×

WatchGuard – безопасность на границе и внутри сети

Опубликовано 26 июля 2018
#Бизнес-аналитика #Железо #Новости IT #Облака #Серверы, IBM #Хранение данных

Комплексный подход к безопасности

Сетевые угрозы для бизнеса весьма разнообразны — это вредоносные программы, вирусы, шпионское ПО, фишинговые и DDos-атаки, и даже спам. Убытки могут исчисляться миллионами. Конкретный пример за 2016 год.

Французская компания OVN, крупнейший поставщик интернет-услуг в Европе, столкнулась с разрушительной DDos-атакой с суммарным трафиком 1 Тбит/сек. Злоумышленники использовали интернет-трафик со 150 тысяч устройств – видеорегистраторов и IP-камер, объединенных в ботнет.

Ниже речь пойдет об устройствах, которые обеспечивают комплексную защиту от большинства уязвимостей. Как правило это продукты в формате UTM и NGFW, которые работают по принципу «все включено». То есть вам не нужно по отдельности администрировать кучу устройств, их функционал поставляется вместе с коробкой, либо активируется при покупке подписок.

Знакомьтесь с разработками компании WatchGuard Technologies! Один такой комплекс может закрыть все ваши потребности в сетевой безопасности.

 

WatchGuard Firebox – что внутри коробки

Начнем с того, что базовое устройство WG (Firebox) – это очень мощный продвинутый маршрутизатор, а функционал, относящийся непосредственно к UTM, предоставляется по платным подпискам. Вы сами выбираете, какие функции безопасности Вам необходимы. В этом преимущество WG по сравнению с коробочными решениями, где Вы не можете повлиять ни на стоимость, ни на состав продукта.

Еще возможен вариант, по которому WatchGuard поставляется как виртуальная машина. Тогда образ Firebox устанавливается в вашу виртуальную инфраструктуру (если таковая имеется) и работает точно так же, как аппаратное устройство.
Линейка продуктов WatchGuard способна удовлетворить любые запросы, и в малом бизнесе, и на больших инфраструктурах. Эти решения поддерживает работу от 10 до нескольких тысяч пользователей. Давайте сначала рассмотрим, на что способен Firebox в базовой комплектации, а затем подробнее поговорим о расширенных функциях WatchGuard.

Одно из важных преимуществ Firebox – умение одновременно работать с несколькими провайдерами, что обеспечивает отказоустойчивость и балансировку нагрузки на интернет-каналы.

Условно представим, что на вашем устройстве WatchGuard есть 5 сетевых интерфейсов, которые полностью взаимозаменяемы: 3 порта используются для работы с провайдерами, 1 – для локальной сети, 1 – для подключения к демилитаризованной зоне (DMZ), вашим серверам. Каждый порт может выступать в любой из этих ролей.
На скриншоте мы видимо консоль, где происходит настройка портов для разных задач.

В то же время на многих устаревших устройствах подключение к провайдерам возможно только через один сетевой интерфейс. Если основной провайдер нестабилен, то по логике вещей нужно перенаправить трафик через другой канал. Тогда оборудование придется перенастраивать вручную. Если в это время IT-специалиста нет на месте, его ожидание может вылиться в прямые убытки.  В то же время Firebox решает эту проблему в режиме Failover. По умолчанию используется один интернет-канал, в случае аварии устройство переключается на запасной.

Также возможен Load balancing режим, чтобы не эксплуатировать один канал до предела возможностей. В настройках выставляются требования по разделению нагрузки между провайдерами. При достижении определенной загрузки канала часть запросов уходит через второго провайдера.

Firebox может выступать в роли контроллера беспроводных сетей

Нужны точки доступа Wi-Fi?
С помощью этого устройства Вы можете создать корпоративную Wi-Fi сеть и подключить десятки точек доступа, которые управляются централизованно. Наличие единых настроек для всех точек доступа значительно упрощает развертывание и администрирование беспроводных сетей.

Свой собственный корпоративный VPN

Эта услуга продолжает набирать огромную популярность в российском корпоративном сегменте. Всем компаниям, в хорошем смысле этого слова, есть, что защищать.
WatchGuard, как один из флагманов индустрии безопасности, поддерживает создание VPN-сетей как филиального уровня так и для мобильных пользователей.
В двух словах, эта технология, благодаря которой Вы можете удаленно и безопасно работать с сетевым файловым хранилищем, получать доступ к сетевым информационным ресурсам компании. Трафик внутри канала зашифрован. Между пользователем и сетью создается тоннель, который изолирует важную информацию от посторонних глаз.

