ver_4_3_scn_1_07_client_admin

На чтение 15 мин. Опубликовано
Содержание
  1. Cisco-like
  2. Client-isp
  3. Core-isp
  4. Апкш континент получил сертификат фстэк россии по требованиям доверия
  5. Архитектура и производительность
  6. Варианты внедрения
  7. Конфигурации криптошлюза hub1
  8. Лицензирование
  9. Модельный ряд
  10. Настройка workstation
  11. Практические примеры настройки «континент» 3.9
  12. Пример 1. создание криптошлюза в топологии защищенной сети
  13. Пример 2. настройка dhcp-сервера и подключения к ntp-серверу на криптошлюзе
  14. Пример 3. резервирование базы данных центра управления сетями
  15. Пример 4. агрегация интерфейсов
  16. Работа с апкш «континент» 3.9
  17. Сертификаты на по vipnet | инфотекс
  18. Сертификация
  19. Типовые варианты внедрения
  20. Функционал континент 4
  21. Функциональные возможности
  22. Заключение

Cisco-like

1.    Войдите
в cisco-like консоль из CLI разграничения доступа:

Пользователь и пароль по умолчанию cscons,
csp. Обязательно смените пароль
для пользователя cscons, так
как под этим пользователем осуществляется доступ по SSH в cisco-like
консоль. Также не забудьте сменить enable
пароль.

Client-isp

1.    Настройте
IP адрес – 172.16.1.2 и маску – 255.255.255.0 на сетевом интерфейсе
ens192.

2.    Настройте
IP адрес – 192.168.1.1 и маску – 255.255.255.0 на сетевом интерфейсе
ens224.

3.    Настройте
NAT (SNAT либо маскарадинг), транслирующий все адреса сети 192.168.1.0/24
в адрес внешнего интерфейса ens192.

4.    Настройте
на интерфейсе ens224 DHCP сервер, раздающий доступные IP адреса из
подсети этого интерфейса (192.168.1.2 – 192.168.1.254) и требуемые
сетевые настройки.

5.    Разрешите
прохождение IP трафика.

Core-isp

1.      Настройте
IP адрес – 172.16.100.1 и маску – 255.255.255.0 на сетевом интерфейсе
ens224.

2.      Настройте
IP адрес – 172.16.1.1 и маску – 255.255.255.0 на сетевом интерфейсе
ens192.

3.      Разрешите
прохождение IP трафика.

Апкш континент получил сертификат фстэк россии по требованиям доверия

Наблюдатели из Mandiant обнаружили новый кастомный инструмент в арсенале APT29 (в Microsoft эту APT-группу называют Nobelium). Загрузчик Ceeloader избирательно устанавливается на Windows-машины после проникновения в сеть и обеспечивает скрытное исполнение вредоносного шелл-кода.

Кибергруппировка Nobelium, она же APT29, The Dukes и Cozy Bear, известна прежде всего громкой атакой на SolarWinds, затронувшей множество организаций по всему миру. За рубежом этим хорошо обеспеченным хакерам склонны приписывать российские корни.

Целью атак APT-группы является шпионаж; ее интересуют секреты правительственных учреждений, военных организаций, НКО, НИИ, ИТ-компаний, телеком-провайдеров. В своих вылазках Nobelium часто использует легитимные инструменты Windows, но всегда делает ставку на собственные разработки. Так, в атаке на SolarWinds засветился целый ряд новых кастомных зловредов — бэкдор Sunburst, обеспечивающий его установку Sunspot, бэкдоры GoldMax, Sibot и GoldFinder.

Теперь этот арсенал, по данным Mandiant, пополнился специализированным загрузчиком. Написанный на C вредонос Ceeloader примечателен тем, что поддерживает исполнение шелл-кода в памяти.

Код самого зловреда сильно обфусцирован: он щедро замусорен и часто без цели вызывает Windows API. Нужные вызовы при этом скрываются с помощью функции-обертки, которая расшифровывает имя API и динамически разрешает его перед вызовом.

