Обзор Платформы Usergate

Всем привет! Продолжаем серию статей, посвященных теме комплексной ИТ-интеграции.

И сегодня мы хотим рассказать об одной из отечественных разработок, которую мы, как интеграторы, можем предложить нашим заказчикам для решения задачи обеспечения безопасности периметра сети.

Это особенно актуально в контексте отраслевой политики и требований импортозамещения.

Введение санкций стало испытанием, в том числе для инженеров, получивших сертификацию, огромную базу знаний по решениям зарубежных вендоров, но в какой-то момент вынужденных быстро адаптироваться к «новой волне», по сути начав многое заново.

Отечественным разработчикам также пришлось выйти на новый уровень, чтобы быстро предложить достойную альтернативу лидерам ИТ-решений.

Сейчас уже можно сказать, что дела у них идут неплохо.

Перейдем к конкретному примеру, а именно к межсетевому экрану UserGate. Кратко рассмотрим, какие задачи она позволяет решать и какой потенциал развития в ней заложен.

Итак, давайте поговорим о том, что предлагает UserGate с точки зрения функциональности и в каких сферах его можно использовать.

Рисунок 1 – Функциональность межсетевых экранов UserGate



Рисунок 2 – Области применения межсетевых экранов UserGate Разработчики уделили большое внимание созданию собственной платформы, не опирающейся на использование чужого исходного кода и сторонних модулей.

UserGate работает на базе специально созданной, постоянно поддерживаемой и развивающейся операционной системы UG OS. По сути, UserGate — это универсальный интернет-шлюз класса Unified Threat Management (унифицированная защита от угроз), сочетающий в себе функционал межсетевого экрана, маршрутизатора, антивирусного шлюза, системы обнаружения и предотвращения вторжений (IDS), VPN-сервера, системы фильтрации контента, мониторинга.

модуль и статистика и многое другое.

Продукт позволяет управлять сетью вашей компании, оптимизировать используемый ею трафик и эффективно предотвращать интернет-угрозы.

Давайте подробнее рассмотрим, что может предложить UserGate с точки зрения функций сетевой безопасности и защиты от сетевых угроз.

Брандмауэр

Обнаружение и предотвращение вторжений

Основной задачей системы является обнаружение, регистрация и предотвращение угроз в режиме реального времени, а также предоставление отчетов.

Администратор может создавать различные профили ИТС (наборы сигнатур, отвечающих за защиту определенных сервисов) и определять правила ИТС, определяющие действия для выбранного типа трафика, который будет сканироваться модулем ИТС в соответствии с назначенными профилями.

Антивирусная проверка трафика

По словам производителя, модуль использует обширную базу сигнатур, которая постоянно обновляется.

В качестве дополнительной защиты можно подключить модуль эвристического анализа.

Проверка почтового трафика

UserGate также предоставляет возможность гибко настраивать фильтрацию почтового трафика по группам пользователей.

Работа с внешними системами безопасности.

Администратор может указать, какой трафик необходимо отправлять по ICAP, а также настроить работу с фермами серверов.

Управление системой управления технологическими процессами

Администратор может контролировать трафик, настраивая правила обнаружения, блокировки и регистрации событий.

Это позволяет автоматизировать основные операции технологического процесса, сохраняя при этом возможность контроля человека и вмешательства в случае необходимости.

Настройка политик безопасности с помощью сценариев

Эта концепция находится на пике популярности и позволяет администратору создавать сценарии (запускаемые по плану или при обнаружении атаки), где прописываются автоматические действия в ответ на определенные события.

Такой подход обеспечивает гибкую настройку политик безопасности, снижает участие человека за счет автоматизации повторяющихся задач, а также дает возможность расставлять приоритеты сценариев для быстрого реагирования на критические угрозы.

Теперь посмотрим, какие технологии предлагает UserGate для решения задач отказоустойчивости и надежности.

Поддержка кластеризации и отказоустойчивости

Кластер отказоустойчивости может работать в двух режимах: Активный-Активный и Активный-Пассивный.

Оба поддерживают синхронизацию пользовательских сессий, что обеспечивает прозрачное переключение трафика с одного узла на другой для пользователей.

FTP через HTTP

Поддержка нескольких провайдеров

Управление пропускной способностью

Помимо прочего, продукты UserGate реализуют достаточно широкий функционал по маршрутизации трафика и публикации локальных ресурсов.

UserGate позволяет использовать как статическую, так и динамическую маршрутизацию.

Динамическая маршрутизация осуществляется с использованием протоколов OSPF и BGP, что позволяет использовать UserGate в сложной маршрутизируемой сети предприятия.

Администратор может создавать в системе правила NAT (для предоставления пользователям доступа в Интернет), а также правила безопасной публикации внутренних ресурсов в Интернете с использованием обратного прокси для HTTP/HTTPS и DNAT для других протоколов.

