Новая статья: Обзор защитных средств шлюза Zyxel ZyWALL ATP200: от песочницы до облаков

Серия ATP в семействе Zyxel ZyWALL появилась совсем недавно. Отличие её от остальных SMB-шлюзов серий USG и VPN отражено в названии: ATP расшифровывается как Advanced Threat Protection, то есть расширенная (или «продвинутая») защита от угроз. Функционально устройства ATP близки к USG, но в ATP есть ряд дополнительных возможностей для защиты сети и клиентов. Сразу же стоит отметить, что установка шлюза ATP, а точнее межсетевого экрана, не избавляет от необходимости использования любых других средств защиты, будь то антивирусы на клиентах, разумные политики безопасности и прочие стандартные практики. Однако шлюз ATP способен снизить временные и финансовые затраты на безопасность, отсекая целый ряд угроз прямо на границе сети.

Отдельно останавливаться на базовых функциях устройства — на тесте у нас младшая модель ATP200 — мы не будем. Хотя бы потому, что даже базовое руководство пользователя занимает восемьсот с лишним страниц. И ещё на столько же тянет справочник с конкретными сценариями настроек на разные случаи жизни. Кратко ознакомиться с прародителем новинки можно в этом материале. Новинка унаследовала очень гибкую, но в то же время мощную объектно-ориентированную модель управления, позволяющую создать логично выстроенную систему многокритериальных политик. Точно так же здесь сохранены VPN-серверы (L2TP/IPSec/SSL) и контроллер точек доступа, а вот вариантов со встроенными модулями Wi-Fi нет, как и опции HotSpot (и биллинга для неё тоже).

Сравнение функциональности шлюзов Zyxel VPN/Zywall/USG/ATP
Модельный ряд VPN ZyWALLUSG ATP
Песочница (Sandboxing) Да 
Фильтр ботнет-сетей Да
Контентный фильтр Да Да Да
Патруль приложений Да (кроме USG20(W)-VPN) Да
Anti-Malware (База сигнатур от поставщика) Да (кроме USG20(W)-VPN) Да
Anti-Virus (Облачная база сигнатур от песочницы) Да Да
IDP Да (кроме USG20(W)-VPN) Да
Email Security (Антиспам) Да Да
Email Security (Антифишинг) Да
Инспекция SSL-трафика Да (начиная с VPN100) Да (начиная с ZyWALL/USG110) Да
Сервис статистики SecuReporter Да Да Да
IPSec VPN Да Да Да
SSL VPN Да Да Да
Контроллер беспроводной сети Да Да (кроме USG20(W)-VPN) Да
Подключение к облаку Amazon VPC Да Только через CLI
High Availability Pro (резервирование устройства) Да (начиная с VPN100) Да (начиная с ZyWALL/USG110) Да
Управление хот-спотами (биллинг) Да (начиная с VPN100) Да (начиная с ZyWALL/USG110)
Facebook WiFi Да Да
Режим облегченной настройки Да (только VPN50) Да (только USG20/40/60)

Sandboxing (песочница) и Anti-Malware (защита от вредоносного ПО)

Собственно потоковым антивирусом, который в реальном времени на лету сканирует и разбирает сетевой трафик, выискивая и блокируя в нём вредоносные объекты — по сигнатурам, конечно — сегодня никого не удивить. Такая функциональность была в USG, осталась и в ATP. Только движок сменился, теперь это решение компании BitDefender. Она же и занимается обновлением базового набора сигнатур (а он тут не один), которые ежедневно попадают в ATP. Помимо собственно проверки на лету, в настройках можно отдельно задать чёрный и белый списки с шаблонами имён файлов. По умолчанию также происходит распаковка архивов ZIP и RAR, в том числе вложенных. Если они, конечно, не зашифрованы. Но и на этот случай есть опция уничтожения таких архивов. Так что любой подозрительный файл попросту не попадёт на клиентские устройства.


