UserGate Proxy&Firewall. Сертифицированный защитник сетей::Журнал СА 3.2011
www.samag.ru
     
Поиск   
              
 www.samag.ru    Web  0 товаров , сумма 0 руб.
E-mail
Пароль  
 Запомнить меня
Регистрация | Забыли пароль?
Журнал "Системный администратор"
Журнал «БИТ»
Подписка
Архив номеров
Где купить
Наука и технологии
Авторам
Рекламодателям
Контакты
   

  Опросы
  Статьи

Дата-центры  

Дата-центры: есть ли опасность утечки данных?

Российские компании уже несколько лет испытывают дефицит вычислительных мощностей. Рост числа проектов,

 Читать далее...

Книжная полка  

Защиты много не бывает

Среди книжных новинок издательства «БХВ» есть несколько изданий, посвященных методам социальной инженерии

 Читать далее...

Событие  

В банке рассола ждет сисадмина с полей фрактал-кукумбер

Читайте впечатления о слете ДСА 2024, рассказанные волонтером и участником слета

 Читать далее...

Организация бесперебойной работы  

Бесперебойная работа ИТ-инфраструктуры в режиме 24/7 Как обеспечить ее в нынешних условиях?

Год назад ИТ-компания «Крок» провела исследование «Ключевые тренды сервисного рынка 2023». Результаты

 Читать далее...

Книжная полка  

Читайте и познавайте мир технологий!

Издательство «БХВ» продолжает радовать выпуском интересных и полезных, к тому же прекрасно

 Читать далее...

СУБД PostgreSQL  

СУБД Postgres Pro

Сертификация по новым требованиям ФСТЭК и роль администратора без доступа к данным

 Читать далее...

Критическая инфраструктура  

КИИ для оператора связи. Готовы ли компании к повышению уровня кибербезопасности?

Похоже, что провайдеры и операторы связи начали забывать о требованиях законодательства

 Читать далее...

Архитектура ПО  

Архитектурные метрики. Качество архитектуры и способность системы к эволюционированию

Обычно соответствие программного продукта требованиям мы проверяем через скоуп вполне себе понятных

 Читать далее...

Как хорошо вы это знаете  

Что вам известно о разработках компании ARinteg?

Компания ARinteg (ООО «АРинтег») – системный интегратор на российском рынке ИБ –

 Читать далее...

Графические редакторы  

Рисование абстрактных гор в стиле Paper Cut

Векторный графический редактор Inkscape – яркий представитель той прослойки open source, с

 Читать далее...

День сисадмина  

Учите матчасть! Или как стать системным администратором

Лето – время не только отпусков, но и хорошая возможность определиться с профессией

 Читать далее...

День сисадмина  

Живой айтишник – это всегда движение. Остановка смерти подобна

Наши авторы рассказывают о своем опыте и дают советы начинающим системным администраторам.

 Читать далее...

Виртуализация  

Рынок решений для виртуализации

По данным «Обзора российского рынка инфраструктурного ПО и перспектив его развития», сделанного

 Читать далее...

Книжная полка  

Как стать креативным и востребованным

Издательский дом «Питер» предлагает новинки компьютерной литературы, а также книги по бизнесу

 Читать далее...

1001 и 1 книга  
19.03.2018г.
Просмотров: 6417
Комментарии: 0
Машинное обучение с использованием библиотеки Н2О

 Читать далее...

12.03.2018г.
Просмотров: 7120
Комментарии: 0
Особенности киберпреступлений в России: инструменты нападения и защита информации

 Читать далее...

12.03.2018г.
Просмотров: 4398
Комментарии: 0
Глубокое обучение с точки зрения практика

 Читать далее...

12.03.2018г.
Просмотров: 3086
Комментарии: 0
Изучаем pandas

 Читать далее...

12.03.2018г.
Просмотров: 3882
Комментарии: 0
Программирование на языке Rust (Цветное издание)

 Читать далее...

19.12.2017г.
Просмотров: 3898
Комментарии: 0
Глубокое обучение

 Читать далее...

19.12.2017г.
Просмотров: 6388
Комментарии: 0
Анализ социальных медиа на Python

 Читать далее...

19.12.2017г.
Просмотров: 3234
Комментарии: 0
Основы блокчейна

 Читать далее...

