Межсетевой экран и криптошлюз разница
Мы провели сравнение всех представленных на российском рынке TLS-криптошлюзов отечественного производства, имеющих сертификаты безопасности ФСБ и ФСТЭК России. В сравнении участвовали ViPNet TLS Gateway, «КриптоПро NGate», «Континент TLS», а также «С-Терра TLS», который должен появиться на рынке в ближайшем будущем. Продукты были оценены по 90 ключевым критериям. Результаты сравнения помогут заказчикам при выборе решения для реализации защищённого доступа к корпоративным ресурсам по протоколу TLS.
- 3.1. Общие сведения
- 3.2. Архитерктура TLS-криптошлюза
- 3.3. Производительность
- 3.4. Аутентификация пользователей
- 3.5. Работа с криптоключами
- 3.6. Установка соединения
- 3.7. Возможности TLS-клиента
- 3.8. Режимы работы
- 3.9. Мониторинг и работа с журналами
- 3.10. Отказоустойчивость и масштабирование
- 3.11. Управление TLS-криптошлюзом
- 3.12. Управление доступом удаленных пользователей
- 3.13. Дополнительные функции
Заказчик
Теория и уловки вендоров закончились. Теперь посмотрим на всё это глазами заказчика.
Допустим, у заказчика есть канал связи от провайдера – 100 Мбит/c. Первично нужно определиться с профилем трафика. Хорошо, если сетевое оборудование заказчика может сделать анализ трафика, например, с помощью Netflow. Если статистику собрать нельзя, то можно предположить, что трафик соответствует IMIX и занимает весь канал.
Далее следует выбор криптошлюза по полученным параметрам. Если предыдущий шаг с профилем трафика пропущен, то есть существенный риск ошибиться в выборе. Обещанная вендором производительность криптошлюза в 100 Мбит/c, конечно, будет достигаться, но на больших пакетах. А трафик из небольших пакетов, например, условная IP-телефония, может остановиться на отметке в 10 Мбит/c. А поскольку trade-in для криптошлюзов – явление весьма редкое, то купленную «железку» придется оставить для решения других задач и под 100 Мбит/c реального трафика купить уже новую.
Чтобы не допускать таких ошибок, перед приобретением в обязательном порядке запрашивайте характеристики оборудования с привязкой к вашему трафику и планируемому функционалу.
Другой вариант – не приобретать оборудование вообще, а пользоваться услугами провайдеров по подписке.
Установка соединения
Возможности TLS-клиента
Механизмы защиты межсетевых экранов
Теперь, когда мы обсудили отличия между маршрутизаторами и сетевыми экранами, а также между различными типами межсетевых экранов — самое время поговорить о методах поддержания требуемого уровня безопасности. Какие этапы защиты, через которые проходит трафик, помогают поддерживать сеть в безопасности?
Замена координатора
Рано или поздно встает вопрос о замене координатора на более производительный или временный вариант. Например, замена HW1000 на HW2000 или программного координатора – на ПАК и наоборот. Сложность заключается в том, что у каждого исполнения своя «роль» в ЦУС (Центре управления сетью). Как правильно изменить роль, не потеряв связность? Сначала в ЦУС меняем роль на новую, формируем справочники, но не отправляем(!) их. Затем в УКЦ выпускаем новый DST-файл и проводим инициализацию нового Координатора. После производим замену и, убедившись, что все взаимодействия работоспособны, отправляем справочники.
IP Reputation
Это облачное расширение функций обычного файрвола и безусловный шаг вперед. Дело в том, что в обычной ситуации система ничего не знает об источнике или приемнике (в зависимости от типа трафика). Если это явно не прописано в правилах файрвола, например, «Запретить», то трафик будет проходить, пусть даже от самых вредоносных сайтов. Функция IP Reputation позволяет проверить, является ли IP-адрес подозрительным или «засветился» в той или иной базе данных по проверке репутации. Если со стороны базы данных поступили сведения о плохой репутации IP адреса, то появляется возможность для маневра: оставить прохождение трафика без изменений, запретить полностью или разрешить при определенном условии.
Проверка происходит быстро, потому что отправляется только сам IP адрес и короткий запрос, ответ также приходит в крайне лаконичной форме, что не оказывает сильного влияние на объем трафика.
Методология сравнения TLS-криптошлюзов
Для того чтобы можно было досконально рассмотреть все возможности сравниваемых решений, были выбраны критерии, которые позволили бы составить полноценное представление о каждом из них. В общей сложности мы выделили 90 критериев сравнения, сгруппировав их в следующие категории:
- Общие сведения.
- Архитерктура TLS-криптошлюза.
- Производительность.
- Аутентификация пользователей.
- Работа с криптоключами.
- Установка соединения.
- Возможности TLS-клиента.
- Режимы работы.
- Мониторинг и работа с журналами.
- Отказоустойчивость и масштабирование.
- Управление TLS-криптошлюзом.
- Управление доступом удалённых пользователей.
- Дополнительные функции.
Для сопоставительного исследования были выбраны четыре продукта от отечественных производителей, имеющие сертификаты безопасности либо ожидающие их получения в ближайшее время. На данный момент они составляют исчерпывающий список доступных на рынке представителей решений на базе TLS-криптошлюзов.
- «КриптоПро NGate» (ООО «КРИПТО-ПРО»);
- ViPNet TLS Gateway (ОАО «ИнфоТеКС»);
- «Континент TLS» (ООО «Код Безопасности»);
- «С-Терра TLS» (ООО «С-Терра СиЭсПи»).
Управление доступом удалённых пользователей
Content Filtering
Говоря про контентную фильтрацию, в данном случае мы будем иметь в виду ZYXEL Content Filtering 2.0, который служит для управления и контроля доступа пользователей к сети.
Механизм наблюдения Zyxel Content Filtering 2.0 изучает особенности поведения пользователей в Интернет. Это позволяет оперативно сканировать принимаемую информацию из глобальной сети.
Проще говоря, данная система повышает уровень безопасности, блокируя доступ к опасным и подозрительным веб-сайтам и предотвращает загрузку с них вредоносного кода. В целях стандартизации и унификации настроек можно применять политики, например, для точно настраиваемой блокировки и фильтрации.
Если говорить об изменениях (собственно, почему «2.0»), то в новой версии Content Filtering были внесены несколько существенных изменений, в частности:
Переход на Content Filtering 2.0 происходит через загрузку соответствующего микрокода.
