- Введение
- Авторизация пользователей ssl vpn портала по сертификату
- Информационная безопасность: защита персональных данных и объектов кии, аудит иб, импортозамещение
- Модельный ряд
- Наши партнеры и интеграторы
- Обнаружение и предотвращение вторжений
- Производительность
- Размер организации
- Размеры
- Спецификация оборудования
- Срок действия сертификатов
- Управление асу тп
- Управление сертификатами
- Управление трафиком и контроль доступа в интернет
- Установка лицензии
- Электропитание
- Заключение
Введение
В августе 2021 года вступили в силу новые санкции США против Российской Федерации. Эксперты прогнозируют, что новые ограничения затронут американских производителей сетевого оборудования и средств защиты информации, которые передают иностранным регуляторам исходный код своих продуктов для анализа.
В связи с нестабильной внешнеполитической обстановкой очень важно развивать отечественный рынок информационных технологий, увеличивая импортозамещение и долю российских продуктов в каждом сегменте рынка информационной безопасности. В сетевой безопасности до недавнего времени выбор российских продуктов и их зрелость оставляли желать лучшего, но ситуация постепенно меняется в лучшую сторону.
Авторизация пользователей ssl vpn портала по сертификату
Дополнительно к авторизации пользователей SSL VPN портала по логину и паролю существует возможность настроить “прозрачную” авторизацию этих пользователей по SSL сертификату.
Для этого, в дополнение к базовой настройке SSL VPN портала, необходимо проделать следующие шаги:
1. Для каждого пользователя выпустить SSL сертификат, в котором указаны следующие параметры применения ключа – Digital Signature, Key Encipherment и Data Encipherment.
Если для выпуска сертификата используется приложение XCA, достаточно выбрать в нём и применить шаблон HTTPS_client.
Удостоверяющий центр, которым подписан сертификат пользователя не имеет значения.
В том числе работают и самоподписанные сертификаты.
2. Импортировать в браузер каждого пользователя, выписанный для него сертификат вместе с закрытым ключём (обычно, формат файла .p12).
3. Импортировать в UserGate сертификаты всех пользователей (без закрытого ключа, обычно, формат файла .cer).
Для каждого импортированного ключа установить тип использования Пользовательский сертификат и указать ассоциированного с сертификатом пользователя (возможно указывать как локальных пользователей, так и пользователей из LDAP).
4. В настройках SSL VPN портала произвести следующие изменения:
– поставить галочку напротив настройки Авторизация пользователя по сертификату;
– убедиться, что Имя хоста SSL VPN портала указано в виде FQDN, а не IP адреса;
– использовать для самого SSL VPN портала сертификат “Автоматически”, либо любой другой, зарегистрированный на UserGate и имеющий базовый тип использования Центр Сертификации.
Информационная безопасность: защита персональных данных и объектов кии, аудит иб, импортозамещение
Межсетевой экран нового поколения
Системы обнаружения вторжений (IDS/IPS)
Advanced Threat Protection (Опция)
Потоковый антивирус (Опция)
Доступ к внутренним ресурсам через SSL VPN Portal
Интернет-шлюз для контроля доступа в интернет
Анализ и выгрузка информации об инцидентах безопасности (SIEM)
Обратный прокси (Reverse proxy)
Автоматизация реакции на угрозы безопасности информации (SOAR)
Контроль Приложений L7
Антивирус с эвристическим анализом (Опция)
Защита почты (Mail Security)(Опция)
Контроль доступа в интернет
Дешифрование SSL
Гостевой портал
Идентификация пользователей
Виртуальная частная сеть (VPN)
Удаленное администрирование
Безопасная публикация внутренних ресурсов и сервисов
Поддержка концепции BYOD (Bring Your Own Device)
Поддержка высокой отказоустойчивости и кластеризации
Поддержка АСУ ТП (SCADA)
Модельный ряд
Для организаций, которые предпочитают использовать виртуальную инфраструктуру. Usergate ve50, ve100,ve200, ve500
UserGate Log Analyzer может быть развернут на виртуальной инфраструктуре заказчика. При этом поддерживается работа с любыми гипервизорами, такими как VMware, Hyper-V, Xen, KVM, OpensStack, VirtualBox. Функциональность виртуального решения полностью эквивалентна той, что предоставляется аппаратной комплексами UserGate Log Analyzer.
| Cпецификация | VE50 | VE100 | VE200 | VE500 |
| Объем хранилища, Тбайт | 8 | 8 | 16 | 32 |
| Количество пользователей | 50 | 100 | 200 | 500 |
Наши партнеры и интеграторы
Мы сотрудничаем со многими компаниями, занимающимися информационной безопасностью, от реселлеров до интеграторов в России, постсоветских странах и зарубежом.
