Что такое межсетевой экран и почему он должен быть сертифицирован фстэк: простое объяснение

Введение

Рост количества локальных вычислительных сетей и острая необходимость предоставления доступа к сети Интернет всё большему числу устройств, а также защиты их от атак извне,  привели к развитию программных, аппаратных и программно-аппаратных комплексов, с помощью которых можно предоставить доступ к сети Интернет большому количеству устройств в локальной сети. Эти комплексы обладают широкой функциональностью, средствами защиты от внешних угроз (межсетевые экраны, средства обнаружения вторжений, антивирусная проверка контента), модули контентной фильтрации, средства для сбора статистических данных, управления пропускной способностью канала и прочее.

ИКС 2.3.4 (Интернет Контроль Сервер) от российской компании «А-Реал Консалтинг» — это многофункциональный межсетевой экран и прокси-сервер. Представляет собой программный комплекс, в основе которого лежит операционная система FreeBSD 8.1. Использование операционной системы FreeBSD означает минимальное потребление системных ресурсов, высокую надёжность, безопасность и скорость работы. Продукт имеет сертификат ФСТЭК №2623 от 19 апреля 2012 г.

К ключевым особенностям интернет-шлюза — межсетевого экрана ИКС стоит отнести:

• Большое количество сетевых сервисов, в том числе FTP, Web, DNS, DHCP, VPN, прокси, почтовый и jabber сервера, LDAP,  и другие. Это позволяет строить конфигурации системы практически произвольного уровня сложности, в зависимости от сценария использования.
• Для доступа к сети Интернет могут быть использованы различные варианты подключения к провайдерам. Поддерживаются:
  • DHCP;
  • PPPOE;
  • PPTP over IP;
  • PPTP over DHCP;
  • Провайдер VLAN.
• Система обнаружения вторжений (IPS) Snort.
• Возможность проверки трафика антивирусами ClamAV (бесплатный продукт) и Dr.Web (для работы требуется приобретение отдельной лицензии).
• Проксирование, в том числе и прозрачное.
• Модуль контентной фильтрации.
• Гибкая система работы с правилами для пользователей, групп пользователей.
• Удобная настройка ширины полосы пропускания.
• Интеграция с сетями Microsoft Windows.
• Поддержка установки и работы на виртуальных машинах Virtualbox, VmWare Workstation  и VmWare ESXi;
• Межсетевой экран ИКС сертифицирован ФСТЭК.

Подробнее остановимся на сертификации ФСТЭК. Согласно Федеральному закону РФ от 27 июля 2006 года № 152-ФЗ «О персональных данных», существенно возросли требования ко всем частным и государственным компаниям и организациям, а также физическим лицам, которые хранят, собирают, передают или обрабатывают персональные данные (в том числе фамилия, имя, отчество). Это означает, что для обеспечения безопасности персональных данных, при работе с ними, должны использоваться средства, которые прошли сертификацию ФСТЭК. К тому же, в случае наличия доступа к сети Интернет локальной вычислительной сети (или её сегмента), в которой идёт работа с персональными данными, то для защиты персональных данных, такая локальная вычислительная сеть (или сегмент) должна быть защищена сертифицированным ФСТЭК межсетевым экраном.

Полученный сертификат Государственной технической комиссии при Президенте РФ (ФСТЭК) удостоверяет, что программный межсетевой экран Интернет Контроль Сервер соответствует требованиям руководящего документа Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации» по 4-му классу защищённости.

Типы МСЭ

1. Прокси -сервер

Один из родоначальников МСЭ , который выполняет роль шлюза для приложений между внутренними и внешними сетями. Прокси -серверы имеют и другие функции, среди которых защита данных и кэширование . Кроме того, они не допускают прямые подключения из-за границ сети. Использование дополнительных функций может чрезмерно нагрузить производительность и уменьшить пропускную способность.

2. МСЭ с контролем состояния сеансов

Экраны с возможностью контролировать состояние сеансов — уже укоренившаяся технология. На решение принять или блокировать данные влияет состояние, порт и протокол. Такие версии следят за всей активностью сразу после открытия соединения и вплоть до самого закрытия. Блокировать трафик или не блокировать система решает, опираясь на установленные администратором правила и контекст. Во втором случае учитываются данные, которые МСЭ дали прошлые соединения.

