Журнал "Information Security/ Информационная безопасность" #6, 2023

а также информации о соединениях пользователей, которые подключаются к ИКС через собственную разработку – утилиту Xauth. Защита веб-ресурсов осуществляется подсистемой Web Application Firewall (WAF), которая анализирует и, если тре- буется, блокирует HTTP-/HTTPS-трафик от установленных веб-приложений, а также предотвращает атаки, которые основаны на недостатках защиты веб- приложений (SQL-инъекции, межсайто- вый скриптинг XSS). В ИКС реализована защита сервисов от брутфорс-атак, пере- бора паролей и многократного под- ключения к сервисам. Потоковое антивирусное сканирование осуществляется антивирусом ClamAV или дополнительным модулем "Антиви- рус Касперского" и отвечает за проверку почтовых писем, а также HTTP- и HTTPS- трафика при соответствующих настрой- ках почтового и прокси-сервера на ИКС. Расширенная контентная фильтрация Контентная фильтрация играет ключе- вую роль в NGFW-решениях. Ее важность обусловлена необходимостью эффектив- ной защиты от угроз, связанных с кон- тентом, который проходит через сеть организации. Контентная фильтрация бло- кирует вредоносные электронные письма, спам и попытки фишинга, ограничивает доступ к сайтам с неподходящим или нежелательным контентом, а также помо- гает управлять пропускной способностью, предотвращая нецелевое потребление ресурсов на скачивание больших файлов или просмотр стримингового видео. В ИКС модуль контентной фильтрации регулярно пополняется списками Мин- юста, а собственные категории трафика Garnet определяют категории сайта на основе анализа текстового содержимого при помощи алгоритмов машинного обучения. Нейросеть в модуле контент- ной фильтрации непрерывно обучается и регулярно обновляет категории, ана- лизируя содержание каждого сайта, на который идет запрос от пользователей. Даже в случае смены IP-адреса неже- лательный веб-ресурс будет заблокиро- ван исходя из содержащегося в нем контента и наличия слов-маркеров. Запросы пользователей к поисковым системам проверяются модулем кон- тентной фильтрации еще до отображе- ния в поисковой выдаче. При этом реализована возможность для создания своих категорий для бло- кировки по адресам, ключевым словам, MIME-типу, расширению. Проверка HTTPS-трафика проводится либо через SSL-бампинг с подменой сертификата и полной расшифровкой трафика, либо через SNI при работе без подмены сертификата. Управление доступом и отчетность Авторизация пользователей ИКС про- водится по IP- и MAC-адресам, протоко- лам Kerberos/LDAP и NTLM, Captive Portal или через утилиту Xauth. Возможна также синхронизация и авторизация пользова- телей и почтовых ящиков через Active Directory и LDAP-серверы (поддерживают- ся FreeIPA, ALD Pro и Samba DC). ИКС может блокировать доступ к Интернету со стороны неавторизованных устройств. Встроенный модуль формирования отчетов для руководителей и систем- ных администраторов для оценки сте- пени использования ресурсов Интер- нета сотрудниками позволяет форми- ровать стандартные отчеты и создавать собственные по индивидуальной настройке. Удаленные подключения ИКС предоставляет возможность для удаленного подключения офисов и филиалов. Подключение VPN типа Site-to-site проводится по протоколам OpenVPN, WireGuard, IPSec, GRE, GRE over IPSec, IPIP, IPIP over IPSec. Реализована и возможность удален- ного VPN-подключения сотрудников по протоколам PPTP, L2TP/IPSec, PPPoE, OpenVPN, SSTP, WireGuard, причем аутентификация для VPN поддерживает двухфакторную аутентификацию через Telegram. ИКС может проводить балансировку трафика между несколькими интернет- каналами и управлять полосой пропус- кания, например присваивая одному виду трафика более высокий приоритет над другим. Почтовый сервер и корпоративные коммуникации В ИКС реализован полноценный поч- товый сервер с возможностью работы в роли входящего или исходящего SMTP-релея. Сервер поддерживает фильтрацию, черные и белые списки почтовых адресов, сборщиков почты и передачу писем по зашифрованному каналу SSL/TLS. Реализована также поддержка Greylisting (серые списки). Поддерживаются как обычные прото- колы IMAP, POP3, SMTP, так и их шиф- рованные версии POP3S, IMAPS, STARTTLS. Все протоколы используются с максимально криптостойкими алго- ритмами шифрования. В качестве почтового веб-клиента можно использовать встроенный RoundCube. В почтовый сервер встроены бесплат- ные антиспам-модули SpamAssasin и Rspamd, а дополнительно может быть установлен "Антиспам Касперского" для защиты от спама и DoS-атак. Про- верка спам-фильтром соответствия SPF- записи и DKIM-подписи. Полноценная виртуальная IP-АТС для организации звонков, видеоконферен- ций, факса и голосовой почты со встроенным веб-софтфоном Xphone. Jabber-сервер выполняет передачу сообщений и файлов в режиме реаль- ного времени для организации корпора- тивного чата с поддержкой защищенного SSL-соединения. Управление и мониторинг При первоначальной настройке используется консольный интерфейс для входа в систему, а все дальнейшее управление сервером осуществляется через веб-интерфейс или SSH. Более того, реализована возможность управ- ления ИКС удаленно при помощи команд в Telegram-бот. Из двух инсталляций ИКС может быть организован кластер отказоустойчивости в режиме Active-Passive. О нештатных ситуациях ИКС уведомляет через почту, Jabber или Telegram-бот. Есть возможность подключения Zabbix-агента для сбора данных об использовании CPU, памяти, диска и сетевых интерфейсов. Заключение Замена иностранных ИБ-решений на российские – это долгосрочный процесс, который поддерживается осознанным стремлением компаний к переходу на отечественные программные продукты. При этом важно, чтобы функциональные возможности и эффективность рабо- тающих программ не уступали зарубеж- ным аналогам. Команда ИКС старается облегчить миграцию с иностранных NGFW за счет бесплатной технической поддержки с первого дня тестирования, вариативно- сти поставки, а также программы ком- фортной миграции с зарубежного ПО. Практический опыт использования ИКС включает успешные внедрения на промышленных предприятиях, в офис- ных сетях, медицинских организациях, в компаниях с филиальной структурой и в образовательных учреждениях. Сервис "Демо Онлайн" позволяет оце- нить интерфейс ИКС без установки, в режиме реального времени. Доступ пре- доставляется по запросу: hello@a-real.ru Скачать ИКС для пилотирования в реальной инфраструктуре можно с офи- циального сайта 1 . В течение 35 дней после загрузки дистрибутива действует бесплат- ный тестовый период с приоритетной тех- нической поддержкой. Возможно прове- дение индивидуальной презентации с демонстрацией возможностей ИКС. l • 27 NGFW www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ "А-РЕАЛ КОНСАЛТИНГ" см. стр. 70 NM Реклама 1 https://xserver.a-real.ru/download/?utm_source=itsec&utm_medi- um=NGFW