Системы управления межсетевыми экранами
Выбор средств защиты
Templates Variables
Предположим, что у нас много межсетевых экранов, которые управляются с помощью Panorama и имеют внутренние IP-адреса от 10.0.1.1/24 до 10.0.100.1/24. Чтобы не создавать 100 разных Template’ов для каждого из них, можно воспользоваться функционалом переменных значений.
Давайте разберемся, как это сделать, на примере ситуации выше.
Перейдем в меню Panorama > Templates и создадим Template, который будет отвечать за IP-адреса на интерфейсах межсетевых экранов. Назовем его “Firewall interfaces”. Перейдем в меню Network > Interfaces и, убедившись, что сверху выбран созданный нами Template, перейдем в настройки нужного нам интерфейса, например, ethernet1/1. Перейдя в раздел IPv4, нажмем кнопку Add, чтобы добавить значение IP-адреса, после чего нажмем на New X Variable. Здесь можно создать новую переменную. Дадим ей имя и значение.
Перейдем в меню Panorama > Managed Devices > Summary , где отображены все наши межсетевые экраны, подключенные к Panorama. Выберем межсетевой экран, у которого по задумке должен быть адрес 10.0.2.1/24, и нажмем на кнопку Create в колонке Variables, после чего откроется окно Create Device Variable Definition.
Выберем No и нажмем OK. Откроется окно Template Variables for Device $name.
Дальше выберем созданную нами переменную $Inside_IP и нажмем кнопку Override. Вводим необходимый нам IP-адрес 10.0.2.1/24.
Повторим данные действия для всех необходимых нам межсетевых экраном, после чего применим конфигурацию Commit > Commit and Push .
Данные действия позволили нам с помощью Panorama в рамках одного Template ввести разные значения для нескольких межсетевых экранов. Мы можем пойти и по менее удобному пути, используя функционал Override непосредственно на межсетевых экранах. Если администратор разрешил перезаписывать значения, которые поступают с Panorama, то можно, используя данный функционал локально на межсетевом экране, и перезаписать значение, переданное с Panorama (в данном случае IP-адрес).
В конце концов мы можем вообще не определять IP-адреса интерфейсов на Panorama, а сделать это локально на каждом МСЭ.
Переменные (Templates Variables) можно экспортировать в файл, редактировать, а затем импортировать. Сделать это можно в разделе Panorama > Templates . Для этого необходимо выделить нужный нам Template и, не открывая его, нажать на X Variable CSV > Export . Открыв данный файл, нужно поменять значение для каждого используемого нами межсетевого экрана, а затем импортировать данный файл аналогичным образом. Данный способ однозначно быстрее и позволяет экономить время, если мы управляем большим количеством межсетевых экранов.
Подготовка
На панораме рекомендуется установить версию PAN-OS и Dynamic Updates не ниже тех, которые установлены на межсетевых экранах. Сделать это можно в разделах Panorama > Software и Panorama > Dynamic Updates . В том же разделе желательно настроить автоматическое обновление сигнатур. В целом допускается различие версий Panorama от межсетевого экрана в бОльшую сторону на 5-6 версий в рамках основного релиза. Например, Panorama версии 9.0.6, а межсетевой экран – 9.0.2.
Начальная конфигурация устройства несильно отличается от той, что вы выполните на межсетевом экране. В разделе Panorama > Setup > Management Services прописываем DNS- и NTP-серверы (если мы не сделали это вначале через CLI).
Настройки применяются так же – через меню Commit, которое здесь разделено на три части: Commit to Panorama, Push to Devices, Commit and Push.
- Commit to Panorama – применение конфигурации только к устройству Panorama.
- Push to Devices – отправка примененной (Running configuration) Panorama на межсетевые экраны. Кстати, список данных межсетевых экранов и прочие настройки можно выбрать в окне, которое появится после выполнения данного действия.
- Commit and Push – применение конфигурации к Panorama, а затем отправка ее на подчиненные устройства.
Templates
Templates и Device Groups это две ключевые настройки, которые поначалу вызывают наибольшие трудности понимания у тех, кто сталкивается с Panorama.
Templates – это объекты, создаваемые на Panorama, в которых хранятся данные, относящиеся к разделам Network и Device на межсетевых экранах.
Templates создаются в разделе Panorama > Templates . Изначально данный раздел пуст. Нам нужно нажать на кнопку Add и добавить первый Template. Сразу после этого в веб-интерфейсе Panorama появятся два новых раздела (Network и Device).
Template’ов может быть несколько, поэтому, внося изменения в разделы Network и Device на Panorama, необходимо выбирать соответствующий Template.
Меню выбора Template'ов
Template Stacks – набор, который может быть сформирован из восьми Templates. Иерархически это выглядит как 8 слоев. Настройки на верхнем слое распространяются на нижний и имеют больший приоритет. Создаются они в том же разделе, где и обычные Templates.
Мнение
Замена устройств
Напоследок затронем не самую частую ситуацию, такую как замена межсетевых экранов, подключенных к Panorama. Опустим нюансы по переносу лицензий со старого устройства на новое (об этом вы можете почитать в официальных руководствах по запросу «how to transfer licenses to a spare device») и перейдем сразу к последовательности настройки:
- Производим базовую настройку нового межсетевого экрана. Нам нужно удостовериться, что мы настроили доступ по mgmt-интерфейсу и, что версии PAN-OS совпадают. Также стоит проверить версии сигнатур в разделе dynamic updates.
