WAF Dallas Lock

WAF Dallas Lock — межсетевой экран прикладного уровня, предназначенный для защиты веб-серверов, обслуживающих сайты, веб-службы и веб-приложения, от сетевых атак и нежелательного интернет-трафика.

WAF Dallas Lock включает в себя два функциональных модуля:

WAF (Web Application Firewall) — межсетевой экран уровня веб-приложений;

UTM (Unified Threat Management) — межсетевой экран уровня логических границ сети и система обнаружения вторжений уровня сети.

Соответствие требованиям ФСТЭК России

Находится на сертификации на соответствие требованиям по безопасности информации ФСТЭК России:

по 4 классу защиты МЭ (ИТ.МЭ.Б4.ПЗ) «Профиль защиты межсетевых экранов типа «Б» четвертого класса защиты» ИТ.МЭ.Б4.ПЗ
(ФСТЭК России, 2016)

по 4 классу защиты МЭ (ИТ.МЭ.Г4.ПЗ) «Профиль защиты межсетевых экранов типа «Г» четвертого класса защиты» ИТ.МЭ.Г4.ПЗ
(ФСТЭК России, 2016)

по 4 классу защиты СОВ уровня сети (ИТ.СОВ.С4.ПЗ) «Профиль защиты систем обнаружения вторжений уровня сети четвертого класса» ИТ.СОВ.С4.ПЗ
(ФСТЭК России, 2012)

по 4 уровню доверия (УД 4) «Требования по безопасности информации, устанавливающие уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий»
(ФСТЭК России, 2020)

Окончание сертификации – 3 квартал 2023 года.

НАЗНАЧЕНИЕ WAF DALLAS LOCK

Защита информации в автоматизированных системах до класса защищенности 1Г включительно

«Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992)

Защита информации в информационных системах 1 уровня защищенности персональных данных

Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

Защита информации в государственных информационных системах 1 класса защищенности

Приказ ФСТЭК России от 11 февраля 2013 г. № 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

Защита информации в автоматизированных системах управления производственными и
технологическими процессами на критически важных объектах, потенциально опасных объектах,
а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для
окружающей природной среды, 1 класса защищенности

Приказ ФСТЭК России от 14 марта 2014 г. № 31 «Об утверждении требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды»

Защита информации в значимых объектах критической информационной инфраструктуры (КИИ) до 1 категории значимости

Приказ ФСТЭК России от 25 декабря 2017 г. N 239 «Об утверждении требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации»

СХЕМА ИСПОЛЬЗОВАНИЯ

WAF Dallas Lock предназначен для защиты веб-серверов, расположенных в демилитаризованной зоне (DMZ), и сетевой инфраструктуры (LAN) от угроз, исходящих из глобальной сети Интернет (WAN).

Для удобства фильтрации и контроля трафика реализовано разделение физических интерфейсов на зоны (LAN, WAN, DMZ). За каждой зоной закреплён соответствующий профиль межсетевого экрана — набор правил, политик и сигнатур.

КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ WAF DALLAS LOCK

Высокоуровневая защита прикладной уровень — атака на веб-приложение;

Низкоуровневая защита транспортный и сетевой уровень — атака на сетевую инфраструктуру;

Защита от угроз из списка OWASP TOP 10 XSS, CSRF, bruteforce-атак;

Защита корпоративных ресурсов от информационных атак известных типов в режиме 24/7;

Анализ трафика веб-приложений и обнаружение атак (вторжений). Анализ XML-API и JSON и поддержка протокола HTTP/2. Инспекция SSL/TLS;

Отображение нагрузки на информационные ресурсы компании. Общая графическая панель мониторинга системы с отображением статистики;

Обнаружение подозрительной активности пользователей веб-приложений;

Блокирование попыток сетевых атак при работе с веб-приложениями;

Гибкая настройка правил и политик фильтрации трафика.
Возможность создавать собственные правила защиты;

Настройка параметров защиты отдельно для каждого ресурса;

Централизованный мониторинг и управление защитой нескольких веб-приложений из единой консоли;

Интеграция c SIЕМ-системами по протоколу syslog в формате leef;

Журналирование инцидентов информационной безопасности.

Средства защиты информации и где дёготь

Приветствую уважаемых хабравчан.
На Хабрахабре достаточно редки упоминания средств защиты информации (СЗИ) от несанкционированного доступа (НСД), если верить поиску. Например, по запросу Dallas я получил 26 топиков и 2 вопроса, из всего этого только один топик упоминал именно СЗИ от НСД Dallas Lock питерской фирмы ООО «КОНФИДЕНТ». По другим средствам картина похожая. В данном посте я бы хотел поделиться опытом применения таких средств и наиболее частым ошибкам/непониманиям при работе с ними.

