Сегодня мы затестим новую российскую железку (UTM-решение) Traffic Inspector Next Generation, призванную обеспечить комплексную защиту от сетевых угроз. Traffic Inspector Next Generation — довольно мощная и разносторонняя штука, которая предоставляет широкий набор сетевых сервисов под управлением единого веб-интерфейса, спрятанного за двухфакторной аутентификацией. Он разворачивается в качестве шлюза и служит входной точкой в офисную/домашнюю сеть. В этой статье мы рассмотрим основные функции Traffic Inspector Next Generation и проверим, насколько хорошо он защищает от различных атак.
 

Что умеет Traffic Inspector Next Generation?

  • Межсетевой экран;
  • HTTP antivirus proxy;
  • IPS/IDS;
  • анализатор трафика (DPI);
  • веб-прокси с возможностью перехвата SSL-трафика;
  • VPN-сервер;
  • мониторинг трафика.
Панель управления
Панель управления

В правой части рисунка перечислены службы, которые и являются основой шлюза. Давай рассмотрим самые интересные из них.

 

Межсетевой экран

В Traffic Inspector Next Generation межсетевой экран выполняет сразу несколько задач:

  • защищает серверы и пользовательские машины внутри сети от несанкционированного доступа;
  • позволяет пробрасывать порты для публикации внутренних служб и сервисов;
  • позволяет перехватывать пакеты и перенаправлять их на само устройство (это необходимо для прозрачного проксирования, о котором мы поговорим далее).

На скриншоте ниже можно увидеть список активных правил межсетевого экрана в читаемом виде.

Межсетевой экран
Межсетевой экран

Продемонстрируем работу межсетевого экрана на примере давно известной атаки, позволяющей деанонимизировать пользователя и перехватить хеш пароля от учетной записи Windows.

INFO

Атака подробно описана по этой ссылке. Заключается атака в том, что при попытке открыть ссылку на SMB-ресурс в стандартном браузере типа IE или Edge SMB-ресурс мгновенно получает учетные данные пользователя (имя учетной записи и хеш пароля). Для реализации данной атаки злоумышленнику необходимо лишь поместить ссылку на картинку с SMB-сервера на фишинговой странице и направить туда жертву.

Чтобы посмотреть, как работает атака, развернем на тестовом сервере Responder, а на тестовой машине с Windows создадим пользователя Ivan со словарным паролем. На машине с Windows откроем ссылку на SMB-ресурс.

Обращение к SMB-ресурсу
Обращение к SMB-ресурсу

Теперь посмотрим в логи Responder’a.

Хеш пароля пользователя в логах Responder’a
Хеш пароля пользователя в логах Responder’a

Попробуем восстановить пароль с помощью утилиты John the Ripper:

Восстановленный пароль
Восстановленный пароль

Пароль восстановлен меньше чем за секунду, и злоумышленник теперь может получить доступ к рабочей станции пользователя по RDP, а также к корпоративным сервисам, в которых используется доменная авторизация.

Для того чтобы защититься от этой атаки, необходимо ограничить доступ к 137, 139 и 445-му TCP-портам для всех диапазонов адресов (кроме локальных).

Добавим соответствующие правила для межсетевого экрана Traffic Inspector Next Generation.

Новое правило
Новое правило

Снова поднимем Responder на нашем сервере и откроем на пользовательской рабочей станции, находящейся за Traffic Inspector Next Generation, ссылку на SMB-ресурс.

Логи Responder’a
Логи Responder’a

В логах Responder’a тишина, а значит, учетные данные пользователя не утекли — благодаря всего паре созданных правил на межсетевом экране.

 

HTTP Antivirus Proxy (HAVP)

HAVP — это прокси, к которому в виде библиотеки подключается опенсорсный антивирусный движок ClamAV.

Интерфейс модуля HAVP выглядит довольно минималистично и позволяет указать максимальный размер сканируемого файла, а также добавить в список доверенные URL, которые сканироваться не будут. Остальная логика, по всей видимости, лежит на движке ClamAV.

Интерфейс модуля HAVP
Интерфейс модуля HAVP

В панели управления HAVP можно также увидеть все обнаруженные вирусы.

Обнаруженные вирусы
Обнаруженные вирусы

Давай проверим, как работает модуль HAVP. Для начала сгенерируем meterpreter-пейлоад.

Генерируем пейлоад
Генерируем пейлоад

Зальем вредоносный файл на сервер и попробуем загрузить его с рабочей станции пользователя, которая находится за Traffic Inspector Next Generation.

Загрузка вредоносного файла
Загрузка вредоносного файла

На скриншоте видно, что вредоносный файл был задетектирован HAVP-модулем и заблокирован для загрузки. Правда, мне так и не удалось настроить HAVP таким образом, чтобы он детектировал вредоносы в HTTPS-трафике, даже после настройки HTTPS-прокси и установки корневого сертификата от Traffic Inspector Next Generation.

IPS/IDS

Система обнаружения/предотвращения вторжений в Traffic Inspector Next Generation основана на open source движке Suricata. Suricata, в свою очередь, работает с заданными правилами. По умолчанию добавлен довольно большой список разнообразных правил, включающий в себя Feodo Tracker, SSL Blacklist, а также огромный набор правил из набора Emerging Threats.net.

В интерфейсе IPS/IDS можно выбрать желаемые наборы правил.

Фрагмент списка наборов правил
Фрагмент списка наборов правил

При включении определенного набора правил администратор может выбрать действие: Alert или Drop, которое будет выполняться при срабатывании конкретного правила.

Выбор действия
Выбор действия

Активируем набор правил ET open/emerging-scan, описывающий признаки активности, связанной с сетевым сканированием (Nmap, Nikto).

Натравим сканер Nikto на веб-сервер, который находится за Traffic Inspector Next Generation, и посмотрим на вкладку «Предупреждения», содержащую алерты от всех активных правил.

Список алертов
Список алертов

После активации набора правил ET open/emerging-web_server и попытки эксплуатации SQL-инъекции на веб-сервере, находящемся за Traffic Inspector Next Generation, вредоносный запрос был заблокирован системой предотвращения вторжений.

Вредоносный запрос заблокирован
Вредоносный запрос заблокирован

Также Traffic Inspector Next Generation позволяет настроить автоматическое обновление правил по расписанию, реализованное через cron.

Автоматическое обновление правил IDS/IPS модуля по расписанию
Автоматическое обновление правил IDS/IPS модуля по расписанию
 

DPI

Deep Packet Inspection (DPI), или Layer 7 фильтрация, — модуль, предназначенный для интеллектуального распознавания протоколов прикладного уровня по сигнатурам. Механизм L7-фильтрации позволяет распознавать и фильтровать трафик отдельных приложений.

Данный модуль предлагает администратору простое решение для блокировки приложений, таких как BitTorrent или WhatsApp.

Более того, этот модуль может защитить сотрудников компании от троянов и бэкдоров, основанных, например, на TeamViewer.

Traffic Inspector Next Generation может распознавать довольно большое количество различных протоколов, всего их более 200.

Посмотрим, как L7-фильтрация работает, на примере TeamViewer. Предварительно проверим подключение к пользовательской машине с выключенным модулем DPI.

Подключение выполнено успешно
Подключение выполнено успешно

Теперь добавим правило, запрещающее все подключения TeamViewer.

Правило, запрещающее подключения TeamViewer
Правило, запрещающее подключения TeamViewer

После активации правила все подключения TeamViewer блокируются. Об этом свидетельствует сообщение в нижней части окна подключения.

Соединение не устанавливается после активации правила
Соединение не устанавливается после активации правила
 

Веб-прокси

Веб-прокси, реализованный в Traffic Inspector Next Generation, основан на Squid и поддерживает:

  • проксирование протоколов HTTP, HTTPS, FTP;
  • прозрачное проксирование;
  • перехват и дешифрование SSL/TLS-соединений;
  • кеширование веб-контента;
  • фильтрацию через списки контроля доступа.

При этом фильтрация может вестись:

  • по IP-адресам клиентов и сетям;
  • портам назначения;
  • типу браузера (User Agent);
  • типу контента (MIME-типам);
  • черным и белым спискам URL;
  • индивидуальным спискам URL для разных пользователей и групп.
 

Перехват HTTPS-трафика (SSL Bump)

Перехват HTTPS-трафика позволяет, например, делать фильтрацию по URL-адресам даже в рамках HTTPS-сессии. Для работы этого режима необходимо установить созданный в Traffic Inspector Next Generation сертификат издательства на клиентскую машину.

 

Прозрачное проксирование

Прокси Traffic Inspector Next Generation поддерживает также работу в прозрачном режиме. Смысл этого режима заключается в том, что пользовательская машина не настроена на работу через прокси, тем не менее трафик будет перехвачен и попадет на веб-прокси. Для этого используется межсетевой экран, перенаправляющий необходимый трафик на веб-прокси.

 

Отчет по веб-прокси

В интерфейсе Traffic Inspector Next Generation можно сформировать отчет по посещенным доменам и URL; по пользователям, генерирующим запросы на прокси; по IP-адресам, с которых генерировались запросы на прокси.

Отчет по пользователям
Отчет по пользователям

Выбрав пользователя, можно сгенерировать отчет по посещенным доменам для данного пользователя. В отчете есть информация о количестве запросов, байтов и времени первого и последнего посещения.

Отчет для одного пользователя
Отчет для одного пользователя
 

VPN-сервер

В Traffic Inspector Next Generation реализован VPN-сервер, который может быть использован для объединения сетей географически удаленных филиалов организации (в режиме «сеть — сеть»), а также для подключения удаленных сотрудников к головному офису (в режиме «узел — сеть»).

Использование режима «узел — сеть» особенно актуально, когда сотрудник компании работает удаленно из публичной сети Wi-Fi, например в аэропорту, и любые критичные данные, такие как пароли, номера счетов и платежных карт, могут быть скомпрометированы злоумышленником. При использовании технологии VPN все данные будут передаваться по защищенному каналу связи.

Схема организации VPN
Схема организации VPN

Traffic Inspector Next Generation поддерживает следующие виды VPN:

  • OpenVPN;
  • IPsec;
  • L2TP;
  • PPTP;
  • TINC VPN.

OpenVPN предустановлен в Traffic Inspector Next Generation и очень удобно реализован, все необходимые для подключения CA, сертификаты и ключи генерируются автоматически через графический интерфейс Traffic Inspector Next Generation.

 

Мониторинг трафика

В интерфейсе Traffic Inspector Next Generation можно увидеть наглядные графики и отчеты по сетевой активности пользователей: админ сможет узнать, на какие ресурсы обращаются пользователи, заметить подозрительную активность, локализовать угрозу и предотвратить заражение рабочих станций других пользователей.

Шлюз поддерживает несколько механизмов мониторинга и отчетности, включая:

  • мониторинг трафика с помощью NetFlow;
  • мониторинг системы с помощью RRDtool;
  • отчеты по веб-прокси (рассмотренные ранее).

С помощью NetFlow можно генерировать отчеты, наглядно демонстрирующие, какой компьютер на какой адрес, по какому порту/сервису обращался и сколько информации было передано в рамках этого взаимодействия.

Отчет по сетевой статистике
Отчет по сетевой статистике

Кольцевые диаграммы показывают распределение объема трафика по различным портам и сервисам назначения, а также наиболее популярные адреса назначения.

Отчет по наиболее популярным сетевым службам и адресам назначения
Отчет по наиболее популярным сетевым службам и адресам назначения

Щелчок по сектору кольцевой диаграммы открывает страницу с более детализированной информацией.

RRDtool позволяет визуализировать динамические данные, такие как температура процессора, его загрузка, количество трафика. На базе RRDtool в интерфейсе Traffic Inspector Next Generation реализован целый ряд различных отчетов, некоторые из них представлены на рисунках ниже.

Отчет по использованию процессора
Отчет по использованию процессора

Отчет по использованию оперативной памяти
Отчет по использованию оперативной памяти

Отчет по качеству интернет-канала
Отчет по качеству интернет-канала

 

Заключение

Traffic Inspector Next Generation — действительно интересное устройство, решающее широкий спектр задач по мониторингу, организации удаленного доступа, предотвращению вторжений и фильтрации нежелательного трафика. Управление реализовано через удобный, интуитивно понятный веб-интерфейс с наглядной визуализацией ключевых моментов. Таким образом, мы видим перед собой конкурентоспособное полноценное комплексное решение по сетевой безопасности, способное облегчить головную боль системным администраторам и безопасникам.

8 комментариев

  1. pesrox

    12.09.2017 at 11:43

    В чем отличие от OPNsense?

    • Смарт-Софт

      13.09.2017 at 17:08

      Контроль приложений (Deep Packet Inspection)
      Антивирус для проверки трафика
      Русский перевод
      Упрощенный интерфейс
      Запись в системный лог сообщений об изменении конфигурации
      SSO (аутентификация в AD)
      Черные/белые списки по группам AD
      Проверка контрольных сумм файлов системы и конфигов

      • 0ri0n

        13.09.2017 at 19:34

        Русский перевод 🙂
        Т.е. не скрываем что основа OPNsense с небольшими доработками. Поскольку Антивирус для трафика… Звучит угрожающий)

  2. 0ri0n

    12.09.2017 at 22:06

  3. 0ri0n

    13.09.2017 at 19:40

    И след вопрос. Цена продукта?
    Условно бесплатный? или полностью.

  4. john_

    14.09.2017 at 08:38

    Сомневаюсь что готов связаться с российской железкой.

    • Смарт-Софт

      14.09.2017 at 16:56

      Железка представляет собой стандартный компьютер x86-64. Бояться не стоит.

Оставить мнение

Check Also

Конкурс хаков: пишем на PowerShell скрипт, который уведомляет о днях рождения пользователей Active Directory

В компаниях часто встречается задача уведомлять сотрудников о приближающихся днях рождения…