Одно из таких решений — межсетевой экран на базе операционной системы FreeBSD под названием Интернет Контроль Сервер (ИКС), который позволяет в едином веб-интерфейсе настроить все нужное для корпоративной сети и оптимизировать ее работу, управлять всеми модулями и функциями безопасности. При этом можно использовать только необходимую функциональность, отключив лишние сервисы, а с ростом компании, когда появляются новые потребности, использовать дополнительные средства. Лицензируется продукт по количеству пользователей, а по цене даже более привлекателен, чем подобные российские разработки.

Все в одном

Отечественный программный межсетевой экран нового поколения для малого и среднего бизнеса (до 2000 пользователей) разработан компанией «А-Реал Консалтинг» и включен в реестр российского ПО. Он устанавливается на виртуальную машину или на выделенный сервер, например, на платформу Kraftway или Depo. По сути ИКС — это комплексное UTM-решение или интернет-шлюз с функциями прокси-сервера, контроля доступа, межсетевого экрана для веб-приложений (WAF), системы обнаружения и предотвращения вторжений, потокового антивируса, контентного фильтра и VPN.

Таким образом, для максимальной и комплексной защиты информации в локальных сетях в ИКС используются несколько технологий. Продукт позволяет оптимизировать работу корпоративной сети, настроить удаленный доступ, обеспечить защиту данных, контролировать доступ пользователей сети, задействовать фильтрацию контента, развернуть различные сетевые сервисы и работать с несколькими провайдерами. То есть с помощью ИКС можно реализовать самые важные потребности организации без внедрения дополнительных систем ИБ, тем самым сэкономив бюджет. В настоящее время уже больше 10 тысяч предприятий разных отраслей выбрали этот межсетевой экран.

Благодаря утилите-мастеру системный администратор может за несколько минут настроить внешние и внутренние интерфейсы, локальную сеть, провайдера. При этом в любой момент можно проверить доступность сервисов каждого из провайдеров и контролировать системные сообщения, централизованно управлять удаленными филиалами.

Универсальный шлюз безопасности с дополнительными сервисами

ИКС может использоваться как пограничный шлюз, как автономный сервер, поддерживает VLAN и DMZ, NAT, контроль сетевого окружения, настройку туннелей, подключения интернет, Wi-Fi, 4G-модемы. Благодаря ИКС можно быстро и безопасно подключиться к корпоративной сети для работы вне офиса.

С помощью встроенного VPN-сервера можно настроить безопасное подключение и защищенный удаленный доступ для сотрудников и быстро перевести офис на дистанционную работу, просматривать статистику подключений и при необходимости запретить удаленное подключение конкретного пользователя. Управляя разрешениями и правилами VPN, можно следить за всем, что происходит с доступом пользователей.

В ИКС интегрированы OpenVPN, SSTP, WireGuard, L2TP/IPSec, PPTP, PPPoE. В поддерживаемых платформах, скорости работы, сетях провайдеров могут быть существенные различия, по-разному реализуется шифрование. Большой выбор протоколов с разными характеристиками помогает подобрать наиболее подходящее для конкретных задач решение.

DHCP (Dynamic Host Configuration Protocol) в ИКС позволяет ассоциировать IP- и MAC-адреса (для чего используется таблица ARP), задать срок аренды адреса (по истечении которого закрепленные за клиентским MAC-адресами IP-адреса могут использоваться другими устройствами), автоматически создавать для каждого компьютера в сети записи DNS (чтобы обращаться к ним по имени, а не по IP), отслеживать в каждой сети количество используемых и свободных адресов и закреплять IP-адрес за определенным пользователем или устройством. Также можно отслеживать пользователей, получивших IP-адрес от DHCP-сервера, указать для локальной сети поисковый домен, задать WINS и путь до TFTP-сервера. Для каждой локальной сети DHCP в ИКС нужно настраивать отдельно.

Еще одна важная функция — фильтрация трафика HTTP/HTTPS. ИКС способен осуществлять морфологический разбор страниц и блокировать сайты с запрещенным контентом, что используется, например, в образовательных учреждениях, а также оперативно реагировать на появление новых интернет-угроз. Встроенный Garnet Web Filter определяет категорию сайта, анализируя его содержимое при помощи алгоритмов машинного обучения. Можно также задействовать модуль категоризации трафика от SkyDNS.

Система обнаружения и предотвращения вторжений Suricata служит для выявления, анализа попыток внешних атак и непрерывно работает в режиме реального времени. У зондирования и даже самых изощренных атак есть общие признаки. Соответственно, хищение данных реально предотвратить.

Что в итоге? Интернет Контроль Сервер — это нечто большее, чем можно ожидать от межсетевого экрана. Его достоинства:

• Экономия ресурсов ИТ-отдела.
• Интуитивно понятный интерфейс для управления сервисами.
• Оптимизация работы сети.
• Работа с несколькими провайдерами.
• Возможность выбора типа подключения и создание туннелей.
• Организация единой сети по всем филиалам и централизованное управление удаленными серверами.
• Настройка DHCP-сервера, DNS, NAT.
• Безопасный удаленный доступ с помощью встроенного VPN-сервера.
• Поддержка протоколов OpenVPN, SSTP, WireGuard, L2TP/IPSec, PPPoE, PPTP. Просмотр статистики подключений с возможностью запрета удаленного подключения конкретного пользователя.
• Защита конфиденциальной информацию и персональных данных с помощью межсетевого экрана, системы обнаружения и предотвращения вторжений (IPS/IDS).
• Функции контроля приложений (доступ к приложениям через утилиту авторизации Xauth и фильтрация Layer 7), WAF, антивирусы и защита от атак методом перебора паролей.
• Выбор способа авторизации пользователей в сети (имя/пароль, IP, MAC, СМС/звонок, Xauth).
• Запрещающие и разрешающие правила доступа в интернет.
• Синхронизация с Active Directory.
• Прокси-сервер с авторизацией Kerberos.
• Возможности настройки в интерфейсе ИКС почты, IP ATC, файлового сервера. Совместная работа всех встроенных модулей.
• Контроль трафика, блокировка сайтов и приложений. Блокировка по нежелательным URL и ключевым словам. Использование категорий трафика Garnet Web Filter, AdBlock и SkyDNS.
• Контроль посещений сайтов пользователями и настройка правил доступа на основании этих данных. Экспорт отчетов. Конструктор отчетов.
• Бесплатная техподдержка на этапе тестирования и в первый год использования ПО.
• Бесплатная полнофункциональная версия до 9 пользователей.
• Международная партнерская сеть. Технологическое партнерство с Kaspersky Lab, Depo Computers, Sky DNS, Lanner Electronics

В общей сложности ИКС включает в себя более 90 функций и сервисов. Трафик анализируется максимально разносторонне — от прикладного до физического уровней. Он продается в 10 странах и насчитывает 16000 инсталляций. Для его установки и первоначальной настройки потребуется около получаса. Многие компании и организации, кто еще этого не сделал, в ближайшие годы будут переходить на российские сертифицированные решения, аналогичные зарубежным по своим возможностям. Им стоит присмотреться к ИКС, возможно, протестировать это решение, чтобы убедиться, что оно устраивает их по функциональности.