Обзор Континента 4.1, универсального устройства сетевой безопасности (UTM)

1. Введение
2. Функциональные возможности «Континента»
3. Архитектура «Континента»
4. Аппаратные платформы «Континента»
   1. 4.1. Модельный ряд
   2. 4.2. Локализация платформ
5. Сценарии использования «Континента»
6. Выводы

Введение

Универсальные устройства безопасности (Unified Threat Management, UTM) являются логическим развитием межсетевых экранов и предназначены для комплексного противодействия сетевым угрозам. Такие устройства снискали высокую популярность на рынке в связи с большим набором компонентов, выполняющих ту или иную функцию защиты информации: межсетевое экранирование, обнаружение и предотвращение вторжений (IPS), управление сетевым трафиком и пропускной способностью, идентификация и контроль сетевых приложений, антивирусная и контентная фильтрация веб-трафика, антиспам и антишпион, частные виртуальные сети (VPN).

Комплекс безопасности «Континент» версии 4.1 (далее по тексту — «Континент») является отечественным UTM, предназначенным для решения следующих задач:

• централизованная защита периметра корпоративной сети и сегментация внутренней сети;
• предотвращение сетевых вторжений и анализ аномалий в трафике;
• контроль приложений на прикладном уровне (L7-фильтрация трафика);
• контроль доступа пользователей в интернет;
• организация защищённого удалённого доступа;
• защита каналов связи.

В конце 2021 года «Континент» успешно прошёл процедуру сертификации, о чём свидетельствует сертификат № 4496 от 14 декабря 2021 г., выданный ФСТЭК России. Сертификат подтверждает соответствие требованиям регулятора по 4-му уровню доверия (Приказ ФСТЭК России от 06 июня 2020 г. № 76), по профилю межсетевых экранов (МЭ) типа А четвёртого класса защиты (ИТ.МЭ.А4.ПЗ) и по профилю средств обнаружения вторжений (СОВ) уровня сети четвёртого класса (ИТ.СОВ.С4.ПЗ).

В ближайшее время ожидается сертификация продукта по требованиям профиля МЭ типа Б четвёртого класса защиты (ИТ.МЭ.Б4.ПЗ). 

Мы уже обозревали различные версии «Континента» (3.9 и 4). Рассмотрим, каким образом вендор улучшил новую версию 4.1.

«Континент 4» является ядром концепции «нулевого доверия» от «Кода Безопасности», которая позволяет организации обеспечить высокий уровень защиты даже при уходе части пользователей на удалённую работу, а части приложений — в облако. Концепция полностью соответствует документу NIST SP 800-207 «Zero Trust Architecture».

Функциональные возможности «Континента»

В основу «Континента» положены четыре основных направления: автоматизация, отказоустойчивость, мониторинг безопасности и производительность.

Ключевые функции «Континента»:

• контроль сетевых приложений (более 4 тысяч приложений);
• система предотвращения вторжений;
• блокировка доступа к вредоносным сайтам и центрам управления ботами;
• поведенческий анализ на основе машинного обучения;
• централизованное управление инфраструктурой из единой консоли;
• интеграция с LDAP;
• портал авторизации пользователей;
• гибкий интерфейс мониторинга;
• резервирование системы управления;
• поддержка ГОСТ-VPN;
• динамическая маршрутизация;
• поддержка NAT;
• кластеризация узлов безопасности.

В четвёртом поколении «Континента» значительно увеличена пропускная способность межсетевого экрана в связи с переходом на ОС Linux, высвободившим дополнительные ресурсы на работу механизмов безопасности.

В продукт добавлено получение данных из ФинЦЕРТа Банка России и добавление их сигнатур в индикаторы компрометации (IoC). Для более релевантной защиты «Континент» может настроиться под локальный SOC, что позволит загружать пользовательские IoC (вредоносные IP-адреса) и сигнатуры в формате Suricata в платформу сетевой безопасности с их последующей валидацией.

В новой версии предусмотрено автоматическое создание файлов профилей оконечных устройств для их автоматической настройки перед подключением к центру управления сетью (ЦУС).

В версию 4.1.5 внесён ряд важных обновлений, затрагивающих механизмы фильтрации. Добавлена фильтрация сетевого трафика по странам с использованием преднастроенной базы, позволяющая отсечь заведомо ненужный трафик. Появилась также база URL-категорий для контроля доступа пользователей в интернет. Стала возможной фильтрация по доменным именам. Дополнительно появилась функция уведомления администраторов о событиях из области безопасности по электронной почте (протокол SMTP). Релиз этой версии планируется на второй квартал 2022 года.

Архитектура «Континента»

В состав «Континента» входят следующие компоненты:

• менеджер конфигурации (МК), отвечающий за управление политиками безопасности;
• узел безопасности (УБ), предполагающий следующие режимы работы устройства: многофункциональный межсетевой экран (UTM), высокопроизводительный межсетевой экран (FW), система обнаружения вторжений канального уровня;
• агент идентификации (АИ).

