Traffic Inspector Next Generation: программно-аппаратный сетевой шлюз нового поколения (xakep.ru, 2017 г.)

3143

Сегодня мы затестим новую российскую железку (UTM-решение) Traffic Inspector Next Generation, призванную обеспечить комплексную защиту от сетевых угроз. Traffic Inspector Next Generation — довольно мощная и разносторонняя штука, которая предоставляет широкий набор сетевых сервисов под управлением единого веб-интерфейса, спрятанного за двухфакторной аутентификацией. Он разворачивается в качестве шлюза и служит входной точкой в офисную/домашнюю сеть. В этой статье мы рассмотрим основные функции Traffic Inspector Next Generation и проверим, насколько хорошо он защищает от различных атак.


Что умеет Traffic Inspector Next Generation?

  • Межсетевой экран;
  • HTTP antivirus proxy;
  • IPS/IDS;
  • анализатор трафика (DPI);
  • веб-прокси с возможностью перехвата SSL-трафика;
  • VPN-сервер;
  • мониторинг трафика.
Панель управления

В правой части рисунка перечислены службы, которые и являются основой шлюза. Давай рассмотрим самые интересные из них.


Межсетевой экран

В Traffic Inspector Next Generation межсетевой экран выполняет сразу несколько задач:

  • защищает серверы и пользовательские машины внутри сети от несанкционированного доступа;
  • позволяет пробрасывать порты для публикации внутренних служб и сервисов;
  • позволяет перехватывать пакеты и перенаправлять их на само устройство (это необходимо для прозрачного проксирования, о котором мы поговорим далее).

На скриншоте ниже можно увидеть список активных правил межсетевого экрана в читаемом виде.

Межсетевой экран

Продемонстрируем работу межсетевого экрана на примере давно известной атаки, позволяющей деанонимизировать пользователя и перехватить хеш пароля от учетной записи Windows.

Атака подробно описана по этой ссылке. Заключается атака в том, что при попытке открыть ссылку на SMB-ресурс в стандартном браузере типа IE или Edge SMB-ресурс мгновенно получает учетные данные пользователя (имя учетной записи и хеш пароля). Для реализации данной атаки злоумышленнику необходимо лишь поместить ссылку на картинку с SMB-сервера на фишинговой странице и направить туда жертву.


Чтобы посмотреть, как работает атака, развернем на тестовом сервере Responder, а на тестовой машине с Windows создадим пользователя Ivan со словарным паролем. На машине с Windows откроем ссылку на SMB-ресурс.

Обращение к SMB-ресурсу

Теперь посмотрим в логи Responder’a.


Хеш пароля пользователя в логах Responder’a


Попробуем восстановить пароль с помощью утилиты John the Ripper:

Восстановленный пароль

Пароль восстановлен меньше чем за секунду, и злоумышленник теперь может получить доступ к рабочей станции пользователя по RDP, а также к корпоративным сервисам, в которых используется доменная авторизация.

Для того чтобы защититься от этой атаки, необходимо ограничить доступ к 137, 139 и 445-му TCP-портам для всех диапазонов адресов (кроме локальных).

Добавим соответствующие правила для межсетевого экрана Traffic Inspector Next Generation.

Новое правило

Снова поднимем Responder на нашем сервере и откроем на пользовательской рабочей станции, находящейся за Traffic Inspector Next Generation, ссылку на SMB-ресурс.

Логи Responder’a

В логах Responder’a тишина, а значит, учетные данные пользователя не утекли — благодаря всего паре созданных правил на межсетевом экране.


HTTP Antivirus Proxy (HAVP)

HAVP — это прокси, к которому в виде библиотеки подключается опенсорсный антивирусный движок ClamAV.

Интерфейс модуля HAVP выглядит довольно минималистично и позволяет указать максимальный размер сканируемого файла, а также добавить в список доверенные URL, которые сканироваться не будут. Остальная логика, по всей видимости, лежит на движке ClamAV.

Интерфейс модуля HAVP


В панели управления HAVP можно также увидеть все обнаруженные вирусы.

Обнаруженные вирусы

Давай проверим, как работает модуль HAVP. Для начала сгенерируем meterpreter-пейлоад.

Генерируем пейлоад


Зальем вредоносный файл на сервер и попробуем загрузить его с рабочей станции пользователя, которая находится за Traffic Inspector Next Generation.

Загрузка вредоносного файла

На скриншоте видно, что вредоносный файл был задетектирован HAVP-модулем и заблокирован для загрузки. Правда, мне так и не удалось настроить HAVP таким образом, чтобы он детектировал вредоносы в HTTPS-трафике, даже после настройки HTTPS-прокси и установки корневого сертификата от Traffic Inspector Next Generation.


