UserGate Getting Started v6: Введение

Содержание

• UserGate NGFW
  
• Основные изменения и нововведения 6 версии по сравнению с 5
  
• UserGate Log Analyzer
  
• Сценарии использования UserGate Log Analyzer
  
• UserGate Management Center
  
• Концепция SUMMA
  
• Тестовый стенд
  
• Заключение
  

Всех приветствую! В данной версии цикла UserGate Getting Started v6 мы рассмотрим 3 продукта компании: UserGate NGFW v6, UserGate Management Center (MC) v6 и UserGate Log Analyzer (LogAn) v6.

В этой статье будет рассказано об этих продуктах и для каких целей они необходимы, а также о ключевых отличиях 5 и 6 версий UserGate NGFW. В последующих статьях будет показана их настройка.

UserGate NGFW

UserGate представляет собой универсальный интернет-шлюз класса Next Generation Firewall, который объединяет в себе межсетевой экран, маршрутизацию, потоковый антивирус, систему обнаружения и предотвращения вторжений (СОВ), VPN-сервер, систему контентной фильтрации, модуль мониторинга и статистики и многие другие функции.

В UserGate присутствуют следующие функции:

• Сетевые функции (межсетевой экран L7, NAT, маршрутизация и др.);
  
• Интернет фильтрация (контентная фильтрация, TLS-инспекция, морфологический анализ, антивирус);
  
• Защита от угроз (система обнаружения вторжений);
  
• Анализ угроз (концепция SOAR);
  
• Безопасность почты (антиспам);
  
• Безопасность АСУ ТП;
  
• Организация удаленной работы (L2TP IpSec VPN, SSL VPN, Reverse-прокси);
  
• Идентификация пользователей;
  
• Обеспечение отказоустойчивости (кластер конфигурации, Active/Active, Active/Passive).
  

Основные изменения и нововведения шестой версии по сравнению с пятой

Сетевые функции:

• поддержка протокола динамической маршрутизации RIP (Routing Information Protocol);
  
• поддержка многоадресной маршрутизации (multicast);
  
• поддержка виртуального маршрутизатора (VRF).
  

Организация удаленной работы:

• поддержка ГОСТ TLS;
  
• совместимость с Cisco VPN.
  

Защита от угроз:

• инспектирование SSH.
  

Безопасность АСУ ТП:

• добавлены новые протоколы (OPCUA SCADA);
  
• поддержка обработки зеркального SCADA-трафика.
  

В несколько раз была увеличена производительность межсетевого экрана, веб фильтрации и системы обнаружения вторжений.

Ниже представлено сравнение 5 и 6 версии.
* - ограничено максимальной пропускной способностью сетевых интерфейсов платформы
** - ограничено производительностью тестового стенда



Исправлен ряд ошибок, присущих 5 версии (отключение VPN «Site-to-Site», если трафик не передается; правило фильтрации контента не обновлялось, если словарь морфологии обновлялся и др.).

Полный список представлен на сайте UserGate.

UserGate Log Analyzer

UserGate Log Analyzer (LogAn) — это вспомогательный компонент для универсального шлюза UserGate, с помощью которого можно выполнить следующие задачи:

• Мониторинг внешней и внутренней сетей;
  
• Объединение журналов с нескольких шлюзов UserGate для общего анализа;
  
• Сбор логов со сторонних сетевых устройств для анализа информации;
  
• Уменьшение нагрузки на шлюз. Переложив обработку журналов, создание отчетов и процессинг других статистических данных на внешний сервер LogAn, освобождаются ресурсы для выполнения шлюзом задач защиты;
  
• Построение автоматизированной системы отчетности;
  
• Построение Security Operation Center;
  
• Проведение аналитики событий в сети;
  
• Построение Dashboards (графики, виджеты);
  
• Построение кастомных отчетов.
  

Сценарии использования UserGate Log Analyzer

1. В сети имеется больше одного шлюза UserGate

Если в Вашей сети имеется несколько шлюзов безопасности UserGate, Log Analyzer будет централизовано собирать логи с этих устройств. Вся информация будет представлена в едином месте.



