Лекция №23

Обнаружение и предотвращение вторжений

Оглавление

Введение.

1. Обнаружение вторжений системой IPS

1.1. Обнаружение аномального поведения

1.2. Обнаружение злоупотреблений

2. Предотвращение вторжений в ИС

2.1. Предотвращение вторжений системного уровня

2.2. Предотвращение вторжений сетевого уровня

2.3. Защита от DDoS-атак

2.4. Отечественное оборудование IPS

Введение.

Системы предотвращения вторжений IPS (Intrusion Prevention System) предназначены обеспечить безопасность защищаемых объектов от воздействия, которое признано вторжением в ИС.

Системы IPS оказались настолько популярными, что некоторые производители стали рекламировать свои IDS (Intrusion Detection System) как системы предотвращения атак, то есть IPS, тем самым незаслуженно открывая для себя новые рынки и новых клиентов.

На самом деле системы предотвращения вторжений IPS существенно превосходят по своим возможностям системы обнаружения вторжений IDS. Системы IPS объединяют целый ряд технологий безопасности и достаточно далеко продвинулись по сравнению со своими предшественниками – системами обнаружения вторжений IDS.

Сокращение

на англ.

IPS IDS
Англ. Intrusion Prevention System Intrusion Detection System
Русск. Система предотвращения вторжений Система обнаружения вторжений
Сокращение на русск. СПВ СОВ

Средства системы обнаружения и предотвращения вторжений IPS автоматизируют указанные процессы и необходимы в организации любого уровня, чтобы предотвратить ущерб и потери, к которым могут привести вторжения.

В отличие от системы IDS, признаками настоящей системы IPS являются следующие:

      • система IPS функционирует в режиме in-line (пропускает трафик через себя) на скорости канала. Иначе говоря, решение IPS не снижает скорости передачи данных;
      • система IPS обеспечивает сборку передаваемых пакетов в правильном порядке и анализирует эти пакеты с целью обнаружения следов несанкционированной активности;
      • во время анализа используются различные методы обнаружения атак – сигнатурный и поведенческий, – а также идентификация аномалий в протоколах;
      • система IPS в состоянии блокировать вредоносный трафик.

Таким образом, чтобы получить систему IPS из IDS, надо не только заменить одну букву в названии, но и изменить принципы работы решения, добавив новые технологии.

При рассмотрении IPS применяют классификацию, унаследованную от систем обнаружения вторжений, – деление средств предотвращения вторжений на сетевые и хостовые.

Сетевая cистема NIPS (Network-based IPS) представляет средство предотвращения вторжений сетевого уровня, которое находится на пути передачи сетевого трафика и осуществляет его мониторинг. Основная задача сетевой NIPS – защита группы хостов сети от возможных атак путем анализа передаваемого трафика и блокирования трафика, связанного с проведением атак.

Хостовая cистема HIPS (Host-based IPS) – это средство предотвращения вторжений уровня хоста, которое располагается на конкретном хосте и обеспечивает его защиту от разрушающих воздействий путем анализа сетевого трафика, поведения приложений, активируемых системных вызовов и т. п.

В системе предотвращения вторжений IPS выделяют также средства защиты от распределенных атак типа «отказ в обслуживании».

Во многих средствах защиты сегодня объединены возможности обнаружения и блокирования вторжений, поэтому иногда их условно называют продуктами IDS/IPS.

Однако для эффективной защиты применения только средств IPS оказывается недостаточно – желательно заранее знать слабые места (уязвимости) ИС, через которые злоумышленники могут успешно осуществить атаку. Уязвимостями могут стать слабые пароли, несоответствия в настройках сетевых устройств, уязвимости операционных систем и приложений и т. п.

Для поиска и выявления таких уязвимостей существуют специализированные средства – сканеры уязвимости (Vulnerability Assessment). Их использование в ИС существенно повышает уровень защиты: определив слабые места, администратор безопасности может предпринять соответствующие меры по их устранению до того, как злоумышленник воспользуется ими. В последнее время стали появляться специализированные средства, которые обеспечивают автоматический процесс устранения уязвимостей, но пока подобные решения предлагают немногие производители.

Чтобы максимально снизить риск негативного воздействия атак, необходимо объединить средства IPS, сканеры уязвимости и средства устранения уязвимостей в единую подсистему с централизованным управлением.

Рис. 1. Подсистема предотвращения вторжений в ИС.

