Сертификат AM Test Lab
Номер сертификата: 519
Дата выдачи: 29.05.2025
Срок действия: 29.05.2030
- Введение
- Функциональные возможности Kaspersky NGFW Beta 2
- 2.1. Функции безопасности
- 2.2. Сетевые функции
- Интеграция Kaspersky NGFW Beta 2
- Аппаратные и виртуальные платформы Kaspersky NGFW Beta 2
- Сценарии использования Kaspersky NGFW Beta 2
- Выводы
Введение
Компания «Лаборатория Касперского» анонсировала выход своего межсетевого экрана нового поколения (NGFW) в сентябре 2024 года. За прошедшие несколько месяцев вендором приложено немало усилий для того, чтобы реализовать первоочередные запросы, обозначенные заказчиками.
Ранее наша редакция уже рассматривала Kaspersky NGFW в рубрике «Распаковка», а также проводила обзор бета-версии Kaspersky NGFW 1.0. В качестве сильных сторон продукта вендор называет использование принципа Zero Copy при обработке трафика, движки безопасности собственной разработки, использование собственного Threat Intelligence для обогащения движков безопасности данными об актуальных угрозах, нативная интеграция с другими продуктами вендора.
Рассмотрим, какие возможности появились в новой версии Kaspersky NGFW.
Функциональные возможности Kaspersky NGFW Beta 2
Функциональные возможности продукта, реализованные на данный момент, направлены на управление и мониторинг, обеспечение сетевого взаимодействия и безопасности при работе с трафиком. Рассмотрим подробнее реализованные функции безопасности и сетевые функции.
Функции безопасности
Функции безопасности являются базовыми при выборе продуктов класса NGFW. Вендором реализовано множество доработок в этом направлении для того, чтобы выйдя в коммерческий релиз продукт наиболее точно отвечал запросам заказчиков.
Интеграция с Kaspersky Anti Targeted Attack
Для обеспечения высокого уровня безопасности при работе с трафиком, Kaspersky NGFW Beta 2 поддерживает возможность интеграции по программному интерфейсу (API) с другим продуктом вендора — Kaspersky Anti Targeted Attack (KATA) для проверки файлов с помощью «песочницы». Модуль песочницы необходим для анализа скачиваемых файлов и выявления в них угроз, а также для предотвращения их запуска на хостах пользователей или серверах.
Использование API в противовес традиционному протоколу ICAP является важной особенностью интеграции. Это позволяет минимизировать время проверки и формирования вердикта. При этом, вердикт, касающийся проверки файла, заносится в память самого NGFW и при последующем скачивании этого же файла проверка уже не потребуется, будет использоваться результат полученный ранее.
Обновленный движок антивируса
В Kaspersky NGFW Beta 2 добавлен тот же антивирусный движок, что используется и в продукте для защиты конечных станций — полноценный объектный антивирус на базе алгоритмов машинного обучения и искусственного интеллекта (ML / AI). Для межсетевого экрана его алгоритмы оптимизированы с учетом специфики сетевого оборудования — большого количества обрабатываемого трафика. Преимуществом такого решения является эвристический анализ на базе механизмов искусственного интеллекта и машинного обучения для поиска аномалий в трафике, что позволяет искать угрозы «нулевого дня» (0-day).
Нативная интеграция с XDR
Новая версия продукта дополнена нативной интеграцией с системой расширенного детектирования и реагирования Kaspersky Symphony XDR посредством плейбуков. Командой разработки реализована немаловажная функциональная возможность, которая позволила уйти от интеграции с XDR и реагирования посредством скриптов. Теперь это можно сделать из карточки инцидента в XDR. Например, можно отправить команду на NGFW для изоляции и блокирования трафика с зараженного хоста.
Поддержка политик с использованием зон
Политики с использованием зон востребованы администраторами NGFW, так как эта функция позволяет гибко настраивать доступ между сегментами сетей, контролировать трафик, применять отдельные политики к разным типам трафика и совершать другие необходимые действия.
Поддержка NAT
Kaspersky NGFW в новом релизе поддерживает NAT в различных вариантах: source NAT, destination NAT, PAT. Таким образом в продукте есть все, что требуется от NGFW, устанавливаемого на периметре сети для поддержки возможности трансляции адресов.
