Компания «Айдеко» сообщила о доступности нового шлюза безопасности Ideco UTM 12.0. Данная версия, как отмечается, основана на новейшей программной платформе, поддерживающей самые передовые технологии ядра Linux (версия 5.15) и используемых модулей: баз данных, IPS, сетевого стека и веб-интерфейса.

Изображение: Ideco

Среди обновлений, в частности, отмечается наличие веб-интерфейса для доступа к настройкам антиспама «Касперского», возможность отката на прошлую версию после обновления, поддержку авторизации устройств по MAC-адресам (в том числе с поддержкой связки IP+MAC) и возможность доступа до определённых внешних ресурсов без авторизации.

Также добавлены динамическая маршрутизация OSPF (в будущем обещана поддержка BGP), фильтрация баннерной рекламы на уровне DNS, раздача маршрутов при подключении по VPN (за исключением Ideco VPN-агента), обновлённая версия модуля «Контроль приложений». Следующая версия Ideco UTM 13, релиз которой ожидается в мае, получит новые инструменты отчётности по предотвращению вторжений, а также по веб-трафику и трафику приложений (с конструктором отчётов).

«Отечественные решения, к сожалению, всё ещё отстают от решений лидеров NGFW-рынка. Сейчас, как никогда, важно не само решение взятое "в моменте", а темпы развития решения. Мы стремимся сделать максимально удобный для конечных пользователей продукт и поддерживать самый высокий темп развития в отрасли», — говорится в сообщении компании.

Известный разработчик решений в области информационной безопасности, компания Check Point Software, на днях представил новую серию устройств Quantum Lightspeed, которые, по словам создателей, установили новый стандарт производительности для брандмауэров.

Благодаря использованию контроллеров ConnectX от NVIDIA/Mellanox в серии Quantum Lightspeed удалось добиться обработки трафика на скорости до 3 Тбит/с и при задержке, не превышающей 3 мкс. Впрочем, в задачах NGFW или IPS показатели производительности новинок ожидаемо значительно скромнее.

Изображения: Check Point Software

Новые решения Quantum Lightspeed представляют наибольший интерес для крупных предприятий, дата-центров, ритейла, финансовых организаций и прочих компаний, которым требуется и высокая пропускная способность, и низкая задержка. Сейчас в серии Quantum Lightspeed есть четыре базовые модели (число в названии указывает на пропускную способность в Гбит/с):

• Quantum Lightspeed QLS250;
• Quantum Lightspeed QLS450;
• Quantum Lightspeed QLS650;
• Quantum Lightspeed QLS800.

Также в серию входят два оркестратора Maestro Lightspeed MLS200 и MLS400, предназначенных специально для построения масштабируемых комплексов. Блоки MLS, выступающие в качестве «сердца» такой системы и работающие в том числе в режиме Active-Active, могут быть дополнены модулями расширения, что и даёт суммарную пропускную способность до 3 Тбит/с.

Подобные показатели, как уже отмечалось, во многом достигнуты благодаря использованию возможностей ConnectX. В схеме, реализованной Check Point, лишь первый пакет в каждом соединении проверяется силами CPU на соответствие политикам безопасности (в докладе говорится о связке IP-адрес+порт). Если проверка пройдена, то далее обработка трафика в обоих направлениях до закрытия соединения или сессии ложится на плечи ConneсtX. Идея, в целом, не нова.

Кроме того, шлюз занимается SPI, поддерживает NAT и может обрабатывать трафик VXLAN/GRE. Компания отдельно отмечает, что новинки хорошо подходят и для нагрузок с длительной передачей большого объёма трафика в рамках одной сессии, становящихся всё более актуальными. Впрочем, нельзя не отметить, что NVIDIA сотрудничает и с другими игроками в этой области, например, Palo Alto Networks.

