Что такое NGFW. Недавние конкуренты вместе создают новые продукты для защиты страны

Что такое NGFW. Недавние конкуренты вместе создают новые продукты для защиты страны

Отрасль информационной безопасности в России, к счастью, оказалась готова к режиму санкций со стороны западных стран.

На протяжении последних 20 лет в стране активно развивалось сообщество по информационной безопасности — активными евангелистами «из народа», государством на уровне Государственной думы, Совета Федерации, ФСТЭК и ФСБ и, конечно, нашими разработчиками продуктов и сервисов, которые уже известны во всём мире: Group-IB, «Лабораторией Касперского», Positive Technologies. Поэтому в этой отрасли мы видим огромный рост числа новых решений, которые не уступают продуктам мирового уровня по экспертизе и качеству и готовы защищать как государственные организации, так и коммерческий сектор.

В 2022 году компании стали объединяться и делать совместные решения для защиты российских организаций; эксперты из компаний — недавних конкурентов вместе создают новые продукты для защиты страны. И одним из таких продуктов стал межсетевой экран нового поколения. Экспертность многих российских компаний позволяет реализовать это решение, что в свою очередь ведёт к серьёзному укреплению защиты государства. Разберём, что это за решение, более подробно.

НА ЧТО СФОКУСИРУЕМСЯ

Чтобы понять, что такое межсетевые экраны нового поколения (NGFW), нужно разобраться в нескольких основных аспектах их работы:

• схема применения;
• удобство управления, визуализации и просмотра журналов;
• контроль приложений;
• контроль пользователей;
• функциональность сетевой безопасности;
• производительность.

Выступление о тонкостях NGFW, которые скрывают производители (май 2022 г.).

СХЕМА ПРИМЕНЕНИЯ

NGFW применяется в корпоративной сети для разделения сетей с разными политиками безопасности и управления потоками данных на уровне приложений, включая контроль трафика сотрудников, подключённых по VPN, и трафика от серверов. В нашей модели рисков мы исходим из того, что внутри сети уже есть злоумышленники и взломанные устройства; иногда вредоносные действия совершает сотрудник или хакер от его имени.

С точки зрения сетевой топологии NGFW может выглядеть как прозрачный кабель, как коммутатор с поддержкой VLAN, как маршрутизатор с поддержкой динамической маршрутизации, как прокси-сервер или как MTA. Все эти варианты повышают удобство интеграции NGFW в сеть. Сегодня NGFW может работать на периметре, в ЦОД, с SDN, в АСУ ТП, в виртуализации, в Kubernetes, в облачных хранилищах.

Внутри всех NGFW всегда реализована трансляция адресов. Это помогает вклиниваться в работу приложений, которые не понимают NAT, и подменять адреса не только на сетевом уровне, но и на уровне приложения. Например, это актуально для протоколов SIP и FTP.

Иногда один NGFW делят на несколько виртуальных: одно и то же устройство имеет разные наборы администраторов, правил и объектов для проходящего через него трафика на разных интерфейсах.

В NGFW чаще всего реализованы функции шлюза VPN, поскольку это помогает подключать своих сотрудников и сразу пропускать их через защитные фильтры устройства. У таких производителей есть собственные VPN-клиенты с расширенной функциональностью проверки клиентских устройств на соответствие политикам компании. Другой интересной особенностью является реализация SSL-VPN-шлюзов. Там клиент, наоборот, не нужен, и человек подключается к корпоративной сети и её приложениям через браузер.

Также существует схема применения NGFW как сервис, когда провайдер предоставляет все функции защиты из облака как ежемесячную подписку с нужной производительностью. Когда такой NGFW используется для удалённого доступа к ресурсам компании и для защиты филиалов, то его называют Zero Trust Network Access (ZTNA).

УДОБСТВО УПРАВЛЕНИЯ, ВИЗУАЛИЗАЦИЯ И ЖУРНАЛЫ

С точки зрения удобства управления самый большой вопрос состоит в том, насколько легко и быстро ваши специалисты разбираются в настройках: и безопасники, и сетевики. Люди часто мне говорят о том, что NGFW помог им понять свою сеть, то есть в нём хорошо реализована визуализация происходящего.

Стратегии разработки отличаются в интерфейсах управления NGFW разных производителей. Кто-то сразу продумал структуру меню, и она не меняется уже много версий подряд. Кто-то сразу сделал одинаковым интерфейс локального управления и централизованного управления. Кто-то сделал управление через веб-браузер, а кто-то — из толстого клиента под Windows. Кто-то сделал удобный RESTAPI, и продукт управляется через скрипты. На мой взгляд, удобнее всего управлять NGFW из любого браузера.

