате CRT, чтобы затем добавить в браузер каждому пользователю, которому необходимо фильтровать контент. Далее уже в главном окне ИКС следует выбрать пользователя, перейти во вкладку «Правила и ограничения» -> «Добавить» -> «Запрещающее правило прокси». Во всплывающее окно нужно добавить запрещающее правило, и сохранить его.

Если в ИКС уже установлены веб-фильтры с действующей лицензией, то для их применения в фильтрации контента необходимо выбрать их в пункте «Защита» главного меню ИКС, а затем поставить галочку в пункте «Настройки» -> «Использовать в прокси». Стоит отметить, что использование готовых категорий трафика облегчает процесс настройки, поскольку все нежелательные сайты уже сгруппированы по категориям, и администратору достаточно выбрать нужный веб-фильтр и в открывшемся списке категорий запретить показ целого набора сайтов, например, социальных сетей. В этом случае нет необходимости вручную вносить каждый URL.

Если необходимо фильтровать сайты не по URL и категориям, а по содержимому, следует зайти в меню «Защита» -> «Контент-фильтр». В систему уже встроены базы запрещенных слов с сайтов Минюста, Госнаркоконтроля, а также список запрещенных слов для школ. При наличии действующей лицензии на ИКС, эти базы регулярно обновляются.

Администратор может и сам составить список запрещенных слов. Русский язык, как известно, велик и могуч, поэтому можно добавлять как целые ключевые слова и фразы, которые будут фиксироваться без изменений, так и шаблоны слов (регулярные выражения). Списки запрещенных слов фраз и выражений можно редактировать, либо просто убирать блокировку, при нахождении фильтром этих слов на благонадежном и полезном сайте.

Защита сети

Для защиты корпоративной сети ИКС использует целый ряд различных инструментов, которые дополняют друг друга. В пункте «Защита» главного меню приложения находятся встроенные антивирусные, антиспам- и веб-фильтры, о которых мы рассказали выше. В пункте «Межсетевой экран» доступны компоненты для защиты сети от внешних воздействий, такие как Web Application Firewall, Application Firewall, детектор атак, контент-фильтр (мы о нем писали выше), а также инструмент Fail2ban для защиты от перебора паролей. В пункте «Сертификаты» можно импортировать, добавлять и управлять сертификатами безопасности.

Меню «Сертификаты»

Защита от вирусов реализована на базе антивируса ClamAV. Это бесплатный продукт с открытым кодом. Его можно использовать также в режиме проверки трафика через прокси, а также проверки электронной почты. Обновление антивирусных баз ClamAV доступно для любого пользователя, независимо от лицензии. Наряду с веб-фильтром от «Лаборатории Касперского» в ИКС встроены антивирусный и антиспам-фильтры от указанного производителя. Они платные, поэтому их необходимо приобрести дополнительно.

Антивирусный фильтр ClamAV

«Межсетевой экран» ИКС работает в соответствии с правилами, которые можно увидеть в меню «Межсетевой экран» -> «Правила». Правила можно добавлять, удалять и редактировать. Имеется возможность настройки правил для VPN-интерфейса, то есть для пользователей, подключающихся к сети удаленно, что особенно актуально сегодня, в условиях пандемии. Web Application Firewall представляет собой веб-сервер Nginx. Здесь не предусмотрены инструменты для настройки, однако ведется подробный лог, который можно просматривать и экспортировать. Компонент Application Firewall позволяет осуществлять мониторинг активности пользователей на удаленных устройствах. Администратор может видеть все приложения конкретного пользователя либо группы пользователей и, при необходимости, блокировать сетевую активность любого из них. Для этого необходима утилита Xauth, о которой мы писали выше.

Также имеется возможность сразу создать запрещающие правила для конкретных приложений, даже если их пока никто из пользователей не установил. Можно заблокировать и использование конкретного протокола, например, BitTorrent.

«Детектор атак Suricata» обнаруживает вторжения в сеть извне и пытается их предотвратить. В детектор встроено несколько наборов правил от различных поставщиков, в том числе и от российской компании Positive Technologies. Администратор может воспользоваться как некоторыми из них, так и всеми сразу. Правила можно менять и редактировать.

Сервис Fail2ban позволяет защитить запущенные в корпоративной сети службы от перебора паролей. Здесь можно настроить количество неудачных попыток, интервал между неудачными попытками, а также время блокировки. Это можно сделать как для каждой службы по отдельности, так и для всех служб сразу.

Безопасность для удаленной работы

В эпоху пандемии коронавируса произошел глобальный пересмотр многих устоявшихся моделей в мировой экономике. Большинству организаций пришлось отправить сотрудников на удаленный режим работы из дома. В дальнейшем для многих такой режим стал постоянным, либо трансформировался в гибридную модель, предусматривающую не ежедневное, а периодическое посещение офиса. Удаленным сотрудникам также необходимо создать безопасные условия для работы из дома, кафе, коворкинга и т. д.

Удаленные пользователи подключаются к ИКС с помощью уже неоднократно упомянутой утилиты Xauth, которая «знает» выданный им IP-адрес. Она же осуществляет мониторинг сетевых соединений и отправляет эту информацию на ИКС. Соответственно, администратор видит запущенные пользователем приложения и, при необходимости, может заблокировать их сетевую активность, о чем мы уже писали в предыдущем разделе.

Ключевым элементом безопасной работы удаленного пользователя является VPN-соединение. Его можно настроить в меню «Сеть» -> «VPN» -> «VPN-сервер». В систему встроено несколько VPN-решений от сторонних разработчиков (WireGuard, SSTP, OpenVPN и другие), причем можно воспользоваться любым из них. Уже установленное у заказчика VPN-приложение также можно подключить к ИКС. Для каждого VPN можно выбрать доступный алгоритм шифрования трафика и сертификат. Можно добавить новый сертификат, который затем следует передать пользователю, чтобы тот добавил его в свой VPN-клиент, с помощью которого он будет устанавливать подключение.

Меню VPN

Обратная связь с разработчиками

Любой коммерческий программный продукт перед приобретением лицензии необходимо протестировать на инфраструктуре пользователя. Разработчики ИКС предлагают тестовый период в течение 35 дней, в течение которых можно подробно ознакомиться со всеми возможностями шлюза.

Процесс установки и работы в приложении подробно документирован, и вся документация доступна на сайте разработчика. При возникновении вопросов на помощь всегда готова прийти служба технической поддержки. Те, кто не любит читать документацию, а предпочитает ознакомиться со всеми функциями на практике, но не скачивать и не устанавливать при этом приложение, могут воспользоваться онлайн демо версией.

Шлюз ИКС постоянно развивается и обогащается новыми функциями. Разработчики максимально открыты для общения и обратной связи. Они регулярно проводят вебинары для текущих и будущих пользователей, в ходе которых подробно рассказывают о решении типовых задач с помощью ИКС с пошаговой демонстрацией, а особое внимание уделяют новым фичам. Пользователи задают вопросы в чате вебинара, на которые сразу же получают ответ `из первых уст`. Само пользовательское сообщество становится все более активным. Например, по инициативе пользователей был запущен Telegram-канал.

Протестируйте и вы российский шлюз безопасности Интернет Контроль Сервер.