1. Введение
Актуальность темы импортозамещения в сфере сетевых средств защиты информации обусловлена существенными изменениями на российском рынке информационной безопасности (ИБ). Уход зарубежных производителей с отечественного рынка ИБ привел к полной или частичной блокировке их решений в сетевых инфраструктурах конечных потребителей, создавая необходимость в развитии и применении отечественных альтернатив. Таким образом, возникает потребность в анализе имеющихся сетевых средств защиты информации, произведенных в Российской Федерации, и оценке их эффективности и применимости в различных сетевых инфраструктурах.
Для оценки эффективности отечественных решений в области сетевых средств защиты информации [1], [2] требуется разработать демонстрационную тестовую среду. Разработка среды позволит не только протестировать функциональность и безопасность российских продуктов, но и продемонстрировать их потенциал специалистам информационной безопасности и другим заинтересованным сторонам, способствуя укреплению доверия к отечественным средствам защиты информации и содействуя развитию национальной отрасли информационной безопасности.
При выборе отечественного решения в области защиты информации необходимо провести всесторонний анализ требований, которые обычно предъявляются к зарубежным средствам и технологиям. Этот анализ должен стать неотъемлемой частью процесса выбора отечественных средств защиты информации (СЗИ). Кроме того, при определении и выборе отечественного СЗИ необходимо проанализировать его универсальность для различных корпоративных сетей и его совместимость с другими информационными системами, наиболее часто встречающимися в сетевых инфраструктурах предприятий.
Цель данной работы заключается в создании демонстрационной среды информационной инфраструктуры с применением отечественного межсетевого экрана нового поколения. Для достижения этой цели поставлены задачи:
1. Выявить функциональные требования, предъявляемые к сетевым средствам защиты информации.
2. Провести проектирование демонстрационной среды информационной инфраструктуры.
3. Провести тестирование демонстрационной среды с развернутым отечественным межсетевым экраном.
Анализ актуальности импортозамещения на отечественном рынке информационной безопасности показывает, что уход зарубежных производителей с российского рынка ИБ и рост атак со стороны зарубежных злоумышленников привели к практически одномоментному открытию большого количества уязвимостей в сетевой инфраструктуре предприятий. Это увеличивает шансы получения несанкционированного доступа к информационным системам и информации, обрабатываемой в них.
Согласно данным компании «Positive Technologies», в 2023 году продолжилась тенденция наращивания количества и разнообразия кибератак на российские компании [3]. За первое полугодие 2023 года количество инцидентов выросло на 17% относительно того же периода 2022 года. Выросла доля целевых атак, они составили 78% от общего количества [4]. Для организаций самыми распространенными последствиями успешных кибератак стали утечки конфиденциальной информации (67%) и нарушение основной деятельности (44%) [5].
На начало 2022 года преобладающую долю рынка сетевой информационной безопасности занимали межсетевые экраны иностранного производства. Однако дальнейшие события привели к существенным сложностям для организаций, использующих эти продукты:
- Блокировка работы функционала своих продуктов на территории РФ.
- Ограничение доступа к базам знаний и технической поддержке.
- Блокировка продаж лицензий на существующее оборудование.
Все это оказало влияние на развитие процесса импортозамещения в сфере ИБ на отечественном рынке. Кроме того, законодательные меры, такие как Указ Президента Российской Федерации №166 от 30.03.2022 г., устанавливают запрет на применение иностранных ПО и оборудования на стратегических информационных системах с января 2025 года.
Новизна и оригинальность работы заключаются в разработке и тестировании отечественного решения, способного заменить зарубежные аналоги, обеспечивая высокий уровень защиты корпоративных сетей. В отличие от существующих зарубежных решений, отечественные межсетевые экраны адаптированы к российским стандартам безопасности и законодательным требованиям, что делает их предпочтительными для использования в отечественных корпоративных сетях.
Таким образом, данный проект направлен на разработку и внедрение отечественного решения в сфере сетевой защиты информации, что является важным шагом для обеспечения информационной безопасности российских предприятий и организаций.
