Привет, Хабр! С вами команда разработки и продвижения NGFW компании UserGate. Вопрос с выбором NGFW будет актуален, пока жив интернет. Появляются новые компании-производители, решения, сами решения меняются быстрее, чем успеваешь следить за рынком.

Не будем в очередной раз погружаться в обзор решений на рынке. В этот раз мы поделимся своим представлением об идеальном NGFW, как мы идем на пути к идеалу и как же много еще предстоит сделать. Рассмотрим все стороны: от технической до пользователя и заказчика, а также поделимся нашим опытом и заметками.

Next-Generation Firewall (NGFW) — Межсетевой экран следующего поколения, улучшенная версия привычных нам файерволов. Поставляется в виде программно-аппаратного комплекса (ПАК, appliance) либо в виде образа виртуальной машины (virtual appliance), предназначенной для развертывания в виртуальной среде. NGFW пропускает трафик через себя, анализирует его и выявляет инциденты или явные угрозы. Обеспечение безопасности — его главная задача, поэтому сперва рассмотрим, что должен уметь NGFW, чтобы с нею справляться.

Безопасность

Есть несколько типов атак на инфраструктуру компании и иные проблемы, с которыми должен справляться NGFW. Перед их прочтением запомните, что межсетевой экран следующего поколения проводит глубокую проверку и анализ проходящего трафика, разбирая его «по кирпичикам». Причем не только на сетевом и транспортном уровне (L3/L4 модели OSI), но и на уровне приложений (L7). То есть он может видеть и блокировать трафик, связанный с конкретным приложением и с конкретным пользователем.

Наряду с этими возможностями NGFW имеет широкие возможности по настройке сценариев и правил срабатывания на те или иные события. В немаловажной степени работа экрана зависит от грамотности администратора и настроек, которые он задает. Часть правил уже заложены разработчиком решений, но основная часть зависит от администраторов систем, что логично, учитывая индивидуальные особенности ИТ-инфраструктур. Вплоть до того, что компании могут самостоятельно сделать свои NGFW на Linux, если есть достаточно времени, финансовых и трудовых ресурсов.

Обнаружение и предотвращение вторжений

Система обнаружения и предотвращения вторжений, СОВ — пожалуй, одна из центральных возможностей NGFW. Во входящем и исходящем трафиках NGFW распознает признаки (сигнатуры) атак, использующих те или иные известные уязвимости или осуществляющую вредоносную активность. Например, распознаются признаки протоколов ботнет сетей и выявляются атипичные действия пользователей, противоречащие корпоративной политике компании и подозрительные для их должностей. Далее мы поговорим про это подробнее.

СОВ позволяет распознавать вредоносную активность внутри сети, запротоколировать ее и предотвратить в режиме реального времени (или уведомить администратора, зависит от настроек), после — предоставить отчет. Правила, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями, задает администратор. От их корректной настройки напрямую зависит эффективность работы всего NGFW.

NGFW может на постоянной основе проверять трафик на наличие вирусов. Для этого он выявляет в трафике файлы и анализирует их перед доставкой получателю. Антивирус может быть как разработанный специально для данного NGFW, так и встроенный, от другой компании-разработчика. В нашем случае проверка трафика также осуществляется путем анализа получаемых файлов и приложений, в рамках которого они сравниваются со списком доступных сигнатур вредоносного ПО. При совпадении передача файла блокируется.      

У нас созданием сигнатур занимаются эксперты Центра мониторинга и реагирования (Monitoring and Response Center, MRC). На сегодняшний день они внесли в IPS уже более 11 000 сигнатур. При их разработке используется как собственная экспертиза, так и информация от различных центров реагирования на компьютерные инциденты, в том числе ФинЦЕРТ Банка России и GOV-CERT НКЦКИ.

Фильтрация контента

Администратор может разрешить или запретить определенный контент, передаваемый по протоколам HTTP и HTTPS, через настройки инспектирования HTTPS. Более того, NGFW может блокировать HTTPS-трафик без дешифрования контента, но только в случае применения правил блокирования по категориям контентной фильтрации NGFW URL filtering или по спискам URL, в которых указаны только имена хостов. В этих случаях NGFW использует SNI (Server Name Indication), а при отсутствии SNI — значения хоста из SSL-сертификата из пользовательских запросов для определения домена.

