Континент 4.1.5

На днях вышла новая версия Континент 4 – 4.1.5. По Континент 4 у нас есть немало материалов. Это и цикл статей Континент 4 Getting Started, в рамках которого вы можете развернуть свой стенд и научиться производить базовую настройку комплекса. А также воркшопы по Континент 4, где вы можете получить готовый стенд и реализовать определенные сценарии работы NGFW согласно разработанным лабораторным работам, и вебинар «Практическое применение системы Континент TLS: обеспечение защищенного удаленного доступа к веб-приложениям».

Но сегодня мы разберем, что же нового принесла нам версия 4.1.5, и стоит ли бежать обновлять свои Континенты?

В статье разберем именно новый функционал или доработку уже имеющегося. Также вы можете ознакомиться с презентацией Континент 4.1.5 в формате вебинара на TS University.

GeoProtection – это новый модуль в функционале межсетевого экрана Континент 4, который отвечает за использование географической принадлежности IP-адресов в правилах межсетевого экрана.

Работает это так:

1. Необходимо активировать компонент «Модуль Geo-Protection» в разделе «Структура» - «ПКМ по узлу безопасности» - «Свойства».

2. В разделе «Контроль доступа» - «Объекты ЦУС» - «Страны» содержится перечень стран. Данные объекты можно добавлять в правила сразу, либо, при необходимости, создать группу, в которой объединить несколько объектов «Страна».

3. Создать правила межсетевого экранирования, в которых в качестве «Отправителя» или «Получателя» указать объект типа «Страна».

Созданные правила будут отрабатывать согласно указанным действиям и классификаторам.

Ранее веб-фильтрация в Континент 4 реализовывалась с помощью создания списков в разрешенными и запрещенными сайтами, а также с помощью интеграции с Лабораторией Касперского, в рамках которой получались группы вредоносных сайтов:

• Botnet – сайты, содержащие вирусы ботнет-сети
• Malicious URLs – сайты, содержащие злонамеренные программы-вирусоносители
• Phishing URLs – фишинговые сайты

В версии Континент 4.1.5 были добавлены группы вендорских правил SkyDNS, что существенно облегчает работу с веб-фильтрацией. Так, ранее для того, чтобы запретить посещение социальных сетей, приходилось создавать список, в котором требовалось самостоятельно указывать перечень URL. И таких списков может быть несколько. Сейчас же запретить или разрешить определенную категорию веб-сайтов можно с помощью трех действий:

1. Необходимо активировать компонент «URL-фильтрация по категориям» в разделе «Структура» - «ПКМ по узлу безопасности» - «Свойства».

2. В разделе «Контроль доступа» - «Межсетевой экран» - «Профили Web/FTP-фильтрации» необходимо создать профиль для протоколов HTTP, HTTPS, FTP и указать какие категории сайтов будут разрешены или запрещены.

3. Добавить созданный профиль в правило межсетевого экрана.

Полный перечень категорий сайтов представлен ниже:

• Content Delivery Networks
• Агрессия, расизм, терроризм
• Бизнес, экономика, маркетинг
• Блокировка по предписанию
• Ботнеты
• Веб-почта
• Досуг и развлечения
• Интернет-магазины
• Компьютерные игры
• Корпоративные сайты
• Криптомайнинг
• Наркотики
• Образование и учебные учреждения
• Поисковые системы
• Порнография и секс
• Правительство
• Прокси и анонимайзеры
• Радио и музыка онлайн
• Реестр запрещенных сайтов
• Сайты для взрослых
• Сайты, распространяющие вирусы
• Социальные сети
• Торренты и P2P-сети
• Файловые архивы
• Федеральный список Минюста
• Фильмы и видео онлайн
• Финансы и финансовые учреждения
• Фишинг
• Чаты и мессенджеры

В остальном настройка веб-фильтрации идентична настройке, которая была показана в статье «Веб-контроль» в цикле Континент 4 Getting Started.

Настоятельно рекомендую с ней ознакомиться, если ранее вы не настраивали данный функционал на Континент 4.

В версии Континент 4.1.5 добавлен механизм потоковой проверки трафика антивирусом.

Реализуется это так:

• В базу данных загружается база хэшей известных вирусных программ;
• Трафик, проходящий через Континент, анализируется и сверяется с базой хэшей. В случае совпадения сигнатур, трафик будет заблокирован и появится уведомление об обнаруженном вирусе.