Отдельно стоит сказать о пополнении информационной базы. За счет обработки более 17 миллиардов транзакций каждый день, выполняемых 600 миллионами пользователей из 200 стран, пополняется глобальная база данных, и с каждым новым «знанием» повышается степень защиты системы. Стоит также отметить, что >99% контролируемого контента уже содержится в локальном кэше, что позволяет быстрее обрабатывать поступающие запросы.
Таблица 1. Security Service Content Filtering 2.0 — Схема применения.
Маршрутизатор
В самом названии маршрутизатор заключена расшифровка его предназначения.
В классическом (академическом) представлении маршрутизатор нужен для трансляции пакетов между раздельными IP сетями. Это решает вопрос объединения разрозненных LAN и предотвращения роста широковещательного трафика в одной большой локальной сети разделением её на сегменты. Разумеется, для правильного перенаправления трафика необходимо знать, куда его отправлять, то есть выстраивать маршрут (автор благодарит «Капитана Очевидность» за точную формулировку).
Современные модели маршрутизаторов работают выше 3-го уровня модели OSI. Помимо трансляции IP пакетов из одной сети в другую, эти устройства часто имеют функции управления трафиком, например, возможность закрывать/открывать TCP или UPD порты, выполнять функции Port Address Translation, PAT (иногда называется Destination NAT, DNAT) и так далее. Также для работы некоторых протоколов необходимо, чтобы маршрутизатор умел работать как Application-level gateway, ALG, для обеспечения работы таких протоколов как: PPTP, IPsec, RTSP, SIP, H.323, SMTP, DNS, TFTP.
Маршрутизатором может быть и старый компьютер с настроенной таблицей маршрутов, и специализированное сетевое устройство, которое только и делает, что анализирует простейшие условия вроде списков ACL и перебрасывает пакеты из одной сети в другую.
В частности, маршрутизаторы в виде отдельных устройств применяются, если требуется не только логическое (VLAN) но и физическое разделение на подсети. Например, нужно отделить сеть кампуса, где живут студенты, от университетской сети, где идут исследования.
В современных локальных сетях вместо маршрутизаторов в виде отдельных устройств часто используются коммутаторы L3, позволяющие управлять VLAN, и соответственно, отдельными подсетями.
Пример из практики. Сеть небольшого предприятия, где в качестве ядра сети использовался Cisco Catalyst 3750. Согласно требованиям безопасности, коммутаторы уровня доступа были настроены по принципу: один коммутатор — одна подсеть — один VLAN. Для удешевления проекта выбрали свичи от 3Com. Проще говоря, каждый 3Com был подключен строго в одном VLAN и в одной подсети, а пакеты между подсетями ходили через Catalyst.
С задачей маршрутизацией между VLAN вполне справится L3 коммутатор Zyxel XGS4600-32. Помимо перенаправления пакетов он обладает ещё множеством полезных функций.
Рисунок 1. Коммутатор Zyxel XGS4600-32 L3 с функциями маршрутизатора.
Координатор недоступен
«У нас недоступен координатор/клиент/туннель. Что делать?» – самый частый вопрос, с которым приходят новички при настройке ViPNet. Единственно верное действие в такой ситуации – включать регистрацию всего трафика на координаторах и смотреть в журнал IP-пакетов, который является важнейшим инструментом траблшутинга всевозможных сетевых проблем. Этот способ спасает в 80% случаев. Работа с журналом IP-пакетов также помогает лучше усвоить механизмы работы узлов ViPNet-сети.
Отказоустойчивость и масштабирование
Intrusion Detection/Prevention Service
Системы обнаружения вторжений Intrusion Detection System, IDS, давно нашли применение в межсетевых экранах. Данная функция предназначена для сетевого мониторинга, анализа и оповещения в случае обнаружения сетевой атаки. Механизм IDS основывается на определённом шаблоне и оповещает при обнаружении подозрительного трафика. К сожалению, IDS сами по себе не в состоянии остановить атаку, они лишь оповещают о ней.
А вот система предотвращения вторжений — Intrusion Prevention Service, IPS, является определенным шагом вперед и, помимо обнаружения нежелательного трафика, способна сама блокировать или отбрасывать нежелательные пакеты. Тем самым предотвращая попытки взлома или просто нежелательные события.
Для обеспечения работы IPS — используются специальные сигнатуры, благодаря которым можно распознавать нежелательный трафик и защищать сеть как от широко известных, так и от неизвестных атак. Помимо предотвращения вторжения и распространение вредоносного кода, IPS позволяет снизить нагрузку на сеть, блокируя опасный или попросту бесполезный трафик. База данных IPS включает информацию о глобальных атаках и вторжениях, собранную на публичных или специализированных закрытых сайтах, что позволяет обнаружить сетевые атаки при минимальном количестве ошибочных срабатываний.
SSL Inspection
Позволяет проверять трафик, зашифрованный по протоколу SSL для того, чтобы остальные профили МСЭ могли раскрывать пакеты и работать с SSL трафиком как с незашифрованным. Когда информационный поток защищен от внешнего доступа при помощи шифрования, то и проверить его не представляется возможным — для этого тоже нужен доступ к его содержанию. Поэтому на этапе проверки трафик расшифровывается, прочитывается системой контроля и повторно шифруется, после чего передается в пункт назначения.
С одной стороны, внешне это напоминает атаку man-in-middle, что выглядит как нарушение системы защиты. С другой стороны, SSL шифрование защищает не только полезную информацию, но и всевозможные нарушения корпоративной безопасности. Поэтому применение SSL Inspection на этапе санкционированной проверки выглядит весьма оправданным.
Дополнительные функции
Межсетевой экран
Обычный набор встроенных функций МСЭ (межсетевой экран): антивирус, IDP, патруль приложений — позволяет проверять трафик вплоть до 7 уровня OSI. Помимо этого, есть и другие возможности контроля, отсутствующие в обычных маршрутизаторах.
Разумеется, многие межсетевые экраны обладают стандартным «джентльменским набором» типичного маршрутизатора. Но «сила» МСЭ определяется наличием функций по фильтрации и управлению трафиком, а также усиленном аппаратным обеспечением для реализации этих задач.
