Железо

Новая статья: Обзор защитных средств шлюза Zyxel ZyWALL ATP200: от песочницы до облаков

Отличие её от остальных SMB-шлюзов серий USG и VPN отражено в названии: ATP расшифровывается как Advanced Threat Protection, то есть расширенная (или «продвинутая») защита от угроз. Серия ATP в семействе Zyxel ZyWALL появилась совсем недавно. Сразу же стоит отметить, что установка шлюза ATP, а точнее межсетевого экрана, не избавляет от необходимости использования любых других средств защиты, будь то антивирусы на клиентах, разумные политики безопасности и прочие стандартные практики. Функционально устройства ATP близки к USG, но в ATP есть ряд дополнительных возможностей для защиты сети и клиентов. Однако шлюз ATP способен снизить временные и финансовые затраты на безопасность, отсекая целый ряд угроз прямо на границе сети.

Хотя бы потому, что даже базовое руководство пользователя занимает восемьсот с лишним страниц. Отдельно останавливаться на базовых функциях устройства — на тесте у нас младшая модель ATP200 — мы не будем. Кратко ознакомиться с прародителем новинки можно в этом материале. И ещё на столько же тянет справочник с конкретными сценариями настроек на разные случаи жизни. Точно так же здесь сохранены VPN-серверы (L2TP/IPSec/SSL) и контроллер точек доступа, а вот вариантов со встроенными модулями Wi-Fi нет, как и опции HotSpot (и биллинга для неё тоже). Новинка унаследовала очень гибкую, но в то же время мощную объектно-ориентированную модель управления, позволяющую создать логично выстроенную систему многокритериальных политик.

Сравнение функциональности шлюзов Zyxel VPN/Zywall/USG/ATP

Модельный ряд

VPN

ZyWALLUSG

ATP

Песочница (Sandboxing)

Да 

Фильтр ботнет-сетей

Да

Контентный фильтр

Да

Да

Да

Патруль приложений

Да (кроме USG20(W)-VPN)

Да

Anti-Malware (База сигнатур от поставщика)

Да (кроме USG20(W)-VPN)

Да

Anti-Virus (Облачная база сигнатур от песочницы)

Да

Да

IDP

Да (кроме USG20(W)-VPN)

Да

Email Security (Антиспам)

Да

Да

Email Security (Антифишинг)

Да

Инспекция SSL-трафика

Да (начиная с VPN100)

Да (начиная с ZyWALL/USG110)

Да

Сервис статистики SecuReporter

Да

Да

Да

IPSec VPN

Да

Да

Да

SSL VPN

Да

Да

Да

Контроллер беспроводной сети

Да

Да (кроме USG20(W)-VPN)

Да

Подключение к облаку Amazon VPC

Да

Только через CLI

High Availability Pro (резервирование устройства)

Да (начиная с VPN100)

Да (начиная с ZyWALL/USG110)

Да

Управление хот-спотами (биллинг)

Да (начиная с VPN100)

Да (начиная с ZyWALL/USG110)

Facebook WiFi

Да

Да

Режим облегченной настройки

Да (только VPN50)

Да (только USG20/40/60)

Sandboxing (песочница) и Anti-Malware (защита от вредоносного ПО)

Такая функциональность была в USG, осталась и в ATP. Собственно потоковым антивирусом, который в реальном времени на лету сканирует и разбирает сетевой трафик, выискивая и блокируя в нём вредоносные объекты — по сигнатурам, конечно — сегодня никого не удивить. Она же и занимается обновлением базового набора сигнатур (а он тут не один), которые ежедневно попадают в ATP. Только движок сменился, теперь это решение компании BitDefender. По умолчанию также происходит распаковка архивов ZIP и RAR, в том числе вложенных. Помимо собственно проверки на лету, в настройках можно отдельно задать чёрный и белый списки с шаблонами имён файлов. Но и на этот случай есть опция уничтожения таких архивов. Если они, конечно, не зашифрованы. Так что любой подозрительный файл попросту не попадёт на клиентские устройства.