3. МСЭ Unified threat management (UTM)

Комплексное устройство. Как правило, такой межсетевой экран решает 3 задачи:

• контролирует состояние сеанса;
• предотвращает вторжения;
• занимается антивирусным сканированием.

Порой фаерволы, усовершенствованные до версии UTM, включают и другой функционал, например: управление облаком.

4. Межсетевой экран Next-Generation Firewall (NGFW)

Ответ современным угрозам. Злоумышленники постоянно развивают технологии нападения, находят новые уязвимости, совершенствуют вредоносные программы и усложняют для отражения атаки на уровне приложений. Такой файрвол не только фильтрует пакеты и контролирует состояние сеансов. Он полезен в поддержании информационной безопасности благодаря следующим функциям:

• учет особенностей приложений, который дает возможность идентифицировать и нейтрализовать вредоносную программу;
• оборона от непрекращающихся атак из инфицированных систем;
• обновляемая база данных, которая содержит описание приложений и угроз;
• мониторинг трафика, который шифруется с помощью протокола SSL.

5. МСЭ нового поколения с активной защитой от угроз

Данный тип межсетевого экрана — усовершенствованная версия NGFW. Это устройство помогает защититься от угроз повышенной сложности. Дополнительный функционал умеет:

• учитывать контекст и находить ресурсы, которые находятся под наибольшим риском;
• оперативно отражать атаки за счет автоматизации безопасности, которая самостоятельно управляет защитой и устанавливает политики;
• выявлять отвлекающую или подозрительную активность, благодаря применению корреляции событий в сети и на компьютерах;

В этой версии межсетевого экрана NGFW введены унифицированные политики, которые значительно упрощают администрирование.

Кому и зачем нужен межсетевой экран, сертифицированный ФСТЭК

Если компания хранит персональные данные, то, согласно 152-ФЗ, она обязана обеспечить им защиту. Чтобы защищать данные в соответствии с требованиями закона, компании нужно использовать средства защиты, сертифицированные ФСТЭК. Такой сертификат подтверждает, что программа или устройство действительно надежно защищает данные. ФСТЭК сертифицирует в том числе межсетевые экраны — как программные, так и аппаратные.

То есть, если вы храните в базах данных информацию о своих сотрудниках или клиентах, вы работаете с персональными данными, а значит, обязаны обеспечить им защиту. Иногда это подразумевает, что нужно задействовать сертифицированный ФСТЭК межсетевой экран.

Сертификат ФСТЭК также может подтвердить, что МЭ подходит для защиты государственной тайны. Так что компании, которые хранят такие сведения, тоже обязаны использовать только сертифицированные межсетевые экраны.

Если вы не храните гостайну или персональные данные, необязательно устанавливать именно сертифицированный ФСТЭК межсетевой экран

Но если вы заботитесь о секретности ваших данных, при выборе экрана имеет смысл обратить внимание на сертификат — он подтвердит, что выбранный МЭ действительно надежный

Назначение межсетевых экранов и их отличие от других сетевых устройств

Одна из главных функций сетевых экранов — защита от несанкционированного доступа посторонних лиц. Ее организуют для отдельных сегментов либо хостов в сети. Чаще всего проникновения третьих лиц связаны с уязвимостями в двух компонентах:

• программное обеспечение, установленное на ПК;
• сетевые протоколы, по которым легко узнавать отправителя.

Пока работает межсетевой экран, он сравнивает характеристики трафика, который проходит через то или иное устройство. Шаблоны уже известного вредоносного кода используются для получения максимального результата. Если что-то не так, появляется сообщение «Заблокирован входящий трафик, проверьте настройки сетевого экрана».

По сути, межсетевой экран — это программный либо программно-аппаратный тип системы, отвечающий за контроль информационных потоков. Но и аппаратный вариант тоже пользуется большим спросом.