Состоялся релиз firewalld 1.0 — динамически управляемого межсетевого экрана для Linux-систем. Он доступен в RHEL 7, Fedora 18, SUSE/openSUSE 15 и более новых версиях. Проект разрабатывает Red Hat, при этом первая версия вышла более 10 лет назад. Но лишь теперь проект добрался до релиза 1.0. Система написана на Python, при этом в ней отказались, наконец, от поддержки Python 2.

Другие изменения включают в себя перемещение правил NAT в семейство протоколов iNet, что позволило избавиться от дубликатов. Также поддерживается внутризонная пересылка данных по умолчанию. Это позволяет передавать пакеты без ограничений между сетевыми интерфейсами в рамках одной зоны (public, block, trusted, internal и так далее). Поддержка ipables пока что сохранена, но развивать её не планируется. Убрана возможность отслеживания TFTP-подключений, зато упростилась работа с WireGuard, Kubernetes и NetBIOS.

В целом, для конечных пользователей поведение firewalld со стандартной конфигурацией межсетевого экрана стало более предсказуемым, а число возможных проблем с настройками снизилось. Также отметим, что число зависимостей уменьшилось: для работы нужно только ядро Linux и некоторые python-библиотеки. Остальные пакеты стали опциональными. Исходный код доступен на GitHub.

Предварительный выпуск Azure Firewall Premium был анонсирован ещё в апреле, теперь же брандмауэр стал общедоступным. Он обеспечивает защиту высокочувствительных и регулируемых сред, таких как платежные системы и приложения здравоохранения, при миграции в облако.

Пользователи брандмауэра Azure Premium получают более мощные инстансы, позволяющие удовлетворить требования к производительности при использовании TLS, а также системы обнаружения и предотвращения вторжений (IDPS). Защищённость среды при этом соответствует стандарту безопасности данных в индустрии платежных карт (PCI DSS), а возможности масштабирования до 30 Гбит/с и интеграции с регионами доступа обеспечивают SLA на уровне 99,99%.

microsoft.com

Проверка исходящих TLS-подключений в брандмауэре Azure Premium охватывает транспортный уровень, а для входящих подключений предусмотрено использование шлюза приложений Azure, обеспечивающего сквозное шифрование. Трафик, который отправляется в исходное место назначения, шифруется повторно для дополнительной безопасности.

Система IDPS брандмауэра использует сигнатуры, позволяющие быстро обнаруживать известные типы атак. Брандмауэр Azure Premium способен предотвращать распространение вредоносных программ и вирусов по сетям. Администраторы могут настроить фильтрацию URL-адресов, включая исходящий доступ к определённым адресам. Эта возможность работает и для зашифрованного трафика TLS.

Также имеется возможность фильтрации исходящего трафика и настройка доступа пользователей к Интернету на основе категорий (например, социальные сети, поисковые системы, азартные игры), что позволяет сократить время настройки. А для упрощения используются политики брандмауэра Azure. Такой подход позволяет повторно использовать существующую интеграцию API с минимальными изменениями.

Политики Azure Premium предоставляют такие преимущества, как совместное использование общей конфигурации для нескольких брандмауэров, объединение правил с использованием групп и управление правилами с помощью аналитики. Стоимость развёртывания премиального брандмауэра на 40% выше, чем у стандартной версии, но плата за обработку данных остаётся такой же.

Palo Alto Networks совместно с NVIDIA разработали первый, по словам компаний, виртуальный межсетевой экран нового поколения (NGFW), который активно использует возможности BlueField — сопроцессора для обработки данных (DPU). Он ускоряет фильтрацию пакетов и пересылку данных, снимая нагрузку с центрального процессора.

Это позволяет повысить скорость обработки до 5 раз, а также задействовать интеллектуальную фильтрацию и другие функции работы с трафиком. В целом, такое программно-аппаратное решение позволит существенно увеличить безопасность центров обработки данных и корпоративных сетей. Как отмечается, система поддерживает пропускную способность до 100 Гбит/с.