Для коммуникаций Ceeloader использует HTTP, а ответы с C2-сервера расшифровывает, используя AES-256 в режиме CBC. Запрос HTTP содержит статически определенный ID (в сэмплах может варьироваться).

Установку Ceeloader осуществляет развернутый в сети Cobalt Strike Beacon; в зараженной системе создается плановое задание на запуск при каждом входе уровня SYSTEM. Специального механизма для обеспечения постоянного присутствия в системе у нового загрузчика нет. Целевую полезную нагрузку он скачивает из внешнего источника — эксперты выявили два таких WordPress-сайта, по всей видимости, скомпрометированных.

Архитектура и производительность

Новый «Континент» 3.9 стал значительно быстрее за счет перехода на 64-битную программную платформу (x86_64 FreeBSD). Проведена оптимизация программного обеспечения и исправлены ранее обнаруженные ошибки. Кроме того, был обновлен модельный ряд устройств.

В результате, если старшее устройство АПКШ «Континент» 3.7 обладало пропускной способностью межсетевого экрана в 3,5 Гбит/с и пропускной способностью шифрования в 2,5 Гбит/с, то старшее устройство АПКШ «Континент» 3.9 обладает производительностью в 13 Гбит/с и 20 Гбит/с соответственно.

Также разработчики добились значительного увеличения производительности межсетевого экрана на устройствах предыдущего поколения (рисунок 2).

Рисунок 1. Сравнение производительности «Континент» 3.7 и «Континент» 3.9 (Мбит/с)

Стоит отметить, что для тестирования новой версии была произведена смена методики замеров производительности, основанная на методологии NSS Labs. Используя статистику о реальном трафике на стороне заказчика, можно проводить более точные и близкие к реальности замеры, о чем говорят результаты исследования.

Варианты внедрения

Континент 4 представляется в трех вариантах исполнения:

1.UTM – позволяет одновременное функционирование на УБ модулей:

2.Высокопроизводительный МЭ – позволяет одновременное функционирование на УБ модулей:

3.Детектор атак – позволяет функционирование узла безопасности только как система обнаружения/предотвращения вторжений.

Комплекс Континент 4 включает в себя Менеджер конфигурации (программа управления ЦУС) и узел безопасности (УБ). В рамках нашего цикла мы рассмотрим функционал UTM решения.

Про сертификаты:  ᐉ Сертификация домашней выпечки в Москве ≡ Стоимость сертификации домашней выпечки - Компания «Сертификация плюс»

Конфигурации криптошлюза
hub1

1.    Консоль
cisco-like:

version 12.4

no service password-encryption

crypto ipsec df-bit copy

crypto isakmp identity dn

crypto isakmp fragmentation

crypto isakmp security-association
lifetime delta 50

crypto isakmp initiator-sessions-max
100

crypto isakmp responder-sessions-max
100

crypto isakmp keepalive 3

crypto isakmp keepalive retry-count
5

Лицензирование

В базовую лицензию при покупке UTM-устройства входят:

Модельный ряд

Континент 4 поставляется в следующих вариантах исполнения:

Начальный уровень – Представляется моделями IPC-10 и IPC-50. Шлюзы данного уровня подойдут для малого бизнеса и филиалов.

Корпоративный уровень – Представляется моделями IPC-500, IPC-500F, IPC-600, IPC-800F. Шлюзы этого уровня подходят для предприятий среднего бизнеса.

Уровень ЦОД и крупных сетей – Модели данного уровня: IPC-1000F, IPC-1000NF2, IPC3000F, IPC-3000NF2. Подходят для защиты сетей крупных предприятий, учебных заведений, министерств, ЦОД. Модели с индексом NF2 могут выступать не только как UTM устройство, но и как высокопроизводительный межсетевой экран.

Производительность устройств варьируется от 100 Мбит/с до 80 Гбит/сек.

