Компании «АйТи Бастион» и «С‑Терра СиЭсПи» в рамках технологического сотрудничества создали аппаратно-программный комплекс, предназначенный для обеспечения безопасного управления удалёнными узлами геораспределённой IT-инфраструктуры бизнеса.

Представленное отечественными разработчиками решение построено на базе РАМ‑системы «СКДПУ НТ Компакт» и VPN‑продуктов: криптомаршрутизатора «С‑Терра Шлюз» и компактного криптошлюза «С‑Терра Юнит». Комплекс позволяет организациям обеспечить контроль дистанционного доступа не только к удалённым сегментам сети, но и выделенным отдельным узлам со слабым каналом связи через зашифрованный канал, не допустить осуществления в них несанкционированных действий со стороны пользователей и соответствовать ИБ‑требованиям регуляторов.

Источник изображения: компакт.айтибастион.рф

Защищённый тоннель от центрального офиса, где установлен «С‑Терра Шлюз», строится до нужного объекта с подключённым «С‑Терра Юнит» без дополнительной установки агентов и сложного оборудования. «СКДПУ НТ Компакт» выступает в качестве классической полнофункциональной PAM‑системы, предоставляя доступ только до отдельных узлов сети, фиксируя и контролируя в реальном времени все сессии администрирования и действия пользователей.

«В инфраструктуру предприятия, как правило, объединены несколько филиалов и подразделений, банкоматы, пункты контроля, видеокамеры, терминалы и другие цифровые устройства, которые требуют периодического администрирования, обновления и настройки. Предоставление прямого доступа к оборудованию и информационной системе не является безопасным. Зачастую это может обернуться существенными рисками для компании в виде утечек данных, хакерских атак и других киберугроз. За счёт нашей новой интеграции мы решили задачу предоставления дистанционного доступа к территориально распределённым объектам. Обеспечили её защищённую реализацию с использованием шифрованных каналов связи и дополнительным контролем действий привилегированных пользователей», — поясняют разработчики продукта.

Компания GL.iNet, по сообщению ресурса CNX Software, в скором времени начнёт продажи маршрутизатора Flint2, построенного на аппаратной платформе MediaTek. Устройство будет поставляться с проприетарной прошивкой на основе OpenWrt 23.05 (ядро Linux 5.15). Особенность новинки заключается в достаточно высокой скорости передачи данных при обслуживании VPN. В частности, заявленная пропускная способность клиента WireGuard достигает 900 Мбит/с. Впрочем, для OpenVPN показатели гораздо скромнее — 190 Мбит/с.

Маршрутизатор несёт на борту процессор MediaTek MT7986 (Filogic 830) с четырьмя ядрами Arm Cortex-A53 (до 2,0 ГГц) и аппаратным движком для ускорения сетевых функций. Объём оперативной памяти DDR4 равен 1 Гбайт, флеш-памяти eMMC — 8 Гбайт. Есть два порта 2.5GbE и четыре порта 1GbE. Контроллер Wi-Fi 6 (802.11b/g/n/ac/ax) с четырьмя внешними антеннами обеспечивает канальную скорость до 1148 Мбит/с в частотном диапазоне 2,4 ГГц и до 4804 Мбит/с в диапазоне 5 ГГц.

Источник изображения: GL.iNet

Маршрутизатор располагает одним портом USB 3.0 Type-A. Габариты составляют 233 × 137 × 57 мм, вес — 761 г. Диапазон рабочих температур — от 0 до +40 °C. Поддерживаются средства родительского контроля и удалённое управление через облако, Milti-WAN, AdGuard и другие инструменты. Большой объём eMMC позволяет установить множество дополнительных пакетов и плагинов.

Роскомнадзор (РКН) предупредил российские компании о рисках для безопасности данных, связанных с применением VPN-сервисов, использующих зарубежные серверы, предложив им ускорить переход на российскую инфраструктуру для информационных систем и протоколов, которые обеспечивают их внутренние бизнес-процессы.

«Рекомендуем российским предприятиям и организациям ускорить перевод информационных систем, протоколов, обеспечивающих работу их внутренних бизнес-процессов, на серверную, программную и телекоммуникационную инфраструктуру, находящуюся на территории нашей страны», —- цитирует «Интерфакс» заявление регулятора.

Изображение: Stefan Coders / Pixabay

«Применение VPN-протоколов с использованием зарубежной серверной инфраструктуры несёт в себе существенные риски утечки личной, корпоративной и иной информации», — подчеркнули в РКН, отметив, что «согласно закону “О связи” в России запрещена работа VPN-сервисов, не обеспечивающих фильтрацию нарушающей закон информации».

Ранее РКН наложил ограничения на работу популярных VPN-сервисов, которыми могут воспользоваться только компании из «белого списка», уведомившие регулятора о необходимости их применения. А на этой неделе в Сети появились жалобы на массовую блокировку VPN-протоколов, а не отдельных сервисов, которая, в частности, коснулась OpenVPN, IKEv2 и WireGuard.

Разработчик решений для обеспечения безопасности Bishop Fox LLC выпустил в минувшую в пятницу предупреждение о том, что сотни тысяч межсетевых экранов Fortinet Inc. остаются уязвимыми для атак, поскольку не получили патчи после раскрытия критической уязвимости в июне.

Уязвимость CVE-2023-27997 относится к типу багов, связанных с переполнением буфера (heap-based buffer overflow). Её обнаружили в ОС FortiOS. Уязвимость оценивается как критическая — 9,8 балла из 10 возможных по шкале CVSS. Благодаря ей злоумышленник может осуществлять удалённое выполнение кода на уязвимом устройстве с интерфейсом SSL VPN, доступном из Сети.

Fortinet выпустила обновления FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 и 7.2.5, где уязвимость была устранена. Однако, как выяснила Bishop Fox, администраторы пренебрегли призывами установить патчи, так что более 300 тыс. брандмауэров FortiGate (69 % от 490 тыс. из обнаруженных в Сети) по-прежнему уязвимы для потенциальных эксплойтов.

Изображение: Bishop Fox

Чтобы продемонстрировать риск, связанный с уязвимостью, команда Bishop Fox разработала эксплойт, который запускает удалённое выполнение кода, компрометирующего целевую систему, позволяя ей обратно подключиться к серверу, контролируемому злоумышленником. Эксплойт предоставляет интерактивную оболочку на целевом устройстве.

Исследователи Bishop Fox настоятельно рекомендуют всем владельцам Fortinet FortiGate как можно скорее установить исправление, чтобы избежать опасности взлома системы. Им вторят эксперты из других компаний, занимающихся вопросами информационной безопасности.