Traffic Inspector Next Generation
Traffic Inspector Next Generation — межсетевой экран следующего поколения для защиты корпоративных компьютерных сетей от внешних киберугроз и организации контролируемого доступа пользователей компьютерных сетей в интернет. Базируется на открытом коде проекта OPNsense.
Traffic Inspector Next Generation обеспечивает фильтрацию на разных уровнях модели OSI (сетевом, транспортном, прикладном) и управление через веб-интерфейс по защищенному HTTPS-подключению, а также по протоколу SSH с использованием терминального доступа. Решение разворачивается в роли шлюза на границе корпоративной сети и позволяет контролировать информационные потоки между локальной сетью и интернетом.
Линейка Traffic Inspector Next Generation:
- Программно-аппаратные комплексы: S100, S300, S500, S700, M1000, L1000+, L1500+.
- Программное обеспечение от 5 учетных записей.
Технические характеристики Traffic Inspector Next Generation:
- сетевой экран (Packet Filter) защищает шлюз и компьютеры пользователей от несанкционированного доступа извне, раздает интернет на пользователей, обеспечивает доступ к внутренним серверам из интернета;
- система обнаружения и предотвращения вторжений (IDS/IPS) распознает источники атак и атакуемые машины по определенным сигнатурам сетевого трафика и эффективно «очищает» его;
- мониторинг сетевой активности и отчеты (NetFlow: отчет по сетевой активности, по наиболее популярным сетевым службам, по наиболее популярным IP-адресам. Веб-прокси: Domains (по посещенным доменам), URLs (по посещенным URL), Users (по пользователям, генерировавшим запросы на прокси), User IPs (по компьютерам, генерировавшим запросы на прокси). Утилиты RRDtool: отчет по состоянию интернет-канала, по использованию процессора, по использованию оперативной памяти, по количеству состояний трассировщика соединений сетевого экрана. Мониторинг загрузки сетевых интерфейсов в реальном времени. Журнал сетевого экрана. Системный журнал и syslog-ng);
- управление пропускной способностью интернет-доступа динамическим шейпером и приоритизацией трафика (ограничение максимальной скорости работы пользователя, резервирование выделенной полосы для трафика, распределение пропускной способности интернет-канала поровну между пользователями внутренней сети, приоритизация трафика приложения с помощью очередей для трафика, критичного к задержкам);
- различные виды VPN (OpenVPN, IPsec в туннельном режиме, L2TP/IPsec (IPSec в транспортном режиме), Tinc VPN, PPTP, PPPoE);
- кластеризация (использует протоколы CARP (VRRP), PFSYNC (синхронизация состояния межсетевых экранов), XMLRPC Sync (синхронизация прочих настроек шлюза);
- Connection Failover (в данном режиме шлюз переключается на запасные каналы доступа в интернет при выходе из строя основных, обеспечивая тем самым непрерывность доступа);
- система централизованного управления (Central Management System) распределенной инфраструктурой сетевых шлюзов (шлюз может быть мастер-узлом (master node) в центральном офисе и подчиненным узлом (slave node) в удаленном офисе);
- Captive Portal (в том числе с поддержкой SMS-идентификации);
- гибкая маршрутизация;
- прокси-сервер (Squid) поддерживает: HTTP, HTTPS, FTP, прозрачное проксирование, перехват и дешифрование SSL/TLS-соединений, кеширование веб-контента;
- фильтрация: по IP-адресам клиентов и сетям, по портам назначения, по типу браузера (User Agent), по типу контента (по MIME-типам), по общим белым и черным URL-спискам, по индивидуальным URL-спискам, назначаемым на доменного или локального пользователя или группу, по скачиваемым URL-спискам (SquidGuard), по категориям с помощью модуля NetPolice (в URL-списках допускается использование синтаксиса регулярных выражений);
- различные методы аутентификации (аутентификация по локальной базе, LDAP, RADIUS, Kerberos, привязка по IP- и MAC-адресам, двухфакторная аутентификация, ваучеры);
- Layer 7 — фильтрация (интеллектуальное распознавание протоколов прикладного (седьмого) уровня за счет сигнатурного анализа, используется для блокировки приложений вроде Skype и BitTorrent);
- шлюзовый антивирус не требует установки на каждом клиентском компьютере, вместо этого устанавливается один раз на шлюзе и проверяет веб-трафик всех пользователей;
- среда: операционная система FreeBSD.