Обратите внимание! Отличие от обычных сетевых устройств в том, что функции по безопасности у межсетевых экранов реализованы лучше, если рассматривать их с технической точки зрения. По умолчанию автоматически включаются многие возможности, которые в случае с другими приспособлениями требуют ручной настройки

Но есть некоторые функции, изначально доступные только при работе с традиционными маршрутизаторами, которые тоже организуют Firewall. Они обходятся дешевле, поэтому подходят не для крупных организаций, а для небольших компаний и филиалов. Настройки сетевого экрана легко меняются в зависимости от потребностей владельцев оборудования.

Виды межсетевых экранов по классификации ФСТЭК

Для сертификации межсетевого экрана ФСТЭК определяет его профиль защиты. Профиль нужно знать, чтобы понять, в какой конкретно системе, с какими целями и для защиты каких данных можно использовать этот экран.

К каждому профилю есть конкретные технические требования, а сам профиль зависит от двух параметров: типа МЭ и его класса защиты.

Типы межсетевых экранов по ФСТЭК

• «А» — аппаратные, установленные на физических границах сети. Например, программно-аппаратные комплексы в месте физического подключения сети компании к интернету через кабель.
• «Б» — программные и аппаратные, установленные на логических границах сети, например встроенные в маршрутизатор.
• «В» — программные, установленные на узлы, например компьютеры сотрудников.
• «Г» — аппаратные и программные, работающие с протоколами http и https, то есть с веб-трафиком.
• «Д» — аппаратные и программные, которые работают с промышленными протоколами передачи данных.

Классы защиты межсетевых экранов по ФСТЭК

• 6 класс — самый низший, подходит для работы с персональными данными 3 и 4 уровня защищенности. Про уровни защищенности персональных данных мы рассказывали в статье об ИСПДн.
• 5 класс — подходит для работы с данными 2 уровня защищенности.
• 4 класс — подходит для работы с данными 1 уровня защищенности.
• 1, 2 и 3 класс — необходим для работы с гостайной.

Типы и классы защиты не зависят друг от друга напрямую. Например, может существовать экран типа «А» с 6 классом защищенности или экран типа «В» с 1 классом.

Комбинация типа и класса защиты определяет профиль защиты каждого конкретного межсетевого экрана. И именно от профиля зависят технические требования к МЭ.

Таблица определения профиля защиты межсетевого экрана. Для некоторых профилей нет 1, 2 и 3 уровней защиты — такие экраны не используют для хранения гостайны

Получается, что профилей защиты всего 24. На сайте ФСТЭК выложены требования к 15 профилям — ко всем, кроме тех, что требуют 1, 2 и 3 уровня защиты. Эти профили — закрытая информация, так как они используются для хранения гостайны.

Если этой же компании понадобится межсетевой экран на границе сети, это будет уже экран типа «А» и того же 6 уровня защищенности — экран профиля ИТ.МЭ. А6.ПЗ.

Отключение файрвола в windows7

Встроенный файрвол в «семерке», как это не парадоксально, реализован довольно удачно по сравнению с предыдущими версиями windows. Тем не менее, пользователи нередко задаются вопросом – а как отключить файрвол windows 7?

Что такое файрвол и для чего его отключают

Файрвол, или брандмауэр, выполняет функцию межсетевого экрана. Буквальный перевод с английского и немецкого – «огненная стена». Реализован как одна из служб ОС windows. Файрвол защищает компьютер от взлома через сеть и предотвращает утечку пользовательской информации.

Необходимость отключить файрвол windows 7 возникает в случае конфликта. Практически все известные антивирусные программы имеют собственный сетевой экран. Некоторые пользователи предпочитают отдельные мощные файрволы, например, от Norton, Outpost и других сторонних производителей. Два файрвола в системе, как два антивируса, не уживаются, и последствия такой «дружбы» – торможение и зависание системы.

Предупреждение. Отключать защиту в случае проблем с доступом к сети отдельных программ не рекомендуется. Достаточно внести доверенные приложения в исключения брандмауэра. Некоторые программы сами предлагают сделать это при установке.

Ниже приводится пошаговая инструкция, как отключить firewall windows 7:

— через настройки в Панели управления;

— с помощью инструментов администрирования;

— из командной строки. 1. Заходим через «Пуск» в «Панель управления», далее «Система и безопасность» (рис.1).

2. В появившемся окне жмем «Брандмауэр windows» (на рис.4 отмечено цифрой 1). Откроется окно брандмауэра, как на рис.2.