В качестве условий правила среди прочего могут выступать:

• Пользователи и группы;

• Наличие на веб-страницах определенных слов и выражений (морфология);

• Принадлежность сайтов категориям;

• URL;

• Зона и IP-адрес источника;

• Зона и IP-адрес назначения;

• Тип контента;

• Информация о реферере;

• Время;

• Useragent браузера пользователя;

• HTTP-метод.

Таким образом можно защитить пользователя от потенциально вредоносных сайтов (и не только). Можно как вообще запретить заход на те или иные ресурсы, так и перед переводом на ресурс уведомлять, что страница нежелательная для посещения. Пользователь сам решает, отказаться от посещения или посетить страницу. Запись о посещении страницы заносится в журнал. Дополнительно можно настроить уведомления для администраторов в NGFW, что пользователь посещает подозрительные ресурсы.

Если пользователь принял решение перейти на страницу, может включиться автоматическая проверка на наличие вирусов в трафике. Это тоже, как правило, настраивается администратором NGFW. В том числе, администратор может не включать подобные проверки или вообще отключить возможность перехода на подозрительные ресурсы вне зависимости от ситуации.

Антиспам

Защита почтового трафика позволяет настроить проверку транзитного почтового трафика на предмет наличия в нем спам-сообщений. Как правило, необходимо защищать почтовый трафик, входящий из интернета на внутренние почтовые серверы компании, и, в некоторых случаях, защищать исходящий почтовый трафик от серверов или пользовательских компьютеров.

В настройках антиспама NGFW можно задать белый и черный список IP-адресов. Есть несколько технологий обнаружения спама в почтовом трафике. Мы приведем пример с двумя, которые используются в нашем NGFW.

BATV (Bounce Address Tag Validation) — технология, помогающая различать реальные возвраты писем от возвратов спама. Подделка адресов отправителей (особенно тех, кто не использует SenderPolicyFramework и YahooDomainKeys для защиты от подделки своих адресов) широко применяется спамерами. Часть спама принимается MX'ами получателей, но при недоставке на следующий сервер relay может возвращаться отправителю. А так как адрес отправителя поддельный, реальные невинные владельцы адресов получают возврат спама, который не посылали. Также часть писем спам-рассылок маскируется под возвращаемые письма, поскольку некоторые антиспам-проверки предполагают, что возвращаемые письма не могут содержать спам-сообщения, чем и пользуются злоумышленники. Для отличия реальных возвращаемых писем от поддельных и применяется технология BATV.

Отключать прием возвращаемых писем нельзя, т.к. это нарушает связность сети (нормальные письма тоже иногда не доставляются и возвращаются), поэтому требуется как-то отличать нормальные возвраты от возвращаемого чужого спама. Тут и пригодится BATV. Ее использование полезно в системах, где контентные фильтры спама не справляются с детектированием спама в возвращаемых письмах.

DNSBL-проверка — антиспам-проверка с помощью технологии DNSBL (DNS blocklist). Применима только к SMTP-трафику. При проверке почтового трафика с помощью DNSBL IP-адрес SMTP-сервера отправителя спама блокируется на этапе создания SMTP-соединения, что позволяет существенно разгрузить другие методы проверки почты на спам. DNSBL или спам-база — это черный список доменных имен и IP-адресов, замеченных в распространении спам сообщений.

В сети существуют десятки различных DNSBL, каждый из которых использует свои собственные критерии для добавления и исключения из своего списка IP-адреса или домена. Большинство спам-фильтров используют различные DNSBL для проверки того, чтобы входящие электронные письма не отправлялись с сайтов, доменные имена которых занесены в черный список. Как правило, DNSBL являются первой линией защиты от спама. Например, в список серверов добавляются адреса серверов DNSBL: cbl.abuseat.org, zen.spamhaus.org и т.д. Белый и черный список добавляет или убирает определенные адреса из этой проверки.

DDoS и DoS

DDoS (Distributed Denial of Service) — атака, в ходе которой чаще всего системы и серверы организации сталкиваются с огромным числом запросов за предельно короткое время [A1] и, в конечном итоге, выходят из строя из-за невозможности такое число запросов обрабатывать. Да, стоит оговориться, существуют DDoS-атаки под названием «Slow and low». Это низкоинтенсивная DDoS-атака, основанная на небольшом потоке очень медленного трафика. Для таких атак не требуется большой объем трафика или значительное количество пакетов, чтобы вывести ресурс из строя. Однако такая атака менее распространена, поэтому сейчас речь идет о миллионах запросах в секунду и огромных потоках трафика, которым атакуют инфраструктуру. Например, в 2023 году американская компания Cloudflare, предоставляющая услуги CDN, защиту от DDoS-атак, безопасный доступ к ресурсам и серверы DNS, подверглась атаке с пиковым числом запросов — 71 млн в секунду. Это одна из крупнейших DDoS-атак за всю историю наблюдений.