Стоит отметить, что набор возможностей фильтрации того или иного устройства МСЭ вовсе не означает: «Чем больше функций смогли «накрутить», тем «лучше» межсетевой экран». Основной ошибкой было бы при покупке делать акцент на длине перечня всевозможных «фишек», без учета конкретного предназначения, конструктивных особенностей, параметров быстродействия и других факторов. Все должно быть строго дозировано и сбалансировано без перекосов в сторону «сверхбезопасности» или «суперэкономии».
И тут администратор сети сталкивается с первой проблемой. Если для SOHO сегмента не так уж сложно сформулировать типичный набор требований, то для корпоративного сегмента это требует дополнительной подготовки. Для лучшего удовлетворения нужд бизнеса существуют различные устройства — каждое под свою нишу. Например, для VPN Gateway набор функций по обеспечению безопасности, разумеется, играет большую роль, но основной задачей является все же создание и поддержание работоспособности VPN каналов. В качестве примера такого устройства можно привести ZyWALL VPN1000
Рисунок 2. Межсетевой экран VPN — ZyWALL VPN1000
А вот для Secure Gateway всевозможные фильтры, «Песочница» и другие виды проверок стоят на первом месте. В качестве примера такого специализированного устройства для повышения уровня защиты можно привести ZyWALL ATP800.
Рисунок 3. Межсетевой экран для обеспечения безопасности — ZyWALL ATP800.
Как видно из рисунков, внешний вид подобных устройств может быть весьма схож, а всё отличие заключается внутри — программном и аппаратном обеспечении. Более подробно об можно прочитать в статье «Для тех, кто выбирает межсетевой экран».
Firewall
Данный сервис перешел «по наследству» от маршрутизаторов. При помощи файрвола отслеживаются и блокируются нежелательные адреса, закрываются порты, анализируются другие признаки пакетов, по которым можно «вычислить» нежелательный трафик. На этом этапе происходит отражения большого числа угроз, таких как попытки соединиться с общедоступными TCP портами, бомбардировка пакетами с целью выведения системы из строя и так далее.
Программно-аппаратная реализация
В этом случае производительность шифрования существенно выше, так как платформа оптимизирована под ГОСТ. Но дополнительные возможности ограничены, а при их включении производительность значительно снижается. Зато задержка у таких решений минимальна и измеряется в микросекундах.
Первый пример в этой категории – Квазар от «СПБ», который в этом году перешагнул с 10 на 100 Гбит/c. Указанная производительность достигается на любом типе трафика. Но это устройство только для шифрования, без дополнительных возможностей. Обычно его обозначают термином «поточный шифратор».
Также стоит обратить внимание на еще один важный параметр: Квазар работает на физическом уровне L1, оборудование нужно соединять оптикой напрямую. С одной стороны, это ограничение по расстоянию между объектами, с другой – отсутствует overhead на заголовки/служебную информацию шифрования, что позволяет полностью использовать емкость канала.
Далее переходим к Континенту с криптоускорителем (обозначается Континент 3.9 IPC-3000FC). Это Континент, в котором шифрование реализуется на отдельной FPGA-плате (это как майнить на видеокарте;).
Продукт выпускается в двух вариациях – под 20 и 40 Гбит/c, детальную информацию можно получить по запросу у производителя. Продукт работает в режиме криптокоммутатора, т.е. для конечных устройств это L2VPN через сети L3.
И в заключении – Dcrypt XG от ТСС с производительностью 100Гбит/c.
В отличии от Квазара продукт работает на канальном уровне и добавляет трафику overhead. Поэтому на маленьких пакетах производительность проседает.
Но это уже не поточный шифратор, есть возможности для реализации более сложных схем и архитектур.
Производительность
(Un)split tunneling
Нешифрованный трафик вместо зашифрованного
Новичкам бывает сложно понять природу 22 события – Non-encrypted IP Packet from network node – в журнале IP-пакетов. Оно означает, что координатор ждал с этого IP-адреса шифрованный трафик, а пришел нешифрованный. Чаще всего это происходит так:
- пользователь забыл залогиниться в ViPNet-клиент, или случайно разлогинился, но при этом пытается попасть на защищаемые ресурсы. В этом случае драйвер IPlir неактивен, а трафик, который по маршрутизации дошел до координатора, не был зашифрован на АРМ пользователя. По заголовкам пакета координатор видит, что все легально: адрес источника принадлежит АРМ с ViPNet-клиентом, адрес назначения – защищенному или туннелируемому узлу. Значит, и трафик должен приходить зашифрованным, но это не так, поэтому его надо заблокировать. Частным случаем данного сценария является ситуация, когда в сети поменялись адреса, и на том адресе, на котором был защищенный ViPNet-клиент, АРМ оказался туннелируемый. Но координатор все еще считает, что на этом адресе есть ViPNet-клиент, и поэтому нешифрованный трафик блокируется;
- с одной стороны взаимодействия отсутствуют связи. Например, вы связали два координатора, а справочники и ключи отправили только на один (или до второго они не дошли). В этом случае первый будет ждать зашифрованный трафик, но второй, так как не знает о существовании первого, будет присылать только незашифрованный;
- туннели прописываются вручную локально на КШ. Чтобы смоделировать такой сценарий, нужно два связанных координатора. На одном прописываем собственные туннели и туннели соседа, на втором «забываем» это сделать. При такой настройке трафик, исходящий от туннелей второго координатора к туннелям первого, шифроваться не будет, и на первом координаторе возникнет 22 событие.
Пересечения адресов
В нашей практике нередко встречается пересечение туннелируемых адресов за разными координаторами.
Именно для таких случаев в продуктах ViPNet существует виртуализация адресов. Виртуализация – это своеобразный NAT без контроля состояния соединения один к одному или диапазон в диапазон. По умолчанию на координаторах эта функция выключена, хотя потенциальные виртуальные адреса вы можете найти в iplir.conf в строке «tunnel» после «to» в секциях соседних координаторов. Для того, чтобы включить виртуализацию глобально для всего списка, необходимо в секции [visibility] изменить параметр «tunneldefault» на «virtual». Если же хотите включить для конкретного соседа, то необходимо в его секцию [id] добавить параметр «tunnelvisibility=virtual». Также стоит убедиться, что параметр tunnel_local_networks находится в значении «on». Для редактирования виртуальных адресов параметр tunnel_virt_assignment необходимо перевести в режим «manual». На противоположной стороне нужно выполнить аналогичные действия. За настройки туннелей также отвечают параметры «usetunnel» и «exclude_from_tunnels». Результат выполненной работы можно проверить с помощью утилиты «iplirdiag», о которой я говорил выше.
