Synology VPN Plus позволяет компаниям и организациям устанавливать шифрованные туннели между роутерами и сетями в разных географических областях, а также подключаться клиентам к роутерам посредством VPN для обеспечения безопасного доступам к данным и ресурсам через Интернет.

В рамках поддержки борьбы с коронавирусной инфекцией Synology с сегодняшнего дня по 30 сентября 2020 года предоставляет бесплатные лицензии VPN Plus для маршрутизаторов, поддерживающих эту опцию.

Каждая лицензия Site-to-Site VPN активирует данную функцию для одного продукта Synology, поддерживающего VPN Plus. После активации соответствующая функция доступна в течение неограниченного периода времени. Важно отметить, что лицензия даёт возможность формировать столько туннелей, сколько позволяют характеристики конкретного продукта. При этом, правда, активную лицензию Site-to-Site VPN нельзя будет перенести на другое устройство.

На лицензии для VPN-клиентов акция тоже распространяется. После её окончания цена каждой лицензии, вероятно, останется прежней ($9,99), а для теста Site-to-Site VPN можно будет однократно получить бесплатную 30-дневную пробную версию. Дополнительную информацию о возможностях VPN Plus можно найти на этой странице.

В демоне протокола Point-to-Point Protocol Daemon (PPPD), который используется для сетевых соединений типа точка-точка, обнаружена уязвимость. Эта брешь существовала 17 лет и позволяла выполнять произвольный код на уровне системы, причём весьма простым способом.

Для этого можно было использовать специально сформированные запросы на аутентификацию — при отправке особого EAP-пакета (Extensible Authentication Protocol) можно было вызвать переполнение буфера, что давало возможность выполнения произвольного кода от имени root.

pixabay.com

Ошибка закралась в код проверки размера поля rhostname — для переполнения нужно было лишь отправить очень длинное имя хоста. При этом уязвимыми являются как клиент, так и сервер. В последнем случае это позволяет атаковать клиентские компьютеры через центральный хост.

Проблема актуальна для версий демона с 2.4.2 по 2.4.8 включительно, для устранения проблемы уже вышел патч. Затронутыми могут быть все основные дистрибутивы Linux и вариации *BSD, а также OpenWRT и некоторые решения Cisco, TP-LINK и Synology.

Intel представила релиз сетевого конфигуратора ConnMan под номером 1.38. В этой версии появилась поддержка WireGuard VPN, что согласуется с его появлением в ядре Linux 5.6, и улучшена работа фирменного беспроводного Wi-Fi демона Intel IWD, который должен стать альтернативой wpa_supplicant. Помимо этого, были исправлены некоторые проблемы, касающиеся поддержки VPN/OpenVPN.

Сферой применения ConnMan называют встраиваемые и легковесные Linux-системы, где критичным являются малые накладные расходы и нагрузка на систему.

pixabay.com

ConnMan является полностью модульной системой, функциональность которой гибко расширяется с помощью плагинов. Поддерживаются технологии Ethernet, Wi-Fi, Bluetooth, 2G/3G/4G, ряд VPN и другие привычные сетевые решения.

Система базируется на наработках Intel и Nokia — первоначально конфигуратор создавали для ОС MeeGo. Затем его использовали для платформ Tizen, Jolla/Sailfish и других. ConnMan может использоваться в качестве альтернативы NetworkManager и применяется вместо него в ряде дистрибутивов, в том числе десктопных, по умолчанию.

Новинку уже можно скачать на официальном сайте Kernel.org.

Компания «Код безопасности» сообщила о выпуске новой версии средства криптографической защиты информации «Континент-АП 4».

Комплекс «Континент-АП» предназначен для обеспечения безопасного доступа сотрудников организации к ресурсам корпоративной сети с устройств, не входящих в её защищаемые сегменты. Решение поддерживает технологию VPN-туннелей, шифрование каналов связи с помощью алгоритма ГОСТ 28147-89 и аутентификацию пользователей по сертификатам стандарта X.509.

Главной особенностью обновлённой версии «Континент-АП 4» стала функция быстрого старта, которая позволяет автоматически установить защищённое VPN-подключение после импорта конфигурационного файла, содержащего все необходимые настройки удалённого доступа к IT-ресурсам предприятия. Система в автоматическом режиме определяет точку распространения списка отозванных сертификатов (CDP) и обновляет отозванные сертификаты (CRL), после чего происходит настройка системного прокси и подключение к серверу доступа.

Изменения затронули пользовательский интерфейс продукта, а также функции сбора диагностической информации, мониторинга и журналирования событий безопасности. Дополнительно была проведена работа по обеспечению совместимости «Континент-АП 4» с другими программными решениями разработчика. Более подробные сведения о системе можно найти по ссылке securitycode.ru/products/skzi-kontinent-ap.