2. Функциональные требования к межсетевым экранам нового поколения
Для обеспечения надежной защиты корпоративных сетей от различных угроз и атак необходимо тщательно определить ключевые функции, которыми должны обладать межсетевые экраны нового поколения. Это особенно актуально в условиях импортозамещения, когда отечественные производители стремятся предложить продукты, конкурентоспособные с международными аналогами. Анализ функциональных требований, выявленных в опросе специалистов по информационной безопасности предприятий, позволяет выделить следующие ключевые характеристики, необходимые для выбора решения для демонстрационной среды:
1) Поддержка централизованного управления: централизованное управление позволяет администраторам эффективно контролировать и настраивать межсетевые экраны из одного центрального интерфейса. Это упрощает управление большими сетевыми инфраструктурами, снижает затраты на администрирование и минимизирует риск ошибок при настройке безопасности.
2) Наличие функционала системы обнаружения и предотвращения вторжений (IDPS): система обнаружения и предотвращения вторжений является критически важной для своевременного выявления и нейтрализации угроз. Она анализирует сетевой трафик в реальном времени, используя сигнатуры и эвристические методы для обнаружения аномалий и вредоносной активности.
3) Встроенный потоковый антивирус: наличие встроенного антивируса позволяет межсетевому экрану проверять входящий и исходящий трафик на наличие вредоносного программного обеспечения. Это обеспечивает дополнительный уровень защиты от вирусов, червей и других типов вредоносного ПО, проникающего через сеть.
4) Возможность организации защищенного удаленного доступа (VPN): защищенный удаленный доступ с использованием VPN-клиента необходим для обеспечения безопасного подключения удаленных пользователей к корпоративной сети. Это особенно важно в условиях увеличения числа удаленных сотрудников и необходимости обеспечения безопасности при доступе к корпоративным ресурсам.
5) Механизмы обеспечения отказоустойчивости, резервирования и кластеризации: поддержка отказоустойчивости и резервирования критически важна для обеспечения непрерывной работы сетевой инфраструктуры. Кластеризация межсетевых экранов позволяет распределить нагрузку и обеспечить автоматическое переключение на резервный узел в случае сбоя основного.
6) Поддержка не менее 1000 приложений: широкая поддержка приложений позволяет межсетевому экрану эффективно управлять и контролировать трафик различных приложений, обеспечивая их безопасность и производительность.
7) Возможность URL-фильтрации: URL-фильтрация предоставляет возможность блокировать доступ к нежелательным или вредоносным веб-сайтам, что способствует защите пользователей и корпоративной сети от фишинга и других интернет-угроз.
8) Блокировка доступа к вредоносным сайтам: эта функция позволяет автоматически блокировать доступ к сайтам, содержащим вредоносное ПО или участвующим в фишинговых атаках, защищая пользователей и данные от киберугроз.
9) Поддержка протоколов динамической маршрутизации: динамическая маршрутизация позволяет межсетевому экрану автоматически адаптироваться к изменениям в сетевой топологии, обеспечивая оптимальный маршрут для трафика и повышая общую производительность сети.
10) Поддержка HTTPS-инспекции: инспекция HTTPS-трафика необходима для проверки зашифрованных данных, что позволяет обнаруживать и блокировать угрозы, скрытые в зашифрованных соединениях.
11) Режим пакетной фильтрации с контролем сессий: пакетная фильтрация с контролем сессий позволяет более детально анализировать сетевой трафик, обеспечивая высокий уровень безопасности и предотвращая несанкционированный доступ.
12) Наличие сертификата ФСТЭК не ниже 6 уровня доверия: сертификат ФСТЭК подтверждает соответствие межсетевого экрана установленным стандартам безопасности и надежности, что является обязательным требованием для использования в государственных и корпоративных сетях.
13) Интеграция с контроллерами домена: интеграция с контроллерами домена позволяет межсетевому экрану эффективно управлять доступом пользователей и контролировать сетевой трафик на основе учетных записей и групп, определенных в домене.
14) Включение отдельных сигнатур в режим обнаружения или предотвращения: гибкость в управлении сигнатурами позволяет адаптировать систему обнаружения и предотвращения вторжений под специфические требования безопасности организации, повышая эффективность защиты.
Эти функциональные требования являются основой для разработки и выбора межсетевых экранов нового поколения, обеспечивая надежную защиту корпоративных сетей от различных угроз и атак.