Конечно, виртуальные адреса приносят некоторые неудобства, поэтому администраторы инфраструктуры предпочитают минимизировать их использование. Например, при подключении организаций к информационным системам (ИС) некоторых госорганов этим организациям выдается DST-файл c фиксированным диапазоном туннелей из адресного плана ИС. Как мы видим, пожелания подключающегося при этом не учитываются. Как вписываться в этот пул, каждый решает для себя сам. Кто-то мигрирует рабочие станции на новую адресацию, а кто-то использует SNAT на пути от хостов к координатору. Не секрет, что некоторые администраторы применяют SNAT для обхода лицензионных ограничений младших платформ. Не беремся оценивать этичность такого «лайфхака», однако не стоит забывать, что производительность самих платформ все-таки имеет предел, и при перегрузке начнется деградация качества канала связи.
Разберемся с теорией
Как правило, производительность сетевого оборудования тестируется по методике RFC2544. В рамках такого тестирования определяется пропускная способность, задержки, потери трафика и некоторые другие параметры. Тестирование проходит на фреймах размером 64, 128, 256, 512, 1024, 1280, 1518 байт. Единая методология тестирования позволяет сопоставить между собой оборудование различных производителей, а пакеты различной длины – оценить возможности для отличающихся типов трафика. Хорошим тоном является дополнительный тест на смешанном трафике IMIX (Internet MIX) – пакетах разного размера в среднестатистическом соотношении.
Это соотношение не является истиной в последней инстанции. Существует несколько версий профиля, и они периодически меняются. Некоторые заказчики собирают статистику внутри своей сети и формируют «корпоративный» IMIX.
Производительность криптошлюза в общем случае зависит от множества факторов:
В большинстве случаев производительность зависит от размера передаваемых пакетов. Тут прямая зависимость: чем больше пакет передаваемых данных, тем выше производительность, и наоборот.
У различных вендоров есть различные режимы работы, а также дополнительные сервисы на борту (МСЭ, NAT и т.д.). Если «включить всё», то с большой долей вероятности производительность устройства в целом уменьшится.
· Параметры железа и софта
Объединим эти параметры в один пункт, так как чаще всего криптошлюзы поставляются именно в виде программно-аппаратного комплекса. Бутылочным горлышком может стать какой-либо компонент платформы (процессор, сетевая карта, внутренняя шина) или софт (неполное использование всех ресурсов платформы, неоптимизированные алгоритмы работы продукта).
Невозможность работы GRE
Само собой, у каждого решения в IT есть свои ограничения по поддерживаемым сценариям использования, и ViPNet Coordinator не исключение. Достаточно назойливой проблемой является невозможность работы GRE (и протоколов, которые его используют) от нескольких источников к одному адресу назначения через SNAT. Возьмем, к примеру, систему банк-клиент, которая поднимает PPTP-туннель к публичному адресу банка. Проблема в том, что протокол GRE не использует порты, поэтому после прохождения трафика через NAT, socketpair такого трафика становится одинаковым (адрес назначения у нас одинаковый, протокол тоже, а трансляцию адреса источника мы только что произвели также в один адрес). Координатор реагирует на такое блокировкой трафика на фоне ошибки 104 – Connection already exists. Выглядит это так:
Поэтому, если вы используете множественные GRE-подключения, необходимо избегать применения NAT к этим подключениям. В крайнем случае выполнять трансляцию 1:1 (правда, при использовании публичных адресов это достаточно непрактичное решение).
Итого
Выбор СКЗИ «на глазок» чреват для пользователя либо недостаточной производительностью, либо переплатой. Предварительный анализ вашего трафика и полная информация от производителя СКЗИ поможет сделать правильный выбор.
Провайдеры подходят к сайзингу при выборе оборудования пессимистично, чтобы минимизировать кейсы с недостаточной производительностью. Но согласовать уменьшение производительности всегда возможно.
Александр Веселов, руководитель направления ГОСТ VPN, «Ростелеком-Солар»
Служебные порты и TCP-туннель
Однажды я столкнулся с приложением, которое ни в какую не хотело работать через координатор. Так я узнал, что у координатора есть служебные порты, по которым незашифрованный трафик блокируется без возможности какой-либо настройки. К ним относятся UDP/2046,2048,2050 (базовые службы ViPNet), TCP/2047,5100,10092 (для работы ViPNet Statewatcher) и TCP/5000-5003 (MFTP). Тут подвела функции TCP-туннеля. Не секрет, что провайдеры любят фильтровать высокие порты UDP, поэтому администраторы, стремясь улучшить доступность своих КШ, включают функцию TCP-туннеля. Ресурсы в зоне DMZ (по порту TCP-туннеля) при этом становятся недоступны. Это происходит из-за того, что порт TCP-туннеля также становится служебным, и никакие правила межсетевых экранов и NAT (Network Address Translation) на него уже не действуют. Затрудняет диагностику тот факт, что данный трафик не регистрируется в журнале IP-пакетов, как будто его вовсе нет.
Аутентификация пользователей
Не забываем про время
Тему блокировок продолжаем событием номер 4 – IP packet timeout. Тут все банально: это событие возникает при расхождении абсолютного (без учета часовых поясов) времени между узлами сети ViPNet (координаторы и ViPNet-клиенты). На координаторах HW максимальная разница составляет 7200 секунд и задается в параметре «timediff» конфигурационного файла IPlir. Я не рассматриваю в этой статье координаторы HW-KB, но стоит отметить, что в версии KB2 timediff по умолчанию 7 секунд, а в KB4 – 50 секунд, и событие там может генерироваться не 4, а 112, что, возможно, собьет с толку инженера, привыкшего к «обычным» HW.
Вендоры и реализация
После предыдущего раздела, наверняка возникли сомнения: разве всегда производительность зависит от размера пакета? Конечно, тут есть свои нюансы и зависят они от конкретной реализации.
Работа с криптоключами
E-mail security
Данная служба включает в себя антиспам и проверку на фишинговые вложения.
В качестве инструментов в настройках "Anti-Spam" доступно:
- «белый список» — "White List", чтобы определять и пропускать полезную почту от доваренных отправителей.
