Профессиональное сообщество
лидеров цифровой трансформации

Внедрение многофункционального межсетевого экрана ИКС

Заказчик
АО «ВО «Электронинторг»
Руководитель проекта со стороны заказчика
Данила Вайсбург
Начальник отдела информационной безопасности
ИТ-поставщик
Интернет Контроль Сервер
Год завершения проекта
2023
Сроки выполнения проекта
Август, 2022 - Май, 2023
Масштаб проекта
200 автоматизированных рабочих мест
Цели
АО «ВО «Электронинторг» является постоянным центром компетенций по поставкам электронной компонентной базы (ЭКБ) холдинговой компании «Росэлектроника» Государственной корпорации «Ростех». Обеспечение высокого уровня безопасности сетевого периметра, а также качественная реализация всех ИТ-процессов является ключевой задачей отдела ИБ.

Требовалось в рамках проекта по импортозамещению ПО выбрать российское решение на замену используемому ранее pfSense, новое ПО должно было обладать дружелюбным интерфейсом и надежным ядром. Также требовалось улучшение безопасности компании и настройка прозрачного прокси-сервера и осуществления контроля трафика по пользователям, контроля внешнего трафика, развертывание своей телефонии asterisk.
Результаты
Внедрение межсетевого экрана ИКС позволило оптимизировать аудит и анализ сети, также улучшились показатели по аудиту ИБ. Эффективность работы отдела ИБ по устранению и обнаружению разных вид угроз увеличилась в 5 раз. Были оптимизированы направления по конструированию отчетов и ведения учета сети.

Использование ИКС позволило перераспределить рабочие ресурсы: за счет экономии времени на администрировании сети, специалисты смогли уделять больше внимания другим ИТ-задачам.

С ИКС текущие задачи по работе с корпоративной сетью решаются намного быстрее, во многом благодаря понятному интерфейсу и профессиональной техподдержке на стороне вендора.

Уникальность проекта

Уникальность проекта заключается сразу в комплексе задач, которые должно было решить новое программное обеспечение. Внедрение единой системы вместо целого стека программ позволило не только оптимизировать расходы на ИТ, но экономить другие ресурсы отдела ИБ: сотрудникам не нужно было изучать и тестировать несколько программ, проверять их совместимость, поддерживать актуальность обновлений. С помощью ИКС были закрыты все текущие потребности.
Проект решает задачи импортозамещения
Да
Использованное ПО
В корпоративную сеть был интегрирован российский межсетевой экран ИКС. ИКС - это многофункциональное решение, объединяющее в себе все ключевые сервисы и службы для качественного управления и защиты корпоративной сети.
Также были внедрены дополнительные модули ИКС: Kaspersky Anti-Virus, обеспечивающий автоматическую проверку на вирусы, и Garnet Web Filter - специальные категории трафика, работающие на основе анализа его текстового содержимого при помощи алгоритмов машинного обучения.
ИКС был развернут как на физической машине, так и на виртуальной машине.
Физическая машина соответствует техническим требованиям:
Intel® Xeon® CPU E5 2670 @ 2.67GHz
Оперативная память 64 гб
SSD диски в первом программном рейд массиве из дисков по 480 гб

Сложность реализации
Программное обеспечение ИКС не является сложным в плане тестирования и внедрения. Интеграция ИКС в корпоративную сеть заняла около получаса, в течение этого времени были настроены LAN и WAN, чтобы ИКС уже начал выполнять самые простые функции администрирования. Все остальные сервисы настраивались поэтапно по мере потребностей, но так как есть большая база знаний, которая всегда обновляется, настройка того или иного блока не занимала больше часа.


Описание проекта
Проект включал в себя несколько этапов:

1 этап. Сбор информации о присутствующих на рынке решениях. ИКС оказался наиболее подходящим решением как по стоимости, так и по функциональной составляющей.

2 этап. Запуск пилотного проекта.

По запросу вендора, нами был заполнен опросный лист об открытых задачах и потребностях, на основании которого далее для нас была проведена индивидуальная презентация и демонстрация возможностей ИКС.

3 этап. Тестирование.