- Экспортируем «device state» старого устройства через Panorama. Заходим в командную строку и выполняем одну из следующих команд (в зависимости от поддерживаемого протокола на сервере, куда мы будем экспортировать конфигурацию):
После того как мы завершили трансфер, необходимо поменять серийный номер старого устройства на новый:
Логирование
Теперь давайте пройдемся по логам.
Panorama получает информацию о логах из двух источников: локального и удаленного.
Локальный источник – логи, которые были направлены самим межсетевым экраном на Panorama. Логи, которые Panorama запросила и получила от Log Collector’ов и Cortex Data lake (их мы не будем затрагивать в данной статье).
Удаленный источник – логи, которые запрашиваются у межсетевого экрана.
Также существуют два типа логов: Summary Database и Detailed Logs.
- Summary Database – межсетевой экран агрегирует логи каждые 15 минут, компонует их (некоторые поля и информация удаляются из логов) и отправляет на Panorama, даже если не настроены правила пересылки логов. В данных логах присутствует информация по статистике приложений, угроз, трафика, туннельной инспекции и URL-фильтрации.
- Detailed Logs – в данных логах присутствует полная информация и все поля. Данные логи Panorama запрашивает у межсетевого экрана сама. Также для их наличия на межсетевых экранах должны быть выполнены настройки по пересылке логов.
Device Groups
Теперь давайте поговорим о схожей концепции – Device Groups.
Device Groups – это объекты, создаваемые на Panorama, в которых хранятся данные, относящиеся к разделам Policies и Objects на межсетевых экранах.
Device Groups создаются в разделе Panorama > Device Groups . Изначально данный раздел пуст. Нам нужно нажать на кнопку Add и добавить первую группу. Сразу после этого в веб-интерфейсе Panorama появятся два новых раздела (Policies и Objects).
Как и Templates, Device Groups закрепляются за определенными межсетевыми экранами. Межсетевой экран также может принадлежать к иерархии групп. Принцип немного отличается от Templates.
Пример иерархии групп
Стоит заметить, что после того как мы создадим первую группу, у нас появится общая группа с названием Shared, настройки которой будут распространяться на все остальные группы.
Что будет, если закрепить за устройством Device Group, но не закреплять Template?
Мы можем столкнуться с трудностями, например, при создании новой политики безопасности (Security Policy): в разделе выбора зон у нас не будет доступно ничего, кроме Any. Это объясняется тем, что за устройством не закреплено ни одного Template, в котором эти зоны были бы обозначены. Один из способов решения данной проблемы – это Reference Templates. Когда вы создаете Device Group и добавляете в нее устройство, у вас так же есть возможность указать ссылку на шаблон.
Reference Templates
Мы можем создать Template, в котором будут обозначены зоны, после чего просто сделать на него ссылку из меню создания или редактирования Device Group.
Policies
Как мы уже знаем, Device Groups также управляет политиками, которые отправляются на межсетевой экран с Panorama. В отличие от обычного редактора политик, здесь у нас появились новые разделы: Pre Rules, Post Rules, Default Rules.
С точки зрения иерархии, все это работает следующим образом (не стоит забывать, что, помимо обычных Device Group, у нас также есть общая группа Shared):
На первый взгляд это может немного пугать, но, на самом деле, все куда проще. Иерархия политик будет понятна после первых нескольких созданных правил. К тому же, вы всегда можете посмотреть, как итоговые правила будут выглядеть на конечном устройстве. Для этого можно воспользоваться кнопкой Preview Rules в разделе редактирования политик.
Когда вы создаете правило, также имеется возможность выбрать цель (Target) для закрепления политики за определенным устройством. На практике данный функционал автор статьи считает не самым удобным, потому что он может привести к путанице с политиками на разных устройствах при их общем отображении в одном окне. Однако все зависит от человека. Возможно, кому-то это покажется удобным.
Выбор устройств, на которые будут распространяться политики
Есть еще очень интересный функционал для тех, кто любит порядок. В настройках Panorama можно задать необходимые поля, которые нужно заполнять, создавая правила, в противном случае произойдет «Commit fail». Это удобно и, например, приучает администраторов всегда добавлять описания к создаваемым ими правилам или вешать тэги. По описанию мы сможем понять, какой замысел был у того или иного правила, по тэгам мы можем сгруппировать правила, отфильтровав ненужные.
На глобальном уровне это настраивается в меню Panorama > Setup > Management > Policy Rulebase Settings .
На уровне Templates это настраивается в меню Devices > Setup > Management > Policy Rulebase Settings .
Программно-аппаратные комплексы межсетевого экранирования (Enterprise Network Firewall)
Подкатегории
Заключение
Конечно же мы прошлись только по самым верхам настройки Panorama и не затронули много нюансов. Однако понимание верхов позволит подключить межсетевые экраны к Panorama, разобраться в ее основных функциях и начать более гранулированную настройку самостоятельно.
Если затронутая тема оказалась для вас интересной, в следующих статьях постараемся более детально осветить вопросы отладки (траблшутинга), которые обычно отдают на решение технической поддержке либо ASC (Authorized Support Center) и которые отсутствуют в официальных руководствах производителя, доступных рядовым клиентам.
Цель данной статьи — сравнить сертифицированные межсетевые экраны, которые можно использовать при защите ИСПДн. В обзоре рассматриваются только сертифицированные программные продукты, список которых формировался из реестра ФСТЭК России.