С помощью Firebox можно создать два типа VPN-сетей. В классификации производителя это Branch office и Mobile VPN.
Branch office – создание защищенного канала связи между территориально-распределенными офисами, филиалами, что потенциально интересно как среднему, так и большому бизнесу. Это могут быть промышленные гиганты, которые генерируют огромное количество конфиденциальных закрытых данных. А могут быть охранные агентства, которым необходим безопасный централизованный доступ к данным видеонаблюдения с нескольких объектов. При необходимости VPN можно развернуть и внутри одной организации, чтобы изолировать трафик в рамках одного отдела или подразделения.
Mobile VPN – это то о чем мы говорили выше, когда сотрудник, наделенный определенными правами, получает доступ к сети предприятия через логин и пароль из любой потенциально небезопасной точки – домашнего ноутбука и даже мобильного телефона. Для создания защищенного VPN-подключения на мобильное устройство пользователя отправляется сертификат безопасности.
На самом деле это очень крутая функция, если вы постоянно находитесь в командировках и разъездах, проводите презентации. В этом случае можно быстро подключиться к файловому хранилищу или корпоративной информационной системе и получить необходимые данные. Иногда информация требуется нам очень срочно, и некогда ждать, когда ее отправят по почте.
Для организации защищенного mobile VPN-подключения WatchGuard поддерживает работу с протоколами IPsec и SSL.
Даже самое простое устройство в линейке поддерживает создание до 5 защищённых тоннелей Branch office, а также совокупно 10 тоннелей Mobile VPN, по 5 для IPsec и SSL.

Предустановленное программное обеспечение

В базовой комплектации Firebox есть набор очень полезного софта, который упрощает администрирование и управление работой устройства.

Первое с чем вы начнете работу, это WatchGuard System Manager. Очень удобное приложение для управления Вашим устройством. Все работы, связанные с базовыми настройками политик безопасности файрвола, сервисов подписок и прочих нюансов, выполняются именно с помощью этой программы. Надо заметить, что для управления Firebox также можно использовать и обычный браузер, но функционал этой программы удобен, лаконичен и, к тому же, помогает избежать ошибочных действий администратора.

WatchGuard Management Server – сервер для централизованного мониторинга и управления всеми вашими устройствами. Позволяет экономить время на администрировании и здорово помогает в создании распределенных VPN-сетей.

Затем, это три приложения: Log manager – получает и хранит все логи со всех устройств WG.
Report manager – позволяет визуализировать отчеты Log manager и отображать данные за период.
Quarantine server – карантин для подозрительных объектов, которые были зафиксированы различными компонентами UTM.
Еще один софт, WG Dimension – программное обеспечение для мониторинга и анализа событий информационной безопасности на границе сети.
На этом мы еще подробно остановимся, а сейчас переходим к «тяжелой артиллерии» – возможностям WatchGuard с точки зрения UTM.

 

Одно устройство, или зоопарк подсистем?

Как мы уже говорили в самом начале статьи, UTM-компонента WatchGuard состоит из модулей безопасности, которые можно подключать по мере необходимости.
Либо можно выбрать полный пакет услуг, так называемый security bundle. Комплексная защита обойдется несколько дешевле, чем покупка того же состава лицензий по отдельности.

Возьмем security bundle за исходную точку и посмотрим, из чего он состоит. Вообще по моим ощущениям разработчики WG сделали упор на два направления.
Первое, это разграничение политик доступа сотрудников к различному контенту (сайты, соцсети, приложения) в рамках бизнес-стратегии.
Второе – это непосредственная защита от сетевых угроз различного уровня, которые могут привести к потерям, хищению, изменениям в данных, остановке бизнес-процессов, нанести вред репутации компании.
Итак, сервисы по подписке.
Application Control – сервис, который регламентирует работу пользователей с внешними приложениями, например такими как Facebook. В данном случае мы можем разграничить доступ сотрудников к различному контенту и функционалу внутри этих приложений. Запретить просмотр видео, заблокировать отправку файлов в социальные сети, или писем на определенные почтовые службы.