Решение по предотвращению вторжений состоит из сенсоров, одного или нескольких серверов управления, сканеров уязвимости, средств устранения уязвимостей, консоли оператора и администраторов. Иногда выделяется внешняя база данных для хранения информации о событиях информационной безопасности и их параметров.

Сканеры уязвимости осуществляют поиск и выявление уязвимостей в КИС. Сервер управления получает информацию от сенсоров обнаружения атак и управляет ими. Обычно на серверах осуществляются консолидация и корреляция событий. Для более глубокой обработки важных событий средства предотвращения вторжений системного уровня интегрируются с подсистемой мониторинга и управления инцидентами.

Консоли представляют интерфейсы для операторов и администраторов подсистемы. Обычно это программное средство, устанавливаемое на рабочей станции. Для организации централизованного администрирования, управления обновлениями сигнатур, управления конфигурациями применяется интеграция с подсистемой управления средствами защиты организации.

Необходимо учитывать, что только комплексное использование разных типов средств подсистемы позволяет достигнуть всестороннего и точного обнаружения и предотвращения вторжений.

Обнаружение вторжений системой IPS

В процессе выявления вторжений используются следующие методы анализа событий:

      • обнаружение аномального поведения (Anomaly-based), при котором определяются аномальные (ненормальные) события;
      • обнаружение злоупотреблений (Misuse Detection или Signature-based), при котором событие или множество событий проверяются на соответствие заранее определенному образцу (шаблону), описывающему известную атаку. Шаблон известной атаки называется сигнатурой.

Обнаружение аномального поведения

Технология обнаружения атак путем идентификации аномального поведения основана на следующей гипотезе. Аномальное поведение пользователя (то есть атака или какое-нибудь враждебное действие) часто проявляется как отклонение от нормального поведения. События при попытке вторжения отличаются от событий нормальной деятельности пользователей или взаимодействия узлов сети и могут, следовательно, быть определены.

Примером аномального поведения могут служить большое число соединений за короткий промежуток времени, высокая загрузка центрального процессора и т. п. Сенсоры собирают данные о событиях, создают шаблоны нормальной деятельности и используют различные метрики для определения отклонения от нормального состояния. Если можно было бы однозначно описать профиль нормального поведения пользователя, то любое отклонение от него можно идентифицировать как аномальное поведение. Однако аномальное поведение не всегда является атакой. Например, одновременную посылку большого числа запросов от администратора сети подсистема обнаружения атак может идентифицировать как атаку типа «отказ в обслуживании».

При использовании такой технологии возможны два крайних случая:

      • обнаружение аномального поведения, которое не является атакой, и отнесение его к классу атак;
      • пропуск атаки, которая не подпадает под определение аномального поведения.

Второй случай более опасен, чем ложное отнесение аномального поведения к классу атак.

При настройке и эксплуатации систем этой категории администраторы сталкиваются со следующими проблемами:

      • построение профиля пользователя является трудно формализуемой и трудоемкой задачей, требующей от администратора большой предварительной работы;
      • определение граничных значений характеристик поведения пользователя для снижения вероятности появления одного из двух вышеназванных крайних случаев.

Технология обнаружения аномалий ориентирована на выявление новых типов атак. Однако ее недостаток – необходимость постоянного обучения. Пока технология обнаружения аномалий не получила широкого распространения. Связано это с тем, что данная технология трудно реализуема на практике. Однако сейчас наметился определенный интерес к ней.

Обнаружение злоупотреблений

Суть другого подхода к обнаружению атак – обнаружение злоупотреблений – заключается в описании атаки в виде сигнатуры (Signature) и поиске данной сигнатуры в контролируемом пространстве (сетевом трафике или журнале регистрации).

В качестве сигнатуры атаки может выступать шаблон действий или строка символов, характеризующие аномальную деятельность.

Эти сигнатуры хранятся в базе данных, аналогичной той, которая используется в антивирусных системах. Следует заметить, что антивирусные резидентные мониторы являются частным случаем подсистемы обнаружения атак, но поскольку эти направления изначально развивались параллельно, то принято разделять их. Поэтому данная технология обнаружения атак очень похожа на технологию обнаружения вирусов, при этом система может обнаружить все известные атаки. Однако системы данного типа не могут обнаруживать новые, еще не известные виды атак.

Подход, реализованный в таких системах, достаточно прост, и именно на нем основаны практически все системы обнаружения атак. Однако при эксплуатации и этих систем администраторы сталкиваются с проблемами. Первая проблема заключается в создании механизма описания сигнатур, то есть языка описания атак. Вторая проблема, связанная с первой, заключается в том, как описать атаку,

чтобы зафиксировать все возможные ее модификации.