3. Проектирование демонстрационной среды
Ниже представлена информация о физическом и логическом подключении демонстрационной среды. Данная информация является основой для дальнейшей настройки компонентов стенда.
Компоненты демонстрационного стенда подключаются к сетевому оборудованию согласно таблице 1.
Параметры подключения оборудования
| Оборудование | Порт | Сетевое оборудование | Порт |
| ПАК UserGate E1000 | port8 | Внутренний коммутатор Cisco Extreme №1 | XGi0/0/25 |
| port9 | Внутренний коммутатор Cisco Extreme №1 | XGi0/0/26 | |
| port10 | Внешний коммутатор Cisco Extreme №2 | XGi0/0/25 | |
| port11 | Внешний коммутатор Cisco Extreme №2 | XGi0/0/26 | |
| port6 | ПАК UserGate E1000 | port6 | |
| port7 | ПАК UserGate E1000 | port7 | |
| ПАК UserGate E1000 | port8 | Внутренний коммутатор Cisco Extreme №1 | XGi0/0/27 |
| port9 | Внутренний коммутатор Cisco Extreme №1 | XGi0/0/28 | |
| port10 | Внешний коммутатор Cisco Extreme №2 | XGi0/0/27 | |
| port11 | Внешний коммутатор Cisco Extreme №2 | XGi0/0/28 | |
| port6 | ПАК UserGate E1000 | port6 | |
| port7 | ПАК UserGate E1000 | port7 |
Структурная схема
Структурная схема подключения оборудования представлена ниже на рисунке 1.Сегменты, выделяемые на компонентах демонстрационной среды приведены в таблице 2.
Сегменты, выделяемые на компонентах среды
| Наименование сегмента | IP-адрес/маска | Номер Vlan |
| Сегмент Интернет | 10.210.120.24/29 | - |
| Сегмент тестовой нагрузки №1 | 192.168.10.0/29 | 10 |
| Сегмент тестовой нагрузки №2 | 192.168.20.0/29 | 20 |
| Сегмент синхронизации | 192.168.255.252/30 | - |
| Сегмент транзитный с внутренней сеть. | 10.210.120.16/29 | - |
| Сегмент пользовательский | 192.168.11.0/24 | 11 |
| Сегмент серверный | 192.168.110.0/24 | 110 |
| Сегмент нагрузочный | 192.168.111.0/24 | 111 |
| Внешний сегмент VPN (пользователи) | 172.16.1.0/24 | - |
Настройка статической маршрутизации шлюзов кластеров МЭ и кластера криптографической защиты каналов связи выполняется в соответствии с таблицей 3.
Настройки статической маршрутизации кластера МЭ
| Сеть назначения | Маска подсети | Шлюз |
| 0.0.0.0 | 0.0.0.0 | 10.210.120.30 |
| 192.168.11.0 | 255.255.255.0 | 10.210.120.22 |
| 192.168.110.0 | 255.255.255.0 | 10.210.120.22 |
| 192.168.111.0 | 255.255.255.0 | 10.210.120.22 |
Логическая схема
Логическая схема подключения оборудования стенда приведена на рисунке 2.Данные о физическом и логическом подключении демонстрационной среды являются результатом проектирования этой среды. Эта информация представляет собой основу для начальной конфигурации компонентов системы и позволяет обеспечить их взаимосвязь и работоспособность. Важно понимать, что эти данные не только описывают, как компоненты связаны друг с другом, но и определяют шаги по настройке и эксплуатации системы.
