Разработка и тестирование демонстрационной среды для отечественных сетевых средств защиты информации

Актуальность темы импортозамещения в сфере сетевых средств защиты информации обусловлена существенными изменениями на российском рынке информационной безопасности (ИБ). Уход зарубежных производителей с отечественного рынка ИБ привел к полной или частичной блокировке их решений в сетевых инфраструктурах конечных потребителей, создавая необходимость в развитии и применении отечественных альтернатив. Таким образом, возникает потребность в анализе имеющихся сетевых средств защиты информации, произведенных в Российской Федерации, и оценке их эффективности и применимости в различных сетевых инфраструктурах.

Для оценки эффективности отечественных решений в области сетевых средств защиты информации

При выборе отечественного решения в области защиты информации необходимо провести всесторонний анализ требований, которые обычно предъявляются к зарубежным средствам и технологиям. Этот анализ должен стать неотъемлемой частью процесса выбора отечественных средств защиты информации (СЗИ). Кроме того, при определении и выборе отечественного СЗИ необходимо проанализировать его универсальность для различных корпоративных сетей и его совместимость с другими информационными системами, наиболее часто встречающимися в сетевых инфраструктурах предприятий.

Цель данной работы заключается в создании демонстрационной среды информационной инфраструктуры с применением отечественного межсетевого экрана нового поколения. Для достижения этой цели поставлены задачи:

1. Выявить функциональные требования, предъявляемые к сетевым средствам защиты информации.

2. Провести проектирование демонстрационной среды информационной инфраструктуры.

3. Провести тестирование демонстрационной среды с развернутым отечественным межсетевым экраном.

Анализ актуальности импортозамещения на отечественном рынке информационной безопасности показывает, что уход зарубежных производителей с российского рынка ИБ и рост атак со стороны зарубежных злоумышленников привели к практически одномоментному открытию большого количества уязвимостей в сетевой инфраструктуре предприятий. Это увеличивает шансы получения несанкционированного доступа к информационным системам и информации, обрабатываемой в них.

Согласно данным компании «Positive Technologies», в 2023 году продолжилась тенденция наращивания количества и разнообразия кибератак на российские компании

На начало 2022 года преобладающую долю рынка сетевой информационной безопасности занимали межсетевые экраны иностранного производства. Однако дальнейшие события привели к существенным сложностям для организаций, использующих эти продукты:

- Блокировка работы функционала своих продуктов на территории РФ.

- Ограничение доступа к базам знаний и технической поддержке.

- Блокировка продаж лицензий на существующее оборудование.

Все это оказало влияние на развитие процесса импортозамещения в сфере ИБ на отечественном рынке. Кроме того, законодательные меры, такие как Указ Президента Российской Федерации №166 от 30.03.2022 г., устанавливают запрет на применение иностранных ПО и оборудования на стратегических информационных системах с января 2025 года.

Новизна и оригинальность работы заключаются в разработке и тестировании отечественного решения, способного заменить зарубежные аналоги, обеспечивая высокий уровень защиты корпоративных сетей. В отличие от существующих зарубежных решений, отечественные межсетевые экраны адаптированы к российским стандартам безопасности и законодательным требованиям, что делает их предпочтительными для использования в отечественных корпоративных сетях.

Таким образом, данный проект направлен на разработку и внедрение отечественного решения в сфере сетевой защиты информации, что является важным шагом для обеспечения информационной безопасности российских предприятий и организаций.

Для обеспечения надежной защиты корпоративных сетей от различных угроз и атак необходимо тщательно определить ключевые функции, которыми должны обладать межсетевые экраны нового поколения. Это особенно актуально в условиях импортозамещения, когда отечественные производители стремятся предложить продукты, конкурентоспособные с международными аналогами. Анализ функциональных требований, выявленных в опросе специалистов по информационной безопасности предприятий, позволяет выделить следующие ключевые характеристики, необходимые для выбора решения для демонстрационной среды:

1) Поддержка централизованного управления: централизованное управление позволяет администраторам эффективно контролировать и настраивать межсетевые экраны из одного центрального интерфейса. Это упрощает управление большими сетевыми инфраструктурами, снижает затраты на администрирование и минимизирует риск ошибок при настройке безопасности.