Выбор межсетевого экрана для определенного уровня защищенности персональных данных
В данном обзоре мы будем рассматривать межсетевые экраны, представленные в таблице 1. В этой таблице указано название межсетевого экрана и его класс. Данная таблица будет особенно полезна при подборе программного обеспечения для защиты персональных данных.
Таблица 1. Список сертифицированных ФСТЭК межсетевых экранов
Программный продукт | Класс МЭ |
МЭ «Блокпост-Экран 2000/ХР» | 4 |
Специальное программное обеспечение межсетевой экран «Z-2», версия 2 | 2 |
Средство защиты информации TrustAccess | 2 |
Средство защиты информации TrustAccess-S | 2 |
Межсетевой экран StoneGate Firewall | 2 |
Средство защиты информации Security Studio Endpoint Protection Personal Firewall | 4 |
Программный комплекс «Сервер безопасности CSP VPN Server.Версия 3.1» | 3 |
Программный комплекс «Шлюз безопасности CSP VPN Gate.Версия 3.1» | 3 |
Программный комплекс «Клиент безопасности CSP VPN Client. Версия 3.1» | 3 |
Программный комплекс межсетевой экран «Ideco ICS 3» | 4 |
Программный комплекс «Трафик Инспектор 3.0» | 3 |
Средство криптографической защиты информации «Континент-АП». Версия 3.7 | 3 |
Межсетевой экран «Киберсейф: Межсетевой экран» | 3 |
Программный комплекс «Интернет-шлюз Ideco ICS 6» | 3 |
VipNet Office Firewall | 4 |
Все эти программные продукты, согласно реестру ФСТЭК, сертифицированы как межсетевые экраны.
Согласно приказу ФСТЭК России №21 от 18 февраля 2013 г. для обеспечения 1 и 2 уровней защищенности персональных данных (далее ПД) применяются межсетевые экраны не ниже 3 класса в случае актуальности угроз 1-го или 2-го типов или взаимодействия информационной системы (ИС) с сетями международного информационного обмена и межсетевые экраны не ниже 4 класса в случае актуальности угроз 3-го типа и отсутствия взаимодействия ИС с Интернетом.
Сравнение межсетевых экранов
Межсетевым экранам свойственен определенный набор функций. Вот и посмотрим, какие функции предоставляет (или не предоставляет) тот или иной межсетевой экран. Основная функция любого межсетевого экрана — это фильтрация пакетов на основании определенного набора правил. Не удивительно, но эту функцию поддерживают все брандмауэры.
Также все рассматриваемые брандмауэры поддерживают NAT. Но есть довольно специфические (но от этого не менее полезные) функции, например, маскировка портов, регулирование нагрузки, многопользовательских режим работы, контроль целостности, развертывание программы в ActiveDirectory и удаленное администрирование извне. Довольно удобно, согласитесь, когда программа поддерживает развертывание в ActiveDirectory — не нужно вручную устанавливать ее на каждом компьютере сети. Также удобно, если межсетевой экран поддерживает удаленное администрирование извне — можно администрировать сеть, не выходя из дому, что будет актуально для администраторов, привыкших выполнять свои функции удаленно.
Наверное, читатель будет удивлен, но развертывание в ActiveDirectory не поддерживают много межсетевых экранов, представленных в таблице 1, то же самое можно сказать и о других функциях, таких как регулирование нагрузки и маскировка портов. Дабы не описывать, какой из межсетевых экранов поддерживает ту или иную функцию, мы систематизировали их характеристики в таблице 2.
Таблица 2. Возможности брандмауэров
Как будем сравнивать межсетевые экраны?
Основная задача межсетевых экранов при защите персональных — это защита ИСПДн. Поэтому администратору часто все равно, какими дополнительными функциями будет обладать межсетевой экран. Ему важны следующие факторы:
- Время защиты. Здесь понятно, чем быстрее, тем лучше.
- Удобство использования. Не все межсетевые экраны одинаково удобны, что и будет показано в обзоре.
- Стоимость. Часто финансовая сторона является решающей.
- Срок поставки. Нередко срок поставки оставляет желать лучшего, а защитить данные нужно уже сейчас.
Безопасность у всех межсетевых экранов примерно одинаковая, иначе у них бы не было сертификата.
Брандмауэры в обзоре
Далее мы будем сравнивать три межсетевых экрана — VipNet Office Firewall, Киберсейф Межсетевой экран и TrustAccess.
Брандмауэр TrustAccess — это распределенный межсетевой экран с централизованным управлением, предназначенный для защиты серверов и рабочих станций от несанкционированного доступа, разграничения сетевого доступа к ИС предприятия.
Киберсейф Межсетевой экран — мощный межсетевой экран, разработанный для защиты компьютерных систем и локальной сети от внешних вредоносных воздействий.
ViPNet Office Firewall 4.1 — программный межсетевой экран, предназначенный для контроля и управления трафиком и преобразования трафика (NAT) между сегментов локальных сетей при их взаимодействии, а также при взаимодействии узлов локальных сетей с ресурсами сетей общего пользования.
Время защиты ИСПДн
Что такое время защиты ИСПДн? По сути, это время развертывания программы на все компьютеры сети и время настройки правил. Последнее зависит от удобства использования брандмауэра, а вот первое — от приспособленности его установочного пакета к централизованной установке.
Все три межсетевых экрана распространяются в виде пакетов MSI, а это означает, что можно использовать средства развертывания ActiveDirectory для их централизованной установки. Казалось бы все просто. Но на практике оказывается, что нет.