Основные инструменты

• Secret Net от компании «Код безопасности»
• Страж NT от НПЦ «Модуль»
• Ранее упомянутый Dallas Lock

Под возможностью установки я понимаю различия архитектуры СЗИ и требования к наличию аппаратной части. К примеру, Dallas Lock (или Страж NT) перехватывают управление компьютером на этапе загрузки, не позволяя запуститься операционной системе, пока пользователь не введет пароль и не предъявит идентификатор. Различие в реализации этого механизма — Страж NT для этого использует PCI-плату расширения, которую необходимо установить внутрь ПК (в новых версиях это необязательно, в версии 2.5 тоже заявлялось, но не работало было проще воспользоваться другим СЗИ). Соответственно, на ноутбук ставился, например, Dallas Lock — вся реализация доверенной загрузки полностью программна.

Под уровнем взаимоотношений с поставщиками следует читать «возможный процент с перепродажи». Последнее время удается убедить начальство и в пунктах «качество тех.поддержки», «удобство эксплуатации».

Применение

Практически все заказы требуют аттестации локальных автоматизированных рабочих мест (АРМ). Соответственно, сетевые версии защитного ПО редко получается пощупать используются. В автономных же версиях все просто — фаворитом является Secret Net, за весьма удобную, простую и понятную настройку — полное встраивание в компоненты Windows (оснастки консолей), четкое разграничение доступа. На втором месте Страж NT — настройка более сложна и механизм мандатного контроля доступа несколько неочевиден пользователям. Dallas Lock, касательно версии 7.5, использовался крайне редко в следствии отсутствия контроля USB-устройств. С появлением версии 7.7 ситуация изменится — не в последнюю очередь из-за ценовой политики.

В сетевом варианте (соответственно, рассматриваем только Secret Net и Dallas Lock) ситуация противоположная. И менее простая. С одной стороны, удобство настроек Secret Net’а никуда не делось. Да и встраивание в Active Directory, работа через механизмы ОС достаточно проста и понятна. С другой стороны, все возможности сетевой версии (конкретно Сервера Безопасности, по терминологии Secret Net) состоят в удаленном сборе журналов, тогда как АРМ администратора безопасности в Dallas Lock позволяет удаленное манипулирование всеми настройками безопасности каждого подключенного клиента. Зачастую это является решающим фактором в выборе СЗИ. Однажды мне пришлось выслушать много удивления и разочарования от администратора заказчика, когда он увидел свою обновленную вотчину. К сожалению, заказчик завязан на «Информзащите» и приобрести продукт «Конфидента» было невозможно.

Проблемы

Многие ошибки возникают просто из-за невнимательности или непонимания принципов работы конкретного СЗИ. Понятно, что справка/руководство спасет отца русской демократии поможет в разрешении ситуации, однако зачастую проще вызвать интегратора системы защиты. Естественно, проблема будет устранена — но потеряно время. Как заказчика, так и интегратора. Я хочу поделиться личным опытом, который возможно поможет в разрешении наиболее типичных жалоб пользователя.

Secret Net

Фаворит — он везде фаворит

Многие проблемы возникают из-за незнания практически фундаментального свойства установленного СЗИ — все папки создаются в файловой системе всегда несекретными, а файлы — с текущим уровнем секретности сессии, который можно проверить во всплывающем окошке:

Часто возникает проблема неработоспособности офисного пакета (Word, Excel). К слову, не стоит забывать что с OpenOffice.org СЗИ не работает. Ошибки могут быть самыми разными, но причина у всех одна — не были корректно настроены папки, необходимые для проведения служебных операций, по мандатному разграничению доступа. Полный список папок приведен в документации, а конкретные проблемы всегда можно диагностировать через журнал Secret Net — в журнале появляется информация о любых действиях программы. При назначении мандатных меток файлам и папкам, следует помнить что гриф папки должен быть максимально допустимый для конкретного АРМ, так как Secret Net позволяет хранить в папках любые файлы грифом не выше грифа папки. Соответственно, если запущен Microsoft Word в секретной сессии — для записи файлов автосохранения ему нужен гриф «секретно» на определенной папке.