2) Наличие функционала системы обнаружения и предотвращения вторжений (IDPS): система обнаружения и предотвращения вторжений является критически важной для своевременного выявления и нейтрализации угроз. Она анализирует сетевой трафик в реальном времени, используя сигнатуры и эвристические методы для обнаружения аномалий и вредоносной активности.

3) Встроенный потоковый антивирус: наличие встроенного антивируса позволяет межсетевому экрану проверять входящий и исходящий трафик на наличие вредоносного программного обеспечения. Это обеспечивает дополнительный уровень защиты от вирусов, червей и других типов вредоносного ПО, проникающего через сеть.

4) Возможность организации защищенного удаленного доступа (VPN): защищенный удаленный доступ с использованием VPN-клиента необходим для обеспечения безопасного подключения удаленных пользователей к корпоративной сети. Это особенно важно в условиях увеличения числа удаленных сотрудников и необходимости обеспечения безопасности при доступе к корпоративным ресурсам.

5) Механизмы обеспечения отказоустойчивости, резервирования и кластеризации: поддержка отказоустойчивости и резервирования критически важна для обеспечения непрерывной работы сетевой инфраструктуры. Кластеризация межсетевых экранов позволяет распределить нагрузку и обеспечить автоматическое переключение на резервный узел в случае сбоя основного.

6) Поддержка не менее 1000 приложений: широкая поддержка приложений позволяет межсетевому экрану эффективно управлять и контролировать трафик различных приложений, обеспечивая их безопасность и производительность.

7) Возможность URL-фильтрации: URL-фильтрация предоставляет возможность блокировать доступ к нежелательным или вредоносным веб-сайтам, что способствует защите пользователей и корпоративной сети от фишинга и других интернет-угроз.

8) Блокировка доступа к вредоносным сайтам: эта функция позволяет автоматически блокировать доступ к сайтам, содержащим вредоносное ПО или участвующим в фишинговых атаках, защищая пользователей и данные от киберугроз.

9) Поддержка протоколов динамической маршрутизации: динамическая маршрутизация позволяет межсетевому экрану автоматически адаптироваться к изменениям в сетевой топологии, обеспечивая оптимальный маршрут для трафика и повышая общую производительность сети.

10) Поддержка HTTPS-инспекции: инспекция HTTPS-трафика необходима для проверки зашифрованных данных, что позволяет обнаруживать и блокировать угрозы, скрытые в зашифрованных соединениях.

11) Режим пакетной фильтрации с контролем сессий: пакетная фильтрация с контролем сессий позволяет более детально анализировать сетевой трафик, обеспечивая высокий уровень безопасности и предотвращая несанкционированный доступ.

12) Наличие сертификата ФСТЭК не ниже 6 уровня доверия: сертификат ФСТЭК подтверждает соответствие межсетевого экрана установленным стандартам безопасности и надежности, что является обязательным требованием для использования в государственных и корпоративных сетях.

13) Интеграция с контроллерами домена: интеграция с контроллерами домена позволяет межсетевому экрану эффективно управлять доступом пользователей и контролировать сетевой трафик на основе учетных записей и групп, определенных в домене.

14) Включение отдельных сигнатур в режим обнаружения или предотвращения: гибкость в управлении сигнатурами позволяет адаптировать систему обнаружения и предотвращения вторжений под специфические требования безопасности организации, повышая эффективность защиты.

Эти функциональные требования являются основой для разработки и выбора межсетевых экранов нового поколения, обеспечивая надежную защиту корпоративных сетей от различных угроз и атак.

Ниже представлена информация о физическом и логическом подключении демонстрационной среды. Данная информация является основой для дальнейшей настройки компонентов стенда.

Компоненты демонстрационного стенда подключаются к сетевому оборудованию согласно таблице 1.

Структурная схема подключения оборудования представлена ниже на рисунке 1.

Рисунок 1 - Структурная схема

DOI:10.60797/IRJ.2024.146.99.2

Сегменты, выделяемые на компонентах демонстрационной среды приведены в таблице 2.

Настройка статической маршрутизации шлюзов кластеров МЭ и кластера криптографической защиты каналов связи выполняется в соответствии с таблицей 3.

Логическая схема подключения оборудования стенда приведена на рисунке 2.

Рисунок 2 - Логическая схема

DOI:10.60797/IRJ.2024.146.99.5

Данные о физическом и логическом подключении демонстрационной среды являются результатом проектирования этой среды. Эта информация представляет собой основу для начальной конфигурации компонентов системы и позволяет обеспечить их взаимосвязь и работоспособность. Важно понимать, что эти данные не только описывают, как компоненты связаны друг с другом, но и определяют шаги по настройке и эксплуатации системы.

