Линейка программных продуктов «ЭФРОС» Департамент разработки и испытаний ООО Газинформсервис

Проблема Обеспечение целостности и контроль конфигураций сетевого оборудования Большинство ошибок и отказов сетевого оборудования связано с изменениями или ошибками настройки конфигураций Изменения не авторизованы и не учтены Отсутствие резервных копий конфигураций на случай восстановления Выполнение требования РД ФСТЭК по контролю целостности программной и информационной части МЭ

Требования Обеспечение целостности и контроль конфигураций сетевого оборудования Управление конфигурациями загрузка и обнаружение изменений хранение истории версий восстановление конфигураций запуск проверок по расписанию и по событию отправка оповещений об ошибках и изменениях

ЭФРОС Config Inspector Требования и объекты контроля сетевых устройств ТребованияОбъекты целостности программного обеспечения; целостности программного обеспечения; Программное обеспечение - версия Программное обеспечение – список файлов целостности конфигурационных файлов; целостности конфигурационных файлов; Рабочая и загрузочная конфигурации целостности аппаратных средств; целостности аппаратных средств; Список аппаратных модулей состояния физических и виртуальных интерфейсов; состояния физических и виртуальных интерфейсов; Физические и виртуальные интерфейсы наличия запущенных сервисов; наличия запущенных сервисов; Запущенные процессы состояния программных портов (TCP/UDP); состояния программных портов (TCP/UDP); Программные порты (TCP/UDP) регистрационных журналов; регистрационных журналов; Буфер журнала сообщений целостности таблиц маршрутизации; целостности таблиц маршрутизации; Таблица маршрутизации целостности таблиц коммутации. целостности таблиц коммутации. MAC, ARP таблицы

ЭФРОС Config Inspector Преимущества Клиент-серверная архитектура Защищенное хранилище конфигураций Выполнение заданий по расписанию или по событию Расширенные возможности контроля и обеспечения целостности Поддержка как безопасных так и небезопасных протоколов

ЭФРОС Config Inspector Архитектура

Решаемые задачи ЭФРОС Config Inspector Решаемые задачи: Контроль и управление конфигурациями; Контроль и управление конфигурациями; Обнаружение изменений в реальном времени; Обнаружение изменений в реальном времени; Централизованное управление локальными пользователями; Централизованное управление локальными пользователями; Расширенный контроль и обеспечение целостности; Расширенный контроль и обеспечение целостности; программное и аппаратное обеспечение; программное и аппаратное обеспечение; таблица маршрутизации, MAC и ARP таблицы, список процессов. таблица маршрутизации, MAC и ARP таблицы, список процессов. Прием Syslog и SNMP-trap сообщений; Прием Syslog и SNMP-trap сообщений; Оповещение администраторов по почте и отправка уведомлений средствам мониторинга. Оповещение администраторов по почте и отправка уведомлений средствам мониторинга.

ЭФРОС Config Inspector Событийный механизм

ЭФРОС Config Inspector Интерфейс

Совместимость с S-Terra Совместимость продуктов – залог успешного сотрудничества CSP VPN Gate 100B/100/1000/3000/7000, NME-RVPN (МСМ) Config Inspector С-Терра КП аудит изменений управление

ЭФРОС Config Inspector Возможности - поддержка NME RVPN S-Terra NME RVPN контроль рабочей конфигурации контроль настроек (Cisco-like команды) версия (show version); список маршрутов (show ip route). контроль настроек (команды NME RVPN) список сертификатов (show key_mgr); список ключей (show key_mgr); конфигурация (show lsp_mgr); список интерфейсов (show if_mgr); лицензия (show lic_mgr); настройки IPSec драйвера (show drv_mgr). запуск регламентной проверки целостности