Настройка workstation

Предварительно необходимо будет настроить VMware. При установке VMware Workstation создается 2 сетевых адаптера: VMnet1 и VMnet8. На УБ с ЦУС используется 3 сетки. Настроим новое сетевое подключение VMnet2. Таким же образом потребуется создать сетевые подключения для подчиненного узла.

Практические примеры настройки «континент» 3.9

Чтобы лучше понять, как работает новый «Континент» 3.9, разберем несколько типовых примеров по новым функциям. Начнем с самого простого — с создания криптошлюза в топологии защищенной сети. Хотя эта функция не относится к новым, всегда лучше представить картину целиком от начала до конца. Особенно это актуально для тех, кто не знаком с предыдущими версиями.

Пример 1. создание криптошлюза в топологии защищенной сети

Для создания нового узла необходимо перейти в раздел Сетевые устройства КонтинентàКриптошлюзы и нажать кнопку Криптошлюз вверху на панели быстрого доступа. После чего будет запущен мастер создания нового устройства.

В мастере необходимо выполнить ряд простых действий по выбору и заполнению нужных полей.

На первом шаге необходимо выбрать тип создаваемого устройства, предварительно ознакомившись с описанием (рисунок 14). Это поможет правильно определить нужный тип устройства. В нашем случае — Криптошлюз.

Рисунок 11. Выбор создаваемого устройства в «Континент» 3.9

Пример 2. настройка dhcp-сервера и подключения к ntp-серверу на криптошлюзе

Приведенная в данном примере настройка полезна на большой постоянно масштабируемой сети, поскольку современные географически распределенные сети для полного контроля над ними требуют, как мы раньше уже отмечали, централизации управления.

Чтобы не возникло сложностей с настройкой IP-адресов в сегментах и синхронизацией времени, в АПКШ «Континент» 3.9 реализовали функциональность DHCP-сервера и возможность подключения к NTP-серверу

Для ее настройки необходимо выбрать нужный нам криптошлюз и зайти в его свойства. Выбрать вкладку DHCP, активируем функцию Сервер. После чего в нашем случае необходимо создать новый профиль нажав кнопку Добавить.

Стоит обратить внимание, что криптошлюз также может выступать в роли ретранслятора (DHCP-relay).

После этого откроется только что созданный профиль DHCP-сервера.

На вкладке Основные параметры указать данные про: внутренний интерфейс, сетевой объект, пул IP-адресов, время аренды IP-адреса, основой шлюз и DNS-сервер. Как видно из рисунка 18, задаются все необходимые параметры типичные для DHCP-сервера.

Рисунок 14. Настройка профиля DHCP-сервера в «Континент» 3.9. Основные параметры

На вкладке Дополнительно (рисунок 19) администратор сети может задать широковещательный адрес клиентской сети и статические маршруты, что несомненно удобно, а также сервер синхронизации времени (NTP-сервер).

Рисунок 15. Настройка профиля DHCP-сервера в «Континент» 3.9. Дополнительные параметры

Пример 3. резервирование базы данных центра управления сетями

Полезной функцией, повышающей отказоустойчивость АПКШ «Континент» 3.9, является резервирование баз данных центра управления сетями. За счет ее применения можно создавать узлы с функцией резервного ЦУС.

Для этого в соответствии с примером 1 создаем криптошлюз, но указываем, что Устройство является центром управления сетью, и назовем его ЦУС Резерв.

После того как мы создали резервный ЦУС, необходимо открыть свойства через основное меню, кликнув правой кнопкой мыши на Центр управления сетью.

Стоит отметить, что вкладка не появится до тех пор, пока не будет создан второй ЦУС.

Переходим на вкладку Синхронизация БД и устанавливаем галочку напротив пункта Синхронизировать по расписанию (рисунок 20). Выставляем расписание Ежедневно.

Рисунок 16. Параметры синхронизации БД в «Континент» 3.9

Однако чтобы была возможность выбора различных расписаний, предварительно их нужно создать в основном меню во разделе Временные интервалы (рисунок 21).