3. Выбираем «Включение и отключение брандмауэра windows» (на рис.2 обведено). Откроется окно, как на рис.3.

4. Файрвол windows 7 делает различие между домашними (частными) и общественными сетями. К последним относится Интернет. Для домашних локальных сетей файрвол не нужен, поэтому его отключают. При этом для общественных сетей рекомендуется оставить брандмауэр включенным.

Рис.1

Рис.2

Рис.3

Этот способ рекомендуется при установке файрвола стороннего производителя. При этом служба windows «Брандмауэр» отключается полностью, вне зависимости от имеющихся настроек. Порядок действий следующий.

1. Через «Пуск» в «Панель управления», выбираем «Система и безопасность» открываем вкладку, изображенную на рис.4. Жмем «Администрирование» (обозначено на рисунке цифрой 2).
2. В окне «Администрирование» (рис.5) выбираем «Службы» (стрелка). Откроется окно «Службы».
3. Прокручиваем список служб, находим «Брандмауэр windows». По правому клику мыши на нем откроется список возможных действий. Выбираем «Остановить» (отмечено цифрой 1) – через пару секунд служба остановится.
4. Чтобы брандмауэр не запустился после перезагрузки, делаем на нем правый клик еще раз. Теперь выбираем «Свойства» (на рис.5 цифра 2). В открывшемся окошке тип запуска ставим «Отключено».

Для включения файрвола производим все в обратной последовательности.

Рис.4

Рис.5

Способ для самых «продвинутых». Командную строку открываем в режиме администратора, и без ошибок вводим команды:

1. Отключение файрвола:

netsh firewall set opmode disable

2. Включение:

netsh firewall set opmode enable

Проверяем действие команд на вкладке настроек (рис.3). Если вкладка открыта – не забываем обновить ее вид.

Все. Теперь вам известно, как отключить файрвол windows 7. Не рекомендуем  оставлять компьютер, подключенный к сети, без защиты файрвола.

Реализация

Существует два варианта исполнения межсетевых экранов — программный и программно-аппаратный. В свою очередь программно-аппаратный вариант имеет две разновидности — в виде отдельного модуля в коммутаторе или маршрутизаторе и в виде специализированного устройства.

В настоящее время чаще используется программное решение, которое на первый взгляд выглядит более привлекательным. Это вызвано тем, что для его применения достаточно, казалось бы, всего лишь приобрести программное обеспечение межсетевого экрана и установить на любой имеющийся в организации компьютер. Однако, как показывает практика, в организации далеко не всегда находится свободный компьютер, да ещё и удовлетворяющий достаточно высоким требованиям по системным ресурсам. После того, как компьютер всё-таки найден (чаще всего — куплен), следует процесс установки и настройки операционной системы, а также, непосредственно, программного обеспечения межсетевого экрана. Нетрудно заметить, что использование обычного персонального компьютера далеко не так просто, как может показаться. Именно поэтому всё большее распространение стали получать специализированные программно-аппаратные комплексы, называемые security appliance, на основе, как правило, FreeBSD или Linux, «урезанные» для выполнения только необходимых функций. Достоинствами данных решений являются:

• Простота внедрения: данные устройства имеют предустановленную и настроенную операционную систему и требуют минимум настроек после внедрения в сеть.
• Простота управления: данными устройствами можно управлять откуда угодно по стандартным протоколам, таким как SNMP или Telnet, либо посредством защищённых протоколов, таких как SSH или SSL.
• Производительность: данные устройства работают более эффективно, так как из их операционной системы исключены все неиспользуемые сервисы.
• Отказоустойчивость и высокая доступность: данные устройства созданы выполнять конкретные задачи с высокой доступностью..

Как настроить брандмауэр

Настройка брандмауэра осуществляется в нескольких направлениях.

Как открыть порт в брандмауэре Windows 10

1. Заходим в меню «Пуск», там нам понадобится Панель управления.

   Открываем Панель управления

2. Кликаем на «Система и безопасность» и нажимаем на «Брандмауэр».

   Открываем Брандмауэр Windows

3. В меню брандмауэра находим Дополнительные параметры.