Встречаются ситуации, когда производится установка ПО в режиме, отличном от «не секретно». Конечно, стоит перелогиниться и выбрать не секретную сессию, чтобы все заработало:

В случае, когда на АРМ допустимо использовать USB-флэш накопители, бывает невозможно скопировать большие объемы данных, рассортированных по папкам. Здесь все то же самое — вновь созданная папка стала несекретной, а файлы автоматом получают текущий гриф. Если же использовать флэшки запрещено, то при попытке подключения таковой ПК блокируется — за это отвечают выделенные два параметра, выставленные в «жесткий»:

Если пользователи непрерывно жалуются на медленную работу компьютера, а в организации используется антивирус Касперского, стоит проверить версию — часто версия 6.0.3 оказывается несвоместима с SecretNet 5.x. Вот так тормоза точно исчезнут:

И напоследок — небольшая тонкая настройка может сильно облегчить жизнь пользователям и сохранить их нервы, если обратиться к ветке реестра HKLM\System\CurrentControlSet\Services\SNMC5xx\Params (для 5.х версий), где можно найти два строковых параметра — MessageBoxSuppression (и второй -ByDir), где указываются расширения файлов или папки, для которых не будут выводиться диалоговые окна о повышении категории конфиденциальности ресурса.

Страж NT

Для этого СЗИ проблемы встречаются гораздо реже (как минимум у наших клиентов), что может говорить о более дружелюбном к пользователю механизму защиты.

Непонимание в случае данного ПО связано с необходимостью выбора уровня секретности каждого приложения отдельно и невозможности делегировать какие-либо права стандартному проводнику. Соответственно, если на АРМ есть прописанные USB-флэш диски и они секретны, попытка открыть их проводником приведет к ошибке доступа. Следует выбрать установленный файловый менеджер, выбрав при запуске гриф допуска, соответствующий секретности флэшки.

Также, если при открытии документа Word/Excel сначала появляется окно выбора грифа секретности, а далее разворачивается окно соответствующего редактора без запрошенного документа — это нормально. Следует открыть файл повторно, используя уже само офисное приложение.

Dallas Lock

Как и в случае Стража, ошибок крайне мало — не подходили пароли, пропадал параметр «категория конфиденциальности» с окна логина и ошибка привязки электронного идентификатора.

Первая ошибка связана с возможным использованием двух паролей — для Dallas Lock’а и Windows можно установить разные, в том числе и случайно (например, сменой пароля администратором). В подобном случае можно после загрузки окна приветствия Windows ввести пароль Dallas Lock и нажав «ОК» в диалоге несовпадения пароля СЗИ и ОС, ввести пароль пользователя Windows и отметить галочку «Использовать в Dallas Lock».

Вторая связана со скрытым по-умолчанию полем выбора грифа сеанса. Бывает, пользователи забывают об этом — а потом жалуются, что не могут попасть даже в папки с грифом ДСП.

Электронный идентификатор может не привязываться, если эту операцию делают для администратора, или если используемый токен не подходит по версии. Так, в версии 7.5 применимы eToken 64k с драйвером eToken RTE. Давно доступный eToken PKI не подойдет, равно как и eToken 72k Java, к примеру.

Наша компания

Компания «Конфидент» работает на российском рынке услуг в области информационной безопасности с 1992 года.

Центр защиты информации компании «Конфидент» – российский разработчик линейки сертифицированных средств защиты информации. Продукты компании применяются для защиты конфиденциальной информации, в том числе содержащейся в ГИС, ИСПДн, АСУ ТП и значимых объектах КИИ, а также сведений, составляющих государственную тайну до уровня «совершенно секретно» включительно.

Решения компании «Конфидент» регулярно проходят инспекционный контроль, подтверждая надежность и качество новых функциональных возможностей. Они одинаково эффективны для защиты как малых сетей, так и масштабных сетевых инфраструктур.

ЦЗИ компании «Конфидент» активно развивает партнерскую сеть. Сегодня в ее состав входят более 700 партнеров по всей территории России, включая ведущих интеграторов и региональные аттестационные центры.

Центр защиты информации осуществляет свою деятельность на основании лицензий ФСТЭК России, ФСБ России, Роскомнадзора и Минобороны России.

Сертификаты
Dallas Lock 8.0 редакций «К» и «С» — ESET NOD 32
Dallas Lock 8.0-K — VPN/FW «Застава»
Dallas Lock 8.0 — eToken Network Logon
Dallas Lock 8.0 — InfoWatch Traffic Monitor
Сертификат совместимости Dallas Lock 8.0 редакций «К» и «С» — Vip Net CUSTOM 3.1.

Сертификат совместимости Dallas Lock 8.0редакций «К» и «С» — программное решение «Контур информационной безопасности Searchinform 4.0».

Одно письмо в месяц с самыми интересными новостями о продукции Dallas Lock

Новые продукты, приглашения на экспертные вебинары, информация о сертификатах, ответы на часто задаваемые вопросы и многое другое.

При подготовке материала использовались источники:
https://dallaslock.ru/products/waf-dallas-lock/
https://habr.com/ru/articles/134861/
https://dallaslock.ru/