Второй же присутствует только в серии ATP, и это так называемая «облачная песочница». Но это только первый уровень защиты. И вот там он уже будет открыт внутри виртуальных машин с Windows и Mac OS, где будет просканирован «взрослым» антивирусом, который проведёт полноценный анализ, включая эвристические и прочие популярные методы. Если приходящий файл вызывает подозрения, но среди стандартных сигнатур под него ничего не найдётся, то в итоге шлюз отправит его в облако Zyxel. Впрочем, говорится, что проверка в облаке занимает до 15 минут. И у которого нет таких строгих ограничений по вычислительной мощности и времени обработки, как у самого шлюза. Естественно, всё общение с облаком идёт по защищённым каналам.

И уже эта база попадёт на все остальные шлюзы ATP. В случае если файл действительно окажется заражённым, то для него будет создана отдельная сигнатура, которая будет добавлена в облачную базу (Cloud Threat Database). Важный нюанс:  шлюз может отправлять в облако объекты размером от 32 байт до 8 Мбайт + при первом прохождении файла он не будет задержан шлюзом. Именно такой подход, когда выявление угроз происходит «всем миром», и позволяет оперативно реагировать на свежие угрозы, включая и 0-day. В общем, стандартный набор, который используется злоумышленниками для проникновения на машины жертв. Поддерживаемые облачной песочницей типы файлов на данный момент таковы: ZIP-архивы, исполняемые файлы (.exe), офисные документы (.xls, .xlsx, .pptx, .ppt, .pps, .doc ,.docx), swf-файлы (Adobe Flash), а также документы PDF и RTF. Если этого кажется мало, то не забывайте, что всё это лишь часть комплексной системы защиты, один из барьеров.

Заодно, кстати, легко выяснить, какие ресурсы отдают одинаковый файл всем, а какие могут вносить индивидуальные модификации в передачу. На практике между отправкой файла в песочницу и ответом проходит минут десять. А вот при обращении к действительно заражённым, динамически сгенерированным файлам доступ к ним блокируется в течение минуты-другой, хотя в логах их можно увидеть практически сразу. И даже материалы с собственных сайтов Zyxel не щадит, они тоже могут отправиться в песочницу. Это довольно простая функция, которая в URL с запросом к поисковой системе принудительно добавляет ключ для активации так называемого безопасного поиска (для Google, например, это safe=active), поэтому в выдаче не будет нехорошего контента. Кроме того, почему-то в настройки песочницы вынесена и опция SafeSearch. SafeSearch умеет работать с Google, Bing, Yahoo и Яндексом.

Идея очень простая — все поддерживаемые типы SSL/TLS-соединений заканчивают свой путь на шлюзе, а для клиентов создаются соединения уже от шлюза, но с собственным сертификатом. На очевидный вопрос «А что делать с зашифрованным трафиком?» есть не менее очевидный ответ: функция инспектирования SSL (SSL Inspection).  Естественно, на клиентских устройствах лучше импортировать «поддельный» сертификат с шлюза, чтобы приложения лишний раз не ругались (особенно современные браузеры). Так что на самом ATP весь такой трафик расшифрован и может быть проверен. 2, причём по факту TLS 1. На данный момент поддерживаются подключения вплоть до TLS 1. 1 «понижаются» до 1. 2 и 1. Поддержки TLS 1. 0 для инспекции. На практике могут возникнуть проблемы с отображением некоторых сайтов, например. 3 нет, равно как и некоторых опций вроде компрессии или аутентификации посредством клиентского сертификата. Впрочем, это легко решается добавлением ресурса/адреса в белый список.

ADP (обнаружение аномалий трафика) и IDP (защита от вторжений)

Под этим подразумевается выявление несоответствие RFC (фактически стандартов) и нетипичного поведения. ADP (Anomaly Detection and Prevention) — система, которая отслеживает нетипичное поведение сетевого трафика. База выявляемых активностей обновляет вместе с прошивкой. Система ADP работает для протоколов ICMP/UDP/TCP и умеет отсекать типичные методы исследования и атак вроде спуфинга, флуда, сканирования. Можно лишь выбрать уровень чувствительности, типы аномалий и зоны (сегменты сети), для которых ADP будет активна. Никаких особых настроек для ADP нет.