На предприятии, как правило, используется централизованное управление межсетевыми экранами. А это означает, что на какой-то компьютер устанавливается сервер управления брандмауэрами, а на остальные устанавливаются программы-клиенты или как их еще называют агенты. Проблема вся в том, что при установке агента нужно задать определенные параметры — как минимум IP-адрес сервера управления, а может еще и пароль и т.д.
Следовательно, даже если вы развернете MSI-файлы на все компьютеры сети, настраивать их все равно придется вручную. А этого бы не очень хотелось, учитывая, что сеть большая. Даже если у вас всего 50 компьютеров вы только вдумайтесь — подойти к каждому ПК и настроить его.
Конечно, администратор может использовать редакторы вроде Orca для создания MST-файла.
Рис. 1. Редактор Orca. Попытка создать MST-файл для TrustAccess.Agent.1.3.msi
Киберсейф Межсетевой экран самостоятельно создает MST-файл, нужно лишь установить его на один компьютер, получить заветный MST-файл и указать его в групповой политике. О том, как это сделать, можно прочитать в статье «Разграничение информационных систем при защите персональных данных». За какие-то полсача (а то и меньше) вы сможете развернуть межсетевой экран на все компьютеры сети.
Именно поэтому Киберсейф Межсетевой экран получает оценку 5, а его конкуренты — 3 (спасибо хоть инсталляторы выполнены в формате MSI, а не .exe).
Продукт | Оценка |
VipNet Office Firewall | |
Киберсейф Межсетевой экран | |
TrustAccess |
Удобство использования
Брандмауэр — это не текстовый процессор. Это довольно специфический программный продукт, использование которого сводится к принципу «установил, настроил, забыл». С одной стороны, удобство использования — второстепенный фактор. Например, iptables в Linux нельзя назвать удобным, но ведь им же пользуются? С другой — чем удобнее брандмауэр, тем быстрее получится защитить ИСПДн и выполнять некоторые функции по ее администрированию.
Что ж, давайте посмотрим, насколько удобны рассматриваемые межсетевые экраны в процессе создания и защиты ИСПДн.
Начнем мы с VipNet Office Firewall, который, на наш взгляд, не очень удобный. Выделить компьютеры в группы можно только по IP-адресам (рис. 2). Другими словами, есть привязка к IP-адресам и вам нужно или выделять различные ИСПДн в разные подсети, или же разбивать одну подсеть на диапазоны IP-адресов. Например, есть три ИСПДн: Управление, Бухгалтерия, IT. Вам нужно настроить DHCP-сервер так, чтобы компьютерам из группы Управление «раздавались» IP-адреса из диапазона 192.168.1.10 — 192.168.1.20, Бухгалтерия 192.168.1.21 — 192.168.1.31 и т.д. Это не очень удобно. Именно за это с VipNet Office Firewall будет снят один балл.
Рис. 2. При создании групп компьютеров наблюдается явная привязка к IP-адресу
В межсетевом экране Киберсейф, наоборот, нет никакой привязки к IP-адресу. Компьютеры, входящие в состав группы, могут находиться в разных подсетях, в разных диапазонах одной подсети и даже находиться за пределами сети. Посмотрите на рис. 3. Филиалы компании расположены в разных городах (Ростов, Новороссийск и т.д.). Создать группы очень просто — достаточно перетащить имена компьютеров в нужную группу и нажать кнопку Применить. После этого можно нажать кнопку Установить правила для формирования специфических для каждой группы правил.
Рис. 3. Управление группами в Киберсейф Межсетевой экран
Что касается TrustAccess, то нужно отметить тесную интеграцию с самой системой. В конфигурацию брандмауэра импортируются уже созданные системные группы пользователей и компьютеров, что облегчает управление межсетевым экраном в среде ActiveDirectory. Вы можете не создавать ИСПДн в самом брандмауэре, а использовать уже имеющиеся группы компьютеров в домене Active Directory.
Рис. 4. Группы пользователей и компьютеров (TrustAccess)
Все три брандмауэра позволяют создавать так называемые расписания, благодаря которым администратор может настроить прохождение пакетов по расписанию, например, запретить доступ к Интернету в нерабочее время. В VipNet Office Firewall расписания создаются в разделе Расписания (рис. 5), а в Киберсейф Межсетевой экран время работы правила задается при определении самого правила (рис. 6).
Рис. 5. Расписания в VipNet Office Firewall
Рис. 6. Время работы правила в Киберсейф Межсетевой экран
Рис. 7. Расписание в TrustAccess
Все три брандмауэра предоставляют очень удобные средства для создания самих правил. А TrustAccess еще и предоставляет удобный мастер создания правила.
Рис. 8. Создание правила в TrustAccess
Взглянем на еще одну особенность — инструменты для получения отчетов (журналов, логов). В TrustAccess для сбора отчетов и информации о событиях нужно установить сервер событий (EventServer) и сервер отчетов (ReportServer). Не то, что это недостаток, а скорее особенность («feature», как говорил Билл Гейтс) данного брандмауэра. Что касается, межсетевых экранов Киберсейф и VipNet Office, то оба брандмауэра предоставляют удобные средства просмотра журнала IP-пакетов. Разница лишь в том, что у Киберсейф Межсетевой экран сначала отображаются все пакеты, и вы можете отфильтровать нужные, используя возможности встроенного в заголовок таблицы фильтра (рис. 9). А в VipNet Office Firewall сначала нужно установить фильтры, а потом уже просмотреть результат.