Расширение базы приложений для глубокой инспекции трафика (DPI)
По сравнению с предыдущей версией почти на 25% произошло расширение базы приложений DPI, и общее количество детектируемых приложений составляет около 5000. В том числе в новом релизе поддерживается определение протокола QUIC и возможность его даунгрейда и перехода на HTTP с целью дешифрования проходящего трафика. Добавлен ряд протоколов, связанных с туннелированием, и возможность их запрета.
Поддержка работы правил фильтрации по расписанию
Можно создавать расписание, которое применяется к соответствующим правилам фильтрации в политиках и гибко управлять временем его работы, либо временем его жизни. Такой режим полезен в случаях, когда политика создается под временные работы — для проекта или определенного подрядчика.
Рисунок 1. Перечень функций безопасности Kaspersky NGFW Beta 2
Сетевые функции
В новом релизе продукта разработчики добавили такие важные функции как поддержка отказоустойчивого кластера, DHCP, NTP, DNS-клиентов и виртуальных маршрутизаторов (VRF), а также ряд других возможностей необходимых для работы с сетевым трафиком.
Кластеризация
Для решения проблемы стабильной работы при кластеризации, вендор использует собственный протокол Kaspersky High-Availability Cluster Protocol (KHCP) вместо механизма кластеризации на базе VRRP, используемого во многих аналогах.
В текущей версии Kaspersky NGFW Beta 2 не поддерживается синхронизация сессий, однако это проблему предполагается решить в ближайших версиях продукта.
Поддержка агрегированных интерфейсов
Реализация этой функции позволяет увеличивать пропускную способность интерфейсов и отказоустойчивость критических каналов связи. Если по какой-то причине один из интерфейсов перестает работать, то весь трафик перестраивается на рабочие интерфейсы в этой агрегированной группе.
Поддержка L2-интерфейсов
Ранее продукт поддерживал только L3-интерфейсы; в версии Beta 2 появилась поддержка L2-режима. В связи с этим будет возможность подключения нескольких портов в режиме моста (bridge) или группы мостов (bridge group), создания BVI-интерфейсов и добавления их в bridge group.
Поддержка VLAN и субинтерфейсов
Продукт получил возможность создания субинтерфейсов. На физических и на агрегированных интерфейсах Kaspersky NGFW можно создавать субинтерфейсы и назначать на них необходимые VLAN для поднятия trunk и обрабатывать трафик с несколькими тегами.
Поддержка SNMP
Для мониторинга работоспособности оборудования вендором реализована поддержка SNMP разных версий — v1, v2c, v3 — и шаблоны MIB-файлов для удобства постановки устройств на мониторинг. В планах вендора подготовка подробного описания параметров шаблона и разработка Zabbix-шаблона для оперативного обеспечения базового мониторинга.
Рисунок 2. Перечень сетевых функций Kaspersky NGFW Beta 2
Интеграция Kaspersky NGFW Beta 2
Когда мы обозревали первую версию Kaspersky NGFW, мы отмечали, что на 2025 год планировалась интеграция с Kaspersky Anti Targeted Attack. Эти планы были реализованы.
Рассмотрим функционирование Kaspersky NGFW в инфраструктуре, где есть система KATA для дополнительной проверки файлов на наличие угроз с помощью песочницы.
При попытке скачивания файлов они отправляются в KATA для проверки. По результатам анализа Kaspersky Anti Targeted Attack отправляет вердикт на межсетевой экран. Если в файле найдены угрозы или он не соответствует заданным политикам, Kaspersky NGFW получает вердикт от KATA и при повторном скачивании файла блокирует его без повторной отправки файла на проверку в песочницу для предотвращения распространения зараженного файла внутри инфраструктуры. Информация о результатах проверки может передаваться в системы класса SIEM для возможности выявления киберинцидентов.
Рисунок 3. Архитектура взаимодействия Kaspersky NGFW Beta 2 в инфраструктуре
Аппаратные и виртуальные платформы Kaspersky NGFW Beta 2
Kaspersky NGFW планируется выпускать как в виде программного-аппаратного комплекса, так и в виртуальном исполнении, что упрощает проведение пилотных проектов у потенциальных заказчиков.
Системные требования для развертывания и технические характеристики Kaspersky NGFW vKX-8 приведены в таблице 1.