Первое, что включает любой пользователь, — запись всего, что видно в сети. Что отображается в журналах:

• запрещённые в компании приложения, например торрент-клиенты или майнеры;
• работающие по нестандартным портам приложения, например RDG или Elasticsearch;
• соединения от имени аккаунтов уволенных сотрудников;
• туннели разного типа в разные страны;
• получение исполняемых файлов из интернета, а не из внутреннего репозитория;
• информация о том, сколько сотрудников открывает сайты для поиска работы;
• множество вредоносных программ в почте и в вебе;
• устройства компании, подключённые к известным бот-сетям.

Я привёл эти примеры, чтобы показать, насколько много функций сегодня в NGFW. И это ещё не всё. У разных производителей разные функции, но при этом каждый называет себя NGFW. И у вас есть выбор: верить или проверить.

Таким образом, важное отличие NGFW от обычных межсетевых экранов — информативные журналы (рис. 1). В NGFW каждое соединение сразу обогащено информацией:

• о пользователе, который его инициировал,
• странах, откуда и куда идёт подключение,
• приложении, которое генерирует этот поток,
• файлах, которые передаются в приложениях,
• URL-категориях в каждом HTTP(S)-запросе,
• об SSL-сертификатах,
• об угрозах, которые есть внутри потока данных.

Рисунок 1. Пример журнала NGFW, где показаны аккаунты сотрудников, страны, порты, приложения
 

Если вы можете с помощью журнала быстро диагностировать проблемы с сетью и с безопасностью, это то, что вам нужно. Как пример неудобства: я знаю производителей, которые до сих пор создают журналы межсетевого экрана в виде TXT-файлов. Назвать этот метод из 90-х годов «следующим поколением» язык не поворачивается. Хотя они смогли.

КОНТРОЛЬ ПРИЛОЖЕНИЙ

NGFW особенно эффективно проявляет себя в анализе идущего из компании в интернет трафика и трафика от удалённых VPN-подключений. Около 25 лет назад было принято решение, что для идентификации приложений будут использоваться порты: 80 — HTTP, 443 — HTTPS, 25 — SMTP, 21 — FTP и так далее. Сегодня ситуация изменилась: внутри этих портов могут «ходить» любые приложения. Для примера: в одной из компаний мне сказали, что по 443-му порту у них выходит в интернет 173 разных приложения — файлообменники, веб-почта, мессенджеры, социальные сети, вебинары, бизнес-приложения и др. И NGFW «раскрасил» соединения по 443-му порту реальной информацией, кто чем из сотрудников пользуется, и позволил точно указать, каким приложениям по этому порту ходить можно, а каким нельзя. Если у вас портовый межсетевой экран, то он позволит либо запретить все приложения, либо разрешить одновременно по этому порту. В большинстве компаний просто разрешены все приложения наружу по 443-му порту. Раньше пытались решить эту задачу использованием прокси-серверов, но многие приложения через прокси не работают, поэтому в прокси множество исключений. И это прекрасный канал для утечек информации.

Сейчас даже легитимные приложения используют туннелирование через другие приложения. И именно этот аспект начали учитывать межсетевые экраны нового поколения. Они позволяют определить, что по стандартному порту для HTTP (порт 80) сейчас идёт трафик другого приложения, отличный от HTTP, например Skype. NGFW позволяет увидеть туннели внутри DNS и ICMP, распознать трафик сложных приложений типа TeamViewer, Tor, Telegram и явно запретить или разрешить эти приложения и туннели. Такую функциональность называют Deep Packet Inspection (DPI), что означает, что мы смотрим не просто в заголовки пакетов, а в сам контент и понимаем, что там.

Обнаружение приложений есть в отдельных устройствах класса DPI, например компании Allot или Sandvine. Их не называют NGFW, потому что, кроме обнаружения приложений, им нужны ещё другие сервисы безопасности, например идентификация пользователей и IPS.

Обнаружение приложений входит в функциональность Check Point Security Gateway версии 77, но его не называют NGFW, потому что там приложение нельзя сделать критерием политики; приложения там управляются в отдельном окошке — отдельно от основного окна с политиками. Приложения стали критерием политики безопасности в политиках продуктов Check Point версии 80 и выше. И его уже можно назвать NGFW.

Обнаружение приложений также входит в функциональность файрвола Fortinet в режиме profile mode, однако это не NGFW, поскольку там критерием политики является порт. Приложениям там выделен специальный профиль защиты, но профиль срабатывает, когда трафик по порту уже пропущен. То есть это режим фильтрации по портам, а не по приложениям.

