09.01.2025 05:15
CyberRost 0 1300 Источник

Доброго времени суток,

на повестке дня стоит задача выбрать систему межсетевого экранирования для защиты корпоративной сети. Задача является нетривиальной, так как на рынке присутствует большое количество вендоров, рекламирующих свой продукт и предлагающие технические спецификации с привлекательными показателями производительности в разных условиях. Помимо этого, в сети интернет содержится большое количество материалов и видео от признанных экспертов, которые вникают в суть проблемы и объясняют более глубокие технологии. Данная статья призвана описать основные роли без глубокого и теоретического описания технологии межсетевого экранирования на уровне ядра операционной системы. Практика показывает, что в целом большинство специалистов  небольших и средних предприятий (до 1500 пользователей) на начальном этапе выбора системы межсетевого экранирования не имеют полного и структурированного представления по всем функциональным возможностям системы межсетевого экранирования, в особенности модулей защиты, тонкостей работы технологии у каждого вендора, которые иногда могут не эффективно работать в определенных условиях. Если вникать в суть производительности и стараться выбрать решение без пилотного теста, то нужно учитывать кучу метрик трафика, его тип, которые в реальных условиях получить сложно с рабочей инфраструктуры или создать приближенные к реальности в тестовой среде. Более того необходим навык и специализированные инструменты, которые могут произвести нагрузочное испытание на аппаратное решение, при этом, бесплатные решения не могут обхватить полный функционал, а коммерческие стоят больших денег. Поэтому вначале пути выбора на мой взгляд необходимо взглянуть на функциональные возможности системы на основе ее роли в инфраструктуре Заказчика. Межсетевой экран может выступать в следующих ролях:

Ядро сети

Межсетевой экран является центральным маршрутизатором сети, который работает с трафиком начиная с сетевого уровня (3 OSI модели) и передает его между подсетями внутри корпоративной сети. Эту роль необходимо рассматривать, если уделяется большое внимание построения сетевой безопасности на основе разделения сети на сегменты, между которыми необходимо проверять трафик на наличие угроз и вредоносного контента согласно мировым стандартам и практикам. В современных реалиях, межсетевого экрана 5 уровня модели OSI недостаточно для данных задач, так как в рамках одного сетевого порта может работать несколько протоколов и сетевых приложений, которые необходимо уметь определять, разграничивать, инспектировать содержимое и выполнять превентивные действия автоматически в случаи инцидента безопасности. К нужным функциям можно отнести:

  • Кластеризация. Технология построения кластера должна поддерживать различные варианты режима работы, уметь балансировать трафик и поддерживать функционал высокой доступности (при отказе одной ноды, весь трафик обрабатывается второй). В случаи если трафик необходимо балансировать, то как это будет осуществлять, насколько будет эффективным прирост производительности, будет ли балансироваться весь трафик или только определённый.

  • Физические порты. Следует учитывать тип и количество портов исходя из физической топологии сети для построения передачи трафика в сети без ошибок и на доступной высокой скорости.

  • Отказоустойчивость работы сетевых портов (поддержка протоколов агрегирования, создание «bond» интерфейсов) и питания.

  • Технологи маршрутизации. Нелишним будет если система умеет поддерживать широкий спектр технологий динамической маршрутизации, такие как BGP, IS-IS, RIP, OSPF и также различные варианты конфигурации статической маршрутизации.

  • Модули безопасности. Хорошим плюсом будет если система имеет обширную и подходящую под вашу инфраструктуру базу сигнатур модуля предотвращения вторжений, антивирус, контроль приложений, контроль передачи типов файлов, системы эмуляции атак нулевого дня.

Защита периметра сети

Система межсетевого экранирования используется для безопасной передачи трафика между внутренними клиентами корпоративной сети, DMZ и сетью Интернет. В данном случаи нагрузка на устройство будет ниже, так как каналы передачи трафика провайдеров Интернет имеют меньшую пропускной способность чем внутренний трафик. Можно выделить следующие полезные функции, которые необходимы:

  • Сетевые технологии SD-WAN, Policy base routing (PBR), отказоустойчивость каналов провайдеров для эффективного распределения трафика и построения VPN туннелей,.,

  • Динамическая маршрутизация. Технологии динамической маршрутизации BGP, IS-IS для подключения к нескольким роутерам и маршрутизации трафика на уровне сети Интернет или автономными сегментами сети.