IPS/IDS

Система обнаружения/предотвращения вторжений в Traffic Inspector Next Generation основана на open source движке Suricata. Suricata, в свою очередь, работает с заданными правилами. По умолчанию добавлен довольно большой список разнообразных правил, включающий в себя Feodo Tracker, SSL Blacklist, а также огромный набор правил из набора Emerging Threats.net.

В интерфейсе IPS/IDS можно выбрать желаемые наборы правил.

Фрагмент списка наборов правил

При включении определенного набора правил администратор может выбрать действие: Alert или Drop, которое будет выполняться при срабатывании конкретного правила.


Выбор действия

Активируем набор правил ET open/emerging-scan, описывающий признаки активности, связанной с сетевым сканированием (Nmap, Nikto).

Натравим сканер Nikto на веб-сервер, который находится за Traffic Inspector Next Generation, и посмотрим на вкладку «Предупреждения», содержащую алерты от всех активных правил.

Список алертов

После активации набора правил ET open/emerging-web_server и попытки эксплуатации SQL-инъекции на веб-сервере, находящемся за Traffic Inspector Next Generation, вредоносный запрос был заблокирован системой предотвращения вторжений.

Вредоносный запрос заблокирован


Также Traffic Inspector Next Generation позволяет настроить автоматическое обновление правил по расписанию, реализованное через cron.

Автоматическое обновление правил IDS/IPS модуля по расписанию


DPI

Deep Packet Inspection (DPI), или Layer 7 фильтрация, — модуль, предназначенный для интеллектуального распознавания протоколов прикладного уровня по сигнатурам. Механизм L7-фильтрации позволяет распознавать и фильтровать трафик отдельных приложений.

Данный модуль предлагает администратору простое решение для блокировки приложений, таких как BitTorrent или WhatsApp.

Более того, этот модуль может защитить сотрудников компании от троянов и бэкдоров, основанных, например, на TeamViewer.

Traffic Inspector Next Generation может распознавать довольно большое количество различных протоколов, всего их более 200.

Посмотрим, как L7-фильтрация работает, на примере TeamViewer. Предварительно проверим подключение к пользовательской машине с выключенным модулем DPI.

Подключение выполнено успешно

Теперь добавим правило, запрещающее все подключения TeamViewer.

Правило, запрещающее подключения TeamViewer

После активации правила все подключения TeamViewer блокируются. Об этом свидетельствует сообщение в нижней части окна подключения.

Соединение не устанавливается после активации правила


Веб-прокси

Веб-прокси, реализованный в Traffic Inspector Next Generation, основан на Squid и поддерживает:

  • проксирование протоколов HTTP, HTTPS, FTP;
  • прозрачное проксирование;
  • перехват и дешифрование SSL/TLS-соединений;
  • кеширование веб-контента;
  • фильтрацию через списки контроля доступа.

При этом фильтрация может вестись:

  • по IP-адресам клиентов и сетям;
  • портам назначения;
  • типу браузера (User Agent);
  • типу контента (MIME-типам);
  • черным и белым спискам URL;
  • индивидуальным спискам URL для разных пользователей и групп.


Перехват HTTPS-трафика (SSL Bump)

Перехват HTTPS-трафика позволяет, например, делать фильтрацию по URL-адресам даже в рамках HTTPS-сессии. Для работы этого режима необходимо установить созданный в Traffic Inspector Next Generation сертификат издательства на клиентскую машину.


Прозрачное проксирование

Прокси Traffic Inspector Next Generation поддерживает также работу в прозрачном режиме. Смысл этого режима заключается в том, что пользовательская машина не настроена на работу через прокси, тем не менее трафик будет перехвачен и попадет на веб-прокси. Для этого используется межсетевой экран, перенаправляющий необходимый трафик на веб-прокси.


Отчет по веб-прокси

В интерфейсе Traffic Inspector Next Generation можно сформировать отчет по посещенным доменам и URL; по пользователям, генерирующим запросы на прокси; по IP-адресам, с которых генерировались запросы на прокси.

Отчет по пользователям


Выбрав пользователя, можно сгенерировать отчет по посещенным доменам для данного пользователя. В отчете есть информация о количестве запросов, байтов и времени первого и последнего посещения.

Отчет для одного пользователя


VPN-сервер

В Traffic Inspector Next Generation реализован VPN-сервер, который может быть использован для объединения сетей географически удаленных филиалов организации (в режиме «сеть — сеть»), а также для подключения удаленных сотрудников к головному офису (в режиме «узел — сеть»).

Использование режима «узел — сеть» особенно актуально, когда сотрудник компании работает удаленно из публичной сети Wi-Fi, например в аэропорту, и любые критичные данные, такие как пароли, номера счетов и платежных карт, могут быть скомпрометированы злоумышленником. При использовании технологии VPN все данные будут передаваться по защищенному каналу связи.

