Континент 4.1.5. Обзор новой версии

GeoProtection — это новый модуль в функционале межсетевого экрана Континент 4, который отвечает за использование географической принадлежности IP-адресов в правилах межсетевого экрана.

Работает это так:

1. Необходимо активировать компонент «Модуль Geo-Protection» в разделе «Структура» — «ПКМ по узлу безопасности» — «Свойства».

Ранее веб-фильтрация в Континент 4 реализовывалась с помощью создания списков в разрешенными и запрещенными сайтами, а также с помощью интеграции с Лабораторией Касперского, в рамках которой получались группы вредоносных сайтов:

• Botnet — сайты, содержащие вирусы ботнет-сети
• Malicious URLs — сайты, содержащие злонамеренные программы-вирусоносители
• Phishing URLs — фишинговые сайты

В версии Континент 4.1.5 были добавлены группы вендорских правил SkyDNS, что существенно облегчает работу с веб-фильтрацией. Так, ранее для того, чтобы запретить посещение социальных сетей, приходилось создавать список, в котором требовалось самостоятельно указывать перечень URL. И таких списков может быть несколько. Сейчас же запретить или разрешить определенную категорию веб-сайтов можно с помощью трех действий:

1. Необходимо активировать компонент «URL-фильтрация по категориям» в разделе «Структура» — «ПКМ по узлу безопасности» — «Свойства».

В версии Континент 4.1.5 добавлен механизм потоковой проверки трафика антивирусом.

Реализуется это так:

• В базу данных загружается база хэшей известных вирусных программ;
• Трафик, проходящий через Континент, анализируется и сверяется с базой хэшей. В случае совпадения сигнатур, трафик будет заблокирован и появится уведомление об обнаруженном вирусе.

Для включения антивирусной проверки в комплексе Континент 4 необходимо:

1. Активировать компонент «Антивирус» в разделе «Структура» — «ПКМ по узлу безопасности» — «Свойства».

В версии Континент 4.1.5 был добавлен механизм отправки трафика для проверки на внешнюю систему по протоколу ICAP. ICAP используется для интеграции систем контентного анализа с другими системами, например, с песочницами, DLP, и т. д.

Для интеграции с внешними системами по ICAP необходимо сделать следующие действия:

1. В разделе «Контроль доступа» — «Межсетевой экран» — «ICAP-сервисы» необходимо создать сервис, который будет отправлять трафик на дополнительную проверку на внешние системы.

Указание IP-адресов в качестве отправителя/получателя не всегда является удобным, особенно когда речь идет о динамически назначаемых адресах или о большом пуле IP-адресов, которые числятся за одним доменным именем. В таких случаях принято использовать в качестве отправителя/получателя доменные имена (FQDN).

Для использования фильтрации по FQDN необходимо сделать следующие действия:

1. В разделе «Контроль доступа» — «DNS-имена» необходимо создать объект.

«Модуль поведенческого анализа» — самообучаемый модуль, для обнаружения сетевых атак, сканирования и угроз типа «отказ в обслуживании» (DoS). Данный модуль функционировал и до версии 4.1.5. В новой версии его доработали и теперь есть возможность самостоятельно конфигурировать параметры обнаружения DoS-атак.

В Континент 4.1.5 был добавлен функционал обнаружения соседствующих узлов. Функционал комплекса позволяет сетевым устройствам комплекса принимать от других сетевых устройств той же сети информацию об их существовании и характеристиках, и, в свою очередь, отправлять аналогичную информацию о себе. Для обмена данными используется протокол LLDP.

Доступ к полученным данным о соседствующих устройствах осуществляется по протоколу SNMP. Отображение собранных данных реализовано в подсистеме мониторинга комплекса.

Настройка механизма обнаружения соседствующих сетевых устройств производится в МК в свойствах узла безопасности (МК — Структура — Узел безопасности — Свойства) на вкладке «LLDP».