19.12.2017г.
Просмотров: 3530
Комментарии: 0
Java 9. Полный обзор нововведений

 Читать далее...

16.02.2017г.
Просмотров: 7364
Комментарии: 0
Опоздавших не бывает, или книга о стеке

 Читать далее...

17.05.2016г.
Просмотров: 10726
Комментарии: 0
Теория вычислений для программистов

 Читать далее...

30.03.2015г.
Просмотров: 12446
Комментарии: 0
От математики к обобщенному программированию

 Читать далее...

18.02.2014г.
Просмотров: 14097
Комментарии: 0
Рецензия на книгу «Читаем Тьюринга»

 Читать далее...

13.02.2014г.
Просмотров: 9193
Комментарии: 0
Читайте, размышляйте, действуйте

 Читать далее...

12.02.2014г.
Просмотров: 7142
Комментарии: 0
Рисуем наши мысли

 Читать далее...

10.02.2014г.
Просмотров: 5447
Комментарии: 3
Страна в цифрах

 Читать далее...

18.12.2013г.
Просмотров: 4683
Комментарии: 0
Большие данные меняют нашу жизнь

 Читать далее...

18.12.2013г.
Просмотров: 3497
Комментарии: 0
Компьютерные технологии – корень зла для точки роста

 Читать далее...

04.12.2013г.
Просмотров: 3213
Комментарии: 0
Паутина в облаках

 Читать далее...

03.12.2013г.
Просмотров: 3449
Комментарии: 0
Рецензия на книгу «MongoDB в действии»

 Читать далее...

02.12.2013г.
Просмотров: 3091
Комментарии: 0
Не думай о минутах свысока

 Читать далее...

Друзья сайта  

 UserGate Proxy&Firewall. Сертифицированный защитник сетей

Архив номеров / 2011 / Выпуск №3 (100) / UserGate Proxy&Firewall. Сертифицированный защитник сетей

Рубрика: БИТ. Бизнес & Информационные технологии /  Средства защиты

Станислав Шпак СТАНИСЛАВ ШПАК, более пяти лет занимается сопровождением Active Directory и Windows-серверов. Имеет сертификаты MCSE по Windows Server 2000/2003

UserGate Proxy&Firewall
Сертифицированный защитник сетей*

Необходимость организации безопасного межсетевого взаимодействия, ограничений на доступ пользователей к внешним ресурсам и мониторинга их активности – задача, знакомая многим системным администраторам

Кроме того, организации, обрабатывающие персональные данные (ПДн), согласно закону 152-ФЗ обязаны защищать свои информационные системы и сети в соответствии с требованиями нормативно-методической базы Регуляторов. При взаимодействии информационных систем с внешними сетями или информационно-телекоммуникационными сетями международного информационного обмена (Интернет) одним из основных способов защиты является межсетевое экранирование в целях управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы.

В качестве одного из решений по межсетевому экранированию рассмотрим российскую разработку компании Entensys – продукт UserGate Proxy&Firewall 5.2.F. Семейство средств защиты этой компании уже давно известно в профессиональной среде и зарекомендовало себя с положительной стороны. Данный продукт позиционируется для сегмента малого и среднего бизнеса, хотя функциональность его приближается к решениям корпоративного уровня, а в чем-то, возможно, и превосходит их.

Требования законодательства в области защиты ПДн

Если обратиться к закону 152-ФЗ «О персональных данных» и статье 19 закона, становится ясно, что защищать ПДн необходимо в соответствии с требованиями Регулирующих органов. Основным органом, устанавливающим методы и способы защиты информации в информационных системах, является Федеральная служба по техническому и экспортному контролю (ФСТЭК России). 5 февраля 2010 года она выпустила приказ №58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных». В соответствии с утвержденным документом межсетевые экраны организаций должны обеспечивать выполнение ряда требований предъявляемых к фильтрации, регистрации и учету сетевой информации, контролю доступа и обеспечению целостности.

Казалось бы, теперь операторам ПДн нужно просто найти способ выполнить требования методических указаний. Но все не так просто. Есть еще Постановление Правительства РФ от 17 ноября 2007 года №781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», в п. 5 которого читаем следующее: «Средства защиты информации, применяемые в информационных системах, в установленном порядке проходят процедуру оценки соответствия».