Схема организации VPN

Traffic Inspector Next Generation поддерживает следующие виды VPN:

  • OpenVPN;
  • IPsec;
  • L2TP;
  • PPTP;
  • TINC VPN.

OpenVPN предустановлен в Traffic Inspector Next Generation и очень удобно реализован, все необходимые для подключения CA, сертификаты и ключи генерируются автоматически через графический интерфейс Traffic Inspector Next Generation.


Мониторинг трафика

В интерфейсе Traffic Inspector Next Generation можно увидеть наглядные графики и отчеты по сетевой активности пользователей: админ сможет узнать, на какие ресурсы обращаются пользователи, заметить подозрительную активность, локализовать угрозу и предотвратить заражение рабочих станций других пользователей.

Шлюз поддерживает несколько механизмов мониторинга и отчетности, включая:

  • мониторинг трафика с помощью NetFlow;
  • мониторинг системы с помощью RRDtool;
  • отчеты по веб-прокси (рассмотренные ранее).

С помощью NetFlow можно генерировать отчеты, наглядно демонстрирующие, какой компьютер на какой адрес, по какому порту/сервису обращался и сколько информации было передано в рамках этого взаимодействия.

Отчет по сетевой статистике


Кольцевые диаграммы показывают распределение объема трафика по различным портам и сервисам назначения, а также наиболее популярные адреса назначения.

Отчет по наиболее популярным сетевым службам и адресам назначения

Щелчок по сектору кольцевой диаграммы открывает страницу с более детализированной информацией.

RRDtool позволяет визуализировать динамические данные, такие как температура процессора, его загрузка, количество трафика. На базе RRDtool в интерфейсе Traffic Inspector Next Generation реализован целый ряд различных отчетов, некоторые из них представлены на рисунках ниже.

Отчет по использованию процессора
Отчет по использованию оперативной памяти
Отчет по качеству интернет-канала


Заключение

Traffic Inspector Next Generation — действительно интересное устройство, решающее широкий спектр задач по мониторингу, организации удаленного доступа, предотвращению вторжений и фильтрации нежелательного трафика. Управление реализовано через удобный, интуитивно понятный веб-интерфейс с наглядной визуализацией ключевых моментов. Таким образом, мы видим перед собой конкурентоспособное полноценное комплексное решение по сетевой безопасности, способное облегчить головную боль системным администраторам и безопасникам.

Источник: xakep.ru




Логотип Traffic Inspector Next Generation

Протестировать Traffic Inspector Next Generation в своей сети. 
Бесплатно в течение 30 дней.

Попробовать бесплатно
Назад
Рекомендуем почитать Смотреть все

Небезопасность публичных Wi-Fi сетей

Теги: HoReCa, Публичная Wi-Fi сеть, Traffic Inspector Next Generation, VPN

5 ключевых фактов о Wi-Fi 6 и 5G

Теги: локальная компьютерная сеть, Wi-Fi технологии

Информационная безопасность предприятия: ключевые угрозы и средства защиты

Теги: информационная безопасность предприятия, кибербезопасность, средства защиты информации

Попробуйте бесплатно в течение 30 дней

Traffic Inspector Next Generation подойдет и вашему бизнесу вне зависимости от его размеров. Убедитесь!
Меню навигации
Бесплатный звонок по России 8 800 511-05-81
Сообщение отправлено
Спасибо за заявку! Мы свяжемся с вами в ближайшее время.
ОК
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Вы получите
полнофункциональный комплекс, сможете изучить удобный интерфейс и попробовать все средства защиты, такие как:
Файрвол
Антивирус
Фильтрация трафика
IDS/IPS
и многое другое.
Тестовое оборудование всегда есть на складе и мы предоставим его в кратчайшие сроки. Детали расскажет наш специалист — просто оставьте заявку!
Бесплатное 30-дневное тестирование
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите устройство
S100
S500
M1000
L1000+
Enterprise
FSTEC
Укажите количество
Стоимость будет рассчитана специально для вас
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Благодарим за заказ модуля! Менеджер свяжется с вами в ближайшее время.
ОК
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Выберите модули
Traffic Inspector Next Generation Anti-Virus powered by Kaspersky
NetPolice для Traffic Inspector Next Generation
Оформление заказа
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваше обращение! Менеджер свяжется с вами в ближайшее время.
ОК
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Заказ звонка
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Спасибо за ваш вопрос! Менеджер свяжется с вами в ближайшее время.
ОК
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Задайте вопрос
TRAFFIC INSPECTOR NEXT GENERATION
Сообщение отправлено
Добро пожаловать в программу White Label! Мы свяжемся с вами в ближайшее время.
ОК
WHITE LABEL
партнерская программа
WHITE LABEL
партнерская программа