DoS (Denial of Service) — атака, имеющая схожий с DDoS принцип, но в ходе нее атакуется с одного конкретного сервера и на одну конкретную цель. Она направлена на создание внешнего воздействия на вычислительные ресурсы сервера или рабочей станции, проводимое с целью доведения последних до отказа. У DDoS несколько различных источников атаки и целей, у DoS — по одной. Распределенные атаки, то есть DDoS, обнаруживать сложнее и сложнее от них защищаться. Но это не значит, что злоумышленники отказались от DoS.

Обнаружение обоих типов атак и реакция на них происходит благодаря встроенному мониторингу и журналам. Они есть у NGFW всех разработчиков, это обязательные элементы решения. В зависимости от типа решения, могут быть разные журналы, но все они фиксируют особенности трафика, число запросов, события, связанные с безопасность, моменты срабатывания правил, изменения и т.д.

Когда происходит нестандартная ситуация, например, число запросов на один или несколько компонентов инфраструктуры вышло за пределы указанных рамок, срабатывают правила защиты. Администратор индивидуально настраивает правила защиты и задает сценарии, при которых они срабатывают, указывает порог уведомления (при превышении количества запросов над указанным значением происходит запись события в системный журнал) и порог отбрасывания пакетов (при превышении количества запросов над указанным значением экран начинает отбрасывать пакеты и записывает данное событие в системный журнал).

NGFW позволяет гранулировано настроить параметры защиты сети от сетевого флуда (для протоколов TCP (SYN-flood), UDP, ICMP). Используя правила защиты, администратор может указать специфические настройки защиты от DoS и DDoS атак для определенного сервиса, протокола, приложения и т.п. В рамках защиты NGFW ограничивает количество сессий для защищаемого ресурса или ресурсов, например, опубликованного сервера или серверов. В том числе проходит блокировка или перенаправление IP-адреса или пула IP-адресов, с которых проходит атака.

Простота внедрения и использования

Каким бы крутым и хорошим ни был ваш NGFW, большие сложности при обслуживании и интеграции в инфраструктуру предприятия будут препятствовать продаже и эксплуатации решения. В погоне за высоким уровнем безопасности важно не забывать о пользователях, которые будут работать с решением, и инженерах, устанавливающих его в своих компаниях.

В идеале хорошо было бы создать коробочное решение «купил, включил, заработало». Конечно, с NGFW такое не скоро будет, но стремиться к этому стоит. Чтобы можно было делать минимальные настройки, а специалисту на ИТ-периметре не проходить дорогостоящие курсы. Причем надо совмещать требования рынка РФ и мировые тренды, ведь было бы странно пренебрегать опытом всего мира в сфере кибербезопасности.

Настройка NGFW — процесс долгий и сложный, и от него, к сожалению, пока никуда не уйти. Вот лишь основные моменты, что нужно делать при внедрении решения с нуля или переходе на решение другого производителя.

Процесс внедрения и тестирования включают:

• Подключение устройства к сети.

• Настройку правил фильтрации и обработки трафика. Если используются автоматизированные скрипты, перевод правил может быть значительно упрощен.

• Подачу реального трафика для тестирования. Оценивается, как решение обрабатывает данные, и вносятся коррективы.

• Масштабирование решения на другие сегменты сети после успешного тестирования.

Очень важно максимально упростить администратору этот этап за счет понятных и четких инструкций, проработанного FAQ и работающей системы отправки обратной связи, а также максимально автоматизировать процессы там, где это можно сделать, снизив рутинную нагрузку на администратора.

Со своей стороны мы предоставили заказчикам максимально широкие возможности для автоматизации, реализовав открытый API, доступный в том числе через интерфейс командой строки. С его помощью можно автоматизировать выполнение различных функций, например, настройку NGFW с нуля, импорт сторонних конфигураций, изменение правил межсетевого экрана и других параметров. Также в продукте присутствуют уже заранее реализованные функции автоматизации, например, автоматизированное развертывание виртуальных машин (UserGate NGFW Virtual Appliance) через Cloud-init — индустриальный стандарт для кросс-платформенной инициализации виртуальных машин (инстансов) в облаках провайдеров.