   Выбираем Дополнительные параметры

4. Выбираем Правило для входящего подключения и добавляем необходимые порты.

   Создаем новое правило для входящего подключения

5. Нажимаем «Далее» и вписываем в строку «Тип» SQL Server.

   Выбираем тип правила

6. Указываем порт TCP и нужные нам порты.

   Указываем необходимую информацию. В нашем случае это будет порт 433

7. Выбираем нужное действие. У нас это будет «Разрешить подключение».

   Выбираем «Разрешить подключение»

8. В строке «Имя» вводим номер нашего порта.

   В завершение настройки называем наш порт по его номеру

Видео: как открыть порты в брандмауэре Windows 10

Как добавить в исключения брандмауэра

1. В «Брандмауэр Windows» заходим в раздел «Разрешить запуск программы или компонента Windows».
2. В самом брандмауэре разрешаем запуск программы или компонента.

   Если нужной программы в списке нет, нажимаем «Разрешить другое приложение»

3. Нажимаем «Разрешить другое приложение» в правом нижнем углу.
4. В открывшемся окне находим нужное нам приложение и нажимаем на «Добавить». Таким образом активируем исключение.

Видео: настройка и отключене брандмауэра в Windows 10

Как заблокировать приложение/игру в файрволе

Чтобы заблокировать приложение в бранмауэре Windows или, иными словами, запретить ему доступ в интернет, необходимо выполнить следующие действия:

1. Выбираем в меню брандмауэра раздел «Дополнительные параметры».
2. Кликаем на «Правила исходящих подключений» и нажимаем «Создать правило»

   Создаем новое правило для приложения

3. Далее выбираем тип правила «Для программы».

   Так как нам необходимо исключить программу, выбираем соответствующий тип правила

4. Далее система предлагает выбрать путь программы. Нажимаем кнопку «Обзор» и находим нужный файл программы.

   Чаще всего для блокировки программы необходим файл в расширении «exe»

5. Затем нажимаем «Далее», оставляем на месте пункт «Блокировать подключение»

   Блокируем программе доступ к интернету

6. Так же, как и в настройке доступа портов, оставляем все галочки на типах профилей.

   Оставляем все галочки на месте

7. И в конце обозначаем удобным нам образом имя заблокированной программы и нажимаем «Готово». С этот момента доступ в интернет для приложения будет заблокирован.

Видео: блокировка доступа в интернет для отдельных программ

Обновление брандмауэра

Обновление брандмауэра — вещь неоднозначная и скорее даже негативная. Дело в том, что никаких важных функций оно не несёт, но зато часто отнимает немалое количество времени. Поэтому некоторые люди предпочитают отключать автообновление файрвола.

1. Зажимаем одновременно Win и R, в появившееся окошко «Выполнить» вписываем команду services.msc и нажимаем клавишу Enter. Появляется окно «Службы».

   Нам понадобится Центр обновления Windows

2. Выбираем «Центр обновления Windows».
3. Далее кликаем на выбранном пункте правой кнопкой мыши и в контекстном меню выбираем «Остановить». Теперь файрвол не будет обновляться самостоятельно.

Firewall control

Приложение Firewall control является одной из вспомогательных программ и отвечает за безопасность данных и ограждает от утечки этих данных в сеть. Программа контролирует работу портов и позволяет выбирать, на каких условиях приложения будут подключаться к сети.

Интерфейс программы прост и лаконичен

Отзывы об этой программе в интернете положительные.

Очень полезная вещь. Один раз вычислил майнера, который пытался лезть в Интернет, о чём и сообщил мне данный FW в уведомлении, а так бы и не знал. Увидел заразу, придушил, вычистил хвосты и сплю спокойно

Некоторые программы — нужные или необходимые — имеют цену, непосильную для конкретного пользователя ($100…1000…10000…). для отсечения ненужной регистрации и её нарушения (при невозможности по каким-либо причинам установить исключение в хостс-файл) — весьма удобное расширение встроенного брандмауера.

Функциональность и интерфейс высоко оценены пользователями за свою простоту, полезность и надёжность. Единственный минус Firewall control — приложение пока не русифицировано официально, но можно найти неофициальные русификаторы на просторах интернета.