7 сентября 2022

Континент 4.1.5

На днях вышла новая версия Континент 4 – 4.1.5. По Континент 4 у нас есть немало материалов. Это и цикл статей Континент 4 Getting Started, в рамках которого вы можете развернуть свой стенд и научиться производить базовую настройку комплекса. А также воркшопы по Континент 4, где вы можете получить готовый стенд и реализовать определенные сценарии работы NGFW согласно разработанным лабораторным работам, и вебинар «Практическое применение системы Континент TLS: обеспечение защищенного удаленного доступа к веб-приложениям».

Но сегодня мы разберем, что же нового принесла нам версия 4.1.5, и стоит ли бежать обновлять свои Континенты?

В статье разберем именно новый функционал или доработку уже имеющегося. Также вы можете ознакомиться с презентацией Континент 4.1.5 в формате вебинара на TS University.

GeoProtection

GeoProtection – это новый модуль в функционале межсетевого экрана Континент 4, который отвечает за использование географической принадлежности IP-адресов в правилах межсетевого экрана.

Работает это так:

1. Необходимо активировать компонент «Модуль Geo-Protection» в разделе «Структура» - «ПКМ по узлу безопасности» - «Свойства».
2. В разделе «Контроль доступа» - «Объекты ЦУС» - «Страны» содержится перечень стран. Данные объекты можно добавлять в правила сразу, либо, при необходимости, создать группу, в которой объединить несколько объектов «Страна».
3. Создать правила межсетевого экранирования, в которых в качестве «Отправителя» или «Получателя» указать объект типа «Страна».
Созданные правила будут отрабатывать согласно указанным действиям и классификаторам.

URL-фильтрация по категориям

Ранее веб-фильтрация в Континент 4 реализовывалась с помощью создания списков в разрешенными и запрещенными сайтами, а также с помощью интеграции с Лабораторией Касперского, в рамках которой получались группы вредоносных сайтов:

  • Botnet – сайты, содержащие вирусы ботнет-сети
  • Malicious URLs – сайты, содержащие злонамеренные программы-вирусоносители
  • Phishing URLs – фишинговые сайты

В версии Континент 4.1.5 были добавлены группы вендорских правил SkyDNS, что существенно облегчает работу с веб-фильтрацией. Так, ранее для того, чтобы запретить посещение социальных сетей, приходилось создавать список, в котором требовалось самостоятельно указывать перечень URL. И таких списков может быть несколько. Сейчас же запретить или разрешить определенную категорию веб-сайтов можно с помощью трех действий:

1. Необходимо активировать компонент «URL-фильтрация по категориям» в разделе «Структура» - «ПКМ по узлу безопасности» - «Свойства».
2. В разделе «Контроль доступа» - «Межсетевой экран» - «Профили Web/FTP-фильтрации» необходимо создать профиль для протоколов HTTP, HTTPS, FTP и указать какие категории сайтов будут разрешены или запрещены.
3. Добавить созданный профиль в правило межсетевого экрана.
Полный перечень категорий сайтов представлен ниже:

  • Content Delivery Networks
  • Агрессия, расизм, терроризм
  • Бизнес, экономика, маркетинг
  • Блокировка по предписанию
  • Ботнеты
  • Веб-почта
  • Досуг и развлечения
  • Интернет-магазины
  • Компьютерные игры
  • Корпоративные сайты
  • Криптомайнинг
  • Наркотики
  • Образование и учебные учреждения
  • Поисковые системы
  • Порнография и секс
  • Правительство
  • Прокси и анонимайзеры
  • Радио и музыка онлайн
  • Реестр запрещенных сайтов
  • Сайты для взрослых
  • Сайты, распространяющие вирусы
  • Социальные сети
  • Торренты и P2P-сети
  • Файловые архивы
  • Федеральный список Минюста
  • Фильмы и видео онлайн
  • Финансы и финансовые учреждения
  • Фишинг
  • Чаты и мессенджеры

В остальном настройка веб-фильтрации идентична настройке, которая была показана в статье «Веб-контроль» в цикле Континент 4 Getting Started.

Настоятельно рекомендую с ней ознакомиться, если ранее вы не настраивали данный функционал на Континент 4.

Потоковый антивирус

В версии Континент 4.1.5 добавлен механизм потоковой проверки трафика антивирусом.

Реализуется это так:

  • В базу данных загружается база хэшей известных вирусных программ;
  • Трафик, проходящий через Континент, анализируется и сверяется с базой хэшей. В случае совпадения сигнатур, трафик будет заблокирован и появится уведомление об обнаруженном вирусе.

