В начале июня 2015 года я прослушал семинар, который проводила компания «АльтЭль». На мероприятии рассказывали о всей продуктовой линейке вендора, но меня особенно заинтересовал посыл о том, что давно присутствующий на отечественном рынке продукт – ALTELL NEO является межсетевым экраном нового поколения. В свете широко обсуждаемого и претворяемого в жизнь курса на импортозамещение, такое позиционирование выглядит перспективным. Предлагаю вашему вниманию анализ имеющегося у ALTELL NEO функционала, рассмотрев его под призмой использования при решении задач защиты информации.
Итак, ALTELL NEO ̶ это российские сертифицированные межсетевые экраны. Они могут использоваться как межсетевой экран, криптошлюз (VPN), система обнаружения и предотвращения вторжений (IDS/IPS), веб-фильтр, антивирусный шлюз, а также выполнять все эти функции одновременно (с вариантом системного программного обеспечения UTM). Изменение варианта системного программного обеспечения осуществляется путем перепрошивки устройства. Функции контроля приложений, почтовый фильтр (2 антиспама), IDS/IPS, Web-фильтр, антивирусная защита (2 антивируса) становятся доступными при использовании варианта прошивки UTM.
Текущая версия, отгружаемая со складов, вышла 26.06.2013 года. Производитель анонсирует выпуск обновленной версии осенью 2015 года. Тут у меня возник вопрос – а почему с середины 2013 года новых релизов ALTELL NEO не выходило? Ведь если производитель развивает свой продукт, то новые версии выходят, как правило, регулярно. Заглянув на сайт компания «АльтЭль», я обнаружил, что продукт достаточно регулярно обновляется путем выпуска минорных версий. В них, как правило, устраняются обнаруженные ошибки и обновляется антивирусное ядро. Реже происходит изменение политик межсетевого экрана и, совсем редко, добавляются новые функции.
Вендор заявляет, что ALTELL NEO, работая как классический межсетевой экран, позволяет фильтровать более 100 протоколов прикладного уровня, защищает от DoS-атак и сканирования портов. В режиме UTM добавляются 2 независимых антивируса (ClamAV и Kaspersky), 2 антиспама (Kaspersky и SpamAssassin), поддержка DNS Black list, технология SPRF, сервис SURBL, передовые методы фильтрации: DKIM и Razor. Имеющийся в устройстве Web-фильтр позволяет блокировать установление соединений по 25 категориям адресов, формировать гибкие политики доступа по времени, адресу, имени пользователя, группе, а также проводить авторизацию пользователей с помощью службы AD и протоколов LDAP или через NTLM.
Устройство имеет достаточно производительный IDS/IPS-движок на основе Suricata, позволяющий декодировать туннели IPv4-in-IPv6 и IPv6-in-IPv6. Для организации удаленного доступа в корпоративную сеть можно использовать встроенный OpenVPN клиент и сервер с поддержкой российского стандарта симметричного шифрования (ГОСТ) или сервер L2TP (поверх IPSec). Утверждается о возможности подключать неограниченное количество удаленных клиентов.
Отдельно следует отметить возможность использования соединения CAPWAP WiFi, поддержку 3G-модемов, клиента DynDNS, поддержки IPMI и системы управления через веб-браузер.
Лично я знаю не так много отечественных межсетевых экранов с аналогичными техническими характеристиками. В дополнение к высокой производительности, ALTELL NEO позволяет управлять доступом в Интернет для всех сотрудников, вести учет трафика, протоколировать историю посещений Интернет-ресурсов, блокировать нежелательный трафик и ресурсы, обеспечивать защищенное соединение с офисом, а также обнаруживать вредоносное ПО и отражать хакерские атаки.
Кстати, о производительности. По всей видимости, это — ключевое преимущество ALTELL NEO в сравнении с российскими конкурентами. Ведь старшая модель 340 позволяет работать в режиме межсетевого экрана на скорости до 18500 Мбит/с. Однако в режиме VPN ГОСТ ALTELL с показателем в 2400 Мбит/с проигрывает своим отечественным собратьям, которые способны работать на скоростях до 2700 Мбит/с.