Работает на платформе:
Системы управления виртуализацией
Возможно встраивание модуля расширения:
Корректно обменивается данными с:
Операционные системы
Заменяет иностранные продукты:
- Check Point SandBlast
- Check Point Secure Gateway
- CheckPoint UTM
- Cisco ASA
- Cisco Firepower
- Fortinet Fortigate
- Juniper SRX
- Kerio Control
- PaloAlto NGFW
- Sophos
-
Zyxel ZyWALL ATP
Внедрения
- 2024 г. Государственное областное казенное учреждение «Новгородавтодор»
Заказчик
Государственное областное казенное учреждение «Новгородавтодор» – организация, ответственная за содержание и эксплуатацию автомобильных дорог регионального и межмуниципального значения, а также искусственных сооружений на них в Новгородской области.
Организация управляет собственной информационной инфраструктурой, которая используется для обеспечения работы сотрудников. Кроме того, «Новгородавтодор» предоставляет на базе инфраструктуры информационные сервисы внешним заказчикам, которые управляют различными автоматизированными системами на автомобильных дорогах области, – пунктами весогабаритного контроля, системами пропуска, видеонаблюдения и т.п.
В состав инфраструктуры «Новгородавтодор» входят файловые, доменные, HTTP-сервера, виртуальные системы. Для сотрудников организован удаленный доступ к информационным системам компании, им пользуются, в том числе те из них, что работают в двух филиалах «Новгородавтодор».
Задача
Для защиты своей сетевой инфраструктуры в «Новгородавтодор» ранее использовали межсетевой экран нового поколения одного из иностранных вендоров. Со временем это решение устарело и перестало удовлетворять требованиям организации. Начало санкционной кампании и прекращение поддержки активизировали работу по поиску альтернативного решения.
Она началась с изучения рынка. «Уже в 2022 году на рынке присутствовало достаточное количество российских разработок, которые имели необходимые нам характеристики и возможности, – вспоминает руководитель ИТ-отдела ГОКУ «Новгородавтодор» Максим Чахлов. – В «шорт-лист» вошли продукты двух производителей, в том числе компании «Смарт-Софт». Основой первичного выбора стало соответствие решений нашим требованиям: управление трафиком и его фильтрация на сетевом и прикладном уровнях, наличие аппаратно-программной версии решения. А выбор в пользу «Смарт-Софт» обусловили взвешенная лицензионная политика вендора, подтвержденные компетенции, оптимальные условия поставки и, самое главное, предыдущий положительный опыт использования решений этой компании».
Решение
Для защиты своей сетевой инфраструктуры в «Новгородавтодор» выбрали аппаратно-программный комплекс TING. Предпочтение ПАК было отдано потому, что специалисты организации стремились добиться автономности, избежать зависимости от виртуальных сред, производительность и отказоустойчивость которых обусловлена рабочими качествами серверного оборудования. Как вспоминает Максим Чахлов, на этапе тестирования решения в «Новгородавтодор» рассматривалась возможность и виртуальной версии TING. Однако, эта идея оказалась неоптимальной, поскольку парк серверного оборудования, который был в то время в распоряжении организации, не соответствовал полностью требованиям ПО. В таких условиях ПАК-версия решения обеспечивает большую надежность работы межсетевого экрана.
Руководством «Новгородавтодор» было принято решение приобрести три ПАК TING S200. Эти программно-аппаратные межсетевые экраны предназначены для использования в небольших организациях с числом пользователей не более 200. Они относятся к классу UTM и используют платформу OPNsense. TING S200 позволяет использовать детализированные правила доступа для разных категорий сотрудников, контролировать трафик на основе «черных» и «белых» списков и уровне приложений с использованием глубокой пакетной инспекции, а также автоматически блокировать нежелательный и вредоносный контент. TING S200 применим и в распределенных инфраструктурах, поскольку позволяет организовать VPN-канал для филиальных сетей, в том числе с шифрацией по ГОСТ.
Один из TING S200 установлен в головной организации «Новгородавтодор». Два других работают в сетевых инфраструктурах филиалов организации.
Внедрение
Как говорит Максим Чахлов, при внедрении TING организация не испытала каких-либо проблем. При этом наиболее ответственный этап, переключение сети со старого межсетевого экрана на новый, против ожиданий, оказался на удивление простым. «Пользователи не заметили перехода на новый файрволл. Более того, даже для меня самого этот процесс оказался незаметным, – говорит он. – Интерфейс решения понятен, дружелюбен, справится с ним любой специалист, а базовые настройки доступны даже новичку».