Для фильтрации по приложениям в файрволе Fortinet есть специальный режим NGFW policy mode, в котором приложение является критерием политики безопасности. То есть внутри продукта Fortinet на самом деле прячется несколько типов межсетевых экранов: портовый файрвол, файрвол приложений и HTTP-прокси. Пока мне не встречались люди, кто настроил бы Fortinet в режиме NGFW policy mode.

Palo Alto Networks была новичком на рынке, и уже в первой версии они сразу сделали NGFW, в котором приложение всегда является критерием политики. Собственно, они и придумали термин NGFW (рис. 2).

Рисунок 2. Пример политики по приложениям в Palo Alto Networks NGFW

КОНТРОЛЬ ПОЛЬЗОВАТЕЛЕЙ

Сотрудники компании перемещаются по миру. Они подключаются через Wi-Fi с ноутбуков, заходят с различных рабочих станций, работают через VDI, подключаются по VPN из дома и в командировках. Однако для одной группы пользователей нужен доступ к серверу «1С», для другой — к маршрутизаторам, для третьей — к базе данных кадровиков и так далее. Чтобы реализовать такой ролевой доступ на сетевом уровне, используются правила по именам и группам пользователей в NGFW. Иногда для такой функциональности встречается термин identity firewall.

Для функционирования identity firewall в NGFW работает агент, который отслеживает аккаунты сотрудников компании, группы, к которым они принадлежат, и IP-адреса, по которым они сейчас находятся. Чаще всего эту информацию заимствуют из Active Directory, потому что каждый вход сотрудника в сеть журналируется, и в нём записано соответствие аккаунта и IP-адреса.

Если сотрудники работают на терминальном сервере, то получается, что с одного IP-адреса их будет несколько. Для этого на терминальный сервер ставится агент, который «разбрасывает» пользователей на разные диапазоны портов, и поэтому NGFW тоже может различать пользователей и по адресу, и по порту (рис. 3).

Рисунок 3. Пример источников для получения информации о пользователе, его группе и IP-адресе

ФУНКЦИИ БЕЗОПАСНОСТИ

Функции безопасности влияют на эффективность защиты и возможности вашей команды управлять рисками в сети. Причём не только рисками при работе браузеров, как это делает прокси-сервер, но и всеми приложениями: голос, видео, управляющие протоколы. И тут важно понимать, откуда ваш NGFW берёт экспертизу: из собственной лаборатории или из покупных баз. Чаще всего, если исследовательская лаборатория у производителя собственная, вы чаще получаете обновления, да и устройство оказывается дешевле.

Основная функциональность, которую используют в NGFW, — функциональность системы предотвращения атак (IPS). Некоторые компании переживают за ложные срабатывания и пользуются NGFW в режиме IDS (без блокировок). В интернете можно найти тесты качества этой функциональности.

Следующей важной функцией для периметровой защиты является URL-фильтрация по категориям сайтов. Здесь производители идут двумя путями: кто-то реализовал фильтрацию в виде прокси-сервера, то есть терминирует на себе все HTTP-соединения, а кто-то реализует проверку и фильтрацию URL в прозрачном режиме. Как показывает практика, в прозрачном режиме URL-фильтрация работает быстрее. Во многих компаниях HTTP-прокси работает как отдельная функция защиты на каждом конкретном устройстве. Иметь URL-фильтрацию только через HTTP-прокси не очень хорошо, потому что URL-ссылки встречаются в разных типах трафика: в SMTP, в POP3, IMAP, и их там тоже надо проверять, — это реализовано только в NGFW, но не реализовано в прокси.

Дополнительной функцией является работа потокового антивируса и песочницы. Поскольку NGFW видит файлы в различных протоколах, например HTTP, SMTP, SMB, то он имеет возможность проверять эти файлы имеющимися у него сигнатурами или хешами. У Fortinet и Cisco используются хеши файлов, у Check Point и Palo Alto Networks используются сигнатуры. Сигнатуры эффективнее: одна сигнатура позволяет обнаруживать множество вариантов вредоносных файлов.

Ещё одна функция — проверка индикаторов компрометации. Поскольку обнаружение бот-сетей по IP-адресу, DNS и URL эффективно работает, также как и обнаружение других вредоносных ресурсов, то NGFW часто может заблокировать подключения к таким ресурсам, получая фиды c индикаторами от поставщиков threat intelligence.