Межсетевой экран является обязательным компонентом УБ по умолчанию. В нём доступны подписки «Система обнаружения вторжений», «Расширенный контроль приложений» и «Защита от вредоносных файлов».

В режиме UTM «Континент» включает:

• ЦУС, осуществляющий управление устройством и выполняющий оперативный мониторинг его компонентов, сбор, ведение и хранение электронных журналов;
• детектор атак, предназначенный для автоматического обнаружения и предотвращения сетевых атак (доступен также в режиме IPS);
• сервер доступа, который обеспечивает защищённое межсетевое взаимодействие удалённых пользователей с корпоративными ресурсами организации;
• компонент идентификации встроенных пользователей и пользователей из Active Directory;
• модуль поведенческого анализа, обеспечивающий обнаружение и блокировку аномального трафика и атак типа SYN-scan, FIN/RST-scan, SYN-flood, FIN/RST-flood;
• компонент L2VPN, который обеспечивает защищённую передачу Ethernet-кадров через сети общего пользования между территориально разделёнными сегментами сети предприятия с использованием VPN-туннелей;
• компонент L3VPN, обеспечивающий криптографическую защиту данных, передаваемых по каналам связи общих сетей между локальными вычислительными сетями и отдельными компьютерами удалённых пользователей.

Рисунок 1. Архитектура UTM на базе «Континента»

Аппаратные платформы «Континента»

Модельный ряд

Модельный ряд аппаратных платформ «Континент» делится по производительности, позволяя покупателю выбрать программно-аппаратную модель под конкретные нужды.

Платформы делятся на три типа: высокопроизводительные, средней производительности и начального уровня.

Таблица 1. Платформы базового сегмента

Таблица 2. Платформы среднего сегмента

Таблица 3. Платформы старшего сегмента

Локализация платформ

В настоящий момент четыре платформы линейки «Континент» (IPC-R10, IPC-R50, IPC-R300, IPC-R550) добавлены в Единый реестр российской радиоэлектронной продукции, что подтверждает отечественное производство этого оборудования (разработка, монтаж элементов печатных плат, программирование, финишная сборка и тестирование, техническая поддержка). Ближе к середине года планируется релиз старших платформ российской сборки.

Таблица 4. Характеристики «Континента» российского производства

Также вендор работает над платформами на базе процессоров с архитектурой ARM; в частности, есть инженерные образцы платформ базовой и средней производительности. 

Сценарии использования «Континента»

В режиме UTM «Континент» функционирует как стандартный межсетевой экран, интегрированный с DPI, поведенческим анализом, поиском аномалий и IDS. Межсетевой экран может функционировать совместно с ЦУС, L2VPN, L3VPN, детектором атак, сервером доступа, модулями идентификации пользователей и поведенческого анализа.

Межсетевой экран организован с помощью стандартных правил. Все настройки максимально прозрачны для пользователя и отображены в одном месте без дополнительных переходов на подкатегории и детальные страницы.

Рисунок 2. Правила межсетевого экрана в «Континенте»

Межсетевой экран обеспечивает ступенчатую обработку трафика. После проверки IP- адреса, протокола и порта трафик можно дополнительно проанализировать с помощью механизмов контроля приложений или инспекции протоколов. Доступны две версии справочника: базовый, на сотню приложений, и расширенный, на четыре тысячи протоколов, приложений и атрибутов. Пользователи также могут контролировать свои приложения, загрузив их через сервис «Кода Безопасности».

Рисунок 3. Настройка механизмов контроля приложений межсетевого экрана «Континента»

Доступен расширенный контроль приложений, обеспечивающий более детальную фильтрацию трафика по сравнению с базовым. Расширенный контроль использует отдельный обновляемый список приложений. Каждое приложение имеет свой набор атрибутов, что позволяет фильтровать трафик по заданным атрибутам приложений.

Модуль поведенческого анализа, входящий в состав «Континента», предназначен для обнаружения злонамеренного сканирования, угроз типа «отказ в обслуживании» и атак на основе корректности протоколов. В основе работы модуля лежат методики анализа характеристик сетевого трафика с учётом их изменений во времени с помощью набора шаблонов атак. Модуль поведенческого анализа анализирует входящий и исходящий трафик, а также трафик поступающий из туннелей VPN, после его расшифрования.

Модуль поведенческого анализа позволяет настроить защиту от DDoS и заблокировать до 90 % атак на протоколы. Ядро модуля работает параллельно с основным межсетевым экраном и даёт ему команду для блокировки определённых IP-адресов, благодаря чему оптимизируется потребление ресурсов и снижаются временные задержки. В «Континенте 4.1.5» пользователь сам выставляет пороги блокировки при DDoS, ранее эти значения определялись разработчиком.