Но это только первый уровень защиты. Второй же присутствует только в серии ATP, и это так называемая «облачная песочница». Если приходящий файл вызывает подозрения, но среди стандартных сигнатур под него ничего не найдётся, то в итоге шлюз отправит его в облако Zyxel. И вот там он уже будет открыт внутри виртуальных машин с Windows и Mac OS, где будет просканирован «взрослым» антивирусом, который проведёт полноценный анализ, включая эвристические и прочие популярные методы. И у которого нет таких строгих ограничений по вычислительной мощности и времени обработки, как у самого шлюза. Впрочем, говорится, что проверка в облаке занимает до 15 минут. Естественно, всё общение с облаком идёт по защищённым каналам.


В случае если файл действительно окажется заражённым, то для него будет создана отдельная сигнатура, которая будет добавлена в облачную базу (Cloud Threat Database). И уже эта база попадёт на все остальные шлюзы ATP. Именно такой подход, когда выявление угроз происходит «всем миром», и позволяет оперативно реагировать на свежие угрозы, включая и 0-day. Важный нюанс:  шлюз может отправлять в облако объекты размером от 32 байт до 8 Мбайт + при первом прохождении файла он не будет задержан шлюзом. Поддерживаемые облачной песочницей типы файлов на данный момент таковы: ZIP-архивы, исполняемые файлы (.exe), офисные документы (.xls, .xlsx, .pptx, .ppt, .pps, .doc ,.docx), swf-файлы (Adobe Flash), а также документы PDF и RTF. В общем, стандартный набор, который используется злоумышленниками для проникновения на машины жертв. Если этого кажется мало, то не забывайте, что всё это лишь часть комплексной системы защиты, один из барьеров.


На практике между отправкой файла в песочницу и ответом проходит минут десять. Заодно, кстати, легко выяснить, какие ресурсы отдают одинаковый файл всем, а какие могут вносить индивидуальные модификации в передачу. И даже материалы с собственных сайтов Zyxel не щадит, они тоже могут отправиться в песочницу. А вот при обращении к действительно заражённым, динамически сгенерированным файлам доступ к ним блокируется в течение минуты-другой, хотя в логах их можно увидеть практически сразу. Кроме того, почему-то в настройки песочницы вынесена и опция SafeSearch. Это довольно простая функция, которая в URL с запросом к поисковой системе принудительно добавляет ключ для активации так называемого безопасного поиска (для Google, например, это safe=active), поэтому в выдаче не будет нехорошего контента. SafeSearch умеет работать с Google, Bing, Yahoo и Яндексом.


На очевидный вопрос «А что делать с зашифрованным трафиком?» есть не менее очевидный ответ: функция инспектирования SSL (SSL Inspection). Идея очень простая — все поддерживаемые типы SSL/TLS-соединений заканчивают свой путь на шлюзе, а для клиентов создаются соединения уже от шлюза, но с собственным сертификатом. Так что на самом ATP весь такой трафик расшифрован и может быть проверен.  Естественно, на клиентских устройствах лучше импортировать «поддельный» сертификат с шлюза, чтобы приложения лишний раз не ругались (особенно современные браузеры). На данный момент поддерживаются подключения вплоть до TLS 1.2, причём по факту TLS 1.2 и 1.1 «понижаются» до 1.0 для инспекции. Поддержки TLS 1.3 нет, равно как и некоторых опций вроде компрессии или аутентификации посредством клиентского сертификата. На практике могут возникнуть проблемы с отображением некоторых сайтов, например. Впрочем, это легко решается добавлением ресурса/адреса в белый список.

ADP (обнаружение аномалий трафика) и IDP (защита от вторжений)

ADP (Anomaly Detection and Prevention) — система, которая отслеживает нетипичное поведение сетевого трафика. Под этим подразумевается выявление несоответствие RFC (фактически стандартов) и нетипичного поведения. Система ADP работает для протоколов ICMP/UDP/TCP и умеет отсекать типичные методы исследования и атак вроде спуфинга, флуда, сканирования. База выявляемых активностей обновляет вместе с прошивкой. Никаких особых настроек для ADP нет. Можно лишь выбрать уровень чувствительности, типы аномалий и зоны (сегменты сети), для которых ADP будет активна.