Рис. 9. Управление журналом IP-пакетов в Киберсейф Межсетевой экран
Рис. 10. Управление журналом IP-пакетов в VipNet Office Firewall
С межсетевого экрана Киберсейф пришлось снять 0.5 балла за отсутствие функции экспорта журнала в Excel или HTML. Функция далеко не критическая, но иногда полезно просто и быстро экспортировать из журнала несколько строк, например, для «разбора полетов».
Итак, результаты этого раздела:
Продукт | Оценка |
VipNet Office Firewall | |
Киберсейф Межсетевой экран | |
TrustAccess |
Стоимость
Обойти финансовую сторону вопроса просто невозможно, ведь часто она становится решающей при выборе того или иного продукта. Так, стоимость одной лицензии ViPNet Office Firewall 4.1 (лицензия на 1 год на 1 компьютер) составляет 15 710 р. А стоимость лицензии на 1 сервер и 5 рабочих станций TrustAccess обойдется в 23 925 р. Со стоимостью данных программных продуктов вы сможете ознакомиться по ссылкам в конце статьи.
Запомните эти две цифры 15710 р. за один ПК (в год) и 23 925 р. за 1 сервер и 5 ПК (в год). А теперь внимание: за эти деньги можно купить лицензию на 25 узлов Киберсейф Межсетевой экран (15178 р.) или немного добавить и будет вполне достаточно на лицензию на 50 узлов (24025 р.). Но самое главное в этом продукте — это не стоимость. Самое главное — это срок действия лицензии и технической поддержки. Лицензия на Киберсейф Межсетевой экран — без срока действия, как и техническая поддержка. То есть вы платите один раз и получаете программный продукт с пожизненной лицензией и технической поддержкой.
Продукт | Оценка |
VipNet Office Firewall | |
Киберсейф Межсетевой экран | |
TrustAccess |
Срок поставки
По нашему опыту время поставки VipNet Office Firewall составляет около 2-3 недель после обращения в ОАО «Инфотекс». Честно говоря, это довольно долго, учитывая, что покупается программный продукт, а не ПАК.
Время поставки TrustAccess, если заказывать через «Софтлайн», составляет от 1 дня. Более реальный срок — 3 дня, учитывая некоторую задержку «Софтлайна». Хотя могут поставить и за 1 день, здесь все зависит от загруженности «Софтлайна». Опять-таки — это личный опыт, реальный срок конкретному заказчику может отличаться. Но в любом случае срок поставки довольно низкий, что нельзя не отметить.
Что касается программного продукта КиберСейф Межсетевой экран, то производитель гарантирует поставку электронной версии в течение 15 минут после оплаты.
Продукт | Оценка |
VipNet Office Firewall | |
Киберсейф Межсетевой экран | |
TrustAccess |
Что выбрать?
Если ориентироваться только по стоимости продукта и технической поддержки, то выбор очевиден — Киберсейф Межсетевой экран. Киберсейф Межсетевой экран обладает оптимальным соотношением функционал/цена. С другой стороны, если вам нужна поддержка Secret Net, то нужно смотреть в сторону TrustAccess. А вот VipNet Office Firewall можем порекомендовать разве что как хороший персональный брандмауэр, но для этих целей существует множество других и к тому же бесплатных решений.
Система управления и мониторинга позволит решать задачи администрирования группы межсетевых экранов серии ССПТ проще, быстрее, эффективнее.
- Управление группировкой ССПТ в крупных и/или распределенных информационных системах
- Создание защищенной среды информационного обмена в cloud системах
- Иерархическая структура каталога элементов системы межсетевого экранирования
- Контроль работоспособности межсетевых экранов серии ССПТ
- Информирование администратора безопасности о возникновении инцидента
- Управление межсетевыми экранами серии ССПТ
- Единая система авторизации администраторов системы межсетевого экранирования
- Защищенный канал управления
- Локальная и серверная версии программного обеспечения
Иерархическая структура каталога элементов системы межсетевого экранирования.
Организация управления списком элементов подсистемы межсетевого экранирования «ССПТ Монитора» позволяет делегировать зоны ответственности между территориально распределенными филиалами организации оставляя функции контроля за верхним уровнем управления информационной безопасности.
Контроль работоспособности межсетевых экранов серии ССПТ.
Периодический контроль работоспособности межсетевых экранов в совокупности с средой визуализации полученной информации позволяет использовать «ССПТ Монитор» для организации ситуационного центра и значительно снизить затраты, связанные с инцидентами в подсистеме межсетевого экранирования.
Информирование администратора безопасности о возникновении инцидента.
Управление межсетевыми экранами серии ССПТ.
Единая консоль управления позволяет упростить процедуру настройки оборудования.
Единая система авторизации администраторов системы межсетевого экранирования.
Централизованная система авторизации администраторов системы межсетевого экранирования дает простой и эффективный механизм разграничения доступа, простоту администрирования.
Защищенный канал управления.
Канал управления между элементами системы мониторинга защищается с помощью сертифицированных средств, что позволяет использовать «ССПТ Монитор» в сетях с соответствующими требованиями.
Локальная и серверная версия программного обеспечения.
«ССПТ монитор» поставляется в виде программного продукта или выделенного сервера, что позволяет его использовать как в крупных распределенных, так и в локальных сетях.