Политики можно настраивать по отдельным пользователям, группам и времени суток. В WatchGuard утверждают, что Application Control может работать с более чем 1800-тами бизнес и веб-приложениями. Например, можно запретить AdobeFlash повсеместно или на каких-то конкретных сайтах.
Gateway antivirus. Думаю, этот пункт не нуждается в расшифровке. Добавим лишь, что антивирус
работает на границе сети и сканирует все основные протоколы, включая HTTP, HTTPS, FTP, TCP, SMTP, и POP3.
Служба предотвращения вторжений (IPS) реагирует на любые нарушения безопасности. Это следующий компонент в списке security bundle.
IPS защищает сеть от вредоносного трафика, сетевых атак, попыток найти уязвимости в периметре сети или установленных у вас приложениях. В данном случае служба блокирует саму возможность использования существующих уязвимостей и отслеживает такие попытки.

Это поможет защититься от SQL-инъекций, целью которых являются базы данных. Не менее опасен так называемый Cross-Site скриптинг, когда вредоносный код внедряется на веб-страницу через уязвимость в веб-сервере или персональном устройстве. Зачастую в качестве мишени для таких атак выбирается авторизация пользователя. Нетрудно догадаться, каковы будут последствия.
Spam Blocker. Здесь тоже не нужно объяснять, о чем идет речь. Все дело в возможностях этой компоненты.
В WatchGuard говорят, что их антиспам обладает способностью просматривать до 4 млрд писем в день. Сервис не только блокирует нежелательные сообщения на разных языках, но и спам-картинки, которые другие, менее совершенные фильтры, как правило, пропускают.
И при этом совершенно не требует внимания администратора – этим функционалом мы в нашей компании пользуемся уже несколько лет. Spam Blocker не создает никаких неудобств!
WebBlocker. Этот модуль WatchGuard позволяет контролировать веб-траффик с различным охватом и точностью, в том числе, блокировать вредоносные сайты, ограничивать доступ к развлекательным ресурсам по URL, ставить их в исключения. Как и в случае с Application Control политики доступа можно настроить по конкретному пользователю, группе, домену, времени дня и т.д. У сотрудников будет меньше отвлекающих факторов, которые могли бы повлиять на их результаты.

А вот следующий механизм под названием Reputation based free prevention способен в автоматическом режиме блокировать нежелательные и вредоносные сайты, анализируя их контент в режиме реального времени по различным категориям. Фактически система заранее реагирует на потенциально опасные ресурсы, чтобы потом не пришлось разбираться с их последствиями.
Идем далее.

Если весь функционал UTM так или иначе связан с блокированием потенциальных угроз, то следующий модуль — Network Discovery, по сути занимается инвентаризацией конечных устройств и сетевой инфраструктуры. Вы всегда будете видеть, какие устройства подключены к сети, открытые порты, все использующиеся протоколы и запущенные операционные системы.

И в качестве вишенки на торте разработчики WatchGuard предлагает пользователям дополнительную UTM-защиту.
Это вообще очень интересная вещь для предотвращения утечек данных. Компонент Data Loss Prevention устанавливает правила использования различных данных компании из более чем 30 типов файлов: Excel, Word, Power Point, PDF и др.
В данном случае Firebox ищет вложенные файлы в исходящих сообщениях по множеству критериев – по запрещенным словам, наличию таблиц, чертежей, любых других данных, которые могут оказаться закрытыми. Подозрительные файлы помещаются в карантин «до выяснения обстоятельств».

Итак, сколько функций мы уже насчитали.
Получается 8, целых 8 ключевых компонентов, встроенных всего-навсего в одну железную коробку, при этом нет никаких проблем с совместимостью!

 

 

Защита внутри периметра

С помощью подписок обеспечивается безопасность по внешнему периметру.
Но что делать, если угроза преодолеет защитный барьер и окажется внутри, на сервере, рабочей станции?
В WatchGuard пошли примерно тем же путем, что и другие разработчики в сфере инфобезопасности. Решение — облачная служба Threat Detection and Response (TDR).

Механизм работы TDR следующий.
На каждый ваш сервер, рабочую станцию устанавливается Host Sensor клиент – программное обеспечение, которое реагирует на любые события информационной безопасности. Информация об инцидентах передается на TDR. Также TDR получает события от Firebox.

Служба анализирует серьезность угрозы. В зависимости от этого Host Sensor может выполнить ряд действий – отправить файл в карантин, убить процесс, удалить ветвь реестра.
Процессом управляет расположенный в облаке TDR Account.

Вы спросите, по каким признакам TDR распознает опасность?