Таблица 1. Системные требования для Kaspersky NGFW vKX-8
Параметр | Значение |
|---|---|
ЦП (ядер) | 8 |
ОЗУ (ГБ) | 16 |
Диск (ГБ) | 128 |
Операционная система | Ubuntu 22.04 и выше |
Требования к процессору | Broadwell или выше |
Поддерживаемые гипервизоры | KVM |
Количество интерфейсов | 10 |
Производительность | 1,5 Гбит/с (в режиме L4 FW + Application Control) 800 Мбит/c (в режиме L4 FW + Application Control + IDPS) |
Скорость установления новых сессий в секунду (CPS) | 11 000 |
Максимальное количество одновременно установленных сессий (CC) | 64 000 |
Формат поставки | QCOW2 + XML файл |
Технические характеристики Kaspersky NGFW KX-Beta 2 приведены в таблице 2.
Таблица 2. Технические требования Kaspersky KX-Beta 2
Параметр | Значение |
|---|---|
Производительность | 180 Гбит/с (в режиме L4 FW + Application control) 18 Гбит/с (в режиме L4 FW + Application control + IDPS) |
Скорость установления новых сессий в секунду (CPS) | 1 000 000 |
Максимальное количество одновременно установленных сессий (CC) | 2 000 000 |
Процессор | Intel Xeon Gen5 |
Интерфейсы | 4 × 10/100/1000 Ethernet RJ45, 8 × SFP28, 4 × QSFP28 |
Питание | Два блока питания 220В (hot-swap) |
Размеры (ш × г × в), мм | 440 × 635 × 43 |
Крепление | Размещение в серверной стойке 19" |
Замер производительности и параметров CPS, CC производился на HTTP-транзакциях размером 64 кБ.
Рисунок 4. Внешний вид Kaspersky NGFW
Сценарии использования Kaspersky NGFW Beta 2
Рассмотрим практические аспекты использования Kaspersky NGFW Beta 2, реализованные в новой версии. Управление межсетевым экраном Kaspersky NGFW осуществляется с использованием платформы OSMP (Open Security Management Platform) и командной строки (CLI).
Обнаружение и предотвращение вторжений
Kaspersky NGFW обладает возможностью выявления и предотвращения сетевого сканирования и блокирования атак.
Для предотвращения сетевого сканирования в системе есть отдельная опция Network Scanning Protection. Использование этой возможности позволяет предотвратить разведку Nmap и аналогичными инструментами.
Рисунок 5. Результат сканирования в режиме предотвращения сканирования сети
Реагирование на атаки производится путем создания отдельной политики безопасности. В случае обнаружений активности, похожей на атаки, есть возможность блокирования, разрешения трафика или сброса сессий между сервером и клиентом.
Информация о выявленных атаках содержится в журналах системы и может быть выведена на аналитические дашборды.
Рисунок 6. Выявленные атаки в Kaspersky NGFW Beta 2
Рисунок 7. Дашборд в Kaspersky NGFW Beta 2
Расшифровка и инспектирование TLS-трафика
Kaspersky NGFW использует метод посредника (Man-in-the-Middle) для расшифровки трафика, с последующим инспектированием на наличие угроз, классификации и фильтрации. Использование этого метода предполагает перехват трафика межсетевым экраном и работу в роли промежуточного узла. Для этого он использует подменный сертификат с именем целевого сервера, которому доверяет клиент. NGFW устанавливает соединение с сервером, используя оригинальный сертификат. После инспектирования трафик зашифровывается и отправляется клиенту с использованием подменного сертификата сервера.
В случае необходимости администратор NGFW может создать список исключений из расшифровки трафика. Это может потребоваться если криптоалгоритм не поддерживается или это противоречит требованиям регуляторов, например, для веб-сайтов, использующих ГОСТ-шифрование, трафика, содержащего медицинские данные, или трафика финансовых учреждений.
За счет анализа приложений и протоколов прикладного уровня, а также возможности по расшифровке HTTPS-трафика, Kaspersky NGFW распознает веб-приложения и предоставляет возможность управления доступом к ним.
Рисунок 8. Настройка блокировки WhatsApp* средствами Kaspersky NGFW Beta 2
* продукт компании Meta, признанной экстремистской и запрещённой в России
Защита от вредоносных программ и опасных URL
Для защиты от вредоносных программ и опасных URL-адресов используется антивирус с локальной базой данных и облачная система KSN для уточнения репутации хешей неизвестных файлов, IP-адресов и URL-адресов посредством облачных запросов в режиме реального времени. Для возможности проверки содержимого выполняется расшифровка HTTPS-трафика.