Следует отметить, что для достоверного обнаружения факта вторжения недостаточно найти некий характерный шаблон трафика, или сигнатуру. Для успешного обнаружения вторжений современная IPS должна обладать следующими свойствами и функциями:

      • использовать знания о топологии защищаемой сети;
      • проводить анализ сеанса взаимодействия с учетом протоколов, используемых для передачи данных;
      • выполнять восстановление фрагментированных IP-пакетов до их анализа, не передавать фрагменты IP-дейтаграмм без проверки;
      • отслеживать попытки создания перекрывающихся фрагментов IP-дейтаграмм, попытки перезаписи содержимого TCP- сегментов и предотвращать их;
      • обеспечивать проверку соответствия логики/форматов работы по протоколу соответствующим RFC;
      • выполнять статистический анализ данных;
      • поддерживать механизмы сигнатурного поиска;
      • обладать возможностью обучения и самообучения.

Кроме того, поскольку IPS может принимать решения о блокировании трафика, необходимо обеспечить надежное и безопасное удаленное управление IPS.

Средства конфигурирования IPS должны быть удобны для конечных пользователей. Большинство IPS поддерживают возможность задания пользовательских правил обнаружения вторжений для возможности подстройки IPS под конкретную среду или требования конкретного заказчика.

Предотвращение вторжений в ИС

Система обнаружения и предотвращения вторжений IPS охватывает решения следующих задач:

      • предотвращение вторжений системного (хостового) уровня;
      • предотвращение вторжений сетевого уровня;
      • защита от DDoS-атак.

Предотвращение вторжений системного уровня

Средства предотвращения вторжений системного (хостового) уровня HIPS (Host-based IPS) действуют на уровне информационных узлов. Подсистема HIPS обеспечивает незамедлительное блокирование атак системного уровня и оповещение ответственных лиц.

Агенты (локальные сенсоры) обнаружения атак системного уровня собирают информацию, отражающую деятельность, которая происходит в отдельном информационном узле. Средства HIPS анализируют файлы журнала и ведут мониторинг пользовательской, сетевой и системной активности на узле информационной системы. Логически локальные сенсоры устанавливаются между ядром

ОС и пользовательским приложением. Локальные сенсоры перехватывают вызовы, обращенные к системе, сопоставляют их с правилами доступа, определенными политикой безопасности, и затем разрешают или запрещают доступ к ресурсам. Некоторые локальные сенсоры сличают запросы с БД известных сигнатур атак или аномального поведения.

Преимуществами данной подсистемы являются возможность контроля доступа к информационным объектам узла, проверка их целостности, регистрация аномальной деятельности конкретного пользователя.

К недостаткам можно отнести невозможность обнаружения комплексных аномальных событий, необходимость установки средств HIPS на все защищаемые узлы. Кроме того, уязвимости операционной системы могут нарушить целостность и работу сенсоров.

Средства предотвращения вторжений системного (хостового) уровня HIPS могут быть установлены на рабочей станции или сервере. При этом IPS уровня хоста реализуется несколькими способами:

      • в виде программного обеспечения, интегрированного в операционную систему. Пока все решения ограничиваются ОС семейства UNIX;
      • в виде прикладного ПО, устанавливаемого на рабочей станции или сервере поверх операционной системы. Выпускается многими производителями: IBM (IBM Internet Security Systems), ESET (ESET NOD32 Smart Security), McAfee, Лаборатория Касперского (Kaspersky Internet Security) и др. Кроме отражения сетевых атак, такие IPS обладают еще большим количеством полезных функций: контроль доступа к USB, создание замкнутой программной среды, контроль

Предотвращение вторжений сетевого уровня

Подсистема предотвращения вторжений сетевого уровня NIPS (Network-based IPS ) обеспечивает немедленное блокирование сетевых атак и оповещение ответственных лиц. Преимуществом применения средств сетевого уровня является возможность защиты одним средством сразу нескольких узлов или сегментов сети.

Программные или программно-аппаратные средства Network IPS (сетевые сенсоры) анализируют сетевой трафик определенных узлов или сегментов сети, а также сетевые, транспортные и прикладные протоколы взаимодействия.

Для обнаружения вторжения используется либо сравнение битной последовательности проходящего потока данных с эталонным образцом (сигнатурой) атаки, либо фиксация подозрительной (аномальной) сетевой активности посредством анализа сетевого трафика или нарушений правил политики безопасности. В случае обнаружения попыток атаки применяются меры противодействия.