Разработчики утверждают, что подобная система — первая на рынке. Она способна обнаруживать новые угрозы в сети, предотвращать кражу данных, отслеживать вредоносное ПО и так далее. При этом отмечается, что в обычных случаях до 80 % сетевого трафика в ЦОД проверяется брандмауэрами в принципе. Речь идёт о мультимедийных данных (потоковые видео, музыка и прочее), зашифрованных сессиях и так далее. Их проверка зачастую просто перегрузит CPU брандмауэров, потому они обычно избегают дополнительной инспекции.

Чтобы решить эту проблему, решение NVIDIA и Palo Alto Networks задействует службу Intelligent Traffic Offload (ITO), которая проверяет сетевой трафик, чтобы определить, выиграет ли каждый сеанс от проверки безопасности. Иначе говоря, ITO анализирует потенциальную нагрузку на DPU, чтобы понять, нужно ли проверять пакеты или нет. Это позволяет перенаправлять пакеты через межсетевой экран или напрямую потребителям.

Компания Cloudflare представила сервисы Magic WAN и Magic Firewall, а также объявила о партнёрских отношениях с крупными провайдерами решений для сетей и ЦОД, включая VMware, Aruba, Digital Realty, CoreSite и EdgeConneX, в рамках Cloudflare One, её облачного решения, предлагаемого по модели «сеть как услуга» (network-as-a-service).

Magic WAN с Magic Firewall предоставляет клиентам универсальное решение для подключения и защиты данных, устройств, офисов, облачных сетей и т. д. Magic WAN — это решение, предлагаемое по модели SaaS, которое соединяет любой источник трафика с глобальной сетью Cloudflare для безопасного и быстрого подключения, а Magic Firewall интегрируется с ним для обеспечения соблюдения норм безопасности для всего трафика. С помощью Magic WAN и Magic Firewall предприятия также могут ускорить работу своей сети и обеспечить более высокую безопасность, причём намного дешевле, чем при использовании MPLS.

«Компании тратят значительные ресурсы на предоставление и поддержку устаревших технологий подключения, таких как MPLS, — отметил Мэтью Принс (Matthew Prince), соучредитель и генеральный директор Cloudflare. — В Magic WAN мы используем глобальную сеть Cloudflare, чтобы предлагать надёжные, быстрые и гораздо более рентабельные возможность подключения со встроенной системой безопасности. Сотрудничая с ведущими поставщиками SD-WAN, мы можем гарантировать, что Magic WAN станет незаменимой заменой прежним решениям для подключения».

Являясь частью пакета Cloudflare One, Magic WAN надёжно подключает любой источник трафика — ЦОД, офисы, устройства, облачные ресурсы — к глобальной сети Cloudflare и позволяет клиентам настраивать общедоступные и частные политики маршрутизации, всё в рамках одного SaaS-решения. А Magic Firewall позволяет предприятиям определять правила безопасности для сети с единой центральной панели управления, чтобы обеспечить защиту сотрудников, офисов и данных, где бы они ни находились. Cloudflare обеспечивает клиентам возможность:

• Подключить каждый офис, ЦОД и облачное хранилище: Magic WAN заменяет разрозненные решения для подключения и обеспечения безопасности в офисах и удалённых местах единой облачной сетью.
• Защитить весь трафик с помощью одного простого пользовательского интерфейса: Magic Firewall позволяет клиентам централизованно управлять политиками безопасности по всей сети и на периферии. Magic Firewall обеспечивает точный контроль над тем, какие данные разрешено вводить и выводить из сети.
• Защитить корпоративные сети без ущерба для производительности: Cloudflare действует как концентратор, которым выступает глобальная сеть компании. Поэтому компания гарантирует, что больше не будет транзитного соединения с централизованными устройствами и связанных с ними узких мест в производительности.
• Использовать любое оборудование или оператора связи: клиенты могут использовать любое оборудование любых партнёров для подключения к Cloudflare и получить преимущества отказоустойчивости, предоставляемые её глобальной сетью.