Мониторинг состояния межсетевых экранов небольшой организации
Небольшие организации характеризуются тем, что не могут себе позволить содержать полноценный ситуационный центр. Все работы по внедрению, настройке, эксплуатации, реагированию на инциденты ложатся на администратора локальной вычислительной сети или администратора безопасности. В этой ситуации на первый план выходят задачи оперативного извещения соответствующих должностных лиц на возникновение сбоев в работе для минимизации времени простоя информационной системы. Использование «ССПТ Монитор» позволяет решить задачи информирования, а локальная версия этого программного продукта, снизить затраты на внедрение.
Мониторинг состояния межсетевых экранов распределенной информационной системы
Распределенная информационная система характеризуется сложностью управления, связанной с многоуровневой иерархической системой подчиненности аппарата управления. Делегирование административных прав и наблюдаемость на верхнем уровне позволяет эффективнее решать вопросы эксплуатации.
Система NetDefendOS разработана для обеспечения высокой производительности и надежной работоспособности. Система предоставляет не только расширенный набор функций, но и дает администратору возможность полного управления каждой деталью системы, что позволяет применять межсетевые экраны NetDefend в самых разнообразных ситуациях.
NetDefendOS поддерживает следующие интерфейсы управления:
Интерфейс командной строки CLI. Доступен локально через консольный порт или удаленно с помощью протокола Secure Shell (SSH), обеспечивает управление всеми параметрами в NetDefendOS.
Secure Copy. Secure Copy (SCP) – широко распространенный протокол обмена данными, используемый для передачи файлов. NetDefendOS не предоставляет определенного SCP-клиента, однако, существует широкий выбор SCP-клиентов, доступных для всех платформ рабочих станций. SCP является дополнением к CLI и обеспечивает защиту файлов, передаваемых между рабочей станцией администратора и межсетевым экраном NetDefend. Различные файлы, используемые системой NetDefendOS, могут быть скачены и загружены с помощью SCP.
Удаленный доступ . Удаленный доступ к интерфейсам управления может быть организован с помощью политики удаленного управления. Таким образом, администратор может ограничить доступ к управлению на основе: сети источника, интерфейса источника, имени пользователя и пароля. Может быть разрешен удаленный доступ к интерфейсу командной строки CLI при подключении по IPSec-туннелю.
По умолчанию, доступ к Web-интерфейсу открыт пользователям в сети при подключении через LAN-интерфейс межсетевого экрана D-Link (при наличии устройства более одного LAN-интерфейса, LAN1 является интерфейсом по умолчанию).
Управление межсетевыми экранами NetDefend через интерфейс командной строки (CLI)
Система NetDefendOS предоставляет интерфейс командной строки (CLI) администраторам, которым предпочтительнее или требуется использовать командную строку, или которым необходимо более тщательное управление системными настройками. Интерфейс командной строки (CLI) доступен как локально через консольный порт, так и удаленно через Ethernet-интерфейс с использованием протокола Secure Shell (SSH) клиента SSH.
Консольный порт – это локальный порт RS-232 (на моделях DFL-210/260/260E/800/860/1600/1660/2500/2560) и локальный порт RJ-45 через кабель RJ45-to-DB9 (для моделей DFL-260E/860E) межсетевых экранов NetDefend, обеспечивающий прямой доступ к интерфейсу командной строки NetDefendOS CLI при подключении к компьютеру или терминалу без сетевых связей.
При настройке соединения компьютер (com-порт)-межсетевой экран NetDefend (консольный порт) необходимо запустить программу эмуляции терминала VT100
Например, настройки программы Putty-клиент putty.exe выглядят следующим образом:
Наиболее часто используемые команды CLI:
- add – Добавление объекта, например, IP-адреса или правила в настройки NetDefendOS.
- set – Установка какого-либо свойства объекта в качестве значения. Например, может использоваться для настройки интерфейса источника в IP-правиле.
- show – Отображение текущих категорий или значений объекта.
- delete – Удаление определенного объекта.
Как правило, команды CLI обычно начинаются со структуры: . Например, для отображения IP-адреса объекта my_address, используется команда:
gw-world:/> show Address IP4Address my_address
Для просмотра адресов в папке InterfaceAddresses указывается следующий путь:
gw-world:/> show Address IP4Address InterfaceAddresses/my_address
Приглашение ко вводу команд " gw-world:/>" может быть другим. Например, по умолчанию в межсетевых экранах серии DFL приглашение выглядит следующим образом: в DFL-860E: DFL-860E:/>, в DFL-1660: DFL-1660:/> и т.д.
Вторая часть команды определяет тип объекта ( object_type ) и необходима для идентификации категории объекта, к которой относится имя объекта (принимая во внимание, что одно и то же имя может существовать в двух разных категориях).
Команда add может содержать свойства объекта. Для добавления нового объекта IP4Address с IP-адресом 140.168.2.8 используется команда:
gw-world:/> add IP4Address my_address Address=140.168.2.8
Типу объекта может опционально предшествовать категория объекта. Группы категорий совместно с набором типов используются с функцией tab completion. Достаточно сложно запомнить все команды и их опции. Система NetDefendOS предоставляет функцию, которая называется tab completion. Нажатие клавиши tab вызовет автоматическое завершение текущей части команды. Если завершение невозможно, нажатие клавиши tab вызовет автоматическое отображение доступных опций возможной команды.