Автоматизировать установку NGFW пока невозможно. Поэтому важно обеспечить наличие специалистов, контролирующих настройку правил и оперативно вносят изменения в случае необходимости. Полная автоматизация работы NGFW пока недостижима, поэтому ручное участие остаётся важным элементом.

Возможности интеграции и многофункциональность

Решение не должно быть обособленным. В идеале — чтобы оно легко интегрировалось с другими продуктами, могло передавать данные удобным для пользователя способом, работать с решениями других компаний. Зацикливание на внутренней экосистеме может привести к ограничениям клиентской базы.

NGFW-решения обычно интегрируются с рядом других технологий для расширения функциональности и повышения уровня защиты:

• Песочницы: проверка подозрительных файлов, вынесение вердиктов и интеграция с антивирусами.

• Антивирусы: разгрузка NGFW от анализа файлового трафика.

• SIEM-системы: корреляция событий, анализ инцидентов и выявление атак.

• DLP-системы: защита от утечек данных на уровне трафика.

• XDR и SOAR: использование NGFW как источника событий и управление автоматизированными реакциями на инциденты.

Законодательство

Тренд на соответствие требованиям регуляторов — не пустой звук. И да, действительно нахождение в реестре ФСТЭК России крайне важно, чтобы решение покупали. В ряде компаний невозможно участвовать в конкурсе, если у тебя нет сертификата. И ответственные разработчики, ориентированные на российский рынок, думают об этом.

Для получения сертификата ФСТЭК России нужно обеспечить выполнение целого набора требований. Начать нужно с 55 приказа ФСТЭК России, в котором описываются правила сертификации, сама процедура сертификации, обязательства исполнителя в рамках этого процесса, а также процесс внесения изменений и технической поддержки СЗИ. Также существуют требования конкретных приказов (44, 76 и другие) по видам межсетевых экранов, профилей защиты и т.д. Сами требования относятся к ДСП и разглашать их в открытых источниках нельзя.

Стоит отметить, что ФСТЭК России обращает повышенное внимание на само качество процессов разработки, чистоту кода и используемые открытые компоненты. Поэтому также важно, внедрена ли в вендоре процедура разработки безопасного ПО (РБПО) и пройден ли процесс ее сертификации, могут ли выполняться требования по предоставлению SBOM - перечня всех модулей и библиотек, необходимых для сборки ПО, а также указателей их связи друг с другом.

При этом, не смотря на все требования и их жесткость и конкретику, регулятор создает условия для упрощения их реализации через создание различных консорциумов и рабочих групп, в которых вендоры могут показать коллективную работу и использовать результаты совместного труда.

Что не хватает современным NGFW

Несмотря на зрелость технологий, NGFW-решения сталкиваются с рядом вызовов:

• Отсутствие полной автоматизации: настройка правил требует участия человека, что усложняет эксплуатацию.

• Скоростные ограничения: не все решения способны обрабатывать экстремально высокие объёмы трафика (например, 700 Гбит/с) на одном устройстве.

• Недостаток экосистемных решений: некоторые NGFW не имеют встроенных песочниц, SEG (Secure Email Gateway) или NTA (Network Traffic Analysis), что ограничивает их функционал.

• Отказоустойчивость и производительность: российские решения пока уступают зарубежным по этим критериям.

Перспективы развития NGFW

Для повышения конкурентоспособности NGFW-решений необходимо:

1. Развитие скорости обработки данных для удовлетворения запросов крупных заказчиков.

2. Создание комплексных экосистем, включающих песочницы, SEG, NTA и другие решения.

3. Улучшение сервисной поддержки, включая оперативную доставку компонентов и быстрое реагирование на запросы пользователей.

Ну и, напоследок, хотим сказать, что «после нас хоть потоп» — так не должно быть ни в коем случае. После продажи решения необходимо поддерживать связь с клиентами и обеспечивать поддержку. Даже если это платная услуга, она должна быть. Нельзя пренебрегать сбором обратной связи, жалоб и пожеланий. Все это — точки роста на пути к недостижимому идеалу.

Пишите в комментарии или на kpryamov@usergate.com, чего бы вам хотелось увидеть в современных NGFW. Если работаете с нашим решением — готовы к приему замечаний о его работе.