ЭФРОС Config Inspector Возможности - поддержка Cisco IOS Cisco 2911 контроль конфигураций контроль настроек версия (show version); аппаратные модули (show inventory); интерфейсы (show interface); список маршрутов (show route). контроль списков (обнаружение новых значений) ARP (show arp); MAC (show mac address-table dynamic); процессов (show process). мониторинг (отображение) списков: открытых портов (show control-plane host open-ports); журнала сообщений (show logging). контроль целостности файлов

ЭФРОС Config Inspector Возможности - поддержка РКСС РКСС RSOS6850 контроль конфигураций рабочая (show configuration snapshot); working (more /flash/working/boot.cfg); certified (more /flash/certified/boot.cfg); проверка синхронизации рабочей и working конфигураций; проверка синхронизации working и certified конфигураций. контроль настроек контроль списков (обнаружение новых значений) ARP (show arp); MAC (show mac address-table dynamic); процессов (show process). контроль целостности файлов аппаратное обеспечение (show hardware info); модули (show module); модули шасси (show cmm); источники питания (show power); системная информация (show system); пользователи (show user); списки доступа (show ip access-list); микропрограммы (show microcode loaded); интерфейсы (show interfaces status); маршруты (show ip route).

ЭФРОС Config Inspector поддержка VMware (в разработке ) Требования Поддержка гипервизоров ESXi новая модель управления в ESXi + ESXi базируется на закрытой от легитимных изменений Linux системе

ЭФРОС Config Inspector поддержка VMware (в разработке ) Поддержка режима Lockdown mode Требования Поддержка гипервизоров ESXi Lockdown Mode – режим в котором запрещены все подключения к ESXi, кроме root пользователя локальной консоли. при этом управление гипервизором выполняется через vCenter.

ЭФРОС Config Inspector поддержка VMware (в разработке ) Поддержка режима Lockdown mode Требования Поддержка гипервизоров ESXi Использование API VMware (VI SDK) Контроль как настроек, так и файлов Сбор событий и контроль по событиям (например, по событию – загрузка виртуальной машины)

ЭФРОС Config Inspector поддержка VMware (в разработке ) гипервизоры(ESX и ESXi) - настройки - целостность виртуальные машины - настройки - целостность файлов(BIOS) vCenter - настройки - события безопасности Config Inspector SOAP(HTTPs) SOAP (HTTPs), SSH виртуальные сети хранилища роли пулы ресурсов контроль

ЭФРОС Config Inspector Разработка – проверка Compliance Проверка конфигураций на соответствие заданным политикам(шаблонам настройки). 1. Проверка Compliance для сетевого оборудования (по конфигурациям) 1-ый квартал Проверка Compliance для инфраструктуры VMware 2-3-ий квартал Добавление поддержки языка OVAL для сетевых устройств открытый язык описания и оценки уязвимостей OVAL планируется

ЭФРОС Config Inspector Сертификаты На программный комплекс ЭФРОС Config Inspector v.2.0 выданы следующие сертификаты: сертификат соответствия 2360 от ФСТЭК России по 4 уровню контроля и технических условий; сертификат соответствия ГО00.RU.1313.Н00113 от г. ГАЗПРОМСЕРТ на соответствие требованиям по безопасности, заданным в ТУ.

ИК «ЭФРОС-IOS»: инструментальный комплекс контроля и разграничения доступа к сетевому оборудованию. Предназначен для осуществления контроля и разграничения уровней доступа к командам маршрутизирующего оборудования Cisco IOS. ИК «ЭФРОС-PIX»: инструментальный комплекс контроля и разграничения доступа к сетевому оборудованию. Предназначен для осуществления контроля и разграничения доступа к командам маршрутизирующего оборудования Cisco PIX.

ЭФРОС Config Inspector Сертификаты На программные комплексы ЭФРОС IOS, ЭФРОС PIX и ЭФРОС Config Inspector выданы следующие сертификаты: сертификат соответствия 1123 от ФСТЭК России требованиям технических условий ТУ ; сертификат соответствия 1124 от ФСТЭК России требованиям технических условий ТУ ;

Спасибо за внимание! Вопросы?