- «черный список» — "Black List" для выявления и обработки спама;
- также возможна проверка электронной почты на наличие в «черных списках» DNS (DNSBL),
Примечание. DNSBL — это базы данных, где указываются домены и IP адреса подозрительных серверов. Существует большое число серверов DNSBL которые отслеживают IP адреса почтовых серверов, имеющих репутацию источников спама и заносят их в свои базы данных.
Введение
В настоящее время идёт всеобщее развитие IT-инфраструктуры и автоматизации рабочих мест. У предприятий появляется потребность в надёжной и безопасной связи центрального офиса с удалёнными компьютерами сотрудников. Возникает необходимость защиты соединений для передачи конфиденциальной информации. Кроме того, ряд нормативных актов РФ в области информационной безопасности обязывает обеспечивать защищённый обмен сведениями определённого рода. В частности, если речь идёт о персональных данных, то основанный на одноимённом Федеральном законе №152-ФЗ приказ ФСТЭК России №21 обязывает охранять их от раскрытия, модификации и навязывания — ввода ложной информации — при передаче (или подготовке к передаче) по каналам связи, имеющим выход за пределы контролируемой зоны, в том числе — беспроводным. Схожие требования прописаны и в приказе ФСТЭК России №17, который касается обеспечения безопасности данных, содержащихся в государственных информационных системах. Также о защите каналов связи и об организации защищённого удалённого доступа говорится в нормативных актах, регламентирующих оборону критической информационной инфраструктуры, в частности — в приказах ФСТЭК России №239 и №31.
Чаще всего для организации защищённого канала связи создают виртуальную частную сеть (VPN) с использованием криптоалгоритмов ГОСТ. Для этого применяются криптошлюзы и клиентское программное обеспечение. Законодателями мод в этой нише стали такие разработчики, как «ИнфоТеКС», «Код Безопасности» и «С-Терра». Однако подобное решение представляет собой весьма тяжёлую конструкцию, поскольку необходимо не только использовать криптошлюз, но и устанавливать VPN-клиенты на все рабочие станции, с которых требуется производить подключение. Поэтому такой вариант больше подходит для защиты каналов связи между подразделениями компании.
В то же время решения на базе TLS-криптошлюзов позволяют создавать защищённые соединения и без VPN-клиентов, с использованием одного лишь браузера и установленных сертификатов. Это даёт возможность получать доступ к корпоративным ресурсам даже со смартфонов и планшетов. Реализация данного решения требует небольшого количества времени.
Архитерктура TLS-криптошлюза
Application Patrol
Данная служба работает на 7 уровне OSI и проверяет популярные сетевые приложения, включая социальные сети, игры, бизнес-приложения совместно с моделью их поведения.
В Zyxel Application Patrol применяется модуль Deep Packet Inspection (DPI) для контроля использование сети. Данный модуль распознает 19 категорий приложений, что позволяет адаптировать протоколы управления с учетом конкретных приложений и их поведения.
Среди механизмов защиты можно отметить: назначение приоритетов для приложений, контроль полосы пропускания для каждого приложения, блокировка нежелательных приложений. Данные меры не только повышают уровень безопасности, но и улучшают работу сети в целом, например, через запрет нецелевого использования полосы пропускания.
Основой для идентификации приложений служат специальные сигнатуры, полученные благодаря анализу данных, модели поведения и так далее. Собранная информация хранится в база данных Zyxel и содержит данные о большом количестве различных приложений, включая особенности их поведения, генерируемый трафик и так далее. База данных постоянно обновляется.
Последствия перепрошивки
Операторы
Операторы связи (в том числе и мы) предоставляют защищенные каналы связи по сервисной модели.
При добавлении криптошлюзов в инфраструктуру провайдеру необходимо ориентироваться на максимально негативный профиль трафика пользователя – вдруг он будет состоять из огромного числа мелких пакетов.
Для удовлетворения требований оператору следует либо покрыть все свои линии связи поточными шифраторами, либо устанавливать оборудование под каждого клиента с предварительным согласованием требуемой производительности. Для массовой реализации первого варианта рынок пока не готов, но отдельные задачи решаемы (например, для организации связи между выделенными ЦОДами). В большинстве случаев мы идем вторым путем.
В целом в своей практике мы ориентируемся на верифицированные собственной лабораторией производительности оборудования на трафике вида IMIX. И тут есть своя особенность: указанная вендором оборудования производительность обычно делится на два, так как трафик в канале может быть двусторонним (т.е. криптошлюзу надо шифровать в одном направлении и расшифровывать – в обратном).
Зачастую для клиента это выглядит странно: на сайте вендора указана производительность оборудования - 100 Мбит/c, а провайдер услуг предлагает поставить его на канал не выше 20 Мбит/c. А все дело в том, что производительность этого оборудования на пакетах 1500 составляет 100 Мбит/c, а на IMIX – чуть больше 40 (с учетом двустороннего трафика получаем уже 20).
Рассмотрим это на примере ТСС (без укора вендору, ведь данные публичны!):
Еще у операторов при организации наложенной VPN есть правило хорошего тона – увеличить MTU на размер overhead СКЗИ при наличии технической возможности. Без этого неизбежно снижение MTU и возможна фрагментация пакетов, которая снижает производительность, а для некоторых приложений в принципе неприемлема.
Обработка прикладных протоколов (ALG)
На многих межсетевых экранах, включая ViPNet Coordinator, могут возникать проблемы с прохождением SIP через NAT. С учетом того, что виртуальные адреса – это внутренний NAT, проблема может возникать, даже когда в явном виде NAT не используется, а используются только виртуальные адреса. Координатор обладает модулем обработки прикладных протоколов (ALG), который должен эти проблемы решать, но не всегда это работает так, как хотелось бы. Не буду останавливаться на механизме работы ALG (на эту тему можно написать отдельную статью), принцип одинаков на всех МСЭ, изменяются лишь заголовки прикладного уровня. Для корректной работы протокола SIP через координатор необходимо знать следующее:
- при использовании NAT должен быть включен ALG;
- при использовании виртуальной адресации ALG должен быть включен на обоих узлах, участвующих во взаимодействии (координатор-координатор, координатор-клиент), даже если виртуальная видимость установлена только с одной стороны;
- при использовании реальной видимости и отсутствии NAT необходимо выключить ALG для того, чтобы он не вмешивался в работу SIP;
- ALG-линейки 3.х и 4.х несовместимы (строго говоря, в линейке 3.х вообще не было возможности как-то им управлять). В таком сценарии гарантировать корректную работу SIP вендор не может.