Если ADP работает на уровнях 2-3 OSI, то IDP (Intrusion Detection and Prevention) занимается разбором трафика на уровнях с 4 по 7. Система отслеживает попытки использования известных уязвимостей или проблем в сетевых приложениях и ОС, а также трафик, который генерируют зловреды. Да и в принципе любую сетевую активность, связанную с различного рода угрозами. Эвристических методов тут нет — поиск ведётся по регулярно обновляемой базе сигнатур. Кроме того, можно добавить собственные правила или загрузить файл сразу с пачкой правил. Собственно говоря, с помощью IDP можно заблокировать не просто какую-то вредоносную активность, но и самостоятельно отфильтровать доступ к различным сервисам, которых ещё нет в базе (или не будет, если это какая-то локальную служба, к примеру).


ADP и IDP по сути являются довольно мощной системой DPI (Deep Packet Inspection) для пакетов всех уровней. Но настраивать работу именно с пакетами не очень удобно, так что ATP, да и другие шлюзы серии USG, предлагают несколько других, более высокоуровневых систем для работы с трафиком.

AppPatrol (патруль приложений) и Content Filter (контентная фильтрация)

AppPatrol предлагает довольно удобный способ управления поведением работы сетевых приложений и протоколов или даже какой-то части их функций. Да, для некоторых приложений можно отключить часть возможностей: для Viber, например, есть отдельные настройки для собственно чата и пересылки файлов. Вообще говоря, обилие доступных сигнатур в первый раз слегка шокирует. Все они разбиты на 31 категорию и снабжены метками (тегами) + есть встроенный поиск. Всего на текущий момент в базе есть почти 3400 сигнатур. База обновляется производителем.


Идентификация и классификация трафика в AppPatrol происходит, как заявляется, на всех уровнях OSI. Во время установки соединения, если оно вообще разрешено политиками безопасности, AppPatrol анализирует первые пакеты (как минимум 8 IP-пакетов беспрепятственно проходят сквозь) — сколько именно, зависит от типа трафика — и в случае успеха находит сигнатуру и помечает ей сессию. Если же распознать ничего не удалось, то такой трафик просто игнорируется. Непосредственно в правилах AppPatrol можно сразу же запретить прохождение нужного трафика. Ну, или после классификации отправить его на дальнейшую обработку другим системам — например, для ограничения полосы пропускания.


Content Filter тоже работает с приложениями, но только с веб. В принципе, с ростом числа прикладного ПО, которое по факту является лишь обёрткой для браузера или просто обращается к API по HTTP(S), скоро уже можно вообще переименовать раздел. Но это всё лирика. Система Content Filter работает именно с HTTP(S) и занимается проверкой обращений к адресам, которые есть в базе. Отдельно отмечается, что фильтрация HTTPS-трафика  имеет меньший приоритет в сравнении с инспекция SSL. Так что при активации последней она не будет корректно работать. В любом случае для HTTPS проверяется только адрес, а не полный URL (включая и ключевые слова в нём). Отдельно можно запретить соединения с SSLv3 и более старых версий для пущей безопасности.


Всего в настройках Content Filter есть более пятидесяти категорий для различных веб-ресурсов, включая и столь любимую многими категорию рекламы, которая и правда неплохо блокируется. Полного списка самих ресурсов нет, но прямо в настройках можно проверить, к какой категории относится конкретный адрес. Имеется и функция SafeSearch, упомянутая выше. Естественно, есть опция ручного составления белых и чёрных списков для IP и URL, а также ключевых слов. Отдельно можно запретить использование элементов ActiveX, Java-апплетов, веб-прокси и cookies. Для HTTPS-запроса клиента к запрещённым в настройках категориям ресурсов соединение будет просто обрываться. А для таких же HTTP-запросов можно включить вывод уведомления и последующее перенаправление на заранее заданный URL.