Рисунок 17. Создание и настройка нового расписания в «Континент» 3.9

Пример 4. агрегация интерфейсов

После того как было настроено резервирование базы данных центра управления сетями, стоит обратить внимание на еще одну функцию, позволяющую повысить надежность комплекса, за счет объединения нескольких интерфейсов в один виртуальный для увеличения ширины канала либо резервирования и повышения отказоустойчивости.

Про сертификаты:  GoodWill отзывы. Реальные отзывы о запчастях

Для создания агрегированного интерфейса необходимо выделить из общего списка нужный нам криптошлюз. Правой кнопкой мыши перейти в контекстное меню, выбрать пункт Свойства.

В открывшемся окне необходимо выбрать вкладку Интерфейсы. На ней в целом определяются свойства как физических, так и виртуальных интерфейсов.

Далее необходимо нажать кнопку Создать и выбрать из выпадающего списка LAGGинтерфейс (рисунок 22).

Рисунок 18. Создание агрегированного интерфейса на криптошлюзе в «Континент» 3.9

В открывшемся окне свойств нового интерфейса нужно внести основную информацию: название, тип (внешний или внутренний), регистрация (определяет, как интерфейс будет активирован, устройством или вручную), IP-адреса.

После внесения основной информации наступает важный этап — выбор свободных интерфейсов, которые будут объединены в один агрегированный. А также нужно исходя из своих потребностей определить режим агрегации и то, какие уровни модели ISO OSI будут отрабатывать L2-L4(рисунок 23).

Для правильного выбора режима кратко рассмотрим каждый из них:

  • failover — повышение отказоустойчивости за счет резервирования, если один из физических интерфейсов выйдет из строя, агрегированный интерфейс все равно продолжит работать;
  • roundrobin — режим, в котором распределяется нагрузка методом перебора и упорядочения ее элементов по круговому циклу;
  • 802.3ad (LACP) — за счет применения данного режима возможно повышение полосы пропускания и повышение отказоустойчивости за счет резервирования.

Рисунок 19. Заполнение свойств LAG интерфейса в «Континент» 3.9

После заполнения всех необходимых параметров будет создан новый агрегированный интерфейс, который будет отображаться в общем списке интерфейсов данного устройства.

Работа с апкш «континент» 3.9

Панель управления центра управления сетями стала значительно удобнее и информативнее (рисунок 13). Здесь можно увидеть:

  • статус нашего центра управления сетями;
  • все ли корректно с синхронизацией, при условии настройки режима резервирования центра управления сетями;
  • состояние каналов VPN между узлами.

Рисунок 10. Новый интерфейс панели управления «Континент» 3.9

Сертификаты на по vipnet | инфотекс


Сертификаты ФСБ России

Настоящий сертификат удостоверяет, что изделие «Программный комплекс ViPNet Administrator 4» (Версия 4.6.9) (исполнения 1. 2, 3) в комплектации согласно формуляру ФРКЕ.00109-07 30 01 ФО с учётом изменений согласно извещениям № 1 ФРКЕ.00109.1-2021 и № 2 ФРКЕ.00109.ЕВ.2-2021 соответствует Требованиям к средствам криптографической зашиты информации, предназначенным для зашиты информации, не содержащей сведений, составляющих государственную тайну, классов КС1, КС2, КСЗ для исполнений 1. 2, 3. соответственно. Требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27 декабря 2021 г. № 796. установленным для классов КС1. КС2, КСЗ для исполнений 1. 2, 3. соответственно, и может использоваться для криптографической защиты (создание и управление ключевой информацией, шифрование файлов и данных, содержащихся в областях оперативной памяти, вычисление имитовставки для файлов и данных, содержащихся в областях оперативной памяти, вычисление значения хэш-функции для файлов и данных, содержащихся в областях оперативной памяти, создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи, создание ключа проверки электронной подписи) информации, не содержащей сведений, составляющих государственную тайну.