Система отслеживает попытки использования известных уязвимостей или проблем в сетевых приложениях и ОС, а также трафик, который генерируют зловреды. Если ADP работает на уровнях 2-3 OSI, то IDP (Intrusion Detection and Prevention) занимается разбором трафика на уровнях с 4 по 7. Эвристических методов тут нет — поиск ведётся по регулярно обновляемой базе сигнатур. Да и в принципе любую сетевую активность, связанную с различного рода угрозами. Собственно говоря, с помощью IDP можно заблокировать не просто какую-то вредоносную активность, но и самостоятельно отфильтровать доступ к различным сервисам, которых ещё нет в базе (или не будет, если это какая-то локальную служба, к примеру). Кроме того, можно добавить собственные правила или загрузить файл сразу с пачкой правил.

Но настраивать работу именно с пакетами не очень удобно, так что ATP, да и другие шлюзы серии USG, предлагают несколько других, более высокоуровневых систем для работы с трафиком. ADP и IDP по сути являются довольно мощной системой DPI (Deep Packet Inspection) для пакетов всех уровней.

AppPatrol (патруль приложений) и Content Filter (контентная фильтрация)

Да, для некоторых приложений можно отключить часть возможностей: для Viber, например, есть отдельные настройки для собственно чата и пересылки файлов. AppPatrol предлагает довольно удобный способ управления поведением работы сетевых приложений и протоколов или даже какой-то части их функций. Все они разбиты на 31 категорию и снабжены метками (тегами) + есть встроенный поиск. Вообще говоря, обилие доступных сигнатур в первый раз слегка шокирует. База обновляется производителем. Всего на текущий момент в базе есть почти 3400 сигнатур.

Во время установки соединения, если оно вообще разрешено политиками безопасности, AppPatrol анализирует первые пакеты (как минимум 8 IP-пакетов беспрепятственно проходят сквозь) — сколько именно, зависит от типа трафика — и в случае успеха находит сигнатуру и помечает ей сессию. Идентификация и классификация трафика в AppPatrol происходит, как заявляется, на всех уровнях OSI. Непосредственно в правилах AppPatrol можно сразу же запретить прохождение нужного трафика. Если же распознать ничего не удалось, то такой трафик просто игнорируется. Ну, или после классификации отправить его на дальнейшую обработку другим системам — например, для ограничения полосы пропускания.

В принципе, с ростом числа прикладного ПО, которое по факту является лишь обёрткой для браузера или просто обращается к API по HTTP(S), скоро уже можно вообще переименовать раздел. Content Filter тоже работает с приложениями, но только с веб. Система Content Filter работает именно с HTTP(S) и занимается проверкой обращений к адресам, которые есть в базе. Но это всё лирика. Так что при активации последней она не будет корректно работать. Отдельно отмечается, что фильтрация HTTPS-трафика  имеет меньший приоритет в сравнении с инспекция SSL. Отдельно можно запретить соединения с SSLv3 и более старых версий для пущей безопасности. В любом случае для HTTPS проверяется только адрес, а не полный URL (включая и ключевые слова в нём).

Полного списка самих ресурсов нет, но прямо в настройках можно проверить, к какой категории относится конкретный адрес. Всего в настройках Content Filter есть более пятидесяти категорий для различных веб-ресурсов, включая и столь любимую многими категорию рекламы, которая и правда неплохо блокируется. Естественно, есть опция ручного составления белых и чёрных списков для IP и URL, а также ключевых слов. Имеется и функция SafeSearch, упомянутая выше. Для HTTPS-запроса клиента к запрещённым в настройках категориям ресурсов соединение будет просто обрываться. Отдельно можно запретить использование элементов ActiveX, Java-апплетов, веб-прокси и cookies. А для таких же HTTP-запросов можно включить вывод уведомления и последующее перенаправление на заранее заданный URL.

Собственно за актуализацию базы отвечает компания Cyren. Если же адрес не попадает ни в какую категорию (что случилось буквально пару раз), то будет отдана страница с предупреждением и кнопкой перехода на этот адрес (в конец URL зачем-то добавляется /___possible__unsafe__site__), а также ссылкой для отправки жалобы не неправильное определение категории. И да, как и все остальные базы, она так же обновляется ежедневно.

Botnet Filter (фильтр ботнетов) и E-Mail Security (безопасность почты)

Он точно так же блокирует обращения к IP-адресам и URL из своей базы и может отдавать клиентам страницу с предупреждением и перенаправлением. Работа Botnet Filter во многом похожа на работу Content Filter. Задача Botnet Filter в том, что бы определять и пресекать попытки обращения клиентов: r известным управляющим центрам зловредов (стандартная практика для современной «заразы»); к хостам, про которые также известно, что они входят в какой-либо ботнет или в принципе небезопасны; к средствам, которые могут помочь обойти такую блокировку. Только делает он для отдельных категорий небезопасных ресурсов.