4. Тестирование демонстрационной среды
Разрешающее правило
Журнал трафика разрешающий
Запрещающее правило
Журнал трафика запрещающий
Файл tcpdump
Блокировка антивирусом
Блокировка антивирусом
Журналы СОВ
Для проверки интеграции работы МЭ UserGate с Active Directory [6], [7] требуется создать тестовое правило для проверяемого пользователя (Рис. 3).Введем тестовую машину с IP адресом 192.168.11.139 в тестовый домен и проведем авторизации под пользователей Тестовый пользователь. Проведем проверку доступа в интернет. Доступ в интернет у тестового пользователя имеется, также проверяем, что пользователь определился в журналах событий UserGate [8], [9] (Рис. 4).Изменим действие правила на «Запретить» и проверим доступ в интернет по данному правилу (Рис. 5).При обращении к ресурсу 8.8.8.8 трафик не проходит, соединение блокируется правилом №1, о чем присутствует запись в журнале системных событий сервера Log Analyzer (Рис. 6).При проверке наличия данных событий в SIEM системе также был получен положительный результат. В системе сбора системных журналов успешно отображаются данные – это говорит о том, что система МЭ успешно отправляет syslog события в систему. Об этом также свидетельствует наличие пакетов syslog в файле, собранном командой tcpdump (Рис. 7).Для проверки модуля антивируса в системе UserGate были проведены работы по обращению к различным зловредным ресурсам из сети Интернет с тестовой рабочей машины. При обращении к зловредным ресурсам у тестового пользователя был оборван доступ в Интернет, а в журналах событий информационной безопасности отображаются соответствующие записи (Рис. 8, 9).Для проверки работоспособности модуля СОВ запустим множественные сканирования через ОС Kali Linux командой nmap -sS -O 192.168.11.139. В результате многие порты были не обнаружены системой nmap, так как МЭ обрывал новые соединение, когда обнаружил сработки сигнатуры сканирования, о чем присутствует запись в журнале СОВ (Рис. 10).Далее проводится проверка определения троянской программы, которая запускает реверсивное управление командной строки на атакуемом устройстве.
На время тестов отключим работу модуля СОВ и запустим выполнение зловредного троянского кода командой msfpayload windows/ meterpreter/reverse_tcp LHOST=<192.168.110.97> X > Desktop/Backdoor.exe.
Установка эксплойта в тестируемой машине
После создания файла с внедренным эксплойтом необходимо перенести файл на атакуемую машину и запустить его. Файл на созданной машине запустился без ошибок, эксплойт установлен успешно (Рис. 11).Подключение к удаленному узлу, используя shell означает, что политики СОВ пропустила данный эксплойт, это означает, что эксплойт работает корректно.
Блокировка троянской активности
Переведем модуль СОВ в активное состояние и повторим данный вид атаки, убедимся, что команда shell не дает никаких результатов, а в журналах событий модуля СОВ присутствуют соответствующие записи (Рис. 12).Для нагрузочного тестирования будут использованы два варианта тестов:
- через ПО Iperf;
- через ПО Cisco TRex.
Рассмотрим первый вариант тестирования. Для реализации данного тестирования запустим ПО Iperf на обоих АРМах из сегментов сети 192.168.10.0/24 и 192.168.20.0/24. Один АРМ будет выступать в роли инициатора трафика, другой в качестве приемника трафика. Для получения максимально правдивых результатов команда для запуска ПО будет одинаковая для различных вариантов тестирования – iperf3.exe -c 192.168.10.4.
Параметры проведенного тестирования и его результаты представлены в таблице 3.
Результаты нагрузочного тестирования iperf
| № п/п | Включенные модули | Результат при 1 правиле МЭ, Гбит/c | Результат при 300 правилах МЭ, Гбит/c |
| 1. | МЭ | 1 | 1 |
| 2. | МЭ + АВ | 1 | 1 |
| 3. | МЭ + СОВ | 1 | 1 |
| 4. | МЭ+АВ+СОВ | 1 | 0,98 |
По результатам нагрузочного тестирования видно, что ПО Iperf [10], [11] не может выдать количество трафика более 1 Гбит в секунду, в связи с этим результаты тестирования получаются не достоверными.
Приступим к тестированию 2 варианта реализации нагрузочных тестов. Для нагрузочных тестов был использован следующая конфигурация для генерации трафика:
- максимальные HTTPS = 800 000 активных сессий;
- генерация UDP трафика без сессий максимальная пропускная способность в 15 Гбит/c;
- EMIX трафик 10 GB/s и 786444 сессии.
По результатам данного варианта нагрузочного тестирования удалось получить следующие результаты (Табл. 4
По результатам второго нагрузочного тестирования результаты при использовании разных модулей МЭ и разного количества правил практически идентичные. Это говорит о том, что производительность МЭ UserGate линейно не зависит от количества включенных модулей и количества правил МЭ.