В принципе, ничего инновационного, но чтобы инженеры заказчика чувствовали себя относительно спокойно, этих технологий вполне достаточно.

Управление трафиком и контроль доступа в Интернет

Еще не так давно большинство корпоративных клиентов интересовали прежде всего минимизация затрат на доступ в Интернет (особенно для небольших компаний) и безопасность (эту задачу уже давно успешно решают всевозможные антивирусные программы).

Сегодня все больше внимания уделяется тому, как сотрудники используют Сеть и как обеспечить, чтобы их действия не угрожали безопасности критически важных для бизнеса сервисов.

Использование модуля интернет-фильтрации обеспечивает административный контроль за использованием сети Интернет и блокировку посещения потенциально опасных ресурсов, а также, при необходимости, сайтов, не связанных с работой.

Для анализа безопасности запрашиваемых пользователями ресурсов используются репутационные сервисы, MIME-типы контента (фото, видео, тексты и т. д.), специальные морфологические словари, предоставляемые UserGate, а также черные и белые списки URL-адресов.

С помощью Useragent администратор может заблокировать или разрешить работу с определенным типом браузера.

UserGate предоставляет возможность создавать собственные черные и белые списки, словари MIME-типов, морфологические словари и Useragent, применяя их к пользователям и группам пользователей.

Даже защищенные сайты могут содержать на баннерах нежелательные изображения, содержание которых не зависит от владельца ресурса.

UserGate решает эту проблему, блокируя баннеры, защищая пользователей от негативного контента.

UserGate имеет, на наш взгляд, очень интересную функцию внедрения кода в веб-страницы.

Он позволяет вставлять необходимый код во все веб-страницы, которые просматривает пользователь.

Далее администратор может получать различные метрики для каждого элемента страницы и при необходимости скрывать различные элементы от отображения на веб-страницах.

С помощью технологии MITM (Man In The Middle) можно фильтровать не только обычный, но и зашифрованный трафик (протоколы HTTPS, SMTPS, POP3S), подписываясь доверенным корневым сертификатом при шифровании после анализа.

Система позволяет настроить выборочную проверку трафика, например, не расшифровывая ресурсы категории «Финансы».

UserGate помогает принудительно активировать функцию безопасного поиска для Google, Yandex, Yahoo, Bing, Rambler, Ask и портала YouTube. С помощью такой защиты можно добиться высокой эффективности, например, при фильтрации ответов на запросы графического или видеоконтента.

Вы также можете заблокировать поисковые системы, которые не поддерживают безопасный поиск.

Кроме того, у администраторов есть инструменты для блокировки игр и приложений в самых популярных социальных сетях, при этом доступ к самим соцсетям может быть разрешен.

Платформа поддерживает различные механизмы авторизации пользователей: Captive portal, Kerberos, NTLM, при этом учетные записи могут поступать из разных источников — LDAP, Active Directory, FreeIPA, TACACS+, Radius, SAML IDP. Авторизация SAML IDP, Kerberos или NTLM позволяет прозрачно (без запроса имени пользователя и пароля) подключать пользователей домена Active Directory. Администратор может настроить правила безопасности, ширину канала, правила брандмауэра, фильтрацию контента и правила контроля приложений для отдельных пользователей, групп пользователей, а также всех известных или неизвестных пользователей.

Кроме того, продукт поддерживает применение правил безопасности к пользователям служб терминалов с помощью специальных агентов (Terminal Services Agents), а также использование агента авторизации для платформ Windows. Чтобы обеспечить большую безопасность учетной записи, можно использовать многофакторную аутентификацию с использованием токенов TOTP (алгоритм одноразового пароля на основе времени), SMS или электронной почты.

Функционал предоставления временного доступа к сети может быть полезен для гостевого WiFi с подтверждением по электронной почте или SMS. Однако администраторы могут создать отдельные настройки безопасности для каждого временного клиента.

Заключение

• Пришло Время Отслеживать, Как Вы Проводите Свое Время

  19 Oct, 24

• Все О Картриджах Phillips.

  19 Oct, 24

• Предложения Недели: Новости Российского Венчурного Рынка С 16 По 23 Мая

  19 Oct, 24

• Европейская Сеть Магазинов Фиксированных Цен Euroshop Выйдет На Российский Рынок

  19 Oct, 24

• Полная Разборка Apple Macintosh 128K

  19 Oct, 24

• Программное Обеспечение Ip-Pbx, E1, Dss-1 И Нагрузочное Тестирование

  19 Oct, 24

• Самое Большое В Мире Математическое Доказательство Весит 200 Тб

  19 Oct, 24

• Gsm Сигнализация На Окна И Двери

  19 Oct, 24

• Спам И Ася

  19 Oct, 24

• Apple Прекратила Выпуск Одного Из Своих Мониторов

  19 Oct, 24