Компания Zyxel представила своё самое мощное решение для виртуальных частных сетей (VPN) — межсетевой экран ZyWALL VPN1000, рассчитанный на использование в сегменте среднего и малого бизнеса (СМБ).

Новый шлюз поможет компаниям организовать безопасный доступ удалённых офисов и сотрудников к корпоративной информации и наладить её передачу между разными площадками.

Межсетевой экран поддерживает все основные типы соединений VPN и может управлять подключениями IPSec, L2TP, SSL & TLS и PPTP, а также топологиями site-to-site и client-to-site.

Новинка поставляется с лицензией SD-WAN на один год, поэтому это решение можно использовать как в автономном режиме, так и в режиме Nebula Orchestrator с функциями облачного управления. Nebula SD-WAN решает многие проблемы функционирования распределённых сетей, с которыми сталкиваются компании, обладающие географически удалёнными точками присутствия. Прежде всего увеличивается безопасность и скорость соединения. А с помощью оптимизации WAN и динамического выбора маршрута устраняются простои, предотвращаются обрывы соединения при телефонных звонках и видеоконференциях, улучшается качество связи на площадках, где нет стабильного доступа к Интернету.

В новом решении используются эффективные функции защиты сетей, в том числе межсетевой экран с фильтром контента, полностью интегрированная система сервисов безопасности по подписке с фильтром доменов URL и HTTPS и безопасный поиск.

Устройство оборудовано 12 конфигурируемыми портами Gigabit Ethernet, двумя портами SFP и двумя разъёмами USB 3.0. Допускается монтаж в стойку. Габариты составляют 400 × 250 × 44 мм, вес — 3,3 кг.

Более подробная информация о продукте доступна здесь.

Модуль VPN WireGuard будет по умолчанию доступен в составе ядра Linux 5.6. Исходный код уже добавлен в net-next, а для более ранних версий ядра доступен новый выпуск модуля out-of-tree.

На данный момент актуальная версия WireGuard имеет номер 0.0.20191219, однако после выхода ядра Linux 5.6 нумерация изменится на схему v1.0.X. при этом обещана обратная совместимость с текущими версиями и старыми ядрами, начиная с Linux 3.10.

arstechnica.com

Всё это позволит обеспечивать безопасность без подключения дополнительных модулей и установки сторонних приложений. WireGuard, отметим, выбран за малый размер и высокую скорость, а также прекрасный уровень безопасности. Правда, при наличии уязвимости в Unix-системах, защита собственно канала не спасёт.

Отметим, что по данным ресурса ArsTechnica, WireGuard может появиться уже в Ubuntu 20.04 LTS, хотя это пока лишь слухи. Впрочем, при наличии поддержки старых ядер, это выглядит довольно-таки вероятным событием. Напомним, что сервис для запуска VPN доступен под все актуальные настольные и мобильные платформы.

Технология VPN-туннелей очень распространена и часто используется для допуска в защищённую корпоративную сеть пользователей, работающих удалённо.

Но совсем недавно появилось сообщение о методе атаки, который позволяет подменять или подставлять пакеты в TCP-соединениях IPv4 и IPv6, пробрасываемых через VPN.

Уязвимость получила порядковый номер CVE-2019-1489, она была обнаружена специалистами из Университета Нью-Мексико. Проблема затрагивает почти все UNIX-like операционные системы: Linux, FreeBSD, OpenBSD, Android, MacOS, iOS и другие.

Применяемые в туннелях алгоритмы шифрования не имеют значения: «поддельные» пакеты хотя и поступают из внешнего интерфейса, но обрабатываются ядром, как принадлежащие VPN-интерфейсу. При наличии дополнительных слоёв шифрования (TLS, HTTPS или SSH) вклиниться в VPN-туннель не получится.

Специалисты продемонстрировали успешную подмену для OpenVPN, WireGuard и IKEv2/IPSec. Tor уязвимости не подвержен, поскольку использует SOCKS и lo-интерфейс. В системах с ядром Linux уязвимость для IPv4 напрямую связана с тем, как настроена функция rp_filter (reverse path filtering). В режиме «Strict» уязвимости нет, но дело в том, что начиная с версии systemd 240 по умолчанию используется режим «Loose».

Для защиты VPN-туннелей с адресацией IPv4 достаточно будет переключиться на «Strict», в остальных случаях рекомендуется блокировать прохождение пакетов, у которых в качестве адреса назначения указан виртуальный адрес туннеля. Это временное решение до тех пор, пока в ядра подверженных уязвимости ОС не будет добавлена защита от описанной атаки.

Компания «Смарт-Софт» сообщила о выпуске новой версии аппаратно-программного комплекса Traffic Inspector Next Generation, предназначенного для организации защищённого доступа в Интернет в корпоративных сетях.