  • Технология NAT. Возможность гибкой настройки технологии NAT разных типов (динамический, статический, проброс портов из вне и т. д.).

  • Функции безопасности. Могут включать в себя веб фильтрацию ресурсов Интернет на основе списка категоризации сайтов, контента содержимого сайтов, категоризации сетевых приложений, системы эмуляции файлов, контроль передачи типов файлов, антивирус, инспектирование SSL трафика в разных режимах конфигурации (глубокое инспектирование, проверка сертификата, SNI и т. д.).

  • Нелишним будет, если система умеет выступать в качестве MTA агента для анализа почтового трафика и использования модуля защиты «антиспам». В данном случаи будет гарантия доставки почтового трафика в независимости от времени анализа трафика, так как технология позволяет постоянно поддерживать сессию с почтовым сервером до конца проверки контента и происходит эффективная очистка или блокировка  вредоносного контента, что при обычном режиме межсетевой экран может пропустить

VPN концентратор

Основывается на построение защищенных туннелей с шифрованием данных между филиалами/офисами компании и удаленными клиентами. Здесь стоит обратить внимание на следующие функции:

  • Централизованное управление туннелями. Удобный инструментарий, дающий возможность централизованного построения VPN соединений и применение политик из одной точки управления за нажатием пару «кликов», не подключаясь к каждому шлюзу отдельно для настройки VPN. Централизованный инструментарий дает возможность выбора и построения топологии соединений (звезда с обязательным прохождением трафика в центре или «mesh», где каждый связывается друг с другом ), типа туннелей (пример хост к хосту, подсеть к подсети, шлюз к шлюзу) и гибкое применение политик на межсетевые экраны в разных филиалах.

  • Поддержка широкого спектра протоколов IPSec и ESP. Немаловажным также является поддержка технологии IPSec, ESP, протокол защищенного согласования и доставки идентифицирующей информации IKE версии 1 (для совместимости с устаревшими устройствами) и 2 (улучшенной защиты для передачи данных). Возможность выбора широкого спектра алгоритмов шифрования, в обязательном порядке включая современные крипто устойчивые алгоритмы (AES 256 и выше) и алгоритмов хэширования, устойчивых к коллизиям данных (SHA-1,2)

  • Мультиплатформенное ПО для удаленных клиентов VPN. При необходимости подключения по VPN туннелю для отдельных клиентов, находящихся в некорпоративной сети, стоит обратить внимание на поддержку клиентского приложения VPN на разных операционных системах. На данный момент вопрос становится все более актуальным, так помимо использования стандартных рабочих станций под управлением семейства «Microsoft Windows» операционных систем используются устройства с ОС «MAC OS» и мобильными устройствами с «Android» и «IOS». Несмотря на заверения производителей, что есть поддержка всех популярных операционных систем, не на всех устройствах может работать мобильный клиент с текущей версией на определённый момент времени. Особенно наблюдаются проблемы с системами «IOS», необходимо тестировать. Помимо данной проблемы клиент должен поддерживать крипто устойчивые алгоритмы шифрования, протоколы построения VPN туннелей аналогично с предыдущем пунктом.

  • Поддержка разных типов VPN подключений для удаленных клиентов. Поддержка клиентом VPN технологий IPSec и SSLVPN для возможности работы туннеля через протокол «HTTPS». Возможность построения туннелей только до определённых приложений/ресурсов корпоративной сети через браузер без установки дополнительного клиента. Данный функционал является удобным, в особенности для мобильных устройств, но необходимо обратить внимание на безопасность использования данного решения (портал для VPN подключений может иметь ряд уязвимостей и нести риск взлома сети)

Выше были приведены основные роли на мой взгляд, данный пример может содержать больше пунктов и информации исходя из опыта и фантазии. В целом производители делят функциональную роль на защиту периметра (трафик север-юг) сети и дата центр (трафик запад-восток), что является иногда непонятным для конечного пользователя и не имеет обширное описание подходящих функциональных возможностей для данного типа. Надеюсь, статься оказалась для вас полезной, оставляйте обратную связь и в дальнейшем будут появляться новые на похожие темы.

Комментарии (0)