Управление TLS-криптошлюзом
Неинформативные конфиги
Основным конфигурационным файлом HW является «iplir.conf», однако он не всегда отражает текущие параметры. Дело в том, что в момент загрузки драйвера IPlir происходит интерпретация этого конфига в соответствии с заложенной логикой, и не вся информация может быть загружена в драйвер (например, при наличии конфликтов IP-адресов). Инженеры, работавшие с программным координатором для Linux, наверняка знают о существовании команды «iplirdiag», которая отображает текущие настройки узлов, прогруженные в драйвер. В HW эта команда также присутствует в режиме «admin escape».
Немного остановимся на режиме «admin escape». По сути это выход из ViPNet shell в bash. Тут я солидарен с вендором, который рекомендует использовать данный режим только для диагностики и вносить какие-либо модификации только под присмотром техподдержки вендора. Это вам не обычный Debian, здесь любое неосторожное движение может вывести из строя ОС, защитные механизмы которой воспримут вашу «самодеятельность» как потенциальную угрозу. В связке с заблокированным по умолчанию BIOS это обрекает вас на негарантийный (читай «дорогой») ремонт.
Выводы
На данный момент применение TLS-шифрования является весьма перспективным направлением организации защищённых соединений с использованием отечественных криптоалгоритмов по упрощённой схеме, что, с одной стороны, позволит соблюсти требования российского законодательства в области информационной безопасности, а с другой стороны, поможет организовать удобный доступ пользователей к корпоративным ресурсам с различными схемами аутентификации и широкими возможностями разграничения доступа.
Также большим подспорьем для развития TLS-криптошлюзов станет наращивание защитной функциональности — например, добавление инструментов межсетевого экранирования, средств обнаружения вторжений, брандмауэров веб-приложений (Web Application Firewall) и других подобных модулей, — а также расширение возможностей интеграции с другими элементами системы информационной безопасности и IT-инфраструктуры.
Бушующая в настоящее время пандемия COVID-19 спровоцировала всплеск интереса компаний к различным механизмам, которые позволяли бы перевести сотрудников на удалённую работу, обеспечивая при этом непрерывность функционирования рабочих процессов и в то же время сохраняя требуемую степень безопасности информации. Это говорит о том, что в случае возможного форс-мажора TLS-криптошлюзы смогут предоставить необходимую функциональность для безопасного и безболезненного перехода на дистанционный режим работы с гибким доступом к корпоративным ресурсам компании.
При добавлении в инфраструктуру отдельного VPN-шлюза (особенно отечественного) всегда возникает вопрос какую схему включения использовать – inline (в разрыв) или on-a-stick (сбоку – «на одной ноге» или на двух). Технически при грамотной настройке все эти варианты работоспособны. Больше всего вопросов возникает по схеме on-a-stick: для сетевых инженеров она наиболее привычна и удобна, но многие сомневаются пройдет ли такая система аттестацию.
Во-первых, независимо от выбранной схемы установки VPN-шлюза на границе сетей с различными уровнями безопасности потребуется межсетевой экран, сертифицированный ФСТЭК России.
Обычно в небольших офисах межсетевой экран совмещен с VPN-шлюзом, и вопрос по выбору схемы установки криптошлюза вообще отпадает. А вот в крупных узлах межсетевой экран и криптошлюз обычно представляют собой отдельные устройства. При этом возможны следующие типовые схемы интеграции:
-невозможность фильтрации трафика, расшифрованного VPN-шлюзом (точнее фильтрация только средствами самого криптошлюза, а это зачастую явно не DPI).
Классика жанра из учебников по сетям. Опять-таки дополнительная точка отказа и установка дополнительного межсетевого экрана.
А теперь самый распространённый и интересный вариант, лишенный указанных выше недостатков. В этой схеме «Межсетевой экран» и «Межсетевой экран 2» являются логическими элементами одного устройства, а VPN-шлюз не является границей внутренней и внешней среды. При этом конфигурацией устройства «Межсетевой экран» обеспечивается невозможность выхода трафика, подлежащего шифрованию, во внешнюю сеть.
Рассмотрим несколько вариантов реализации взаимодействия устройств «Криптошлюз» - «Межсетевой экран» в последней схеме.
А) Между устройствами «Криптошлюз» и «Межсетевой экран» два физических интерфейса – один для шифрованного трафика, второй для расшифрованного.
«Межсетевой экран» имеет сертификат ФСТЭК России. «Криптошлюз» находится во внутренней сети. Шифрованный и расшифрованный трафик разделены по физическим интерфейсам. Идеальный вариант!
Б) Между устройствами «Криптошлюз» и «Межсетевой экран» один физический интерфейс с двумя VLAN для шифрованного и расшифрованного трафика.
«Межсетевой экран» имеет сертификат ФСТЭК России, при сертификации проверена реализация разделения трафика по VLAN. Шифрованный и расшифрованный трафик разделены по VLAN интерфейсам и различаются межсетевым экраном по принадлежности к VLAN (а при необходимости – и по IP-адресам источника и назначения). На практике ситуация осложняется тем, что отдельного руководящего документа по VLAN не существует, как и упоминания VLAN в требованиях регуляторов к межсетевым экранам. Соответственно, реализация разделения трафика по VLAN не является обязательной и не проверяется при сертификации, если производитель специально не включил это в задание по безопасности (ЗБ) или технические условия (ТУ). Убедиться в этом можно, запросив документацию у производителя межсетевого экрана.
В) Устройство «Криптошлюз» работает в виртуальной среде на сервере виртуализации (в соответствии с формуляром и правилами пользования). Между сервером виртуализации и устройством «Межсетевой экран» один физический интерфейс с двумя VLAN/Vmnet для шифрованного и расшифрованного трафика.
«Межсетевой экран» имеет сертификат ФСТЭК России. По аналогии с предыдущим пунктом шифрованный и расшифрованный трафик разделены по VLAN интерфейсам и различаются межсетевым экраном по принадлежности к VLAN (а при необходимости – и по IP-адресам источника и назначения). Дополнительно требуется разделение трафика внутри виртуальной среды. Оно может быть обеспечено встроенными средствами гипервизора (например, сертифицированного по ТУ) или дополнительными средствами защиты (например, межсетевым экраном, сертифицированным для работы в среде виртуализации).