Найти интегратораНайти партнераНайти MSSP-партнера
Обнаружение и предотвращение вторжений
Система обнаружения и предотвращения вторжений (СОВ) позволяет распознавать вредоносную активность внутри сети. Основной задачей системы является обнаружение, протоколирование и предотвращение угроз в режиме реального времени, а также предоставление отчетов.
Администратор может создавать различные СОВ-профили (наборы сигнатур, релевантных для защиты определенных сервисов) и задавать правила СОВ, определяющие действия для выбранного типа трафика, который будет проверяться модулем СОВ в соответствии с назначенными профилями.
Производительность
Пропускная способность межсетевого экрана, UDP: до 18 Гб/c
Межсетевой экран, трафик EMIX: до 18 Гб/c
Межсетевой экран c функцией определения приложений L7, трафик EMIX: до 15 Гб/c
Одновременных TCP сессий: до 8 000 000
Новых сессий в секунду до 50 000
Система обнаружения вторжений, трафик EMIX: до 1,8 Гб/с
Контентная фильтрация, трафик EMIX: до 8,7 Гб/c
Инспектирование SSL, трафик EMIX: до 4 Гб/c
Контентная фильтрация, антивирус, трафик EMIX*: до 7,9 Гб/c
Межсетевой экран c функцией определения приложений L7, СОВ, контентная фильтрация, трафик EMIX:до 1,8 Гб/c
Размер организации
Рекомендованное количество пользователей**: до 300
Размеры
Габариты: 1U 438 x 321 x 44 мм
Вес: 7.5 кг
Крепление в стойку: Кронштейны
Спецификация оборудования
Портов 10/100/1000Base-T: 5 встроено, 2 SFP 1 Gbps, 8 с использованием плат расширений
Портов 10GBase-F SFP : 4 с использованием плат расширений
Плат расширений: 1
Управление по IPMI: есть
Процессор, количество ядер: 8
Память: 16 Гбайт
Диск: 1х1000 Гбайт
Срок действия сертификатов
Сертификаты действительны в течение одного года. По истечении срока действия сертификат может быть либо продлен автоматически, либо – в случае существенных изменений в схеме лицензирования и/или функциональности продукта – может потребоваться повторное прохождение теста.
Управление асу тп
В новой версии платформы появилась возможность настройки автоматизированной системы управления технологическим производством (АСУ ТП) и управления ей. Администратор может контролировать трафик, настроив правила обнаружения, блокировки и журналирования событий.
Управление сертификатами
UserGate использует защищенный протокол HTTPS для управления устройством, может перехватывать и дешифровать транзитный трафик пользователей, передаваемый по протоколу SSL (HTTPS, SMTPS, POP3S), а также может производить авторизацию администраторов в веб-консоль на основе их сертификатов.
Для выполнения данных функций UserGate использует различные типы сертификатов:
Наименование | Описание |
SSL веб-консоли | Используется для создания безопасного HTTPS-подключения администратора к веб-консоли UserGate |
SSL Captive-портала | Используется для создания безопасного HTTPS-подключения пользователей к странице авторизации Captive-портала, для отображения страницы блокировки, для отображения страницы Logout Captive-портала и для работы ftp-прокси. Этот сертификат должен быть выпущен со следующими параметрами: *Subject name – значение установленное для домена Домен Auth captive-портала, определенного на странице Настройки *Alternative names – необходимо указать все домены, для которых используется данный сертификат, как они заданы на странице Настройки: По умолчанию используется подписанный с помощью сертификата инспектирование SSLсертификат, выпущенный для домена auth.captive, со следующими параметрами: Если администратор не загрузил свой собственный сертификат для обслуживания этой роли, то UserGate самостоятельно в автоматическом режиме перевыпускает данный сертификат при изменении администратором одного из доменов на странице Настройки (домены для auth.captive, logout.captive, block.captive, ftpclient.captive, sslvpn.captive) |
Инспектирование SSL | Сертификат класса удостоверяющего центра. Он используется для генерации SSL-сертификатов для интернет-хостов, для которых производится перехват HTTPS, SMTPS, POP3S трафика. Например, при перехвате HTTPS-трафика сайта yahoo.com оригинальный сертификат, выданный Данный сертификат также используется для создания сертификата по умолчанию для роли SSL Captive-портала |
SSL инспектирование(промежуточный) | Промежуточный сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата |
SSL инспектирование(корневой) | Корневой сертификат в цепочке удостоверяющих центров, которая использовалась для выдачи сертификата для инспектирования SSL. Для корректной работы необходим только публичный ключ сертификата |
Пользовательский сертификат | Сертификат, который назначается пользователю UserGate. Пользователь может быть, как заведен локально, так и получен из LDAP. Сертификат может быть использован для авторизации пользователей при их доступе к опубликованным ресурсам с помощью правил reverse-прокси |
УЦ авторизации веб-консоли | Удостоверяющий центр авторизации администраторов для доступа к веб-консоли. Для успешной авторизации сертификат администратора должен быть подписан сертификатом этого типа |
SAML server | Используется для работы UserGate с сервером SSO SAML IDP. Подробно о настройке работы UserGate с сервером авторизации SAML IDP смотрите в соответствующем разделе руководства |
Веб-портал | Сертификат, используемый для веб-портала. Если данный сертификат не указан явно, то UserGate использует сертификат SSL Captive-портала, выпущенный сертификатом для инспектирования SSL. Подробно о настройке веб-портала смотрите в соответствующем разделе руководства |
Сертификатов для SSL веб-консоли, SSL Captive-портала и сертификатов SSL-инспектирования может быть несколько, но только один сертификат каждого типа может быть активным и использоваться для выполнения своих задач. Сертификатов типа УЦ авторизации веб-консоли может быть несколько, и каждый из них может быть использован для проверки подлинности сертификатов администраторов.