В соответствии со статьей 20 Федерального закона от 27 декабря 2002 года №184-ФЗ «О техническом регулировании» подтверждение соответствия осуществляется в формах: принятия декларации о соответствии (декларирование соответствия) или обязательной сертификации. В настоящее время ФСТЭК России и ФСБ России, которые в соответствии с п. 3 «Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (Постановление Правительства РФ 2007 года №781) получили право устанавливать методы и способы защиты информации в информационных системах, имеют только действующие системы сертификации средств защиты информации, а системы декларирования соответствия ими еще не созданы. Отсюда следует, что в настоящее время для защиты ПДн необходимо применение сертифицированных средств. Кроме того, наличие у продукта сертификата ФСТЭК России – гарантированное подтверждение того, что он отвечает требованиям методических указаний, приведенных в приказе №58.

В апреле 2010 года UserGate Proxy&Firewall 5.2.F стал первым российским программным межсетевым экраном, прошедшим сертификацию ФСТЭК России на соответствие:

  • Безопасность информационных технологий. Критерии оценки безопасности информационных технологий» – по ОУД2.
  • Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации» (РД МЭ) – по четвертому классу защищенности.
  • Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия недекларированных возможностей» – по четвертому уровню контроля.

На основании полученного сертификата, продукт может использоваться для защиты:

  • конфиденциальной информации в автоматизированных системах до класса защищенности 1Г включительно;
  • персональных данных в ИСПДН до первого класса включительно.

Не надо задумываться о применимости или классе информационной системы, которую можно защищать сертифицированной версией UserGate, так как первый класс ИСПДн является максимальным.

Примечательно, что UserGate Proxy&Firewall 5.2.F, помимо соответствия требованиям РД МЭ, проходил сертификацию по «Общим критериям», так как его функциональные возможности, в том числе касающиеся безопасности, шире требований Руководящего документа к данным классам межсетевых экранов.

Приемущества UserGate Proxy & Firewall

Наличие сертификата соответствия – лишь одно из преимуществ. UserGate Proxy&Firewall – это комплексное решение по обеспечению разделения внутренних подсетей компании от внешних, организации доступа сотрудников в Интернет, контролю и статистике использования ресурсов Интернета. Также его можно использоваться и для сегментирования внутри сети, разделив сеть ИСПДн на несколько сегментов, снизив тем самым требования и упростив защиту ПДн.

Системные требования зависят от размера обслуживаемой внутренней подсети, но по нынешним временам вполне скромные: от Pentium4 1GHZ/512Mb RAM на Windows 2000 до Pentium4 2GHz/1Gb RAM на Windows 2003 (если станут использоваться дополнительные модули, то системные требования могут быть выше). Поддерживается вся линейка операционных систем от Microsoft начиная с Windows 2000, причем важной особенностью является отсутствие необходимости обязательного использования серверных ОС.

Интерфейс управления достаточно прост и интуитивно понятен (см. рис. 1). Давайте кратко рассмотрим основные возможности программы: те, которые очевидны из скриншота консоли администрирования, и те, которые скрыты более глубоко, но не менее приятны для системного администратора. Сразу оговорюсь, что специально для тех, кому с первого взгляда продукт покажется слишком сложным, существует мастер пошаговой настройки.

Рисунок 1. Консоль администрирования UserGate Proxy&Firewall

Рисунок 1. Консоль администрирования UserGate Proxy&Firewall

Итак, основная функция программы – межсетевое экранирование. Реализована эта функция через собственный расширенный драйвер NAT, отличный от стандартного в Windows. Благодаря ему можно создавать локальные маршрутизируемые подсети, делать публикацию внутренних серверов для использования «снаружи», поддерживать VPN-соединения и протоколы IP-телефонии, создавать различные правила по доступу к внешним ресурсам либо их блокировке.

Применяются правила к пользователям либо компьютерам – последние могут быть представлены как IP-, так и MAC-адресом. Учетные записи пользователей UserGate могут быть синхронизированы с  Active Directory, поддерживаются NTLM-аутентификация и объединение пользователей в группы.