Угрозы обнаруживаются на трех уровнях.
1) Threat Feed — база данных известных угроз, которые можно однозначно идентифицировать.
2) Malware Verification Service (MVS) — здесь содержатся данные об уязвимостях, ранее не известных TDR. TDR отсылает их значения в MVS для подтверждения, и после этого предпринимает какие-то шаги.
3) Также в TDR доступно эвристическое сканирование (Heuristics), когда служба сравнивает поведение потенциально опасных файлов на хосте с характерным поведением вирусов и вредоносных программ.
Управлять действиями TDR опять же можно с помощью настраиваемых политик, которые помогут автоматически устранять угрозы разных типов.

Теперь вы спросите, как всем этим управлять? Думаете, чем круче железка, тем сложнее? Вот и нет.
Несмотря на то, что WatchGuard является решением топ уровня, работать с ним довольно легко. Об этом предлагаю поговорить в следующем блоке нашего обзора.

Простое администрирование вашей сети

Помните, в начале нашей статьи и мы перечисляли софт, установленный на устройстве Firebox в базовой комплектации?
Одна из таких программ, WatchGuard system manager, позволяет управлять всем функционалом красной коробки (и даже нескольких таких коробок) из одной интуитивно понятной консоли с помощью вкладок. Все как на ладони!
Давайте пробежимся по этим вкладкам и посмотрим, за что они отвечают.

Policy manager – это лучший друг админа в Firebox. Установка правил для Firewall, развертывание VPN-сетей, управление всеми сервисами UTM по подпискам, использование политик, добавление пользователей и создание комплексных сложных правил обработки трафика. Всем этим заведует Policy manager.

Следующий интерфейс, Firebox System Manager. Он служит для мониторинга производительности и загрузки ваших устройств WatchGuard. Консоль включает несколько вкладок.

Вкладка Service watch строит графики загрузки устройств в зависимости от протокола.
Какая часть канала используется для работы с почтовым трафиком? Сколько ресурсов «съедают» пользователи веб-сайтов? Отмечая все необычное в нашем трафике, мы можем выявить аномальную активность. В случае чрезмерной активности SMTP-протокола можно предположить, что в нашей сети завелся ботнет, генерирующий спам.
Вкладка Status report показывает логи устройства.
Autentification list – здесь мы видим пользователей, подключенных к Firebox, в том числе мобильных.
Blocked sites – это раздел, где есть список всех сайтов, доступ к которым заблокирован политиками безопасности.
Интерфейс Bandwidth meter позволяет отслеживать и контролировать утилизацию каналов по отдельным провайдерам.

Очень интересная штука Subscription services, которая выдает текущее состояние наших подписок UTM в виде отчетов. Когда были обновлены сигнатуры антивируса, какое количество писем собрал Spam Blocker в течение дня. Сколько вирусов нашел Gateway Antivirus, и сколько при этом было отсканировано файлов. Предпринимались ли попытки подбора паролей и поиска уязвимостей в нашей системе, как на это отреагировал модуль IPS.
Статистику Вы видите на этом скриншоте.

Traffic manager – еще один интерфейс консоли, где мы запросто можем ограничивать или расширять полосу пропускания для определенного типа трафика в соответствие с правилами. Ваш дизайнер вынужден постоянно качать обновления тяжелых программ? Пусть он скачивает данные со скоростью 50 Мбит/c, а все остальные довольствуются скоростью 5 Мбит/с.

На самом деле здесь еще достаточно много инструментов для мониторинга и администрирования вашей сети.
Но основная идея разработчиков WatchGuard все же в том, чтобы Вы могли управлять их устройствами без особых усилий и временных затрат.
И следующий пункт только подтверждает эту мысль.

Работа из браузера

Менять конфигурацию и настройки WatchGuard можно из браузера.

WatchGuard Dimension – облачная платформа для визуализации и мониторинга состояния вашей сети. Решение поставляется бесплатно вместе с WatchGuard, как виртуальная машина, которая устанавливается на сервер с помощью VMware и Hyper-V.

Главное — консоль WG Dimension доступна из браузера. Соответственно, вы не привязаны к офису и можете удаленно ответить на любую угрозу. Единственный минус – нужно покупать программное обеспечение для виртуализации.

Вся информация на панели удобно структурирована. В окне интерфейса доступны наиболее посещаемые домены, сайты, веб-приложения, IP-адреса, логи, угрозы, используемые политики и др.

