Об устройстве

Что такое Traffic Inspector Next Generation

Traffic Inspector Next Generation - программно-аппаратный сетевой шлюз нового поколения от российской компании Смарт-Софт. Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI и предоставляет широкий набор сетевых сервисов под управлением единого веб-интерфейса.

Traffic Inspector Next Generation разворачивается в качестве шлюза на границе сети и служит входной точкой в домашнюю / офисную / корпоративную сеть. Подобное расположение позволяет контролировать все сетевые потоки между внутренней сетью и Интернетом.

Администрирование Traffic Inspector Next Generation осуществляется через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминальной программы.

В качестве среды выполнения, Traffic Inspector Next Generation использует операционную систему FreeBSD 11.



Аппаратные характеристики Traffic Inspector Next Generation

Traffic Inspector Next Generation распространяется в виде программно-аппаратного комплекса. В настоящее время в линейке Traffic Inspector Next Generation представлены следующие модели:

  • S 100

  • M 1000

  • L 1000+

Цифра в названии означает рекомендуемое количество пользователей. Реальное количество пользователей ограничено только производительностью аппаратной платформы.

S 100

Модель S 100 рассчитана на использование в малых домашних и офисных сетях. В качестве аппаратной платформы используются компьютеры x86-64 малого форм-фактора (152.4 x 152.4 мм).

M 1000

Модель M 1000 предназначена для среднего бизнеса, учреждений госсектора, образования и здравоохранения среднего класса. В качестве аппаратной платформы используются стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.

L 1000+

Модель L 1000+ предназначена для крупных коммерческих, государственных, образовательных организаций и учреждений здравоохранения. В качестве аппаратной платформы используются высокопроизводительные стоечные серверы DEPO, Lenovo, D-Link форм-фактора 1U.

Подробные аппаратные характеристики моделей можно узнать, связавшись с представителями компании Smart-Soft.

Примечание

Наши клиенты могут оформить тестирование продукта Traffic Inspector Next Generation, в рамках которого им предоставляется полнофункциональный экземпляр программно-аппаратного сетевого шлюза Traffic Inspector Next Generation S 100.


Какие задачи решают с помощью Traffic Inspector Next Generation

  • Организация доступа в Интернет
    • Доступ по учетным записям

    • Отказоустойчивый доступ

    • Управление полосой пропускания Интернет-канала

    • Построение VPN-сети

    • Система централизованного управления шлюзам TING

  • Защита от сетевых угроз
    • Защита от несанкционированного доступа к сети организации

    • Антивирусная защита

  • Создание политик веб-доступа
    • Борьба с нецелевым использованием Интернета в организациях

    • Ограничение доступа к нежелательным ресурсам

    • Фильтрация трафика

  • Мониторинг сетевой активности и отчеты


Функционал Traffic Inspector Next Generation

Организация доступа в Интернет

Методы аутентификации

TING поддерживает множество методов аутентификации. Это означает, что вы сможете выбрать метод, который более всего подходит для вашей инфраструктуры.

  • аутентификация по локальной базе

  • Kerberos

  • NTLM

  • LDAP

  • RADIUS

  • Аутентификация по ваучерам для Captive Portal

  • Аутентификация в Wi-Fi сети по СМС (SMS Portal)

  • Двухфакторная авторизация пользователей

  • Смешанная аутентификация (привязка к IP/MAC-адресам)

Метод Локальная база использует базу пользователей, хранящуюся на самом устройстве Traffic Inspector Next Generation.

Методы LDAP и Kerberos используются при наличии в сети развернутой службы каталогов (чаще всего Active Directory от Microsoft).

При этом метод Kerberos обеспечивает аутентификацию в стиле Single Sign On. При Single Sign On аутентификации, пользователь вводит логин / пароль лишь однажды, при логоне в операционную систему; последующая аутентификация на веб-прокси происходит прозрачно и полностью автоматически.

В Traffic Inspector реализован функционал смешанной аутентификации. Смысл смешанной аутентификации заключается в том, что в настройках Traffic Inspector Next Generation аккаунт пользователя привязывается к определенному IP-адресу или MAC-адресу. Пользователю нужно авторизоваться не только с правильным логином / паролем, но и с разрешенного IP/MAC-адреса.