Не было проблем и с переносом правил и политик со старого решения. Они осуществляются в несколько кликов даже при ручной настройке межсетевого экрана.
Результаты
Сегодня при помощи ПАК TING S200 защищена сетевая инфраструктура головной организации и двух филиалов ГОКУ «Новгородавтодор». К ней подключены более 100 узлов инфраструктуры организации – информационных систем и пользователей.
По словам Максима Чахлова, за время использования решения организация не сталкивалась с какими-либо киберинцидентами. Тем не менее, использование решения не было беспроблемным. Во время тестирования виртуальной версии, которая была развернута на одном из старых серверов организации, наблюдались сбои оборудования. Даже в этом случае помощь в устранении сбоев заказчику оказала служба технической поддержки «Смарт-Софт». Этот опыт стал фактором выбора в пользу ПАК, а не виртуальной версии TING.
C проблемами в работе ПАК TING S200 в «Новгородавтодор» не сталкивались. Периодически специалисты учреждения обращаются в службу технической поддержки «Смарт-Софт» для решения вопросов, связанных с нюансами настройки оборудования и ПО. Решаются они быстро и полноценно.
Максим Чахлов, руководитель ИТ-отдела ГОКУ «Новгородавтодор»
«TING – сбалансированное решение, которое сочетает в себе все, что необходимо нашей организации. Файрволл надежно защищает от угроз, которых мы не замечаем. Его настройка и администрирование просты и понятны, а если возникают не столько проблемы, сколько вопросы, то ответы на них быстро и исчерпывающе дает служба технической поддержки вендора. Добавьте к этому полное соответствие требованиям регуляторов, внятную лицензионную политику, и станет очевидно, что это – оптимальное решение для защиты сетей. Именно так TING и работает – надежно и незаметно».
- 2024 г. АО «Аммоний»
Заказчик
Акционерное общество «Аммоний» – одно из крупнейших в Европе предприятий химической промышленности, которое производит широкий спектр продукции органического синтеза из природного газа и входит в число лидеров производства удобрений в стране.
АО «Аммоний» развивает обширную информационную инфраструктуру. Помимо комплексов АСУ ТП, в ее состав входит несколько крупных информационных систем, обеспечивающих все ключевые бизнес-процессы. В распоряжении АО «Аммоний» – собственный дата-центр, который в ближайшее время будет дополнен еще одним ЦОД. Предприятие расположено на единой производственной площадке, которая разделена на различные производственные зоны. Сетевая инфраструктура предприятия разделена технологические и физические сегменты, каждый из которых предназначен для обслуживания выделенной производственной зоны. В каждом знании на территории предприятия проложено несколько отдельных VLAN, для передачи данных, телефонии и транзита служебного трафика.
Задачи
Ранее в «АО «Аммоний» для защиты сетевой инфраструктуры использовались межсетевые экраны первого поколения. Но, со временем, их функциональные возможности перестали удовлетворять требования предприятия. Санкционная кампания западных вендоров сделала невозможным использование иностранных решений, которым потребовалась адекватная замена. А кроме того, внедрение новой базовой информационной системы и рост числа киберугроз сделали необходимым расширение функциональности средств сетевой безопасности. Как рассказывает руководитель отдела АО «Аммоний» Руслан Зеленеев, актуальной задачей для ИТ-службы компании стал контроль трафика приложений (уровень L7 по модели OSI), и это поставило ее перед необходимостью перехода на российское решение класса нового поколения.
Выбор решения
В компании тщательно подходили к выбору нового решения. Были рассмотрены практически все российские разработки и продукты иностранных производителей, которые продолжают работу на российском рынке. В результате скрупулезного отбора специалисты АО «Аммоний» остановили свой выбор на Traffic Inspector Next Generation (TING).
Выбор в пользу TING был обусловлен несколькими причинами. Прежде всего это – успешный продолжительный опыт работы с решениями компании «Смарт-Софт». Ранее в АО «Аммоний» использовался межсетевой экран Traffic Inspector, который более чем успешно справлялся со своими обязанностями. Столь же высоко оценили специалисты заказчика и Traffic Inspector Next Generation. Кроме того, анализ возможностей TING показал, что это решение способно «закрыть» все потребности АО «Аммоний», связанные с обеспечением сетевой безопасности. Весомыми аргументами в пользу TING стали оптимальные условия поставки и адекватная стоимость лицензий.
