Журнал "Information Security/ Информационная безопасность" #6, 2025

контроль DNS/DoH/QUIС, включая рас- шифровку TLS и анализ содержимого зашифрованного трафика. Важно пра- вильно настроить эти функции. Михаил Кадер Если мы говорим про МСЭ, то все сказанное скорее верно. А вот если мы говорим про ММЭ, то ситуация ради- кально меняется. Тут подключаются и движки промежуточной расшифровки HTTPS-трафика, и сигнатурный анализ трафика, и данные аналитики угроз. Поэтому ММЭ весьма неплохо справ- ляются с задачей контроля туннельных соединений. Алексей Плешков Туннелирование, как технология обхо- да сетевых фильтров и ограничений, и трафик в построенном туннеле не появляются сами по себе. Кто-то с умыс- лом должен спроектировать и создать ПО для обхода установленных сетевых правил. Кто-то изнутри должен устано- вить на своем устройстве программный агент, настроить ответную часть туннеля, диагностировать существующие во внут- ренней сети ограничения. То есть про- блема шире, чем просто уязвимость в алгоритме работы конкретного меж- сетевого экрана. И решаться она должна не только на периметре сети. Алексей Карабась Уже нет. Главная проблема анализа- торов – отсутствие сигнатур, а в послед- нее время именно сфера оперативного создания сигнатурных баз очень сильно продвинулась. Сформированы сильные продуктовые команды молодых специа- листов, которые постоянно ведут анализ и выявление характерных паттернов и меток для идентификации даже маски- рованного туннелированного трафика. Миф № 3. Stateful Inspection и модель OSI "Технология Stateful Inspection в меж- сетевых экранах – это не только про состояние соединения TCP, UDP или ICMP. Это еще и про состояние других более сложных протоколов и приложе- ний: FTP, SIP, RPC, SMTP, SMB и так далее." Так далее – куда? Модель OSI не безгранична. Но, возможно, вы согласны с данным заявлением отдела маркетинга одного из российских вен- доров? Наталья Онищенко А что, отечественный межсетевой экран с SIP- инспекцией уже сдела- ли? Если серьезно – модель OSI необходима и достаточна. NGFW, конечно, тот еще космо- лет, но чего-то космического от него не требуется. Денис Батранков Не согласен. Stateful Inspection хранит только состояние для протоколов TCP, UDP и ICMP. Для уровня приложений уже нужно реализовать отдельные моду- ли Application Layer Gateway (ALG), либо полноценный DPI-движок анализа L7- приложений. Алексей Карабась Stateful Inspection – это вообще не про модель OSI и протоколы с прило- жениями, а про выявление аномалий и последующий алгоритм действий, согласно состоянию сессии относи- тельно внутренней таблицы состоя- ний. А вся эта инфраструктура сессий для сотен протоколов и тысяч прило- жений, как и пятьдесят лет назад, работает на L3–L4 модели OSI, где эти состояния определяются конкрет- ными IEEE. Алексей Плешков Stateful inspection – это история не про ограниченность и рамки модели OSI, а про возможность управления соеди- нениями на основе анализа большого числа технических метрик и параметров. Эта же особенность определяет и алго- ритм реагирования на все другие (нети- повые, неизвестные) протоколы и тех- нологии. Но я бы не применял к ним, как к представителям различных уровней модели OSI, такой оценочный марке- тинговый термин, как более или менее сложные. В конце концов, они все опи- саны в RFC. Михаил Кадер Давайте опять вспомним, что техно- логия существует более 30 лет, и, фак- тически, с рождения применялась для контроля соединений конкретных сете- вых приложений, в том числе с анализом содержимого этих приложений и правил трансляции сетевых адресов. Другое дело, что сейчас большинство приложе- ний состоит из множества микроприло- жений (сервисов), да еще и работающих поверх HTTP/HTTPS. Так что модель OSI никак не ограничивает доступное количество приложений. И старые мето- ды анализа, разработанные для базовых интернет-приложений, уже не являются достаточными. Собственно, поэтому и появились ММЭ. Миф № 4. Эффективность только при полной идентификации "Любой межсетевой экран способен анализировать только тот трафик, кото- рый он может четко идентифицировать и интерпретировать. Если МСЭ не рас- познает тип трафика, то он теряет свою эффективность, поскольку не может принять обоснованное решение по действиям в отношении такого тра- фика". Согласны ли вы с данным замечанием? Алексей Плешков Если развернутый у вас на периметре межсетевой экран не пропускает или отбрасывает определенный тип трафика, который нужен и важен для вашего биз- неса, то существует больше одной веро- ятной причины, а также больше одного возможного технического решения. И совершенно необязательно в этом случае менять свой МЭ. Начните с кон- сультации с технической поддержкой производителя внедренного у вас NGFW. Михаил Кадер Не согласен, это утверждение из про- шлой жизни. Не с точки зрения техноло- гий, а с точки зрения современного под- хода к управлению политиками безопас- ности. Давно прошли те времена, когда политика была "запретим все плохое". Сейчас я бы настоятельно рекомендовал модель "разрешим то, что точно необхо- димо". И тогда ситуация, приведенная в вопросе, будет скорее умозрительной, чем реальной. Если же трафик действи- тельно необходим для работы, то он может быть описан соответствующими атрибутами, и тогда могут быть реали- зованы необходимые политики безопас- ности на ММЭ. Алексей Карабась Да, согласен. Поэтому для АСУ ТП- сегмента в какой-то момент появился свой отдельный парк решений. Дмитрий Лебедев Изначально основной отличительной особен- ностью NGFW от стан- дартных межсетевых экранов, была техноло- гия DPI. Она позволяет идентифицировать при- ложения, которые используются в сети, и далее на основании этого принять решение: пропустить трафик или забло- кировать. Современные решения умеют распознавать многие сотни приложений и прикладных протоколов. Денис Батранков Да, согласен. Если ты не умеешь иден- тифицировать, например, трафик 1С, то сложно разобраться и в атаках на 1C. Наталья Онищенко Ни одно решение не является идеаль- ным, иначе все остальные были бы про- сто не нужны, – и зачем тогда вся эта эшелонированная защита. Но это совер- шенно не означает, что их не надо при- менять. Миф № 5. NGFW отменяет ведение сетевой схемы Согласны ли вы с тем, что "после внедрения и корректной настройки меж- сетевого экрана класса NGFW потреб- ность в ручном ведении и актуализации • 45 NGFW И ЗАЩИТА ПЕРИМЕТРА www.itsec.ru