«Код проверяли буквально по строчкам» — о том, как наш межсетевой экран проходил сертификацию ФСТЭК
Как известно, 9 декабря 2016 года вступили в силу Требования к межсетевым экранам, утвержденные в Информационном сообщении ФСТЭК от 28 апреля 2016 года. Все МЭ – производимые, поставляемые и разрабатываемые – к моменту вступления Требований в силу должны быть сертифицированы. Сегодня на рынке сертификатом могут похвастать всего несколько компаний, среди них и “Смарт-Софт”. Поскольку мы прошли через все тернии сертификации, мы совсем не удивлены, почему так мало тех, кто дошел до конца. Мы расскажем, как мимикрировал наш продукт под новые условия, поделимся особенностями проверки со стороны государства и покажем, была ли от доработок польза для конечного пользователя. Впрочем, обо всём по порядку.
Для производителей МЭ заинтересованность в сертификации очевидна: это «пропуск» на рынок B2G (другими словами, в государственные организации — медучреждения, школы, ВУЗы и т.д.). Ряд специалистов, однако, уже высказывал сомнения по поводу реальной пользы сертификата для потребителя. В частности, было отмечено, что от производителя не требуется добавлять функцию обновления продукта. При этом вредоносное ПО развивается постоянно, и изначальная сертифицированная версия от актуальных вирусных угроз отстанет очень быстро.
Так в чем польза? Неясно было, станет ли администратору удобнее работать с МЭ после сертификации: никаких требований по централизованному управлению, режимам работы и т.д. не высказывалось. Были вопросы и менее критичные: зачем требовать отправку стольких оповещений? Очевидно было и то, что сертификацию пройти непросто: компаниям потребуются новые экспертизы (например, юридическая поддержка имеется не у всех поставщиков ИТ-услуг).
Особенности сертификации МЭ Traffic Inspector Next Generation
Немного об объекте проверки. Универсальный шлюз безопасности Traffic Inspector Next Generation — программно-аппаратное решение по сетевой безопасности. Разворачивается в качестве шлюза на границе сети и служит входной точкой в сеть. Администрируется через веб-интерфейс по защищенному HTTPS-подключению и по протоколу SSH с использованием терминальной программы. В качестве среды выполнения использует ОС FreeBSD 10.
По классификации Gartner относится к UTM (unified threat management), инспекция и фильтрация пакетов позволяют отнести его к NGFW — фаерволлам следующего поколения.
Основано решение на открытом коде проекта OPNsense.
Прохождение сценариев тестирования
В сентябре 2016 года мы начали взаимодействие с испытательной лабораторией ЗАО «Документальные системы» для прохождения сертификации, в декабре лаборатория приступила к анализу предоставленного дистрибутива. Сертификация ФСТЭК была довольно скрупулезной. Проверяли не только программный код продукта и его модулей, но и базовую операционную систему. Проверка на прохождение сценариев тестирования заняла несколько месяцев. Доработки были вначале небольшими: блокирование конкретного трафика, создание оповещений о различных событиях.
Пришлось реализовать оффлайновую установку обновлений, поскольку в некоторых инсталляциях Traffic Inspector Next Generation размещается внутри закрытого от интернета периметра.
Проверка на скрытый код
Пожалуй, самой сложной частью работы было доказать, что недекларированных возможностей нет ни в BIOS, ни на накопителях аппаратных платформ. И вот вам одна из причин, по которой сертификация – плюс для конечного пользователя.
Процедура доказательства заняла еще примерно четыре месяца: с мая по август. Эта длительность понятна. В 2012 году вредоносный код нашелся в партии микросхем, произведенных в Китае, что стоило менеджерам одного крупного бренда многих нервных клеток. Тогда о «закладках» и заговорили всерьёз. Решающее слово досталось Дж. Броссару, который представил доклад «Аппаратный бекдоринг – это удобно» (Johnatan Brossard, Hardware Backdooring is practical) на конференции Black Hat.
Впрочем, в нашем случае всё прошло довольно скучно: недостатков и уязвимостей обнаружено не было.
Проверка целостности кода, аудит сборки
Чтобы у пользователя были гарантии, что и на будущее нежелательных изменений не будет – нам по требованию ФСТЭК предстояло добавить самоконтроль целостности. Имеется в виду проверка контрольных сумм всех неизменяемых файлов и файла конфигурации, а также автоматическое восстановление конфигурации, измененной неавторизованным способом.
По требованию контролирующего органа, все события, связанные с изменениями конфигурации, теперь детально протоколируются. Администратору направляется нотификация при критических событиях безопасности (например, разнице контрольных сумм). Таким образом, несанкционированная модификация системы исключается — еще один плюс.
С аудитом сборки было связано много задач. Для контрольной сборки пришлось даже настраивать сервер, чтобы специалисты контролирующего органа сами могли убедиться: конкретные объектные файлы собираются из конкретных исходников, а бинарные файлы, в свою очередь, — из конкретных объектников. Предоставлена была и возможность зафиксировать контрольные суммы исходных файлов.
Результаты сертификации
Доработки по требованию комиссии ФСТЭК коснулись системы оповещения о событиях, протоколирования, обновления, аудита целостности.
К ноябрю 2017 года у нас была возможность опробовать решение на реальном кейсе: мы обеспечили локальную сеть ТюмГМУ единой точкой выхода в Интернет. Специалисты ИБ оценили систему оповещений и возможность через браузер управлять блокировками, получать доступ к статистике, простой интерфейс.
На сертификацию у нас ушел год. Это была большая, сложная работа, о которой мы не пожалели. Продукт полностью проверен, приведен в соответствие с требованиями. Значит ли это, что с нашим межсетевым экраном не страшны сетевые угрозы? Да, если соблюдать очевидные меры безопасности, а лучше — еще и обучать сотрудников основным принципам сетевой безопасности. На сегодня никаких “закладок”, “бекдоров” и других уязвимостей в нашем продукте не обнаружено. Мы продолжаем следить за его качеством, чтобы и в дальнейшем все было в порядке.
Можно много спорить о том, полезна ли сертификация конечному пользователю. Но главным нам кажется, вот что: готов ли производитель дорабатывать свой продукт? Имеет ли он ресурсы вовремя исправлять найденные недостатки? Открыт ли он для критики?
Сертификация ФСТЭК в этом контексте – тест, показывающий уровень компетенций разработчика. Мы его прошли, отчего испытываем нескрываемое удовлетворение. Мы уважаем наших конкурентов, которые также прошли это испытание — значит, у нас достойные соперники (впрочем, их единицы). Ну а заказчикам это лишний повод задуматься — если у поставщика нет сертификата ФСТЭК, так ли он хорош, как рассказывает о себе? Впрочем, мы не настаиваем на своём мнении и готовы подискутировать в комментариях к статье.
Протестировать Traffic Inspector Next Generation в своей сети.
Бесплатно в течение 30 дней.