Сертификация

В настоящий момент Континент 4 находится на стадии получения сертификатов ФСТЭК России и ФСБ России. Планируется летом 2021 года получить сертификаты по требованиям РД ФСТЭК и в конце 2022 года по требованиям РД ФСБ.

Типовые варианты внедрения

Установка новой версии в целом не отличается от установки предыдущих. Поэтому достаточно будет вспомнить несколько типовых схем внедрения.

Рисунок 8. Типовая схема организации защищенной корпоративной сети

Рисунок 9. Корпоративная защищенная сеть, состоящая из нескольких локальных вычислительных сетей

Так что исходя из схем видно, что «Континент» 3.9 развертывается на сети не сложнее чем любой другой комплекс криптографической защиты.

Функционал континент 4

Компоненты защиты:

Функциональные возможности

Из материалов предыдущих разделов обзора становится понятно, что рассматриваемый продукт — не просто рядовая «железка» с ограниченными возможностями. Это целый комплекс устройств с обширным модельным рядом под практически любые потребности в части защиты периметра сети и шифрования каналов связи.

Исходя из этого перечень функциональных возможностей достаточно большой. Поэтому будут перечислены и рассмотрены лишь основные, а также отличительные возможности (выделены из общего списка):

  1. Управление и мониторинг
    1. 1.1.    Централизованное управление узлами, настройками, криптографическими ключами.
    2. 1.2.    Мониторинг событий в режиме реального времени.
    3. 1.3.    Автоматическое реагирование на события с использование скриптов, позволяющих создавать правила фильтрации для межсетевого экрана.
    4. 1.4.   Централизованное создание и управление локальными администраторами устройств.
    5. 1.5.   Доступ по SSH к криптошлюзам.
    6. 1.6.   Расширенное журналирование событий и возможность выгрузки из системы отчетов в SIEM-систему.
  2. Межсетевое экранирование
    1. 2.1.   Инспекция внутри SSL-туннеля.
    2. 2.2.   Контроль сетевых приложений, применение технологии глубокого анализа пакетов (DPI).
    3. 2.3.   Идентификация и аутентификация пользователей межсетевого экрана с использование клиентского программного обеспечения.
  3. Поддержка различных сетевых технологий
    1. 3.1.    Поддержка в IPv6.
    2. 3.2.    Резервирование каналов (подключение WAN, от разных провайдеров, VPN-каналов).
    3. 3.3.    Поддержка протокола LACP для агрегации сетевых интерфейсов.
    4. 3.4.    Возможность работы с виртуальными IP-адресами.
    5. 3.5.    Поддержка Jumbo frame (MTU до 9000 байт).
  4. Отказоустойчивость
    1. 4.1.   Использование модулей твердотельной памяти DOM и SSD.
    2. 4.2.    Режим автоматического переключения на резервный канал связи как при доступности, так и при недоступности центра управления сетями.
    3. 4.3.   Режим кластера высокой доступности для центра управления сетью.
    4. 4.4.    Режим кластера высокой доступности для криптошлюза и криптокоммутатора с автоматической синхронизацией конфигураций элементов кластера.
    5. 4.5.    Работа в необслуживаемом режиме 24х7х365.
    6. 4.6.    Среднее время наработки на отказ – 40 000 часов.
  5. Шифрование с применением отечественных криптоалгоритмов ГОСТ 28147-89 и возможностью объединения удаленных сегментов сети в защищенный контур, так и отдельно развернутых рабочих мест с программным обеспечением СКЗИ «Континент-АП».
Про сертификаты:  Схемы сертификации продукции ТР ТС и схемы декларирования продукции ТР ТС

Все многообразие возможностей, доступных для «Континент» 3.9 и предыдущих версий, нет смысла перечислять, так как всегда можно обратиться к официальной документации. Наша цель — указать на новшества и преимущества. Поэтому дальше будут рассматриваться более детально только отличительные характеристики.