На этой неделе состоялась два крупных анонса для дистрибутива pfSense. Во-первых, система получила поддержку WireGuard VPN. Во-вторых, Netgate, компания, разрабатывающая pfSense, представила pfSense Plus. Поговорим об этом подробнее.

Расширение поддержки WireGuard означает, что всё больше ОС получают возможность работать с ним. Этот протокол уже есть во многих дистрибутивах Linux, а также в Windows. Разработчики из Netgate внедрили её в pfSense 2.5. При этом поддержка работает как в варианте pfSense Community Edition, так и в новом pfSense Plus.

Новый «Плюс» представляет собой своего рода ребрендинг pfSense Factory Edition (FE). Это напоминает ситуацию с переходом от FreeNAS к TrueNAS Core. Разработка pfSense CE (Community Edition) будет продолжаться, но для pfSense Plus будут выходить все самые новые «фишки». Напомним, что pfSense обеспечивает функциональность межсетевого экрана, маршрутизатора и VPN для дома, предприятий, образовательных и государственных учреждений.

С 2021 года pfSense CE и pfSense Plus начнут расходиться друг с другом как в дизайне программной платформы, так и в наборе функций. Первая версия будет работать, как и ранее. Вторая же станет стандартом де-факто для всех устройств Netgate. pfSense Plus получит постоянно обновляемый набор функций безопасности, улучшения производительности и управляемости, которых нет в pfSense CE. Хотя в начале они будут достаточно близки, со временем ожидается, что функциональность обеих версий всё сильнее будет отличаться.

В компании заявили, что появление Plus-версии необходимо для поддержки продукта в актуальном состоянии. Многие функции старой версии, разработка которой началась ещё в 2004 году, нуждаются в замене или обновлении, что может нарушить работу кода. В числе новых функций обещана поддержка точек доступа 802.11ac и 802.11ax, другая информационная панель и дизайн системы в целом, улучшенная производительность фильтра пакетов.

Первая версия pfSense появится в феврале 2021 года. Сборка получит наименована Release 21.02, так что будет задействована система нумерации «год.месяц». Что касается pfSense CE, то сборка останется на GitHub под лицензией Apache. Netgate продолжит её сопровождение, предоставляя обновления — в первую очердь, патчи против уязвимостей и апдейты для FreeBSD. А вот о внедрении новых функциях пока не сообщается.

Как отмечается, выпуски pfSense Plus будут выходить более регулярно — в январе, мае и сентябре. При этом пока есть только версии для устройств Netgate и облачных платформ AWS и Azure. В будущем ожидается расширение аппаратного парка и поддержка ряда гипервизоров. pfSense Plus 21.02 будет бесплатной для домашнего и лабораторного использования, но для коммерческого использования нужна будет платная лицензия.

При этом отмечено, что Netgate продолжает придерживаться принципов работы open source, так что не стоит бояться, что система может стать закрытой. В частности, компания продолжит спонсировать разработку новых возможностей, которые в итоге попадают во FreeBSD. Именно при её непосредственном участии появилась поддержка WireGuard, ускорение криптографических функций за счёт использования Intel QAT и EIP-97, некоторые драйверы и так далее. Кроме того, в штате компании или по контракту с ней работают разработчики FreeBSD и других открытых проектов.

Всего пару месяцев назад мы подробно познакомились с возможностями шлюза безопасности UTM 8, а теперь компания Ideco выпустила предновогодний релиз UTM 9.0, который получил новые возможности. Их можно разделить на несколько категорий: улучшение безопасности, повышение удобства работы и расширение возможностей.

В плане безопасности нововведения включают новые роли администраторов — с полным доступом и только для чтения. Также появился раздельный доступ к консоли по SSH под логинами администраторов. При установке сервера теперь можно сразу задать пароль администратора. А файрволл теперь оснащён счётчиками срабатывания трафика.