Например, некоторые рекламные площадки записали в распространители спама и «обвинили» в фишинге и фроде, а чат Valve Steam и один видеохостинг оказались в списке спам-ресурсов. Правда, к категоризации ресурсов есть вопросы. Пострадали и встроенные средства для обхода блокировок вроде Opera VPN. С другой стороны, эта же система успешно заблокировала пачку вполне легальных онлайн-систем для аудита безопасности (которые на шлюз и пытались натравить) и сайты VPN/прокси.

Можно создать белые и чёрные списки для фильтрации: по теме письма, адресу e-mail, IP- адресу и заголовку (header) письма (анализируются только первые 5 Кбайт). E-Mail Security — это обыкновенный сканер почтового трафика по протоколам SMTP/POP3. Можно подключить и внешние DNSBL-сервисы. Попутно делается проверка содержимого письма на предмет зловредов, фишинга и спама. Ну и в конце совсем кратко отметим, что в шлюзе есть ещё и подсистема GeoIP. В общем-то, это довольно стандартный набор для защиты любого почтового сервиса. GeoIP, как ясно из названия, позволяет определить страну IP-адреса источника/назначения, что может пригодиться для дальнейшей фильтрации/блокировки трафика по географическому принципу.  Напрямую с безопасностью она не связана, но позволяет получить более удобные настройки и статистику, в том числе для систем защиты.

Статистика и SecuReporter

Единственный нюанс: для защиты есть суммарные данные о работе после последней перезагрузки и чуть более детальные сведения за последние 7 суток. Общая сводная статистика о состоянии шлюза и систем защиты выводится на главной странице веб-интерфейса. Для отдельных подсистем собирается общая статистика работы с момента перезагрузки и местами наиболее важные сообщения. Объёма общего лога системы хватает в среднем от нескольких часов до суток — в зависимости от интенсивности сообщений. Ну, не совсем так. Мало? Чтобы оценить общее состояние шлюза и активности сети, этого вполне достаточно.

В облачной системе управления устройствами Zyxel CNM — мы уже знакомились с Nebula , одной из её составляющих — есть отдельный сервис SecuReporter . И самое главное! Сам же сервис занимается централизированным сбором данных от систем защиты ATP, их анализом и представлением для пользователей, генерацией и отправкой на почту сводных ежедневных и еженедельных PDF-отчётов, а также уведомлением администраторов по почте о важных событиях. Как обычно, к нему подключается организация, пользователи и устройства. В зависимости от уровня персональные данные (имена пользователей и хостов, адреса MAC и e-mail). При первичной настройке также придётся выбрать уровень обработки данных: полностью анонимный, частично анонимный или полный доступ.

Отчёты и настройки Zyxel CNM SecuReporter

Смотреть все изображения (15)

Смотреть все
изображения (15)

Для теста был выбран полуанонимный режим, которого, строго говоря, более чем достаточно для анализа данных. В полностью неанонимном режиме удалить данные из SecuReporter не удастся, а в остальных это сделать можно. Для отдельных графиков и таблиц также можно выбрать вывод статистики за сутки или за час. Впрочем, и тут для просмотра сведений есть ограничение на семь последних суток. Для критически важных событий настраиваются уведомления по почте: отсутствие связи с устройством, слишком частые неудачные попытки входа, превышение заданного лимита числа оповещений от подсистем защиты за короткий промежуток времени, повышенная нагрузка на шлюз (приближение к лимиту одновременных сетевых сессий). Какая конкретно информация будет отдаваться в SecuReporter, регулируется в настройках логирования на самом шлюзе (опция log alert).

Лицензии и конфигурации

Для ATP200 лицензия Gold даёт доступ ко всем вышеупомянутым сервисам и дополнительно даёт возможность контроллеру точек доступа управлять 18-ю ТД. Для сервисов защиты в экранах ATP есть два вида лицензий: Gold (золотая) и Silver (серебряная). Годовая подписка на Gold стоит 38 600 рублей, а для Silver 29 000. Silver отличается от Gold отсутствием поддержки Sandboxing (песочницы), не даёт доступа к SecuReporter и позволяет шлюзу управлять только двумя ТД. При покупке шлюза ATP в комплекте идёт лицензия Gold на один год.