Г) «Межсетевой экран» НЕ сертифицирован ФСТЭК России, «Криптошлюз» может быть установлен где угодно. Такую схему аттестовать не получится. Никогда :)
Таким образом, при установке криптошлюза в существующую инфраструктуру возможны несколько вариантов. Оптимальный вариант можно выбрать, исходя из архитектуры конкретной системы, возможностей межсетевого экрана и VPN-шлюза.
Но не стоит забывать, что для конкретного криптошлюза могут быть ограничения по установке в определенной ситуации, поэтому перед проектированием нужно в обязательном порядке ознакомиться с формуляром, правилами пользования и рекомендациями производителя. А перед аттестацией – проконсультироваться с экспертами организации, которые будут эту аттестацию проводить.
Роутер (router) в переводе с английского дословно означает маршрутизатор. Но, как всегда, дословный перевод не всегда отражает реальность. Модели «роутеров для доступа в Интернет», предлагаемые большинством вендоров, по факту представляют собой межсетевой экран, сочетающий и простые функции вроде фильтрации по MAC, и «продвинутые» анализаторы, например, контроль приложений (Application Patrol).
Так что же такое маршрутизатор, межсетевой экран, и где их можно встретить?
Sandbox
Традиционно из самых больших проблем сетевой безопасности является постоянное распространение новых вирусов.
Выше уже описывались другие средства защиты: IPS и антивирус (antimalware) для защиты сетей. Однако эти две функции не всегда эффективны против новых модификаций вредоносного кода. Зачастую приходится сталкиваться с мнением о том, что антивирус «на потоке» способен определить только очень простые и широко известные угрозы, в первую очередь полагаясь на записи в антивирусных базах. Для более серьезных случаев требуется поведенческий анализ. Грубо говоря, нужно создать для предполагаемого вредоносного кода комфортные условия и попробовать его запустить.
Как раз «Песочница» (Sandbox) — это и есть виртуализированная, изолированная и безопасная среда, в которой запускаются неизвестные файлы для анализа их поведения.
«Песочница» работает следующим образом:
Когда файл проходит через вирусную программу, она сначала проверяет базу данных защиты от вредоносных программ.
Если файл неизвестен, его копия перенаправляется в Sandbox.
Эта служба проверяет файл и определяет, является ли он нормальным, подозрительным или опасным.
По результатам проверки «Песочница», размещенная в облаке, получит новую информацию об этом новом элементе и сохранить её в своей базе данных для аналогичных случаев. Таким образом, облачная архитектура не только делает его общедоступным, но и позволяет постоянно обновлять в режиме реального времени.
В свою очередь, база данных защиты от вредоносных программ регулярно синхронизируется с «Песочницей», чтобы поддерживать ее в актуальном состоянии и блокировать новые вредоносные вирусы в режиме реального времени.
Мониторинг и работа с журналами
В итоге
Мы только поверхностно пробежали по небольшой части функций, которые отличают маршрутизатор от межсетевого экрана. Тем не менее, очевидно, что эти устройства имеют разное предназначение, функции, схемы использования. Эти особенности находят свое отражение как при проектировании новых сетей, так и при эксплуатации уже существующих.
Жизнь сетевого инженера была счастливой и беззаботной, пока в ней не появился сертифицированный криптошлюз. Согласитесь, разбираться с решениями, предназначенными для шифрования каналов передачи данных по ГОСТу, задача не из легких. Хорошо, если это известные и понятные продукты. Вспомним ту же «С-Терра» (об их «С-Терра Шлюз» мы уже писали). Но что делать с более экзотичными решениями на базе собственных протоколов шифрования, например, «Континент» (от «Кода Безопасности») или ViPNet Coordinator HW (от «Инфотекса»)? В этой статье я постараюсь облегчить погружение в мир ViPNet (про «Континент» тоже когда-нибудь поговорим) и рассказать, с какими проблемами столкнулся сам и как их решал.
Сразу оговорюсь, что мы поговорим о сертифицированной на сегодня ФСБ и ФСТЭК версии 4.2.1. В актуальных версиях 4.3.х появилось много интересного, например, DGD (Dead Gateway Detection) и измененный механизм кластеризации, обеспечивающий практически бесшовное переключение, но пока это будущее. Я не буду глубоко погружаться в недра конфигурационных команд и файлов, акцентировав внимание на ключевых командах и переменных, а подробное описание по этим «ключам» можно будет найти в документации.
Для начала разберемся, как это все работает. Итак, координатор ViPNet выполняет несколько функций. Во-первых, это криптошлюз (КШ), который позволяет реализовать как Site-to-site, так и RA VPN. Во-вторых, он является сервером-маршрутизатором конвертов, содержащих зашифрованные служебные данные (справочники и ключи) или данные клиентских приложений (файловый обмен, деловая почта). Кстати, именно в справочниках хранятся файлы, содержащие информацию об объектах сети ViPNet, в том числе об их именах, идентификаторах, адресах, связях. Координатор также является источником служебной информации для своих клиентов.
Помимо этого, он может туннелировать трафик от компьютеров сети, где не установлено ПО ViPNet. Кстати, специалисты, работающие с этим решением, часто называют открытые хосты не «туннелируемыми узлами», а просто «туннелями». Это может сбить с толку инженеров, которые привыкли к другим VPN-решениям, где под туннелем подразумевают PtP-соединение между КШ.
В качестве протокола шифрования в ViPNet используется IPlir, также разработанный «Инфотексом». Для инкапсуляции трафика применяются транспортные протоколы IP/241 (если трафик не покидает широковещательный домен), UDP/55777 и TCP/80 (при недоступности UDP).
В концепции построения защищенных соединений лежат так называемые «связи», которые бывают двух типов. Первые (на уровне узлов) нужны для построения защищенного соединения между узлами, вторые (на уровне пользователей) необходимы для работы клиентских приложений. Но есть исключение: узлы администратора сети ViPNet требуют обоих типов связи.
Что же может в этой схеме пойти не так? Как показывает практика, особенностей работы действительно много, и далеко не все проблемы можно решить интуитивно, без «помощи зала», а что-то нужно просто принять как данность.