UserGate поставляется с набором следующих сертификатов:
Для того чтобы создать новый сертификат, необходимо выполнить следующие действия:
Наименование | Описание |
Шаг 1. Создать сертификат | Нажать на кнопку Создать в разделе Сертификаты |
Шаг 2. Заполнить необходимые поля | Указать значения следующих полей: *Название – название сертификата, под которым он будет отображен в списке сертификатов *Описание – описание сертификата *Страна – страна, в которой выписывается сертификат *Область или штат – область или штат, в котором выписывается сертификат *Город – город, в котором выписывается сертификат *Название организации – название организации, для которой выписывается сертификат *Common name – имя сертификата. Рекомендуется использовать только символы латинского алфавита для совместимости с большинством браузеров *E-email – e-email вашей компании |
Шаг 3. Указать, для чего будет использован данный сертификат | После создания сертификата необходимо указать его роль в UserGate. Для этого необходимо выделить необходимый сертификат в списке сертификатов, нажать на кнопку Редактировать и указать тип сертификата (SSL веб-консоли, инспектирование SSL, УЦ авторизации веб-консоли). В случае, если вы выбрали SSL веб-консоли, UserGate перезагрузит сервис веб-консоли и предложит вам подключиться уже с использованием нового сертификата. Сертификат инспектирования SSLначинает работать немедленно после того, как его выбрали. Более детально о инспектировании HTTPS смотрите в главе Инспектирование SSL. |
UserGate позволяет экспортировать созданные сертификаты и импортировать сертификаты, созданные на других системах, например, сертификат, выписанный доверенным удостоверяющим центром вашей организации.
Для экспорта сертификата необходимо:
Важно! Рекомендуется сохранять сертификат для возможности его последующего восстановления.
Важно! В целях безопасности UserGate не разрешает экспорт приватных ключей сертификатов.
Важно! Пользователи могут скачать себе для установки сертификат инспектирования SSLс UserGate по прямой ссылке: http:// UserGate_IP:8002/cps/ca
Для импорта сертификата необходимо иметь файлы сертификата и – опционально – приватного ключа сертификата и выполнить следующие действия:
Управление трафиком и контроль доступа в интернет
Если есть доступ в интернет, есть и задача контроля трафика. Еще не так давно большинство корпоративных клиентов было заинтересовано прежде всего в минимизации расходов на доступ в интернет (особенно это касалось небольших фирм) и безопасности (эту задачу давно с успехом решает всевозможное антивирусное ПО).
Установка лицензии
Модуль ATP включает в себя следующие опции:
*годовая подписка на базу категорий сайтов Entensys URL filtering
*годовая подписка на обновляемые списки запрещенных сайтов Роскомнадзора, список Phishing-сайтов, Белый список Entensys, Черный список Entensys
*годовая подписка на морфологические базы, предоставляемые компанией Entensys
*годовая подписка на Облачный антивирус Entensys
*годовая подписка на модуль блокировки рекламы
Модуль выписывается на 1 год, по истечении данного срока:
*Entensys URL filtering перестает работать
*фильтрация с помощью морфологии перестает работать
*списки запрещенных сайтов Роскомнадзора, список Phishing-сайтов, Белый список Entensys, Черный список Entensys продолжают работать, но обновления недоступны
*облачный антивирус Entensys перестает работать
*модуль блокировки рекламы перестает работать
Электропитание
Сеть питания: 140-220 Вольт
Потребляемая мощность (Макс): 220 Ватт
Заключение
В данной статье мы рассмотрели разделы “Фильтрация контента”, “Веб-безопасность”, “Инспектирование SSL”. Эти очень важные направления с точки зрения безопасности, являются обязательными компонентами современной защиты сети.