Для проверки интеграции работы МЭ UserGate с Active Directory

[6]

,

[7]

требуется создать тестовое правило для проверяемого пользователя (Рис. 3).

Рисунок 3 - Разрешающее правило

DOI:10.60797/IRJ.2024.146.99.6

Введем тестовую машину с IP адресом 192.168.11.139 в тестовый домен и проведем авторизации под пользователей Тестовый пользователь. Проведем проверку доступа в интернет. Доступ в интернет у тестового пользователя имеется, также проверяем, что пользователь определился в журналах событий UserGate

[8]

,

[9]

(Рис. 4).

Рисунок 4 - Журнал трафика разрешающий

DOI:10.60797/IRJ.2024.146.99.7

Изменим действие правила на «Запретить» и проверим доступ в интернет по данному правилу (Рис. 5).

Рисунок 5 - Запрещающее правило

DOI:10.60797/IRJ.2024.146.99.8

При обращении к ресурсу 8.8.8.8 трафик не проходит, соединение блокируется правилом №1, о чем присутствует запись в журнале системных событий сервера Log Analyzer (Рис. 6).

Рисунок 6 - Журнал трафика запрещающий

DOI:10.60797/IRJ.2024.146.99.9

При проверке наличия данных событий в SIEM системе также был получен положительный результат. В системе сбора системных журналов успешно отображаются данные – это говорит о том, что система МЭ успешно отправляет syslog события в систему. Об этом также свидетельствует наличие пакетов syslog в файле, собранном командой tcpdump (Рис. 7).

Рисунок 7 - Файл tcpdump

DOI:10.60797/IRJ.2024.146.99.10

Для проверки модуля антивируса в системе UserGate были проведены работы по обращению к различным зловредным ресурсам из сети Интернет с тестовой рабочей машины. При обращении к зловредным ресурсам у тестового пользователя был оборван доступ в Интернет, а в журналах событий информационной безопасности отображаются соответствующие записи (Рис. 8, 9).

Рисунок 8 - Блокировка антивирусом

DOI:10.60797/IRJ.2024.146.99.11

Рисунок 9 - Блокировка антивирусом

DOI:10.60797/IRJ.2024.146.99.12

Для проверки работоспособности модуля СОВ запустим множественные сканирования через ОС Kali Linux командой nmap -sS -O 192.168.11.139. В результате многие порты были не обнаружены системой nmap, так как МЭ обрывал новые соединение, когда обнаружил сработки сигнатуры сканирования, о чем присутствует запись в журнале СОВ (Рис. 10).

Рисунок 10 - Журналы СОВ

DOI:10.60797/IRJ.2024.146.99.13

Далее проводится проверка определения троянской программы, которая запускает реверсивное управление командной строки на атакуемом устройстве.

На время тестов отключим работу модуля СОВ и запустим выполнение зловредного троянского кода командой msfpayload windows/ meterpreter/reverse_tcp LHOST=<192.168.110.97> X > Desktop/Backdoor.exe.

После создания файла с внедренным эксплойтом необходимо перенести файл на атакуемую машину и запустить его. Файл на созданной машине запустился без ошибок, эксплойт установлен успешно (Рис. 11).

Рисунок 11 - Установка эксплойта в тестируемой машине

DOI:10.60797/IRJ.2024.146.99.14

Подключение к удаленному узлу, используя shell означает, что политики СОВ пропустила данный эксплойт, это означает, что эксплойт работает корректно.

Переведем модуль СОВ в активное состояние и повторим данный вид атаки, убедимся, что команда shell не дает никаких результатов, а в журналах событий модуля СОВ присутствуют соответствующие записи (Рис. 12).

Рисунок 12 - Блокировка троянской активности

DOI:10.60797/IRJ.2024.146.99.15

Для нагрузочного тестирования будут использованы два варианта тестов:

- через ПО Iperf;

- через ПО Cisco TRex.

Рассмотрим первый вариант тестирования. Для реализации данного тестирования запустим ПО Iperf на обоих АРМах из сегментов сети 192.168.10.0/24 и 192.168.20.0/24. Один АРМ будет выступать в роли инициатора трафика, другой в качестве приемника трафика. Для получения максимально правдивых результатов команда для запуска ПО будет одинаковая для различных вариантов тестирования – iperf3.exe -c 192.168.10.4.