Двухфакторная аутентификация - расширенная аутентификация, в рамках которой пользователю для получения доступа необходимо предъявить не только свой логин и пароль, но и дополнительный пин-код. Двухфакторная аутентификация позволяет защитить аккаунт надежнее, чем традиционный пароль.

Регистрация пользователей по ваучерам доступна при использовании функционала Captive Portal.

Смешанная аутентификация обеспечивает совмещение одного из поддерживаемых типов аутентификации с дополнительной привязкой к IP-адресу и MAC-адресу.

Кластер высокой доступности

В режиме аппаратной избыточности несколько серверов TING добавляются в кластер. Все устройства кластера разделяют один и тот же IP-адрес. В каждый момент времени, только одно устройство (мастер) обрабатывает весь трафик пользователей. Подчиненные устройства постоянно синхронизируют свое состояние с мастер-устройством. Если мастер устройство выходит из строя, его подменяет одно их подчиненных устройст, которое само становится мастером. Новый мастер способен прозрачно подхватить и продолжить обработку сетевых потоков от клиентов. Данная технология обеспечивает непрерывность доступа к сети Интернет. Функционал кластеризации реализован за счет ряда технологий: протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза).

Connection Failover

TING может работать с несколькими каналами подключения к Интернет. Для этих каналов можно настроить режим Connection Failover. В данном режиме шлюз переключается на запасные каналы доступа в Интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа.

Шейпер / приоритезация трафика (ipfw + dummynet)

Всем знакома ситуация, когда один пользователь может занять весь Интернет-канал всего лишь запустив приложение вроде BitTorrent-клиента. Для решения данной проблемы в TING есть функционал шейпера трафика. Шейпер обеспечивает наиболее востребованные виды шейпирования:

  • ограничение максимальной скорости работы пользователя

  • резервирование выделенной полосы для трафика

  • распределение пропускной способности Интернет-канала поровну между пользователями внутренней сети

  • приоритезация трафика приложения с помощью очередей для трафика критичного к задержкам

VPN-сервер

VPN-сети позволяют настроить конфиденциальное взаимодействие между географически разнесенными сетями или обеспечить шифрованное подключение удаленных пользователей к офису. TING поддерживает наиболее популярные технологии VPN:

  • OpenVPN

  • IPsec в туннельном режиме

  • L2TP/IPsec (IPSec в транспортном режиме)

  • Tinc VPN

  • PPTP

  • PPPoE

Система централизованного управления

Central Management System – система централизованного управления распределенной инфраструктурой сетевых шлюзов Traffic Inspector Next Generation. В рамках инфраструктуры, шлюз Traffic Inspector Next Generation может выполнять одну из двух ролей: Мастер-узел (master node) – шлюз Traffic Inspector Next Generation, устанавливаемый в центральном офисе учреждения. Мастер-узел позволяет осуществлять централизованное администрирование, диагностику и сбор данных с сетевых шлюзов, расположенных в удаленных офисах. Подчиненный узел (slave node) – шлюз Traffic Inspector Next Generation, устанавливаемый в каждом из удаленных офисов учреждения. Подчиненный узел получает свои настройки от назначенного мастер-узла. Подчиненный узел полностью контролирует и защищает сетевое взаимодействие между компьютерами удаленного офиса и сетью Интернет. Сетевое взаимодействие между мастер-узлом и подчиненным узлом осуществляется по защищенным соединениям. После настройки инфраструктуры, администратор может инициировать передачу настроек на выбранный подчиненный узел и получать диагностические сообщения с подчиненных узлов.


Защита от сетевых угроз

Сетевой экран (Packet Filter)

Сетевой экран защищает шлюз TING и компьютеры пользователей от несанкционированного доступа из сети Интернет, сетевого сканирования. Раздает Интернет на пользователей корпоративной сети. Может обеспечить досуп ко внутренним серверам из Интернета.

Шлюзовый антивирус (С-ICAP + ClamAV)

Защищает от вирусов и вредоносного содержимого в веб-трафике. Не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей. Проверяется HTTP- и HTTPS-трафик.

