11100001111010001110011111101101111001011111000100100000001001100010 00001110100011101101111101001110111011110000111011001110000011101101 11010001110111011101101111011011111101111100101001000001111001011100 10111110101111011011110111011101011111011101110001111101000111010001 11000011110100011100111111011011110010111110001001000000010011000100 00011101000111011011111010011101110111100001110110011100000111101101
StoneGate Firewall/VPN Сертифицированное решение для обеспечения безопасности корпоративной сети Stonesoft, a McAfee Group Company является ведущим разработчиком инновационных технологий для комплексного обеспечения сетевой безопасности и защиты информации корпоративных сетей разного размера. Теперь ее решения могут применять и государственные учреждения
Сергей Яремчук, эксперт по информационной безопасности. Автор более 800 статей и шести книг
К
омпания Stonesoft занимается разработкой решений в сфере обеспечения корпоративной сетевой безопасности более 20 лет. Портофолио компании включает межсетевой экран Firewalls/ VPNs нового поколения, систему предотвращения вторжений IPS и шлюз защиты удаленного доступа SSL VPN, разработанные для организаций любого размера. В июле 2013 года Stonesoft была приобретена компанией McAfee, мировым лидером в области технологий безопасности, дочерним предприятием корпорации Intel. С этого момента все продукты Stonesoft являются частью портфолио McAfee. Успехи Stonesoft подтверждаются многочисленными сертификатами, а также аналитиками индустрии ИБ и отзывами взыскательных клиентов. Например, Stonesoft является одним из двух производителей в мире, получивших для межсетевого экрана и IPS от NSS Labs статус «Рекомендован». Недавно Stonesoft в составе McAfee Group Company совместно со своим российским технологическим партнером ООО «Новые технологии безопасности» объявила о получении сертификата № СФ/124-2027 от 4 октября 2013 года. Сертификат удостоверяет, что средство криптографической защиты информации (СКЗИ) «Программный комплекс криптографической защиты «StoneGate Firewall/VPN, версия 5» соответствует требованиям ФСБ России к шифровальным СКЗИ класса КС1 и класса КС2 и может использоваться для криптографической защиты информации (шифрование и имитозащита IP-трафика, криптографическая аутентификация абонентов при установлении соединения), не содержащей сведений, составляющих государственную тайну. Теперь все преимущества StoneGate Firewall/VPN в полной мере смогут ощутить не только коммерческие организации, но и государственные учреждения, решающие задачи организации информационных порталов или удаленного доступа.
Возможности StoneGate Firewall/VPN
Рисунок 1. Место StoneGate FW/VPN в сети компании
20
БИТ #10(33) декабрь 2013
В основе межсетевого экрана StoneGate Firewall/VPN лежат архитектурные решения, позволяющие обеспечить высокий уровень защиты информационных систем. В качестве движка (Security Engine) используется собственная защищенная ОС. Процесс развертывания выполняется в «один проход», без каких-либо существенных опера-
Тема номера
ций по первоначальной настройке. Функциональность – за счет добавления новых компонентов – наращивается «на лету», без изменения работающей инфраструктуры и остановки работы устройства. В StoneGate Firewall/VPN применены самые современные технологии анализа трафика и обеспечения отказоустойчивости (см. рис.1). В основе межсетевого экрана лежит архитектура, позволяющая обеспечить принципиально новую степень защищенности сети и непрерывности бизнеса, достигнуть которой невозможно при традиционном подходе. Например, технология MultiLayer Inspection является симбиозом Stateful Inspection и Application proxy, обеспечивая анализ и фильтрацию трафика не только на сетевом и траспортном, но и на уровне приложений, куда обычные межсетевые экраны не заглядывают. StoneGate понимает последовательность установления соединения, умеет разбирать логику работы протокола и позволяет задавать для них такие параметры, как режим работы, набор разрешенных команд и т.