Все системные компоненты были обновлены до актуальных версий, включая и ядро Linux (релиз 5.9.13). В плане удобства работы произведены улучшения веб-интерфейса администратора и пользователей, а работа веб-интерфейса ускорена в ситуациях, когда идёт большая нагрузка на сервер.

Из новых возможностей стоит отметить консольную утилиту speedtest-cli для проверки скорости интернет-канала с сервера. Добавлено автоматическое получение сертификатов Let's Encrypt для почтовых служб (веб-интерфейс, SMTP, IMAP, POP3). Также добавлены функции антиспама от «Касперского».

Компания Zyxel представила на российском рынке межсетевые экраны USG FLEX 100W и USG FLEX 700, ориентированные на предприятия малого и среднего бизнеса. Устройства помогут повысить защищённость корпоративных сетей, нагрузка на которые возросла в связи с переводом сотрудников на удалённую работу в условиях пандемии.

USG FLEX 100W — это межсетевой экран начального уровня со встроенной беспроводной точкой доступа. Устройство сертифицировано на совместимость с Microsoft Azure и AWS, поэтому компании могут построить гибридную сеть, в которой их внутренняя ИТ-инфраструктура комбинируется с инфраструктурой публичного облака. Доступны четыре порта LAN/DMZ, по одному порту WAN и SFP. Пропускная способность межсетевого экрана достигает 800 Мбит/с.

В свою очередь, саршая модель USG FLEX 700 отличается возможностью одновременного обслуживания до 800 подключённых клиентов. Эта модель располагает 12 конфигурируемыми портами RJ-45 и двумя разъёмами SFP. Пропускная способность межсетевого экрана — до 5400 Мбит/с.

Кроме того, компания Zyxel выпустила прошивку для межсетевых экранов ZLD 4.60. Среди основных особенностей апдейта — увеличение производительности инспекции трафика SSL в 3–5 раз по сравнению с предыдущей версий. Реализована поддержка протокола TLS 1.3. В дополнение к уже имеющимся сервисам репутации IP-адресов и URL-адресов в микропрограмме ZLD 4.60 реализован сервис репутации DNS на базе технологий McAfee. Это предотвращает посещение скомпрометированных доменов, содержащих опасный контент, и блокирует доступ к определённым сайтам.

Компания VMware сообщила, что её системы виртуализации будут использоваться в сетевых адаптерах SmartNIC и DPU. Это позволит снизить нагрузку на центральные процессоры серверов.

Адаптеры SmartNIC и DPU оснащены сопроцессорами для обратки данных, так что вполне логично задействовать их для виртуализации. Впервые VMware объявила об этом в сентябре 2020 года. Идея состоит в том, чтобы использовать эти мощности для управления хранилищем и виртуальными сетями, а также для выполнения некоторых функций безопасности. С этой целью VMware портировала свой флагманский гипервизор ESXi на архитектуру Arm, поскольку на ней базируются системы-на-чипе с таких адаптерах.

В компании отметили, что межсетевой экран NSX Services-Defined Firewall теперь будет работать на SmartNIC и предоставлять L4 SPI-файрвол. Кроме того, было заявлено, что те же адаптеры смогут запускать межсетевой экран L7. Всё это позволит ускорить работу серверов и повысить защищённость. Ведь в традиционных сценариях эту нагрузку берёт на себя CPU. Помимо этого, такой подход позволяет создавать шифрованные каналы для работы удалённых сотрудников, не опасаясь перехвата инофрмации.

Отметим, что компания VMware предлагает создавать новые сети, в которой системы сами определяют, какие приложения нужны, и самостоятельно настраиваются соответствующим образом. Проще говоря, речь идёт о распределённых защитных системах. ARM-версия гипервизора ESXi и сетевого экрана NSX Services-Defined Firewall — первые шаги к этому.