Параметры проведенного тестирования и его результаты представлены в таблице 3.

По результатам нагрузочного тестирования видно, что ПО Iperf

Приступим к тестированию 2 варианта реализации нагрузочных тестов. Для нагрузочных тестов был использован следующая конфигурация для генерации трафика:

- максимальные HTTPS = 800 000 активных сессий;

- генерация UDP трафика без сессий максимальная пропускная способность в 15 Гбит/c;

- EMIX трафик 10 GB/s и 786444 сессии.

По результатам данного варианта нагрузочного тестирования удалось получить следующие результаты (Табл. 4)

По результатам второго нагрузочного тестирования результаты при использовании разных модулей МЭ и разного количества правил практически идентичные. Это говорит о том, что производительность МЭ UserGate линейно не зависит от количества включенных модулей и количества правил МЭ.

Для получения более точных результатов тестирования требуется развернуть физический сервер с сетевой картой 40 Гбит/с для сервера нагрузочного тестирования. В рамках данной работы провести такого рода тесты не представляется возможным.

Для осуществления подключения и проверки работоспособности решения требуется настроить клиентскую машину под ОС Windows. Будут использованы встроенные в ОС средства установки VPN соединения. В окне установки VPN соединения требуется указать публичный IP адрес, к которому будут осуществляться подключения, а также метод подключения – для тестовой среды используется метод L2TP over IPsec (Рис. 13).

Рисунок 13 - Настройка VPN

DOI:10.60797/IRJ.2024.146.99.18

После успешного ввода логина пароля пользователь был подключен к инфраструктуре среды и имеет доступ к информационным ресурсам стенда. Также в журналах системных событий присутствует соответствующая запись об успешной установке подключения к VPN (Рис. 14).

Рисунок 14 - Событие подключения к VPN

DOI:10.60797/IRJ.2024.146.99.19

Подключение через протокол Site-to-Site осуществляется аналогичным образом, что и для Remote Site, только подключение осуществляется уже не с конечным клиентом, а маршрутизирующим оборудованием. В нашем случае маршрутизатор Mikrotik, который расположен на удаленной площадке. Для инициализации удаленного подключение требуется назначить настройки первой и второй фазы VPN, данные фазы должны содержать идентичные алгоритмы, что и на UserGate. По результатам был создан профиль на оборудовании Mikrotik

[12]

, который представлен ниже (Рис. 15, 16).

Рисунок 15 - Первая фаза Site-to-site

DOI:10.60797/IRJ.2024.146.99.20

Рисунок 16 - Вторая фаза Site-to-site

DOI:10.60797/IRJ.2024.146.99.21

Следующим этапом выполняется указание публичного IP адреса шлюза, к которому будет осуществлено подключение и строится соединение VPN. По результату установки VPN соединения маршрутизатор Mikrotik и МЭ UserGate обмениваются маршрутами, которые участвуют в VPN, тем самым разрешая строить соединение между двумя ЛВС. Соединения VPN проходят также через политику МЭ, что позволяет руководить соединением и доступами к конечным ресурсам.

Импортозамещение в сфере сетевых средств защиты информации является актуальной задачей, обусловленной значительными изменениями на российском рынке информационной безопасности. Уход зарубежных производителей и увеличение количества кибератак привели к необходимости разработки и внедрения отечественных решений, способных обеспечить надежную защиту информационных систем российских организаций.

В ходе работы была создана демонстрационная тестовая среда, которая позволила оценить функциональность и безопасность отечественного межсетевого экрана нового поколения. Были проведены тестирования различных модулей, таких как антивирус и система обнаружения и предотвращения вторжений, а также нагрузочные тестирования с использованием ПО Iperf и Cisco TRex

Внедрение отечественных средств защиты информации, соответствующих требованиям российских стандартов безопасности, позволит снизить риски, связанные с использованием зарубежного ПО и оборудования, и повысить уровень информационной безопасности в стране. Дальнейшее развитие и совершенствование отечественных решений в этой области будет способствовать укреплению национальной информационной безопасности и независимости.

Таким образом, данная работа внесла значительный вклад в процесс импортозамещения в сфере сетевой защиты информации и показала потенциал российских продуктов для обеспечения надежной и эффективной защиты корпоративных сетей от различных угроз и атак.