Многие понимают, что функциональность обнаружения атак и проверки файлов упирается в то, что бóльшая часть трафика на периметре зашифрована TLS-протоколом — до 80%. Поэтому ещё одной важной функцией безопасности NGFW является расшифрование TLS на основе подмены сертификата. Какое-то время эта функция рассматривалась как важная, однако сейчас подмене сертификата TLS сопротивляется всё больше и больше приложений: вы не можете вклиниваться в трафик вебинаров, мессенджеров, обновлений. В итоге заказчики говорят, что сегодня получается расшифровать 50% имеющегося объёма TLS трафика — и это хорошо.

Расшифрование TLS нужно, чтобы отдать трафик на остальные движки безопасности: URL-фильтр, IPS, антивирус, песочницу. В некоторых устройствах есть возможность отдавать расшифрованный трафик на внешние устройства, например на внешний DLP.

Нужно учитывать, что TLS-расшифрование серьёзно нагружает NGFW и снижает его производительность. Вы можете посмотреть данные поставщиков о производительности с включённым и выключенным режимом расшифрования TLS. Эти данные обычно заставляют меня улыбнуться, потому что все пишут показатели производительности с выключенными остальными движками безопасности: URL, антивирусом, песочницей и другими. А если включить?

В некоторых NGFW реализовано ещё и расшифрование протокола SSH, что увидеть внутри него туннелирование.

В качестве бонуса в NGFW бывают включены различные технологии сетевого DLP. Например, блокировка файлов по типам, или поиск номеров кредитных карт и номеров телефонов, или морфологический анализ.

У некоторых производителей включена функция проверки спама и вирусов в сообщениях электронной почты в режиме mail transfer agent (MTA). Это позволяет перенаправлять электронную почту через устройство по SMTP, но эта функция катастрофически нагружает устройство, поэтому в NGFW это мало у кого сделано.

HTTP- и FTP-прокси-сервер сегодня реализован почти у всех производителей. Связано это в основном с историей развития: у них всегда был прокси-сервер, ещё когда все межсетевые экраны были портовыми, и его оставляют. Это медленная функция, которая серьёзно проигрывает в производительности прозрачной проверке URL-запросов в HTTP-трафике. Поскольку прокси-сервер работает с потоками данных «в разрыв», то он может даже что-то менять, добавлять или удалять в запросах и ответах. Если в вашей сети действительно требуется работать с трафиком через прокси-серверы, то логичнее взять его как отдельное устройство.

ПРОИЗВОДИТЕЛЬНОСТЬ

Что касается производительности, тут всё просто: нужно понять, способен ли межсетевой экран выполнить возложенные на него функции, обеспечив нужную для вашего предприятия пропускную способность с нужным включённым функционалом. Основным месседжем производителей всегда являлось использование аппаратного ускорения. Опыт показал, что производительность достигается за счёт оптимального написания кода, и тогда даже на стандартной архитектуре можно реализовать значительную скорость анализа трафика. Например, однопроходный движок анализа трафика у Palo Alto Networks в системах виртуализации достигает скорости 16 Гбит/с на одном виртуальном NGFW с функционалом контроля приложений, пользователей, IPS, антивируса и Threat Intelligence. И никаких ускорителей там нет. Даже наоборот, там есть гипервизор, который даёт дополнительную нагрузку на серверные мощности.

В мире всего четыре иностранных производителя, кто использует ускорители:

• компания Palo Alto Networks использовала чипы Cavium и FPGA для ускорения разбора трафика приложений, TLS Decrypt, IPS и антивируса;
• компания Fortinet использует ASIC собственного производства: различные разновидности под названиями NP, CP, SOC;
• компания Cisco использовала чипы ускорения для IPsec;
• компания Juniper использовала специальную плату ускорения для SSL Decrypt.

Компания UserGate также создала платформу на основе Cavium, но санкции помешали его использованию. Остальные производители, например, Check Point, используют обычные серверы x86.

ЗАКЛЮЧЕНИЕ

Здравая идея объединить несколько функций в одно устройство с единой системой управления вылилась в устройства класса unified threat management (UTM). Проблемой этих устройств было то, что движки внутри были написаны разными компаниями, и они плохо стыковались друг с другом. NGFW появился позже, когда выяснилось, что если запрограммировать в одной компании сразу все функции одним единым модулем, то повышаются и безопасность, и производительность.

Таким образом, NGFW — это подмножество UTM-устройств. При этом новыми функциями в NGFW стали правила по приложениям и пользователям. И они должны быть вашим критерием выбора. Но также важно, чтобы у производителя были и остальные функции безопасности; проверяйте, чтобы все эти функции при включении обеспечивали нужное вам хорошее качество защиты на нужной вам скорости передачи трафика.

И ещё раз подчеркну: обязательна удобная единая система управления и журналирования.