Traffic Inspector Next Generation представляет собой универсальный интернет-шлюз класса UTM (Unified Threat Management), основанный на открытом коде проекта OPNsense и объединяющий в себе межсетевой экран, маршрутизацию, систему предотвращения вторжений (Intrusion Prevention System, IPS), VPN-сервер, модуль мониторинга и статистики, а также многие другие функции. Продукт позволяет управлять внутренней сетью предприятия, оптимизировать трафик и контролировать доступ сотрудников к ресурсам глобальной сети.

В обновлённую сборку Traffic Inspector Next Generation, получившую индекс 1.4.1, вошло программное ядро OPNsense версии 18.7.10 и добавлен плагин os-gostvpn, обеспечивающий интеграцию со средством криптографической защиты информации (СКЗИ) «МагПро Криптопакет» и возможность организации защищённых VPN-каналов связи. Криптографическое шифрование данных осуществляется в соответствии с ГОСТ Р 34.10-2012, P 34.11-2012, 28147-89. Кроме этого, существенным доработкам подверглись компоненты системы централизованного управления распределённой инфраструктурой сетевых шлюзов и Layer7-фильтрации трафика. Также были исправлены обнаруженные ошибки.

Traffic Inspector Next Generation входит в реестр отечественного ПО и имеет сертификат ФСТЭК России. Продукт может применяться в государственных информационных системах 1 класса защищённости, в автоматизированных системах управления производственными и технологическими процессами 1 класса защищённости, в информационных системах персональных данных при необходимости обеспечения 1 уровня защищённости персональных данных, а также в информационных системах общего пользования 2 класса.

Материалы по теме:

• «Смарт-Софт» представила новую версию интернет-шлюза AquaInspector;
• На страже сетевой безопасности: обзор десяти общедоступных VPN-сервисов;
• Вышла новая версия системы контроля активности сотрудников «Стахановец».

Источник:

• smart-soft.ru

Американский производитель антивирусов Symantec объявил о покупке у Opera Software стартапа SurfEasy, развивающего частную виртуальную сеть (VPN) для удалённого доступа к рабочим ПК, организации внутренних сетей филиалов компаний и решения прочих задач, связанных с обеспечением безопасности передаваемых по интернет-каналам данных.

По условиям соглашения, Symantec получает 85-процентную долю в SurfEasy после закрытия сделки, а оставшиеся 15 % будут переданы в течение 15 месяцев. Это приобретение обойдётся Symantec в $38,5 млн.

bloomberg.com

SurfEasy станет частью потребительского подразделения Symantec. Стоит отметить, что компании давно сотрудничают: SurfEasy предоставляет технологии для услуги Norton Wi-Fi VPN, которая обеспечивает шифрование личных данных без отслеживания действий пользователя в Интернете или ведения журнала.

На недавней конференции, посвящённой публикации финансовой отчётности, генеральный директор Symantec Грег Кларк (Greg Clark) заявил о всплеске спроса на Norton Wi-Fi VPN после обнаружения критической уязвимости в протоколе Wi-Fi Protected Access II (WPA2). Благодаря этому продукту средний чек на покупку годовой подписки к антивирусу Norton Security Standard возрос на $30–50, отметил глава Symantec.

Компания «Код безопасности» сообщила о выпуске аппаратно-программного комплекса шифрования «Континент» 3.М2, предназначенного для построения виртуальных частных сетей повышенной безопасности (соответствие классу КВ).

«Континент» 3.М2 представляет собой централизованный комплекс для создания VPN-сетей повышенного уровня защищённости с использованием алгоритмов шифрования ГОСТ. Новую версию продукта от предшествующей (3.М) отличают наличие инструментов шифрования трафика без изменения сетевой топологии с помощью криптокоммутатора (L2 VPN), возможность работы с отказоустойчивыми каналами связи, поддержка протоколов динамической маршрутизации, наличие средств приоритизации трафика, поддержка обмена информацией между подсетями, использующими одинаковое адресное пространство, а также реализация сервиса DHCP, способного работать как в режиме сервера, так и в режиме ретранслятора. Отдельный акцент разработчиками был сделан на повышении производительности комплекса за счёт применения программного криптоускорителя.

Продукт сертифицирован ФСБ России. Документ подтверждает, что аппаратно-программный комплекс «Континент» версии 3.М2 соответствует требованиям ведомства к средствам криптографической защиты информации класса КВ и может использоваться для криптографической защиты информации, не содержащей сведений, составляющих государственную тайну.

Дополнительные сведения о продукте и модельном ряде устройств «Континент» 3.M2 опубликованы на сайте securitycode.ru/products/apksh-kontinent-3-m2.

Материалы по теме:

• «Лаборатория Касперского» выпустила Kaspersky Security System для защиты критически важных IT-систем;
• IBM представила облачную платформу X-Force Exchange для борьбы с кибератаками;
• Новое решение Netwrix позволяет предотвратить инсайдерские утечки.

Источник:

• securitycode.ru