Для включения антивирусной проверки в комплексе Континент 4 необходимо:

1. Активировать компонент «Антивирус» в разделе «Структура» - «ПКМ по узлу безопасности» - «Свойства».
2. В разделе «Контроль доступа» - «Межсетевой экран» - «ECAP-сервисы» необходимо создать сервис, отвечающий за проверку трафика.
3. Указать параметры, согласно которым будет работать модуль:

  • Размер анализируемых файлов;
  • Действие модуля при превышении размера файла;
  • Проверка входящего/исходящего трафика;
  • Типы проверяемого контента.
4. Добавить созданный ECAP-сервис в профиль Web/FTP-фильтрации.
Отдельно отмечу, что для проверки зашифрованного трафика – HTTPS – необходимо настроить SSL-инспекцию, что также отправляет нас к статье «Веб-контроль» в цикле Континент 4 Getting Started.

Пример срабатывания модуля «Антивирус»:

ICAP

В версии Континент 4.1.5 был добавлен механизм отправки трафика для проверки на внешнюю систему по протоколу ICAP. ICAP используется для интеграции систем контентного анализа с другими системами, например, с песочницами, DLP, и т.д.

Для интеграции с внешними системами по ICAP необходимо сделать следующие действия:

1. В разделе «Контроль доступа» - «Межсетевой экран» - «ICAP-сервисы» необходимо создать сервис, который будет отправлять трафик на дополнительную проверку на внешние системы.
2. Указать параметры, согласно которым будет работать сервис:

  • Адрес и порт подключения к внешнему серверу;
  • Размер файла, передаваемого по запросу от ICAP-сервера;
  • Проверка входящего/исходящего трафика;
  • Типы передаваемого контента.
3. Добавить созданный ICAP-сервис в профиль Web/FTP-фильтрации

Пример интеграции с песочницей PT Sandbox:
Важно отметить, что ICAP в Континент 4.1.5 работает и в активном, и в пассивном режиме, в зависимости от внешней системы. Например, с песочницами Афина и PT Sandbox ICAP работает в активном режиме, а с песочницей KATA – в пассивном, то есть Континент не ждет результат обработки в модуле.

Фильтрация по FQDN

Указание IP-адресов в качестве отправителя/получателя не всегда является удобным, особенно когда речь идет о динамически назначаемых адресах или о большом пуле IP-адресов, которые числятся за одним доменным именем. В таких случаях принято использовать в качестве отправителя/получателя доменные имена (FQDN).

Для использования фильтрации по FQDN необходимо сделать следующие действия:

1. В разделе «Контроль доступа» - «DNS-имена» необходимо создать объект.
Данные объекты можно добавлять в правила сразу, либо, при необходимости, создать группу, в которой объединить несколько объектов «DNS-имя».
2. Создать правила межсетевого экранирования, в которых в качестве «Отправителя» или «Получателя» указать объект типа «DNS-имя»

Модуль поведенческой аналитики

«Модуль поведенческого анализа» – самообучаемый модуль, для обнаружения сетевых атак, сканирования и угроз типа «отказ в обслуживании» (DoS). Данный модуль функционировал и до версии 4.1.5. В новой версии его доработали и теперь есть возможность самостоятельно конфигурировать параметры обнаружения DoS-атак.

LLDP

В Континент 4.1.5 был добавлен функционал обнаружения соседствующих узлов. Функционал комплекса позволяет сетевым устройствам комплекса принимать от других сетевых устройств той же сети информацию об их существовании и характеристиках, и, в свою очередь, отправлять аналогичную информацию о себе. Для обмена данными используется протокол LLDP.

Доступ к полученным данным о соседствующих устройствах осуществляется по протоколу SNMP. Отображение собранных данных реализовано в подсистеме мониторинга комплекса.

Настройка механизма обнаружения соседствующих сетевых устройств производится в МК в свойствах узла безопасности (МК – Структура – Узел безопасности – Свойства) на вкладке "LLDP".

Заключение

Как итог, можно сказать, что команда Код Безопасности провела огромную работу для выхода Континент 4.1.5. И новый функционал может существенно повысить уровень сетевой безопасности.

Такой получилась версия Континент 4.1.5.

А вот ответ на вопрос:
– обновляться ли до 4.1.5?
– конечно да!

Автор: Дмитрий Лебедев, инженер TS Solution