Для любителей «позалипать» могу поделиться ссылкой на демо WatchGuard Dimension. Это даст вам гораздо больше впечатлений, чем мое скромное описание. http://www.watchguard.com/wgrd-products/thanks-watchguard-dimension-demo

Еще одна модная штука – сервис геолокации. Похоже, разработчики из WatchGuard предусмотрели все для своей «железки». http://www.watchguard.com/help/docs/fireware/11/en-US/Content/en-US/system_status/geoblocking_web.html. Там можно отследить все попытки подключения к вам из любой точки мира, в том числе блокировать IP-адреса по их географическому расположению. Функционал доступен локально и в браузере.

Вот такие плюшки!

Думаю, что наш обзор был бы неполным без кейс-стади на реальном примере. В заключении блок о том, как пробросить почтовый траффик до сервера IBM Domino.

Кейс-стади

Мы уже давно пользуемся WatchGuard и само собой применили его настройки для подключения почтового сервера IBM Domino.
Как уже было сказано выше, правила создаются в Policy Manager. Еще раз взглянем на этот скриншот.
Правило добавляется значком +

Создается правило для почтового сервера, настраиваются протоколы, прописывается наш внутренний IP-адрес, на который будут приходить письма.

Настраиваем правило для приема пакетов с любых внешних интерфейсов.

Определяем внешние порты для отправки исходящих пакетов через правила SNAT.
Создаем правила перенаправления внешних пакетов на наш внутренний сервер.

Далее самое интересное, добавляется функционал UTM, который Вам необходим.  Например, антивирус и спаморезку.

В расширенных настройках можно добавлять различные интересные штуки – например, режим управления трафиком, который позволяет ограничивать полосу пропускания по определенным видам активности.

И, как мы видим, правило появилось в окне консоли Policy Manager.

Мы убедились, что в настройках WatchGuard нет ничего сложного. И Вы обязательно ощутите эту легкость, когда начнете пользоваться решением.

Однако дело не только в удобстве и простоте. Любая компания считает деньги, ваши доводы о внедрении WatchGuard должны быть весомыми и обоснованными.

Послесловие

Давайте подведем итог, в чем бизнес-выгода от владения WatchGuard.

Для небольших компаний:
— Не нужно постоянно платить за техподдержку. Требуются минимальные навыки в администрировании. Это решение работает по принципу, настроил один раз и забыл.
— Нелегко найти сопоставимую по возможностям «железку» за те же самые деньги. Если дешевле не купить, нужно выбирать лучшее.

Для крупных компаний:
— Гибкость. Вы сами выбираете, какие функции безопасности вам необходимы и не переплачиваете за лишние лицензии. Это хороший бизнес!
— Работа в составе отказоустойчивого кластера, что минимизирует вероятность простоев.

1) В режиме Active/Аctive – два устройства WatchGuard работают синхронно для увеличения производительности и отказоустойчивости.
2) В режиме Active/Passive – резервное оборудование находится в спящем режиме и запускается при выходе из строя основного. И здесь владельцев WG ожидают целых два приятных сюрприза.
Во-первых, дублирующее устройство обойдется дешевле чуть ли не в два раза. Во-вторых, основное устройство в случае сбоя автоматически передаст ему недостающие UTM-подписки.

— Централизованное управление филиалами

Это важное преимущество при работе на больших инфраструктурах. Вы можете автоматически применять единые настройки политик безопасности, сервисов подписок и обновлять прошивки для всех подключенных устройств WatchGuard, что опять же экономит ресурсы на администрирование.

Важно! Если не хочется покупать UTM-лицензии для каждого устройства в каждом филиале, можно настроить прохождение трафика через одну центральную «железку» WatchGuard, которая отфильтрует трафик в соответствие с настройками политик.

-Быстрое развертывание VPN-сетей

О преимуществах мы уже писали немало. Для бизнеса в этом есть две главные плюшки – зашифрованный канал связи и свобода доступа к корпоративных сетевым ресурсам.

В любом случае, если Вы осознали необходимость внедрения решения, нужно тестирование с реальными нагрузками. Даже у таких монстров как WatchGuard есть подводные камни.

В нашем демо-фонде есть свободное тестовое оборудование, при желании поможем вам запустить пилот.

Как созреете, пишите на почту sales@ideacomp.ru, либо звоните по телефону +7 (3412) 412-612.
А я пока думаю над следующей статьей из цикла «Сетевая безопасность». До связи! Комментируйте нас в социальных сетях!

Мне необходимо решение


×