Немаловажным является способность устройства блокировать доступ при возникновении избыточного трафика (например, в случае сбоя или поражения вирусами).
С помощью ALTELL NEO представляется возможным решать различные проблемы, связанные с безопасностью информации. В настоящее время многие банки находятся в поиске решений по защите сетей банкоматов. А компактные габариты и небольшой вес ALTELL NEO 100 позволяют встроить его непосредственно в банкомат, что дает возможность создать VPN-соединение между банкоматами и процессинговым центром, причем помимо шифрования ГОСТ он поддерживает такие алгоритмы шифрования как: 3DES, AES и Blowfish.
По завершении семинара в «АльтЭль» я полностью убедился в том, что российские разработчики создали продукт, который по характеристикам не уступает CISCO ASA и, к тому же, обладает сертификатами ФСТЭК, ССС и ФСБ. Плюс имеется несколько привлекательных особенностей:
- широкий модельный ряд (7 моделей);
- богатые функциональные возможности (UTM);
- высокая производительность, быстрое шифрование ГОСТ;
- модульная архитектура программной и аппаратной части;
- простое управление (консоль/web-интерфейс);
- автообновление в PUSH-режиме.
Стоит упомянуть о функциях так называемых NGFW (Next Generation Firewalls), которые обычно ассоциируют с Palo Alto Networks, CheckPoint, Sourcefire и McAfee и об их реализации в ALTELL NEO. Попытаемся ответить на вопрос, вынесенный в заголовок данной статьи.
Специалисты по ИБ считают, что NGFW отличают расширенные возможности по формированию политик, основанных на приложениях, а не только протоколах и портах. Ведь тысячи приложений (Youtube, Facebook, GMail, Twitter) формально используют один и тот же HTTP- протокол, и традиционные межсетевые экраны («файрволы») не в состоянии обеспечить необходимый уровень контроля. NGFW решение должно иметь постоянно обновляемую базу описаний приложений, а межсетевой экран должен обладать функционалом идентификации (обнаружения) не только самих приложений, но и предоставлять возможности контроля отдельных функций приложений (разрешить чат, но запретить передачу файлов и т.п.).
Применительно к ALTELL NEO я отметил, что функции детального контроля за приложениями в нем заявлены как «фильтрация одноранговых приложений applejuice, bittorrent, directconnect, edonkey, gnutella, kazaa» и «фильтрация пакетов на прикладном уровне L7-filtering». Межсетевой экран позволяет выполнять такие действия, как блокирование/ограничение полосы пропускания для IM/P2P-приложений: Skype, ICQ, MSN, Jabber, GTalk, Yahoo, IRC, BitTorrent и др. Кроме того, я не нашел информации о том, как ALTELL NEO справляется со следующими задачами:
- идентификация и контроль приложений на всех портах;
- идентификация и контроль приложений для обхода средств защиты;
- дешифрация SSL и контроль использования SSH;
- контроль функций приложений;
- систематическое управление неизвестным трафиком;
- блокирование известных и неизвестных угроз в разрешенных приложениях.
С учетом того, что вендор четко позиционирует себя в качестве поставщика сертифицированных решений для определенного сегмента заказчиков, возможна ситуация, когда для выполнения технических требований на создание системы защиты информации, альтернативу ALTELL NEO будет сложно найти. Кроме того, как заявляют разработчики ALTELL, в следующей версии, которая ожидается осенью 2015 года, будет реализована поддержка кластерной схемы работы устройств (актив-актив). Возможно, мы увидим и развитие продукта в части детального контроля за приложениями.
Если перед архитектором системы информационной безопасности стоит задача выбора устройства сетевой безопасности, то он может творчески подойти к этому решению, игнорируя дифференциацию между UTM и NGFW применительно к ALTELL NEO, т.к. используемые в нем технологии во многом идентичны западным аналогам.
Сегодня мы знаем, что есть возможность выбрать сертифицированное решение, которое отвечает в наибольшей степени потребностям вашего бизнеса.
Автор: Андрей Рыбин