Рисунок 4. Настройка поведенческого анализа в «Континенте»

Для удобства пользователей приоритизация трафика выведена в графический интерфейс, что отличает «Континент» от аналогов. В настоящее время всё чаще QoS используется не только для выставления приоритета трафика, но и для перемаркировки последнего для сетей MPLS и т. д.

Рисунок 5. Интерфейс администратора «Континента». Приоритизация трафика

На каждом узле безопасности «Континента» можно активировать лицензию детектора атак; тогда всё устройство будет выполнять функции IPS / IDS.

Лаборатория «Кода Безопасности» анализирует уязвимости и производит сигнатуры. Тестирование сигнатур включает в себя проверку эффективности и влияния на производительность узла безопасности. Обновление сигнатур происходит еженедельно.

«Континент» проверяет весь трафик на наличие попыток проведения сетевых атак по следующим параметрам:

• сетевой адрес;
• используемый порт;
• значения полей сетевого пакета;
• идентификаторы протоколов;
• размер полей пакета;
• интенсивность трафика.

Допускается организация работы с несколькими парами интерфейсов. В случае обнаружения атаки детектор фиксирует её и блокирует вредоносный трафик, если это задано в политике безопасности. При этом сведения об атаке отправляются в ЦУС.

Рисунок 6. СОВ «Континента». База разрешающих правил и профилей СОВ

«Континент» предоставляет более 40 тыс. правил для СОВ, перечень регулярно обновляется. Заметным отличием «Континента» от аналогов является возможность модификации сигнатур под собственные нужды. Сигнатуры обрабатываются в формате Suricata.

Рисунок 7. Открытая сигнатура правила СОВ

В новой версии появился раздел «Пользовательские сигнатуры», предполагающий импорт сигнатур из файла. При загрузке сигнатур ЦУС контролирует их синтаксис, что обеспечивает страховку от ошибок при их написании. Пользовательские сигнатуры призваны удовлетворить потребности тех заказчиков, которые разрабатывают сигнатуры самостоятельно.

«Континент» имеет собственную панель мониторинга, реализованную через веб-интерфейс. Доступны три типа виджетов: табличный, графический и структурный.

Рисунок 8. Интерфейс администратора «Континента». Панель мониторинга

Рисунок 9. Табличный виджет

Рисунок 10. Графический виджет

Рисунок 11. Структурный виджет

Для формирования и просмотра настраиваемых отчётов накапливается статистическая информация, представляемая в визуальной форме за определённый период.

Рисунок 12. Интерфейс администратора «Континента». Статистическая информация

Журналирование всегда идёт в ЦУС, откуда уже можно настроить различные экспорты, например в SIEM.

Рисунок 13. Электронный журнал «Континента»

Выводы

Отвечая на вызовы, с которыми столкнулась Российская Федерация, компания «Код Безопасности» не останавливает работу по развитию «Континента». Департамент сервиса и техническая поддержка «Кода Безопасности» переведены в усиленный режим работы. Производитель зафиксировал цены на оборудование и ПО, проводит консультации потенциальных потребителей для планирования перехода на российские средства защиты и прорабатывает варианты установки программного «Континента» на иностранное оборудование, неработающее в связи с санкциями.

Кроме того, «Континент» продолжает проходить процедуры одобрения в системах сертификации РФ, что позволяет говорить о его соответствии установленным требованиям и доказанном уровне доверия. Это составляет его преимущество на фоне иностранных конкурентов.

В последней версии «Континента» появился ряд новых функций, в том числе фильтрация сетевого трафика по странам, что сейчас весьма актуально. Совместно с другими продуктами «Кода Безопасности» «Континент» позволяет заказчикам реализовать архитектуры «нулевого доверия».

Достоинства:

• В линейке «Континент» присутствуют модели, которые получили статус оборудования произведённого на территории Российской Федерации.
• Сертифицирован ФСТЭК России по 4-му уровню доверия, 4-му классу межсетевых экранов (тип А) и 4-му классу СОВ, что позволяет использовать «Континент» для защиты информации не составляющей государственную тайну.
• Поддержка российской криптографии.
• Имеет несколько режимов функционирования (UTM, высокопроизводительный межсетевой экран, система предотвращения вторжений).
• Наличие VPN-клиентов под все платформы.
• Применяет фильтрацию на уровне L7 и обучаемый поведенческий анализ.
• Наличие механизма массового развёртывания узлов безопасности

Недостатки:

• Сертификат ФСБ России на криптографию ожидается в следующем году.
• Нет поддержки иностранных протоколов шифрования (планируется в релизе 4.2).
• Не предусмотрена веб-фильтрация по заданным категориям сайтов (планируется в релизе 4.1.5).
• Не описан API (планируется в релизе 4.1.5). 
• Отсутствует потоковый антивирус (планируется в релизе 4.2).
• Отсутствует поддержка ICAP (планируется в релизе 4.2).