Если же адрес не попадает ни в какую категорию (что случилось буквально пару раз), то будет отдана страница с предупреждением и кнопкой перехода на этот адрес (в конец URL зачем-то добавляется /___possible__unsafe__site__), а также ссылкой для отправки жалобы не неправильное определение категории. Собственно за актуализацию базы отвечает компания Cyren. И да, как и все остальные базы, она так же обновляется ежедневно.

Botnet Filter (фильтр ботнетов) и E-Mail Security (безопасность почты)

Работа Botnet Filter во многом похожа на работу Content Filter. Он точно так же блокирует обращения к IP-адресам и URL из своей базы и может отдавать клиентам страницу с предупреждением и перенаправлением. Только делает он для отдельных категорий небезопасных ресурсов. Задача Botnet Filter в том, что бы определять и пресекать попытки обращения клиентов: r известным управляющим центрам зловредов (стандартная практика для современной «заразы»); к хостам, про которые также известно, что они входят в какой-либо ботнет или в принципе небезопасны; к средствам, которые могут помочь обойти такую блокировку.


Правда, к категоризации ресурсов есть вопросы. Например, некоторые рекламные площадки записали в распространители спама и «обвинили» в фишинге и фроде, а чат Valve Steam и один видеохостинг оказались в списке спам-ресурсов. С другой стороны, эта же система успешно заблокировала пачку вполне легальных онлайн-систем для аудита безопасности (которые на шлюз и пытались натравить) и сайты VPN/прокси. Пострадали и встроенные средства для обхода блокировок вроде Opera VPN.


E-Mail Security — это обыкновенный сканер почтового трафика по протоколам SMTP/POP3. Можно создать белые и чёрные списки для фильтрации: по теме письма, адресу e-mail, IP- адресу и заголовку (header) письма (анализируются только первые 5 Кбайт). Попутно делается проверка содержимого письма на предмет зловредов, фишинга и спама. Можно подключить и внешние DNSBL-сервисы. В общем-то, это довольно стандартный набор для защиты любого почтового сервиса. Ну и в конце совсем кратко отметим, что в шлюзе есть ещё и подсистема GeoIP. Напрямую с безопасностью она не связана, но позволяет получить более удобные настройки и статистику, в том числе для систем защиты. GeoIP, как ясно из названия, позволяет определить страну IP-адреса источника/назначения, что может пригодиться для дальнейшей фильтрации/блокировки трафика по географическому принципу. 

Статистика и SecuReporter

Общая сводная статистика о состоянии шлюза и систем защиты выводится на главной странице веб-интерфейса. Единственный нюанс: для защиты есть суммарные данные о работе после последней перезагрузки и чуть более детальные сведения за последние 7 суток. Объёма общего лога системы хватает в среднем от нескольких часов до суток — в зависимости от интенсивности сообщений. Для отдельных подсистем собирается общая статистика работы с момента перезагрузки и местами наиболее важные сообщения. Мало? Ну, не совсем так. Чтобы оценить общее состояние шлюза и активности сети, этого вполне достаточно.


И самое главное! В облачной системе управления устройствами Zyxel CNM — мы уже знакомились с Nebula , одной из её составляющих — есть отдельный сервис SecuReporter . Как обычно, к нему подключается организация, пользователи и устройства. Сам же сервис занимается централизированным сбором данных от систем защиты ATP, их анализом и представлением для пользователей, генерацией и отправкой на почту сводных ежедневных и еженедельных PDF-отчётов, а также уведомлением администраторов по почте о важных событиях. При первичной настройке также придётся выбрать уровень обработки данных: полностью анонимный, частично анонимный или полный доступ. В зависимости от уровня персональные данные (имена пользователей и хостов, адреса MAC и e-mail).