Обзор нововведений шлюза безопасности Ideco UTM 10: покоряя космос

 

Чуть больше полугода назад мы знакомились с Ideco UTM 8, а теперь на носу выход уже десятой версии. Смена релизного цикла — теперь компания будет стараться придерживаться периодичности один релиз в квартал — связана с пересмотром метода именования версий, а также с переходом с CentOS на Fedora в качестве базовой ОС. Это полезно знать потому, что предыдущая версия (относительно текущей актуальной) хоть и не перестанет получать обновления безопасности и исправления, но активно развиваться не будет.

Возможности Ideco UTM 10

Ideco UTM 10 — заметная веха в развитии продукта. Одно из важных изменений — увеличение скорости обработки трафика и обновление платформы. Десятый релиз базируется на Fedora 33 и использует свежую версию ядра Linux 5.11, чем многие конкуренты похвастаться не могут, хотя актуальность ядра становится всё более важной и из-за закрытия уязвимостей, и из-за поддержки большего числа функций современного «железа» (проще говоря, драйверы более свежие).

Процесс установки существенным образом не поменялся, хотя сейчас (пока, во всяком случае) в инсталляторе и в меню администратора используется «чистый» CLI вместо псевдографики. Минимальные требования к оборудованию что для bare-metal, что для ВМ: поддержка UEFI (увы, всё ещё без Secure Boot), 8 Гбайт RAM и два сетевых интерфейса. Разработчики рекомендуют использовать адаптеры Intel как наиболее беспроблемные. Если есть сомнения в выборе платформы, можно посмотреть на обновлённые конфигурации готовых программно-аппаратных решений, которые предлагает компания.

Отдельно останавливаться на всех основных функциях и возможностях Ideco UTM здесь, мы, пожалуй, не будем — об этом подробно написано в обзоре восьмой версии. Однако некоторые ключевые всё же кратко перечислим, а о нововведениях расскажем ниже:

  • Собственная система управления пользователями, а также их правами и квотами; глубокая интеграция с Active Directory (AD); различные варианты авторизации (IP, агент, VPN, AD + SSO, веб).
  • Мониторинг активности пользователей и работы сервера; поддержка Zabbix (активный/пассивный режим), Syslog, SNMP, Telegram-бот; уведомления.
  • Брандмауэр, SNAT/DNAT, перенаправление портов; счётчик срабатываний.
  • Контроль приложений (DPI с L7-фильтрацией); контент-фильтр по категориям сайтов; фильтрация HTTPS, QUIC и HTTP/3; перехват DNS, фильтрация DoH/DoT/DNSCrypt; предотвращение вторжений (IPS); антивирус для трафика (ClamAV или «Антивирус Касперского»);
  • Гибкая объектная система настроек; отчёты по пользователям, сайтам, категориям; журналирование событий, в том числе авторизаций пользователей.
  • Балансировка и резервирование WAN-подключений (IPoE, PPPoE, L2TP, PPTP); расширенная маршрутизация; прокси/обратный прокси; серверы DNS, DHCP, NTP; шейпер.
  • VPN-серверы PPTP, PPPoE, SSTP, L2TP/IPSec, IKEv2/IPSec; PS-скрипты для настройки подключения на клиентских ПК с Windows; автоматическое получение сертификата Let’s Encrypt; упрощённая настройка IPSec для подключения филиалов с Ideco UTM или роутерами MikroTik.
  • Автоматическое обновление; резервное копирование с возможностью выгрузки по FTP/SMB.
  • Почтовый сервер/реле; SMTP/IMAP(S)/POP3(S)/веб-интерфейс; поддержка DKIM с автогенерацией ключа; антиспам «Касперского».

Про последнюю функцию надо сказать пару слов, так как она появилась недавно — в Ideco UTM 9. Для её работы требуется отдельный накопитель SAS/SATA, где будет храниться содержимое почтовых ящиков. Настроек тут не очень много, но всё базовое необходимое есть: алиасы и переадресация, чёрные/белые списки, квоты, просмотр очереди, фильтрация по серым спискам и DNSBL, антиспам от «Касперского» (требуется отдельная лицензия). TLS-сертификат и DKIM-ключ генерируются автоматически. Наконец, есть симпатичный и удобный веб-интерфейс на базе RoundCube.

Одним из ключевых изменений в 10-й версии стала поддержка множественных групп безопасности Active Directory, куда входит один и тот же пользователь. Теперь они импортируются в виде независимых объектов в Ideco UTM наряду с собственно группами пользователей. Управлять параметрами можно непосредственно в AD — единожды проассоциировав группу безопасности с каким-либо правилом фильтрации трафика в Ideco, в неё со стороны AD можно добавлять пользователей или удалять их в ней. Для этой группы будут автоматически срабатывать правила фильтрации, причём без необходимости реавторизации самих пользователей.