UserGate умеет работать с несколькими провайдерами и осуществлять переключение на лету между ними, когда один из каналов «падает». После восстановления работоспособности канала произойдет обратное переключение. Также можно связать определенных пользователей с определенным каналом. Таким образом, без труда можно сделать так, что начальство будет пользоваться быстрым, стабильным и дорогим каналом, в то время как рядовые пользователи – дешевым и медленным.

Впрочем, распределить ширину канала между пользователями можно и при наличии только одного внешнего канала. UserGate умеет работать с шейпингом трафика, позволяя задавать ограничения для пользователей или их групп по скорости канала или по объему скачанной информации, уменьшая скорость канала вплоть до полной блокировки доступа. Кроме того, можно назначать разный приоритет для разных типов трафика.

Кстати, о разных видах трафика. UserGate имеет различные прокси-серверы для различных протоколов (HTTP, FTP, SOCKS, POP3, SMTP), работающие в прозрачном или непрозрачном режимах. Кроме того, поддерживается каскадирование прокси-серверов.

Сегодня мало разграничить правила, разрешающие и запрещающие доступ в Интернет, зачастую нужно постараться предотвратить нецелевое его использование. Существует два принципиальных подхода к этой проблеме – предварительная фильтрация либо административный запрет. Во втором случае выпускается административное распоряжение, запрещающее пользоваться определенными ресурсами, например, сайтами социальных сетей. В конце отчетного периода администратор готовит руководству отчет по работе пользователей в Интернете, на основании этого происходит разбор полетов и наказание нарушителей.

Для первого подхода существует база данных адресов сайтов, отсортированных по различным категориям, в рамках которой запрещается или разрешается доступ определенным пользователям к определенным категориям. Такие решения – не редкость, однако их обычное узкое место – это поддержание базы в актуальном состоянии и наличие в ней регионально значимых сайтов. Например, база для пользователей из США будет не очень актуальна для России и наоборот. Очевидно, это понимали и разработчики UserGate, потому что в рамках продукта предлагается специально адаптированная для использования русскоязычными пользователями база, содержащая 500 миллионов сайтов (из которых до 10 миллионов – русскоязычные) в 82 категориях.

Контроль за приложениями на пользовательских компьютерах также возможен. Для этого на клиентских компьютерах разворачивается бесплатная программа-агент, которая будет связываться с сервером UserGate, блокировать или разрешать работу приложения в Интернете. Кроме того, подход за контролем приложений позволит получить наиболее полную статистику использования интернет-ресурсов. Построение наглядных отчетов по различным критериям – это то, что помогает системному администратору в общении с руководством. Используя статистику и отчеты UserGate, можно без труда перевести трафик в деньги и показать руководству реальную экономию от внедрения программы. Кроме того, в UserGate существует возможность доступа к веб-статистике, причем доступ может быть трех уровней – пользователь, директор и администратор. Пользователь видит только свою статистику и может следить за тем, как он расходует интернет-трафик. Директорский уровень доступа позволяет следить за статистикой всех пользователей, администратор, кроме того, может еще и создавать шаблоны отчетов для получения статистических данных (см. рис. 2).

Рисунок 2.  Веб-статистика в UserGate

Рисунок 2.  Веб-статистика в UserGate

Антивирусная защита в UserGate

Да-да, все правильно – есть возможность приобрести UserGate с антивирусным модулем. Это вполне логичное решение – сейчас большинство вирусов попадает на компьютер пользователя через Интернет. Так почему бы не перехватывать вредоносные программы на шлюзе, не допуская такой трафик до клиентского компьютера? Разумеется, отказываться от антивирусного ПО на компьютерах пользователей не нужно, так как есть и другие пути заражения компьютера вирусом – например, через флешки.

***

На этом я завершу краткий обзор российского межсетевого экрана UserGate Proxy&Wirewall. Думаю, функционал программы не оставит равнодушным никого, кто заинтересован в надежной защите периметра и гибкости настроек. А сертификацию ФСТЭК оценят организации, которые всерьез озабочены защитой персональных данных в своих сетях.

* На правах рекламы


Комментарии отсутствуют

Добавить комментарий

Комментарии могут оставлять только зарегистрированные пользователи

               Copyright © Системный администратор

Яндекс.Метрика
Tel.: (499) 277-12-45
E-mail: sa@samag.ru