Система обнаружения / предотвращения вторжений (Surricata)

Система IDS/IPS выявляет и предотвращает широкий диапазон атак:

  • эксплуатирование уязвимостей в сетевых протоколах (DNS, FTP, ICMP, IMAP, POP3, HTTP, NetBIOS, DCERPC, SNMP, TFTP, VOIP-протоколах)

  • DOS-атаки

  • сетевое сканирование

  • работа ботнетов и скомпрометированных хостов

  • работа хостов, зараженных троянским ПО и сетевыми червями

  • защита от спам-сетей

  • использование скомпрометированных SSL-сертификатов

Создание политик веб-доступа

Веб-прокси сервер (Squid)

Веб-прокси – служба, через которую пользователи получают доступ к Интернету. Веб-прокси поддерживает:

  • Проксирование протоколов HTTP, HTTPS, FTP

  • Прозрачное проксирование

  • Перехват и дешифрование SSL/TLS-соединений

  • Кеширование веб-контента

  • Фильтрация через списки контроля доступа

Фильтрация с помощью прокси-сервера (Squid):

  • Фильтрация по IP-адресам клиентов и сетям

  • Фильтрация по портам назначения

  • Фильтрация по типу браузера (User Agent)

  • Фильтрация по типу контента (по MIME-типам)

  • Фильтрация по общим белым и черным URL-спискам

  • Фильтрация по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу

  • Фильтрация по скачиваемым URL-спискам (SquidGuard)

  • Фильтрация по категориям с помощью модуля NetPolice

В URL-списках допускается использование синтаксиса регулярных выражений.

L7-фильтрация (nDPI)

Система глубокой инспекции пакетов обеспечивает интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа. С точки зрения пользователя, данная система – простое решение для блокировки приложений вроде Skype и BitTorrent.

Мониторинг сетевой активности и отчеты

TING поддерживает гибкие и информативные отчеты по сетевой активности пользователей, благодаря которым руководитель сможет увидеть на какие ресурсы обращался пользователь, сколько данных было скачано с ресурса, какие сетевые протоколы и порты были использованы.

Мониторинг трафика с помощью NetFlow

NetFlow – технология и сетевой протокол для снятия сетевой статистики с сетевых интерфейсов маршрутизаторов. NetFlow разработан Cisco и является де-факто промышленным стандартом, подерживаемым сетевым оборудованием Cisco, Juniper и Unix-подобными системами. Архитектура NetFlow предполагает три роли, которые выполняются устройствами: сенсор / экспортер, коллектор, анализатор. TING способен выполнять все три роли в архитектуре NetFlow. На базе NetFlow в Traffic Inspector Next Generation реализован ряд отчетов:

  • Отчет по сетевой активности

  • Отчет по наиболее популярным сетевым службам

  • Отчет по наиболее популярным IP-адресам назначения

Отчеты по веб-прокси

Пользователи могут обращаться на веб-ресурсы через веб-прокси сервер TING. Поддерживается несколько типов отчетов по прокси:

  • Domains (по посещенным доменам)

  • URLs (по посещенным URL)

  • Users (по пользователям, генерировавшим запросы на прокси)

  • User IPs (по компьютерам, генерировавшим запросы на прокси)

Мониторинг системы с помощью RRDtool

RRDtool — набор утилит для хранения, обработки и визуализации динамических данных (т.е. последовательность замеров некоторого изменяющегося во времени параметра). Все данные хранятся в кольцевой базе, размер которой остаётся неизменным. На базе RRDtool в Traffic Inspector Next Generation реализован ряд отчетов.

  • Отчет по состоянию Интернет-канала

  • Отчет по использованию процессора

  • Отчет по использованию оперативной памяти

  • Отчет по количеству состояний трассировщика соединений сетевого экрана

Мониторинг загрузки сетевых интерфейсов в реальном времени

В разделе Reporting -> Traffic Graph можно увидеть текущую загрузку сетевых интерфейсов и скорость работы пользовательских компьютеров.

Журнал сетевого экрана packet filter

В разделе Межсетвой экран -> Журнал можно увидеть журнал работы сетевого экрана. Наиболее полезно Стандартное представление журнала. Здесь можно видеть судьбу каждого пакета, обработанного сетевым экраном. Отображается IP-адрес и порт источника, IP-адрес и порт назначения, входящий интерфейс, время обработки пакета и действие, которое было применено к пакету.

Cистемный журнал и syslog-ng

В разделе Система -> Журнал доступен системный журнал. Системный журнал реализован на базе Syslog. В системном журнале содержутся сообщения от различных подсистем Traffic Inspector Next Generation.