В качестве мер противодействия могут выполняться:

      • блокирование выбранных сетевых пакетов;
      • изменение конфигурации средств других подсистем обеспечения информационной безопасности (например, межсетевого экрана) для более эффективного предотвращения вторжения;
      • сохранение выбранных пакетов для последующего анализа;
      • регистрация событий и оповещение ответственных лиц.

Дополнительной возможностью данных средств является сбор информации о защищаемых узлах. Для получения информации о защищенности и критичности узла или сегмента сети применяется интеграция с подсистемой контроля эффективности защиты информации.

IPS сетевого уровня могут быть реализованы как:

      • выделенные аппаратные устройства (Security Appliance), которые могут быть установлены на периметре корпоративной сети и в ряде случаев внутри нее. Такие устройства – наиболее распространенный вариант. Основными производителями подобных средств являются компании Check Point, Cisco Systems (Cisco ASA), Fortinet (FortiGate), Palo Alto (Palo Alto Networks PA-xxxx).
      • решения, интегрированные в инфраструктуру корпоративной сети.

Решения, интегрированные в инфраструктуру, гораздо эффективнее выделенных аппаратных устройств:

      • стоимость интегрированного решения ниже стоимости автономного (Stand-alone) устройства;
      • ниже и стоимость внедрения (финансовая и временная) такого решения – можно не менять топологию сети;
      • надежность выше, так как в цепочке прохождения трафика отсутствует дополнительное звено, подверженное отказам;
      • интегрированные решения предоставляют более высокий уровень защиты за счет более тесного взаимодействия с за щищаемыми ресурсами.

Сама интеграция может быть выполнена различными путями:

      • использование маршрутизатора (Router) – самый распространенный способ. В этом случае система IPS становится составной частью данного устройства и получает доступ к анализируемому трафику сразу после поступления его на определенный интерфейс. Система IPS может быть реализована в виде отдельного модуля, вставляемого в шасси маршрутизатора, или как неотъемлемая часть операционной системы маршрутизатора. Первой в данном направлении развития систем IPS стала компания Cisco Systems. Однако система IPS, интегрированная в маршрутизатор, умеет отражать атаки только на периметре сети, оставляя внутренние ресурсы без защиты;
      • использование коммутаторов локальной сети (Switch), в которые могут быть внедрены механизмы предотвращения атак, причем как в составе ОС, так и в виде отдельного аппаратного модуля. Эту технологию интеграции IPS в коммутаторы реализовала Cisco Systems в своем семействе Cisco Catalyst;
      • использование точек беспроводного доступа (Wireless Access Point), через которые может проходить трафик, нуждающийся в анализе. По пути интеграции пошли такие производители, как Cisco Systems и HPE Aruba, оснастившие свое оборудование необходимыми функциями. Подобные системы, помимо обнаружения и предотвращения различных атак, умеют определять местонахождение несанкционированно установленных беспроводных точек доступа и клиентов.

Рис. 2. Схема предотвращения вторжений сетевого уровня на основе продуктов компании Cisco Systems

Пример схемы предотвращения вторжений сетевого уровня на основе продуктов Cisco Systems приведен на рис. 2.

https://i.ebayimg.com/00/s/Mzk4WDE2MDA=/z/dcAAAOSwlAZahI04/$_57.JPG?set_id=8800005007

Рис. 3. Устройство безопасности Cisco ASA 5540 с модулем SSM-40 (Adaptive Security Appliance — Адаптивное устройство безопасности).

https://enxo.ru/upload/iblock/300/300df259700792004272a47a5cbc0886.jpg

Рис. 4. Модуль Cisco ASA-SSM-AIP-40-K9 (Advanced Inspection and Prevention Security Services Module).

Анализ подсистем Network IPS и Host IPS приведена в табл. 1.

Таблица 1. Анализ достоинств и недостатков подсистем Network IPS и Host IPS

Достоинства Недостатки
Network IPS (NIPS)
Широта применения – целая сеть может быть покрыта одним сетевым сенсором.

Минимальные неудобства от установки обновлений сигнатур и обновлений ПО сенсоров.

Предотвращение DoS-атаки. Возможность обнаружения ошибок сетевого уровня в стеке TCP/IP. Независимость от ОС информационных узлов

Наряду с верными бывают и ложные срабатывания.

Не может анализировать зашифрованный поток данных. Новые виды или варианты атак не будут выявлены в случае отсутствия сигнатуры данной атаки.

