Безопасность сети

Предотвращение вторжений (IDS/IPS):

• Интегрированная система предотвращения вторжений позволяет блокировать атаки на сервер (получение доступа к внутренним и опубликованным сервисам, DoS-атаки, попытки выполнения произвольного кода и др.), защищаемую им локальную сеть и логировать подозрительную активность (в том числе вызываемую вирусами и троянами внутри сети, выявлять работу ботнетов).
• Система блокирует попытки обхода правил фильтрации - работу в сети TOR, p2p и торрент-клиентов.
• Подробное логирование событий позволяет расследовать инциденты безопасности.
• Ежедневно обновляемые наборы правил помогают защитится от новых типов атак.

Защита сервера:

• Сервер построен на базе Linux, используются только стабильные версии ядра и компонентов со всеми патчами безопасности. Такие решения традиционно применяются в наиболее критичных системах, требующих максимального уровня надежности и производительности.
• Защита сервера серьезно усилена по сравнению с обычными дистрибутивами Linux: файловая система разделена на постоянную и изменяемую части, при этом запуск файлов с изменяемой части невозможен, отсутствует супер-пользователь root в режиме работы по умолчанию, закрыт доступ по всем портам на внешние интерфейсы, при загрузке системы проводится проверка контрольных сумм всех исполняемых файлов, что делает невозможным использование руткитов.
• Каждая версия Ideco UTM проходит тестирование на безопасность с помощью нескольких сетевых сканеров. Все обнаруженные уязвимости в компонентах и ядре оперативно устраняются разработчиками. Автоматическое обновление позволяет устанавливать их без привлечения администратора.
• Всем службам настроены только минимально необходимые права доступа к файловой системе и сети — это минимизирует возможные векторы атаки, даже если в компонентах будут найдены уязвимости.
• Фаервол по умолчанию настроен на защиту всех сетевых интерфейсов сервера от DoS атак, MIT‑атак, агрессивного, нелегитимного и явно вирусного трафика, с учетом его характера, а не его типа. Таким образом, вредоносный трафик не будет пропущен сервером, а трафик не представляющий угрозы, не будет заблокирован.
• Все защищенные протоколы (SSH, TLS, HTTPS) работают исключительно с максимально криптостойкими ключами шифрования, что исключают атаки типа «человек посередине».
• Для vpn-соединения офисов используются надежные и безопасные протоколы: OpenVPN и IPsec, с криптостойким алгоритмом шифрования AES-256.
• Сервер блокирует brootforce-атаки (попытки подбора паролей) на сервисы SSH, SMTP, IMAP, POP3, веб-почту и веб-консоль администрирования сервера.
• Весь дистрибутив, включая ядро, собирается из исходных текстов, проверенных ФСТЭК РФ на отсутствие недекларированных возможностей и уязвимостей безопасности.

Защита локальной сети:

• Весь веб и почтовый трафик проверяется на вирусы. Вдобавок, возможна последовательная проверка двумя антивирусами: антивирусом лаб. Касперского и ClamAV, что позволяет еще больше повысить уровень защиты от вредоносного программного обеспечения и скриптов на зараженных интернет-сайтах.
• Контент-фильтр позволяет закрыть доступ к опасным сайтам: распространяющим нелегальное ПО и шпионские программы, зараженным вирусами. Автоматическое обновление категорий сайтов происходит в реальном времени с помощью облачных технологий, поэтому базы всегда актуальны.
• Зашифрованный HTTPS-трафик контролируется всеми службами: антивирусами, контент-фильтром и системой отчетности, что позволяет избежать скрытого внедрения вирусов через защищенные SSL‑соединения.
• Публикация и защита веб-серверов с помощью обратного прокси-сервера. Начиная с версии 6.7 защита веб-серверов с помощью web application firewall.
• Публикация сервисов с помощью DNAT portmapper. При этом сервис попадает под защиту системы предотвращения вторжений и становится устойчивым к попыткам взлома, использования вредоносных скриптов и эксплойтов.
• Встроенный системный и пользовательский фаервол удобны в настройках: можно применять их как для всей сети, отдельных подсетей, также и для отдельных пользователей или групп, даже если у них используются динамические IP-адреса, сервер будет учитывать это.
• Подключение клиентов к почтовому серверу извне возможно только по шифрованным протоколам: SSL и TLS. Что исключает перехват писем при анализе трафика на уровне провайдера.
• Почтовый сервер настроен для защиты от DoS-атак.
• Возможно ограничение пользователей по количеству сессий для предотвращения вирусных эпидемий. Кроме того, превышение лимита на количество сессий логируется, поэтому чрезмерно активных пользователей и устройства можно легко обнаружить по логам.
• Для подключения пользователей по VPN извне используется безопасный протокол IPsec, что позволяет подключить все современные операционные системы, включая мобильные, с криптостойким шифрованием AES-256.
• Отчеты и статистика по пользователям в удобной визуальной форме позволяют выявить подозрительную активность, в случае заражения их устройств вирусами или троянами.
• Возможность интеграции с DLP-решениями (Data Leak Prevention) позволяет избежать случайной утечки конфиденциальной информации.
• DNS-сервер с возможностью перехвата запросов к внешним серверам, позволяет легко использовать облачные сервисы DNS-фильтрации, которые позволяют эффективно фильтровать трафик на уровне dns-запросов для защиты от зараженных сайтов и бот-сетей.