Режимы работы
Antimalware
Исторически под этим названием понимают классический антивирус, но в последнее время область применения данного механизма защиты значительно расширена и включает в себя не только защиту от вирусов, но и от другого вредоносного кода, включая фишинговые приложения, небезопасные скрипты и так далее.
В качестве «движка» (engine) в межсетевых шлюзах Zyxel используются локальные сигнатуры от BitDefender и облачные от McAfee.
Сравнение TLS-криптошлюзов
Конверт не доставлен
Из этого следуют два вывода. Во-первых, между клиентами не обязательно должна проверяться связь (по нажатию на F5 и соответствующей иконки в меню) для доставки конвертов. Во-вторых, если связь межу ними все-таки проверяется, это не гарантирует доставку, так как проблема может быть в одном из межсерверных каналов.
Диагностировать прохождение конвертов межсерверным каналам или между клиентом и координатором в неочевидных случаях можно с помощью журнала и очереди конвертов, а также логов на координаторе. Также транспортный модуль ViPNet-клиента можно настроить на прямую доставку конвертов, доставку через общую папку или SMTP/POP3 (но это совсем экзотичный вариант). Погружаться в эти настройки мы не будем.
Кластеризация и сбой ноды
Горячий резерв – это must have для любой крупной площадки, поэтому на них всегда закупался кластер старших моделей (HW1000, HW2000, HW5000). Однако создание кластера из более компактных криптошлюзов (HW50 и HW100) было невозможно из-за лицензионной политики вендора. В итоге владельцам небольших площадок приходилось серьезно переплачивать и покупать HW1000 (ну, или никакой отказоустойчивости). В этом году вендор, наконец, сделал дополнительные лицензии и для младших моделей координаторов. Так что с выходом версий 4.2.x появилась возможность собирать в кластер и их.
При первичной настройке кластера можно серьезно сэкономить время, не настраивая интерфейсы в режиме мастера или командами CLI. Можно сразу вписывать необходимые адреса в конфигурационный файл кластера (failover config edit), только не забудьте указать маски. При запуске демона failover в кластерном режиме он сам назначит адреса на соответствующие интерфейсы. Многие при этом боятся останавливать демон, предполагая, что адреса сменяются на пассивные или адреса сингл-режима. Не волнуйтесь: на интерфейсах останутся те адреса, которые были на момент остановки демона.
В кластерном исполнении существует две распространенные проблемы: циклическая перезагрузка пассивной ноды и ее непереключение в активный режим. Для того чтобы понять суть этих явлений, разберемся в механизме работы кластера. Итак, активная нода считает пакеты на интерфейсе и в случае, если за отведенное время пакетов нет, отправляет пинг на testip. Если пинг проходит, то счетчик запускается заново, если не проходит, то регистрируется отказ интерфейса и активная нода уходит в перезагрузку. Пассивная нода при этом отправляет регулярные ARP-запросы на всех интерфейсах, описанных в failover.ini (конфигурационный файл кластера, где указаны адреса, которые принимает активная и пассивная ноды). Если ARP-запись хоть одного адреса пропадает, то пассивная нода переключается в активный режим.
Вернемся к кластерным проблемам. Начну с простого – неперключение в активный режим. В случае если активная нода отсутствует, но на пассивной в ARP-таблице (inet show mac-address-table) ее mac-адрес все еще присутствует, необходимо идти к администраторам коммутаторов (либо так настроен ARP-кэш, либо это какой-то сбой). С циклической перезагрузкой пассивной ноды немного сложнее. Происходит это из-за того, что пассивная не видит ARP-записи активной, переходит в активный режим и (внимание!) по HB-линку опрашивает соседа. Но сосед-то у нас в активном режиме и аптайм у него больше. В этот момент пассивная нода понимает, что что-то не так, раз возник конфликт состояний, и уходит в перезагрузку. Так продолжается до бесконечности. В случае возникновения данной проблемы необходимо проверить настройки IP-адресов в failover.ini и коммутацию. Если все настройки на координаторе верны, то пришло время подключить к вопросу сетевых инженеров.
В заключение
Я постарался рассмотреть самые злободневные проблемы, обозначить их корни и рассказать о решениях. Конечно, это далеко не все особенности ViPNet, поэтому рекомендую не стесняться – обращаться в поддержку и спрашивать совета в коммьюнити (на форуме вендора, в телеграмм-канале, в комментариях под этим постом). А если вам не хочется погружаться во все сложности работы с ViPNet или это слишком трудозатратно, то всегда можно отдать управление вашей ViPNet-сетью в руки профессионалов.
Автор: Игорь Виноходов, инженер 2-ой линии администрирования «Ростелеком-Солар»
Кадр из м/ф "Крылья, ноги и хвосты"
«Производительность данного оборудования в режиме шифрования – 100 Мбит/c», – гласит вендорский буклет/инструкция/сайт. Что означает эта цифра? В каких условиях она получена и чего ожидать пользователю на практике? В этом посте мы рассмотрим, что понимают под производительностью вендоры криптошлюзов, заказчики и операторы связи. Надеюсь, это убережет вас от ошибок в расчетах и пустых трат.
Общие сведения
Программная реализация
Если СКЗИ реализовано программно и установлено на совершенно стандартную x86 аппаратную платформу, то указанное выше абсолютно верно. Современные процессоры не содержат инструкций по ускорению ГОСТ-алгоритмов (в отличие от AES ☹).
В таком случае шифрование и большинство других фич производятся с каждым пакетом индивидуально на программном уровне. Итого: получаем высокую производительность на больших пакетах и весьма скромную – на маленьких. Это актуально как для работы криптошлюза на сетевом уровне L3, так и на канальном L2.
Каждый производитель по-разному подходит к публикации этих данных.
«ИнфоТеКС» и «Код Безопасности» размер пакета не называют, по нашему опыту, указанные цифры получены на пакетах близких к 1500 байт, с учётом инкапсуляций и протоколов вендоров:
· АПКШ Континент (в описании каждой модели).
У С-Терра указаны две цифры – на больших пакетах (по аналогии с конкурентами) и на смешанном трафике, который позволяет более точно подойти к выбору.
Самая полная информация по тестам на пакетах разного размера есть у ТСС.
Также нужно отметить, что для программной реализации, независимо от вендора, характерна высокая задержка – несколько миллисекунд.
Читайте также: