Межсетевой экран ИКС ФСТЭК - установка и настройка

Вопросы информационной безопасности в наши дни стоят как никогда остро. Мы регулярно видим новости о взломах и нарушениях в работе информационных систем, которые приводят к остановке деятельности даже крупных компаний. Одновременно с этим протекают процессы импортозамещения, которые накладывают свои требования к внедряемым системам. В своей статье я расскажу про российский продукт ИКС ФСТЭК - сертифицированный межсетевой экран для комплексной защиты от сетевых угроз.

Введение

Продукт под брендом ИКС (Интернет Контроль Сервер) мне знаком давно. Я уже ранее делал по нему обзоры, которые можно посмотреть под соответствующим тэгом. Бесплатную версию ИКС Lite я разворачивал и использовал некоторое время дома, но в итоге отказался из-за избытка функциональности для домашних задач. На работе хватает шлюзов, не захотелось ещё и дома заниматься их настройкой. Но никто не мешает вам это делать, если потребуется.

Продукт разрабатывает российская аккредитованная IT-компания с большой историей. Она появилась ещё до самых первых попыток импортозамещения, так что развитие получила не на волне этого процесса последних лет, как многие другие.

ИКС представляет из себя программный межсетевой экран, который можно установить на своё железо или виртуальную машину, а также приобрести в виде программно-аппаратного комплекса (ПАК) на уже собранном и настроенном железе от разработчиков. Всё управление выполняется через веб интерфейс и в общем случае не требуется вмешательство через консоль. Под капотом там операционная система FreeBSD, для которой в том числе написан TUI интерфейс для упрощения работы с консолью, если это всё же понадобится. Например, в случае ошибки с настройкой сети или для принудительной перезагрузки. Знать FreeBSD для эксплуатации ИКС не требуется.

ИКС подходит для инфраструктур любой архитектуры, от самых простых на десяток машин, до распределённых на сотни и тысячи. Производительность напрямую зависит от аппаратной платформы, на которой он работает. ИКС относительно лёгок и прост во внедрении, если выполняется человеком, разбирающимся в сетевых технологиях. Для самостоятельного изучения доступны как видеокурс от вендора, так и подробная документация.

ИКС ФСТЭК

Отдельным продуктом из линейки вендора является ИКС ФСТЭК - это сертифицированный межсетевой экран (№ 4832 ФСТЭК от 02.08.2024) для защиты корпоративных сетей, соответствующий требованиям регуляторов. Он отлично подходит для госучреждений и компаний с высокими стандартами безопасности.

Основные возможности ИКС ФСТЭК:

• Работа в роли основного или пограничного шлюза.
• Межсетевой экран с гибкими настройками, в том числе приоритизации, квот.
• Работа с несколькими провайдерами, балансировка каналов, управление полосой пропускания.
• Интеграция с DLP (Data Leak Prevention) и SIEM (Security Information and Event Management) системами.
• Встроенная система IDS (Intrusion Detection System) и DPI (Deep Packet Inspection). С помощью DPI работает Application Firewall для блокировки приложений.
• Различные технологии VPN с многофакторной аутентификацией пользователей.
• Интеграция с FreeIPA и ALD Pro, импорт пользователей из LDAP, Active Directory.
• Политики доступа на основе пользователей и групп.
• Статистика по сетевой активности пользователей и устройств.
• Чёрные и белые списки адресов, IP, фраз, блокировки по Geo-IP, спискам Минюста, времени суток, URL, ключевым словам, регулярным выражениям
• DHCP и DNS сервер.
• Подробные настраиваемые отчёты по использованию интернет-ресурсов.

ИКС ФСТЭК соответствует требованиям документов:

• Требования доверия (по 4 уровню),
• Профиль защиты Межсетевой экран типа «А» 4-ого класса (ИТ.МЭ.А4.ПЗ),
• Профиль защиты Межсетевой экран типа «Б» 4-ого класса (ИТ.МЭ.Б4.ПЗ),
• Профиль защиты Средства обнаружения вторжений уровня cети 4-ого класса (ИТ.СОВ.С4.ПЗ).

Помимо своей основной функциональности ИКС ФСТЭК имеет интеграцию с Kaspersky Suricata Rules Feed - набор правил для системы предотвращения вторжений (IDS/IPS). При тестировании ИКС можно указать промокод Суриката и получить подписку на 2 месяца на Kaspersky Suricata Rules Feed. На момент написания статьи на сайте ИКС есть такая новость.

Из описания возможностей вытекают основные задачи, которые решает ИКС ФСТЭК:

• Контролирует входящий и исходящий сетевой трафик;
• Предотвращает несанкционированный доступ;
• Снижает риски утечек и атак;
• Управляет доступом пользователей в интернет и из интернета в инфраструктуру;
• Обеспечивает соответствие требованиям проверяющих органов.

Клиенты и сферы применения

По совокупности возможностей и решаемых задач становится понятно, где в первую очередь будет востребован и полезен этот продукт:

• Государственным информационным системам до 1 класса защищенности включительно;
• Информационным системам персональных данных до 1 уровня защищенности включительно;
• Значимым объектам критической информационной инфраструктуры 1 категории;
• Автоматизированные системы управления производственными и технологическими процессами 1 класса защищенности;
• Информационные системы общего пользования 2 класса.

Если сказать простыми словами, то ИКС ФСТЭК подходит для всех субъектов критической информационной инфраструктуры (КИИ) в России. Он будет актуален образовательным учреждениями и объектам здравоохранения, промышленным предприятиям и административным учреждениям, коммерческим организациям с повышенными требованиями к безопасности.

☝ Отдельно отмечу, что для информации, содержащей государственную тайну, ИКС ФСТЭК не предназначен.

Варианты поставки ИКС ФСТЭК

ИКС ФСТЭК поставляется в двух вариантах:

• Для тех, кому нужен межсетевой экран типа А как программно-аппаратный комплекс (ПАК). На выбор есть несколько платформ с различной производительностью.
• Для тех, кому нужен межсетевой экран типа Б как программный продукт, который может быть установлен на оборудование заказчика. Поддерживаются все современные системы виртуализации, в том числе отечественные.

ПАК выбирается на основе предполагаемой нагрузки. Характеристики железа, стоимость и примерное количество пользователей, которое он сможет обслужить, можно посмотреть на сайте. Например, модель ИКС RF700 имеет следующие характеристики:

• Процессор: 6 ядер, 6 потоков, частота 3.0 ГГц
• Оперативная память: 2 х 16 ГБ DDR5
• Жесткий диск: SSD 480 ГБ, 2 х HDD 1 TB
• Сетевые интерфейсы: 7 x RJ-45, 1 Гбит/с
• Межсетевой экран: 10,5 ГБ/сек
• Инспектирование SSL: 2,3 ГБ/сек
• IPS: 3,1 ГБ/сек
• Межсетевой экран, инспектирование SSL, IPS: 2,1 ГБ/сек
• Одновременных соединений (CC): до 3 000 000
• Новых в секунду, максимально (CPS): 60 000

Данная модель может обеспечивать работу до 700 пользователей. Поставляется в стоечном варианте, занимает 1U. Типичный одноюнитовый сервер.

Установка ИКС ФСТЭК на своё оборудование

Как я уже сказал, ИКС ФСТЭК можно установить на своё оборудование. Для этого достаточно скачать ISO образ с сайта и развернуть на своём железе. Я выполню установку ИКС ФСТЭК на виртуальную машину в Proxmox.

Оборудование, на которое можно развернуть ИКС, должно соответствовать требованиям FreeBSD. Там ничего особенного нет, практически на любое железо встанет. А минимальные системные требования напрямую зависят от предполагаемой нагрузки. Для тестирования достаточно будет взять виртуальную машину с 2 CPU, 4 GB оперативной памяти, и 30 GB диск.

При создании виртуальной машины в Proxmox в качестве Guest OS нужно выбрать Linux, тип контроллера дисков VirtIO SCSI. Остальное можно оставить по умолчанию.

После запуска виртуальной машины нам нужно последовательно выполнить набор действий. Я не буду показывать скриншоты каждого этапа, чтобы не увеличивать лишний раз объём статьи. Более подробно остановлюсь на настройке. А пока нам нужно:

1. Выбрать язык установщика: русский или английский.
2. Согласиться с лицензионным соглашением.
3. Выбрать часовой пояс.
4. Указать сетевые настройки интерфейса, по которому будет доступна панель управления. Здесь нужно выбрать интерфейс локальной сети.
5. Указать имя сервера.
6. Выбрать диск для установки. У меня он один, выбирать не из чего. А на реальном железе можно собрать RAID1 на базе ZFS.
7. Некоторое время будет длиться установка, потом система сама перезагрузится.

Установщик очень простой. Лишних вопросов не задаёт. Ломать голову, как разбить диск на разделы не придётся. Справится практически любой даже начинающий специалист.

После загрузки можно идти по IP адресу сервера на порт 81 и заходить в панель управления. В моём случае это адрес https://10.20.1.1:81

Учётная запись по умолчанию - root / 00000. После входа запустится мастер первоначальной настройки, где можно будет указать имя компании, полное имя сервера с ИКС и задать новый пароль для учётной записи администратора.

Далее у вас откроется главный экран панели управления.

Первым делом нужно будет запустить мастер настройки сети. Напомню, что изначально добавил 2 сетевых интерфейса - один в роли внешнего интерфейса WAN, второй - локального LAN. Идём в раздел Сеть ⇨ Мастер настройки сети и настраиваем оба сетевых интерфейса.

Итоговые настройки будут зависеть от типа вашего подключения к интернету и набору возможностей, которые вы выберите. В моём случае у меня тестовое окружение, где в качестве выхода в интернет выступает интерфейс со статичным IP адресом. Для обоих сетевых интерфейсов я оставил возможность подключения к веб интерфейсу управления, а на локальном сразу включил NAT и DHCP сервер.

Получилось в итоге такая картина с сетевыми настройками:

Для начальной настройки ИКС в качестве шлюза этого достаточно, чтобы клиенты смогли получить IP адреса и выходить в интернет. Осталось только добавить этих клиентов. По умолчанию всё, что не разрешено - запрещено. Так что выпускать пользователей во вне нужно вручную группами или по одному. Этим и займёмся далее.

Настройка ИКС ФСТЭК

Запрос лицензии

Для того, чтобы в полной мере оценить функциональность межсетевого экрана, запросим сначала тестовую лицензию. Сделать это можно в разделе Обслуживание ⇨ О программе. Нажимаем на кнопку Запрос новой лицензии, заполняем все поля, выбираем тип Trial и сразу же получаем лицензию на указанное количество пользователей.

Добавление пользователей

Добавим первого пользователя и выпустим его в интернет. Пользователем в ИКС может быть человек или компьютер. Если за одним компьютером работают несколько человек, то для каждого нужно будет создать учётную запись, если мы хотим их идентифицировать. Доменные пользователи будут проходить аутентификацию на прокси с помощью протокола Kerberos или NTLM, обычные - по логину и паролю. С компьютерами проще - идентификация по IP или MAC.

Если у каждого пользователя свой отдельный компьютер, то можно добавить именно его. Для этого идём в раздел Пользователи и статистика ⇨ Пользователи и добавляем нового пользователя.

Дальше у нас есть выбор, как мы будем идентифицировать этого пользователя: по IP или MAC адресу. Если вы не будете статично привязывать IP адреса к MAC, то в профиле пользователя укажите MAC. Если же за каждым пользователем будет закреплён статичный IP адрес, то указать можно его.

Я в итоге выбрал MAC адрес. Сходил в раздел с DHCP сервером и посмотрел MAC адрес тестового компьютера.

Далее этот адрес указал в настройках пользователя. IP адрес в настройках будет автоматически обновляться, если DHCP сервер будет динамически выдавать другой.

Система автоматически подтянула актуальный IP адрес. После этого у компьютера пользователя появился доступ в интернет через встроенный в ИКС прокси сервер, на который автоматически заворачиваются все запросы к сайтам.

ИКС может автоматически просканировать локальную сеть и добавить разом все найденные компьютеры. Пользователей можно автоматически забрать из LDAP.

По пользователю сразу же доступна статистика его активности в интернете в разрезе IP адресов. Её можно посмотреть как в разделе пользователя, так и в общей статистике.

Для того, чтобы увидеть активность пользователя в интернете в разрезе доменных имён, необходимо настроить подмену сертификата на прокси, чтобы была возможность расшифровывать и анализировать трафик. Подробнее эту тему затрону дальше.

Пользователя можно временно заблокировать, настроить ему индивидуальные правила доступа в интернет, в том числе по времени суток. Делается это в его профиле администратором. Интерфейс добавления правил, как и сами правила, для отдельного пользователя или для групп делаются одинаково.

Я покажу примеры настроек для пользователя, но вы держите в голове, что всё то же самое масштабируется на всю инфраструктуру. Для этого пользователей нужно будет распределить по группам и настроить для каждой соответствующие правила.

Блокировка приложений

Запретим пользователю подключения в интернет по RDP или SSH. Для этого открываем его настройки, раздел Правила и ограничения. Добавляем новое правило для Application Firewall.

В правиле выбираем указанные протоколы: RDP, SSH и в дополнение сюда же TELNET.

Сохраняем правило и идём на компьютер проверять. Я попробовал подключаться на стандартные и нестандартные порты. Не проходят любые соединения. То есть это блокировка не на уровне TCP портов, типа 22 для SSH или 3389 для RDP. Это блокировка на уровне пакетов на основе анализа их содержимого. Для клиента подключение выглядит так, как-будто оно подвисло и отвалилось по таймауту, даже несмотря на то, что появляется окно приветствия с вводом логина и пароля:

При этом в логах Application Firewall будет следующее:

Справедливости ради скажу, что иногда соединение устанавливалось. Пару раз у меня получилось подключиться по SSH. Не знаю, с чем это связано. То ли анализатор пакетов не работал, но в логах это не отражалось, то ли вероятность определить нужный протокол не 100%. Закономерность определить не смог, но чаще всего соединение блокировалось.

Список протоколов, которые ИКС распознаёт, внушительный. Все не проверял, но, к примеру, Telegram тоже блокирует (*истерически хохотнул*). Помимо этого там есть FTP, почтовые протоколы, DNS, HTTP, NFS, MySQL и другие СУБД, различные реализации VPN, средств удалённого подключения типа TeamViewer, Rsync, Яндекс.Диск и многое другое. Настройка максимально простая. Ни в какие нюансы погружаться не надо. Просто создаёте правило и распространяете его на нужные группы пользователей.

Блокировка сайтов

Заблокируем пользователю доступ к какому-нибудь сайту из списка, который создадим сами. Пусть это будет сайт VK. Для этого добавляем Запрещающее правило прокси.

И настраиваем его:

Дальше у нас есть разные варианты действий. Для распознавания HTTPS трафика и редиректа запросов на свои страницы-заглушки, вы должны на прокси настроить подмену сертификата, то есть организовать MITM. Без этого нет технических возможностей сделать это красиво. В ИКС подобная подмена настраивается буквально в несколько действий за пару минут. Я об этом ранее рассказывал в отдельной статье - Фильтрация HTTPS трафика контент фильтром ИКС. С тех пор принципиально ничего не поменялось. Я не хочу сейчас повторяться и увеличивать объём повествования. В той статье очень подробно описаны все возможности по фильтрации контента. Также у вендора записан урок по этой теме, где всё показано и рассказано.

Если вы не хотите настраивать подмену сертификата, то можно просто заблокировать обращение к запрещённым доменам. Для этого идём в раздел Сеть ⇨ Прокси ⇨ Настройки и указываем Фильтровать без подмены сертификата.