Второе важное и долгожданное нововведение — расширенный мониторинг трафика. Долгожданное оно потому, что, согласно внутренним исследованиям Ideco, до 40 % трафика приходится на «мусор», не относящийся к рабочим задачам предприятий: рекламу, BitTorrent, стриминг, онлайн-игры и так далее. Теперь же в мониторе можно увидеть не только данные о потреблении трафика (скорость, пакеты в секунду, сессии) отдельным узлами в локальной сети, но и конкретно откуда и куда, по каким протоколам и в каких приложениях, насколько долго ведётся сетевая активность каждого отдельного узла.

Эта функция особенно актуальна сейчас, когда множество компаний перевели сотрудников на удалённую работу, но им тем не менее требуется доступ к каким-либо внутренним ресурсам. Ещё одной новой функцией в Ideco UTM 10 стало появление отчётности о типе и длительности VPN-подключений пользователей, что позволит отследить, кто и когда подключался к шлюзу. В будущих релизах появится возможность мгновенно блокировать «мусорные» подключения непосредственно в мониторе трафика, а также развёрнутая отчётность, куда будут попадать и указанные выше данные по трафику узлов.

 Обновлённая система мониторинга на главной панели Ideco UTM 10

Обновлённая система мониторинга на главной панели Ideco UTM 10

Третья новинка в Ideco UTM 10, которая, правда, была недоступна в изучаемой нами бета-версии, касается VPN. К уже привычным протоколам наконец добавился Wireguard. Это современный, быстрый, надёжный, безопасный, нетребовательный и даже, можно сказать, изящный VPN-протокол, поддержка которого давно внедрена непосредственно в ядро Linux. Единственный его недостаток для массового пользователя, если сравнивать с более распространенными протоколами, — отсутствие встроенного клиента в современных же массовых ОС (речь, конечно, в первую очередь о Windows).

Именно поэтому компания готовит собственную версию клиента Wireguard для Ideco UTM, максимально упрощённую для конечного пользователя, которому при подключении понадобится указать лишь домен, имя и пароль. Клиент будет поставляться в виде msi-пакета для Windows 8.1/10, что упростит его развёртывание посредством AD. Из полезных функций стоит отметить автоматическое обновление, а также переподключение к VPN-серверу при смене интернет-соединения или неполадках в нём. В дальнейшем планируется добавить различные опции, связанные с фильтрацией, безопасностью и передачей маршрутов. Кроме того, появится и версия клиента для Linux, в том числе для отечественных дистрибутивов.

Из более мелких (внешне, но не внутренне) изменений есть ещё парочка. Во-первых, вернули настройки Master-зон DNS, хотя разработчики всё равно рекомендуют орудовать ими на отдельном DNS-сервере и уж тем более не пытаться использовать их для блокировки отдельных сервисов и ПО — для этого есть функция контроля приложений. Во-вторых, для упрощения настройки были разведены статические маршруты для LAN и WAN. В будущих версиях появится весьма полезная опция допуска узлов, которым запрещён интернет-доступ, к определённым онлайн-службам (Office 365, например). В-третьих, в настройках файрвола появилась возможность тут же завести новый объект — IP-адрес(а), подсеть, домен, а не ходить лишний раз в другой раздел.

Дальнейшие планы по развитию продукта во многом исходят из запросов пользователей. Так, в частности, обещана поддержка двухконтроллерной работы по схеме Active-Active (но пока без почтового сервера). Также появится ещё более детальная отчётность, где, к примеру, можно будет посмотреть полные адреса посещённых URL за HTTPS. Из каких-то сугубо технических моментов можно упомянуть отказ от iptables и переход на более современные техники работы с трафиком в ядре.

Заключение

Позиционирование у Ideco UTM прежнее — это современный межсетевой экран следующего поколения (NGFW/UTM), который от многих других решений отличается отсутствием привязки лицензии к конкретному «железу» от производителя. Компания даже предлагает скидку для пользователей уже неподдерживаемых продуктов Microsoft TMG, StoneGate Firewall & VPN, eSafe Web & Mail Security Gateway, а также Kerio Control. Несмотря на то, что Ideco UTM базируется на open source-компонентах, он всё равно (по мнению компании, с которым трудно не согласиться) выгоднее условно-бесплатного «самосбора» на базе Linux или FreeBSD.

Ключевое слово здесь — «условно», потому что достичь такой же высокой степени интеграции и вместе с тем простоты настройки всех компонентов и функций самостоятельно малореально, если только вы сами не разрабатываете аналогичный продукт. И уже тем более невозможно самим заниматься обновлением баз для функций защиты и получать сертификацию ФСТЭК. Кроме того, одна из фишек Ideco UTM — встроенный чат для общения с техподдержкой, которая оперативно реагирует на запросы, — никуда не делась. Если учесть все эти факторы, цена от 33 750 руб. за бессрочную лицензию на 25 пользователей с годовой подпиской на обновления баз и ПО, а также техподдержку не выглядит завышенной.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.
Постоянный URL: https://servernews.ru/1044158
Система Orphus