Функция tab completion для данных. Преимущество функции tab completion заключается в отображении автоматического завершения команды или параметра данных возможными значениями. Это выполняется нажатием клавиши tab после ввода начального символа. Например, если при наборе незаконченной команды:
нажать клавишу tab, в командной строке автоматически отобразится
Если при наборе команды необходимо уточнить, например, возможности ввода значений IP-адресации, нужно ввести символ " http://www.intuit.ru/2010/edi" >
set Address IP4Address lan_ip Address=
В командной строке отобразится:
add Address IP4Address lan_ip Address= Type: IP4Address Description: IP address, e.g. "172.16.50.8", "192.168.30.7,192.168.30.11", "192.168.7.0/24" or "172.16.25.10-172.16.25.50".
Выбор категории объектов. Для некоторых категорий (например, тип IP4Address принадлежит категории Address) сначала необходимо выбрать элемент данной категории с помощью команды cc (change category – изменение категории) до того, как отдельные объекты могут быть обработаны. Это касается, например, маршрутов. Если существует более одной таблицы маршрутизации, при добавлении или управлении маршрутом, прежде всего, необходимо использовать команду cc для идентификации именно той таблицы маршрутизации, которая требуется.
Предположим, что main – таблицa маршрутизации, в которую необходимо добавить маршрут. Первой командой будет:
gw-world:/> cc RoutingTable main gw-world:/main>
Cтрока команды изменилась для указания текущей категории. Теперь можно добавить маршрут:
gw-world:/main> add Route Interface=lan Network=InterfaceAddresses/lannet
Для отмены категории используется команда cc :
gw-world:/main> cc gw-world:/>
Иногда определенным параметрам присваивается несколько значений. Например, некоторые команды используют параметр AccountingServers, и данному параметру можно назначить более одного значения, разделяя их запятой. Например, если необходимо определить три сервера server1, server2, server3, назначение параметра в команде будет следующим:
Порядок правил, определенный в списках, например, набор IP-правил, является крайне важным. С помощью команды add, используемой CLI, по умолчанию добавляется новое правило в конец списка. Если размещение на определенной позиции является критичным, команда add может включить параметр Index= в качестве опции. Вставка на первую позицию в списке определена с помощью параметра Index=1 в команде add, на вторую позицию – с помощью параметра Index=2 и т.д.
Параметры, где могут употребляться URN (Uniform Resource Names –унифицированные имена ресурсов) с CLI:
- Remote Endpoint (Удаленная конечная точка) для IPsec, L2TP и PPTP-туннелей.
- Хост для LDAP-серверов.
Если требуется выполнить поиск с помощью DNS, в системе NetDefendOS должен быть настроен хотя бы один публичный DNS-сервер для преобразования имен хостов в IP-адреса.
Поиск
Описание и назначение
Межсетевой экран или корпоративный фаервол (Enterprise Network Firewall) — это элемент корпоративной сетевой инфраструктуры, выполняющий блокировку поступающего на него трафика, пропуская только разрешенные данные.
Первые аппаратные фаерволы появились в конце 1980 года, когда возникла необходимость в запрете прохождения информации по определенным портам, чтобы защитить информационные системы от внешних угроз. Межсетевые экраны без аппаратной составляющей появились позднее.
Сетевой экран предотвращает несанкционированный доступ, который осуществляется с использованием уязвимостей в программном обеспечении или сетевых протоколах. Он выполняет пропуск или запрет трафика исходя из его сравнения с настроенными правилами. Так как современные атаки могут быть выполнены и с внутренних узлов сети, популярным местом для установки фаервола становится не только граница периметра, как было ранее, но и между сегментами корпоративной сети.
В зависимости от того, на каком уровне сетевой модели OSI работает межсетевой экран, можно выделить следующую классификацию:
- Управляемые коммутаторы. Они могут быть причислены к сетевым экранам за счет осуществления фильтрации трафика. Но в то же время из-за ограничений работы на канальном уровне коммутаторы не могут обрабатывать внешний трафик.
- Пакетные фильтры. Этот тип межсетевых экранов работает на сетевом уровне OSI и способен контролировать трафик на основе информации из заголовков пакетов.
- Шлюзы сеансового уровня. Ограничивает прямое общение внешнего хоста с узлом, находящимся внутри локальной сети, являясь посредником.
- Посредники прикладного уровня. Фаерволы, реализующие данную технологию, способны заблокировать последовательности команд или запретить использование некоторых команд.
- Инспекторы состояния. Этот тип способен контролировать как пакет, так и сессию или приложение.
При выборе межсетевого экрана нужно помнить, что на данный момент они существуют в двух видах реализации — программный и программно-аппаратный комплексы, которые также делятся на два варианта в виде отдельного модуля или специализированного устройства. Как правило, программные решения требуют оборудования с большими системными ресурсами. В то время как специализированные программно-аппаратные решения имеют достоинства в виде простоты внедрения и управления, а также хорошей отказоустойчивости.
На сегодняшний день межсетевые экраны проходят следующий этап своего развития, и на рынке информационной безопасности появились фаерволы нового поколения (NGFW). Они включают в себя функции традиционных межсетевых экранов, системы предотвращения вторжений и DPI. Такие решения позволяют выполнять не только фильтрацию пакетов на уровне портов и протоколов, а также на основе возможностей приложений.
Согласно определению ведущих аналитических агентств, фаерволы нового поколения должны гарантировать компаниям:
Panorama – это система централизованного мониторинга и управления межсетевыми экранами нового поколения (NGFW) Palo Alto Networks, которые в последнее время все больше и больше набирают популярность. В том числе мы в компании Angara Professional Assistance работаем с этим продуктом достаточно часто. В 2019 году аналитическое агентство Gartner 8 раз признало их лидерами в своем Magic Quadrant. С помощью Panorama мы можем агрегировать и хранить логи со всех межсетевых экранов, строить отчеты, управлять настройками (используя гибкое разграничение доступов), лицензиями, обновлениями и даже следить за состоянием аппаратного обеспечения.