Ориентированы они соответственно — на малый, малый и средний, средний бизнес. В серию ATP сейчас входят три устройства: ATP200, ATP500 и ATP800. Увы, про тип CPU и его возможности никакой официальной информации нет. Функционально они идентичны, так что отличия сводятся к мощности аппаратной базы и числу сетевых портов. По факту всё будет сильно зависеть от типа клиентов и их поведения. В части производительности даны примерные показатели пропускной способности. В частности, дуплексная искусственная нагрузка без специального внедрения каких-либо зловредов и атак при включении вех защитных механизмов показала скорость WAN ↔ LAN 480 Мбит/с в максимуме для одного потока в обе стороны и 700 Мбит/с в пике для 64 потоков туда и обратно (то есть в сумме 128).

Характеристики межсетевых экранов Zyxel ZyWALL ATP

Модель

ATP200

ATP500

ATP800

Рекомендованная цена, руб.

77 000

115 810

299 180

CPU (ядра, частота)

4 × 1,0 ГГц

4 × 1,5 ГГц

8 × 1,5 ГГц

RAM DDR3, Гбайт

2

4

8

ROM, Гбайт

8

Сетевые интерфейсы

6 × 1 GbE RJ45

7 × 1GbE RJ45

12 × 1GbE RJ45

1 × 1GbE SFP

2 × 1GbE SFP

Маршрутизация, Гбит/с

2

2,6

8

Маршрутизация + защита, Гбит/с

0,45

0,7

1,2

Макс. одновр. сессий, шт.

600 тыс.

1 млн.

2 млн.

Макс. туннелей IPSec, шт.

40

100

1000

Макс. туннелей SSL, шт.

10

50

100

Макс. ТД, шт.

18

34

130

Заключение

Собственно песочница — главная отличительная черта ATP — это важный шаг вперёд в развитии сервисов компании. В целом, нет ничего удивительного в том, что Zyxel развивает облачные технологии. Вынос наиболее тяжёлых задач в облако по факту не является чем-то уж совершенно новым, а песочницами для изучения полученных от пользователей файлов с целью дальнейшего пополнения базы сигнатур давно и успешно пользуются все антивирусные компании. Тут можно сказать ещё много-много красивых слов, но вообще направление движения совпадает с общемировым. Что же, теперь все эти техники добрались до и сетевых шлюзов — в данном случае Zyxel ATP. Которые точно так же давно уже не просто выискивают вирусы, а предлагают комплексную защиту. Равно как и модель работы по подписке — без лицензий не будет обновлений и части функциональности.

Вообще с ATP200 ситуация получилась несколько забавной — почти все онлайн-сервисы для проверки различного уровня защиты так или иначе блокировались одной или сразу несколькими подсистемами шлюза. Мы не берёмся сравнивать серию ATP с решениями конкурентов (просто потому что у нас их на тесте ещё не было), но те возможности, что показал шлюз, нам определённо понравились. Хотя, как и говорилось в самом начале, это не панацея от всех проблем с безопасностью. В принципе это, конечно, хорошо. И для многих бизнес-пользователей его покупка является вполне разумной платой за снижение рисков. Это просто готовое удобное решение, которое заметно увеличивает уровень защиты.

Во-первых, если вы не параноик, то вам явно захочется, чтобы больше информации попадало в облако и затем в SecuReporter. Что можно улучшить в ATP? В-третьих, не помешали бы настраиваемые пользователем реакции и уведомления на те события, которые он выберет сам, а не только на те, что уже есть в системе. Во-вторых, в самом SecuReporter определённо не хватает более долгого срока хранения данных, хотя бы и в виде более обобщённой статистики за прошлые периоды. В данном случае было бы здорово получить такую систему, которая большую часть задач способна исполнять на серверах заказчика, перекладывая лишь некоторые внешнее облако Zyxel. Ну и раз уж мы все идём в облака, то можно вспомнить и про гибридные решения. Но ведь всегда хочется большего! Хотя частично эти функции уже представлены в Cloud CNM SecuManager.

Zyxel ZyWALL ATP200

Zyxel ZyWALL ATP200

Показать больше

Похожие публикации

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Кнопка «Наверх»