2. Большая филиальная структура

Имеется большое количество территориально распределенных точек с несколькими сегментами. LogAn соберет логи с различных сетевых узлов по SNMP.

3. Построение комплексной системы мониторинга и реагирования

Основные системы, входящие в комплекс мониторинга и реагирования:

• Системы управления журналами событий (Log Management);
  
• Системы сбора и корреляции событий информационной безопасности (SIEM);
  
• Системы обнаружения и предотвращения вторжений (IDS/IPS);
  
• Системы управления, автоматизации и реагирования на инциденты информационной безопасности (SOAR);
  
• Системы управления информационной безопасностью, рисками и соответствием законодательству;
  
• Средства и системы защиты и мониторинга, встроенные в ОС и оборудование, которые подключаются в качестве источников событий информационной безопасности к LM/SIEM-системам.
  

4. Обработка и хранение логов централизованно

У Вас имеются определенные задачи по хранению логов. Например, закон Яровой обязывает операторов связи хранить записи телефонных разговоров, SMS и интернет-трафик пользователей сроком 6 месяцев.


UserGate Management Center

UserGate Management Center (UGMC) — это вспомогательный компонент для универсального межсетевого экрана UserGate, который позволяет управлять большим количеством устройств.

UGMC предоставляет единую точку управления, из которой администратор может выполнять мониторинг серверов UserGate, применять необходимые настройки, создавать политики, применяемые к группам устройств для обеспечения безопасности корпоративной сети.

Management Center работает с управляемыми областями. Управляемые области — это логические объекты, которые представляют группу шлюзов UserGate, управляемых одним администратором. По своей сути, области представляют собой независимые организации.



Основные возможности UserGate Management Center:

• Облачная платформа управления.
  
• Администрирование всего парка устройств UserGate NGFW происходит через единую систему.
  
• Политики безопасности на основе шаблонов.
  
• Настройка всех параметров UserGate NGFW происходит через шаблоны, которые централизовано распространяются на устройства.
  
• Гранулированное управление доступом на всех уровнях: глобальном, области, UserGate NGFW.
  

Концепция Summa

Данная концепция предполагает развитие имеющихся и новых продуктов:

• Безопасность сетей (NGFW);
  
• Высокопроизводительный межсетевой экран для ЦОД (DCFW);
  
• Промышленная безопасность, АСУ ТП (ICS);
  
• Клиент с функциями EDR (Client);
  
• Безопасность веб-сервисов (WAF);
  
• Единая система администрирования (Management Center);
  
• Система сбора и корреляции событий (SIEM).
  

Некоторые из этих продуктов уже реализованы (NGFW, MC, ICS (платформа X1 для промышленного сектора)), другие реализованы частично (предполагается, что LogAn объединит в себе функции SIEM и IRP систем) или будут в обозримом будущем (Client, WAF, DCFW).

Дальнейший вектор развития компании понятен — создание полноценного SOC. Мы же с Вами в дальнейших статьях цикла подробно разберем функционал NGFW, Log Analyzer и Management Center.


Тестовый стенд

Для демонстрации мы будем использовать стенд, имеющий следующий состав:

• Два межсетевых экрана UserGate – для защиты сетевого трафика;
  
• UserGate Log Analyzer – для автоматизированной системы отчетности;
  
• UserGate Management Center – для единого управления межсетевыми экранами;
  
• ПК Администратора – для настройки продуктов UserGate;
  
• Веб-сервер Windows – для тестирования функционала UserGate;
  
• Пользовательский сегмент – необязательный компонент стенда, нужен для тестирования функционала UserGate.
  

Заключение

На этом мы завершаем вводную статью по продуктам компании UserGate. И уже в следующей статье рассмотрим политику лицензирования компании UserGate.

Автор статьи: Дмитрий Лебедев, инженер TS Solution.

Вы можете пройти полный курс и получить сертификат на TS University .


Больше учебных материалов по ИБ и ИТ направлениям вы найдете на учебном портале TS University . После регистрации вам станут доступны статьи, курсы и вебинары о решениях Кода Безопасности, UserGate, Positive Technologies, Check Point и других вендоров.