Но давайте по порядку.
Panorama поставляется в качестве ПАК или виртуального апплайнса. Виртуальный апплайнс имеет такой же функционал, как у ПАК. Виртуальный апплайнс можно развернуть на VMware ESXi, Google Cloud Platform, Amazon Web Services, Microsoft Azure. Лицензирование на всех платформах одинаковое. Panorama поддерживает работу в кластере.
Panorama может работать в трех режимах (на самом деле, в четырех, но последний сильно устарел и не рекомендован к новым установкам):
- Panorama Mode – режим работы по умолчанию. В данном режиме устройство может как управлять другими межсетевыми экранами, так и собирать с них логи.
- Log Collector Mode – в данном режиме Panorama только собирает логи с соответствующих межсетевых экранов.
- Management Only Mode – говорит сам за себя. Panorama только управляет устройствами.
Давайте рассмотрим наиболее популярную архитектуру и режим работы Panorama Mode. Данный режим используется по умолчанию, поэтому дополнительных действий по его активации не требуется.
После регистрации устройства на Support Portal подключаемся к Panorama через MGT-интерфейс на IP 192.168.1.252, admin/admin. Если мы используем виртуальный апплайнс, то необходимо задать первоначальные настройки через командную строку:
Начальный интерфейс очень схож с тем, который вы увидите на межсетевом экране.
Полный интерфейс будет доступен после конфигурации разделов Template и Device Group, но об этом немного позже.
Лицензирование
Если мы используем виртуальное устройство, то необходимо сгенерировать для него серийный номер на Palo Alto Network Customer Support Portal, после чего ввести его в разделе Panorama > Setup > Management > General Settings . Затем необходимо подгрузить лицензию в разделе Panorama > Licenses > License Management .
Добавление межсетевых экранов в Panorama
Итак, давайте перейдем к функционалу, ради которого это решение и создавалось, а именно, к добавлению межсетевых экранов для последующего управления.
Происходит это в три шага:
- Настройка на межсетевом экране адреса сервера Panorama.
- Добавление серийного номера межсетевого экрана в Panorama.
- Сохранение всех настроек через Commit.
На Panorama переходим в раздел Panorama > Managed Devices > Summary .
Нажимаем на кнопку Add и добавляем серийный номер межсетевого экрана.
Применяем все настройки на межсетевом экране и Panorama.
После чего в этом же меню Panorama > Managed Devices > Summary мы увидим, что статус устройства стал «Connected», а также появилась информация по серийному номеру, IP-адресу, модели, версии баз сигнатур и прочая информация.
Существуют нюансы, когда Вам, например, необходимо добавить уже давно используемый межсетевой экран, перенеся все существующие политики и настройки под управление Panorama. Или когда Вам надо перенести сотни межсетевых экранов и автоматизировать данный процесс. Затрагивать каждый нюанс на данном этапе мы не будем, можно лишь сказать, что процесс – совсем нетрудный.
Поиск проблем
Теперь давайте на верхнем уровне рассмотрим вопросы отладки.
Стоит почаще проверять раздел Device Summary. Там можно найти информацию о состоянии устройств, подключенных к Panorama. Например, мы можем увидеть следующую ситуацию:
В данном случае мы видим, что конфигурация межсетевого экрана рассинхронизировалась с Panorama из-за того, что произошла ошибка «commit failed». Информацию о причинах данной ошибки можно посмотреть, кликнув на красную ссылку commit failed.
В меню Panorama > Managed Devices > Health можно получить информацию о состоянии устройств: пропускной способности, количестве новых сессий в секунду, общем количестве сессий, загрузке процессора на Data Plane и Management Plane, использовании памяти, количестве логов в секунду, состоянии вентиляторов и блоков питания. Также всю данную информацию можно посмотреть в виде графиков.
Раз уж мы упомянули про ресурсы и отладку, в рамках данной статьи упомянем замечательный плагин для браузера Chrome под названием Pan(w)achrome. Включается он после ввода учетных данных в веб-интерфейсе межсетевого экрана. В плагине можно посмотреть общую информацию о состоянии устройства и получить не только более детальную информацию по загрузке ресурсов, чем мы увидим на Panorama, но и даже посмотреть статистику по тем или иным счетчикам (counters) (полный список не поместился в скриншот):
Конечно, данную информацию в куда более развернутом виде и с описанием счетчиков можно узнать через CLI устройства, однако, это отдельная тема для другой статьи, посвященной отладке. Данный же плагин позволит наглядно в графическом формате оценить, что происходит с тем или иным устройством. И для 70% возникающих проблем этого может быть вполне достаточно.
Что ж, вернемся обратно к «земным» проблемам. И одна из наиболее частых проблем связана с подключением Panorama к межсетевым экранам. Для этого нам необходимо проверить доступность следующих портов:
- 3978 – связь Panorama с межсетевыми экранами и Log Collectors;
- 28443 – обновление софта с Panorama на подчиненные устройства;
- 28 – коммуникация между HA-нодами Panorama (зашифрованная);
- 28260, 28769 – коммуникация между HA-нодами Panorama (незашифрованная).
Читайте также: