Безопасность сети
Шлюз безопасности Ideco UTM объединяет в себе множество модулей, призванных обеспечить безопасность как самого сервера, так и локальной сети предприятия.
Предотвращение вторжений (IDS/IPS):
- Интегрированная система предотвращения вторжений позволяет блокировать атаки на сервер (получение доступа к внутренним и опубликованным сервисам, DoS-атаки, попытки выполнения произвольного кода и др.), защищаемую им локальную сеть и логировать подозрительную активность (в том числе вызываемую вирусами и троянами внутри сети, выявлять работу ботнетов).
- Система блокирует попытки обхода правил фильтрации - работу в сети TOR, p2p и торрент-клиентов.
- Подробное логирование событий позволяет расследовать инциденты безопасности.
- Ежедневно обновляемые наборы правил помогают защитится от новых типов атак.
Защита сервера:
- Сервер построен на базе Linux, используются только стабильные версии ядра и компонентов со всеми патчами безопасности. Такие решения традиционно применяются в наиболее критичных системах, требующих максимального уровня надежности и производительности.
- Защита сервера серьезно усилена по сравнению с обычными дистрибутивами Linux: файловая система разделена на постоянную и изменяемую части, при этом запуск файлов с изменяемой части невозможен, отсутствует супер-пользователь root в режиме работы по умолчанию, закрыт доступ по всем портам на внешние интерфейсы, при загрузке системы проводится проверка контрольных сумм всех исполняемых файлов, что делает невозможным использование руткитов.
- Каждая версия Ideco UTM проходит тестирование на безопасность с помощью нескольких сетевых сканеров. Все обнаруженные уязвимости в компонентах и ядре оперативно устраняются разработчиками. Автоматическое обновление позволяет устанавливать их без привлечения администратора.
- Всем службам настроены только минимально необходимые права доступа к файловой системе и сети — это минимизирует возможные векторы атаки, даже если в компонентах будут найдены уязвимости.
- Фаервол по умолчанию настроен на защиту всех сетевых интерфейсов сервера от DoS атак, MIT‑атак, агрессивного, нелегитимного и явно вирусного трафика, с учетом его характера, а не его типа. Таким образом, вредоносный трафик не будет пропущен сервером, а трафик не представляющий угрозы, не будет заблокирован.
- Все защищенные протоколы (SSH, TLS, HTTPS) работают исключительно с максимально криптостойкими ключами шифрования, что исключают атаки типа «человек посередине».
- Для vpn-соединения офисов используются надежные и безопасные протоколы: OpenVPN и IPsec, с криптостойким алгоритмом шифрования AES-256.
- Сервер блокирует brootforce-атаки (попытки подбора паролей) на сервисы SSH, SMTP, IMAP, POP3, веб-почту и веб-консоль администрирования сервера.
- Весь дистрибутив, включая ядро, собирается из исходных текстов, проверенных ФСТЭК РФ на отсутствие недекларированных возможностей и уязвимостей безопасности.
Защита локальной сети:
- Весь веб и почтовый трафик проверяется на вирусы. Вдобавок, возможна последовательная проверка двумя антивирусами: антивирусом лаб. Касперского и ClamAV, что позволяет еще больше повысить уровень защиты от вредоносного программного обеспечения и скриптов на зараженных интернет-сайтах.
- Контент-фильтр позволяет закрыть доступ к опасным сайтам: распространяющим нелегальное ПО и шпионские программы, зараженным вирусами. Автоматическое обновление категорий сайтов происходит в реальном времени с помощью облачных технологий, поэтому базы всегда актуальны.
- Зашифрованный HTTPS-трафик контролируется всеми службами: антивирусами, контент-фильтром и системой отчетности, что позволяет избежать скрытого внедрения вирусов через защищенные SSL‑соединения.
- Публикация и защита веб-серверов с помощью обратного прокси-сервера. Начиная с версии 6.7 защита веб-серверов с помощью web application firewall.
- Публикация сервисов с помощью DNAT portmapper. При этом сервис попадает под защиту системы предотвращения вторжений и становится устойчивым к попыткам взлома, использования вредоносных скриптов и эксплойтов.
- Встроенный системный и пользовательский фаервол удобны в настройках: можно применять их как для всей сети, отдельных подсетей, также и для отдельных пользователей или групп, даже если у них используются динамические IP-адреса, сервер будет учитывать это.
- Подключение клиентов к почтовому серверу извне возможно только по шифрованным протоколам: SSL и TLS. Что исключает перехват писем при анализе трафика на уровне провайдера.
- Почтовый сервер настроен для защиты от DoS-атак.
- Возможно ограничение пользователей по количеству сессий для предотвращения вирусных эпидемий. Кроме того, превышение лимита на количество сессий логируется, поэтому чрезмерно активных пользователей и устройства можно легко обнаружить по логам.
- Для подключения пользователей по VPN извне используется безопасный протокол IPsec, что позволяет подключить все современные операционные системы, включая мобильные, с криптостойким шифрованием AES-256.
- Отчеты и статистика по пользователям в удобной визуальной форме позволяют выявить подозрительную активность, в случае заражения их устройств вирусами или троянами.
- Возможность интеграции с DLP-решениями (Data Leak Prevention) позволяет избежать случайной утечки конфиденциальной информации.
- DNS-сервер с возможностью перехвата запросов к внешним серверам, позволяет легко использовать облачные сервисы DNS-фильтрации, которые позволяют эффективно фильтровать трафик на уровне dns-запросов для защиты от зараженных сайтов и бот-сетей.