Внедрение
Свой выбор специалисты АО «Аммоний» остановили на программном варианте TING. Он размещен в собственной виртуальной среде предприятия, которая базируется на корпоративном ЦОД.
Внедрение Traffic Inspector Next Generation проходило в режиме тестирования. За это время заказчик провел пробное использование всех функциональных возможностей решения. В первую очередь специалисты предприятия убедились в эффективности фильтрации доступа, были рассмотрены вопросы конфигурации порталов для организации беспроводных сетей, организации VPN-сервиса. В результате предварительной эксплуатации были протестированы все возможности решения компании «Смарт-Софт». Тестирование позволило заказчику не только убедиться в качестве и эффективности решения, но и найти ответ на большинство вопросов, связанных с поддержкой и обслуживанием решения. Помощь в этом оказывала служба технической поддержки компании «Смарт-Софт».
Важной отличительной чертой TING в компании считают простоту развертывания решения. «Мы обладаем развитой аппаратной базой, поэтому выбор в пользу виртуальной версии межсетевого экрана был очевиден для нас. Оставалось только развернуть образ виртуальной машины, который мы получили от вендора, и приступить к настойке файрволла», – говорит Руслан Зеленеев.
Еще одно преимущество TING, которое отмечают в «АО «Аммоний» – наличие дополнительных модулей. Вместе с «базовой» версией TING предприятие приобрело дополнительные модули системы: Kaspersky Anti-Virus и NetPolice Office. NetPolice Office для TING расширил возможности фильтрации трафика с дополнительными условиями: по скорости трафика, по источникам, по ресурсам и др. Kaspersky Anti-Virus надежно защищает от зловредов все входы в корпоративную сеть.
Результаты
Сегодня при помощи Traffic Inspector Next Generation защищена инфраструктура АО «Аммоний», к которой подключены несколько сотен доменных учетных записей. Помимо пользователей, это различные аппаратные и программные узлы инфраструктуры предприятия.
Администрирование TING осуществляет ИТ-служба АО «Аммоний». При этом разработкой правил фильтрации трафика занята служба информационной безопасности предприятия. Кроме того, ее специалисты могут вносить оперативные изменения в настройки решения.
За время эксплуатации в компании TING смог продемонстрировать свои качества в «боевых» условиях. «Не секрет ни для кого, что активность киберпреступников сегодня высока как никогда. Мы постоянно сталкиваемся с попытками несанкционированного проникновения в нашу инфраструктуру, и все они успешно пресекаются межсетевым экраном. Атаки происходят постоянно, но преодолеть ту защиту, которую обеспечивает TING вместе с другими инструментами, они не в состоянии», – отмечает Руслан Зеленеев.
Оперативно решаются и небольшие технические проблемы, связанные с использованием TING. При этом служба технической поддержки «Смарт-Софт» не только дает общие рекомендации, но и моделирует нештатные ситуации на своем собственном тестовом полигоне. По их результатам вендор составляет подробные описания алгоритмов действий для администраторов системы.
Развитие
В АО «Аммоний» полностью удовлетворены результатами внедрения и эксплуатации Traffic Inspector Next Generation. В компании намерены и далее использовать TING для защиты своей сетевой инфраструктуры. Программа продления лицензий уже начата. Стоит отметить, что изначально заказчик приобрел большее количество лицензий, чем требуется в настоящий момент. Учитывалось, что предприятие активно развивается, и число пользователей постоянно увеличивается.
Руслан Зеленеев, руководитель отдела администрирования ИТ-систем АО «Аммоний»
«TING полностью закрывает все наши потребности в обеспечении безопасности трафика. Он позволяет надежно контролировать его и на сетевом, и на прикладном уровне. Этот продукт отличается простотой внедрения и администрирования. А кроме того, мы были полностью удовлетворены работой службы технической поддержки вендора. Наконец, специалисты компании «Смарт-Софт» предусмотрели и решение такой важной и трудоемкой задачи как проведение миграции: перенос действующих правил и политик безопасности в настройки TING оказался простым и безболезненным. При этом сам процесс миграции был выстроен таким образом, чтобы не повлиять на доступность корпоративных сервисов, – нам удалось избежать нарушений в работе систем и в производственном цикле».