Задержка во времени между моментом обнаружения атаки и моментом оповещения (тревоги).

Затруднен анализ пакетов в случае перегруженной сети.

Отсутствуют уведомления об успешности атаки

Host IPS (HIPS)
Возможность связывать пользователя с событием.

Может обнаруживать атаки,

не зафиксированные сенсорами NIPS.

Может проводить анализ данных, расшифрованных на узле.

Возможность предоставления информации об узле в течение атаки на него

Для защиты нескольких узлов сенсоры должны быть установлены на каждом из них.

Если ОС взломана в результате атаки, то перестает функционировать и сенсор, установленный на данном узле.

Сенсор не способен обнаруживать деятельность сетевых сканеров.

Сенсоры могут быть неэффективными в случае DoS-атаки на узел.

Для функционирования необходимы дополнительные ресурсы

Защита от DDoS-атак

Одним из наиболее критичных по последствиям классом компьютерных атак являются распределенные атаки типа «отказ в обслуживании» DDoS (Distributed Denial of Service), направленные на нарушение доступности информационных ресурсов.

Эти атаки осуществляются с использованием множества программных компонентов, размещаемых на хостах в сети Интернет.

Они могут привести не только к выходу из строя отдельных узлов и сервисов, но и остановить работу корневых DNS-серверов и вызвать частичное или полное прекращение функционирования сети.

Основная цель защиты против DDoS-атак заключается в предотвращении их реализации, точном обнаружении этих атак и быстром реагировании на них. При этом важно также эффективно распознавать легитимный трафик, который имеет признаки, схожие с трафиком вторжения, и обеспечивать надежную доставку легитимного трафика по назначению.

Общий подход к защите от атак DDoS включает реализацию следующих механизмов:

      • обнаружение вторжения;
      • определение источника вторжения;
      • предотвращение вторжения.

Система защиты предприятий от DDoS-атак. При разработке данного решения необходим комплексный подход для построения системы защиты, способной защитить не только отдельные серверы предприятия, но и каналы связи с соответствующими операторами связи. Решение представляет собой многоуровневую систему с четко выстроенной линией обороны. Внедрение решения позволяет повысить защищенность корпоративной сети, устройств маршрутизации, канала связи, почтовых, веб- и DNS-серверов.

Внедрение такой системы защиты целесообразно в следующих случаях:

      • осуществление компаниями своего бизнеса через Интернет;
      • наличие корпоративного веб-сайта компании;
      • использование сети Интернет для реализации бизнес-процессов.

Схема защиты предприятия от DDoS-атак представлена на рис. 13.3.

В данном решении применяются сенсоры обнаружения аномалий, просматривающие проходящий внешний трафик в непрерывном режиме. Данная система находится на границе с оператором связи, таким образом, процесс очистки начинается еще до попадания трафика атаки во внутреннюю сеть компании.

Рис. 5. Схема защиты предприятий от DDoS-атак

Метод обнаружения аномалий не может обеспечить стопроцентную вероятность очистки трафика, поэтому появляется необходимость интеграции с подсистемами предотвращения атак на сетевом и системном уровнях.

Кроме того, при реализации данного решения необходимо принять меры дополнительной безопасности, позволяющие укрепить сеть оператора связи и подготовить ее для быстрого противодействия и максимальной защиты от сетевых угроз различных видов.

Решение для операторов связи по обнаружению и подавлению DDoS-атак. Данное решение позволяет операторам связи предложить своим клиентам защиту от распределенных DDoS-атак и одновременно укрепить, и защитить собственные сети. Фундаментальной задачей решения являются удаление аномального трафика из канала связи и доставка только легитимного трафика.

Бизнес-преимущества внедряемого решения:

      • возможность предложить новый сервис высокого уровня с перспективой масштабирования для больших, средних и малых предприятий;
      • возможность позиционировать себя как доверенное лицо, участвующее в предотвращении ущерба и потерь клиентов;
      • улучшение управляемости сетевой инфраструктурой;
      • возможность предоставления абонентам отчетов об атаках.

Провайдер услуг может предлагать защиту от DDoS-атак своим корпоративным клиентам по двум схемам:

      • выделенная услуга – подходит для компаний, бизнес которых связан с сетью Интернет: это компании, занимающиеся онлайновой торговлей, финансовые структуры и другие предприятия электронной коммерции. Выделенная услуга обеспечивает возможность очистки передаваемого трафика,

а также дополнительные возможности обнаружения DDoS- атак и активацию процедур очистки трафика по требованию клиента;

      • услуга коллективного пользования – предназначена для корпоративных клиентов, которым необходим определенный уровень защиты от DDoS-атак для своих онлайновых сервисов. Однако эта проблема не стоит для них остро. Услуга предлагает возможность очистки трафика коллективно для всех клиентов и стандартную политику для обнаружения DDoS-атаки.