В течение 35 дней мы смогли бесплатно протестировать все функции ИКС, развернув его в своей корпоративной сети. С нами на связи всегда был персональный менеджер на стороне вендора. Со всеми сложностями, возникающими в процессе тестирования сразу помогала техническая поддержка, доступна бесплатно в течение всего тестового периода.

4 этап. Приобретение лицензии.

Помимо функций защиты сетевого периметра, с помощью данного ПО мы реализовали целый комплекс второстепенных, но не менее важных задач.

Направление ИБ

Комбинирование suricata и fail2ban позволяет защитить корпоративную как от множественных подключений, так и от разного рода атак. Kaspersky Anti-Virus, который помогает фильтровать трафик извне, обеспечивает безопасность на уровне L3. Блокировка по геолокации помогает блокировать нежелательный трафик с территорию любого государства.

Для дополнительной защиты систем используется Web application firewall (WAF), который помогает в защите веб приложений компании, защищает от брутфорса и auth bypass.

Также хочу отметить контент-фильтр (веб-фильтр) с прозрачным прокси и аудит сети - все это комплексно позволяет выстроить безопасность внутренней сети.

ИТ-отдел

С помощью ИКС в нашей компании настроена локальная сеть, DMZ сети, так же настроена локальная сеть под VLAN, настроены провайдеры: основной, резервный и дополнительный, которые помогают предоставлять интернет компании беспрерывно, переключение провайдеров для пользователей происходит незаметно.

Также был настроен полный учет и анализ сети, осуществлена привязка отделов по mac-адресам в сети, настроена утилита XAUTH, позволяющая блокировать удалено любое приложение на компьютере, настроен прозрачный прокси с подменой сертификатов, подняты ряд VPN-туннелей IPsec, OpenVPN.

Через 9 месяцев после начала использования ИКС мы убедились в эффективности данного ПО и приняли решение о расширении лицензии, подключении к использованию ИКС других отделов.

В настоящее время компания использует 4 лицензии ИКС: коммерческая лицензия на 60 пользователей, коммерческая лицензия на 100 пользователей, две бесплатные лицензии по 9 пользователей.

Дополнительно развернуто два кластера отказоустойчивости.
География проекта
Центральный федеральный округ, г. Москва
Коментарии: 3

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Данила Вайсбург
    Данила Вайсбург
    Рейтинг: 76
    Электронинторг
    Начальник отдела информационной безопасности
    15.11.2023 15:30

    Здравствуйте!
    Пишите комментарии, буду рад ответить на любой вопрос или поддержать любое обсуждение.

    Ответить
  • Сергей Афанасьев
    Сергей Афанасьев
    Рейтинг: 1086
    ГК Риквэст
    Начальник службы ИТ
    24.11.2023 12:00

    Здравствуйте!
    Вопрос по этапу 1: рассматривали ли Вы среди присутствующих на рынке отечественных решений такое, как Ideco UTM?
    Если да, то по каким критериям выбор был не в пользу Ideco UTM?

    Ответить
  • Данила Вайсбург
    Данила Вайсбург
    Рейтинг: 76
    Электронинторг
    Начальник отдела информационной безопасности
    07.12.2023 15:02

    Здравствуйте!
    Перед выбором основной системы были рассмотрены и протестированы такие решение как PT NGFW, ideco, usergate.
    Касаемо ideco;
    1) Одна из основных задачей стояла найти надежную и безопасную систему на которой выстроена база NGFW, после тестов было принято решение, что ОС FreeBSD подходит нам больше, чем Linux;
    2) Отсутствие Кластеризации;
    3) Отсутствие возможности шифрование туннелей;
    4) Отсутствие возможности использования слоёв (применения определённого набора сигнатур к определённым защищаемым объектам);
    5) Стоимость.

    Это основные 5 пунктов на которые опирался.

    Ответить
фильтр
Год
Предметная область
Отрасль
Управление
Мы используем файлы cookie в аналитических целях и для того, чтобы обеспечить вам наилучшие впечатления от работы с нашим сайтом. Заходя на сайт, вы соглашаетесь с Политикой использования файлов cookie.