п. Сегодня для инспекции доступно более 20 прикладных протоколов (FTP, HTTP(S), SMTP, IMAP, POP3, SSH, SIP и др.), для которых осуществляются контентная и URLфильтрация по определенным правилам и антивирусная проверка. Причем такая функциональность не приводит к значительному снижению скорости. На стандартной аппаратной платформе межсетевой экран StoneGat имеет производительность до 10 Гбит/с, он способен обслуживать одновременно более 2 млн соединений. Объединяя устройства, можно строить более мощные системы с производительностью до 10 Гбит/с. Для обнаружения вторжений устройства используется несколько технологий анализа сетевой активности, что гарантирует высокую степень безопасности и работу бизнес-приложений в любой ситуации. Сигнатурный анализ опирается на базу атак, имеющих описания по содержанию, контексту сетевых пакетов и некоторым другим критериям. Возможно обновление базы данных сигнатур-атак из различных источников, импорт Open Sourceсигнатур. Детектор аномалий использует статистические данные трафика, анализ протоколов на соответствие RFC и установленным шаблонам атак. В случае неизвестной атаки опытный администратор на основании данных журнала может самостоятельно создать и добавить сигнатуры, шаблоны анализа атаки и описания аномалий. Реализованы технология борьбы с DDoS-атаками и механизм антиспуфинга. Специальные механизмы борьбы с SYN-flood позволяют ограничить количество соединений или блокировать соединение до тех пор, пока клиент не ответит на свой запрос подтверждением в рамках стандартного алгоритма работы TCP. Защита от DDоS обеспечивается и за счет возможности сегментирования существующей сетевой инфраструктуры с помощью технологии Transparent Access Control. StoneGate FW/VPN поддерживает механизмы QoS и управления полосой пропускания. Технология MultiLink, контролируя скорость загрузки, позволяет обеспечить высокую степень доступности ресурсов путем использования динамической балансировки нагрузки (входящей и исходящей) по нескольким каналам связи, определяя наиболее быстрые каналы, прозрачно переключая каналы без потери соединения (в том числе и в VPN) (см. рис.2). Этим MultiLink отличается от большинства подобных технологий, которые обеспечивают статическую балансировку с использованием только одного дополнительно-
Тема номера
го канала связи. В StoneGate IPS реализована система обнаружения Advanced Evasion Techniques (динамические техники обхода), которые могут использовать злоумышленники для обхода средств защиты в процессе осуществления вторжений. Производится анализ «историй» событий безопасности и изменений, сравнение конфигураций сенсоров. StoneGate предоставляет возможность использования единой базы данных, в которой хранится информация обо всех компонентах системы: элементах сети, политиках безопасности, сервисах, VPN, журналах безопасности, пользователях и др. Это обеспечивает построение систем распределенной архитектуры с централизованным унифицированным управлением, упрощая процесс развертывания и поддержки, в том числе и упрощенное обновление ПО. Централизованное управление несколькими устройствами обеспечивается с помощюь Stonesoft Management Center.
Как получить StoneGate Firewall/VPN? Реализован StoneGate Firewall/VPN в виде аппаратного и программного решений, образа для виртуальной машины. Программные решения позволяют использовать для развертывания Firewall/VPN любой сервер. На сайте разработчика доступен список сертифицированных платформ для работы ПО Stonesoft. Виртуальный StoneGate Virtual Firewall/VPN – это готовое, простое в установке средство для обеспечения безопасности приложений и операционных систем в виртуальной среде. Наличие образа для виртуальной машины позволяет легко протестировать возможности StoneGate Firewall/VPN или быстро развернуть сервис на имеющемся оборудовании, не ожидая поставки устройства. Возможности по контролю трафика в этом случае полностью зависят от мощности компьютера. ADV //Разработчики предоставляют пользователям весьма подробные руководства, хотя назначение большинства настроек и последовательность действий для подготовленного администратора понятны и без чтения документации, в случае если чего- то не хватает, будет выдана соответствующая подсказка. 1. Сайт
Stonesoft – http://ssl.stonesoft.ru.
Рисунок 2. Обеспечение доступности ресурсов и ба-
лансировки нагрузки
БИТ #10(33) декабрь 2013
21