Рис. 6. Архитектура решения для операторов связи по обнаружению и подавлению DDoS-атак

На рис. 6. показана архитектура решения для операторов связи по обнаружению и подавлению DDoS-атак.

Архитектура решения предлагает упорядоченный подход к обнаружению распределенных DDoS-атак, отслеживанию их источника и их подавлению.

В начале своей работы средствам защиты от DDoS-атак необходимо пройти процесс обучения и создать модель нормального поведения трафика в пределах сети, используя поток данных, доступный с маршрутизаторов.

После обучения система переходит в режим мониторинга трафика, и в случае обнаружения аномальной ситуации системному администратору отправляется уведомление. Если атака подтверждается, администратор безопасности сети переводит устройство очистки трафика в режим защиты.

Также возможно настроить устройства мониторинга на автоматическую активацию средств очистки трафика в случае обнаружения аномального трафика. При включении режима защиты средство фильтрации изменяет таблицу маршрутизации граничного маршрутизатора с целью перенаправления входящего трафика на себя и производит его очистку. После этого очищенный трафик перенаправляется в сеть.

Достоинства данного решения:

      • мгновенная реакция на DDoS-атаки;
      • возможность включения системы только по требованию обеспечивает максимальную надежность и минимальные затраты на масштабирование.

Отечественное оборудование IPS

Рис. 7. Комплексы «Рубикон»

Комплекс «Рубикон» (АО «НПО «Эшелон») выполняет функции межсетевого экрана, системы обнаружения вторжений и однонаправленного шлюза. Предназначен для использования в информационных системах, обрабатывающих информацию, составляющую государственную тайну.

Преимущества

«РУБИКОН» является программно-аппаратным комплексом, что упрощает его внедрение, эксплуатацию и сопровождение.

  • производительность МЭ: до 9Gb/s;
  • производительность СОВ: до 3Gb/s;
  • производительность маршрутизации: до 9 Gb/s;
  • возможность горячего резервирования: на уровне устройств (VRRP, Ethernet Bypass), на уровне портов (VLAN bonding), на уровне каналов связи (динамическая маршрутизация OSPF);
  • поддержка мандатных меток отечественных защищенных операционных систем в сетевом трафике;
  • возможность интеграции с системой мониторинга событий информационной безопасности «KOMRAD Enterprise SIEM»;
  • модульная структура аппаратных платформ;
  • возможность конфигурации до 64 портов в одном комплексе.

Технические характеристики

  • имеет в своем составе сертифицированную систему обнаружения вторжений (СОВ);
  • администрирование межсетевого экрана выполняется по защищенному протоколу HTTPS, устойчивому к перехвату информации;
  • обнаружение атак: web-службы, по служебным протоколам (в том числе SMTP, POP, SNMP, TELNET, FTP), на известные базы данных, DOS и DDOS атак, другие специфические атаки;
  • обеспечивает фильтрацию сетевых пакетов и осуществляет разграничение доступа пользователей к ресурсам сети на основе заданных правил. Поддержка фильтрации пакетов с мандатными метками Astra Linux и МСВС;
  • производит трансляцию сетевых адресов. Это дает возможность скрыть структуру внутренней сети от внешних субъектов и расширяет возможности использования произвольных диапазонов внутренних IP-адресов;
  • обеспечивает построение однонаправленного шлюза для связи сегментов с различными уровнями секретности;
  • высокая скорость работы;
  • количество сетевых портов — до 64 свободно конфигурируемых интерфейсов (Ethernet 100/1000 Base-T и оптических на основе SFP модулей);
  • возможность горячего резервирования;
  • поддержка оптических интерфейсов;
  • обновление базы правил СОВ;
  • возможна поставка в пяти вариантах исполнения.

Рис. 8. АПКШ «Континент» IPC-1000

Модельный ряд СОВ «Континент» (Компания «Код Безопасности») позволяет находить решения для организации связи с удаленными подразделениями, филиалами или партнерами по каналам связи с различной пропускной способностью. Вы можете выбрать вариант «Континента», который наиболее полно соответствует потребностям Вашего предприятия.