Для включения антивирусной проверки в комплексе Континент 4 необходимо:

1. Активировать компонент «Антивирус» в разделе «Структура» - «ПКМ по узлу безопасности» - «Свойства».

2. В разделе «Контроль доступа» - «Межсетевой экран» - «ECAP-сервисы» необходимо создать сервис, отвечающий за проверку трафика.

3. Указать параметры, согласно которым будет работать модуль:

• Размер анализируемых файлов;
• Действие модуля при превышении размера файла;
• Проверка входящего/исходящего трафика;
• Типы проверяемого контента.

4. Добавить созданный ECAP-сервис в профиль Web/FTP-фильтрации.

Отдельно отмечу, что для проверки зашифрованного трафика – HTTPS – необходимо настроить SSL-инспекцию, что также отправляет нас к статье «Веб-контроль» в цикле Континент 4 Getting Started.

Пример срабатывания модуля «Антивирус»:

В версии Континент 4.1.5 был добавлен механизм отправки трафика для проверки на внешнюю систему по протоколу ICAP. ICAP используется для интеграции систем контентного анализа с другими системами, например, с песочницами, DLP, и т.д.

Для интеграции с внешними системами по ICAP необходимо сделать следующие действия:

1. В разделе «Контроль доступа» - «Межсетевой экран» - «ICAP-сервисы» необходимо создать сервис, который будет отправлять трафик на дополнительную проверку на внешние системы.

2. Указать параметры, согласно которым будет работать сервис:

• Адрес и порт подключения к внешнему серверу;
• Размер файла, передаваемого по запросу от ICAP-сервера;
• Проверка входящего/исходящего трафика;
• Типы передаваемого контента.

3. Добавить созданный ICAP-сервис в профиль Web/FTP-фильтрации

Пример интеграции с песочницей PT Sandbox:

Важно отметить, что ICAP в Континент 4.1.5 работает и в активном, и в пассивном режиме, в зависимости от внешней системы. Например, с песочницами Афина и PT Sandbox ICAP работает в активном режиме, а с песочницей KATA – в пассивном, то есть Континент не ждет результат обработки в модуле.

Указание IP-адресов в качестве отправителя/получателя не всегда является удобным, особенно когда речь идет о динамически назначаемых адресах или о большом пуле IP-адресов, которые числятся за одним доменным именем. В таких случаях принято использовать в качестве отправителя/получателя доменные имена (FQDN).

Для использования фильтрации по FQDN необходимо сделать следующие действия:

1. В разделе «Контроль доступа» - «DNS-имена» необходимо создать объект.

Данные объекты можно добавлять в правила сразу, либо, при необходимости, создать группу, в которой объединить несколько объектов «DNS-имя».

2. Создать правила межсетевого экранирования, в которых в качестве «Отправителя» или «Получателя» указать объект типа «DNS-имя»

«Модуль поведенческого анализа» – самообучаемый модуль, для обнаружения сетевых атак, сканирования и угроз типа «отказ в обслуживании» (DoS). Данный модуль функционировал и до версии 4.1.5. В новой версии его доработали и теперь есть возможность самостоятельно конфигурировать параметры обнаружения DoS-атак.

В Континент 4.1.5 был добавлен функционал обнаружения соседствующих узлов. Функционал комплекса позволяет сетевым устройствам комплекса принимать от других сетевых устройств той же сети информацию об их существовании и характеристиках, и, в свою очередь, отправлять аналогичную информацию о себе. Для обмена данными используется протокол LLDP.

Доступ к полученным данным о соседствующих устройствах осуществляется по протоколу SNMP. Отображение собранных данных реализовано в подсистеме мониторинга комплекса.

Настройка механизма обнаружения соседствующих сетевых устройств производится в МК в свойствах узла безопасности (МК – Структура – Узел безопасности – Свойства) на вкладке "LLDP".

Как итог, можно сказать, что команда Код Безопасности провела огромную работу для выхода Континент 4.1.5. И новый функционал может существенно повысить уровень сетевой безопасности.

Такой получилась версия Континент 4.1.5.

А вот ответ на вопрос:
– обновляться ли до 4.1.5?
– конечно да!

Автор: Дмитрий Лебедев, инженер TS Solution