Как вы можете увидеть, настройки работы прокси очень гибкие. Можно делать исключения во время работы различных режимов. Где-то можно делать подмену сертификатов, а где-то нет. Для сайтов, которые с подменой работать не будут, можно настроить исключение.

Теперь идём на компьютер пользователя и проверяем, как работает запрет без подмены сертификата:

Сайт просто не открывается. Переадресовать запрос на страницу-заглушку в данном случае не получится.

Вы можете создавать свои расширенные правила блокировки доступа для различных групп. Пример того, как они могут выглядеть, есть для образовательных учреждений. В разделе Наборы правил есть готовый набор для образовательных учреждений, где в том числе настроено перенаправление поисковых запросов на встроенный безопасный поиск самих поисковиков:

Актуальность готовых списков Минюста или Роскомнадзора можно посмотреть в разделе Защита ⇨ Контент-фильтр ⇨ База контент-фильтра.

Здесь можно посмотреть содержимое списков, настроить периодичность обновления, в логах посмотреть статус обновления. Так же вы можете завести и наполнять свои списки для фильтрации.

Как вы видите, правила настраиваются максимально просто и быстро. Не нужны какие-то специальные знания. Мне даже в документацию не пришлось смотреть. Уточнял моменты только с подменой сертификата. Сами правила просты и интуитивны в настройке.

Настройка файрвола

Для настройки файрвола разбираться в нюансах его работы не нужно и это хорошо, потому что под капотом там фрибиисдишные ipfw и pf, которые знают и понимают не только лишь все. Сейчас почти никто. Хотя лично я их знаю, потому что с них вообще начинал. Ipfw - первый юниксовый файрвол, который я изучил.

В ИКС вся настройка выполняется через веб интерфейс, который постарались сделать максимально дружелюбным. Все сущности в виде источников трафика, интерфейсов, портов назначения можно объединять в группы и использовать в правилах. Примеры этих правил уже есть в базовом наборе:

Например, можете на уровне всего шлюза запретить исходящие соединения по 25 порту.

Проверяем на клиенте:

Рекомендую в обязательном порядке проверять все добавляемые правила. По крайней мере первое время, пока не привыкните к логике работы файрвола. У меня не с первого раза получилось сделать работающее правило. Я выбирал в качестве источника трафика локальную сеть, как я это делал бы в Iptables, и правило не работало, потому что ipfw работает не так. В качестве источника в данном случае надо выбрать либо любой, либо сам ИКС, потому что, если я не ошибаюсь, в ipfw на выходе весь трафик считается шлюзовым. А источник трафика имеет значение в момент его входа на шлюз, а не выхода. Могу ошибаться, так как очень давно ipfw не то, что не настраивал, но и не видел. В общем, просто проверяйте правила на всякий случай.

Здесь же в веб интерфейсе очень легко можно настроить привычный проброс портов:

Отмечу, что для всех правил можно настраивать время действия.

Можно быстро включить блокировку каких-либо стран:

По настройкам ИКС ФСТЭК можно много всего написать. Материал и так очень большой получается. Все вопросы не охватить. Постарался показать наиболее востребованные функции, чтобы у вас было общее представление, как всё это выглядит.

Настройки сделаны максимально дружелюбно к пользователю, чтобы не требовались какие-то специальные знания конкретных технологий, которые тут используются. Вам достаточно будет документации и обучающих уроков. За день можно разобраться со всеми вопросами. Я без особых проблем всё проверил, хоть время и потратил. В итоге всё получилось даже без помощи техподдержки, к которой, кстати, можно в полном объёме обращаться во время теста ещё до покупки.

Стоимость и варианты приобретения

Как я уже упоминал в начале, ИКС ФСТЭК продаётся в виде программной лицензии и готового программно-аппаратного комплекса (ПАК), или просто сервера, если говорить привычным языком.

Программные лицензии зависят от количества пользователей (от 1 760 руб. за пользователя) и дополнительных модулей. Стоимость сервера зависит от выбранной модели с необходимыми техническими характеристиками.

Лицензии бессрочные. То есть платите один раз и пользуетесь неограниченное время. Первый год обновления продукта будут приходить бесплатно. Далее нужно будет каждый год покупать модуль «Техподдержка». Но его стоимость ниже цены лицензии - 45% от неё при своевременном продлении. В модуль «Техподдержка» включены базовые списки слов, сайтов для контент-фильтра и их обновления; возможность обращаться за помощью в службу технической поддержки, а также - обновления самого продукта, которые необходимы для поддержания надёжной работы межсетевого экрана. Это обычная практика для такого рода продуктов, где необходимо постоянно поддерживать в актуальном состоянии и доставлять на устройства обновлённые данные, используемые в работе.

Перед покупкой можно провести тестирование продукта с полной технической поддержкой. Так же можно запланировать онлайн встречу для демонстрации возможностей и консультации.

Разработчики предлагают свою услугу по внедрению. Называется - ИКС Про. Стоимость зависит от масштабов и обсуждается в каждом конкретном случае. Вам выполнят анализ вашей сети, подберут подходящую конфигурацию под ваш масштаб и требования, выполнят настройку. То есть проделают всю работу от предварительного анализа до итогового внедрения и запуска в работу.

Бесплатный ИКС Lite

Отдельно упомяну продукт ИКС Lite. Это бесплатная версия коммерческой NGFW ИКС, которая по функциональности имеет всё то же самое, что и сертифицированная версия ФСТЭК из этой статьи, только сверху ещё больше функциональности. Единственное ограничение ИКС Lite - 9 пользователей.

Это полностью актуальная версия межсетевого экрана для команды до 9-ти человек, или для дома, если у вас есть желание и потребность в его возможностях. Как я уже говорил, я дома себе устанавливал и настраивал в основном для детей. Но в итоге перешёл на более простое решение другого формата - родительский контроль на конечных устройствах от Касперского. Хотя возможности ИКС не ограничиваются только родительским контролем и дома. Там удобно реализована функциональность VPN, вкупе с веб управлением, получается неплохо.

Помимо этого ИКС Lite подойдёт:

• Системным администраторам небольших компаний, чтобы протестировать и внедрить решение без денежных затрат.
• Малому бизнесу и стартапам, когда защищать сеть хочется, а денег на это ещё нет. ИКС может служить шлюзом для виртуальной инфраструктуры на гипервизоре, где размещается не более 9-ти виртуальных машин.
• Небольшим частным школам, учебным центрам, удалённым командам и домашним офисам, где требуется надёжное и простое решение, которое сможет настроить человек фактически по инструкции и урокам.

Когда бизнес вырастет, можно перейти на коммерческую версию. Скачивается и устанавливается ИКС Lite так же как и другие версии. Просто в момент получения лицензии надо указать, что хотите использовать бесплатную версию.

Заключение

Постарался, как смог, кратко и одновременно ёмко рассказать об ИКС. Это лёгкий в настройке, но функциональный межсетевой экран. С его помощью можно относительно просто и быстро закрыть важные вопросы по безопасности, соблюдая все законодательные нормативы. С ИКС приятно работать. Настройки интуитивны. Хотя это может быть моё восприятие такое, потому что я со шлюзами работаю очень давно. Настраивал разные варианты, в том числе и на базе FreeBSD.

При этом ИКС не просто продукт ради бумажки, чтобы отстали импортозаместители. Это реально удобный и функциональный инструмент, который уже много лет развивается и поддерживается. Он давно на рынке. По нему можно навести справки, посмотреть отзывы, вебинары. Для него есть документация на русском языке, обучающие курсы, техническая поддержка. Я видел разные отзывы на него, в том числе и с какими-то проблемами. Но у кого их не бывает? Можно даже у меня на сайте к статьям почитать отзывы. Я ничего не удалял. Все, кто хотел, выразили своё мнение, как положительное, так и отрицательное. Только делайте поправку на то, что было это 5+ лет назад.

Реклама, OOO «А-Реал Консалтинг», ИНН 7606047112, erid: 2SDnjcHt9cd