Для получения более точных результатов тестирования требуется развернуть физический сервер с сетевой картой 40 Гбит/с для сервера нагрузочного тестирования. В рамках данной работы провести такого рода тесты не представляется возможным.
Результаты нагрузочного тестирования Cisco TRex
| № п/п | Включенные модули | Тип трафика | Результат при 1 правиле МЭ, Гбит/c | Результат при 300 правилах МЭ, Гбит/c |
| 1. | МЭ | HTTPS | 20 | 20 |
| 2. | МЭ | UDP | 15 | 15 |
| 3. | МЭ | EMIX | 10 | 10 |
| 4. | МЭ + АВ | HTTPS | 20 | 19 |
| 5. | МЭ + АВ | UDP | 15 | 13,5 |
| 6. | МЭ + АВ | EMIX | 10 | 10 |
| 7. | МЭ+АВ+СОВ | HTTPS | 20 | 19,8 |
| 8. | МЭ+АВ+СОВ | UDP | 15 | 15 |
| 9. | МЭ+АВ+СОВ | EMIX | 10 | 8,8 |
Настройка VPN
Событие подключения к VPN
Первая фаза Site-to-site
Вторая фаза Site-to-site
Для осуществления подключения и проверки работоспособности решения требуется настроить клиентскую машину под ОС Windows. Будут использованы встроенные в ОС средства установки VPN соединения. В окне установки VPN соединения требуется указать публичный IP адрес, к которому будут осуществляться подключения, а также метод подключения – для тестовой среды используется метод L2TP over IPsec (Рис. 13).После успешного ввода логина пароля пользователь был подключен к инфраструктуре среды и имеет доступ к информационным ресурсам стенда. Также в журналах системных событий присутствует соответствующая запись об успешной установке подключения к VPN (Рис. 14).Подключение через протокол Site-to-Site осуществляется аналогичным образом, что и для Remote Site, только подключение осуществляется уже не с конечным клиентом, а маршрутизирующим оборудованием. В нашем случае маршрутизатор Mikrotik, который расположен на удаленной площадке. Для инициализации удаленного подключение требуется назначить настройки первой и второй фазы VPN, данные фазы должны содержать идентичные алгоритмы, что и на UserGate. По результатам был создан профиль на оборудовании Mikrotik [12], который представлен ниже (Рис. 15, 16).Следующим этапом выполняется указание публичного IP адреса шлюза, к которому будет осуществлено подключение и строится соединение VPN. По результату установки VPN соединения маршрутизатор Mikrotik и МЭ UserGate обмениваются маршрутами, которые участвуют в VPN, тем самым разрешая строить соединение между двумя ЛВС. Соединения VPN проходят также через политику МЭ, что позволяет руководить соединением и доступами к конечным ресурсам.
5. Заключение
Импортозамещение в сфере сетевых средств защиты информации является актуальной задачей, обусловленной значительными изменениями на российском рынке информационной безопасности. Уход зарубежных производителей и увеличение количества кибератак привели к необходимости разработки и внедрения отечественных решений, способных обеспечить надежную защиту информационных систем российских организаций.
В ходе работы была создана демонстрационная тестовая среда, которая позволила оценить функциональность и безопасность отечественного межсетевого экрана нового поколения. Были проведены тестирования различных модулей, таких как антивирус и система обнаружения и предотвращения вторжений, а также нагрузочные тестирования с использованием ПО Iperf и Cisco TRex [13], [14]. Результаты тестов показали, что производительность межсетевого экрана UserGate нелинейно зависит от количества включенных модулей и количества правил, а также продемонстрировали его способность эффективно блокировать вредоносные активности и защищать корпоративные сети.
Внедрение отечественных средств защиты информации, соответствующих требованиям российских стандартов безопасности, позволит снизить риски, связанные с использованием зарубежного ПО и оборудования, и повысить уровень информационной безопасности в стране. Дальнейшее развитие и совершенствование отечественных решений в этой области будет способствовать укреплению национальной информационной безопасности и независимости.
Таким образом, данная работа внесла значительный вклад в процесс импортозамещения в сфере сетевой защиты информации и показала потенциал российских продуктов для обеспечения надежной и эффективной защиты корпоративных сетей от различных угроз и атак.