Рисунок 9. Настройка антивирусного модуля в Kaspersky NGFW Beta 2
Проверка объектов и ссылок осуществляется следующими компонентами:
- Потоковый антивирус анализирует объекты, обнаруженные непосредственно в трафике, на основе их хешей SHA-2 и сравнивает их со значениями в локальной базе данных и облачных службах.
- Объектный антивирус сканирует объекты, обнаруженные непосредственно в анализируемом трафике, на наличие вредоносных программ, используя методы эвристического анализа на основе алгоритмов машинного обучения и искусственного интеллекта. Объектный антивирус может проверять объекты как по локальной базе, так и с помощью облачной службы KSN. Возможность сканирования соответствующих типов объектов появится в следующих релизах NGFW.
- Модуль проверки URL предотвращает попытки перехода по скомпрометированным URL-адресам. Проверка URL-адресов может осуществляться как по локальной базе вредоносных, фишинговых и рекламных ресурсов, так и с помощью облачной службы KSN. Проверка репутации URL по локальной базе включена по умолчанию и не может быть выключена без возможности деактивации.
Статистика о срабатывании модулей защиты от вредоносных программ и опасных URL-адресов может быть выведена в виде отдельного дашборда.
Рисунок 10. Статистика работы модуля антивирусной защиты в Kaspersky NGFW Beta 2
URL-фильтрация
URL-фильтрация применяется для исключения нецелевого использования ресурсов компании пользователями, а также экономии трафика. Контроль доступа к ресурсам осуществляется на основе веб-категорий сайтов, доступных в системе, либо пользовательских списков.
Для каждой категории сайта можно настроить действие, в случае если пользователь пытается получить доступ к запрещенному ресурсу: блокировку, предупреждение или разрешение доступа. Информацию о попытках доступа к запрещенным ресурсам журналируется, а сводная информация о работе веб-фильтрации отображается в соответствующем отдельном дашборде.
Рисунок 11. Статистика доступа к запрещенным ресурсам в Kaspersky NGFW Beta 2
Мониторинг и инспектирование DNS-трафика
Атаки на DNS являются весьма популярными среди хакеров. Для противодействия им в системе реализована функция DNS Security, которая позволяет инспектировать DNS-трафик и фильтровать DNS-ответы в случае запросов к вредоносным ресурсам.
Защита DNS-трафика анализирует DNS-запросы пользователя и DNS-ответы и позволяет блокировать переход к вредоносным и фишинговым доменам, либо перенаправить такие запросы на отдельно указанный сервер (DNS sinkhole).
Для определения вредоносных и фишинговых доменов и IP-адресов используется регулярно обновляемая локальная база, которая входит в комплект поставки продукта.
Для проверки DNS-трафика, блокировки вредоносных или фишинговых доменов и IP-адресов или перенаправления запроса пользователя на указанный сервер используются преднастроенный или пользовательские профили защиты DNS-трафика.
Рисунок 12. Дашборд модуля DNS Security в Kaspersky NGFW Beta 2
Выводы
Kaspersky NGFW Beta 2 активно развивается производителем, оперативно реагирующим на запросы рынка. По сравнению с предыдущей версией, Beta 1, появилась возможность развертывания продукта в виртуальной среде, реализованы механизмы кластеризации, основанные на протоколах, разработанных производителем системы. Большое внимание уделено интеграции с другими продуктами вендора, такими как нативная с Kaspersky XDR и с KATA посредством API. Необходимо отметить и развитие сетевых функций, таких как поддержка агрегированных интерфейсов, VLAN и субинтерфейсов, SNMP и другие.
Достоинства:
- Поддержка отказоустойчивости кластера Active — Passive.
- Поддержка NAT.
- Простая интеграция с продуктами экосистемы.
- Поддержка L2-интерфейсов.
- Поддержка виртуального исполнения Kaspersky NGFW на базе гипервизора KVM.
Недостатки:
- Не все функции можно настроить через веб-интерфейс, часть функций настраивается в CLI.
- Сертификат ФСТЭК России в процессе получения.
- Отсутствие VPN-клиента.