Централизованное управление локальными администраторами криптошлюзов

Несомненно, удобная и полезная функция ввиду наличия в больших организациях нескольких администраторов. Позволяет разграничить доступы на конкретных криптошлюзах, тем самым сузить круг лиц, имеющих доступ к наиболее значимым узлам. При этом в случае необходимости администратор ЦУС может временно дать право на локальное управление местным администраторам.

Рисунок 3. Создание локального администратора в «Континент» 3.9

Рисунок 4. Выбор сетевых устройств, на которых будет добавлена учетная запись создаваемого локального администратора

Рисунок 5. Результат создания учетной записи локального администратора в «Континент» 3.9

Доступ по SSH к криптошлюзам

Еще одна из многочисленных функций, повышающих удобство использования и управления устройствами удаленно.

Рисунок 6. Настройка удаленного доступа по SSH к криптошлюзу в «Континент» 3.9

Расширенное журналирование событий и возможность выгрузки из системы отчетов в SIEM-систему

В новой версии было уделено внимание расширению функций записи событий на криптошлюзах. Обновленная система журналирования позволяет не только выгружать отчеты о событиях, но также передавать эту информацию в SIEM (система управления событиями и инцидентами безопасности).

Эту функциональность можно настраивать сразу на нескольких устройствах за счет применения другой интересной возможности, которая позволяет выполнять групповые операции (рисунок 10).

Рисунок 7. Пример настройки журналирования в групповых операциях в «Континент» 3.9

Инспекция внутри SSL-туннеля

«Континент» 3.9 не уступает устройствам подобного класса на рынке. Учитывая тот факт, что в настоящее время все больше сайтов переходит на применение SSLTLS, возникает потребность в проверке передаваемых команд и трафика в зашифрованном канале (например, шифрование между пользователями и внешними сайтами).

Использование модулей твердотельной памяти DOM и SSD

Применение твердотельных модулей соответствует современным требованиям и несомненно повышает отказоустойчивость и надежность за счет уменьшения количества механических частей. А также влияет на быстродействие комплекса в целом.

Режим резервирования для центра управления сетью (ЦУС)

Данная функция необходима, когда для заказчика важно сохранить управляемость VPN-сети в случае выхода из строя основного ЦУСа. Это необходимо для крупных сетей федерального уровня, а также критичных сетей.

Заключение

Одним из ключевых факторов развития является то, что Континент 4 это первое UTM решение на отечественном рынке, поддерживающие шифрование по ГОСТ. Также компания получила патент на высокопроизводительный межсетевой экран за разработку уникальной технологии обработки сетевых пакетов, что существенно увеличивает пропускную способность межсетевого экрана.

По требованиям к законодательству, стоит сказать, что в настоящий момент актуальной и сертифицированной версией является АПКШ «Континент 3.9». Комплекс имеет ряд сертификатов ФСТЭК по требованиям к Межсетевым экранам (3-й класс защиты типа «А»), к Система обнаружения вторжений (3-й класс защиты типа «А») и 3-й уровень доверия и сертификаты ФСБ по требованиям к Межсетевым экранам (4-й класс), СКЗИ (КС2/КС3) .

В дальнейших статьях мы рассмотрим следующие возможности комплекса:

Подробную информацию о продукте можно найти на странице Код Безопасности.

P.S. Если у вас уже есть устройства Континент, вы можете обратиться к нам за профессиональной технической поддержкой, в то числе оставить заявку на бесплатный тикет.

Автор – Дмитрий Лебедев, инженер TS Solution

csp mobile security pki ViPNet vpn Защита информации ИБ информационная безопасность информационные технологии ИнфоТеКС инциденты безопасности класс защищенности крипто мобильная безопасность обеспечение ИБ Сертификат сертификат соответствия сертификат ФСБ Сертификат ФСТЭК угроза безопасности электронная подпись
Оцените статью
Мой сертификат
Добавить комментарий

© 2024 Мой сертификат